信息化环境下中小企业内部控制的问题研究

2013-12-05长沙理工大学湖南长沙410114

商业会计 2013年4期

（长沙理工大学湖南长沙410114）

中小企业占我国企业总数的99%以上，对GDP的贡献超过60%，对税收的贡献超过50%，提供了近70%的进出口贸易额，创造了80%左右的城镇就业岗位。中小企业的发展对于增加社会就业，推进技术创新，促进经济发展，尤其是促进地方经济的发展，提高我国的综合实力，具有不容忽视的重要作用。中小企业要取得长足发展，在取得政治、经济、文化等宏观方面支持的同时，更需要进一步完善其内部控制制度，加强自身的竞争力。

一、信息化环境下，内部控制的新变化

信息化条件下，企业各个经营运作循环都建立了相应的信息系统，如供应环节的ERP系统，研究开发环节的PDM系统，市场营销环节的CRM系统，分析决策环节的BI系统等。这就要求内部控制的检查点和关注点都需要集中到信息化系统上。同时随着信息系统的实施，数据的处理变得复杂多样，这需要内部控制在企业运行过程中有重点有计划的实施监控，由此需要内部控制本身要信息化。信息化环境下，企业内部控制监控的实质对象是企业各个运行环节的信息系统，要实现内部控制的目标，需要内部控制对企业的流程进行自动测试，发现异常时再进行重点关注。内部控制不仅要关注企业实物资产的安全，更加要关注企业信息资产的安全。

二、中小企业信息化过程中内部控制的现状

（一）权责分配不合理

中小企业的组织机构设置多倾向于“因事设人”，岗位分工不明确，制度形同虚设。在中小企业，尤其是规模小的私营企业，财务部门“一人独大”，不相容职务存在实质性混淆。在信息化条件下，中小企业权限制度的设计和执行都存在瑕疵，上级对权限的过度下放，同级对权限的界限混淆，下级对权限的逾越，致使中小企业权责分配在执行过程中存在不合理。

（二）人员素质和观念的滞后性

信息系统在中小企业的应用，不仅要求员工要掌握专业技能还要熟知信息系统操作技能，这使得企业的员工面临着知识层面的欠缺。传统企业经营运行多为手工操作，处理流程简单，程序直观性强，只需掌握权限范围内的工作。而在经营运行的系统中，整体操作流程自动化，员工需要对整体流程的运行有所了解，明确所处的流程环节及其职责和权限。员工的操作技能与自我定位还有待于适应企业整体信息化的发展。

中小企业管理层目前存在“形式信息化，观念滞后性”的问题，企业在硬件方面都在追求信息化、数字化。会计软件和ERP管理系统的应用显示中小企业正在步入信息化的进程，但是企业管理者的理念还停留在原始的认识阶段，缺乏与ERP等信息化系统相适应的先进管理理念。

（三）风险未知性增加，评估难度加大

中小企业的信息系统在建设和维护方面存在着薄弱环节，企业信息资料都经信息系统的处理，一旦系统受到破坏，中小企业将面临致命的打击。中小企业信息系统的应用给企业带来了新风险，一是信息生成的控制风险，二是信息处理的传递风险，三是信息保存和输出的网络风险。随着信息化的发展与更新，风险的未知性增加，其中包括系统本身的风险，也包括中小企业内部控制所存在的风险。

系统本身的风险可以定位为技术风险，中小企业资本实力薄弱，企业规模较小，基于对成本效益的考虑，中小企业信息系统在建立和使用过程中往往会受到限制。

中小企业内部控制存在的风险一般包括业务流程附加风险、信息失真风险和评估控制方式风险等。信息化的建设使得企业的业务流程在信息化的条件下进行重组以适应企业的发展，但是原有业务系统与信息系统的融合会给企业带来新的未知风险，是业务流程信息化的附加风险。中小企业的信息和资料数字化加大了企业的信息控制难度，在一定程度上增加了信息失真的概率。中小企业的原有风险评估方式随着企业信息化的发展逐渐出现了漏洞，要对这些新的风险做出评估，那原有的风险评估方法已经不适用，倘若风险评估方法无法进行改进，将会给企业带来风险评估的附加风险。

（四）系统风险控制的不完善

企业信息系统往往会忽视系统退出的控制，一些系统中不会设置“限时锁定系统或退出系统”指令，会导致蓄意盗取信息的行为发生。中小企业有时为了节约成本会购买盗版软件，这使得企业系统容易遭受木马和黑客等攻击，造成企业数据的篡改或丢失。针对信息系统有可能出现的漏洞，中小企业内部控制缺乏相关的预防和解决措施。

（五）信息量的增加，沟通方式的改变，加大了企业的工作量

随着信息系统在中小企业广泛的使用，企业经营生成的信息量也随之加大，信息的真伪及其重要性需要企业管理层的辨别，这无疑增加了企业运行过程中的工作量。信息系统的使用，使得原有的企业沟通渠道和方式发生了改变，企业对外沟通及企业内部上下级员工的沟通需要进行调整，适应中小企业信息化发展的需要。

（六）经营运行的数字化，减少了业务痕迹，增加了监督难度

信息化管理使得工作量与工作速度都大幅度上升，从而对内部控制的监督加大了难度。企业在采用信息系统进行经营运行之后，某些业务痕迹不能被完整的保留，这给企业审计监督带来了困难。随着企业信息化的建立，企业内部控制监督本身也出现了漏洞，例如，原来企业项目或业务的执行需要责任人的签字以便于责任追究，信息系统的运用只需权限或口令的执行，容易使得企业在授权过程出现瑕疵，不利于企业内部控制的监督。

三、完善信息化环境下中小企业内部控制的措施

（一）重塑适应中小企业信息化的内部控制制度，保障权限分配合理

中小企业要完善内部控制，使内部控制在信息化条件下维护企业的正常运行，首要任务是建立和完善与企业信息化相适应的内部控制制度。中小企业规模小、资金薄弱，这需要中小企业要依照企业自身条件建立信息系统，而不是照搬大企业的系统模式，要避免形式主义。中小企业内部控制制度的建立以“规模小、内容详、权限严”为主旨，这既可以节约成本又有利于管理；中小企业经营内容倾向于一元化、体系化，故而在建立信息系统时要将企业经营的各个环节都要考虑在内，以确保企业信息化发展的可持续性；中小企业人力资源虽不及大企业规模大，但中小企业尤其是小企业员工任用的主观性比较大，在建立企业信息系统时，应该将员工的权力和权限严格划分，以降低责任混乱的可能性。

（二）加强信息化环境下中小企业工作人员的素质

中小企业信息系统的安全运行，不仅要保障系统本身的无误性，还要考虑系统操作员的工作能力和素质，系统操作员的工作能力是担任该项工作的基本要求，只有在能力胜任的条件下，才能保证操作员完成份内工作；操作人员的素质是保证系统运行合规的必要条件。故而企业要针对系统操作人员的工作能力和素质进行定期培训，保证操作人员的能力和素质的可信赖性。

（三）取得中小企业高层管理者的支持

中小企业信息化条件下，内部控制的建立和完善要取得成功，高层管理者的支持必不可少。企业高层管理者要提高信息化环境下的管理理念，认识到内部控制在企业经营运行中的重要性，了解企业内部控制改进的方向，立足企业自身，剖析企业需求，明确企业目标，建立适应企业发展的内部控制机制。

（四）加强风险的评估和控制

在风险管理信息化环境下，可以利用情景分析工具、蒙特卡罗模拟对风险进行分析，制作风险的分布图、影响图和数量趋势图等多角度管理视图。将风险的识别和评估由主观的定性分析转变为客观的定量分析。建立风险监控系统，对企业信息化系统中可能出现的内部控制问题实施监控，不仅是对风险本身的监控，还要对风险发生的条件、征兆进行监控。

（五）保障信息和沟通安全

中小企业在建立了信息系统之后，还要确保企业信息系统的安全。信息系统的安全性主要集中在信息的安全上，企业信息的传递过程包括输入、处理和输出。信息在输入时要严格按照系统设置的权限进行授权和审批，保证信息在输入时是真实准确的；在信息处理环节中要确保信息的准确性、适应性、客观性和及时性；信息输出过程中要控制信息使用权限，避免企业信息使用混乱、商业机密外泄，保障企业利益不受损害。

（六）优化中小企业内部审计的监督作用

内部审计人员要对信息化后的企业进行深入的了解，区分企业现阶段的运营模式与原运营模式的异同，在对企业进行审计时做到“有重点、有计划、有步骤、有成效”。同时，企业也可以通过社会审计对企业的运行进行监督，降低企业的营运风险，提高中小企业的经营效益。

信息系统在中小企业的应用，使得企业的运行方式和渠道发生了很多变化，信息传递的快速化，授权审批的数字化，信息法制的滞后性，各种信息化带来的变数都需要审计人员从中做出判断，收集审计证据，最终发表审计意见。因此，为了保证企业的经营运行，企业要对内部审计人员针对中小企业自身的特点进行法规、审计技术和信息系统操作的专门培训，提高审计人员的素质，保障内部控制监督环节起到应有的作用。