□卢德湖（副教授）(闽西职业技术学院 福建龙岩 364021)

一、研究背景

企业信息化是指企业以业务流程优化或重组为基础，利用计算机技术、网络技术和数据库技术，控制和集成管理企业生产经营活动中的所有信息，整合企业现有的生产、经营、设计、制造、管理，及时为企业的管理层、决策层、基层执行者提供准确而有效的数据信息，实现企业内外部信息的充分共享和有效利用，提高企业的经济效益和市场竞争能力。随着企业信息化的快速发展，我国中小企业的经营环境在不断改变。信息化与中小企业内控坏境、风险评估、控制活动、信息系统与沟通、内部监督关系密切，在给中小企业内部控制建设带来机遇的同时，也给中小企业带来了新的挑战。加强信息化环境下中小企业内部控制研究具有深刻的现实意义。

当前我国正处于社会经济转型时期，中小企业多如繁星。国家统计局网站的统计数字显示，中小企业占企业法人总数的95%还要多，中小企业的最终产品和服务的价值占全国GDP总量的50%以上，对国民经济和社会发展做出了巨大的贡献，中小企业在市场经济中的地位和作用日益突出，成为最活跃、最具增长潜力的经济力量。

内部控制是企业管理工作的一项重要组成部分，也是现代中小企业对经济活动进行管理所普遍采用的一种控制机制。作为企业管理的重要组成部分，内部控制对加强会计监督、提升企业会计信息质量、提升企业管理效率具有重要作用。中小企业内部控制是指为了保证其经营活动合法合规、企业资产安全完整、财务报告的真实可靠、经营的效率和效果，利用企业内部分工相互联系、相互制约的一种具有控制职能的方式、措施和程序，并且予以规范化及系统化、使之成为一个严密的、完整的体系。

我国中小企业数量多、规模小、组织结构相对简单。在现实中，我国中小企业中有相当一部分内部控制制度不健全，各项制度不够完善，导致内部控制形同虚设。随着经济全球化和科学技术的快速发展，中小企业面临的经营环境将更加复杂多变，内部控制的重要性日益显现出来。在信息化日益普及的情况下，如果不能及时把握内部控制的新动向、采取有针对性的对策，势必对中小企业发展带来不利影响。

二、国内外研究回顾

发达国家的中小企业信息化建设取得了巨大成就，逐渐成为经济发展和经济结构调整的创新点。但是，人们也开始注意到信息化给发展中的中小企业带来的潜在风险，特别是信息化对中小企业内部控制的影响问题。在中小企业加快发展的信息化进程中，如何促使信息化应用与内部控制建设相结合，很早就引起实务界和理论界的重视，欧美国家的研究可追溯到信息系统的审计。20世纪国际商业机器公司提出了在电子数据处理环境下的内部控制和审计问题。1967年，国际信息系统审计与控制协会成立，在全球100多个国家和地区成立160个分会，致力于制定和颁布一系列内部控制审计准则与实务指南，用来指引信息系统的安全与风险防范工作。1974年，美国注册会计师协会《内部管理的调查与评价对EDP的影响》确立了电子数据实施审计的标准。1996年，ISACA公布了 《信息系统审计的框架体系标准》，目前已作为全球通用的、具有权威性的信息系统控制和审计标准。21世纪初期，国外对信息系统内部控制的理论与方法问题的研究，取得了相当大的进展，如2006年Hardy等发表了有关COBIT最新标准，在管理控制方面，ITGI和IOFS等提出并研究IT治理问题。人们把这些研究成果不仅在大型企业信息化进程中推广，而且还把研究成果运用到中小企业内部控制信息化建设进程中。

在我国，中小企业作为市场经济主体的一部分，已成为国民经济发展的中间力量。2008年2月，国家发展和改革委员会、国务院信息化工作办公室、信息产业部三部委发布的《中国中小企业信息化发展报告和调查报告》指出，随着信息化在中小企业的稳步推进，保证信息系统安全、稳定运行已成为企业内部控制制度建设的重要内容；2008年5月实施的 “中小企业信息化推进工程”，揭开了中小企业信息化发展的研究序幕。

关于企业内部控制信息化研究，刘静（2005）等结合COSO报告对信息化环境下内部控制的难题进行研究，并提出完善内部控制环境的建议；章铁生（2007）研究了有关国有大中型企业内部控制规范信息技术状况，提出我国在制定内部控制规范时应考虑信息技术问题。王海林（2008）通过研究IT对内部控制的影响，构建了由内部控制系统、内部控制系统的工程实施体系和内部控制系统的评价体系组成的IT环境下的内部控制模式。近年来，研究者们在信息系统内部控制研究的过程中，试图从公司治理的角度来研究企业信息化进程中内部控制的问题，如钟晓东 （2009）、袁丽杰等（2010）、刘中华等（2012），但是，上述大多数研究基本上都是针对大型的企业，而中小企业内部控制信息化研究则极为少见。

三、信息化对中小企业内部控制的影响

信息化在提高中小企业内部控制效率的同时，对企业的控制环境、风险评估、控制活动、信息系统与沟通、内部监督也产生较大的影响。

(一)信息化对内控环境的影响

内控环境提供企业纪律与架构，塑造企业文化，并影响企业员工的控制意识，是企业建立和实施内部控制的基础。内控环境的因素具体包括：诚信的原则和道德价值观、评定员工的能力、董事会和审计委员会、管理哲学和经营风格、组织结构、责任的分配与授权、人力资源政策及实务。信息化为完善和规范公司的治理结构提供了有利条件。伴随着信息系统在企业的广泛应用，企业的决策者、执行者和监督者等各利益相关方通过信息系统能更加全面及时地了解企业的信息。信息化的应用使信息在企业传递更加快捷，促使企业的组织结构向“扁平化”转变，组织的层级减少，管理效率提升。在信息化环境下，企业的机构设置和权责分配应该适应信息化的要求，信息系统要满足各不同部门的需求，要对功能授权和操作权限进行严格的设置。信息化为企业创建宽松和谐的环境提供了基础，促进特色文化的形成。

目前，我国中小企业控制环境主要存在以下问题：（1）内部控制意识不强。我国中小企业管理人员对内部控制重要性的认识不够，往往错误地认为内部控制仅仅是制度约束，仅凭直观把握企业的管理和运作。中小企业普遍存在内部控制意识不强的问题，管理者和员工偏向依个人喜好、习惯办事。（2）企业管理体制和机构设置不健全。我国的中小企业大部分带有家族式管理色彩，相当多中小企业没有实现所有权和经营权的分离。此外，由于受规模限制和成本约束，中小企业机构设置往往比较简单，内部人控制比较严重。经常出现一个员工身兼数职和一个部门同时承担多种职能的情况，使得内部控制的执行基础变得不合理、不牢固。（3）人力资源政策及执行不科学。首先，中小企业人力资源管理具有很强的随意性。人员招聘和任用方面存在大量 “任人唯亲、关系至上”的情况，难以实现最优配置。其次，在员工的教育和培训方面，中小企业也与大企业存在很大差距。

(二)信息化对风险评估的影响

风险是普遍存在的，公司在日常经营中会面临各种内外部风险，在信息化环境下，随着信息化水平的提高、企业之间的竞争加剧，企业面临的风险也不断增多，内部控制的实施和执行更加重要。

风险评估作为内部控制要素之一，在企业内部控制中起着非常重要的作用。先进的信息技术为企业进行风险评估提供了有效的工具，利用先进的信息系统，可以帮助企业收集和处理海量的关于企业风险的数据和信息，为企业风险的识别和评估提供依据。在信息系统中形成风险评估和识别模型，实现识别和评估的自动化，对风险信息进行全方位的呈现，对重大风险进行风险预警。企业可以根据评估的结果，制定及时有效的应对方案。而且，信息技术的广泛应用需要企业组织结构进行调整，对业务流程进行重组，业务流程的自动化减少了人工舞弊的风险。但是，由于对信息系统的依赖性增加，企业的信息化风险也在不断提高，信息的失真和系统的失灵将给企业带来巨大的损失。所以，企业要建立完善的IT治理机制，防控企业信息化的风险。

在全面风险管理的风险识别和评估阶段，可以通过信息化系统提供一些工具和量化一些标准，而我国大部分中小企业因为信息化水平受限，其投资决策、经营决定、销售策略、财务决策等都带有很强的主观臆断和盲目性，没有建立起规范的风险分析和风险管理机制，对风险的管理往往是流于事后，做不到事前防范、提前管理，这给中小企业经营和发展带来很大的风险，往往需要付出高昂代价来度过危机，甚至因此倒闭。此外，中小企业通常以管理者的风险偏好和风险承受度为准则进行风险管理，缺乏科学依据，一旦管理者判断失误则容易将企业置于险境。

(三)信息化对控制活动的影响

控制活动，是确保管理层指令得以执行的政策及程序，如核准、授权、验证、调节、复核营业绩效、保障资产安全及职务分工等。在信息化环境下，企业要对组织结构进行调整，对业务流程进行重组，必然会对内部控制活动产生影响，控制活动的对象不仅包含企业的生产、管理和经营，还包含各类信息系统。通过对信息系统进行控制，确保信息系统的正常运行，防止信息系统风险。控制活动是内部控制中关键的一环，其设计与执行情况都在很大程度上决定着内部控制的有效性。控制活动主要应包括不相容职责分离、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。

目前我国中小企业的内部控制活动的设计不全面且细化程度不高，控制活动各环节间缺乏连贯性和衔接性。此外，控制活动的执行也有所欠缺，如一人同时负责支票和印章保管，授权审批简化、口头化，审批流程执行不严等，与内部控制原则明显背离的行为还广泛存在于中小企业中，严重影响企业资产和生产经营的安全性。

(四)信息化对信息与沟通的影响

企业在其经营过程中，需按某种形式辨识、取得确切的信息，并进行沟通，以使员工能够履行其责任。信息系统不仅处理企业内部所产生的信息，同时也处理与外部的事项、活动及环境等有关的信息。企业所有员工需要从最高管理层清楚地获取承担控制责任的信息，而且必须有向上级部门沟通重要信息的方法和途径，并与外界顾客、供应商、政府主管机关和股东等进行有效的沟通。

信息化为企业内部控制的信息与沟通提供了有利条件。在信息化环境下，信息可以方便、快捷地在各层级之间进行传递，大大提升信息传递的效率。凭借信息系统，董事会、监事会、管理层和全体员工在自己的权限范围内，可以及时、准确获得相关信息，他们之间可以方便沟通，提升了信息传递的效率，减少了信息失真的情况。通过有效地沟通，员工更加明确目标和责任，更好地履行自己的职责。

目前我国中小企业内部信息沟通主要存在以下问题：（1）对外对内信息沟通不畅。要有效实施内部控制，畅通的信息沟通渠道不可缺少。一个良好的信息系统能确保组织中每个人均清楚地知道其所承担的特定职务。而很多单位正是由于缺乏一个有效的信息反馈机制，内部控制制度在实际中没得到遵循的情况不能有效反馈至领导层，违规行为得不到及时纠正，从而导致内部控制制度形同虚设。由于我国政策制度并未硬性要求非上市中小企业披露公司年报，因此绝大多数中小企业对外公布信息的动力不足，对外信息沟通不畅的问题普遍存在。（2）指令式、片面单向信息传递模式占主导。中小企业的管理模式大多是片面的指令下达，管理者忽略了信息的反馈，对沟通的双向性认识不足，难以实现上下级以及各部门间的有效沟通和信息共享。（3）信息沟通渠道不足。首先，很多中小企业管理者未能做到有意识地通过协商会议、报告制度等方式来建设和完善企业的信息沟通渠道和交流方式；其次，受自身规模和成本限制，许多中小企业没能建立起信息管理系统，难以通过现代科技手段实现快速信息管理，容易造成信息反馈滞后、信息交流不足。

(五)信息化对内部监督的影响

内部监督是企业对内部控制的健全性、合理性和有效性进行监督检查与评估，形成书面报告并做出相应处理的过程，是实施内部控制的重要保证。企业的内部控制是一个动态循环过程，包括设计、执行、评价和改进。这就需要内部监督对内部控制的效果进行评价，将其与内部控制目标进行对比，反馈两者的差距，然后进行相应的改进。在信息化环境下，企业利用专门的信息系统，将一部分内部监督实现自动化，提高监督的效果和效率。其中控制自我评估作为测试和评价内部控制效果的关键方法，应该集成到信息系统中。

目前我国中小企业内部监督主要存在以下问题：（1）内部审计等监督部门缺失。根据统计显示，我国大多数中小企业并未设立对企业提高效率、改善管理有着重要意义的独立内部审计部门，或是虽然设立了内部审计部门，但也只是流于形式，有的企业负责内部审计工作的人员由财会人员兼任，自己监督自己；有的企业内部审计只是走过场，内部审计部门形同虚设，不能发挥其应有的监督效用。（2）内部审计独立性不强。独立性是内部审计的重要特征，其大小决定了内部审计职能的发挥。很多中小企业甚至不设审计机构和人员，只是由会计兼任。再加上中小企业一向以亲情和朋友关系来管理、控制公司，内部审计级别不高，人际关系又复杂，内部审计根本无法展开，独立性也就无从谈起。这种内审组织体制往往因利益关系的制约和人际关系的影响，使内审机构及其人员工作的独立性不强，不能客观、真实、公正、深入地开展工作，做出的审计处理决定也因管理体制上的制约而得不到有效的贯彻、执行。（3）内部审计范围狭窄。不管从时间范围还是空间范围来看，我国现行的内部审计范围非常狭窄。从时间上来看，我国中小企业是事后审计。另外部分企业的内部审计仅限于企业财务会计审计方面，而内部审计的主要职能就是“查错防弊”。

四、推进信息化环境下中小企业内部控制策略

完善的内部控制会极大地提升企业的竞争力。中小企业管理层要加强对内部控制的重视，引进复合型人才，完善内部控制体系，更好地实现信息化。

(一)引进复合型人才，定期进行培训

强有力的内部控制必须和人融合在一起，信息化给企业的会计人员提出了更高的要求。对中小企业来说，一是应该引进高素质复合型人才。二是应该对现有员工进行专业的培训，以适应信息化环境下岗位的新要求。而且由于信息化更新的速度相当快，对员工的培训应该是企业长期工作的一部分。中小企业应该根据自身的条件，制定一套切实可行的培训制度，对不同岗位的员工进行不同的培训，而且要对员工进行定期考核，同时加强员工的职业道德教育，防止员工舞弊现象的发生。

(二)完善企业内部控制体系，更好地实现信息化

中小企业要提高认识，建立一个完善的适合本单位的内部控制体系。而且，为了保证数据的安全性，要定期对数据进行备份并检查，对特别重要的数据要进行多级备份。对储存设备要做好保管、防潮、防火，防止损坏丢失重要信息资料。另外，对系统进行维护，必须要做到严格审批，防止程序被非法篡改。

(三)管理层要重视建立有效的内部控制

一个企业内部控制环境的好坏主要取决于企业的管理层。企业的内部控制是否有效与企业高层是否重视，是否带头执行有很大的关系。中小企业的管理层应该充分认识建立一套完整有效内部控制体系的重要性及必要性，要不断提高自己的文化素质和管理能力，更新管理理念，实行科学管理，这是中小企业内部控制体系能否很好地发挥作用的关键一点。

(四)监控与操作分离，强化系统内部的相互制约，降低风险

职责分离作为内部控制的一个重要组成部分。为了强化系统的内部控制，可以在系统内分设操作和监控两个岗位，对同一笔业务进行多方备份。一旦主管人员或审计人员对一些数据产生怀疑时，就可以利用监控人员备份的原始数据进行分析调查、查明真伪。系统分析、计算机操作、程序设计、数据输入等职务应当分离，系统操作、管理和维护人员这三种不相容职务应当分离，互不兼任。信息系统各个工作人员要明确职责分工，要制定岗位责任制度，每个岗位都要得到一定的授权，并用密码进行控制。对操作密码要加强管理，指定专人负责定期更换操作密码。通过设立一种相互制约和相互监督的机制来保障信息的真实可靠，减少舞弊的可能性。

五、结语

当前，我国中小企业内部控制信息化水平相对较低，而且应用层次差异比较大，内部控制信息化建设总体仍然处于初级阶段。发挥中小企业在经济发展中的巨大作用，大力推进企业信息化势在必行。但是由于中小企业在人才、资金和技术各个方面有着先天的不足，加上中小企业管理层对内部控制不够重视，内部控制信息化建设严重滞后。因此，中小企业要从各个方面努力，构建以内部环境为重要基础、以风险评估为重要环节、以控制活动为重要手段、以信息与沟通为重要条件、以内部监督为重要保证，相互联系、相互促进的五要素内部控制框架和完整的内部控制信息化体系，从而实现中小企业健康、可持续发展。