企业信息化实施的内部控制问题研究
2017-06-16高曦
高曦
【摘 要】 随着信息技术的发展,信息对企业的作用越来越重要,国内外相关机构十分重视企业信息化的发展。企业信息化能够简化业务流程,提高企业的经营效率和效果,为企业的发展带来财富。但是,企业信息化的实施也会导致许多问题,文章以销售业务为例,以事物发展过程的事前控制、事中控制和事后控制为线索,重点论述企业信息化实施过程中面临的内部控制问题,进而从内部控制五要素(内部环境、风险评估、控制活动、信息系统和监督)方面提出加强企业信息化过程中内部控制的建议。
【关键词】 企业信息化; 内部控制; 销售业务
【中图分类号】 F272.5 【文献标识码】 A 【文章编号】 1004-5937(2017)12-0043-03
一、引言
未来学家托夫勒在《第三次浪潮》中,曾把人类发展史化分为“农业文明”“工业文明”“信息社会”。信息社会的主要财富是信息,具备先进的信息技术,获得更多的信息,也就能掌握更多的财富[1]。信息对企业的重要作用不言而喻,企业各个环节都离不开信息的支撑,信息技术的使用推动了信息在企业中的高速运转,简化了企业经营业务的流程,提高了企业的经营效率和效果,为企业的发展带来了财富。虽然信息技术的使用能够为企业的发展添砖加瓦,但是如果信息技术利用不当也会给企业造成不利的影响:广东标致汽车公司投入巨资促进企业信息网的发展,但是主系统中的十几个功能模块中,启用的不到软件内涵的10%,巨资的投入并没有发挥网络效益;河南许继集团由于企业经营结构的重大调整未考虑到对ERP项目的调整,使得企业信息化的宏伟目标夭折。信息技术的不当使用给企业带来上述问题的同时,也会增加企业的信息风险,以及内部控制负担。企业内部控制系统与管理信息系统是企业的两个重要子系统,内部控制系统为信息系统注入理念和内容,信息系统为内部控制系统提供信息和载体[2]。本文从内部控制角度入手,分析企业信息化实施过程中面临的内部控制问题,并为此提出相应的建议。
二、国内外对企业信息化的重视
由于信息化对企业的重要作用,国内外相关机构都给予了高度的重视。信息及相关技术控制目标(COBIT)是信息系统审计和控制联合会(ISACA)制定的面向过程的信息系统审计和评价的标准,为目前国际公认的权威安全与信息技术管理和控制标准[3]。该标准辅助企业进行IT治理,自1996年问世以来,不断更新升级,2012年已经发行第五个版本。COBIT清除了管理层、IT与审计之间的沟通障碍,并且加强了管理层对控制的认识和支持,依据COBIT出具的审计报告更容易得到管理层的认可[4]。我国内部控制委员会也十分重视企业信息化中的内部控制问题,《企业内部控制基本规范》中强调企业应当充分利用信息技术促进信息的集成与共享,同时也应当防范风险,保障信息系统的安全稳定运行。《企业内部控制应用指引》尤其是《企业内部控制应用指引——第18号信息系统》的颁布,强调企业应当重视信息系统的重要作用。
三、企业信息化过程中内部控制问题分析
信息技术的广泛应用对企业的生产经营产生了重大的影响,简化流程、方便管理的同时,也给企业的内部控制管理带来了一定的风险。骆良彬等[4]从内部控制五要素的角度指出内部控制的问题主要有控制环境更加复杂、风险评估难度加大、控制活动容易出现漏洞、信息沟通不顺畅以及缺乏适当的监督。本文以销售业务为例,从事物发展过程的事前控制、事中控制和事后控制角度对企业信息化过程中的内部控制问题进行具体分析。销售业务涉及销售、发货、收款等多个环节,信息技术的使用简化了企业销售业务的流程,提高了企业的经营效率,但是给企业也带来了内部控制的诸多风险。
(一)事前控制更加复杂
1.内部环境的复杂多变
销售业务的发生需要良好的内部环境,企业信息化增加了企业内部销售环境的复杂性,企业内部销售环境存在安全隐患。随着信息技术的发展,信息对于企业的价值越来越大,由于网络的无形性以及匿名性,滋生了内部管理人员可能将企业的重要销售政策、策略以及对市场的预测情况等重要销售信息变卖给竞争对手的不正当行为,也可能促使企业信息管理人员收受贿赂,发生篡改客户信息等行为,给企业造成财产损失。由于互联网的大众化以及网络风险的存在,登录者只需一个登录的密码就可以进入企业的信息系统,信息技术的易操作性和不留痕迹的特点,为恶意访问者提供了方便,他们可能通过入侵网络系统,窃取企业的重要销售渠道等信息,或者是对企业重要的客户信息等进行修改,干扰企业的信息系统。
2.风险评估的难度加大
企业信息化拓宽了销售业务风险评估范围,不仅仅局限于传统的销售风险评估。风险评估是对企业实现内部控制目标时可能产生的不利影响进行分析和辨认,传统销售业务的风险评估行为主要针对企业的销售政策和策略是否恰当,市场预测是否准确,销售渠道的管理以及客户信用档案的管理等风险进行评估。但是信息技术与企业的生产经营进行结合之后,企业风险评估增加了对企业信息系统进行评估的问题。从企业信息的初始化问题,信息安全访问的控制等环节,信息系统的安全性和可靠性,信息系统对企业资源的协调分配、整理能力等都要进行评估分析,而这些风险评估过程是需要不同专业背景的人员才能完成的,这无疑加大了企业风险评估的难度和复杂性。
(二)事中控制风险加大
1.具体业务流程易出漏洞
信息技术在简化企业业务处理流程,方便员工进行数据操作时,也给企业带来了相应的风险。在信息化的环境下,除了初始信息需要员工进行录入之外,计算机信息系统可以自行处理财务报表的生成等多个环节,简化了财务处理流程。然而信息技术的使用也加大了業务处理的风险,如果信息的初始输入存在错误,错误将很难被发现,并且会影响后续业务处理环节的正确性,影响企业的收入及利润,严重情况下可能导致虚假财务报表的产生。信息技术的使用也会增加员工的惰性,比如在记账凭证审核时,存在“批审核”功能,这一功能虽然会提高工作人员的效率,但是也可能诱导员工在并未审核凭证的情况下,完成这一功能。由于在信息化环境下,并不能够反映出员工的操作痕迹,因此诸如此类的错误并不能够被发现。
2.信息沟通的不顺畅
企业信息化存在比较大的一个问题是“信息孤岛”的问题。由于ERP系统是采用几个模块进行设计的,各个模块启用时间不同、使用人员不同,同一数据由不同部门录入也可能各不相同,造成信息的混乱。不同部门之间各自为政,相关部门人员在进行数据处理时工作量比较大,影响了工作效率和质量。数据的不统一、信息的不一致会影响整个企业的有效沟通,造成信息沟通不顺畅。
(三)事后控制需要加强
销售业务完成后,还要进行相应的事后完善和处理,这主要指的是相关数据信息的整理和保存。数据是企业的重要资源,数据的备份和保存应作为内部控制的重要环节。企业的数据信息特别繁杂,备份企业数据需要大量的存储空间。与纸质信息有所不同,由于电子信息的存储介质不稳定,一旦操作失误就会丧失企业的重要商业信息,比如在导出企业销售业务信息时,可能由于错点“删除”等按钮,导致企业流失客户档案、应收账款等重要资源。同时由于存储介质比较小巧,特别容易被复制或者窃取,因此容易引起商业机密的泄露,对企业造成不可估量的损失。
四、完善企业信息化过程中内部控制的建议
如前所述,企业信息化会产生许多不同于传统经营环境的内部控制问题,本部分将针对前一部分所提出的内部控制问题提出相应的完善建议,从内部控制五要素的角度加强企业信息化过程中的内部控制。
(一)营造良好的内部环境
企业信息化需要良好的内部环境作为支撑,企业应该建立诚信的企业文化氛围、恰当可行的奖惩政策。加强企业成员的价值观念、诚信水平和职业道德水平的建设,缓解企业信息化过程中由于内部环境造成内控缺陷的负面影响。以经典“胡萝卜加大棒”的措施對企业员工进行鼓励和约束,确保企业内部控制建设的顺利进行。对于精简企业流程、为企业信息化建设做出突出贡献的技术或财务人员以及举报企业舞弊人员等进行相应的激励,对于利用信息技术的漏洞牟取私利损害企业经济利益的人员进行严惩,并且要求承担相应的法律责任。
(二)完善企业风险评估机制
企业信息化增加了内部控制的风险评估难度,既要评估传统经营业务的风险,还要评估信息系统的风险,以及信息系统与业务系统整合风险。信息化环境下,企业的风险评估需要不同专业背景的人员配合,因此企业应组建风险评估部门,完善部门人员知识构成,进行企业的风险评估工作,建立企业信息化基础上的风险评估机制。不仅要建立信息系统安全管理的制度和政策,而且要定期对企业信息系统的运行情况以及信息系统与业务系统的结合情况进行评价,建立健全问责制度,加强对计算机软硬件的管理和控制,评估企业面临的整体风险。
(三)完善控制活动的环节控制
建立良好的控制系统,确保数据的初始输入准确无误;重视信息技术的控制,加强软件的应用管理。企业应该参与到软件的开发阶段,将信息系统与企业总体战略,信息系统与企业的业务处理过程紧密地结合起来。在软件开发之初,引入稽核监督机制,对于员工的数据操作记录和痕迹进行后台的记录与备份,防止员工利用信息化环境下无法反映业务痕迹这一特点简化必要的业务流程。同时应在软件开发阶段,进行不同员工的权限设置,建立双重身份审核制度,防止私自利用信息系统的漏洞进行会计处理,篡改财务数据的行为。
(四)建立有效的信息沟通系统
建立有效的信息沟通系统,促使企业信息化战略与总战略协调一致,推进各部门的交流与合作。很多企业仅把信息化作为一种数据处理的工具,追求如何通过技术更快捷地处理业务,忽略了企业的管理思想,使得企业的信息化与管理脱节。信息化应该与企业的管理协调发展,企业各部门的工作都服从和服务于企业的整体战略,因此企业的信息化战略应该和企业的整体战略一致。企业各部门应该按照业务需要识别信息使用者所需要的信息,对信息进行收集、加工和处理,进行数据共享,使得其他部门信息使用者能够及时使用信息,避免重复录入信息,或者录入信息口径不一致。
(五)规范监督管理机制
信息化建设的实施和发展离不开监督管理机制的约束,规范监督管理机制不仅需要企业的配合,也需要政府部门及专业审计机构的支持。企业内部应该设有针对企业信息化的监督部门,制定企业信息化发展的规章制度,定期检查企业信息化进程,监督检查企业信息化的成果。政府部门需要完善相关审计法规,在原有审计规范的基础上,出台企业信息技术管理相关规范。目前我国的网站审计比较落后,应该建立切实可行的网站审计规范,促进网站审计的发展。注册会计师等审计人员应该完善自己的知识结构,学习对信息化环境下的电子凭证等会计信息的审计。
五、总结
信息技术在促进企业发展的同时,也给企业的内部控制带来了风险。本文以销售业务为例,从事前控制、事中控制和事后控制的角度对企业信息化过程中的内部控制问题进行分析,发现企业信息化使企业的事前控制更加复杂,事中控制风险加大,事后控制需要更加完善。企业信息化虽然给企业带来了一定的内部控制风险,但是并不能舍弃信息化,舍弃信息技术在企业中的运用。应该针对企业信息化过程中存在的问题,加强和完善企业内部控制,使企业内部控制系统和管理信息系统完美结合,促进企业的发展。因此,本文针对前文提出的问题,从内部控制五要素的角度提出完善建议:企业应当营造良好的内部控制环境;完善风险评估机制和控制活动的环节控制;建立有效的信息沟通系统;规范监督管理机制。
【参考文献】
[1] 刘新华.关于加快我国信息化建设的探讨[J].管理世界,1997(2):113-118,125.
[2] 韩晓梅.朱国泓,徐相伟,内控信息化的动态演进——苏州高新1994—2011年纵向案例研究[J].会计研究,2015(1):76-81,97.
[3] 陈婉玲,袁若宾.COBIT及其在信息系统控制与审计中的应用[J].审计研究,2006(S1):93-96,104.
[4] 骆良彬,张白.企业信息化过程中内部控制问题研究[J].会计研究,2008(5):69-75.
[5] 唐文.制造业企业信息化实施路径的有效选择[J].会计之友,2014(9):100-102.