基于信息环境下国企内部控制的加强与完善
2019-06-11杨欢
杨欢
企业内部控制是指经济单位和各个组织在经济活动中建立的一种相互制约的业务组织形式和职责分工制度。随着信息技术的不断发展和应用,传统管理模式下的内部控制环境和控制方式均发生较大变化,因此,要进一步完善信息环境下的内部控制,国有企业应该重视电子数据和系统操作对内部控制的重要影响,通过充分实现人工和计算机技术的有效结合,强化事前、事中、事后全环节监督。本文结合信息环境下国企内部控制实施现状,深入分析了当前存在的主要问题,并提出了完善策略,用以促进信息环境下国企内部控制管理水平的提升。
一、信息环境下国企内部控制存在的主要问题
(一)员工缺乏内控意识和风险识别能力
日常经营管理和财务核算中,国有企业普遍使用了较为先进的信息系统,在实际操作过程中,存在部分人员责任意识缺乏、系统操作不熟练,以及风险识别能力不足等情况,严重影响了内部控制作用的发挥。在信息系统管控模式下,需要采用恰当的密码才能进入内部系统,由于系统类别较多,能够进入系统的人员较为繁杂,一旦权限分配不够明确且未实施牵制措施,对于一些保密意识缺乏却拥有进入系统权限的工作人员来说,他们很可能有意无意泄露信息,更為严重的是部分工作人员直接将系统密码泄露,使得无权限人员可以随意进入企业内部系统进行信息收集,导致国有企业利益受到严重危害。此外,由于目前信息系统管理人员的专业素质不高,系统风险识别能力和防范能力欠缺,一旦系统出现漏洞无法进行及时、恰当的挽救,将直接导致内部控制措施失效。
(二)内部审计和控制难度大
在国有企业内部开展审计工作时,信息系统也会暴露诸多缺点,如无法进行系统操作过程记忆保留,审计过程中即使发现问题,也难以准确判断出现问题的具体环节,导致责任追究难度加大,一旦责任人追究不及时或责任追究不了了之,违规操作的现象会更加频繁,甚至会导致失控的局面,严重影响了内部审计工作的正常运行。在审计过程中,财务控制这一方面,系统会自动将账目信息合成,如果在一开始的环节中没有进行审核,那么还是会有失误情况的出现[1]。因此,由于某些固有缺陷的存在,虽然信息系统可以提升数据处理效率,但在某些方面不具备人工操作的优点,例如可控性。然而,审计过程的特点是,如果一个环节出现错误,那么后面的工作将没有意义,所以需要有科学的业绩评价体系,对企业的各个方面进行准确及时的监督。如果在评价的过程中出现问题,就可以及时的解决问题,并且提升控制的水平。
二、基于信息环境下国企内部控制加强和完善措施
(一)系统提升相关岗位人员的专业能力
要确保信息环境下国有企业内部控制正常运行,需系统抓好员工内部控制意识和岗位能力提升。分层培训提升全员内部控制意识。针对管理层和实施层分别开展培训,通过分层培训,让管理层认识到内部控制不仅是强化日常管理的“家规法典”,更是风险防控的有效屏障,并注重随同信息化管理水平的提升同步更新日常管理体制;让全体员工充分了解本岗位的内部控制要求,以及哪些控制环节是需要借助信息系统实现等。专题培训增强保密意识。聘请保密专家开展专题培训,将理论与实际有效结合,特别是通过大量的信息系统保密事件剖析和违规人员处置案例分析,增强全体人员的保密意识,掌握本岗位的保密风险点。加大投入培养或引入复合型人才。结合企业规模及管理现状,通过培养或引入等人才管理机制,培养一批既懂财务管理,又懂信息系统的复合型人才,为提升信息环境下的内部控制奠定基础。
(二)结合信息化要求完善管理体制
随着国有企业信息化程度的逐步提升,与之相匹配的企业管理体制应不断更新和完善。增强信息系统风险控制能力。国有企业的业务内容要包括对企业的风险控制部分,建立相应的风险控制分析体系,此外,还要结合会计人员的工作内容,分析自身存在的缺点与不足,对外部因素进行合理的制约,分析企业所会面临的经营状况与风险[2]。提升审计人员信息系统应用水平。在信息化发展背景下,要不断强化内部审计制度,提升审计部门的监督职能,给予审计部门信息系统应用相关权限,包括系统数据和资金往来等信息查询功能。同时,审计工作开展过程中,不仅仅是只对财务数据进行分析检查,还应重点对信息系统用户权限分配是否落实不相容岗位分离要求、信息系统是否存在人为后台修改数据、系统数据访问是否正常等方面进行重点抽检。科学设计信息系统管控功能。信息化建设的过程中,要持续增强财务数据的集成化处理程度,通过系统功能设置,实现不相容岗位权限分离,对系统储存数据定期进行备份和分析,提高数据存储移交的稳定性和安全性。
(三)健全完善内部控制业务管控流程
信息化管理的深入推进,部分人工操作流程和管控措施不断被信息系统替代,原有内部控制业务流程的管控措施不能满足信息化管理要求,需要基于当前信息化管理环境重新构建业务控制流程,从信息化控制点的操作权限分配、系统准入密码设置要求、系统操作频率、系统数据传递、数据储存、系统运行有效性评价等方面重点设置管控要求。同时,为了便于事后追究违规操作责任,在信息系统开发初期,应考虑设计系统痕迹管理功能,即无论是何种用户、何时何地登录系统、进行何种系统操作,均应实现可追索的系统功能。
(四)完善信息系统风险预警功能
信息环境下的内部控制,可充分利用信息系统的独有优势,建立和完善信息系统的风险预警功能,减少舞弊和违规操作的可能性。如信息系统登录密码的管控上,一旦输入密码导致无法登录超过规定次数,系统将自动将相应用户权限进行锁定,避免无权限人员违规登录系统。部分量化数据指标,可充分利用信息化手段进行管控,如日常成本费用预算的管控,按照预算周期在系统内下达预算,一旦超出下达预算,系统将无法进行相应账务处理;客户信用的管控上,某一客户的信用额度和信用周期一旦确定并在系统上进行维护,超出既定信用的业务将无法完成销售处理。
(五)强化系统安全和信息保密管理
基于信息化环境下的内部控制,无论系统设计及控制措施设计多么完善,一旦系统出现安全漏洞或信息泄密,必将给企业正常生产经营带来致命打击。系统安全管理上,为避免系统数据丢失,应建立系统数据定期备份机制,将重要电子数据定期进行备份;为避免系统被网络病毒攻击,应使用先进的防火墙技术,定期进行杀毒处理,对企业的信息软件、硬件进行持续更新,并对资金支付、发票开具等重要设备进行专人专机管理。信息保密管理上,应通过系统功能设计确保不相容岗位分离的基础上,建立信息系统用户和密码管理策略,如系统用户增减的审批流程,密码设置、修改的具体要求等。
三、结论
内部控制的加强与完善可以为企业的发展提供更好的保障,使得企业能够迅速发现自身管理存在的问题,及时堵塞管理漏洞,促进企业步入正轨,长久健康地发展。随着信息化应用水平的不断深入,部分传统控制手段和措施已无法满足现有管理要求,如何加强和提升信息化环境下的内部控制水平,是一个系统工程,需要从控制环境、信息系统功能设计、配套管理流程、系统控制具体要求等方面统筹考虑,实现内部控制实施在充分发挥信息化管控模式优势的基础上,将信息系统管控的弊病尽量减少或消除。
参考文献:
[1]王海林.信息技术环境下企业内部控制建设的思考[J].中国注册会计师,2015 (04).
[2]汤晓建.内部控制、制度环境与企业社会责任信息披露质量[J].会计与经济研究,2016,30 (02).