◎文/郑楚欢

一、引言

随着信息技术的更新迭代和企业管理的日益复杂化，内部控制逐渐成为保障企业可持续发展的重要措施。内部控制旨在通过制定和执行一系列规范、程序和措施，保护企业的资产安全、促进业务流程的有效运作、提高决策的准确性和可靠性， 确保企业遵守相关法律法规和规章制度。 然而，随着企业规模的扩大和业务范围的拓宽，传统的手工和纸质化的内部控制方式已无法满足企业的管理要求。 信息系统拥有高效、准确、自动化的数据处理能力、 实时的数据访问和分析功能以及跨部门和跨地域的信息共享和协同工作能力， 其广泛应用为企业内部控制提供了全新的机遇。

二、信息系统在企业内部控制中的作用

（一）信息系统在内部控制中的作用和影响

信息系统在企业内部控制中扮演着关键的角色。 首先， 它标准化和留痕的设置能帮助企业建立统一的规范和流程，明确各个环节的职责和权限，从而降低操作风险和错误的发生，让企业实时监控业务运作情况。 其次，信息系统的输出功能可以将处理好的数据和信息以适当的形式呈现给利益相关者。 一方面，能为管理层提供决策所需的信息，另一方面，也能将数据和信息传递给其他部门和外部合作伙伴，实现信息的共享和沟通。 最后，信息系统监管和审计的功能可以实时监控和审计业务流程及操作，发现潜在的问题和风险，并及时采取措施加以解决，纠正错误或处理异常，保障业务的正常进行。 综上，信息系统在企业内部控制中发挥着多重作用，一方面提高了业务流程的效率和准确性，另一方面加强了管理的可视性和监督性，从而提升了企业的整体控制能力和运营效果。

（二）信息系统与内部控制的协同发展

信息系统应具备安全性和可靠性， 保护数据和信息的安全、完整和准确性，以满足内部控制的要求。 其建设应充分考虑公司的目标， 将内部控制纳入信息系统建设的整个生命周期， 以保证系统设计和实施符合内部控制的要求，确保内部控制的执行得到有效承载和监督。

三、信息系统在企业内部控制中的应用

（一）访问控制

1.用户身份认证

用户身份认证作为一种有效的控制措施， 可以防止未经授权的访问和潜在的恶意行为。 它通过验证用户的身份来确保只有经过授权的用户才能访问特定的数据，从而提高数据的安全性，并让用户的行为变得可追溯。 良好的用户身份认证机制可以提高企业的整体安全水平，增强内部控制的可靠性和效率。

2.权限管理和访问控制策略

通过权限管理将用户按职责划分为不同的角色来确保角色得到标准化的权限， 并对角色的访问和操作权限进行明确以避免过度授权， 减少风险和错误操作的可能性。 需要定期审查用户的权限，根据业务和员工变动及时更新，确保权限与实际需要保持一致，以防止权限被滥用和泄露。

3.审计日志和监控

根据企业内部控制和监管要求， 配置审计日志和监控系统是一项重要的举措。 在配置过程中，需要设置适当的日志记录级别、存储位置和保护措施，以确保日志的完整性和安全性。 为了满足安全性需求，需要采用安全的存储方式，将审计日志按照分类进行保存，并对访问权限进行限制，以防止未经授权的访问和篡改。 同时，根据实际情况制定监控规则和警告机制， 通过对日志数据进行分析，及时识别和报告异常活动、潜在风险和安全事件。 此外，还需建立应急响应计划和流程，包括组织应急团队、事件分类和制定响应措施等， 以便在发生安全事件时及时采取相应的措施来应对和解决问题。 最后，定期审查审计日志和监控系统的配置及性能， 并根据实际情况和风险变化进行更新，以确保系统的有效性和安全性。 通过以上措施，企业可以有效防范潜在的安全威胁，并及时应对安全事件，保障信息系统的安全运行。

（二）提高数据完整性和准确性

1.数据输入和校验控制

在数据输入过程中， 需要验证输入数据的合法性和正确性。 首先，验证输入数据的格式是否符合标准，并检查输入数据的完整性和逻辑性以确保数据的合理性和完整性；此外，还应设立适当的异常处理机制，如果发生输入错误或不符合规则的情况， 可以向用户提供错误提示和警告信息，帮助他们进行修正；同时，需记录输入错误的详细信息并进行审核和复核， 以确保数据输入的准确性和完整性；最后，为数据输入人员提供相关的培训，培养他们对数据输入准确性的责任意识， 并遵循正确的流程和要求。 通过以上措施，可以提高数据输入的质量和准确性，从而确保企业数据的有效管理和应用。

2.数据备份和恢复

制定备份策略并定期执行数据备份操作非常重要。首先，需根据数据变更的频率和重要性确定备份的频率；接着确定需要备份的数据范围，包括数据库、文件系统、应用程序等；然后，选择适当的备份介质和安全可靠的备份位置，避免与原始数据存储在同一地点，以防止单点故障或灾难性事件。 其次，需确定备份和恢复策略并定期进行数据恢复测试，验证备份的可用性和完整性，及时发现备份故障或恢复问题，并及时采取纠正措施。 最后，合理管理备份数据的存储介质，包括存储介质的可靠性、安全性和容量规划，确保备份介质的及时更新和维护，并采取措施保护备份数据的机密性和完整性。

（三）业务流程控制

1.流程自动化和工作流程管理

自动化流程在企业中具有诸多优势。 首先，它能减少人工操作，加快审批速度，降低出错率，从而节约时间和资源，确保工作按照预定的规则和标准执行，减少人为错误的可能性。 其次，它提供实时的审批流程状态跟踪和监控，使管理者能够了解流程的进展情况，及时进行介入和调整。 通过流程自动化，企业能更容易地扩展和调整业务流程，以适应不断变化的业务需求。 为了实现这一目标，企业需要根据业务需求和目标， 设计清晰明确的工作流程，包括审批流程、工作顺序、参与者角色等，并将审批流程分配给适当的参与者。 参与者根据审批流程的优先级、时间要求和技能需求进行处理，实现跨部门的协同合作。此外，自动化流程可以实时跟踪和监控工作的状态、进度和质量，确保审批流程按时完成，并提供预警机制和异常处理措施。 最后，通过集成不同的数据源和系统，自动化流程实现数据的无缝传递和交互， 提供一个及时的通信和协作平台。 综上，自动化流程的应用能够提高企业的效率、准确性和协同合作能力，推动业务的顺利进行。

2.分工与权限控制

结合业务需求和组织结构， 考虑包括明确岗位职责和要求等，将企业的工作任务划分为不同的岗位或角色，根据员工的岗位或角色进行分工， 给予其访问和操作特定资源和数据的权限。 对员工的访问和操作进行限制和控制， 只有经过授权的员工可以访问和操作特定资源和数据，并对员工操作系统和数据的权限进行限制，例如，限制读取、写入、修改和删除等。 记录员工对系统和数据的操作日志，以便追踪和监控员工的行为，并在需要时进行审计和调查。

3.业务规则和审批流程设计

设计适用于特定业务模块的规则，例如，采购、生产、销售、财务等。 将规则划分为不同的类别，如将规则按业务流程划分为前置规则、后置规则、验证规则等，以便于管理和应用。 根据特定业务需求，确定审批流程的步骤、顺序和参与者，流程可以包括单一层级审批、多层级审批和并行审批等。 进行规则验证和测试优化，以使规则能够准确地反映业务需求和流程，确保规则能得到有效、准确地运行。 使用信息系统或工作流管理工具来支持业务规则和审批流程的设计、执行和监控，提高流程的自动化水平和效率， 将业务规则和审批流程与相关的信息系统进行集成，以实现数据的无缝传递和自动触发审批流程。 通过信息系统或工作流管理工具， 实时跟踪和监控审批流程的进展情况，包括当前审批状态、待审批人员、历史记录等，实施异常处理机制，对审批超时、审批拒绝等流程进行处理，以确保流程能顺利进行。

四、信息系统内部控制的优化和改进

（一）内部控制评估和审计

内部控制审计的过程涵盖了一系列关键步骤： 一是根据业务流程和关键风险确定审计的重点， 明确审计的目标和范围；二是识别与业务相关的内部控制风险等；三是评估企业已有的内部控制措施的合理性和有效性；四是根据评估结果和优先级确定审计计划； 五是执行内部控制审计程序，通过数据抽样、穿行测试等审计方法，获取证据来评估内部控制的有效性和合规性； 六是针对发现的内部控制缺陷和问题， 评估其对业务运作和风险管理的影响，提出改进建议；七是输出审计结果，将结果和建议以报告的形式提交给管理层并监督整改工作； 八是建立持续监测机制， 对内部控制的有效性和合规性进行定期或实时的监测和评估， 确保内部控制持续有效地发挥作用。 以上步骤构成了一套完整的内部控制审计流程，帮助企业评估和提升内部控制的质量和效果。

（二）信息系统优化和技术创新

在优化信息系统时，需先了解业务和用户需求，评估当前状况和性能，分析是存在的技术瓶颈和不足之处，以确定优化的目标和要求。 基于技术评估和需求分析选择适合的新技术和解决方案。 再根据选定的技术，设计系统更新和创新方案、进行系统开发和测试、数据迁移、更新部署和调试。 在过程中需引入新的技术和解决方案，探索新的应用场景和模式，以提升业务流程效率和用户体验。最后，评估技术创新的效益和成果，比较更新前后系统的差异， 验证技术创新的价值和效果。 通过这一系列的步骤，实现信息系统的优化以满足公司需求。

五、结论

基于信息系统的企业内部控制的研究旨在探讨如何充分发挥信息系统的优势，提升内部控制的效果和效率。通过信息系统和内部控制的结合， 可以实现企业管理的科学化、 自动化和智能化， 提高业务流程的效率和准确性，降低内部操作风险和管理风险，提升企业的可持续发展能力和竞争力。 然而，尽管企业内部控制与信息系统的融合在理论和实践中有广阔的前景， 但在其应用领域仍面临一系列挑战和难点。 信息系统的安全性和可靠性问题、数据的完整性和准确性保障、人员的技术素质和意识培养等方面存在挑战。 因此，需要深入研究基于信息系统的企业内部控制， 探索有效的方法和策略来克服这些难题，并为企业提供可行的解决方案和管理实践。