信息化环境下企业内部控制的问题与对策

　　摘要：全球信息化的环境下，信息系统引入作用于企业的各个方面，企业的业务与管理流程、内部控制的模式都发生了很大的变化。不同于传统环境下的内部控制，信息化环境下的内部控制环节更为复杂，因此对内控满意度的要求更高。信息技术在优化了控制方式的同时，也给内部控制带来了不小的风险和威胁。现在分析了企业在当前信息化环境下的内部控制情况后，给出了一些改进的对策和建议。 

　　关键词：信息化；内部控制；问题；对策 

　　一、引言 

　　随着科学技术的发展，信息化逐渐进入到企业的生产和经营活动中，相比传统环境，信息化环境带来了科学技术的新发展，将先进的科学技术和管理模式注入到企业的经营管理活动中去，给企业带来的不仅是技术手段的更新，更是先进管理理念的更新，使内部控制的各要素都具有了新的特征，从一定程度上提高了内部控制的效果；但是信息技术同时又是一把双刃剑，在给企业带来新机遇的同时，也给内部控制带来了新风险。传统环境下的内控各要素因为不适应新的信息化环境，产生了新的问题。针对信息化环境的新特征，需要对传统环境下的内部控制问题进行分析，研究信息化环境下的内部控制应对办法。因此，有必要在了解当前信息化环境下我国企业的内部控制情况的基础上，分析总结其中存在的主要问题，并提出改进措施，以期给目前广大处于新的信息化环境下的企业提供参考。 

　　二、信息化环境下企业内部控制的主要问题分析 

　　（一）对信息化环境下内部控制认识不足 

　　企业的高层管理人员对信息化环境下的内部控制没有完整的认识，认为信息化环境下的内控只是风险管理部门的工作。事实上，业务发展是一定会与IT联系起来的。业务发展不可能没有IT的支持，IT也不可能脱离业务需求而去独立工作。随着企业业务大集中、数据大集中的趋势，信息系统已经在整个公司的运营过程中建立了一个完整的网络，信息系统下的风险管理也变得特别重要。因此，当IT内控缺乏规划时，企业各部门的业务发展就会很容易受到IT风险的影响而失控，从而使得企业业务运营脱离企业复苏战略的正确轨道。 

　　（二）控制活动未根据信息化环境而改变 

　　经调查表明，很多企业在进行信息化建设之前，并没有对企业内各部门进行调查分析了解其需求，根据信息化环境对控制流程进行更新，也没有对部门进行流程重构，而由于在信息化环境下，企业的许多流程发生了变化。比如在传统的环境下，企业的各种数据是在多个部门的监督下，数名人员用手动的方式输入的，虽然数据输入的工作较繁琐，工作量也非常大，但是因为工作方式传统，即使输入的数据发生错误或漏输，也是十分容易发现的，而且改正工作简便。但在信息化环境下，数据的输入方式发生了很大的变化，应用了程序控制模式，即企业的所有财务信息和数据的输入是由应用程序决定的，一旦应用程序或者代码发生错误，在一个程序上的所有数据都有可能发生错误，会给企业带来很大的影响。 

　　（三）信息化环境下数据安全性存在隐患 

　　信息化环境下，企业的绝大部分数据信息都是存储于信息系统的数据库中的，存储介质为磁性材料，企业中的数据信息是存储在磁性介质中的。如果磁性介质被损伤，比如说被利器划伤，磁性材料变化无法使用，进而导致存放在材料中的数据也随之遗失。如果是重要的数据信息，其遗失将会给企业带来很严重的后果。虽然企业使用了高级的信息系统，但是人为因素也会导致数据的错误问题。企业外部的人员可以通过企业内部的人员的信息访问公司的内部数据，如果公司内部的重要数据信息被外部非法人员窃取，则给公司带来的后果是极其重大的。外部非法人员有可能通过各种渠道窃取内部信息。所以要求内部工作人员要对内部重要的会计信息加密保护，同时还应定期或不定期地对企业的内部数据库进行检查，发现数据被修改或窃取的情况应该及时更新数据库。但是，如果内部人员主动泄露密码和重要数据信息，带来的后果也是极其严重的。 

　　（四）内部监督体系不完善 

　　企业内部监督不完善，首先表现为没有做好政府监督和社会监督的措施，监督部门监督办法过于简单，执法不严，违法不究现象严重。从微观方面来说，公司的会计监督意识还是相对薄弱，监督职责履行不够到位。内部机构各自为政，缺乏内在的动力机制，监督效果不是很明显。监事会的任务是对公司的经营情况和内部控制活动进行有效的监督，但是企业由于员工人数多、业务繁琐，一般监事会和其他高层管理人员之间没有直接的利益冲突，无法相互制衡。公司有些监事都是由董事、经理人员兼任，产生了自己监督自己的局面。监事的工资都是由公司管理层支付，使监事会置于董事会及经理人员的控制之下，使监事会的监督作用没有得到充分发挥。 

　　（五）缺乏内部控制和信息化的符合人才，专业人员水平有限 

　　在信息化环境下，人力资源仍是至关重要的问题。管理应以人为本。经调查后发现，企业缺乏符合性人才，高层管理人员表示很多人招来之后才发现并不适合，他们对技术知识的掌握不够，也缺乏发现和解决问题的能力。在信息化环境下更加没法应变，还缺乏虚心请教的工作态度。如果既懂业务，又懂技术，又懂管理，这种复合型的人才在这个行业里面会更具有竞争力。公司里有的员工甚至缺乏基本的控制活动基础知识，不知道如何将内控的理论指导运用到公司的具体实践中，影响了公司内控活动的进行。 

　　（六）信息化战略投资的风险控制尚未引起足够的重视 

　　在国家鼓励创新、调整产业结构、转变经济增长方式、“互联网+”的大环境下，信息化战略投资是当前许多企业包括上市公司的新选择，对于企业而言，信息化战略投资是一把“双刃剑”，一方面它会给企业带来新的机遇或利益，这样，信息化战略投资具有商业价值。但是，另一方面是信息化本身给企业带来风险，信息化战略投资带来的风险和机会是一枚硬币的两面，企业信息化战略投资活动包含了风险和机会，风险与机遇同行，为了给企业的利益相关者增加企业价值，企业必须在经营中抓住各种机会，而所有机会都伴随着不确定性。因此，在当前的大环境下，信息化战略投资的风险和机会已经成为企业要获取成功必须考虑的一项战略活动。但是，需要注意的是，对信息化的战略投资活动不能跟随大流，盲目投资，要重视风险控制。 

　　三、信息化环境下企业内部控制的对策探讨 

　　（一）加强公司治理 

　　公司治理作为内部控制环境的一部分，它形成了一个环境气场，可谓意义重大。根据企业内部控制报告表明的具体情况，虽然公司在治理方面的措施已经相对完善，但是跟国际先进水平还是有很大的差距。由此给出加强和改进公司治理的建议：在对内部控制和公司治理进行改革和完善时应将两者联系起来考虑，才能促进两者的协调发展。董事会在内部控制中要用科学且合适的手段面对管理层并对其进行监督，清晰地了解组织的最大风险承受力，确定了风险管理的恰当范围后，首先解决最具有破坏力最重要的风险，以做到灵活地运用内部控制体系。 

　　（二）完善人力资源 

　　为了更好的实施和落实内控，良好的人力资源能保证具有竞争力和特色的企业人事政策和程序的执行情况。内部控制系统的效果取决于执行它和设计它的高素质人才的水平。工作人员的综合质量也是在控制内的一个重要因素。公司在生产经营过程中，重视员工的道德修养，把道德水平看得和专业技能一样重要，在组织运作过程中不断提高员工的素质。培训是保证和提高员工素质和专业能力的重要途径，在信息化环境下，要注重加强对员工的信息化水平。完成培训后，培训评估是一个重要组成部分，将科学的评价方法适用于评估培训效果，企业才可以知道训练是否达到了满意效果。在信息化环境下，企业目前缺乏精通信息化技术的专业人员，因此在进行人员选拔时，更应注意挑选具有信息化专业知识的综合性人才。 

　　（三）重视信息化战略投资的风险控制 

　　信息化战略投资包括各种各样能抓住机遇、实现商业价值的投资活动，但机会与价值的另一面却是风险与损失，因此，对于信息化战略投资要进行充分论证。而该公司尚未设置独立的信息技术部门，建议在设立独立的信息技术部门、配备CIO和专职的信息技术人员队伍的前提下，由董事会下设的战略委员会，或指定相关机构负责公司的信息化战略投资管理工作，并与审计委员会共同履行信息化战略投资相应的风险控制职责。除了论证该发展战略是否符合国家行业发展规划和产业政策，是否符合国家经济结构战略性调整方向之外，还应充分论证该发展战略是否突出主业，有助于提升企业核心竞争力；是否具有可操作性；是否客观全面地对未来商业机会和风险进行分析预测；是否有相应的充足的人力、财务、信息等资源保障等。 

　　（四）提高员工的网络安全意识 

　　网络是信息化建设的基础。随着计算机技术的发展，企业的信息系统会面临更多的威胁，企业各种重要的数据或多或少的掌握在管理人员和基层员工手中。应该给全体员工足够的安全性教育，只有通过安全性教育，才能使网络安全意识遍布整个企业。员工有了网络安全意识，才会在信息系统的环境下工作更加小心谨慎，防止数据的遗失和被偷窃。公司里的基层员工、中层领导和高层管理人员都必须进一步提高信息系统安全意识，保证企业的各项活动在安全无误的环境下进行。不同于传统的管理环境，信息化环境下，所有的数据资料和文件不是以纸质的形式而是全部存放在数据库和云端的，因此数据存储存在安全隐患，这些数据一旦丢失或损毁，公司都会面临重大损失。由此可见，提高全体员工的网络安全意识是至关重要的。 

　　（五）构建网络安全防护体系 

　　建立和完善制度是企业网络安全体系的重要保障。能否加强企业网络安全人员的数量，网络安全管护责任是否明确，有没及时更新网络基础设置，决定了企业能否提高网络的实施水平。公司还应该聘请专业的IT人员，为其提供学习和培训的机会，按时召开网络安全会议适时给员工灌输网络安全思想，定期进行培训，使员工能够自觉地维护企业信息系统的网络安全，减少企业网络安全危机的出现。配置有效的防火墙。防火墙主要是按照一定的网络安全规则，对信息网络的运行转台进行检查，包括安全性检查，使某些含有危险信息的终端无法访问企业的信息系统，避免了信息系统的重要数据泄露，维护了信息网络的安全。 

　　（六）做好技术支持工作 

　　对于计算机网络的安全性和薄弱环节的保密性，应进行相应的技术支持工作。首先，应该有专门负责管理Web服务器和网络安全的员工；然后，公司在每个办公室都设置一台电脑，这台电脑专门用于上网浏览信息，并且这台电脑只能由专门的工作人员来管理，其他人员无权使用，这就在行动上保证了企业的数据和资料信息的安全保密工作，一旦这台电脑上的信息泄露，马上停止使用网络，进一步保证信息的安全性；最后，企业应统一购买介质来存放数据资料，将内容存储进介质之后再进行编号，这些介质应有专门的管理人员进行保管，注意不能通过互联网泄露介质上的任何信息，一旦介质到达期限停止使用，应请专业人员做好介质的销毁工作。 

　　（七）加强内部审计 

　　审计部门能否独立地展开工作非常重要，确立内部审计部门在组织中的地位，成立审计委员会。信息化环境下，委员会成员包括内控总监和CIO。应该通过企业风险管理观念和文化的灌输，使企业各个层面的管理人员理解内部审计的重要性。企业可以完善内部审计机构，分派专门人员从事信息系统的审计工作。在设计内部审计机构时，要给予其充分的权利，以保证其在行使权力时不受其他方的影响。内部审计制度是强化内部控制制度的重要措施，其职责包括审计会计账目、检查评价、内部控制制度是否完善，企业的各项组织制度是否能更完整地实现组织目标，并向公司的管理层提出报告。而信息化环境下的监督和审计，与信息化环境和内部控制都有很大的关系，需要借助于信息技术，所以审计人员尤其是信息系统审计人员应具备专业技术知识，才可以圆满地完成审计工作。 

　　内部审计人员的素质也是影响内部审计质量的关键因素，除了要掌握内部审计的方法、技能工具之外，内部审计人员还需要具备以下关键素质：良好的人际沟通技能、敏锐的风险意识、良好的自我学习能力、整合能力，提高审计人员素质的重点是要做好人员的筛选、培训和绩效考核工作。因此，要做好内部审计人员的信息技能提高工作。充分的沟通对保证和提高审计质量至关重要，在内部审计工作中应做好沟通工作。 

　　四、结语 

　　本文在分析了在当前信息化环境下企业内部控制存在的主要问题后，给出了一些改进的意见和建议。在研究的过程中，理解到一个企业的经营状况是否良好，战略目标能否实现，内部控制工作是否完善，不仅需要正确理论的指导，更需要的是全体员工的共同努力，并在执行过程中做好各部门和上下级员工之间的沟通工作，做好信息的反馈。 

　　参考文献： 

　　[1] 章铁生，信息技术条件下的内部控制规范：国际事件与启示[J].会计研究，2007（7）. 

　　[2] 刘梅玲.从信息化视角看我国上市公司内部控制建设川[J].财务与会计，2012（6）. 

　　[3] 魏 星，崔 旭，钱 超.中国企业信息化问题与对策研究——基于 39 家企业的调查分析[J].科技管理研究，2012（3）. 

　　[4] 黎 娜.ERP环境下中小企业内部控制问题研究[J].铜陵学院学报，2011（2）.