企业信息系统内控管理的财务风险管控

庄曙芬

摘 要：随着市场竞争加剧，企业高层管理风险意识加强了，以风险为导向，将企业的信息系统引入内控管理，财务部门是综合性部门，在内控实施中起到推动作用。本文以ERP信息系统内控管理中出现的问题，分析信息系统内控管理的财务风险点，探讨分析信息系统内控风险的财务管控，以及应对措施。

关键词：信息系统内控管理  财务风险  管控

一、信息系统内控管理实施过程中的风险

企业信息系统内控管理是企业风险治理一大举措。然而，企业对信息化风险缺乏全面的认识，信息化给企业带来好处，却低估了信息化可对给企业带来的风险和威脅。企业会计信息系统，主要面临四大风险：数据的采集与输出缺乏监控;数据的安全性缺乏保障;管理与监督不严格;程序化操作易使差错反复发生。

数据的采集与输出缺乏监控的情况下，形成数据链偏差，导致系统运算风险。企业信息系统将信息技术与业务数据结合在一起，部门关联更密切了，信息系统的内控管理更具复杂化多样化。例如，A和B是可替代材料，采购下单A料，但仓管入库时却核销成B料，产生以下问题：信息系统中，A料一直处于待料状态，不再有B料的需求;采购对账时，订单与入库的物料不同，形成不了对账单;产品BOM明细不变的情况下，生产车间领用时，很可能待料，或挪用库存或其他订单的A料，最后形成的成本核算单，也会产生误差等一系列连锁问题。问题应从源头抓起，环环相扣，做为财务终端数据使用者，更需要业务信息和数据的准确。

数据的安全性缺乏保障，除了数据备份措施，如果内控权限设置和岗位设置不当，可能存在人为改写或删除的操作风险，同时带来决策风险，财会人员对数据要敏感，透过数据整合发现疑点，进一步做内控管理分析，有效地解决问题。

管理与监督齐下，信息化系统管理是日常工作，不以监督代理控管。企业在启用信息系统启动成功之后，并非一劳永逸，需要技术支持，监督检查和数据安全维护，培育员工良好的企业文化和职业操守，提高内控管理的执行力。

程序化操作易使差错反复发生，更具有隐蔽性，主要有流程不当产生的，以及信息系统自身原因，信息系统应有专人维护，及时排查问题，财会人员在获取数据时，要有检测方法及时发现问题，当问题反复出现，应考虑从程序化操作上找原因。

二、企业信息化内控管理带来的变革

信息技术与内控管理的结合，改变传统内控管理，主要涉及流程、操作权限的改变，以及岗位设置的重整等。提升企业管控层次，如果传统的表单印刷缺少编号，可能因这小缺陷，遗漏的业务难于查核，而信息系统更加严谨了，一些功能直接由内控系统自动设定。

在信息化管理中，例如固定资产的购置、保管、转移处置、报废、出租出售、毁损等，审批流程与系统OA平台融合在一起，设备使用部门辅助清册管理，经管设备，由不兼容的专人监督，确保资产记录和管理的安全完整。

对于生产企业，产品的工艺流程和物料清单，存在着逻辑关系，例如制程半成品在部门之间的转移，是否要从仓储进出仓，还是完工产品才入仓，要根据企业管理模式和成本核算的需要而定。物料的变更，是从源头BOM修改，还是变更生产订单，需要写入企业的程序管控文件，形成日常工作规范。信息化内控管理操作权限的关联，比如，ERP信息系统中，材料双重计量的换算，在允许范围内，授予采购和业务数量的修改权限，而价格和数量的权限往往是捆绑在一起的。另外，仓储的外协调拨单、盘点调整单，都挂在“其他入库和其他出库”的二级科目，一旦给仓储开通”其他入库和出库“的调拨单时，就会同时开通盘点的调账权限，因而，内控要解决权限分配上出现的矛盾。

在中小企业中，为了成本效益的需求，普遍存在按业务模块进行岗位设置，例如仓管员分片区管理，潜在风险有漏录、错录、重复录入，以及人为的舞弊行为，存货可能出现毁损、丢失、盗卖、超领、形成呆滞料等漏洞。为规避内控风险，仓管只负责实物和物料卡，信息化账务可集中由录单员录入，账实分离。采购及业务岗也一样，如果询价及经办等没有互相牵制，也将出现类似的问题，影响信息化内控系统数据的准确和资产完整，具有较大的风险。应采取替代性审核，对成本目标考核，比价、抽查单笔业务等措施。

三、信息系统管理实施中的关联性加大了内控的难度和复杂程度

存货是企业重要资产之一，供应链物流是以仓储为中心纵横交叉，哪个环节出问题，都可能“牵一发动全身”。权限设置过小，可能出现效率低下;权限过大可能存在越权。必要时，通过信息系统做“二次开发”，规范流程权限。仓储有问题，盘点问题就充分暴露出来了，没有“目视化“管理，仓储员“如数家珠”的物料，监盘人员却难于介入，没有实时更新数据，不能随时做抽盘。每次盘点，仓储部要花很多时间整理物料和做物料卡，盘点后，财务部需要做大量的调整，如果偏离太大就要归零重新启动。造成资源浪费的同时，信息系统内控也失效了，因而，在实施信息系统内部控制前，基础管理应紧跟上。

部门内控风险存在分歧点，采购部要完成采购成本、交期、品质要求等;品检部提高进料、制程及出货检测要求，以减少部门责任风险;生产部追踪物料;财务部控制成本及销售货款回笼等;仓储需按订单进货，以防爆仓或形成呆料，企业应从整体把控风险，协调好各部门。

信息系统内控设置，也要避免太繁琐，影响运作速度和效应。常见的采购与付款流程上，如果材料验收程序不规范，质量问题处理不及时，委外、自制或外购半成品没及时走系统等等，信息系统无法汇集为完工产品，可能产品都发货了，信息系统的流程却还没走完，造成账实脱离，MRP运算也受影响，甚至，ERP系统可能出现“瘫痪”状态。

四、监督检查、绩效考评在信息系统内控中的作用

信息系统管理的内控风险体系，仍需要监督检查，否则，很容易敷衍了事，流于形式。许多企业采取上级评审，同级互评，建立KPI考评，指标可达到的，但不能轻易达到。为消除指标干扰因素偏离，指标采取基础指标、权重系数和修正指标等相结合，处罚和激励双管措施，从而，提高内控执行力。

内控风险评估运行机制，要深化到日常工作，公司每月可以定期召开经营会，由财务总监或财务经理主持，高层领导及部门经理参加，以财务数据为主，业务数据为辅的多重报表数据分析，全面剖析、评价企业经营业绩，与企业的全面预算和行业标准比对、实时跟进预算执行情况，深入展开讨论，及时掌握风险预警，积极改善。

五、结束语

企业信息系统内控整合了技术和管理资源，为企业风险管控打下了良好的基础，财会人员要有风险防范意识，发掘信息系统内控管理的风险点，进行有效的控制，减少财务核算及经营管理风险，使企业信息系统管理的深入开展更加稳健，全面实现企业的战略目标。

参考文献

[1]付磊.企业财务信息化的风险源分析[J].财务与会计（理财版），2010年12期.

[2]刘宏灿.强化内部控制防范经营风险[J].中国证券期货;2011年10期.