信息化环境下企业内部控制的改进策略

周倩 广东尚东投资控股集团有限公司

引言

在大数据流行的时代环境下，企业越来越重视信息化和企业管理之间的关联及相关系统建设，以便根据行业特点，利用信息技术来优化流程、提高效率或强化生产能力。然而，信息化带来的便利及其相关风险对企业内部控制来说存在一个适应和改变的过程，需要通过不断调整完善以实现企业的战略发展目标。

一、信息化环境下企业内部控制中存在的问题

（一）缺乏先进的内部控制管理观念

很多企业的内部控制管理理念仍未与时俱进，虽然有意识到信息技术的影响力但不够重视，或者出于对投入成本的考虑而暂缓信息化进度，这在一定程度上影响了企业的可持续发展。内部控制的信息化程度对企业未来的整体发展具有重要的战略意义，若是企业内控体系建设太滞后于信息技术的发展趋势，始终只能存在于形式上和实际的表层上，而无法深入贯彻到具体的工作实践中，必定会严重阻碍企业的前进步伐。不仅内部控制管理观念和企业的战略发展之间存在重要的导向关系，而且企业内控管理的实际执行效果也和企业未来的发展前景息息相关。因此，企业内部控制管理机制的有序运行，离不开企业其他部门的密切配合，更需要跟上信息科技的发展变化，转变以往的传统管理观念，解决生产经营过程中出现的内部控制规范和执行等问题。

（二）内部控制信息化更新周期较长

在企业经营活动中，业务内容和交易过程瞬息万变，相应的内部控制管理制度也要跟随控制环境、运行状况的改变及时做出调整。内控系统信息化建设必须针对企业的控制方式和控制重点来设计，并随着企业经营内容和经营规模的变化而不断改进和提升。但由于信息技术的专业化、信息化建设过程的复杂性和系统开发及更新成本昂贵等因素，导致信息化更新周期较长。所以很多企业即便在内控管理过程中发现问题，也是暂时容忍而不愿进行信息化调整或升级，结果造成内部控制管理效率日渐低下，使内部控制的实际效果与预期产生不同程度的差距，还会在一定程度上降低内部控制的有效性和可靠性，出现管理漏洞，增加控制风险。

（三）无法妥善应对内控信息化带来的冲击

目前信息技术的应用已经成为各大行业的共识，越来越多的企业在公司管理体系中积极开展信息化建设，其中会计管理工作的信息化程度更是提升迅速，相关内部控制的形式、内容和对象也出现高效整合和多元化的革新。但与之相对应的是，更多企业虽然看到了信息化会提高企业效率与合规性真实性，却并未足够重视信息化对传统内控管理范围、岗位设置分工和控制过程等的冲击性改变，在人员配置、职能架构、系统设计和程序替代等方面转变迟缓或被动应付，未配备专业的系统维护人员，或者缺少掌握信息化技能的复合型人才。这些都会影响企业内部控制信息化的发展进度，因为信息化需要有健全的数据管理制度和严谨的数据管理人员提供安全保障，如果不能及时在人力、系统、权限控制等方面妥善采取应对措施，减少信息化对传统管理方法造成的冲击，可能会对企业发展战略产生逆向副作用。

（四）企业内部控制中存在一定的系统风险

在内部控制信息化应用的背景下，企业系统运行中会产生一些新型风险，主要集中在计算机系统和网络安全上，例如电子数据的删改、系统侵入、恶意篡改。计算机系统的安全如果没有做好授权、内部监管、定期维护等防范工作，势必会影响企业内部控制系统的平稳运行，严重的话会给企业带来无法挽回的损失。此外，很多企业在急于信息化建设的过程中，没有仔细考虑内部控制信息化引起的对岗位设置、授权范围等方面的重大改变，未进行充分的风险评估，导致相关软件开发与实际需求缺少适配度，没有根据系统的安全标准来实施各个模块的设计，为后续内控管理工作的安全埋下隐患。

二、信息化环境下企业内部控制的改进策略

（一）转变企业内部控制管理理念

随着信息时代的到来，企业要想在信息化环境中获得可持续性发展，必须及时改变传统人控型的内部控制管理观念，从控制环境、风险评估、控制活动、信息与沟通和有效监督这五个要素着手，研究各要素涉及信息化的实际工作范围及相关人员配置、权限设置的变化。在这一过程中，企业应该注重对专业人员的培训和引进，使他们树立信息化的思维和诚实的道德观，清晰了解自己在内控系统中的岗位与职责分工，并且有足够的专业胜任能力。根据企业规模和组织架构体系梳理信息化的利弊，结合IT专家的咨询意见，筛选并定制符合公司战略目标的信息化产品，使其成为精简岗位或流程、提高企业效率和遏制舞弊的合理保障。同时在减少手工处理内部控制优化流程的基础上，加强对计算机控制程序风险的防范，做好审批、备份、加密或建防火墙等维护和监测工作，在公司内部建立公开的信息发布和反馈机制，确保所有员工都能获取内控程序的执行情况和奖惩措施，及时掌握外部信息技术和内控管理的发展状况，定期与同行交流以取长补短，提高信息化风险防范意识，坚持不懈地提升企业的内部控制管理能力。

（二）促进内部控制管理制度的完善

企业内部控制信息化带来的改变大部分体现在财务管理信息化上，比如会计科目的统一规范、科目余额的平衡校验、数据的快速汇总、查询和分析等都体现了信息化的高效性，但会计数据的复核岗位被计算机程序复核代替，复核人工成本的减少也伴随着数据安全的风险产生，相应提高了控制环境的复杂性和风险范围。因此企业的相关管理和规定需要及时跟进修改完善，建立并强化数据管理制度，以提高内部控制流程的实效性。信息化系统在对企业内部控制管理流程进行分析和优化时，应该善于发现问题，以便管理人员根据实际情况提出恰当的解决方案，合理安排岗位，并提高财务信息的真实性和准确性。同时，信息化建设是一个庞大的工程，在会计信息化的基础上逐步推进到整个企业管理体系的信息化提升，需要稳扎稳打，全局规划，分步操作，除了购买必需的软硬件，还要配置合格的计算机人才，完善与信息化相匹配的内控管理制度，让每一个内部控制质量的提升都能够有迹可循。

（三）注重企业内部控制的监督管理工作

信息化技术的发展极大地提高了企业管理效率和会计信息质量，也给内部控制管理工作带来了一定的挑战。大部分企业在内部控制管理过程中，深受传统管理理念的影响，因此与信息化环境还存在诸多不太匹配的地方。为了保证企业内部控制管理工作的正常运行，企业应该注重通过有效监督来加强管理防范风险。首先，企业应当定期对网络系统进行更新和维护，做好硬件检修和软件升级工作，每天备份信息与数据，若发现有恶意删改与外部侵入等安全问题必须及时应对，并上报管理层以查明原因做出恰当处理。其次，通过内外部审计和预算管理等措施来强化监督功能。管理层通过定期或不定期的内审与外审来获取关于企业经营活动和管理工作的分析调研报告，预测风险，查处舞弊，及时纠正错误并做出快速调整，通过实行全面预算管理来合理配置公司资源，建立战略目标责任体系进行业绩考核，督促各级员工为实现企业战略总目标而不断自我改进，为企业创造持续稳定的经济效益。

（四）建立健全信息化环境下的企业内部控制体系

企业应当建立一个完善且可操作性的内部控制规范体系，有助于更好地保护企业资产安全、保证企业运转流畅、提高信息报告质量和保障战略目标的顺利实现。信息化将内部控制从人控转化到人机并控，使内控工作更加高效化、多元化和动态化，两者之间是相辅相成和互相影响的。首先，企业应该设置包括董事会、审计委员会、监事会和各职能部门的组织架构，梳理内部控制系统的相关操作流程，构建合规的内控管理体系。其次，科学制定详细的业务流程和部门规章，明确划分各个岗位的职责范围，根据实际工作风险点来设计必要的控制程序，避免出现权限的交叉重叠，方便精准考量，构建一个相互制约和相互监督的牵制制度，防范和化解各类风险。在信息化环境下，计算机技术和内部控制管理的结合，大大促进了企业层面和业务层面的信息化发展，对企业经济效益的提高也起到立竿见影的作用。将来的企业会更需要懂信息技术和专业职能技术的复合型人才，来打造更适合产业升级、集成高效的内部控制规范体系。

结语

总而言之，在信息化高速发展的社会环境下，内部控制质量的高低和企业的实际发展情况息息相关。然而，在经营规模、成本压力和人力资源等条件的限制下，企业还需要继续改进与信息化发展不兼容的传统内控管理理念，完善内部控制监督纠错机制，强化绩效评价制度。企业应当根据社会发展的需求和自身经营特点，不断提高管理技术，以科学合理的策略实现信息技术和内部控制的融合，促进内部控制质量的跃升。同时，企业还要加强对内部控制管理流程的监管，提高风险管理能力和信息化应用能力，在可容忍范围内为企业争取更多的投资机会，给股东创造更多的利润，促进企业的可持续性发展。