中小企业内部控制信息系统建设初探

常维学

（北京仟草中药饮片有限公司，北京 102600）

一、引言

信息化环境下，信息技术大量涌现，在企业各方面的应用不断加强。企业内部控制对信息技术的作用发生变化，改变了传统工作方式，内控管理更加注重采取信息化手段，因此，需建立内控信息系统，实现数据信息的高效传递与共享，满足不同的信息需求，促进企业财务管理转型，为业务活动、经营决策、战略规划等服务。基于信息技术的内控体系是现代企业内控发展的必然趋向，在技术支持下，数据收集更加高效、数据共享更加快捷、数据计算更加智能，不仅可以利用系统化、信息化的思维展开内控管理工作，而且可促进企业财务管理信息化不断向前发展。本文就此展开分析与论述。

二、内部控制信息系统相关理论概述

1.内部控制

简单来说，内部控制是企业为了维护资产安全完整、有序展开合规性经济活动、保证经营决策落地实施等而采取的控制与管理手段。《企业内部控制基本规范》中明确了内控五要素，其关系如图1所示，并提出内部控制由企业各管理层级与全民员工共同实行，以提高企业经营效率与效果，实现控制目标。2001年至今，我国有关部门先后出台一系列关于内部控制的法律法规以及政策文件，标志着我国内控基本框架已经形成，内控方面的研究更加深入、广泛。

图1 内部控制五要素关系图

2.信息环境对内部控制的影响

信息环境对内部控制的影响不可忽视，随着中小企业将信息技术应用于经营活动的各环节，实现了生产自动化、决策智能化，内控工作模式同样也发生一定变化。非信息环境下，中小企业管理决策自上而下，存在权力过于集中的现象，而在信息环境下大量数据信息在线上网络平台进行传递与共享，便于各部门人员随时获取，直接了解生产业务、销售业务、市场行情等，再由管理者制定决策，整个组织结构趋向于网络化与扁平化，内控文化建设也显得十分重要。控制活动是内控五要素之一，信息环境下传统的控制手段改变，依托信息技术，以计算机程序进行固化，降低人为操作失误带来的影响，供应链各环节互通互联，有助于实现供应链价值管理。内控信息系统覆盖企业所有经济活动，将物流、资金流与信息流相融合，对经济活动展开全过程管控，达到有效管控的目标。

三、中小企业建设内控信息系统面临的困境

1.对内控信息系统建设认知不足

部分中小企业对内控信息系统建设的认知不足，将内部控制工作简单定位为一项单一的管理工作，财务部门为主导，对其他各部门进行监管。这种认知明显错误，根据上文分析可知内部控制应当由企业各管理层级与全体员工共同实行，但是实际上企业内控系统建设时并未实现全员参与。以M企业为例，目前该企业重生产、轻管理的思想格局仍没有改变，所有权集中于管理层，岗位设置不合理，管理者认为实施内部控制必然会削减个人权力、降低个人地位，通常情况下只是将重心放在制定内控手册上。整体来看，M企业侧重于短期经济效益，对内控系统建设下的人才需求、资金支持、技术引进等不重视，对内部控制的作用不了解，更是没有加大内部宣传与培训力度，生产一线员工、业务销售员工更是不能正确定位内部控制信息化。

2.多个信息系统并行，整合不足

多个系统并行是中小企业信息化建设的普遍问题，主要是指未能搭建统一的内控信息系统，各个系统整合不足，独立存在于某个部门、某一环节，此时业务财务人员开展内控工作不仅需要整合数据、分析数据，还需要针对实际问题提出专业建议，其工作压力骤增。根据调查分析可知，大多数中小企业在搭建内控信息系统之前，已经引入预算管理系统、费用报销系统等，即使已经认识到信息技术应用于内部控制的必要性，但是以内控为核心构建信息系统后，整体来看信息化管控流程复杂、业务量较大，相关工作人员一方面要学会操作信息系统，另一方面还要频繁切换用户名与密码，同一时间段内多次进入不同系统，满足工作要求。

3.内部控制信息风险增加

内控信息风险随着系统建设、系统运行而增加，存在于各项活动、各个流程。基于信息技术的内控信息系统，使得传统记账报账、会计核算工作发生变化，财务会计处理方式改变，对内控实践模式带来影响。以往，纸质凭证作为最直接的证据，若是发现问题，可对原始数据信息进行比对分析，多次比对之后找出差异，判断是否存在信息失真，虽说耗时较长，但可查明原因，对症下药采取改进措施。信息环境下，相当一部分流程是在线上完成，财务信息、业务信息的修改和操作由计算机完成，此时若是对信息进行篡改，不仅不能找出篡改痕迹，而且数据来源追溯面临困难。中小企业加强内控信息系统建设，由于缺乏风险意识，相应的信息风险增加，而企业往往在风险发生且造成影响之后才采取事后措施，此时根本不能消除风险引发的经济损失，甚至因数据信息造假、关键数据丢失等情况的发生，威胁企业经济活动与经营项目的顺利开展。

4.内控监督与评价缺失

内控监督的目的是为了确保内控执行效力与内控制度落地实施。但是在诸多因素的影响下，部分中小企业内部监督缺失，未能设立独立的内部审计部门，或者审计部门的职能难以发挥，一般情况下只是简单地监督评价内控执行情况与效果，并没有从审计角度提出整改建议，且缺少处罚措施，最终导致内控执行不力。还因内控外部评审缺失，对内控信息系统的性能不够了解，未能做好调研与评估工作，对信息系统的使用监控不足，更是没有聘请第三方机构对其运行情况展开更加专业的评审，这种情况下显然不利于完善内控信息系统。

5.信息化建设存在内控问题

中小企业信息化建设存在以下常见问题：一是信息系统控制授权不足，由于管理缺失，在内控信息系统建设前期未能重新做好职能规划与岗位责任划分，还是有部分岗位职务交叉，设置不合理，不能满足内控方面不相容职责分离的要求；二是重复录入较为频繁，对信息系统的应用不足，各系统间对接性不强，出现重复录入的现象，造成资源浪费，工作效率难以提高，而且部分财务人员未能适应新工作模式，仍旧以手工录入为主，将工作精力放在此方面，难免会出现操作失误，导致内部控制信息质量降低，对内控工作造成直接压力；三是缺乏系统性分析与规划，各系统独立存在，未能形成统一的整体，内控信息系统功能不全，在预算管理、合同管理、仓储管理等方面存在不足。

四、新时期中小企业加强内控信息系统建设的有效策略

1.强化思想认知，夯实基础，重视内部控制信息系统建设

思想决定行动，中小企业需强化思想认知，由管理层到基层员工，对内控信息化有正确的认知，逐步夯实基础，推动信息化建设进程。首先，加大内部宣传力度，将内控信息系统的应用优势在全范围内宣传与推广，管理者支持系统建设，督促各部门员工，加深他们对内控信息化的理解，改变仅由财务部门负责的传统管理理念，强调各部门都应参与到内控信息系统建设中，形成更加良好的内控环境；其次，内控系统的应用覆盖各部门、各岗位，由于系统操作具有一定的复杂性，因此中小企业还应加大培训力度，尽可能提供更加直观的操作监控平台，理论教学与实践操作相结合，下发内控信息系统操作手册，提高企业员工的信息化水平，使他们可熟练操作系统，运用内控信息系统完成一系列工作，同步提高系统运行的稳定性与安全性。

2.整合信息系统，实现资源共享，打造全面内控信息化平台

中小企业以大数据、人工智能等信息技术为基础，作为构建内控信息系统的技术支撑，注重信息系统的有效整合，打通系统之间的互通互联，实现资源共享，打造集预算、采购、仓储、成本等为一体的全面内控信息化平台。中小企业应当展开统筹考虑，引入业财融合理念，将业务与财务系统融合，将OA系统与ERP系统相结合，在内部高效传递数据信息，同时强调系统功能之间的删减与融合，若是同时拥有多个系统，且这些系统功能重复，应当有选择性地留用其中一个，防止出现同一业务多次重复处理的问题。与此同时，在新的信息系统环境下，OA系统控制着审批流程，ERP系统承载着各部门业务数据，对接融合之后，实现严谨而高效的内部内部控制，例如企业采购流程的控制，具体流程为：采购需求规划—下达采购申请—部门领导审批—拟订采购计划—咨询比价或公开招标—中标公示—采购合同—预付货款—到货验收—合同入库，整个流程在信息系统中完成并备份，线上审批，缩减审批周期，提高工作效率。此外，内控信息系统适当与外部信息系统对接，实现内外信息共享，加强部门间的协同合作，便于财务人员了解市场动向。还应当注意的是，针对多个系统并行的问题，中小企业可寻求专业机构的帮助，将各系统整合之后，统一入口与平台登录账号，相关人员登录个人账号之后就可自动切换系统，保持一致性与高效性。

3.加强风险管控，完善风险评估机制，强调全面风控作用

中小企业加强风险管控，利用内控信息系统，实现风险提前预警，并完善风险评估机制，强调全面风险控制的作用。以A企业为例，该企业加强控制采购流程，分析生产项目实际需求，设置自动提醒功能，当采购单价为0，在订单录入时提醒采购人员，若是未能引起重视要及时进行修正，订单传送至仓储管理部门，入库时再次提醒，但仓储管理部门人员不得随意修改，应由相关负责人与采购部门联系，经采购人员核实之后再修改。通过这样的事前风险预警，可有效避免订单错误引发的经济风险，防止造成不必要的经济损失。中小企业建立完善风险评估机制，考虑多方面的影响因素，评估风险可能造成的负面影响，分类风险，形成风险清单，制定风险防控方案。在内控信息系统中，提前设置各项数据，若是超出计划范围，则由系统进行自动化预警，拒绝不规范的操作，对于原始记录与操作记录，实时备份保存，便于后期的再次查询，为查明问题形成原因提供参考依据，进一步加强控制与防范。

4.规范信息化建设流程，实行监督与评价，提升内控有效性

为了提升内控有效性，改进内控方法，中小企业应规范其信息化建设流程，在监督与评价方面加强控制，将监督评价的作用发挥出来，对内控管理起到积极促进作用。一方面，企业管理层根据实际运行情况与发展需求，设置信息化建设流程，从市场调研、需求分析、蓝图设计、试点运行、探讨解决问题再到最终的正式运行与定期更新维护，规划建设方案，并设计内控绩效的相应流程，设定目标、收集信息、过程评估、编制文件等，加入内控信息系统当中，实现自动化评价；另一方面，系统建设严格遵循上级下达的文件通知，加强过程监督与控制，对内部控制工作执行、内控有效性展开审计监督或者财务监督，实时跟进内控信息系统的运行情况，将整改意见上传至信息系统，便于各职能部门随时查看，同时跟踪后续整改效果，提升监督的合规性与高效性。此外，涉及到外部监督评价，中小企业可聘请第三方机构，对企业内控信息系统的性能进行评价，考虑市场情况，与外部需求相符，且可满足信息使用者的各项需求。

5.合理规划内控信息系统，做好系统设计

中小企业应当合理规划内控信息系统建设方案，做好系统设计，分析实际需求，增设功能模块，加强各模块之间的联系，有力解决内控方面问题。

第一，优化信息系统控制手段，根据信息化环境下的岗位职能变化，遵循不相容岗位相分离的原则，重新分配岗位职责与权限，端正企业内部员工的工作态度，并建立分级授权控制机制，增强内控工作的严谨性。

第二，注重系统间的对接，利用大数据、云计算等技术，将数据集进行比对，整合重复性数据与资源，提高工作效率，并要求财务人员主动应用，改变传统工作模式，避免操作失误。

第三，明确内控信息系统应当实现的功能，做好事前系统性分析与规划，联通数据接口，根据企业自身的业务需求，拓展系统功能。（1）预算管理模块，实现数据信息自动导入、自动分类、自动提取，针对分配的预算设置权限，考虑优选级次，规范预算线上审批流程，经办人必须在系统上提交预算申请、用款申请，同时系统具有自动检测、支持预算调整等功能，整个过程留痕，经过审批之后方可执行，对具体执行过程加强管控，分析预实差异情况，发出预警信号，由相关负责人查明原因；（2）仓储管理模块，维护存货的安全完整与优化配置，由专人负责登记，定期盘点存货数量，严格规范出入库流程，领用、养护等签字确认并记录在系统当中，定期存货周转率、库存损耗率、收发及时率等进行评价；（3）合同管理模块，实现签订、审批、支付、台账的一体化管控，细化合同类别，按照项目重要程度进行排序，对于部分亟需审批的合同，可适当简化流程，注重信息核查与合同可行性分析，支付环节需要查询相应的单据、票据等资料，合同台账定期更新，当相关人员获得权限查询时可了解合同执行、合同支付等状态，便于实行全周期追溯查询。

五、结语

综上所述，信息技术高度发展的今天，加强内控信息系统建设已经成为现代企业最为重要的一项任务。通过实现内控管理信息化，一方面，可提高工作效率，保质保量；另一方面，还可实现内控标准化、规范化管理，提升内部控制的有效性。中小企业必须正确定位内控信息系统建设的意义，结合企业实际情况，分析系统建设面临的困境，从多个角度积极探寻改进策略，通过强化思想认知、整合信息系统、加强风险管控、做好系统设计等，全面提升内控信息化水平，以信息系统为支撑，规范内部经济与业务活动，体现内控的效果，达成内控的最终目的，实现内控信息化动态管控，从而进一步推动企业自身的可持续发展。