信息化背景下企业内部控制存在的问题与对策

郑秀春

（天津天药药业股份有限公司，天津 300462）

目前，学术界对企业内部控制归纳总结出了五目标、五原则和五要素，并以此作为各企业开展内部控制实务管理的根本遵循。在将信息技术应用于企业内部控制工作过程中，部分企业及学者将信息化对企业内部控制的影响分析及问题探讨局限于环境、风险和控制三要素，一定程度上收窄了内部控制要素。本文以五要素为着眼点探讨信息化背景下企业内部控制存在的问题与对策，将信息化影响与内部控制要素紧密结合，有助于企业内部控制工作有效性的全面提升。

一、企业内部控制概述

（一）内部控制基本含义

“内部控制”一词最早于1936年作为审计术语在相关审计文献中出现，经过半个多世纪的发展，其内容逐渐完善，并被众多学者及企业家应用于企业运营研究与实践，形成管理学领域的分支之一。企业的内部控制是指企业内部管理控制系统，具体指由企业的董事会、监事会、经理层和全体员工为了各项经营目标的达成，需要在经营过程中尽量规避各种风险事件的发生，进而共同营造具备风险规避能力的控制环境。

（二）内部控制基本要素

在我国，目前企业内部控制工作的组织与开展主要遵循财政部等部门联合制定印发并于2009年7月1日起开始实施的《企业内部控制基本规范》和相关的配套指引。该规范中明确了国内注册的大中型企业建立与实施有效的内部控制应包括内部环境、风险评估、控制活动、信息沟通和内部监督等五要素。基于此，企业内部控制工作的重点应集中并覆盖在这五个方面。

二、信息化在企业运营中的应用现状

我国的信息化建设虽然起步较晚，但至今也有近40年的历史。这期间经历了企业试点、行业试点、领域试点等过程，最终发展成信息化手段逐渐应用于企业运行的各个方面的趋势。目前，各企业信息化应用主要涉及办公、核算、计量、仓储、生产、传输、管控等领域。国内大部分企业信息化已经不再是信息技术在某些业务板块的各自运行，而是将其与企业的战略规划、经营目标、管理思路等方面做有效融合，通过对组织结构、业务流程、内部控制的影响与完善来发挥信息化技术在企业运营中的作用。

三、信息化背景下企业内部控制存在的问题

（一）内部控制环境不健全

企业的内部控制环境包括企业文化、机构设置、职责分配以及审计机制等方面。企业开展信息化建设，可使得信息传递高速化、工作方式多样化、工作节点自动化，因此对环境标准提出更高的要求。部分企业无法实现管理标准的同步提升，最终导致内部控制效果大打折扣，甚至限制了企业未来的发展。企业决策层及经营层普遍认知欠缺，影响企业各级员工都无法把握信息化内部控制的内涵，故而错误地将信息化背景下的内部控制工作推向了信息部门和内审部门。

（二）风险评估难度增高

风险评估主要是对企业的风险要素及其组合进行评估。信息化背景下，在企业本就复杂的原有风险要素中又增加了信息化元素，为保持风险评估的全面性，企业要增加对信息化系统的风险评估，而信息化技术的快速发展往往导致企业对其风险评估能力存在不足。另外，实施信息化之后的内部控制，企业原有的业务流程和控制体系需要被重新改造，对人力资源、经营战略、管理方针和资金财务等方面的风险评估难度较传统内控工作也有所提高。

（三）控制活动层级不统一

目前，受信息化在企业的应用现状影响，内部控制活动的方式将面临新的调整。比如，大部分企业的信息化在其经营管理中的应用不在同一阶段实施，导致不同信息系统的实施环境和数据基础不同，使数据共享与传输存在错配的风险，与传统内部控制活动相比，信息化背景下需要额外增加这一环节的控制。另外，大部分企业自动化数据传输技术不完善，基础数据的录入仍然主要依赖人工完成，为了避免数据录入错误的风险，需要企业在数据录入这一最基础、最简单的活动环节实施控制。企业本应该发挥信息化优势，遵循成本效益原则，集中精力控制主要风险活动，全面升级信息化背景下的内部控制水平与能力，但却被上述不同层级的控制活动羁绊。

（四）信息沟通机制不完善

信息的价值必须通过传递与使用才能体现。在信息化背景下，企业利用技术手段快速实现了信息的收集，但受信息沟通机制的限制，在信息传递与使用方面较传统内部控制水平有所降低，主要体现在经营层及管理者对企业现已应用的信息化技术不够了解，可借助信息化手段实现的管理功能不能掌握，使信息化技术实现的信息集成与分析沦为信息弃儿，无法对内部控制提供高效支持。另外，由于企业部分员工信息化技术的基础能力不足，对系统数据的信任度存疑，故而不愿放弃传统的人工信息获取与传递方式，导致信息化背景下企业内部控制形成了诸多的信息孤岛。

（五）内部监督作用被忽视

信息化背景下的内部控制监督，既应包括利用信息化技术手段实现对传统内部控制工作所涵盖内容的监督，还应包括对信息化技术的监督。目前，部分企业在信息化建设和使用过程中存在误区，认为信息化建设方案中包含了内部控制的需求目标，因此信息化技术的应用便能自主实现了控制，忽视了对系统控制有效性的监督检查。另外，由于企业信息系统维护能力水平参差不齐，导致内部监督在信息技术领域形同虚设，大大弱化了信息化背景下内部监督的作用。

四、信息化背景下解决企业内部控制问题的对策

（一）优化控制环境

控制环境一定程度上扮演了内部控制工作的土壤与养分的角色，优化控制环境是提升内控工作有效性的重要基础。首先，应该建立基于信息化条件下的企业文化、价值理念和工作作风，重要的是要提高企业全员对内部控制的意识，将信息化管理的理念和方式渗透到企业管理控制工作中。其次，要完善内部控制制度建设，以制度建设来落实责任分工和工作标准，为信息化条件下的内部控制工作提供保障。最后，要强化制度执行，可以与内部监督工作相结合，建议至少由一名企业管理者带头成立制度执行监督小组，以上率下确保制度执行的严肃性，进一步夯实控制环境的基础。

（二）提高风险评估能力

风险识别与评估是内部控制工作的重点与难点，直接影响控制活动的方向与范围。首先，应该结合信息化的相关特点重新优化传统的风险管理机制。建议组建专业化风险管理团队，负责企业经营风险的总体识别与评估，该团队可以临时或长期聘请专业的风险评估机构参与。其次，要加强企业全员的素质建设，特别是加强财务人员，信息技术人员、内控人员的管理与培养，在关键岗位人员的从业能力方面下功夫。最后，在工作方法上，建议建立风险管理台账，积累企业的风险类型及数据资源，为不同经营模式和不同历史时期下的企业风险评估提供宝贵经验，有条件的企业可以将其嵌入信息化控制系统，实现部分风险识别的信息自动化，弥补人员风险识别能力不足的问题。

（三）增强控制活动的系统性

控制活动过程要与企业业务流程进行系统性整合，借助信息化技术完成工作流程再造，实现业务流程重组与信息化应用同步推进。首先，应实现企业信息化战略与整体战略计划的有机统一，尽量减少信息化建设分模块实施现象，规避由此形成的信息错配。其次，系统性地构建信息化条件下各业务模块的互相校验与核准，降低人为出现失误的风险。最后，要做好控制活动的分步实施计划与关键任务分解，确保控制活动实施过程中始终保持其系统性与统一性，避免层级不清、避重就轻的局面产生。

（四）健全信息沟通机制

信息沟通是内部控制工作的桥梁与纽带，也是信息化背景下企业内部控制相较于传统内控工作的优势所在，故在信息技术广泛应用的企业中，如何建立健全有效的信息沟通机制对内部控制工作尤为重要。首先，应该提升企业对信息系统应用的重视程度，特别是在系统开发阶段，要尽量融合不同部门对信息系统产出成果的需求，在系统应用之前便开始积累信息用户。其次，应加强信息系统应用的考核，通过关键绩效指标（KPI）方式引导企业各部门人员使用系统集成信息的积极性。最后，应明确建立企业内部控制工作信息沟通的流程与标准，使信息沟通有章可循，有据可依。

（五）强化内部监督作用

强化内部监督，最重要的是正确看待内部监督对企业经营管理的促进作用，认知并接受内部监督在实现事前预防、事中控制和事后改进等方面的突出效果。信息化背景下的企业内部控制监督，首先应投入一定精力与资源在以信息系统为对象的管理和监督上，保证信息系统的稳定性与安全性；其次，应建立企业内部监督机制，通过职责划分、互相评比、定期报告等方式提升内部监督工作的地位，使企业经营管理的全员全业务主动接受内部监督；最后，内部监督不可以故步自封停滞不前，应该与时俱进革新与发展，才能始终保持其监督作用的有效发挥。

五、结语

综上，信息化背景下企业内部控制是对传统控制形式的一种创新，其造成的影响既是机遇也是挑战，更是发展的必然趋势。企业应该在始终坚持内部控制五目标、五原则的基础上，有效应对并改进上述五方面问题，使内部控制管理水平不断提升，为企业发展增强竞争实力。