浅谈信息系统管理与企业内部控制

　　【摘要】信息技术在企业管理中的作用日益凸显，这就要求企业必须加快信息化建设。企业信息化管理作为控制环境的一部分，深刻影响着会计系统和控制程序等内部控制要素。信息管理系统能带来诸多效益，但在信息化管理下的内部控制制度也存在一些问题，比如信息录入的关键控制缺失，网络化深入应用带来的信息安全风险等。本文旨在分析在信息化管理的新企业环境下，信息管理系统对内部控制的影响以及应有措施。

　　【关键词】信息化管理，信息管理系统，内部控制，风险，措施

　　引言

　　近年来，电子信息技术在企业管理领域的广泛运用，彻底改变了企业传统信息的储存和处理方式，从而适应了现代企业对信息的高标准和高要求。信息化管理是时代发展的需要，对企业的积极作用是毋庸置疑的，但同时它又是一把“双刃剑”，另一面带来的风险不可忽视。由于企业内部控制体系的不完善和有效控制手段的缺失，借助企业信息管理系统舞弊的案件屡有发生，而且这种行为具有危害大，隐蔽性强的特点。因此，研究信息化管理环境下企业内控及风险控制具有十分重要的意义。

　　一、信息化管理及内部控制的关系

　　信息化管理就是通过对信息数据的合理控制，实现资源高效配置，进而提高企业生产效率和决策水平，为企业获得持续竞争能力提供了有力保障。而内部控制，是指企业为实现经营目标，确保信息真实可靠，保护资产安全完整，遵循有关法律法规和规章制度，提高企业运营的经济性、效率性和效果性而制定和实施相关政策、程序和措施予以合理保证的过程。美国会计师协会对内部控制作出的权威性的定义：“内部控制是企业所制定的旨在保护资产、保证会计资料可靠性和准确性、提高效率，推动管理部门所制定的各项政策得以贯彻执行的组织计划和相互配套的各种方法及措施。”

　　在实际运作中，企业内部控制很大程度上依赖其信息化水平，信息化水平越高，内部控制得到的信息资源就越充分，实施效果就越明显。同时，企业的信息化管理也给企业内部控制带来新的风险。首先，风险评估范围拓宽。企业将所有信息高度集中于数据处理系统，一旦有不法分子利用病毒来窃取企业信息，可能使企业蒙受损失。企业通过风险识别、评估与防范新风险，这就拓宽了评估范围。其次，设备使用风险加大。信息管理系统由硬件和软件构成。硬件存在许多不可抗因素，如跳电、物理损失、人为误操作等，这些问题的出现增加了内部控制的难度。而软件主要指运行风险，如设计缺陷、与企业切合度不高、稳定性不够等都会带来新的风险。第三，增加了道德风险。信息化建设需要企业内部系统与外部网络连接，这会使信息使用者或操作人员通过公用通讯线路干预系统的机会变大，从而可能产生非授权的访问、篡改等隐蔽性较大的舞弊行为。

　　由此可见，企业好比是一艘轮船，信息化是推动器，而内部控制是舵轮，只有两者相互配合才能使行驶畅通无阻。

　　二、企业信息化环境下内部控制风险问题

　　（一）信息管理系统的数据来源，对信息质量产生影响

　　信息管理系统经常直接从其他系统采集数据，不必重新录入，减少了数据录入错误的机会，也保证了数据的完整性及时性。但是从其他系统直接采集的数据如果本身有错误，则该错误可能会带到内部管理系统，管理人员被动地接受其他系统生成的数据进行处理，审核功能被削弱。由于实现了数据的快速传输与数据共享，数据生成部门或客户如果反复更改同一经济业务的数据，也会给数据处理带来不便。

　　（二）信息流与单证传递相脱节，原始凭证形态发生变化

　　当企业的信息系统大规模联网时，数据可以跨部门、跨地区传输，且传输的速度极为迅速，而纸质原始凭证却不可能以同样的速度在需求部门之间进行传递，有些电子交易甚至没有产生纸质原始凭证。在这种情况下，数据处理时难以取得数据发生时产生的纸质原始凭证，而只能依赖原始数据管理部门的数据处理凭证，如业务部门的数据交换凭证或数据汇总凭证等。

　　（三）网络开发环境使内部控制壁垒变得脆弱

　　信息网络技术的发展使信息管理系统发生了质的变化，克服了以前单机信息系统的不足，使信息化管理环境下的内部控制更加完善。然而网络的开放性、共享性、分散性也给信息管理系统的内部控制带来新的问题，如重要信息通过网络传输可能被截获，收到病毒和黑客攻击的机率变大等。从理论上说，置于服务器上的任何信息都是可以被访问的，除非切断物理连接才能避免外来非授权访问者的侵扰。因此，企业必须定期对系统的安全性及内部控制能力进行评估，时时保持系统更新以降低网络环境带来的风险。

　　（四）信息和数据便于伪造，舞弊行为具有较大隐蔽性

　　在传统管理模式下，所有数据都是以单、证、帐、表的形式出现，其作为核对凭证，修改困难，修改后有明显痕迹，所以不便于伪造。而信息管理系统则完全不同，磁介质代替纸张作业，对信息和数据篡改后可以轻易抹去任何痕迹。而且篡改和伪造的操作具有很强的隐蔽性，很难被发现。另外电磁介质容易受损，所以系统上的信息和数据也存在丢失和毁坏的危险。因此信息化管理环境下的内部控制不仅难度大、复杂，而且对计算机安全技术也有较高的要求。

　　三、内部控制在信息化管理环境下应有的措施

　　（一）建立完整全面的内控记录文档，制定内部控制目标

　　企业应采用流程图或文字描述的方式建立全面的控制文档记录，并对现有文档记录进行持续的维护和更新。公司管理层要制定内部控制目标，并根据文档记录的控制点和风险点每年至少进行一次正式的风险评估。信息管理系统实施之后，内部控制评估的目标通常包括下面这些内容：

　　①对整个流程和控制的设计进行评估，确定这些控制是否很好地满足和支持最终业务目标的实现。

　　②对岗位职责分离的评估，确保在整个流程中存在正确的稽核点和平衡点，对敏感业务交易给出足够的访问限制。

　　③评估控制方式是否合理，比如基于手工流程的控制和基于系统的自动控制是否搭配合理。（二）坚持不相容职务分离原则

　　企业在信息化管理环境下更要坚持不相容职务分离原则，也就是要进行职务分隔。内部控制制度能够保证企业内部关键机构、岗位的合理设置及其职责、权限的合理划分。坚持不相容职务互相分离，确保不同的机构和岗位之间权责分明，互相制约，相互监督。调整不适应信息管理系统环境的岗位设置，完善各岗位职责，特别是管理岗位和稽核岗位，在不同岗位上加强预测、分析等职责，加强稽核对业务的指导、监督、检查等职责。

　　（三）前期，中期和后期控制相结合

　　在信息化管理环境下，企业内部控制可简单划分为前期，中期和后期控制三个阶段。前期控制包括预算控制和权限控制两个方面，属于预防性控制类型。预算控制使得在发生经济业务时，系统能自动将实际情况与预算目标进行比较，对不符合目标的业务操作进行否决或提请授权机构决策；权限控制则能根据企业的组织结构及员工的岗位职责，设置每个员工对系统的操作权限以及对信息的查询范围，系统将保证企业的各项业务活动均是由被批准或被授权的员工执行。中期控制主要是对操作程序进行控制，主要包括业务操作控制和会计系统控制。而后期控制则可以确保检查报告的客观性、可靠性，提高检查效率、降低检查成本，有利于企业及时发现在目标实现及制度执行过程中的各项偏差，属于发现型控制类型。

　　（四）信息管理系统与其他接口数据的控制

　　企业在实际应用中会遇到信息管理系统与其他系统数据接口问题，如在开发票时与税务系统的接口，产品出入库时与检斤计量系统的接口等，企业信息管理系统和其他系统之间的接口是实现不同系统间数据和信息互联互通的必需。由于不同系统的数据格式可能完全不同，为了实现数据的传递，就需要进行一系列的转换，因此这些位于不同系统之间的接口是一个重要的风险区域，内控流程应在系统接口点设置控制点，如设置访问权限，加强稽核等方式，防范控制风险发生。

　　（五）创新风险管理措施，推行风险在线监控

　　依托信息管理系统平台，从控制风险出发，针对信息化环境下内部控制风险的新特点，权衡风险与收益，制定相应的风险防范策略，建立“业务有流程，流程有标准，风险有控制”的内部控制操作体系，以保障信息系统数据和信息安全可靠，从而更好地实现内部控制目标。企业应同时开展在线稽核，增强风险管理的针对性和时效性，应结合全面风险管理，开展信息系统风险梳理，建立统一的信息管理系统规则库和风险预警指标体系，运用不同的业务稽核规则，稽核方案，稽核专题，通过系统的智能运算，寻找各类数据疑点，形成稽核结论，实施风险全过程监控，从而达到风险可控在控的目的。

　　结言

　　信息管理系统作为企业管理信息化进程中一项重要的内容，正逐步在企业中得到广泛应用。但是，当我们关注其为企业带来巨大的管理提升和经济效益的同时，也必须充分认识到由于信息管理系统自身的特点所带来的风险。针对这些风险，研究和制定信息化管理环境下企业的内部控制策略，是信息管理系统应用中不容忽视的新课题。作者：贾思远，本文来自《信息与控制》杂志