信息化环境下企业内部控制的风险及策略
信息化环境主要指通过对计算机、网络、通讯等信息技术的综合运用,构建起来的一种虚拟的网络活动环境。在信息化环境下,企业在生产经营和内部管理方面开始使用越来越多的现代信息技术和信息设备,信息化的深入发展使企业的内部控制系统和模式也随之发生了相应的变化,这些变化所带来的诸多风险已成为目前亟待解决的问题。
一、信息化环境下企业内部控制面临的变化
现代信息技术和信息设备在企业内部控制工作中的应用,使企业内部控制效率和内部控制效果得到了进一步的提升与发展。在如今信息化环境下,企业运营中的各方面都得到了信息化改造,内部控制这种人机结合的控制模式自然也得到了更大程度的改造。内部控制中许多控制程序、控制方法等都被设置在计算机程序中,自动控制代替了繁杂的人工控制,这种变化减少了企业内部控制层次,使企业组织结构得到精简,运营效率更高。
企业内部控制的信息化有助于经营决策过程中有关信息的实时、同步反馈,使企业内部信息交互更加对称。随着企业内部控制信息化的深入发展,内部信息的处理也会变得复杂,这就要求内部控制对企业运营的过程实施有侧重点、有计划的监控。因此,内部控制就需要同时注重企业现实资产和信息资产两方面的安全。
二、信息化过程中企业内部控制存在的风险
信息化环境下,企业内部控制将面临许多新的风险,诸如内部控制软件中可能存在漏洞、控制系统规划建设时的治理风险、系统日常运行时可能出现不确定性风险、系统操作人员的人为失误等。总的来说,信息化环境下企业内部控制存在的主要风险可归纳为以下几方面:
(一)内部控制观念缺失
企业内部机构设置较复杂,许多不同部门的岗位职责具有一定的重复性、交插性及互补性,这削弱了企业一些规章制度的作用。企业内部一些上级部门对下属管理放权程度过大,常出现同一级工作人员职权混淆的现象,这使得企业内部的职权分配存在漏洞。
(二)风险评估难度增加
企业内部控制的信息化是一个持续发展的过程,在这个过程中,由于信息技术和设备的不断加入,使得许多未知的风险也加入进来。企业内部大量资料数据的数据化使内部信息控制的难度大大增加,而且企业中旧的风险评估方式会随着信息化的发展而被逐渐淘汰,新的评估方法一时又难以建立,因此,企业内部控制的信息化增加了企业对风险的评估难度。
(三)企业工作量大幅度增加
企业内部控制要实现信息化发展必然要将企业以往的海量信息进行数据化处理,这些数据需要的不仅是数据化输入,还包括信息真伪识别、重要性的认定等,这显然会大量增加企业的工作量。另外,信息化发展还使信息交流的方式发生了转变,企业内部沟通以及与外界的信息获取都需要作出较大调整。
(四)内部审计作用得不到发挥
企业的内部审计与内部控制本身就是一个整体中的两个部分,健康的内部控制系统离不开独立且完善的审计系统的支撑。但是在当下,许多企业的经营权与所有权往往是一体的,这就导致了内部审计机构在较大程度上受制于企业管理层,大大制约了其审计职权的行使;还有一些企业考虑到经营成本的问题,常常将审计机构作为应付有关部门检查的傀儡部门,这样的审计机构基本形同虚设;再次,由于一些企业管理层对内部控制所面临的风险估计不足,不重视内部审计机构,导致内部审计机构无法有效发挥其应有的职能。
三、信息化环境下企业内部控制的强化策略
由上文分析可知,在信息化环境下,企业内部控制建设需要适应许多新的要求,既要对内部控制系统进行虚拟化和网络化,又要重视内部人员综合能力的塑造和培养、完善内部控制制度建设、保障审计部门职能的发挥等。
(一)重塑企业内部控制制度
企业内部控制信息化的建设离不开相关规章制度的建立和完善。企业要在准确分析自身经营现状的基础上,参考成功企业的信息化内部控制制度,并结合自身经营内容和发展现状来制定合适的内部控制制度,要全面考虑到信息化的各个方面,明确不同岗位员工的职权,以保证企业信息化建设的发展。
(二)引入信息化控制手段
1.风险评估及控制的信息化。企业需要建立以客观定量分析为主的风险管理系统,同时,运用环境分析法、发展趋势图、风险情景分析工具等多种风险管理方式,对内部控制系统建设过程中的各种风险加以监控和分析。例如,在运用环境分析法评估企业风险时,应先对自身所处的宏观、微观环境进行信息分析,分析环境中各个信息的变化趋势及不确定性,其对企业可能产生的影响,建立数据库,建立风险评估模型,参考历史数据来评估风险的发生概率,利用数据分析从企业业务流程的各个环节中寻找风险的线索。
2.企业数据安全保护的信息化。当前,企业普遍进入了信息化管理时代,例如ERP等管理系统的运用,使企业的财务管理模式得到了极大的改善,但同时也使企业信息面临暴露的风险。企业在初步建立内部控制信息系统后,要对系统安全进行必要的保护,其中,信息安全是系统安全的核心内容,必须保证信息输入、储存和输出三大方面的安全。如在信息输入方面,必须要严格按照系统相关设置进行审核,以确保信息的准确性和安全性;在信息的查阅和使用方面,要进行严格的权限授予和审批,避免企业内部重要信息的泄露,避免企业利益遭受不必要的损害。
3.发挥内部审计的作用。在内部控制信息化建设过程中,企业必须让审计部门参与进来,让审计人员了解信息化过程,及早关注并掌握信息系统的相关信息。同时,给予审计部门应有的重视,保障其审计职能不受侵犯。企业信息化建设给审计工作带来了很大的变化,企业信息的传递和审批都需要进行信息化改造,审计人员也就需要对企业进行有重点、有计划、有步骤的审核,以此尽量降低企业内部控制信息化过程中的风险,提高企业的经济效益和运营效率。
四、结语
信息化在企业内部控制建设中的运用给企业带来了巨大的挑战,但同时也带来了巨大的机遇。企业要立足于自身发展现状,认真分析自身的经营管理方式,建立科学合理的内部规章制度,不断加强企业各个阶层的信息化理念和信息化技术,并保证内部监督机制能发挥其应有的作用,使内控信息化建设成为企业发展的有力推手,为企业谋得更多的利益。
(作者单位为石河子国有资产经营<集团>有限公司)
