董小婉

【摘要】信息技術(shù)的飛速發(fā)展影響著企業(yè)內(nèi)部的控制環(huán)境，并對(duì)風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息與溝通以及監(jiān)督等內(nèi)容產(chǎn)生了深遠(yuǎn)的影響。在信息化環(huán)境下，企業(yè)內(nèi)部控制還面臨著人員素質(zhì)低下、管理觀念落后、信息系統(tǒng)控制不完善、控制監(jiān)督難度增大等新問(wèn)題。有效加強(qiáng)企業(yè)內(nèi)部控制，應(yīng)加快健全網(wǎng)絡(luò)安全管理，加強(qiáng)內(nèi)部審計(jì)制度，完善組織和管理機(jī)制，提高工作人員素質(zhì)，塑造企業(yè)文化，并進(jìn)行全面的風(fēng)險(xiǎn)評(píng)估和處理，以遏制潛在風(fēng)險(xiǎn)的發(fā)生。

【關(guān)鍵詞】信息環(huán)境；企業(yè)內(nèi)部控制；問(wèn)題與對(duì)策

【中圖分類(lèi)號(hào)】F830 【文獻(xiàn)標(biāo)識(shí)碼】B

一、信息環(huán)境對(duì)企業(yè)內(nèi)部控制的影響

（一）控制目標(biāo)

企業(yè)內(nèi)部控制目標(biāo)，是內(nèi)部控制運(yùn)行方式和方向的指南，也是認(rèn)識(shí)內(nèi)部控制理論體系的出發(fā)點(diǎn)和落腳點(diǎn)。在信息化環(huán)境下，企業(yè)內(nèi)部控制的目標(biāo)仍然是戰(zhàn)略目標(biāo)，運(yùn)營(yíng)的成效和效率，經(jīng)濟(jì)有效的利用保護(hù)組織資源，以及報(bào)告的可靠性，遵守相應(yīng)的法律法規(guī)。企業(yè)在設(shè)立控制目標(biāo)時(shí)，要充分考慮組織的內(nèi)部環(huán)境和外部環(huán)境，以實(shí)現(xiàn)控制目標(biāo)設(shè)立的最優(yōu)化。企業(yè)運(yùn)營(yíng)的的成效應(yīng)該在原有目標(biāo)基礎(chǔ)上適當(dāng)?shù)臄U(kuò)大，也應(yīng)該把精力放在技術(shù)革新，商譽(yù)，文化等無(wú)形資產(chǎn)上；因?yàn)樗械慕M織都是在一個(gè)有限的環(huán)境中運(yùn)行，能否充分地利用現(xiàn)有的資源，是實(shí)現(xiàn)控制目標(biāo)的關(guān)鍵因素，設(shè)立內(nèi)部控制必須根據(jù)能否保證以最少的成本取得最優(yōu)資源并且防止在生產(chǎn)中產(chǎn)生不必要的浪費(fèi)。企業(yè)需建立有效的政策和程序來(lái)提高運(yùn)行的經(jīng)濟(jì)性和效率，并建立嚴(yán)格的標(biāo)準(zhǔn)來(lái)對(duì)運(yùn)行過(guò)程進(jìn)行監(jiān)督。報(bào)告的可靠性十分重要，但還應(yīng)當(dāng)保證信息的質(zhì)量和時(shí)效等因素，還有非報(bào)告形式的披露也應(yīng)該適當(dāng)關(guān)注。信息環(huán)境下的法律法規(guī)更加完善，所以企業(yè)監(jiān)督的方式和手段要同步，更要遵守法律法規(guī)。

（二）內(nèi)部控制要素

1.控制環(huán)境

控制環(huán)境是組織結(jié)構(gòu)的基礎(chǔ)，決定了組織的發(fā)展?？刂骗h(huán)境是企業(yè)內(nèi)各種因素綜合作用的結(jié)果，并且在不同程度的影響內(nèi)部控制措施的實(shí)施效果。信息環(huán)境下的控制環(huán)境改變了企業(yè)原有的組織結(jié)構(gòu)，讓企業(yè)從封閉向開(kāi)放轉(zhuǎn)變，使企業(yè)的運(yùn)營(yíng)模式發(fā)生很大變化。與此同時(shí)，信息技術(shù)也深深地影響著企業(yè)文化，經(jīng)營(yíng)目標(biāo)，管理者的管理方法和經(jīng)營(yíng)風(fēng)格，企業(yè)實(shí)施的權(quán)責(zé)制方法和相關(guān)的人事政策，以及員工的道德價(jià)值觀念和個(gè)人能力等。

2.風(fēng)險(xiǎn)評(píng)估

任何組織都會(huì)面臨來(lái)自?xún)?nèi)部和外部的風(fēng)險(xiǎn)，所以各個(gè)組織都要進(jìn)行風(fēng)險(xiǎn)評(píng)估，用來(lái)辨別、分析、處理風(fēng)險(xiǎn)，為達(dá)到各個(gè)組織風(fēng)險(xiǎn)最小化的目標(biāo)。信息技術(shù)的不斷深入，不但增加了信息系統(tǒng)方面的風(fēng)險(xiǎn)，而且也增加了企業(yè)管理中的風(fēng)險(xiǎn)。如企業(yè)運(yùn)營(yíng)操作對(duì)信息系統(tǒng)依賴(lài)程度的不斷加深，一旦信息系統(tǒng)出現(xiàn)了運(yùn)行故障，則會(huì)導(dǎo)致企業(yè)的經(jīng)營(yíng)不能連續(xù)有效的運(yùn)行，因此產(chǎn)生不利后果。這就要求企業(yè)建立一套有效健全的機(jī)制來(lái)應(yīng)對(duì)這些由經(jīng)營(yíng)環(huán)境變化，改造和更換新的信息系統(tǒng)，新的員工，新技術(shù)應(yīng)用等發(fā)生的風(fēng)險(xiǎn)。

3.控制活動(dòng)

控制活動(dòng)是為了確保管理者的指令能夠得到有效執(zhí)行的程序。而控制活動(dòng)需要根據(jù)該企業(yè)業(yè)務(wù)運(yùn)行的過(guò)程和情況，以及各組織具體的控制點(diǎn)進(jìn)行設(shè)置。在信息技術(shù)條件下，企業(yè)的核準(zhǔn)，授權(quán)，驗(yàn)證，調(diào)節(jié)和復(fù)核營(yíng)業(yè)績(jī)效等控制活動(dòng)，都必然會(huì)受到信息技術(shù)的影響。

4.信息與溝通

信息與溝通系統(tǒng)是指員工從管理層取得他們?cè)谄髽I(yè)經(jīng)營(yíng)過(guò)程中所需要的有效的信息，并且準(zhǔn)確及時(shí)地傳達(dá)這些信息。而信息技術(shù)的應(yīng)用最顯著的改變是信息的獲取、交換、儲(chǔ)存的方式。在擁有健全的信息系統(tǒng)下，企業(yè)能夠準(zhǔn)確及時(shí)的獲取，傳遞，加工等需要的信息，有明確有序的從管理層到執(zhí)行層信息溝通的方法，有與客戶，供貨商，有關(guān)政府部門(mén)以及董事會(huì)主要股東的溝通途徑和方式。健全完善的信息系統(tǒng)改變了企業(yè)信息溝通方式，提高了信息溝通速度和質(zhì)量，加大了信息數(shù)量，對(duì)企業(yè)的內(nèi)部控制目標(biāo)實(shí)現(xiàn)提供了有利保障。但是由于信息化的廣泛應(yīng)用，也會(huì)相繼發(fā)生信息失真，數(shù)據(jù)錯(cuò)誤，系統(tǒng)癱瘓等問(wèn)題，對(duì)內(nèi)部控制造成不利影響。

5.監(jiān)督

監(jiān)督是指長(zhǎng)期評(píng)價(jià)企業(yè)內(nèi)部控制質(zhì)量，必要時(shí)還需要采取有效措施的一個(gè)連續(xù)的過(guò)程。信息環(huán)境下，企業(yè)監(jiān)督方式發(fā)生了改變，監(jiān)督的范圍變得更廣泛，監(jiān)督方法更加多樣化，實(shí)現(xiàn)了實(shí)時(shí)連續(xù)的監(jiān)督。企業(yè)可以通過(guò)日常有效的監(jiān)督活動(dòng)，執(zhí)行內(nèi)部審計(jì)和外部審計(jì)相結(jié)合的方法進(jìn)行有效的監(jiān)督。但有時(shí)因?yàn)樾畔h(huán)境下監(jiān)督經(jīng)驗(yàn)有限，使監(jiān)督的準(zhǔn)確性，連續(xù)性受到影響。

二、信息環(huán)境下內(nèi)部控制面臨的新問(wèn)題

信息技術(shù)在企業(yè)中的應(yīng)用在改變著企業(yè)傳統(tǒng)運(yùn)營(yíng)模式的同時(shí)也給企業(yè)帶來(lái)業(yè)務(wù)流程和信息系統(tǒng)的風(fēng)險(xiǎn)。況且我國(guó)企業(yè)信息化的起步較晚，許多大中型企業(yè)信息化程度不高，內(nèi)部控制制度不夠完善，控制環(huán)境薄弱，以及控制經(jīng)驗(yàn)不足，風(fēng)險(xiǎn)意識(shí)淡薄。內(nèi)部控制不僅要關(guān)注企業(yè)有形資產(chǎn)的安全準(zhǔn)確，更加要關(guān)注企業(yè)信息資源的安全。

（一）人員素質(zhì)及管理觀念的滯后性

信息系統(tǒng)的應(yīng)用，不僅要求員工掌握專(zhuān)業(yè)的技能，還要熟練掌握信息系統(tǒng)的操作流程。因此企業(yè)的員工面臨著信息系統(tǒng)知識(shí)的欠缺，傳統(tǒng)手工處理下流程簡(jiǎn)單，直觀性強(qiáng)，掌握要求有限。而在信息系統(tǒng)運(yùn)行下，操作流程半自動(dòng)化，需要員工對(duì)信息系統(tǒng)有宏觀的把握，明確每個(gè)業(yè)務(wù)流程環(huán)節(jié)和控制點(diǎn)，才能實(shí)現(xiàn)員工的操作技能，以適應(yīng)企業(yè)信息化的發(fā)展。目前，雖然很多會(huì)計(jì)軟件和ERP系統(tǒng)已經(jīng)進(jìn)入企業(yè)的運(yùn)營(yíng)中，但是很多企業(yè)的管理觀念仍然很滯后。很多管理者的管理方法還是來(lái)源于傳統(tǒng)的處理模式。缺乏與信息化相接軌的先進(jìn)的管理理念。還有一些企業(yè)的組織機(jī)構(gòu)仍然還是分工不明確，很多制度沒(méi)有實(shí)際的約束力。在信息化環(huán)境下，更要明確崗位分工，確保每個(gè)流程環(huán)節(jié)沒(méi)有漏洞。因此，制度應(yīng)該起到應(yīng)有的效力，并與信息環(huán)境相適應(yīng)。

（二）風(fēng)險(xiǎn)增加，信息系統(tǒng)控制不完善

信息系統(tǒng)在企業(yè)中不斷深入發(fā)展，風(fēng)險(xiǎn)發(fā)生的概率和未知性也不斷增加，既包括了信息系統(tǒng)本身的風(fēng)險(xiǎn)，也包括外部因素導(dǎo)致信息系統(tǒng)發(fā)生風(fēng)險(xiǎn)。企業(yè)的大部分重要信息資源都經(jīng)過(guò)信息系統(tǒng)的存儲(chǔ)，處理，一旦系統(tǒng)受到破壞，給企業(yè)帶來(lái)致命的打擊。新風(fēng)險(xiǎn)主要包括在生成，傳遞，存儲(chǔ)，輸出這幾個(gè)關(guān)鍵環(huán)節(jié)發(fā)生。還有在信息環(huán)境下，系統(tǒng)操作人員，信息管理人員，系統(tǒng)維護(hù)人員，都有可能獲得其權(quán)限以外的數(shù)據(jù)權(quán)限，可以擅自篡改程序，會(huì)造成程序異常甚至系統(tǒng)崩潰的危險(xiǎn)。所以，信息技術(shù)人員的權(quán)限控制問(wèn)題十分重要。除此之外，會(huì)計(jì)人員，管理人員也可能在沒(méi)喲授權(quán)的情況下修改數(shù)據(jù)，或者憑空交易，這些企業(yè)人員都會(huì)給企業(yè)信息系統(tǒng)的安全帶來(lái)潛在風(fēng)險(xiǎn)。

現(xiàn)行市場(chǎng)上的信息軟件并不是都很安全完善，如果企業(yè)信息系統(tǒng)安裝了不正規(guī)的軟件，很可能會(huì)遭受木馬和黑客的襲擊，給企業(yè)帶來(lái)巨大的損失。由于我國(guó)企業(yè)的信息化起步較晚，針對(duì)一些惡意破壞或者系統(tǒng)損壞等故障，缺乏有效的解決措施。

（三）企業(yè)工作量加大，控制監(jiān)督難度增大

信息化在中小企業(yè)的應(yīng)用，使企業(yè)生成了更多的信息資源，信息的真?zhèn)渭捌渲匾嚓P(guān)性需要管理者去辨別，而且維護(hù)信息也是大量的工作。信息化后，很多企業(yè)業(yè)務(wù)都是通過(guò)計(jì)算機(jī)完成，很難被完整的保留。這給審計(jì)工作帶來(lái)了很大的難度。而且審計(jì)工作隨著企業(yè)信息化，其本身也發(fā)生了漏洞風(fēng)險(xiǎn)，不利于審計(jì)人員發(fā)揮其監(jiān)督職能。

三、加強(qiáng)內(nèi)部控制的對(duì)策

（一）提高工作人員素質(zhì)和塑造企業(yè)文化

內(nèi)部控制系統(tǒng)正常有序的運(yùn)行，不僅要保證系統(tǒng)本身的安全性，還應(yīng)考慮到操作人員的工作能力和整體素質(zhì)。能夠勝任該項(xiàng)工作是操作人員的基本工作能力，而操作人員的素質(zhì)是保證系統(tǒng)運(yùn)行符合規(guī)定的必要條件。企業(yè)應(yīng)該加強(qiáng)對(duì)員工素質(zhì)和技能的培訓(xùn)，保證員工的工作態(tài)度端正可靠，使員工都是可以信賴(lài)的。而企業(yè)的管理層在信息化條件下依然起著重要作用。結(jié)合本企業(yè)的實(shí)際情況，深度剖析本企業(yè)內(nèi)部控制的優(yōu)勢(shì)和缺陷，并不斷吸取其他企業(yè)內(nèi)部控制的先進(jìn)理念，以建立適應(yīng)企業(yè)健康發(fā)展的內(nèi)部控制制度。充分肯定內(nèi)部控制的重要作用，積極促成員工完成內(nèi)部控制工作。

如今，企業(yè)越來(lái)越重視軟文化的作用，一個(gè)企業(yè)擁有良好的企業(yè)文化，不僅能增強(qiáng)員工的職業(yè)道德和自律能力，還會(huì)提高企業(yè)的知名度。良好的文化氛圍引導(dǎo)員工和企業(yè)緊緊聯(lián)系在一起，讓員工有強(qiáng)烈的使命感和歸屬感，對(duì)強(qiáng)化員工的道德，行為有積極作用，從而減少了一些信息失真，泄露等負(fù)面影響。

（二）完善組織和管理機(jī)制

在信息環(huán)境下，保證信息系統(tǒng)的安全可靠與暢通是企業(yè)內(nèi)部控制的首要任務(wù)。因此，企業(yè)需要對(duì)整個(gè)信息系統(tǒng)的各個(gè)層次制定切實(shí)可行的安全防范措施。對(duì)系統(tǒng)操作的用戶身份和權(quán)限、操作時(shí)間、系統(tǒng)參數(shù)和系統(tǒng)敏感資源等要進(jìn)行實(shí)時(shí)監(jiān)控和記錄。其次，要保證計(jì)算機(jī)系統(tǒng)能夠準(zhǔn)確，安全運(yùn)行，有防止各種意外的有力措施。查詢(xún)計(jì)算機(jī)重要資源時(shí)應(yīng)明確每個(gè)用戶的安全級(jí)別和身份，并分別把訪問(wèn)對(duì)象進(jìn)行具體定義，來(lái)保證系統(tǒng)內(nèi)部的有力牽制。在信息化環(huán)境下，人是操作的主體，對(duì)操作人員應(yīng)該實(shí)施嚴(yán)格的權(quán)限作業(yè)，不得在沒(méi)有授權(quán)情況下接觸其他系統(tǒng)。企業(yè)還應(yīng)在各個(gè)重要控制點(diǎn)上設(shè)置安全預(yù)警系統(tǒng)，實(shí)時(shí)保護(hù)信息系統(tǒng)，以免受到惡意破壞和不安全的數(shù)據(jù)流進(jìn)入。實(shí)現(xiàn)漏洞檢測(cè)和實(shí)時(shí)監(jiān)測(cè)相結(jié)合的安全有效模式。

（三）建立健全網(wǎng)絡(luò)安全管理

首先是系統(tǒng)軟件的安全。主要的控制點(diǎn)應(yīng)在系統(tǒng)軟件的安裝和修改方面，另外對(duì)系統(tǒng)軟件進(jìn)行定期檢查，如果發(fā)生意外情況時(shí)，系統(tǒng)軟件可以自動(dòng)緊急響應(yīng)、迅速備份，并且能夠盡快恢復(fù)。其次，是硬件設(shè)備。主要包括計(jì)算機(jī)系統(tǒng)環(huán)境和設(shè)備的技術(shù)。企業(yè)需對(duì)設(shè)備制定一套嚴(yán)格周密的管理制度，崗位責(zé)任和規(guī)范操作流程，禁止無(wú)關(guān)人員接觸系統(tǒng)，還應(yīng)在計(jì)算機(jī)系統(tǒng)房間準(zhǔn)備防潮，防火，防水等技術(shù)配備，以防止突發(fā)事件。還有對(duì)企業(yè)重要信息資源的嚴(yán)密保護(hù)。非對(duì)稱(chēng)密碼體制對(duì)于信息安全管理使用廣泛。在企業(yè)中對(duì)通信線路的數(shù)據(jù)流加密，數(shù)據(jù)庫(kù)中的數(shù)據(jù)流加密，還有訪問(wèn)者的身份認(rèn)證也應(yīng)設(shè)置限制，除了輸入密碼外進(jìn)行身份認(rèn)證，還可以采用指紋識(shí)別和面容識(shí)別。最后，企業(yè)應(yīng)高度重視計(jì)算機(jī)病毒的防范，針對(duì)每—種病毒都有相應(yīng)的技術(shù)手段預(yù)防和消滅，實(shí)時(shí)監(jiān)督，追蹤病毒。

（四）進(jìn)行全面的風(fēng)險(xiǎn)評(píng)估和處理

風(fēng)險(xiǎn)根據(jù)形成原因可以分為財(cái)務(wù)風(fēng)險(xiǎn)和經(jīng)營(yíng)風(fēng)險(xiǎn)。風(fēng)險(xiǎn)控制的目標(biāo)是盡可能的防止和避免出現(xiàn)不利的結(jié)果，建立風(fēng)險(xiǎn)控制機(jī)制。還應(yīng)建立風(fēng)險(xiǎn)評(píng)估的信號(hào)和指標(biāo)體系，主要是針對(duì)設(shè)備的技術(shù)風(fēng)險(xiǎn)和一些管理風(fēng)險(xiǎn)等。風(fēng)險(xiǎn)防范機(jī)制可以迅速發(fā)現(xiàn)并對(duì)風(fēng)險(xiǎn)做出反應(yīng)。設(shè)置信息系統(tǒng)的防火墻，健全風(fēng)險(xiǎn)控制運(yùn)行體系，在接收到信號(hào)時(shí)，可以及時(shí)自動(dòng)的采取措施，防止風(fēng)險(xiǎn)擴(kuò)大。企業(yè)應(yīng)重視風(fēng)險(xiǎn)發(fā)生頻率和不利后果專(zhuān)門(mén)設(shè)置處理風(fēng)險(xiǎn)的部門(mén)，可以幫助企業(yè)對(duì)風(fēng)險(xiǎn)故障迅速的做出方案，把不利后果降到最小。并且，根絕已發(fā)生的事件進(jìn)行分析總結(jié)，達(dá)到進(jìn)一步加強(qiáng)防范的作用。企業(yè)基于信息化環(huán)境下，建立一套信息系統(tǒng)風(fēng)險(xiǎn)管理機(jī)制也是很有必要的。健全責(zé)任控制，強(qiáng)化信息化下的風(fēng)險(xiǎn)意識(shí)。

（五）加強(qiáng)和完善內(nèi)部審計(jì)制度

企業(yè)內(nèi)部審計(jì)機(jī)構(gòu)是強(qiáng)化內(nèi)部控制的一項(xiàng)基本措施。在信息化下，數(shù)據(jù)處理是人與計(jì)算機(jī)的特殊形式，因而對(duì)內(nèi)部審計(jì)人員提出的更高的要求。內(nèi)部審計(jì)人員要對(duì)信息化后的企業(yè)進(jìn)行深入的研究，準(zhǔn)確掌握現(xiàn)有信息運(yùn)營(yíng)模式與傳統(tǒng)模式的不同之處，并熟練在操作現(xiàn)有模式的基礎(chǔ)上，能夠檢測(cè)出現(xiàn)有模式的不足和欠缺。做到有計(jì)劃，有步驟，實(shí)現(xiàn)連續(xù)全面，高效率的審計(jì)工作。同時(shí)，為了應(yīng)對(duì)不斷變化的企業(yè)內(nèi)部和外部的審計(jì)環(huán)境，企業(yè)要經(jīng)常組織內(nèi)審人員學(xué)習(xí)審計(jì)法規(guī)。組織審計(jì)人員定期培訓(xùn)，提高審計(jì)人員的素質(zhì)和操作技能確保內(nèi)部控制監(jiān)督是真實(shí)的，并且準(zhǔn)確有效的。如果企業(yè)的財(cái)務(wù)狀況允許，企業(yè)可以不定期的請(qǐng)社會(huì)審計(jì)機(jī)構(gòu)對(duì)企業(yè)的運(yùn)營(yíng)進(jìn)行監(jiān)督，同時(shí)也是對(duì)內(nèi)審的考核，督促內(nèi)審更好的起到監(jiān)督作用。