企业信息化实施的内部控制问题研究.docVIP

企业信息化实施的内部控制问题研究 　　【摘 要】 随着信息技术的发展，信息对企业的作用越来越重要，国内外相关机构十分重视企业信息化的发展。企业信息化能够简化业务流程，提高企业的经营效率和效果，为企业的发展带来财富。但是，企业信息化的实施也会导致许多问题，文章以销售业务为例，以事物发展过程的事前控制、事中控制和事后控制为线索，重点论述企业信息化实施过程中面临的内部控制问题，进而从内部控制五要素（内部环境、风险评估、控制活动、信息系统和监督）方面提出加强企业信息化过程中内部控制的建议。 　　【关键词】 企业信息化； 内部控制； 销售业务 　　【中图分类号】 F272.5 【文献标识码】 A 【文章编号】 1004-5937（2017）12-0043-03 　　一、引言 　　未来学家托夫勒在《第三次浪潮》中，曾把人类发展史化分为“农业文明”“工业文明”“信息社会”。信息社会的主要财富是信息，具备先进的信息技术，获得更多的信息，也就能掌握更多的财富[1]。信息对企业的重要作用不言而喻，企业各个环节都离不开信息的支撑，信息技术的使用推动了信息在企业中的高速运转，简化了企业经营业务的流程，提高了企业的经营效率和效果，为企业的发展带来了财富。虽然信息技术的使用能够为企业的发展添砖加瓦，但是如果信息技术利用不当也会给企业造成不利的影响：广东标致汽车公司投入巨资促进企业信息网的发展，但是主系统中的十几个功能模块中，启用的不到软件内涵的10%，巨资的投入并没有发挥网络效益；河南许继集团由于企业经营结构的重大调整未考虑到对ERP项目的调整，使得企业信息化的宏伟目标夭折。信息技术的不当使用给企业带来上述问题的同时，也会增加企业的信息风险，以及内部控制负担。企业内部控制系统与管理信息系统是企业的两个重要子系统，内部控制系统为信息系统注入理念和内容，信息系统为内部控制系统提供信息和载体[2]。本文从内部控制角度入手，分析企业信息化实施过程中面临的内部控制问题，并为此提出相应的建议。 　　二、国内外对企业信息化的重视 　　由于信息化对企业的重要作用，国内外相关机构都给予了高度的重视。信息及相关技术控制目标（COBIT）是信息系统审计和控制联合会（ISACA）制定的面向过程的信息系统审计和评价的标准，为目前国际公认的权威安全与信息技术管理和控制标准[3]。该标准辅助企业进行IT治理，自1996年问世以来，不断更新升级，2012年已经发行第五个版本。COBIT清除了管理层、IT与审计之间的沟通障碍，并且加强了管理层对控制的认识和支持，依据COBIT出具的审计报告更容易得到管理层的认可[4]。我国内部控制委员会也十分重视企业信息化中的内部控制问题，《企业内部控制基本规范》中强调企业应当充分利用信息技术促进信息的集成与共享，同时也应当防范风险，保障信息系统的安全稳定运行。《企业内部控制应用指引》尤其是《企业内部控制应用指引――第18号信息系统》的颁布，强调企业应当重视信息系统的重要作用。 　　三、企业信息化过程中内部控制问题分析 　　信息技术的广泛应用对企业的生产经营产生了重大的影响，简化流程、方便管理的同时，也给企业的内部控制管理带来了一定的风险。骆良彬等[4]从内部控制五要素的角度指出内部控制的问题主要有控制环境更加复杂、风险评估难度加大、控制活动容易出现漏洞、信息沟通不顺畅以及缺乏适当的监督。本文以销售业务为例，从事物发展过程的事前控制、事中控制和事后控制角度对企业信息化过程中的内部控制问题进行具体分析。销售业务涉及销售、发货、收款等多个环节，信息技术的使用简化了企业销售业务的流程，提高了企业的经营效率，但是给企业也带来了内部控制的诸多风险。 　　（一）事前控制更加复杂 　　1.内部环境的复杂多变 　　销售业务的发生需要良好的内部环境，企业信息化增加了企业内部销售环境的复杂性，企业内部销售环境存在安全隐患。随着信息技术的发展，信息对于企业的价值越来越大，由于网络的无形性以及匿名性，滋生了内部管理人员可能将企业的重要销售政策、策略以及对市场的预测情况等重要销售信息变卖给竞争对手的不正当行为，也可能促使企业信息管理人员收受贿赂，发生篡改客户信息等行为，给企业造成财产损失。由于互联网的大众化以及网络风险的存在，登录者只需一个登录的密码就可以进入企业的信息系统，信息技术的易操作性和不留痕迹的特点，为恶意访问者提供了方便，他们可能通过入侵网络系统，窃取企业的重要销售渠道等信息，或者是对企业重要的客户信息等进行修改，干扰企业的信息系统。 　　2.风险评估的难度加大 　　企业信息化拓宽了销售业务风险评估范围，不仅仅局限于传统的销售风险评估。风险评估是对企业实现内部控制目标时可能产生的不利影响进行分析和辨认，传统销售业务的风险评估行为主要针对企