企業(yè)信息系統(tǒng)內部控制存在的問題與對策研究

陳瑞燕

企業(yè)信息系統(tǒng)內部控制存在的問題與對策研究

陳瑞燕

信息系統(tǒng)作為企業(yè)管理的重要實施方式為管理層提供了更便捷有效的途徑，但同時也為企業(yè)內部控制的有效性帶來了新問題。本文在分析加強企業(yè)信息系統(tǒng)內部控制重要性的基礎上，深入探討了當前企業(yè)信息系統(tǒng)內部控制存在的問題及其成因，并針對性地提出了加強信息系統(tǒng)內部控制的對策和措施。

企業(yè)信息系統(tǒng) 風險控制 內部控制

隨著電子信息技術的飛速發(fā)展，信息系統(tǒng)已經(jīng)普遍成為企業(yè)運行和管理的基本工具。信息系統(tǒng)幫助我們處理大量繁雜的數(shù)據(jù)，提高了工作效率，降低了人為操作的錯誤發(fā)生率，使遠程管理更為方便快捷。但信息系統(tǒng)給企業(yè)管理帶來方便的同時，也給管理層帶來了不可忽視的風險。例如，信息系統(tǒng)的開發(fā)和控制措施是否合理、信息系統(tǒng)提供的數(shù)據(jù)及解決方案是否完整有效、信息系統(tǒng)之間是否相互兼容等。所以，管理層應對信息系統(tǒng)的內部控制引起重視，這樣才能使其更有效地為企業(yè)處理事務，幫助企業(yè)作出決策，從而為實現(xiàn)企業(yè)戰(zhàn)略目標奠定堅實的基礎。

一、當前企業(yè)信息系統(tǒng)內部控制存在的問題與成因分析

信息技術高速發(fā)展，企業(yè)的信息系統(tǒng)也隨之不斷更新，以適應社會不斷發(fā)展的需要，這對企業(yè)內部控制提出了更大的挑戰(zhàn)。

（一）企業(yè)信息系統(tǒng)的適用性問題

一種情況是企業(yè)在建立信息系統(tǒng)時根據(jù)用戶部門的要求借鑒國外或國內成功企業(yè)的經(jīng)驗。但是不同企業(yè)有不同的經(jīng)營管理模式和信息技術管理要求，這可能導致引進的信息系統(tǒng)無法真正適應企業(yè)管理的要求，需要企業(yè)不斷完善甚至重新建立新的信息系統(tǒng)以彌補舊系統(tǒng)的不足，避免發(fā)生重復控制、浪費資源的情況。

另外一種情況是企業(yè)聘請外部專門從事信息系統(tǒng)開發(fā)的機構或公司為企業(yè)量身定做企業(yè)需要的信息系統(tǒng)。這種情況也會由于外部人員沒有真正理解企業(yè)的需求，造成信息系統(tǒng)資源的重復建設、系統(tǒng)運行效率低和無法達到預期目標的后果，而且往往長期需要依賴系統(tǒng)開發(fā)機構解決使用過程中出現(xiàn)的各種問題，系統(tǒng)才能正常運轉。

（二）不同系統(tǒng)對數(shù)據(jù)的關注點不同有可能導致系統(tǒng)流轉數(shù)據(jù)不準確

信息技術的使用涉及企業(yè)的各個領域，信息系統(tǒng)的建立是為各類業(yè)務服務的。例如，為生產(chǎn)經(jīng)營需要而產(chǎn)生的生產(chǎn)管理系統(tǒng)；為服務及物資采辦而產(chǎn)生的采辦管理系統(tǒng)；為物資倉儲而產(chǎn)生的庫存管理系統(tǒng)；為預算管理、成本核算、費用分析和財務報告而產(chǎn)生的會計信息系統(tǒng)；為資金收集和支付而產(chǎn)生的資金管理系統(tǒng)。這些信息系統(tǒng)之間一定是相互聯(lián)系的。

采辦管理系統(tǒng)簽訂服務合同和貨物購買合同購買服務和貨物，這些貨物通過庫存管理系統(tǒng)領出后用于生產(chǎn)，通過生產(chǎn)經(jīng)營系統(tǒng)得出企業(yè)的生產(chǎn)商品的數(shù)據(jù)，而各個系統(tǒng)的數(shù)據(jù)最終都會轉入會計信息系統(tǒng)由財務人員進行成本核算和費用分析，分析的結果又服務于生產(chǎn)管理。每一個流轉環(huán)節(jié)都需要相應的知識背景，但系統(tǒng)和系統(tǒng)之間的“溝通”往往沒有想象中那么順暢。實際操作中會有這樣的例子，生產(chǎn)領料人員需要相應的原材料，經(jīng)過一定領料審批后由庫房的管理人員對材料進行出庫，系統(tǒng)自動將領出材料計入成本費進行會計核算，之后轉入會計信息系統(tǒng)。這種情況下，由于領料人員和庫房保管人員不具備專業(yè)的財務知識，所以不能判斷材料的成本費用科目是否正確，而財務人員沒有及時得到相應的領料依據(jù)，因此無法對其進行相應的復核。尤其是大型企業(yè)，每天的生產(chǎn)領料數(shù)據(jù)非常巨大，財務核算人員無法及時獲取相關復核資料，一旦出現(xiàn)錯誤，直接影響最終的財務報表數(shù)據(jù)。

（三）企業(yè)信息系統(tǒng)在操作過程中存在安全性問題

信息系統(tǒng)一定是由人來操作，那就會有相應的人員操作風險。例如，有不法分子利用非法手段強行進入企業(yè)信息系統(tǒng)竊取機密信息；企業(yè)內部人員為了達到某種目的濫用權限進行非法操作和舞弊，篡改系統(tǒng)信息。當然也存在由于系統(tǒng)權限配置不當，致使企業(yè)員工誤操作而導致的數(shù)據(jù)錯誤或系統(tǒng)功能失效等。

信息系統(tǒng)本身的固有局限性也可能導致信息泄露的風險。信息系統(tǒng)的安全措施不當，可能導致系統(tǒng)信息的泄露、毀損、丟失等。

（四）信息系統(tǒng)數(shù)據(jù)的丟失

信息系統(tǒng)正常運行過程中，各種信息在系統(tǒng)內正常流轉，一旦發(fā)生事故或非正常事件，系統(tǒng)中斷運行，信息毀損、丟失，會給企業(yè)正常運行管理造成非常重大的損失。例如，庫存管理系統(tǒng)的各個遠程終端由于不可抗力發(fā)生事故，導致庫存信息毀損，給生產(chǎn)帶來不便，同時傳入會計核算系統(tǒng)的數(shù)據(jù)失真，最終導致企業(yè)財務報表數(shù)據(jù)失真，給企業(yè)帶來嚴重的負面影響。

二、加強企業(yè)信息系統(tǒng)內部控制的對策措施

面對上述問題，企業(yè)可以從內部控制的角度考慮各個風險的大小，采取降低、轉移或規(guī)避風險的方式來化解相應的風險，實現(xiàn)信息系統(tǒng)的有效內部控制。

（一）加強企業(yè)在信息系統(tǒng)開發(fā)階段的內部控制建設

企業(yè)在進行信息系統(tǒng)開發(fā)時應該充分考慮自身的管理模式和業(yè)務類型，以及企業(yè)文化、技術能力、組織架構、地域特點等因素，選擇建立適應企業(yè)要求的信息系統(tǒng)。企業(yè)內部應該建立健全相應的信息系統(tǒng)內部控制制度體系，對信息系統(tǒng)的引進、開發(fā)和維護均制定相應的管理制度。

企業(yè)應該首先制定信息系統(tǒng)開發(fā)的戰(zhàn)略目標，在系統(tǒng)引進和上線前進行可行性研究，充分收集用戶部門相關的系統(tǒng)需求，并評估可能發(fā)生的風險，梳理信息系統(tǒng)開發(fā)和應用等各個環(huán)節(jié)的關鍵控制點，設計適當?shù)目刂拼胧ζ溥M行控制。

企業(yè)應該建立信息系統(tǒng)上線審批制度，對于系統(tǒng)上線運行和升級替換，應當由歸口部門和用戶部門批準后實施，主要的信息系統(tǒng)開發(fā)和重大的信息系統(tǒng)實施方案，必須由董事會或類似機構審核批準后才能實施。

（二）加強企業(yè)信息系統(tǒng)的應用控制及人工控制

企業(yè)內部的各種業(yè)務類型都是為企業(yè)服務的，所以各個業(yè)務系統(tǒng)之間應該相互聯(lián)系，形成一個閉環(huán)。對于企業(yè)各個信息系統(tǒng)之間傳遞的數(shù)據(jù)，企業(yè)應當根據(jù)實際情況，對不同的控制環(huán)節(jié)采取不同的系統(tǒng)應用控制，如手工控制或兩者相結合的控制。企業(yè)可以設置系統(tǒng)控制參數(shù)，建立規(guī)范的流程。

例如，上述第二個問題，在生產(chǎn)領料系統(tǒng)中可以增設領料環(huán)節(jié)的系統(tǒng)應用控制，將領料人員按其業(yè)務性質分成不同的類別，設置不同性質的領料崗位對應的財務科目或財務科目細類。財務人員將傳入會計核算系統(tǒng)的領料數(shù)據(jù)按預先分好的核算類別匯總，與拿到的領料單據(jù)核對。系統(tǒng)應用控制和人工控制相結合，有效降低了錯誤數(shù)據(jù)發(fā)生的概率。

企業(yè)的內部審計部門也可以不定期地對信息系統(tǒng)的應用控制和人工控制進行檢查和評價，確定其是否真正起到了控制作用。

另外，對于手工錄入、批量導入、接收其他系統(tǒng)數(shù)據(jù)等不同的數(shù)據(jù)輸入方式，可以分別考慮對進入系統(tǒng)數(shù)據(jù)的檢查和校驗功能，確保數(shù)據(jù)的準確性、有效性和完整性。

企業(yè)應該設置信息系統(tǒng)操作日志，詳細記錄系統(tǒng)當日的操作內容、流量和系統(tǒng)之間的接口設置，并配備專門的人員對系統(tǒng)之前的接口設置進行定期檢查，如存在異常的交易或者數(shù)據(jù)，應盡快處理并以報告的形式記錄下來，為將來維護和評價系統(tǒng)功能儲備資料。

（三）加強企業(yè)信息系統(tǒng)的安全控制

企業(yè)應當根據(jù)不同信息系統(tǒng)的不同特性設置不同的安全參數(shù)，使用技術手段加強系統(tǒng)的訪問安全。例如，采用設置防火墻、漏洞掃描、入侵檢測、遠程訪問安全策略等手段加強風險防控，阻止來自網(wǎng)絡的攻擊和非法侵入，也可以采取安裝安全軟件的措施來防范信息系統(tǒng)受到病毒等惡意軟件的感染和破壞。考慮到內部控制的成本效益原則，企業(yè)應當根據(jù)信息系統(tǒng)的業(yè)務性質和重要程度設置不同的安全標準，針對不同的信息系統(tǒng)采用不同的控制技術。

對于信息系統(tǒng)權限的管理，企業(yè)應該建立用戶權限管理制度，設置專門的信息系統(tǒng)權限管理崗位管理權限，禁止不相容職務用戶的權限交叉。對于崗位發(fā)生變動或離職的人員，應在管理制度中規(guī)定員工所在部門或人力資源部及時將員工變動信息通知系統(tǒng)權限管理員，以便系統(tǒng)管理人員及時變更或撤銷其權限，防止不必要的信息系統(tǒng)數(shù)據(jù)錯誤或數(shù)據(jù)泄露風險。企業(yè)應該制定系統(tǒng)權限手冊，明確每個崗位應該擁有哪些權限，明確不相容崗位不應該擁有哪些權限，系統(tǒng)權限管理人員據(jù)以定期檢查系統(tǒng)權限，發(fā)現(xiàn)并清除不符合規(guī)定的權限，形成檢查記錄存檔。

企業(yè)的管理層應對信息系統(tǒng)的安全性加強關注，從自我做起，不定期地對員工進行系統(tǒng)操作及安全知識培訓，豐富員工的信息系統(tǒng)運用知識，增強員工安全意識。對于重要崗位員工，企業(yè)可以與其簽署信息安全保密協(xié)議。

（四）建立企業(yè)信息系統(tǒng)風險評估機制

面對復雜的信息系統(tǒng)數(shù)據(jù)丟失可能帶來的威脅，企業(yè)應該提前做好相應的風險防范工作。首先，企業(yè)應該對信息系統(tǒng)進行全面的風險評估，充分考慮每一項風險發(fā)生的可能性和帶來的后果，均衡成本效益后，采取相應的控制措施。其次，企業(yè)應當建立并執(zhí)行系統(tǒng)數(shù)據(jù)定期備份制度，明確備份的范圍、備份頻率、備份方法、備份責任人、備份存放地點、備份有效性檢查等內容。同時，企業(yè)應當根據(jù)業(yè)務性質和風險程度，制定信息系統(tǒng)業(yè)務持續(xù)和災難恢復計劃。再次，企業(yè)應當采用日常檢測、設立容錯冗余、編制應急預案等預防措施，確保信息系統(tǒng)的持續(xù)運行。對于信息系統(tǒng)中異常的或者違背內部控制要求的交易或數(shù)據(jù)，企業(yè)應當考慮在系統(tǒng)中設置自動報告功能。

綜上所述，增強信息系統(tǒng)內部控制是當務之急，只有內部控制良好的信息系統(tǒng)才能為企業(yè)的運行提供有效的數(shù)據(jù)，為企業(yè)管理打下堅實的基礎，為管理層作出正確的決策提供合理的理論依據(jù)，保證企業(yè)持續(xù)、健康發(fā)展，實現(xiàn)企業(yè)戰(zhàn)略目標。

（作者單位為中海石油〈中國〉有限公司天津分公司）

[1] 王民治，趙學進. ERP環(huán)境下財務會計信息系統(tǒng)內部控制與風險管理研究［J］.會計之友，2013（09）.