陳瑞燕

摘 要 信息系統(tǒng)作為企業(yè)管理的重要實(shí)施方式為管理層提供了更便捷有效的途徑，但同時(shí)也為企業(yè)內(nèi)部控制的有效性帶來了新問題。本文在分析加強(qiáng)企業(yè)信息系統(tǒng)內(nèi)部控制重要性的基礎(chǔ)上，深入探討了當(dāng)前企業(yè)信息系統(tǒng)內(nèi)部控制存在的問題及其成因，并針對(duì)性地提出了加強(qiáng)信息系統(tǒng)內(nèi)部控制的對(duì)策和措施。

關(guān)鍵詞 企業(yè)信息系統(tǒng) 風(fēng)險(xiǎn)控制 內(nèi)部控制

隨著電子信息技術(shù)的飛速發(fā)展，信息系統(tǒng)已經(jīng)普遍成為企業(yè)運(yùn)行和管理的基本工具。信息系統(tǒng)幫助我們處理大量繁雜的數(shù)據(jù)，提高了工作效率，降低了人為操作的錯(cuò)誤發(fā)生率，使遠(yuǎn)程管理更為方便快捷。但信息系統(tǒng)給企業(yè)管理帶來方便的同時(shí)，也給管理層帶來了不可忽視的風(fēng)險(xiǎn)。例如，信息系統(tǒng)的開發(fā)和控制措施是否合理、信息系統(tǒng)提供的數(shù)據(jù)及解決方案是否完整有效、信息系統(tǒng)之間是否相互兼容等。所以，管理層應(yīng)對(duì)信息系統(tǒng)的內(nèi)部控制引起重視，這樣才能使其更有效地為企業(yè)處理事務(wù)，幫助企業(yè)作出決策，從而為實(shí)現(xiàn)企業(yè)戰(zhàn)略目標(biāo)奠定堅(jiān)實(shí)的基礎(chǔ)。

一、當(dāng)前企業(yè)信息系統(tǒng)內(nèi)部控制存在的問題與成因分析

信息技術(shù)高速發(fā)展，企業(yè)的信息系統(tǒng)也隨之不斷更新，以適應(yīng)社會(huì)不斷發(fā)展的需要，這對(duì)企業(yè)內(nèi)部控制提出了更大的挑戰(zhàn)。

（一）企業(yè)信息系統(tǒng)的適用性問題

一種情況是企業(yè)在建立信息系統(tǒng)時(shí)根據(jù)用戶部門的要求借鑒國(guó)外或國(guó)內(nèi)成功企業(yè)的經(jīng)驗(yàn)。但是不同企業(yè)有不同的經(jīng)營(yíng)管理模式和信息技術(shù)管理要求，這可能導(dǎo)致引進(jìn)的信息系統(tǒng)無法真正適應(yīng)企業(yè)管理的要求，需要企業(yè)不斷完善甚至重新建立新的信息系統(tǒng)以彌補(bǔ)舊系統(tǒng)的不足，避免發(fā)生重復(fù)控制、浪費(fèi)資源的情況。

另外一種情況是企業(yè)聘請(qǐng)外部專門從事信息系統(tǒng)開發(fā)的機(jī)構(gòu)或公司為企業(yè)量身定做企業(yè)需要的信息系統(tǒng)。這種情況也會(huì)由于外部人員沒有真正理解企業(yè)的需求，造成信息系統(tǒng)資源的重復(fù)建設(shè)、系統(tǒng)運(yùn)行效率低和無法達(dá)到預(yù)期目標(biāo)的后果，而且往往長(zhǎng)期需要依賴系統(tǒng)開發(fā)機(jī)構(gòu)解決使用過程中出現(xiàn)的各種問題，系統(tǒng)才能正常運(yùn)轉(zhuǎn)。

（二）不同系統(tǒng)對(duì)數(shù)據(jù)的關(guān)注點(diǎn)不同有可能導(dǎo)致系統(tǒng)流轉(zhuǎn)數(shù)據(jù)不準(zhǔn)確

信息技術(shù)的使用涉及企業(yè)的各個(gè)領(lǐng)域，信息系統(tǒng)的建立是為各類業(yè)務(wù)服務(wù)的。例如，為生產(chǎn)經(jīng)營(yíng)需要而產(chǎn)生的生產(chǎn)管理系統(tǒng)；為服務(wù)及物資采辦而產(chǎn)生的采辦管理系統(tǒng)；為物資倉儲(chǔ)而產(chǎn)生的庫存管理系統(tǒng)；為預(yù)算管理、成本核算、費(fèi)用分析和財(cái)務(wù)報(bào)告而產(chǎn)生的會(huì)計(jì)信息系統(tǒng)；為資金收集和支付而產(chǎn)生的資金管理系統(tǒng)。這些信息系統(tǒng)之間一定是相互聯(lián)系的。

采辦管理系統(tǒng)簽訂服務(wù)合同和貨物購買合同購買服務(wù)和貨物，這些貨物通過庫存管理系統(tǒng)領(lǐng)出后用于生產(chǎn)，通過生產(chǎn)經(jīng)營(yíng)系統(tǒng)得出企業(yè)的生產(chǎn)商品的數(shù)據(jù)，而各個(gè)系統(tǒng)的數(shù)據(jù)最終都會(huì)轉(zhuǎn)入會(huì)計(jì)信息系統(tǒng)由財(cái)務(wù)人員進(jìn)行成本核算和費(fèi)用分析，分析的結(jié)果又服務(wù)于生產(chǎn)管理。每一個(gè)流轉(zhuǎn)環(huán)節(jié)都需要相應(yīng)的知識(shí)背景，但系統(tǒng)和系統(tǒng)之間的“溝通”往往沒有想象中那么順暢。實(shí)際操作中會(huì)有這樣的例子，生產(chǎn)領(lǐng)料人員需要相應(yīng)的原材料，經(jīng)過一定領(lǐng)料審批后由庫房的管理人員對(duì)材料進(jìn)行出庫，系統(tǒng)自動(dòng)將領(lǐng)出材料計(jì)入成本費(fèi)進(jìn)行會(huì)計(jì)核算，之后轉(zhuǎn)入會(huì)計(jì)信息系統(tǒng)。這種情況下，由于領(lǐng)料人員和庫房保管人員不具備專業(yè)的財(cái)務(wù)知識(shí)，所以不能判斷材料的成本費(fèi)用科目是否正確，而財(cái)務(wù)人員沒有及時(shí)得到相應(yīng)的領(lǐng)料依據(jù)，因此無法對(duì)其進(jìn)行相應(yīng)的復(fù)核。尤其是大型企業(yè)，每天的生產(chǎn)領(lǐng)料數(shù)據(jù)非常巨大，財(cái)務(wù)核算人員無法及時(shí)獲取相關(guān)復(fù)核資料，一旦出現(xiàn)錯(cuò)誤，直接影響最終的財(cái)務(wù)報(bào)表數(shù)據(jù)。

（三）企業(yè)信息系統(tǒng)在操作過程中存在安全性問題

信息系統(tǒng)一定是由人來操作，那就會(huì)有相應(yīng)的人員操作風(fēng)險(xiǎn)。例如，有不法分子利用非法手段強(qiáng)行進(jìn)入企業(yè)信息系統(tǒng)竊取機(jī)密信息；企業(yè)內(nèi)部人員為了達(dá)到某種目的濫用權(quán)限進(jìn)行非法操作和舞弊，篡改系統(tǒng)信息。當(dāng)然也存在由于系統(tǒng)權(quán)限配置不當(dāng)，致使企業(yè)員工誤操作而導(dǎo)致的數(shù)據(jù)錯(cuò)誤或系統(tǒng)功能失效等。

信息系統(tǒng)本身的固有局限性也可能導(dǎo)致信息泄露的風(fēng)險(xiǎn)。信息系統(tǒng)的安全措施不當(dāng)，可能導(dǎo)致系統(tǒng)信息的泄露、毀損、丟失等。

（四）信息系統(tǒng)數(shù)據(jù)的丟失

信息系統(tǒng)正常運(yùn)行過程中，各種信息在系統(tǒng)內(nèi)正常流轉(zhuǎn)，一旦發(fā)生事故或非正常事件，系統(tǒng)中斷運(yùn)行，信息毀損、丟失，會(huì)給企業(yè)正常運(yùn)行管理造成非常重大的損失。例如，庫存管理系統(tǒng)的各個(gè)遠(yuǎn)程終端由于不可抗力發(fā)生事故，導(dǎo)致庫存信息毀損，給生產(chǎn)帶來不便，同時(shí)傳入會(huì)計(jì)核算系統(tǒng)的數(shù)據(jù)失真，最終導(dǎo)致企業(yè)財(cái)務(wù)報(bào)表數(shù)據(jù)失真，給企業(yè)帶來嚴(yán)重的負(fù)面影響。

二、加強(qiáng)企業(yè)信息系統(tǒng)內(nèi)部控制的對(duì)策措施

面對(duì)上述問題，企業(yè)可以從內(nèi)部控制的角度考慮各個(gè)風(fēng)險(xiǎn)的大小，采取降低、轉(zhuǎn)移或規(guī)避風(fēng)險(xiǎn)的方式來化解相應(yīng)的風(fēng)險(xiǎn)，實(shí)現(xiàn)信息系統(tǒng)的有效內(nèi)部控制。

（一）加強(qiáng)企業(yè)在信息系統(tǒng)開發(fā)階段的內(nèi)部控制建設(shè)

企業(yè)在進(jìn)行信息系統(tǒng)開發(fā)時(shí)應(yīng)該充分考慮自身的管理模式和業(yè)務(wù)類型，以及企業(yè)文化、技術(shù)能力、組織架構(gòu)、地域特點(diǎn)等因素，選擇建立適應(yīng)企業(yè)要求的信息系統(tǒng)。企業(yè)內(nèi)部應(yīng)該建立健全相應(yīng)的信息系統(tǒng)內(nèi)部控制制度體系，對(duì)信息系統(tǒng)的引進(jìn)、開發(fā)和維護(hù)均制定相應(yīng)的管理制度。

企業(yè)應(yīng)該首先制定信息系統(tǒng)開發(fā)的戰(zhàn)略目標(biāo)，在系統(tǒng)引進(jìn)和上線前進(jìn)行可行性研究，充分收集用戶部門相關(guān)的系統(tǒng)需求，并評(píng)估可能發(fā)生的風(fēng)險(xiǎn)，梳理信息系統(tǒng)開發(fā)和應(yīng)用等各個(gè)環(huán)節(jié)的關(guān)鍵控制點(diǎn)，設(shè)計(jì)適當(dāng)?shù)目刂拼胧?duì)其進(jìn)行控制。

企業(yè)應(yīng)該建立信息系統(tǒng)上線審批制度，對(duì)于系統(tǒng)上線運(yùn)行和升級(jí)替換，應(yīng)當(dāng)由歸口部門和用戶部門批準(zhǔn)后實(shí)施，主要的信息系統(tǒng)開發(fā)和重大的信息系統(tǒng)實(shí)施方案，必須由董事會(huì)或類似機(jī)構(gòu)審核批準(zhǔn)后才能實(shí)施。

（二）加強(qiáng)企業(yè)信息系統(tǒng)的應(yīng)用控制及人工控制

企業(yè)內(nèi)部的各種業(yè)務(wù)類型都是為企業(yè)服務(wù)的，所以各個(gè)業(yè)務(wù)系統(tǒng)之間應(yīng)該相互聯(lián)系，形成一個(gè)閉環(huán)。對(duì)于企業(yè)各個(gè)信息系統(tǒng)之間傳遞的數(shù)據(jù)，企業(yè)應(yīng)當(dāng)根據(jù)實(shí)際情況，對(duì)不同的控制環(huán)節(jié)采取不同的系統(tǒng)應(yīng)用控制，如手工控制或兩者相結(jié)合的控制。企業(yè)可以設(shè)置系統(tǒng)控制參數(shù)，建立規(guī)范的流程。

例如，上述第二個(gè)問題，在生產(chǎn)領(lǐng)料系統(tǒng)中可以增設(shè)領(lǐng)料環(huán)節(jié)的系統(tǒng)應(yīng)用控制，將領(lǐng)料人員按其業(yè)務(wù)性質(zhì)分成不同的類別，設(shè)置不同性質(zhì)的領(lǐng)料崗位對(duì)應(yīng)的財(cái)務(wù)科目或財(cái)務(wù)科目細(xì)類。財(cái)務(wù)人員將傳入會(huì)計(jì)核算系統(tǒng)的領(lǐng)料數(shù)據(jù)按預(yù)先分好的核算類別匯總，與拿到的領(lǐng)料單據(jù)核對(duì)。系統(tǒng)應(yīng)用控制和人工控制相結(jié)合，有效降低了錯(cuò)誤數(shù)據(jù)發(fā)生的概率。

企業(yè)的內(nèi)部審計(jì)部門也可以不定期地對(duì)信息系統(tǒng)的應(yīng)用控制和人工控制進(jìn)行檢查和評(píng)價(jià)，確定其是否真正起到了控制作用。

另外，對(duì)于手工錄入、批量導(dǎo)入、接收其他系統(tǒng)數(shù)據(jù)等不同的數(shù)據(jù)輸入方式，可以分別考慮對(duì)進(jìn)入系統(tǒng)數(shù)據(jù)的檢查和校驗(yàn)功能，確保數(shù)據(jù)的準(zhǔn)確性、有效性和完整性。

企業(yè)應(yīng)該設(shè)置信息系統(tǒng)操作日志，詳細(xì)記錄系統(tǒng)當(dāng)日的操作內(nèi)容、流量和系統(tǒng)之間的接口設(shè)置，并配備專門的人員對(duì)系統(tǒng)之前的接口設(shè)置進(jìn)行定期檢查，如存在異常的交易或者數(shù)據(jù)，應(yīng)盡快處理并以報(bào)告的形式記錄下來，為將來維護(hù)和評(píng)價(jià)系統(tǒng)功能儲(chǔ)備資料。

（三）加強(qiáng)企業(yè)信息（下轉(zhuǎn)第頁）（上接第頁）系統(tǒng)的安全控制

企業(yè)應(yīng)當(dāng)根據(jù)不同信息系統(tǒng)的不同特性設(shè)置不同的安全參數(shù)，使用技術(shù)手段加強(qiáng)系統(tǒng)的訪問安全。例如，采用設(shè)置防火墻、漏洞掃描、入侵檢測(cè)、遠(yuǎn)程訪問安全策略等手段加強(qiáng)風(fēng)險(xiǎn)防控，阻止來自網(wǎng)絡(luò)的攻擊和非法侵入，也可以采取安裝安全軟件的措施來防范信息系統(tǒng)受到病毒等惡意軟件的感染和破壞?？紤]到內(nèi)部控制的成本效益原則，企業(yè)應(yīng)當(dāng)根據(jù)信息系統(tǒng)的業(yè)務(wù)性質(zhì)和重要程度設(shè)置不同的安全標(biāo)準(zhǔn)，針對(duì)不同的信息系統(tǒng)采用不同的控制技術(shù)。

對(duì)于信息系統(tǒng)權(quán)限的管理，企業(yè)應(yīng)該建立用戶權(quán)限管理制度，設(shè)置專門的信息系統(tǒng)權(quán)限管理崗位管理權(quán)限，禁止不相容職務(wù)用戶的權(quán)限交叉。對(duì)于崗位發(fā)生變動(dòng)或離職的人員，應(yīng)在管理制度中規(guī)定員工所在部門或人力資源部及時(shí)將員工變動(dòng)信息通知系統(tǒng)權(quán)限管理員，以便系統(tǒng)管理人員及時(shí)變更或撤銷其權(quán)限，防止不必要的信息系統(tǒng)數(shù)據(jù)錯(cuò)誤或數(shù)據(jù)泄露風(fēng)險(xiǎn)。企業(yè)應(yīng)該制定系統(tǒng)權(quán)限手冊(cè)，明確每個(gè)崗位應(yīng)該擁有哪些權(quán)限，明確不相容崗位不應(yīng)該擁有哪些權(quán)限，系統(tǒng)權(quán)限管理人員據(jù)以定期檢查系統(tǒng)權(quán)限，發(fā)現(xiàn)并清除不符合規(guī)定的權(quán)限，形成檢查記錄存檔。

企業(yè)的管理層應(yīng)對(duì)信息系統(tǒng)的安全性加強(qiáng)關(guān)注，從自我做起，不定期地對(duì)員工進(jìn)行系統(tǒng)操作及安全知識(shí)培訓(xùn)，豐富員工的信息系統(tǒng)運(yùn)用知識(shí)，增強(qiáng)員工安全意識(shí)。對(duì)于重要崗位員工，企業(yè)可以與其簽署信息安全保密協(xié)議。

（四）建立企業(yè)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估機(jī)制

面對(duì)復(fù)雜的信息系統(tǒng)數(shù)據(jù)丟失可能帶來的威脅，企業(yè)應(yīng)該提前做好相應(yīng)的風(fēng)險(xiǎn)防范工作。首先，企業(yè)應(yīng)該對(duì)信息系統(tǒng)進(jìn)行全面的風(fēng)險(xiǎn)評(píng)估，充分考慮每一項(xiàng)風(fēng)險(xiǎn)發(fā)生的可能性和帶來的后果，均衡成本效益后，采取相應(yīng)的控制措施。其次，企業(yè)應(yīng)當(dāng)建立并執(zhí)行系統(tǒng)數(shù)據(jù)定期備份制度，明確備份的范圍、備份頻率、備份方法、備份責(zé)任人、備份存放地點(diǎn)、備份有效性檢查等內(nèi)容。同時(shí)，企業(yè)應(yīng)當(dāng)根據(jù)業(yè)務(wù)性質(zhì)和風(fēng)險(xiǎn)程度，制定信息系統(tǒng)業(yè)務(wù)持續(xù)和災(zāi)難恢復(fù)計(jì)劃。再次，企業(yè)應(yīng)當(dāng)采用日常檢測(cè)、設(shè)立容錯(cuò)冗余、編制應(yīng)急預(yù)案等預(yù)防措施，確保信息系統(tǒng)的持續(xù)運(yùn)行。對(duì)于信息系統(tǒng)中異常的或者違背內(nèi)部控制要求的交易或數(shù)據(jù)，企業(yè)應(yīng)當(dāng)考慮在系統(tǒng)中設(shè)置自動(dòng)報(bào)告功能。

綜上所述，增強(qiáng)信息系統(tǒng)內(nèi)部控制是當(dāng)務(wù)之急，只有內(nèi)部控制良好的信息系統(tǒng)才能為企業(yè)的運(yùn)行提供有效的數(shù)據(jù)，為企業(yè)管理打下堅(jiān)實(shí)的基礎(chǔ)，為管理層作出正確的決策提供合理的理論依據(jù)，保證企業(yè)持續(xù)、健康發(fā)展，實(shí)現(xiàn)企業(yè)戰(zhàn)略目標(biāo)。

（作者單位為中海石油<中國(guó)>有限公司天津分公司）

參考文獻(xiàn)

[1] 王民治，趙學(xué)進(jìn). ERP環(huán)境下財(cái)務(wù)會(huì)計(jì)信息系統(tǒng)內(nèi)部控制與風(fēng)險(xiǎn)管理研究

[J].會(huì)計(jì)之友，2013（09）.