摘要:健全可行的內部控制體系有利于企業運營的有效運行,隨著中小企業信息化的發展,中小企業內部控制在設計和執行過程中遇到了新的挑戰。本文對中小企業在信息化環境中內部控制存在的問題進行分析,并提出相關性建議;針對中小企業內部控制的建設提出了展望。
關鍵詞:中小企業 內部控制 信息化 現狀 措施
中小企業占我國企業總數的99%以上,對GDP的貢獻超過60%,對稅收的貢獻超過50%,提供了近70%的進出口貿易額,創造了80%左右的城鎮就業崗位。中小企業的發展對于增加社會就業,推進技術創新,促進經濟發展,尤其是促進地方經濟的發展,提高我國的綜合實力,具有不容忽視的重要作用。中小企業要取得長足發展,在取得政治、經濟、文化等宏觀方面支持的同時,更需要進一步完善其內部控制制度,加強自身的競爭力。
一、信息化環境下,內部控制的新變化
信息化條件下,企業各個經營運作循環都建立了相應的信息系統,如供應環節的ERP系統,研究開發環節的PDM系統,市場營銷環節的CRM系統,分析決策環節的BI系統等。這就要求內部控制的檢查點和關注點都需要集中到信息化系統上。同時隨著信息系統的實施,數據的處理變得復雜多樣,這需要內部控制在企業運行過程中有重點有計劃的實施監控,由此需要內部控制本身要信息化。信息化環境下,企業內部控制監控的實質對象是企業各個運行環節的信息系統,要實現內部控制的目標,需要內部控制對企業的流程進行自動測試,發現異常時再進行重點關注。內部控制不僅要關注企業實物資產的安全,更加要關注企業信息資產的安全。
二、中小企業信息化過程中內部控制的現狀
(一)權責分配不合理
中小企業的組織機構設置多傾向于“因事設人”,崗位分工不明確,制度形同虛設。在中小企業,尤其是規模小的私營企業,財務部門“一人獨大”,不相容職務存在實質性混淆。在信息化條件下,中小企業權限制度的設計和執行都存在瑕疵,上級對權限的過度下放,同級對權限的界限混淆,下級對權限的逾越,致使中小企業權責分配在執行過程中存在不合理。
(二)人員素質和觀念的滯后性
信息系統在中小企業的應用,不僅要求員工要掌握專業技能還要熟知信息系統操作技能,這使得企業的員工面臨著知識層面的欠缺。傳統企業經營運行多為手工操作,處理流程簡單,程序直觀性強,只需掌握權限范圍內的工作。而在經營運行的系統中,整體操作流程自動化,員工需要對整體流程的運行有所了解,明確所處的流程環節及其職責和權限。員工的操作技能與自我定位還有待于適應企業整體信息化的發展。
中小企業管理層目前存在“形式信息化,觀念滯后性”的問題,企業在硬件方面都在追求信息化、數字化。會計軟件和ERP管理系統的應用顯示中小企業正在步入信息化的進程,但是企業管理者的理念還停留在原始的認識階段,缺乏與ERP等信息化系統相適應的先進管理理念。
(三)風險未知性增加,評估難度加大
中小企業的信息系統在建設和維護方面存在著薄弱環節,企業信息資料都經信息系統的處理,一旦系統受到破壞,中小企業將面臨致命的打擊。中小企業信息系統的應用給企業帶來了新風險,一是信息生成的控制風險,二是信息處理的傳遞風險,三是信息保存和輸出的網絡風險。隨著信息化的發展與更新,風險的未知性增加,其中包括系統本身的風險,也包括中小企業內部控制所存在的風險。
系統本身的風險可以定位為技術風險,中小企業資本實力薄弱,企業規模較小,基于對成本效益的考慮,中小企業信息系統在建立和使用過程中往往會受到限制。
中小企業內部控制存在的風險一般包括業務流程附加風險、信息失真風險和評估控制方式風險等。信息化的建設使得企業的業務流程在信息化的條件下進行重組以適應企業的發展,但是原有業務系統與信息系統的融合會給企業帶來新的未知風險,是業務流程信息化的附加風險。中小企業的信息和資料數字化加大了企業的信息控制難度,在一定程度上增加了信息失真的概率。中小企業的原有風險評估方式隨著企業信息化的發展逐漸出現了漏洞,要對這些新的風險做出評估,那原有的風險評估方法已經不適用,倘若風險評估方法無法進行改進,將會給企業帶來風險評估的附加風險。
(四)系統風險控制的不完善
企業信息系統往往會忽視系統退出的控制,一些系統中不會設置“限時鎖定系統或退出系統”指令,會導致蓄意盜取信息的行為發生。中小企業有時為了節約成本會購買盜版軟件,這使得企業系統容易遭受木馬和黑客等攻擊,造成企業數據的篡改或丟失。針對信息系統有可能出現的漏洞,中小企業內部控制缺乏相關的預防和解決措施。
(五)信息量的增加,溝通方式的改變,加大了企業的工作量
隨著信息系統在中小企業廣泛的使用,企業經營生成的信息量也隨之加大,信息的真偽及其重要性需要企業管理層的辨別,這無疑增加了企業運行過程中的工作量。信息系統的使用,使得原有的企業溝通渠道和方式發生了改變,企業對外溝通及企業內部上下級員工的溝通需要進行調整,適應中小企業信息化發展的需要。
(六)經營運行的數字化,減少了業務痕跡,增加了監督難度
信息化管理使得工作量與工作速度都大幅度上升,從而對內部控制的監督加大了難度。企業在采用信息系統進行經營運行之后,某些業務痕跡不能被完整的保留,這給企業審計監督帶來了困難。隨著企業信息化的建立,企業內部控制監督本身也出現了漏洞,例如,原來企業項目或業務的執行需要責任人的簽字以便于責任追究,信息系統的運用只需權限或口令的執行,容易使得企業在授權過程出現瑕疵,不利于企業內部控制的監督。
三、完善信息化環境下中小企業內部控制的措施
(一)重塑適應中小企業信息化的內部控制制度,保障權限分配合理
中小企業要完善內部控制,使內部控制在信息化條件下維護企業的正常運行,首要任務是建立和完善與企業信息化相適應的內部控制制度。中小企業規模小、資金薄弱,這需要中小企業要依照企業自身條件建立信息系統,而不是照搬大企業的系統模式,要避免形式主義。中小企業內部控制制度的建立以“規模小、內容詳、權限嚴”為主旨,這既可以節約成本又有利于管理;中小企業經營內容傾向于一元化、體系化,故而在建立信息系統時要將企業經營的各個環節都要考慮在內,以確保企業信息化發展的可持續性;中小企業人力資源雖不及大企業規模大,但中小企業尤其是小企業員工任用的主觀性比較大,在建立企業信息系統時,應該將員工的權力和權限嚴格劃分,以降低責任混亂的可能性。
(二)加強信息化環境下中小企業工作人員的素質
中小企業信息系統的安全運行,不僅要保障系統本身的無誤性,還要考慮系統操作員的工作能力和素質,系統操作員的工作能力是擔任該項工作的基本要求,只有在能力勝任的條件下,才能保證操作員完成份內工作;操作人員的素質是保證系統運行合規的必要條件。故而企業要針對系統操作人員的工作能力和素質進行定期培訓,保證操作人員的能力和素質的可信賴性。
(三)取得中小企業高層管理者的支持
中小企業信息化條件下,內部控制的建立和完善要取得成功,高層管理者的支持必不可少。企業高層管理者要提高信息化環境下的管理理念,認識到內部控制在企業經營運行中的重要性,了解企業內部控制改進的方向,立足企業自身,剖析企業需求,明確企業目標,建立適應企業發展的內部控制機制。
(四)加強風險的評估和控制
在風險管理信息化環境下,可以利用情景分析工具、蒙特卡羅模擬對風險進行分析,制作風險的分布圖、影響圖和數量趨勢圖等多角度管理視圖。將風險的識別和評估由主觀的定性分析轉變為客觀的定量分析。建立風險監控系統,對企業信息化系統中可能出現的內部控制問題實施監控,不僅是對風險本身的監控,還要對風險發生的條件、征兆進行監控。
(五)保障信息和溝通安全
中小企業在建立了信息系統之后,還要確保企業信息系統的安全。信息系統的安全性主要集中在信息的安全上,企業信息的傳遞過程包括輸入、處理和輸出。信息在輸入時要嚴格按照系統設置的權限進行授權和審批,保證信息在輸入時是真實準確的;在信息處理環節中要確保信息的準確性、適應性、客觀性和及時性;信息輸出過程中要控制信息使用權限,避免企業信息使用混亂、商業機密外泄,保障企業利益不受損害。
(六)優化中小企業內部審計的監督作用
內部審計人員要對信息化后的企業進行深入的了解,區分企業現階段的運營模式與原運營模式的異同,在對企業進行審計時做到“有重點、有計劃、有步驟、有成效”。同時,企業也可以通過社會審計對企業的運行進行監督,降低企業的營運風險,提高中小企業的經營效益。
信息系統在中小企業的應用,使得企業的運行方式和渠道發生了很多變化,信息傳遞的快速化,授權審批的數字化,信息法制的滯后性,各種信息化帶來的變數都需要審計人員從中做出判斷,收集審計證據,最終發表審計意見。因此,為了保證企業的經營運行,企業要對內部審計人員針對中小企業自身的特點進行法規、審計技術和信息系統操作的專門培訓,提高審計人員的素質,保障內部控制監督環節起到應有的作用。
四、結束語
伴隨著中小企業信息化的發展,中小企業內部控制在面臨諸多挑戰的同時也存在著機遇,中小企業內部控制要以“中小企業的獨特性為基準,信息技術的前瞻性為輔翼”來建立和完善。要切實發揮內部控制在企業經營運行中的作用,促進中小企業可持續發展。J
參考文獻:
1.鄭瓊,李曉雄.企業內部控制體系在信息化管理下的改進[J].商業會計,2012,(2).
2.郭文平,楊凌.中小企業內部控制存在的問題及對策分析[J].中國商貿,2011,(34).
3.朱小芳,周大偉.信息化環境下企業內部控制問題探討[J].商業會計,2011,(30).
4.李威.我國中小企業內部控制現狀分析[J].中國商貿,2011,(17)
5.駱良彬,張白.企業信息化過程中內部控制問題研究[J].會計研究,2008,(5).
