信息技术环境下企业内部控制的思考

【摘 要】随着信息技术在企业经营管理中的广泛应用，使企业在提高经营效益的同时，也给企业带来了新问题与挑战，本文针对信息技术环境下企业内部控制存在的特殊风险进行分析，并提出完善信息系统内部控制的措施。

【关键词】信息技术；内部控制；风险；防范措施

内部控制是一个企业或单位为了保证其资产的安全性、会计资料的准确性和可靠性，提高经营效率以及贯彻执行其规定的管理方针而在组织内实施的一系列制度、方法和程序。在信息化环境下，企业实现了业务和财务的一体化，以ERP为代表的企业信息系统已逐步取代了传统的手工系统，提高了企业的经营管理效率。另一方面，信息技术的特殊性也加大了企业经营管理的风险。在信息化环境下，各种数据的处理实现了自动化，人的参与越来越少，部分内部控制活动已由计算机程序所代替，这种内部控制的程序化、集中化，使控制对象由原来的对组织、文档等的控制扩展到对硬件、软件等各种运行环境的控制。

一、信息化环境下企业内部控制的特殊风险

信息技术具有数字化、网络化、多媒体化、智能化、虚拟化等特征，这些特征增加了企业在经营管理上的未知风险。

（一）信息系统资源风险

信息系统，是指企业利用计算机和通信技术，对内部控制进行集成、转化和提升所形成的信息化管理平台。不仅包括以计算机为载体的各种系统软件，还包括各种协同计算机操作各种硬件环境，如电源，房屋等。在传统手工控制环境下，各种信息以纸为存储介质，企业通过对有管理层签字授权的凭证和交易方开具的发票实现对交易的活动的控制。在信息系统环境下，数据及交易信息集中存储在磁介质中，各种交易通过计算机进行处理，并将数据信息记录到明细账、总账等数据库系统。由于软件、硬件等存贮设备的安全具有不可预知性，其本身一旦发生故障，如，水灾、火灾等自然灾害，就会容易导致数据损毁或丢失，甚至面临系统瘫痪的风险。另外，磁介质一旦受损，又很难修复，这使得数字化的信息丢失或损坏的风险加大。

（二）数据处理中的风险

数据的处理包括数据输入、处理和输出。在传统手工环境下，数据主要是手工控制。由于不相容职责的相互分离，数据的处理分散至多个部门，一个部门的差错往往可以在下个环节和其他部门中发现和改正。在信息系统下，数据处理集中化。虽然计算机能够对数据进行快速和准确的处理，但是计算机系统不能识别错误的数据信息。当数据输入错误时，即使之后的数据处理操作都是正确的，信息系统都会相应的输出错误的信息，并在短时间内迅速蔓延，导致从凭证、明细账、到总账信息失真。另一方面，数据处理系统自身存在缺陷，这可能来自两个方面。第一，系统功能设计的不完善，公式不正确；第二，在计算机系统下，数据必须先转换成计算机系统能够识别的代码才能对其进行处理。所以，数据从输入到输出需要经过几次代码的转换，而在这一过程中，可能形成错误。对于这类风险，会使企业信息系统内部控制失效，影响企业的经营管理。

（三）信息系统安全风险

信息系统、数据库及操作系统的相关安全控制如果无效，会增加对数据信息非授权访问的风险。在手工环境下，一项经济业务从发生到形成相应的会计信息，这一过程经历的各个环节都应有相关部门管理人员的授权批准，才能进行下一环节。这种控制方式虽然效率不高，但能有效的防止舞弊的发生。在信息系统环境下，权限分工主要是通过口令授权来实现。一方面口令存储于计算机系统内，容易被他人窃取；另一方面，企业职员的安全防范意识薄弱，设置的口令保密性不高，容易被他人破解。

在手工环境下，各种会计凭证，签字授权均以纸张为载体，很难不露痕迹地加以修改和伪造。但是在信息系统环境下，数据信息存储在磁介质上，会计凭证等也由计算机程序自动生成。而这种电子数据极易被篡改，若能访问数据库，还能将相关的非法访问记录删除，使犯罪舞弊不留痕迹。

（四）网络安全风险

网络环境的开放性和动态性给信息系统的安全也带来了一定的风险。在网络环境下，信息的集中共享，大量的信息可以通过网络快速方便的进行传播。在这一过程中，信息可能被非法拦截，窃取甚至篡改。另外，网络环境下，信息系统遭受病毒入侵或黑客攻击的可能性加大。网络病毒不仅传播速度快，而且影响范围广，具有潜伏性和可继发性，破坏性强。

二、信息化环境下企业内部控制风险应对

（一）完善信息系统功能的设计，加强信息系统开发的控制

企业应该分派熟悉企业业务的人员参与信息系统的开发，使在开发信息系统时，能够根据企业的经营管理情况提出要求，将生产经营管理的业务流程、关键控制点和处理规则嵌入系统程序，实现手工环境下难以实现的控制功能。

（二）加强对信息系统资源的安全管理

由于磁介质对环境的要求较高，而且容易损坏，所以，其周围的环境不仅要防水、防火还要防尘，防磁，并对温度也有一定的要求。企业应定期对数据库的中数据信息进行备份管理，加强对各种硬件、软件的维护和升级。定期对相关线路进行检查和更新。保持机房的通风和持续供电，提供备用供电系统。

（三）加强系统操作的安全管理

（1）企业应建立严格的职责分工制度。信息系统管理部门应与信息系统应用部门的职责相分离，信息系统管理员不能参与业务活动的处理；信息系统应用部门之间，不相容职能相分离，参与会计信息的输入人员不能参与会计信息的核查等。通过对各岗位设这不同的口令权限，并加强对口令的加密。

（2）制定严格的系统管理员的操作规范。系统管理员被赋予超级用户管理权限，主要负责系统硬、软件的管理维护和网络资源分配。管理员应按照被授予权限严格进行操作，非授权情况下，不得对系统进行操作和更改，更不能对和业务有关的流程进行操作访问。

（3）加强机房监控。进入机房要出具相关证件并登记。防止非相关人员随意进入机房，有意或无意的破坏计算机系统环境。

（4）在信息系统中设置操作日志功能，确保操作的可审计性。企业应对系统操作的事件类型、用户身份、操作时间进行实时监控和记录，并设置自动报告和跟踪机制。一旦出现非法操作，能够将警报信息及时返回到监控中心，然后根据记录追根溯源，能够有效的防止舞弊的发生。

（四）加强网络环境的安全性

企业应该加强网络环境的安全性，设置专门的防火墙，禁止外部网络对企业内部网络的访问。同时，对企业重要文件资源设置加密功能，防止企业内部人员将资源拷贝后带出企业。安装杀毒软件，并适时对其进行病毒库的更新。

（五）加强会计队伍自身素质的建设

信息技术在企业经营管理上的应用提高了企业对财务人员能力的要求，要求财务人员不仅懂财务还应该懂IT技术，这样信息系统的开发才能满足用户的需求，内部控制才能得到更有效的运行。应当注意的是，参与系统开发的财务人员不能参与企业业务活动的操作。同时，复合型的财务人员能够更好的运用信息系统处理业务活动，了解信息系统环境下业务流程的关键控制点，这样就能够很好地预防错误与舞弊的发生。企业应该定期对员工进行相关技能的培训与考核，增强员工的专业技能与IT技能，使员工树立敏锐的内部控制意识，强化不同部门间的交流协作，提高职业判断能力，能够在纷繁复杂的信息中抓住重点，及时发现并解决问题。使信息系统环境下的内部控制得到更有效的实施。

三、结语

信息系统自身的特点给企业在信息系统环境下的内部控制带来了特殊的风险。企业应当结合企业自身的经营管理情况，从信息系统的设计出发，到开发，运行和维护，识别关键的控制点，对系统的安全进行合理的控制。使信息系统内部控制能够在企业内部得到有效的运行，提高企业的经营管理效益。

参考文献：

[1]企业内部控制应用指引第18号——信息系统[S].财政部,2011.

[2]王颖.论会计电算化信息系统企业内部控制[J].财政金融,2011(16):67.

[3]张英明.IT环境下会计信息系统内部控制研究[J].中国会计电算化,2002(1):20-22.