信息化环境下中小企业内部控制的问题研究

　摘要：健全可行的内部控制体系有利于企业运营的有效运行，随着中小企业信息化的发展，中小企业内部控制在设计和执行过程中遇到了新的挑战。本文对中小企业在信息化环境中内部控制存在的问题进行分析，并提出相关性建议；针对中小企业内部控制的建设提出了展望。
　　关键词：中小企业 内部控制 信息化 现状 措施
　　小企业占我国企业总数的99%以上，对GDP的贡献超过60%，对税收的贡献超过50%，提供了近70%的进出口贸易额，创造了80%左右的城镇就业岗位。中小企业的发展对于增加社会就业，推进技术创新，促进经济发展，尤其是促进地方经济的发展，提高我国的综合实力，具有不容忽视的重要作用。中小企业要取得长足发展，在取得政治、经济、文化等宏观方面支持的同时，更需要进一步完善其内部控制制度，加强自身的竞争力。
　　一、信息化环境下，内部控制的新变化
　　信息化条件下，企业各个经营运作循环都建立了相应的信息系统，如供应环节的ERP系统，研究开发环节的PDM系统，市场营销环节的CRM系统，分析决策环节的BI系统等。这就要求内部控制的检查点和关注点都需要集中到信息化系统上。同时随着信息系统的实施，数据的处理变得复杂多样，这需要内部控制在企业运行过程中有重点有计划的实施监控，由此需要内部控制本身要信息化。信息化环境下，企业内部控制监控的实质对象是企业各个运行环节的信息系统，要实现内部控制的目标，需要内部控制对企业的流程进行自动测试，发现异常时再进行重点关注。内部控制不仅要关注企业实物资产的安全，更加要关注企业信息资产的安全。
　　二、中小企业信息化过程中内部控制的现状
　　（一）权责分配不合理
　　中小企业的组织机构设置多倾向于“因事设人”，岗位分工不明确，制度形同虚设。在中小企业，尤其是规模小的私营企业，财务部门“一人独大”，不相容职务存在实质性混淆。在信息化条件下，中小企业权限制度的设计和执行都存在瑕疵，上级对权限的过度下放，同级对权限的界限混淆，下级对权限的逾越，致使中小企业权责分配在执行过程中存在不合理。
　　（二）人员素质和观念的滞后性
　　信息系统在中小企业的应用，不仅要求员工要掌握专业技能还要熟知信息系统操作技能，这使得企业的员工面临着知识层面的欠缺。传统企业经营运行多为手工操作，处理流程简单，程序直观性强，只需掌握权限范围内的工作。而在经营运行的系统中，整体操作流程自动化，员工需要对整体流程的运行有所了解，明确所处的流程环节及其职责和权限。员工的操作技能与自我定位还有待于适应企业整体信息化的发展。
　　中小企业管理层目前存在“形式信息化，观念滞后性”的问题，企业在硬件方面都在追求信息化、数字化。会计软件和ERP管理系统的应用显示中小企业正在步入信息化的进程，但是企业管理者的理念还停留在原始的认识阶段，缺乏与ERP等信息化系统相适应的先进管理理念。
　　（三）风险未知性增加，评估难度加大
　　中小企业的信息系统在建设和维护方面存在着薄弱环节，企业信息资料都经信息系统的处理，一旦系统受到破坏，中小企业将面临致命的打击。中小企业信息系统的应用给企业带来了新风险，一是信息生成的控制风险，二是信息处理的传递风险，三是信息保存和输出的网络风险。随着信息化的发展与更新，风险的未知性增加，其中包括系统本身的风险，也包括中小企业内部控制所存在的风险。
　　系统本身的风险可以定位为技术风险，中小企业资本实力薄弱，企业规模较小，基于对成本效益的考虑，中小企业信息系统在建立和使用过程中往往会受到限制。
　　中小企业内部控制存在的风险一般包括业务流程附加风险、信息失真风险和评估控制方式风险等。信息化的建设使得企业的业务流程在信息化的条件下进行重组以适应企业的发展，但是原有业务系统与信息系统的融合会给企业带来新的未知风险，是业务流程信息化的附加风险。中小企业的信息和资料数字化加大了企业的信息控制难度，在一定程度上增加了信息失真的概率。中小企业的原有风险评估方式随着企业信息化的发展逐渐出现了漏洞，要对这些新的风险做出评估，那原有的风险评估方法已经不适用，倘若风险评估方法无法进行改进，将会给企业带来风险评估的附加风险。
　　（四）系统风险控制的不完善
　　企业信息系统往往会忽视系统退出的控制，一些系统中不会设置“限时锁定系统或退出系统”指令，会导致蓄意盗取信息的行为发生。中小企业有时为了节约成本会购买盗版软件，这使得企业系统容易遭受木马和黑客等攻击，造成企业数据的篡改或丢失。针对信息系统有可能出现的漏洞，中小企业内部控制缺乏相关的预防和解决措施。
　　（五）信息量的增加，沟通方式的改变，加大了企业的工作量
　　随着信息系统在中小企业广泛的使用，企业经营生成的信息量也随之加大，信息的真伪及其重要性需要企业管理层的辨别，这无疑增加了企业运行过程中的工作量。信息系统的使用，使得原有的企业沟通渠道和方式发生了改变，企业对外沟通及企业内部上下级员工的沟通需要进行调整，适应中小企业信息化发展的需要。
　　（六）经营运行的数字化，减少了业务痕迹，增加了监督难度
　　信息化管理使得工作量与工作速度都大幅度上升，从而对内部控制的监督加大了难度。企业在采用信息系统进行经营运行之后，某些业务痕迹不能被完整的保留，这给企业审计监督带来了困难。随着企业信息化的建立，企业内部控制监督本身也出现了漏洞，例如，原来企业项目或业务的执行需要责任人的签字以便于责任追究，信息系统的运用只需权限或口令的执行，容易使得企业在授权过程出现瑕疵，不利于企业内部控制的监督。
　　三、完善信息化环境下中小企业内部控制的措施
　　（一）重塑适应中小企业信息化的内部控制制度，保障权限分配合理
　　中小企业要完善内部控制，使内部控制在信息化条件下维护企业的正常运行，首要任务是建立和完善与企业信息化相适应的内部控制制度。中小企业规模小、资金薄弱，这需要中小企业要依照企业自身条件建立信息系统，而不是照搬大企业的系统模式，要避免形式主义。中小企业内部控制制度的建立以“规模小、内容详、权限严”为主旨，这既可以节约成本又有利于管理；中小企业经营内容倾向于一元化、体系化，故而在建立信息系统时要将企业经营的各个环节都要考虑在内，以确保企业信息化发展的可持续性；中小企业人力资源虽不及大企业规模大，但中小企业尤其是小企业员工任用的主观性比较大，在建立企业信息系统时，应该将员工的权力和权限严格划分，以降低责任混乱的可能性。