信息化視角下企業(yè)內(nèi)部控制工作分析

摘要：企業(yè)推進財務(wù)信息化、管理智能化建設(shè)的根本目標在于促進管理效能提升、業(yè)務(wù)流程優(yōu)化、決策能力增強。信息化系統(tǒng)使內(nèi)部控制范圍有效擴大，控制手段更加先進，控制重點得到精簡，但同時也帶來了數(shù)據(jù)安全、信息共享等方面的新挑戰(zhàn)。企業(yè)需要圍繞信息化應(yīng)用風險，完善內(nèi)控體系。本文以企業(yè)信息化發(fā)展為主要研究視角，探討企業(yè)在建設(shè)與應(yīng)用信息化系統(tǒng)時面臨的內(nèi)部控制問題，并提出了改進組織架構(gòu)，防范數(shù)據(jù)安全風險，擴大內(nèi)控信息化覆蓋范圍，有效落實數(shù)據(jù)治理，升級內(nèi)部監(jiān)督平臺等建議，以期為企業(yè)充分發(fā)揮內(nèi)部控制信息化系統(tǒng)的應(yīng)用優(yōu)勢，強化數(shù)據(jù)資源利用與管理能力提供參考思路。關(guān)鍵詞：信息化視角;內(nèi)部控制;企業(yè)管理物聯(lián)網(wǎng)、5G通信、人工智能以及大數(shù)據(jù)等信息化技術(shù)推動現(xiàn)代企業(yè)不斷完善組織架構(gòu)，改進業(yè)務(wù)流程，使會計信息實現(xiàn)電子化，內(nèi)部管理實現(xiàn)信息化，業(yè)務(wù)活動實現(xiàn)網(wǎng)絡(luò)化，內(nèi)部管理效率越來越高，風險防控與數(shù)據(jù)利用能力逐步增強。企業(yè)可把生產(chǎn)經(jīng)營管理中的處理規(guī)則、關(guān)鍵控制點、業(yè)務(wù)流程向信息化系統(tǒng)程序中嵌入，以此實現(xiàn)自動預(yù)警、攔截等內(nèi)部控制功能，規(guī)避財務(wù)風險、落實內(nèi)控行為，促使預(yù)算執(zhí)行、資金使用、審批管理等業(yè)務(wù)活動更加高效與透明。然而，企業(yè)在構(gòu)建信息化系統(tǒng)、挖掘數(shù)據(jù)利用價值、擴展內(nèi)控功能模塊時出現(xiàn)了不少新問題，對于內(nèi)部控制管理工作也產(chǎn)生了新要求?，F(xiàn)本文基于信息化視角，探討企業(yè)內(nèi)部控制相關(guān)內(nèi)容。一、信息化視角下企業(yè)內(nèi)部控制面臨的挑戰(zhàn)與問題（一）組織架構(gòu)亟須調(diào)整結(jié)構(gòu)合理的企業(yè)組織架構(gòu)能夠使信息資源在各個部門之間暢通流動、高效共享，并使決策機制得到完善，促進企業(yè)增強創(chuàng)新發(fā)展能力與綜合競爭實力。當前，不少企業(yè)的組織架構(gòu)變革滯后，難以滿足信息化發(fā)展需求，不利于構(gòu)建完善的內(nèi)控環(huán)境?，F(xiàn)有組織架構(gòu)具有繁多復(fù)雜的管理層級，部門設(shè)置相對分散，設(shè)置了龐大的下屬單位，業(yè)務(wù)、管理、財務(wù)部門溝通效率提升幅度不明顯，阻礙了精細化內(nèi)控管理體系的構(gòu)建，限制了ERP等信息化系統(tǒng)發(fā)揮其應(yīng)用優(yōu)勢。不少企業(yè)的信息化管理部門建立尚未完備，專業(yè)人員配備數(shù)量不足，部分人員來自其他部門，采用兼職管理的方式。人員職責體系建設(shè)滯后，責任機制難以落實，致使信息化建設(shè)欠缺人員組織及制度機制方面的保障。（二）系統(tǒng)應(yīng)用風險增加提高財務(wù)處理流程的智能化、自動化程度是企業(yè)實施信息化建設(shè)的重要任務(wù)，比如利用影像識別、移動應(yīng)用、云計算技術(shù)構(gòu)建財務(wù)共享模式，鏈接財務(wù)與業(yè)務(wù)流程，自動完成資金管理、臨期業(yè)務(wù)事項超時提醒、編制報表、審核數(shù)據(jù)等業(yè)務(wù)。同時，越來越多的企業(yè)核心數(shù)據(jù)被傳送到云端平臺中保存，盡管服務(wù)商提供了防護與高級加密服務(wù)，然而仍舊無法完全消除人員惡意操作或者外部攻擊的可能性。系統(tǒng)的異常情況將影響內(nèi)控工作的順利實施。若出現(xiàn)泄露機密數(shù)據(jù)的情況，將給企業(yè)帶來經(jīng)濟、信譽等多方面的損失。部分員工缺失安全意識，對于系統(tǒng)尚未充分熟悉，或者技術(shù)人員沒有合理執(zhí)行權(quán)限管控機制，以此給內(nèi)控工作帶來了數(shù)據(jù)安全等新風險。（三）內(nèi)控覆蓋范圍有限從信息化系統(tǒng)的功能設(shè)計分析，有的企業(yè)現(xiàn)有的信息化建設(shè)成果難以實現(xiàn)對各個業(yè)務(wù)以及管理流程的全面覆蓋，功能主要集中在財務(wù)數(shù)據(jù)的綜合管理方面，以此造成內(nèi)控信息化管理能力的不足。隨著內(nèi)控信息化建設(shè)的推進，應(yīng)實現(xiàn)對采購、生產(chǎn)、研發(fā)、銷售等業(yè)務(wù)流程的全方位管控，滿足全面落實內(nèi)控管理的需求，消除現(xiàn)有管理系統(tǒng)在內(nèi)控方面的盲區(qū)。（四）數(shù)據(jù)質(zhì)量管理不到位不少企業(yè)僅對信息化平臺的初期構(gòu)建予以較高的重視程度，欠缺對于數(shù)據(jù)質(zhì)量治理工作的關(guān)注，導(dǎo)致數(shù)據(jù)質(zhì)量問題長時間未得到解決。比如采集的數(shù)據(jù)存在內(nèi)容不準確、不完整、重復(fù)等問題，若數(shù)據(jù)源被污染，可能會發(fā)生格式錯誤、摻雜無效字符等情況。不同文件格式、數(shù)據(jù)庫的數(shù)據(jù)資源實現(xiàn)整合與利用的難度較高;未得到整合、獨立設(shè)置的業(yè)務(wù)系統(tǒng)阻礙了數(shù)據(jù)的跨系統(tǒng)同步與傳遞，致使數(shù)據(jù)內(nèi)容存在差異性;管理層以及基層員工缺失數(shù)據(jù)質(zhì)量管理意識也是企業(yè)在治理數(shù)據(jù)中面臨的共性問題[1]。（五）內(nèi)部監(jiān)督賦能不足企業(yè)在以信息化成果賦能內(nèi)部審計等監(jiān)督工作中還有不足之處。比如企業(yè)當前使用大量系統(tǒng)，從系統(tǒng)中采集、篩選審計所需信息時，因智能分析能力薄弱、數(shù)據(jù)共享受阻等問題，難以滿足精準、快速發(fā)現(xiàn)風險點的需求，仍舊需要耗費大量的審計人力資源?，F(xiàn)有系統(tǒng)無法對整改進度、審計事項進行定期追蹤以及在線留檔，致使監(jiān)督力度不足，不少內(nèi)控缺陷得不到及時彌補。二、信息化視角下企業(yè)內(nèi)部控制工作優(yōu)化措施（一）完善組織架構(gòu)體系其一，調(diào)整組織架構(gòu)模式。企業(yè)在扁平式管理理念的引導(dǎo)下，應(yīng)結(jié)合當前組織體系、下屬單位、職能部門，針對重疊性部門、崗位職能進行整合，將中間管理層級適當縮減，以此縮短部門間的信息傳送路徑，為快速決策、高效執(zhí)行提供組織層面的支持。在現(xiàn)有管理機制的基礎(chǔ)上，要基于業(yè)財融合發(fā)展模式構(gòu)建跨部門、跨單位協(xié)作管理機制，將部門之間的壁壘逐步打破，使信息在各單位、部門之間暢通流動。信息化發(fā)展進程中，財務(wù)等崗位人員面對技能要求、工作內(nèi)容持續(xù)發(fā)生變動，企業(yè)可增設(shè)彈性化崗位，引導(dǎo)員工快速適應(yīng)新業(yè)務(wù)需求、新技術(shù)、新內(nèi)控管理要求。調(diào)整組織架構(gòu)期間，還應(yīng)對崗位權(quán)責體系、責任機制進行動態(tài)調(diào)整，以此使管理體系更加標準化，生產(chǎn)秩序更加科學化，運行格局更加穩(wěn)健化。其二，建立信息化管理部門。企業(yè)應(yīng)以內(nèi)控信息化建設(shè)、應(yīng)用、發(fā)展需求為導(dǎo)向，盡快組建機構(gòu)完善、制度健全、專業(yè)能力良好的信息化管理部門，使該部門在部門總監(jiān)的領(lǐng)導(dǎo)下，為企業(yè)制定內(nèi)控信息化發(fā)展規(guī)劃，管理各類數(shù)據(jù)資源，維護與更新信息設(shè)備，推進信息化建設(shè)與升級項目，滿足外部IT審計需求，提供各個信息系統(tǒng)應(yīng)用指導(dǎo)服務(wù)，參與信息化技術(shù)培訓?？稍诓块T中設(shè)立內(nèi)部顧問、數(shù)據(jù)管理員、系統(tǒng)工程師、文檔管理員、網(wǎng)絡(luò)管理員等崗位，并對其任職要求、職責內(nèi)容進行合理編制，持續(xù)引進變革管理專家、網(wǎng)絡(luò)安全專家、數(shù)據(jù)分析師等內(nèi)控信息化發(fā)展所需的綜合技術(shù)人才，以此滿足內(nèi)控信息化、智能化建設(shè)的人才需求。（二）防控系統(tǒng)應(yīng)用風險企業(yè)應(yīng)認識到以往內(nèi)控管理工作對數(shù)據(jù)安全風險的識別與防控力度不足，將數(shù)據(jù)風險納入風險防控體系中。其一，在風險識別階段，企業(yè)應(yīng)全面識別當前存在的數(shù)據(jù)安全隱患，確定風險因素。比如泄露數(shù)據(jù)風險，具有保密需求的敏感數(shù)據(jù)被外部攻擊者、內(nèi)部員工、惡意軟件非法取得。篡改數(shù)據(jù)風險：業(yè)財部門人員存儲或者傳送數(shù)據(jù)期間發(fā)生人為篡改行為，致使信息內(nèi)容喪失真實性。丟失數(shù)據(jù)風險：因自然災(zāi)害、系統(tǒng)故障、設(shè)備遺失，造成數(shù)據(jù)丟失且難以恢復(fù)至原狀。非法訪問風險：沒有獲得授權(quán)的員工對敏感數(shù)據(jù)進行訪問，引發(fā)數(shù)據(jù)濫用或者泄露事件。其二，在風險防控階段，企業(yè)可通過技術(shù)與管理手段來化解數(shù)據(jù)、網(wǎng)絡(luò)安全風險。企業(yè)可通過數(shù)據(jù)審計，對現(xiàn)有數(shù)據(jù)所在位置與數(shù)量進行審查，劃分數(shù)據(jù)類別，確定關(guān)鍵性數(shù)據(jù)、敏感性數(shù)據(jù)，為其精準實施保護措施[2]?？山柚用鼙Ｗo技術(shù)，對被保存到終端的數(shù)據(jù)加以保護。若存儲設(shè)備被盜或者丟失，竊取人員也難以對數(shù)據(jù)進行訪問。利用域智盾等加密軟件，可通過透明加密等多種加密方法為業(yè)財系統(tǒng)中流轉(zhuǎn)的企業(yè)內(nèi)部文件進行加密以及展開密級管控?？衫孟到y(tǒng)訪問控制管理策略，限制敏感數(shù)據(jù)的訪問權(quán)限。信息化部門可按照各崗位人員完成職責范圍內(nèi)的任務(wù)所需的最小權(quán)限，對各系統(tǒng)訪問權(quán)限進行配置，防控權(quán)限濫用引發(fā)的數(shù)據(jù)風險。定期面向關(guān)鍵業(yè)務(wù)系統(tǒng)賬號進行審閱，及時發(fā)現(xiàn)非授權(quán)賬號與授權(quán)不當?shù)那闆r，嚴禁出現(xiàn)不相容崗位職務(wù)用戶賬號進行交叉操作行為。可在信息終端上部署安全管理系統(tǒng)，全面監(jiān)管企業(yè)員工所用的終端設(shè)備。企業(yè)可編制與執(zhí)行定期備份數(shù)據(jù)機制，并對備份頻度、范圍、存放位置、責任人進行規(guī)定。可通過數(shù)據(jù)與網(wǎng)絡(luò)安全培訓活動，引導(dǎo)全體員工形成安全使用數(shù)據(jù)的意識，并使其掌握識別以及應(yīng)對惡意軟件、網(wǎng)絡(luò)釣魚等威脅的方法。信息化部門還應(yīng)圍繞現(xiàn)行數(shù)據(jù)安全、隱私保護等法規(guī)政策，健全數(shù)據(jù)安全管理制度，定期調(diào)查并評估數(shù)據(jù)安全管理工作，及時發(fā)現(xiàn)數(shù)據(jù)使用方面的內(nèi)控缺陷，增強數(shù)據(jù)使用行為的合規(guī)性。（三）擴大內(nèi)控覆蓋范圍其一，采購管理。企業(yè)可利用采購內(nèi)部控制系統(tǒng)，按照具體生產(chǎn)需求，以自動化的方式生成合理的采購計劃，并實時監(jiān)控、跟蹤采購計劃的執(zhí)行進度。構(gòu)建供應(yīng)商數(shù)據(jù)庫，全方位管理大量供應(yīng)商的報價、信譽、資質(zhì)等信息，智能分析并評價供應(yīng)商的具體績效，以此通過優(yōu)選合適的供應(yīng)商，預(yù)防采購風險[3]。企業(yè)在系統(tǒng)提供的一定時間范圍內(nèi)的采購數(shù)據(jù)分析結(jié)果的支持下，能夠有效察覺采購流程設(shè)置、預(yù)算執(zhí)行情況、供應(yīng)商選取等方面的問題，對采購內(nèi)控流程、制度進行改進。將采購與財務(wù)、合同管理系統(tǒng)對接，可將申請采購、合同會簽、審查合同、變更合同、收付款等環(huán)節(jié)進行全面數(shù)字化處理，以規(guī)范化的方式組織與推進物資購置、合同管理、財務(wù)處理工作。其二，銷售管理。借助銷售管理信息系統(tǒng)，可對客戶信用管理活動展開內(nèi)部控制。在系統(tǒng)中劃分客戶訂單類別后，可自動觸發(fā)審核程序，檢查客戶的欠款信息、所屬類型、授信額度。系統(tǒng)若識別到客戶存在欠款的狀況，將發(fā)送還款通知;若識別到客戶尚存授信額度，同時未到還款期限，則啟動欠款備案，財務(wù)人員可將其向應(yīng)收賬款中匯集，并統(tǒng)一展開追蹤。如果系統(tǒng)未識別到欠款信息，將按照信用額度的實際審查結(jié)果，判定是否對發(fā)貨指令進行執(zhí)行，啟動后續(xù)的發(fā)貨、出庫、開票等流程。系統(tǒng)利用催款程序，可借助發(fā)送最后付款期限提示信息，對同一單位多個不同系統(tǒng)代碼對應(yīng)的欠款項目進行催收，保存催款數(shù)據(jù)，計算延期費用與利息等功能，提高催款效率。（四）落實數(shù)據(jù)質(zhì)量管理其一，技術(shù)層面。企業(yè)可借助API接口、自動化腳本等采集數(shù)據(jù)技術(shù)，縮減數(shù)據(jù)采集階段的人為干預(yù)，縮小數(shù)據(jù)誤差，高質(zhì)量獲取多源數(shù)據(jù)。還可利用采集監(jiān)控機制，確保數(shù)據(jù)采集問題能夠被及時察覺以及糾正，增強財務(wù)、銷售、采購等數(shù)據(jù)信息的時效性與完整性。借助可靠的數(shù)據(jù)容錯機制、加密技術(shù)與傳輸協(xié)議，可預(yù)防傳送數(shù)據(jù)階段的延遲、篡改、丟失等情況。定期面向數(shù)據(jù)倉庫與數(shù)據(jù)源之間的傳輸鏈路實施維護。企業(yè)還應(yīng)盡快對數(shù)據(jù)轉(zhuǎn)換邏輯、清洗標準等處理規(guī)則進行修訂，同時利用自動化處理系統(tǒng)，防范裝載與處理數(shù)據(jù)期間的人為操作失誤[4]。借助驗證對比機制，可增強數(shù)據(jù)的一致性以及準確性。存儲數(shù)據(jù)時應(yīng)當選取符合可擴展、安全可靠等要求的存儲設(shè)備，構(gòu)建具有分布式特點的存儲系統(tǒng)架構(gòu)，并定期監(jiān)測存儲環(huán)境。其二，管理層面。企業(yè)可面向業(yè)務(wù)人員，以數(shù)據(jù)錄入要求為主要培訓內(nèi)容，通過集體學習、網(wǎng)絡(luò)宣傳等活動形式，引導(dǎo)全體員工重視數(shù)據(jù)質(zhì)量。可將數(shù)據(jù)質(zhì)量、相關(guān)培訓學習成績設(shè)置為績效指標。在制度建設(shè)方面，企業(yè)應(yīng)當在數(shù)據(jù)質(zhì)量責任體系中，合理劃分治理數(shù)據(jù)質(zhì)量工作的權(quán)限與職責，并配備激勵、考核機制。利用處理數(shù)據(jù)質(zhì)量問題預(yù)案與制度，圍繞發(fā)現(xiàn)問題、指派人員、解決問題、優(yōu)化系統(tǒng)、反饋信息等環(huán)節(jié)展開閉環(huán)管控，及時響應(yīng)并盡快化解數(shù)據(jù)資源質(zhì)量問題。（五）優(yōu)化內(nèi)部審計平臺企業(yè)可利用大數(shù)據(jù)監(jiān)督平臺，面向存在資產(chǎn)聚集、權(quán)力集中、資金密集、資源富集情況的關(guān)鍵環(huán)節(jié)以及重點領(lǐng)域?qū)嵤┯行У膬?nèi)部監(jiān)督，對合同備案平臺進行開發(fā)，升級當前所用審計系統(tǒng)，將數(shù)據(jù)模型嵌入到平臺中，以此滿足內(nèi)部監(jiān)督中的趨勢預(yù)測、匯集數(shù)據(jù)、深度分析等需求。利用回歸分析、關(guān)聯(lián)分析、時序分析等挖掘算法，可將潛藏于審計數(shù)據(jù)中的問題線索、潛在疑點以及內(nèi)在規(guī)律識別出來，避免因?qū)徲嬋藛T進行主觀判斷而發(fā)生遺漏信息、結(jié)果偏差過大的審計風險，確保企業(yè)存在的未有效分離不相容崗位、業(yè)務(wù)權(quán)限被突破、權(quán)限收回不及時等內(nèi)部控制問題可以被及時發(fā)現(xiàn)。系統(tǒng)通過對超額違規(guī)付款、異常合同簽訂等指標進