1. 引言
随着互联网技术的不断发展,软件平台、云计算技术、智能化的广泛应用,传统的内部控制制度和手段已难以满足信息化时代下企业的发展要求。企业越来越重视经营管理与信息化之间的联系,在传统的内部控制体系中,加入信息化元素,从而强化生产能力、优化人员配置、提升企业内部控制效率,确保企业各部门之间的团结一致,促进企业发展,因此,企业取得持续发展的关键就是在经营中更加重视信息化建设。目前,我国企业内部信息化建设依然存在问题,企业部分人员对信息化的认识不正确,不支持信息化建设,企业内部信息壁垒仍然存在。所以,研究信息化环境下企业内部控制的变革具有重要意义。本文以内部控制变革为研究中心,通过研究分析信息化环境对企业内部控制的影响,希望能对信息化环境下企业内部控制的一些问题提出相应的对策建议。
2. 建设信息化环境的重要性
面对着企业内外部的监管力度不断加强,企业传统的管理模式难以适应现代企业管理的要求,建设信息化环境对企业发展的重要性不言而喻。
企业的信息化建设就是把正确标准的内部控制规范分解,然后通过计算机自动执行的过程。因此,建设信息化环境要求企业必须对内部控制的各个循环进行清晰的规划和细分,从而对内部控制进行完善,发挥信息系统最大的作用。同时,信息化建设缓解了纸质环境下内部控制制度执行过程中的责任落实情况,加强了内部控制制度中审阅和执行的公平公正,极大地减少了各种因素对企业内部控制效率的影响。此外,在企业传统的管理模式下,各个部门接受到信息并参与任务的时间点很难达到一致,信息传递的时效性较差 [1]。建设信息化环境,使企业各部门之间能够及时查阅并共享信息,企业的资料在操作程序中生成并保存,很多业务需要提供相关资料的电子版扫描件,纸质版和电子版资料共同构成了企业档案资料,保证了资料的完整性,提高了企业的管理效率和水平。
3. 信息化对企业内部控制的影响分析
3.1. 内部控制主体的变化
在传统内部控制模式下,企业内部控制的制定、执行、监督和完善都是依靠人工完成,其效率和准确性较差,且企业各部门之间存在着信息不对称的情况,影响企业正常的生产经营情况。随着信息化的广泛应用,企业内部控制逐渐实现了信息化和智能化建设,各部门之间实现了在网络平台上实时共享信息,从而提高信息收集的效率 [2],为信息使用者及时提供信息,同时,信息化建设为企业增添了计算机方面的专业人才,这对内部控制相关人才的要求越来越高,内部控制人员不仅具有相关专业知识,还要具备计算机技能。
3.2. 内部控制实施方式的变化
在工业时代,企业实施内部控制主要是为了满足法律法规的要求,然而企业的发展更加注重员工的业务能力,随着互联网的飞速发展,企业的管理理念趋向于人性化管理。目前企业对于高素质人才有了更为明显的需求,这些高素质人才不仅要具备相关的专业知识,熟悉并掌握工作内容和流程,还要随着时代的变化更新自己的知识储备,发挥自身的优势,从而更好地投入内部控制管理中。
3.3. 内部控制重点的转变
信息化环境下企业的内部控制是通过人工和计算机共同完成的,而传统模式下,内部控制主要避免相关人员工作的失误,并确保数据的准确性,通过信息化建设,很多企业的内部控制由人工转变为相关软件来控制,计算机生成的数据一般不存在计算错误 [3],因此从避免人的失误转变为对计算机的控制,保证数据的安全性、真实性、有效性,同时注重计算机操作人员的权限控制。
3.4. 内部控制范围的扩大
互联网技术的发展使企业的管理模式和组织结构发生了改变,企业的会计工作越来越复杂,内部控制的范围更加广泛,企业的内部控制从账簿、凭证、岗位的控制,扩展到数据安全、操作权限、计算机系统风险等控制,内部控制的范围扩展到了计算机领域。信息化建设加深了会计工作对企业经营管理的影响,企业要制定完善的内部控制制度,同时对计算机系统的维护、财务软件平台等进行控制,以确保会计信息的准确性和资产的安全性。
4. 信息化环境下企业内部控制存在的问题
4.1. 企业内部信息化系统存在安全隐患
大多数企业顺应时代的发展,认识到信息化的建设对于企业的可持续性发展必不可少,但由于企业中人才队伍建设不健全,信息技术管理人才的缺乏,致使企业耗费大量人力物力建设起来的信息化系统无人操作,技术人员的知识匮乏、能力不足,对于系统出现的棘手问题以及后期的维护无能为力,就易出现企业内部机密文件泄露的事件。威尔森在2021年的《数据泄露调查报告》中表明85%的数据泄露涉及个人因素,61%的数据泄露牵涉登录凭证,而勒索软件占比大约10%,比去年增加了一倍,其中工作人员的疏漏、员工贩卖数据是导致企业内部信息被窃取的主要原因 [4],在IBM《2021年数据泄露成本报告》中,指出每次数据泄露的事件平均会给企业造成424万美元的损失。另一项研究表明,有45%的员工会考虑将公司的信息出售,在一个将近500名IT行业的网络安全维护人员的采访中,有将近1/4的人员表示会出卖信息作为获取另一份工作的跳板。其次,顺应时代发展,远程工作成为日常,近20%的研究对象表示,远程工作的数字交互,导致了信息泄露,最终给公司造成496万美元的损失 [5]。另外,恶意软件、黑客的攻击以及企业大力缩减安全防护成本都成为企业信息被盗的重要原因,在《IT安全经济学》中,表明每次恶意事件的发生损失成本273万美元。
4.2. 企业内部架设的协作制度执行不力
随着我国经济的不断发展,市场的经济形势也随之发生变化,因此企业采取传统的分级组织形式已无法满足现代企业发展的需求,对于企业的转型和升级也会带来不利的影响。首先,企业没有建立顺畅的沟通渠道,致使管理层下达指令没有正式的函件,以至于各部门根据本身的职责经验执行命令。此外,企业的管理层对制度的贯彻力度不到位,从而导致制度执行不严,企业的制度往往只在小范围的管理人员之间传阅一下,而没有针对性的结合部门职责进行传达和学习,从而导致职员对制度的内容和重要性模糊不清的情况。其次,企业本身对于各部门功能职责划分不明确,导致工作重叠,缺漏,加上本位主义思想的盛行,致使企业各部门各自为政,互相防范,注重本部门的利益而忽视合作,意见不一致而没有有效的沟通,导致工作出现纰漏,进而演变为责任相互推诿的情况。另外,沟通人员的态度,表达能力在信息传递过程中占据了重要的一环,沟通人员态度敷衍,行为急躁,表达能力欠缺以及信息接收者的理解能力不足等都会制约各部门职责的落实。最后,在大数据信息化盛行的今天,大多数企业精简部门,删繁就简,过度依赖信息化系统,使得各部门缺乏主观能动性,内部制定的协作制度形同虚设。
4.3. 企业内部文化理念意识逐渐薄弱
大多数企业推行“狼性文化”,狼性文化是一种带有野性的拼搏精神,其中最重要的就是团队协作还有战胜困难的勇气,是一种现代的、先进的企业文化。狼性文化针对内部控制,确实起到了协作,遵守纪律的作用,但由于信息化浪潮的影响,以及狼性文化的加持,致使员工的思想呈现“多元化”,考虑的都是自身事业的发展,个人利益凌驾于集体利益之上,为达目的不择手段,尤其体现在企业员工内卷严重,长此以往造成企业和员工在文化上的迷失,例如员工的工资大多由提成构成,员工之间互相攀比,对所得资源不与同事分享,而处处提防,试想员工受公司同事有爱,互帮互助才能双赢的文化理念熏陶,结果会出现业绩大幅提升,企业会长远发展。在内部管理中,由于人性的缺失,容易形成强硬的刚性文化,老板与员工、员工与员工之间的相处以“性恶论”为原则,相互堤防,相互猜忌,毫无信任感,造成企业内部的巨大内耗。此外,企业内部从管理层到基层对内部控制的不重视,内部控制难以执行,甚至出现管理层舞弊的现象,同样体现了企业内控文化的缺失。管理层舞弊的案例并不少,例如在2019年站在市场的风口浪尖上的康美药业(ST康美),在4月30日发生了300亿元的货币资金不翼而飞案,通过证监会对该上市公司的通报来看,2016年至2018年的财务报告存在重大的虚假信息 [6]。管理层舞弊往往比员工舞弊更难被发现,企业内控文化的缺失带来了不可逆的负面影响。
4.4. 企业内部控制监管趋于程序化
当前社会属于一个大数据笼罩下的时代,程序化有利于企业内部按部就班的运作,但也体现出缺乏灵活性,长期依赖于程序化的运作,也使得问题反复出现得不到实质性解决 [7]。另外,信息化带来的大量简洁有效的信息,确实帮助各部门提高了工作效率,但也由于信息的鱼龙混杂,致使监管部门人员浮于表面,缺乏对本身职责负责的意识,而采用信息化的普遍解决方案,没有根据企业内部本身的实质问题进行针对性的解决,致使企业止步不前,甚至对容易获取的解决方案不加辨识,根据本身的经验做出错误的决断,致使企业短期损失大量资金,长期对企业商业布局以及战略规划做出错误决策。同时,对于加强信息化建设的企业,使传统的人与人之间相互牵制的管理模式转变成了人与计算机之间相互约束的管理模式,这就使企业的内部控制从单一控制制度转变为即有人控制又有计算机控制的制度,是内部控制环境更加复杂,从而增加了内部控制监管的难度,如何提高计算机软件维护人员的职业素养、如何建立计算机维护人员与管理人员的岗位分离与内部控制等问题,成为了企业内部控制监管需要解决的难题。
5. 信息化环境下企业内部控制的改进策略
5.1. 建立完善的内部控制制度
信息化内控必须重视控制目标、控制活动与控制对象三项内容。首先,控制目标一般可分为财务目标与非财务目标,虽然信息化改变了企业传统业务流程,但并未改变全局的经营管理目标,所以企业必须进一步明确职责,压实责任,构建系统完善的权力运行机制,从而实现信息化安全与生产经营间的制约与平衡,使内控脱离传统人为主观纠错的控制模式,将系统性、规范性活动渗透到各环节,完成企业控制权布局;其次,控制活动指的是企业为确保各项指令落地落实而实行的程序、步骤,为实现信息化安全,企业可以在原本控制活动的基础上,再次进行细致划分、安排部署,通过延长活动周期、严格审批程序、设计新型元素、增加垂直层级、扩大参与人员范围等,以“精益求精、不扰生产”为原则,提高内控容错率;最后,控制对象即公司员工,信息化系统提升公司效益的同时必然会带来潜在风险,这些不稳定因素可能会存在于管理、经营运作及环境控制之中,针对这些问题,企业必须健全专业技术人员专项检查和工作人员日常检查并行的风险评估机制,发现问题及时反馈、修正,削减与预期目标间的差距,并建立与风险评估机制相挂钩的奖惩机制,倒逼员工重视信息化安全。
5.2. 提高企业员工综合素质
“以人为本”理念对于企业内部控制至关重要,员工是企业经营、管理活动的基础、对象。企业信息化建设中必须充分重视员工的聘用、选拔、培养等各环节,对招聘环节严格把关,通过制定合适的招聘标准,吸收大量的优秀人才,并通过外出学习、网络视频、专家讲座等方式对员工制定培训计划,根据员工实际掌握情况制定专项培训辅助计划,增加计算机方面的培训课程,一方面,提高员工信息化利用水平,日常工作中实现自动化数据采集、信息加工、数据存储,增强信息使用效率;另一方面,强化员工安全防范意识,严格工作标准和工作流程,以人为中心自上而下筑牢信息安全的思想防线。企业只有真正将员工视为内部控制的内在因素之一,才能在硬性操控的基本遵循上实现信息化革新。此外,加强企业内部人员的内控意识,塑造企业内控文化。企业内部控制信息系统主要是管理层来应用,因此提高内控意识要以管理层开始进行系统的学习,制定自上而下的重视制度和科学的奖惩制度,营造企业的内控文化。同时,只有内控意识的员工才能意识到内部控制信息化建设对企业的重要性,因为企业在发展中可能会遇到各种各样的困难,如果没有内部力量的支撑,企业很难在时代的进步中持续发展下去,从而导致企业破产和员工的失业,因此,企业应重视员工内控意识的培养和信息化管理的认识。
5.3. 强化对网络环境的控制
无论是传统的管理模式还是信息化环境下现代的管理模式,都离不开人的参与,因此保持人员的积极性和稳定性是十分重要的。首先,由于信息化建设中企业的信息资料大部分以电子版的形式保存,内部人员更容易获取信息,加强对信息资料的权限管理,并设置相应的奖惩力度是十分必要的。其次,计算机系统存在着不安全因素,更容易遭受到黑客的攻击,企业可通过物理隔离手段,为信息化安全保驾护航。常见的隔离手段有单人单机、房间隔离、角色赋权、断开网络连接等,主要应对线下失泄密等情况,适用于工作环境复杂、信息交互率不高的环境,并常常以视频监控设备作为另外的安全屏障;物理隔离则指实行公司内部网,主要应对公共网络非法攻击等情况,同时公司实行内部网络也便于为信息系统划定明确的安全边界,增强网络可控性,常见手段有隔离网闸、隔离卡等,隔离网闸可以创建内外网物理断开、逻辑相连的环境,使“黑客”无法入侵、无法攻击、无法破坏;隔离卡则可以将普通计算机分为两台虚拟计算机,实现物理隔离。最后,不断完善并优化信息系统和内控流程,并对相关人员系统培训,保证信息的真实、完整、可靠,并通过内外部审计检查信息系统的准确性。
5.4. 加强信息监管力度
企业应加强对内部控制的监督力度,从而提高企业内部控制的质量,保持内部控制的稳定性。首先,对企业信息使用人员进行监督,在信息的使用过程中,重点关注数据修改和每位员工是否履行了工作和职责,实现日常的全面监督。其次,在企业的发展中可能会面临各种风险,加强风险的识别和评估对企业发展有重要意义。一方面,通过将市场资料与企业目标进行对比,记录、归纳、整理产生的各种风险数据,列出这些风险的清单并确定对企业发展的影响程度;另一方面,在各个职位可能产生的风险找出问题并提出建议,对于频繁发生的问题不断评估并改进,及时更新解决措施并及时预防。最后,企业的内部审计随着信息化建设,从对纸质凭证的会计审计转变为网络会计信息系统中会计数据的录入、查询、输出和数据安全的审计工作 [8]。企业应通过内部的监管机构不断完善内部审计制度和方法,提高企业内部审计的质量和效率,对每一个重要的审计环节进行审核,保障审计的准确性,并授予内部控制人员和内部审计人员相对独立的监督权限,方便审计工作的顺利进行。
6. 结论
综上所述,信息化建设使企业内部控制发生了巨大变革,实现了在企业各个部门之间信息的及时共享,提高了企业的管理效率和水平,并推动企业经营管理模式和内部组织结构的转变。在互联网技术飞速发展的背景下,信息化对企业的内部控制也带来了很多影响,企业需要进一步完善内部控制制度、提高员工综合素质、强化对网络环境的控制并加强信息监督力度,保证数据真实完整、资产安全,以实现信息化建设下企业的长远利益,从而使企业持续健康发展。
基金项目
本文受河北农业大学《财务管理》一流本科课程建设项目资助。