信息化视角下企业内部控制工作分析

摘要：企业推进财务信息化、管理智能化建设的根本目标在于促进管理效能提升、业务流程优化、决策能力增强。信息化系统使内部控制范围有效扩大，控制手段更加先进，控制重点得到精简，但同时也带来了数据安全、信息共享等方面的新挑战。企业需要围绕信息化应用风险，完善内控体系。本文以企业信息化发展为主要研究视角，探讨企业在建设与应用信息化系统时面临的内部控制问题，并提出了改进组织架构，防范数据安全风险，扩大内控信息化覆盖范围，有效落实数据治理，升级内部监督平台等建议，以期为企业充分发挥内部控制信息化系统的应用优势，强化数据资源利用与管理能力提供参考思路。关键词：信息化视角;内部控制;企业管理物联网、5G通信、人工智能以及大数据等信息化技术推动现代企业不断完善组织架构，改进业务流程，使会计信息实现电子化，内部管理实现信息化，业务活动实现网络化，内部管理效率越来越高，风险防控与数据利用能力逐步增强。企业可把生产经营管理中的处理规则、关键控制点、业务流程向信息化系统程序中嵌入，以此实现自动预警、拦截等内部控制功能，规避财务风险、落实内控行为，促使预算执行、资金使用、审批管理等业务活动更加高效与透明。然而，企业在构建信息化系统、挖掘数据利用价值、扩展内控功能模块时出现了不少新问题，对于内部控制管理工作也产生了新要求。现本文基于信息化视角，探讨企业内部控制相关内容。一、信息化视角下企业内部控制面临的挑战与问题（一）组织架构亟须调整结构合理的企业组织架构能够使信息资源在各个部门之间畅通流动、高效共享，并使决策机制得到完善，促进企业增强创新发展能力与综合竞争实力。当前，不少企业的组织架构变革滞后，难以满足信息化发展需求，不利于构建完善的内控环境。现有组织架构具有繁多复杂的管理层级，部门设置相对分散，设置了庞大的下属单位，业务、管理、财务部门沟通效率提升幅度不明显，阻碍了精细化内控管理体系的构建，限制了ERP等信息化系统发挥其应用优势。不少企业的信息化管理部门建立尚未完备，专业人员配备数量不足，部分人员来自其他部门，采用兼职管理的方式。人员职责体系建设滞后，责任机制难以落实，致使信息化建设欠缺人员组织及制度机制方面的保障。（二）系统应用风险增加提高财务处理流程的智能化、自动化程度是企业实施信息化建设的重要任务，比如利用影像识别、移动应用、云计算技术构建财务共享模式，链接财务与业务流程，自动完成资金管理、临期业务事项超时提醒、编制报表、审核数据等业务。同时，越来越多的企业核心数据被传送到云端平台中保存，尽管服务商提供了防护与高级加密服务，然而仍旧无法完全消除人员恶意操作或者外部攻击的可能性。系统的异常情况将影响内控工作的顺利实施。若出现泄露机密数据的情况，将给企业带来经济、信誉等多方面的损失。部分员工缺失安全意识，对于系统尚未充分熟悉，或者技术人员没有合理执行权限管控机制，以此给内控工作带来了数据安全等新风险。（三）内控覆盖范围有限从信息化系统的功能设计分析，有的企业现有的信息化建设成果难以实现对各个业务以及管理流程的全面覆盖，功能主要集中在财务数据的综合管理方面，以此造成内控信息化管理能力的不足。随着内控信息化建设的推进，应实现对采购、生产、研发、销售等业务流程的全方位管控，满足全面落实内控管理的需求，消除现有管理系统在内控方面的盲区。（四）数据质量管理不到位不少企业仅对信息化平台的初期构建予以较高的重视程度，欠缺对于数据质量治理工作的关注，导致数据质量问题长时间未得到解决。比如采集的数据存在内容不准确、不完整、重复等问题，若数据源被污染，可能会发生格式错误、掺杂无效字符等情况。不同文件格式、数据库的数据资源实现整合与利用的难度较高;未得到整合、独立设置的业务系统阻碍了数据的跨系统同步与传递，致使数据内容存在差异性;管理层以及基层员工缺失数据质量管理意识也是企业在治理数据中面临的共性问题[1]。（五）内部监督赋能不足企业在以信息化成果赋能内部审计等监督工作中还有不足之处。比如企业当前使用大量系统，从系统中采集、筛选审计所需信息时，因智能分析能力薄弱、数据共享受阻等问题，难以满足精准、快速发现风险点的需求，仍旧需要耗费大量的审计人力资源。现有系统无法对整改进度、审计事项进行定期追踪以及在线留档，致使监督力度不足，不少内控缺陷得不到及时弥补。二、信息化视角下企业内部控制工作优化措施（一）完善组织架构体系其一，调整组织架构模式。企业在扁平式管理理念的引导下，应结合当前组织体系、下属单位、职能部门，针对重叠性部门、岗位职能进行整合，将中间管理层级适当缩减，以此缩短部门间的信息传送路径，为快速决策、高效执行提供组织层面的支持。在现有管理机制的基础上，要基于业财融合发展模式构建跨部门、跨单位协作管理机制，将部门之间的壁垒逐步打破，使信息在各单位、部门之间畅通流动。信息化发展进程中，财务等岗位人员面对技能要求、工作内容持续发生变动，企业可增设弹性化岗位，引导员工快速适应新业务需求、新技术、新内控管理要求。调整组织架构期间，还应对岗位权责体系、责任机制进行动态调整，以此使管理体系更加标准化，生产秩序更加科学化，运行格局更加稳健化。其二，建立信息化管理部门。企业应以内控信息化建设、应用、发展需求为导向，尽快组建机构完善、制度健全、专业能力良好的信息化管理部门，使该部门在部门总监的领导下，为企业制定内控信息化发展规划，管理各类数据资源，维护与更新信息设备，推进信息化建设与升级项目，满足外部IT审计需求，提供各个信息系统应用指导服务，参与信息化技术培训。可在部门中设立内部顾问、数据管理员、系统工程师、文档管理员、网络管理员等岗位，并对其任职要求、职责内容进行合理编制，持续引进变革管理专家、网络安全专家、数据分析师等内控信息化发展所需的综合技术人才，以此满足内控信息化、智能化建设的人才需求。（二）防控系统应用风险企业应认识到以往内控管理工作对数据安全风险的识别与防控力度不足，将数据风险纳入风险防控体系中。其一，在风险识别阶段，企业应全面识别当前存在的数据安全隐患，确定风险因素。比如泄露数据风险，具有保密需求的敏感数据被外部攻击者、内部员工、恶意软件非法取得。篡改数据风险：业财部门人员存储或者传送数据期间发生人为篡改行为，致使信息内容丧失真实性。丢失数据风险：因自然灾害、系统故障、设备遗失，造成数据丢失且难以恢复至原状。非法访问风险：没有获得授权的员工对敏感数据进行访问，引发数据滥用或者泄露事件。其二，在风险防控阶段，企业可通过技术与管理手段来化解数据、网络安全风险。企业可通过数据审计，对现有数据所在位置与数量进行审查，划分数据类别，确定关键性数据、敏感性数据，为其精准实施保护措施[2]。可借助加密保护技术，对被保存到终端的数据加以保护。若存储设备被盗或者丢失，窃取人员也难以对数据进行访问。利用域智盾等加密软件，可通过透明加密等多种加密方法为业财系统中流转的企业内部文件进行加密以及展开密级管控。可利用系统访问控制管理策略，限制敏感数据的访问权限。信息化部门可按照各岗位人员完成职责范围内的任务所需的最小权限，对各系统访问权限进行配置，防控权限滥用引发的数据风险。定期面向关键业务系统账号进行审阅，及时发现非授权账号与授权不当的情况，严禁出现不相容岗位职务用户账号进行交叉操作行为。可在信息终端上部署安全管理系统，全面监管企业员工所用的终端设备。企业可编制与执行定期备份数据机制，并对备份频度、范围、存放位置、责任人进行规定。可通过数据与网络安全培训活动，引导全体员工形成安全使用数据的意识，并使其掌握识别以及应对恶意软件、网络钓鱼等威胁的方法。信息化部门还应围绕现行数据安全、隐私保护等法规政策，健全数据安全管理制度，定期调查并评估数据安全管理工作，及时发现数据使用方面的内控缺陷，增强数据使用行为的合规性。（三）扩大内控覆盖范围其一，采购管理。企业可利用采购内部控制系统，按照具体生产需求，以自动化的方式生成合理的采购计划，并实时监控、跟踪采购计划的执行进度。构建供应商数据库，全方位管理大量供应商的报价、信誉、资质等信息，智能分析并评价供应商的具体绩效，以此通过优选合适的供应商，预防采购风险[3]。企业在系统提供的一定时间范围内的采购数据分析结果的支持下，能够有效察觉采购流程设置、预算执行情况、供应商选取等方面的问题，对采购内控流程、制度进行改进。将采购与财务、合同管理系统对接，可将申请采购、合同会签、审查合同、变更合同、收付款等环节进行全面数字化处理，以规范化的方式组织与推进物资购置、合同管理、财务处理工作。其二，销售管理。借助销售管理信息系统，可对客户信用管理活动展开内部控制。在系统中划分客户订单类别后，可自动触发审核程序，检查客户的欠款信息、所属类型、授信额度。系统若识别到客户存在欠款的状况，将发送还款通知;若识别到客户尚存授信额度，同时未到还款期限，则启动欠款备案，财务人员可将其向应收账款中汇集，并统一展开追踪。如果系统未识别到欠款信息，将按照信用额度的实际审查结果，判定是否对发货指令进行执行，启动后续的发货、出库、开票等流程。系统利用催款程序，可借助发送最后付款期限提示信息，对同一单位多个不同系统代码对应的欠款项目进行催收，保存催款数据，计算延期费用与利息等功能，提高催款效率。（四）落实数据质量管理其一，技术层面。企业可借助API接口、自动化脚本等采集数据技术，缩减数据采集阶段的人为干预，缩小数据误差，高质量获取多源数据。还可利用采集监控机制，确保数据采集问题能够被及时察觉以及纠正，增强财务、销售、采购等数据信息的时效性与完整性。借助可靠的数据容错机制、加密技术与传输协议，可预防传送数据阶段的延迟、篡改、丢失等情况。定期面向数据仓库与数据源之间的传输链路实施维护。企业还应尽快对数据转换逻辑、清洗标准等处理规则进行修订，同时利用自动化处理系统，防范装载与处理数据期间的人为操作失误[4]。借助验证对比机制，可增强数据的一致性以及准确性。存储数据时应当选取符合可扩展、安全可靠等要求的存储设备，构建具有分布式特点的存储系统架构，并定期监测存储环境。其二，管理层面。企业可面向业务人员，以数据录入要求为主要培训内容，通过集体学习、网络宣传等活动形式，引导全体员工重视数据质量。可将数据质量、相关培训学习成绩设置为绩效指标。在制度建设方面，企业应当在数据质量责任体系中，合理划分治理数据质量工作的权限与职责，并配备激励、考核机制。利用处理数据质量问题预案与制度，围绕发现问题、指派人员、解决问题、优化系统、反馈信息等环节展开闭环管控，及时响应并尽快化解数据资源质量问题。（五）优化内部审计平台企业可利用大数据监督平台，面向存在资产聚集、权力集中、资金密集、资源富集情况的关键环节以及重点领域实施有效的内部监督，对合同备案平台进行开发，升级当前所用审计系统，将数据模型嵌入到平台中，以此满足内部监督中的趋势预测、汇集数据、深度分析等需求。利用回归分析、关联分析、时序分析等挖掘算法，可将潜藏于审计数据中的问题线索、潜在疑点以及内在规律识别出来，避免因审计人员进行主观判断而发生遗漏信息、结果偏差过大的审计风险，确保企业存在的未有效分离不相容岗位、业务权限被突破、权限收回不及时等内部控制问题可以被及时发现。系统通过对超额违规付款、异常合同签订等指标进