当前,信息化已成为企业发展的必经之路,信息化管理也必然成为企业战略管理的重要环节。本文以山西某国有企业为案例,对其信息化环境下内部控制存在的问题进行分析,并提出了针对性的对策。
1信息化环境下国有企业内部控制存在的问题分析
山西某国有企业在企业信息化建设方面投入了大量资金,效果显著,但是发现其信息化环境下内部控制框架体系仍然存在以下问题。
1.1不重视内部控制环境
第一,公司管理层没有对内部控制给予足够的重视。从访谈中得出,公司形成了一种良好的信赖机制,不希望也不需要引入一套完整有效的制度来进一步加强企业的内部控制,同时也担心过于严格的控制会破坏这种已有的信赖机制。
第二,虽然公司在信息化建设上进行了大量的投入,但是对缺乏信息化的认识和理解。在该公司中,信息化更多的只是体现在日常经营管理之中,公司管理层没有认识到信息化的战略管理地位,也没有将信息化融入到内部控制工作之中。
1.2缺少有效的风险控制体系
第一,公司风险意识薄弱。虽然公司管理层意识到风险的存在,并极力开拓市场来减少系统风险,但并没有成立风险管理专门机构,没有建立一套科学合理的风险评估体系来识别、评估、规避风险。
第二,公司没有建立有效的信息系统风险应急机制。该公司的经营管理都是依托SAP系统,一旦系统中的某一个环节出现问题,将会给企业运营带来不便,而公司没有建设一套有效的应急机制来有效的防范突发问题。
1.3控制活动未针对信息化环境进行全面梳理
第一,公司在进行信息化建设时,没有全面统一梳理控制活动,对控制流程进行更新重构。如在原有环境下,公司把税务处理、财务报表、资产管理等业务由不同人员分管,不相容岗位分离、相互牵制,而在信息化环境下,由专职人员直接输入系统,无需其他人员检查复核,未起到相互监督防范作用,从而造成内部控制的盲点。
第二,公司信息系统安全控制不到位。在信息化环境下,系统高度集成,但是公司缺乏专业的IT审计人员对系统的安全性、完整性进行评价,系统安全控制意识缺乏。
1.4忽视内部监控在内部控制中的应用
该公司董事会下没有设立审计委员会,也没有独立设置内部审计机构,而是隶属于财务部,直接归公司总经理领导,且没有专职审计人员,内部审计工作范围主要是工程审计,且完全外包,内部审计工作没有与ERP系统及审计信息管理系统相互融合。同时该公司的监事会没有起到相应的监管职责,有名无实。
2国有企业信息化环境下内部控制框架的构建对策
2.1确定信息化环境下内部控制目标
根据COSO框架以及COBIT框架可知,内部控制的首要目标是实现公司的战略目标。根据公司的实际情况,其信息化环境下内部控制框架的目标可明确为:充分利用公司先进的SAP、ERP、OA等系统,实现信息系统与内部控制框架的整体融合,实施内部控制信息化战略,在保证经营管理合法合规、资产安全、财务报告及相关信息真实完整、提高经营效率和效果的基础上,着力促进企业实现发展战略。
2.2内部控制环境设计
2.2.1提高管理层对内部控制信息化的认识
企业管理者的素质、管理理念都会影响到内部控制信息化建设的效率和效果,完善企业内部控制环境,最重要的是提高管理层对企业内部控制信息化的认识。只有管理层的管理理念更新了且付诸行动,并与时俱进地学习相关的专业知识与专业技能,才能充分发挥内部控制信息化的战略作用。
2.2.2提高全体员工参与内部控制的意识
企业内部控制信息化战略的制订与实施,必须在全体员工的参与下完成,员工的参与程度会直接影响其效果,因此需要通过日常的培训、上下级、同级之间的交流来加强全体员工的内部控制信息化的意识,并制定相关制度保证这些措施具体落实到位。通过典型案例学习、知识竞赛、考试等多种形式对全体员工进行广泛的宣传和培训,通过这些形式让内部控制信息化意识深入人心,为内部控制信息化战略成功实施奠定坚固的思想基础。
2.2.3构建内部控制责任体系
公司应明确管理层和各级员工的内部控制信息化建设的责任。公司管理层负责制定流程和业务规范制度并监督、指导各部门、各级分公司落实执行,对内部控制信息化的总体效果负主要责任;而各部门、各级分公司是制度的具体执行者,对流程负有执行责任。公司可以通过SAP系统将公司总体目标和责任细化、量化至各成本中心和利润中心,在公司内部建立内部控制制度执行的绩效考核机制,通过考核制度督促全体员工有效执行,为内部控制制度的有效执行提供保障。
2.3信息与沟通体系设计
2.3.1成立独立信息机构
在董事会下设立专门工作机构——信息管理部(或信息管理委员会),主要负责公司信息化建设的部署、沟通和监督工作。信息管理部能够帮助建立与公司经营战略相匹配的信息化战略,加强信息化战略和经营战略的整合,从而动态适应多变的外部环境引起的战略目标和经营目标的变化,使信息化能够更好地帮助企业应对复杂多变的竞争环境,支持企业的日常经营,实现信息化战略和经营战略的柔性、动态结合。
2.3.2加强大数据信息收集及利用
信息系统处理的对象既包括企业经营内部生成的信息,也包括与企业经营相关的外部环境的信息,如产业政策、市场信息、竞争对手情况等等。信息系统不仅要识别和获取所需的财务信息与非财务信息,更重要的是要对其进行分析,从海量的信息里提取出有助于企业实现战略目标、控制经营活动的信息。
2.4内部控制监督体系设计
2.4.1充分发挥内部审计职能
公司应将内部审计部门从财务部门独立出来,在审计委员会直接领导下,对董事会负责。
第一,设立审计委员会。公司应在董事会下设立设计委员会,对董事会直接负责,主要负责公司内、外部审计的沟通、监督工作。审计委员会主任应由公司具有审计专业知识的独立董事担任。委员会的成员应包括内部控制总监和CIO,其中内部控制总监主要对企业信息化环境内部控制制度的建没及日常运用的有效性负责。为突出内部控制在整个企业经营的重要性,内部控制总监应由董事会成员担任,可以兼职担任公司的CIO。
第二,成立内部审计部门。内部控制是否有效,需要对其结果进行评价,也需对内部控制进行控制,而对其进行控制的便是内部审计部门,其职责可以总结为负责对企业内部控制制度实施进行评价和监督,独立于管理层及企业其他部门对公司经营和内部控制实施情况提出独立、客观的意见。内部审计部门的人员必须具有审计和内部控制的专业知识,其主管和内部控制总监应经常参加公司高管层的各种会议,参与所有重大财务、经营决策。
2.4.2利用信息化环境进行持续监督
息化环境为实现持续监督提供了条件,公司可以利用ERP系统实现全方位、全过程的持续监督。
第二,建立完善的监控系统,并确保持续有效运行。董事会和管理层对于持续监督的角色和责任安排应当进行非常清晰的描述,并在正确的位置上安排适当的监控人员,可考虑由审计委员会和内部审计部来共同完成。
第二,开展ERP信息化审计。ERP审计包含两个方面的内容,一是对ERP系统审计,二是利用ERP系统审计。把ERP系统作为开展全方位、全过程持续审计的平台,利用ERP系统把审计监督的触角延伸到公司经营管理的每一项作业流程,将内部控制融入到公司的每一项经营活动,实现动态跟踪、持续监督。
参考文献
[1]李萌,李瑞琳.信息化环境下国有企业内部控制问题与对策[J].合作经济与科技,2021(19):134-135.
[2]傅晓.会计信息化环境下企业内部控制存在的问题及对策[J].中外企业家,2020(12):97.
