陈 亮

（中国储备粮管理集团有限公司湖南分公司，湖南 长沙 410005）

企业内部控制是由企业董事会、监事会、经理层和全体员工共同实施的旨在实现控制目标的过程，通过将企业规章制度、风险防控点表单化、生产经营业务流程化等措施来促进企业发展规划的实现。

建立和实施内部控制是为了保证企业依法依规经营、资金和资产安全、相关信息真实完整，提升经营效率和管理水平，将企业风险控制在可承受范围内，实现企业可持续发展。在信息技术飞速发展的时代，结合企业的发展特点，加快内部控制信息化建设，有助于提高企业内部管理水平和风险防范能力，也是进一步完善内部控制、实现企业现代化管理的必然选择。

一、企业内部控制信息化建设的现实意义

内部控制涉及企业的方方面面，贯穿于企业生产经营各项业务的始终，是一项综合性、系统性极强的管理工作。紧靠人工操作往往事倍功半，收效甚微。随着互联网信息技术的飞速发展，各种信息传播的速度以及信息量的增加让企业管理者眼花缭乱，只靠人工收集整理明显跟不上节奏，无法满足企业发展的需要。同时，如何从众多的信息中快速准确识别风险、分辨真实有用的信息，为决策者提供有力依据，也对企业内部控制提出了巨大的挑战。此外，随着国家大力推进发票电子化、会计档案电子化等工作，内部控制信息化也是大势所趋。

加强企业内部控制信息化建设，一是可以将各业务、各环节的相关信息分类汇总，借助信息技术的优势提高收集分析的效率，为企业所需信息的真实性、准确性、完善性、连续性提供有力保障。二是将各部门职责、业务流程、执行标准、关键风险点等嵌入信息系统中，能使各部门、各环节对自己的职责与权利更加清晰明了，减少人为因素的干扰，更有利于内部控制实施的有效性。三是可以减少相关流程审核、信息传递的时间地点限制，实现多人同时异地查看、审批等，改变了以往到处找各层级领导签字审批，领导不在流程就无法继续的局面，有利于提高工作效率，加快信息传递的速度。四是原始资料在业务流转过程中已采取扫描等方式上传至信息系统，相关人员可在授权范围内自行查询、打印，不用反复到财务等部门翻查、复印会计凭证、档案等，大大减少各自的工作量。

二、目前企业内部控制信息化建设存在的问题

1.企业内部控制基础薄弱

内部环境是企业内部控制建立和实施的基础，在很多企业中，企业内部环境都不太理想。一是在组织机构设置中，没有形成科学有效的职责分工和制衡机制，比较重视上下层面的权利与义务，而对同级层面的沟通协调避重就轻，加之本位主义的存在，导致同级间各部门交流配合不充分，信息沟通不及时，协调性差，在某种程度上加大了上下层面的信息传递成本，降低了信息传递时效。二是企业规章制度不全，内部控制手册缺失，没有根据外部环境变化和自身业务变化及时修订完善，与实际情况脱节，抑或是规章制度建立后并没有遵照执行，成了挂在墙上的装饰，锁在柜子里的摆设，完全没有约束力。三是内部审计机构没有相对的独立性，形同虚设，甚至有的企业没有内审机构，缺乏有效的内部监督。

2.企业各层面对内部控制认识不到位

一是领导不够重视，没有充分认识到内部控制的重要性以及内部控制作为一项全局性的工作。企业负责人是内部控制第一责任人，而其往往将内部控制相关工作交由分管财务的负责人全权负责，这也导致大部分人认为企业内控是财务的事，内控的建设、评价、审计都由财务牵头甚至全程代劳，全员参与不够，最终形成财务自己评价自己，财务自己审计自己的局面，内控流于形式，不能实施落地。二是各层面对内部控制不够理解支持。内部控制将企业生产经营过程中的关键控制点、风险点等通过流程化形式进行梳理，将原来一些通过口头汇报、约定俗成等方式解决的问题进行了明晰化、制度化、纸质化。部分人员认为过于繁杂化、痕迹化、死板化，增加了很多工作量，实行过程中配合不够。三是在内部控制信息化建设过程中，基础数据录入等要求更细，流程运转过程中的人为更改可能性更低，对各层面的约束性更强，综合要求更高，需要更长时间来理解和适应。

3.信息系统运行不畅，信息不能有效共享

一是在信息化建设推广的初期，企业各部门都不甘示弱，纷纷从自己的角度出发开发建设信息系统、信息模块，加之建设前期前瞻性不够，企业与信息技术公司沟通不充分，企业人员不懂信息技术，信息技术公司开发人员不懂公司业务，相互沟通难度高，信息系统建设情况不理想。二是在信息系统运行过程中，一方面，企业自身不掌握技术，需要聘请大量信息技术公司人员进行日常维护，日常维护成本高；另一方面，信息技术公司人员流动比较大，系统开发与维护人员接洽不到位，企业人员与运维人员沟通难度大，信息系统运行情况不理想。出现了企业表面上信息化建设投入很大，信息化程度很高，实际上系统实用性不高，操作性不强，扩展性受限，各业务板块间数据口径不一致，信息不能共享，信息孤岛与信息重复并存的现象。企业管理人员陷入对各业务板块提供的数据进行口径比对、解释分析、重新整理的局面，降低了信息质量和传递时效。三是企业人员素质参差不齐，信息系统操作运用熟练程度不一。尤其是部分人员年龄偏大，学习能力差，也不愿意学习接受新事物，主要还是依赖纸质化线下操作，线上流程均交由他人代为办理，不但没有实现信息化建设的初衷，反倒增加了工作量和新的风险点。

三、加强企业内部控制信息化建设的建议

1.不断优化企业内部环境，夯实内部控制基础

一是明确内部控制是“一把手”工程，使企业负责人高度重视，率先垂范，主动带头了解内控工作，执行内控制度，发挥“头雁效应”，不给说情搞变通、开口子，并对内控工作常抓不懈。二是加强顶层设计，对企业的组织架构、制度体系等进行全面梳理，开展规章制度的“废改立释”工作，进一步构建职责分工明确、业务流程清晰、职权相互制衡的机制，打造一套全领域覆盖、全过程贯穿、无缝隙对接的内控体系，实现内控管理“横向到边、纵向到底、责任到岗”。三是强化内部监督作用和不相容岗位相分离，捋顺内控管理工作中财务部门、审计部门和其他部门的职责权限，做到内控建设、评价、审计相互分离相互制约。四是落实监督考核与追责问责。将内控执行情况与业绩考核挂钩，加强日常监督，对执行情况好的要表扬，考核加分；对执行情况不好的要通报批评，考核扣分；对引发风险事件，给企业造成不良影响或损失的要严肃追责问责。

2.加强信息系统开发及系统应用优化，实现高效便捷的数据共享

一是要打破原来各业务板块各自为政的局面，在梳理现有信息系统相关情况的基础上，由各部门、各环节关键岗位人员组成内部控制信息化建设小组，与信息系统建设技术人员充分沟通讨论，整合优化现有信息系统，实现信息系统的集中化和集成化，数据口径的统一化，信息采集的标准化。比如，以资金流向为线，将采购、投资、销售、全面预算、人力资源等相关板块串联起来，实现前置审批、费用报销、资金支付、预算监控、货款回笼、账务处理、报表编制等业务均在同一软件平台进行，形成企业生产经营过程中各业务事前、事中、事后的全程跟踪监督管理，达到内部控制的目标。二是加强模拟运行、穿行测试，注重收集运行过程中存在的问题，定期沟通反馈，不断优化系统应用。三是加强信息安全保护，筑牢信息安全防火墙，既要避免黑客袭击和病毒感染等事件的发生，也要避免无权限人员获取超权限信息等事件的发生，确保系统数据真实完整不泄露。

3.加强人才培养及业务培训

一方面，要注重各业务板块的专业人才培养，组建经验丰富的内控管理团队；另一方面，要培养既懂得专业知识又知晓信息技术知识的复合型人才，更加准确地把握信息化建设过程中的关键点，促进内部控制信息化建设的不断优化。与此同时，要加强各层面的内部控制理念宣贯、知识培训及信息化系统操作讲解，通过专家讲、自己讲，请进来、走出去等各种方式让内控理念深入人心；通过知识竞赛等方式检阅员工对岗位内控体系知识的掌握程度；通过干部带动员工学的“传帮带”形式，促使全体员工积极参与。让企业全体人员了解内部控制，接受内部控制，熟悉内部控制，善于利用内部控制信息化系统来识别风险，防控风险，提高工作效率，提升管理水平。

4.选择与企业实际相适应的内部控制信息化建设途径

内部控制信息化建设途径主要包括外包给软件开发团队和企业自主研发两种模式。外包具有前期节约成本、节省时间等好处，但存在难与企业贴合、后期维护成本高等弊端。自主研发具有有效保护商业秘密、更贴近企业业务实际、内部沟通便利、日常维护成本较低等优点，但存在前期投入高、人才培养时间长等缺点。企业需充分考虑企业规模、发展阶段、人才储备等各方面情况，结合实际，选择与之相适应的信息化建设途径，将有限的资金分配到合理的地方，实现信息化建设的长足发展。