（長(zhǎng)沙理工大學(xué) 湖南長(zhǎng)沙410114）

中小企業(yè)占我國(guó)企業(yè)總數(shù)的99%以上，對(duì)GDP的貢獻(xiàn)超過(guò)60%，對(duì)稅收的貢獻(xiàn)超過(guò)50%，提供了近70%的進(jìn)出口貿(mào)易額，創(chuàng)造了80%左右的城鎮(zhèn)就業(yè)崗位。中小企業(yè)的發(fā)展對(duì)于增加社會(huì)就業(yè)，推進(jìn)技術(shù)創(chuàng)新，促進(jìn)經(jīng)濟(jì)發(fā)展，尤其是促進(jìn)地方經(jīng)濟(jì)的發(fā)展，提高我國(guó)的綜合實(shí)力，具有不容忽視的重要作用。中小企業(yè)要取得長(zhǎng)足發(fā)展，在取得政治、經(jīng)濟(jì)、文化等宏觀方面支持的同時(shí)，更需要進(jìn)一步完善其內(nèi)部控制制度，加強(qiáng)自身的競(jìng)爭(zhēng)力。

一、信息化環(huán)境下，內(nèi)部控制的新變化

信息化條件下，企業(yè)各個(gè)經(jīng)營(yíng)運(yùn)作循環(huán)都建立了相應(yīng)的信息系統(tǒng)，如供應(yīng)環(huán)節(jié)的ERP系統(tǒng)，研究開發(fā)環(huán)節(jié)的PDM系統(tǒng)，市場(chǎng)營(yíng)銷環(huán)節(jié)的CRM系統(tǒng)，分析決策環(huán)節(jié)的BI系統(tǒng)等。這就要求內(nèi)部控制的檢查點(diǎn)和關(guān)注點(diǎn)都需要集中到信息化系統(tǒng)上。同時(shí)隨著信息系統(tǒng)的實(shí)施，數(shù)據(jù)的處理變得復(fù)雜多樣，這需要內(nèi)部控制在企業(yè)運(yùn)行過(guò)程中有重點(diǎn)有計(jì)劃的實(shí)施監(jiān)控，由此需要內(nèi)部控制本身要信息化。信息化環(huán)境下，企業(yè)內(nèi)部控制監(jiān)控的實(shí)質(zhì)對(duì)象是企業(yè)各個(gè)運(yùn)行環(huán)節(jié)的信息系統(tǒng)，要實(shí)現(xiàn)內(nèi)部控制的目標(biāo)，需要內(nèi)部控制對(duì)企業(yè)的流程進(jìn)行自動(dòng)測(cè)試，發(fā)現(xiàn)異常時(shí)再進(jìn)行重點(diǎn)關(guān)注。內(nèi)部控制不僅要關(guān)注企業(yè)實(shí)物資產(chǎn)的安全，更加要關(guān)注企業(yè)信息資產(chǎn)的安全。

二、中小企業(yè)信息化過(guò)程中內(nèi)部控制的現(xiàn)狀

（一）權(quán)責(zé)分配不合理

中小企業(yè)的組織機(jī)構(gòu)設(shè)置多傾向于“因事設(shè)人”，崗位分工不明確，制度形同虛設(shè)。在中小企業(yè)，尤其是規(guī)模小的私營(yíng)企業(yè)，財(cái)務(wù)部門“一人獨(dú)大”，不相容職務(wù)存在實(shí)質(zhì)性混淆。在信息化條件下，中小企業(yè)權(quán)限制度的設(shè)計(jì)和執(zhí)行都存在瑕疵，上級(jí)對(duì)權(quán)限的過(guò)度下放，同級(jí)對(duì)權(quán)限的界限混淆，下級(jí)對(duì)權(quán)限的逾越，致使中小企業(yè)權(quán)責(zé)分配在執(zhí)行過(guò)程中存在不合理。

（二）人員素質(zhì)和觀念的滯后性

信息系統(tǒng)在中小企業(yè)的應(yīng)用，不僅要求員工要掌握專業(yè)技能還要熟知信息系統(tǒng)操作技能，這使得企業(yè)的員工面臨著知識(shí)層面的欠缺。傳統(tǒng)企業(yè)經(jīng)營(yíng)運(yùn)行多為手工操作，處理流程簡(jiǎn)單，程序直觀性強(qiáng)，只需掌握權(quán)限范圍內(nèi)的工作。而在經(jīng)營(yíng)運(yùn)行的系統(tǒng)中，整體操作流程自動(dòng)化，員工需要對(duì)整體流程的運(yùn)行有所了解，明確所處的流程環(huán)節(jié)及其職責(zé)和權(quán)限。員工的操作技能與自我定位還有待于適應(yīng)企業(yè)整體信息化的發(fā)展。

中小企業(yè)管理層目前存在“形式信息化，觀念滯后性”的問(wèn)題，企業(yè)在硬件方面都在追求信息化、數(shù)字化。會(huì)計(jì)軟件和ERP管理系統(tǒng)的應(yīng)用顯示中小企業(yè)正在步入信息化的進(jìn)程，但是企業(yè)管理者的理念還停留在原始的認(rèn)識(shí)階段，缺乏與ERP等信息化系統(tǒng)相適應(yīng)的先進(jìn)管理理念。

（三）風(fēng)險(xiǎn)未知性增加，評(píng)估難度加大

中小企業(yè)的信息系統(tǒng)在建設(shè)和維護(hù)方面存在著薄弱環(huán)節(jié)，企業(yè)信息資料都經(jīng)信息系統(tǒng)的處理，一旦系統(tǒng)受到破壞，中小企業(yè)將面臨致命的打擊。中小企業(yè)信息系統(tǒng)的應(yīng)用給企業(yè)帶來(lái)了新風(fēng)險(xiǎn)，一是信息生成的控制風(fēng)險(xiǎn)，二是信息處理的傳遞風(fēng)險(xiǎn)，三是信息保存和輸出的網(wǎng)絡(luò)風(fēng)險(xiǎn)。隨著信息化的發(fā)展與更新，風(fēng)險(xiǎn)的未知性增加，其中包括系統(tǒng)本身的風(fēng)險(xiǎn)，也包括中小企業(yè)內(nèi)部控制所存在的風(fēng)險(xiǎn)。

系統(tǒng)本身的風(fēng)險(xiǎn)可以定位為技術(shù)風(fēng)險(xiǎn)，中小企業(yè)資本實(shí)力薄弱，企業(yè)規(guī)模較小，基于對(duì)成本效益的考慮，中小企業(yè)信息系統(tǒng)在建立和使用過(guò)程中往往會(huì)受到限制。

中小企業(yè)內(nèi)部控制存在的風(fēng)險(xiǎn)一般包括業(yè)務(wù)流程附加風(fēng)險(xiǎn)、信息失真風(fēng)險(xiǎn)和評(píng)估控制方式風(fēng)險(xiǎn)等。信息化的建設(shè)使得企業(yè)的業(yè)務(wù)流程在信息化的條件下進(jìn)行重組以適應(yīng)企業(yè)的發(fā)展，但是原有業(yè)務(wù)系統(tǒng)與信息系統(tǒng)的融合會(huì)給企業(yè)帶來(lái)新的未知風(fēng)險(xiǎn)，是業(yè)務(wù)流程信息化的附加風(fēng)險(xiǎn)。中小企業(yè)的信息和資料數(shù)字化加大了企業(yè)的信息控制難度，在一定程度上增加了信息失真的概率。中小企業(yè)的原有風(fēng)險(xiǎn)評(píng)估方式隨著企業(yè)信息化的發(fā)展逐漸出現(xiàn)了漏洞，要對(duì)這些新的風(fēng)險(xiǎn)做出評(píng)估，那原有的風(fēng)險(xiǎn)評(píng)估方法已經(jīng)不適用，倘若風(fēng)險(xiǎn)評(píng)估方法無(wú)法進(jìn)行改進(jìn)，將會(huì)給企業(yè)帶來(lái)風(fēng)險(xiǎn)評(píng)估的附加風(fēng)險(xiǎn)。

（四）系統(tǒng)風(fēng)險(xiǎn)控制的不完善

企業(yè)信息系統(tǒng)往往會(huì)忽視系統(tǒng)退出的控制，一些系統(tǒng)中不會(huì)設(shè)置“限時(shí)鎖定系統(tǒng)或退出系統(tǒng)”指令，會(huì)導(dǎo)致蓄意盜取信息的行為發(fā)生。中小企業(yè)有時(shí)為了節(jié)約成本會(huì)購(gòu)買盜版軟件，這使得企業(yè)系統(tǒng)容易遭受木馬和黑客等攻擊，造成企業(yè)數(shù)據(jù)的篡改或丟失。針對(duì)信息系統(tǒng)有可能出現(xiàn)的漏洞，中小企業(yè)內(nèi)部控制缺乏相關(guān)的預(yù)防和解決措施。

（五）信息量的增加，溝通方式的改變，加大了企業(yè)的工作量

隨著信息系統(tǒng)在中小企業(yè)廣泛的使用，企業(yè)經(jīng)營(yíng)生成的信息量也隨之加大，信息的真?zhèn)渭捌渲匾孕枰髽I(yè)管理層的辨別，這無(wú)疑增加了企業(yè)運(yùn)行過(guò)程中的工作量。信息系統(tǒng)的使用，使得原有的企業(yè)溝通渠道和方式發(fā)生了改變，企業(yè)對(duì)外溝通及企業(yè)內(nèi)部上下級(jí)員工的溝通需要進(jìn)行調(diào)整，適應(yīng)中小企業(yè)信息化發(fā)展的需要。

（六）經(jīng)營(yíng)運(yùn)行的數(shù)字化，減少了業(yè)務(wù)痕跡，增加了監(jiān)督難度

信息化管理使得工作量與工作速度都大幅度上升，從而對(duì)內(nèi)部控制的監(jiān)督加大了難度。企業(yè)在采用信息系統(tǒng)進(jìn)行經(jīng)營(yíng)運(yùn)行之后，某些業(yè)務(wù)痕跡不能被完整的保留，這給企業(yè)審計(jì)監(jiān)督帶來(lái)了困難。隨著企業(yè)信息化的建立，企業(yè)內(nèi)部控制監(jiān)督本身也出現(xiàn)了漏洞，例如，原來(lái)企業(yè)項(xiàng)目或業(yè)務(wù)的執(zhí)行需要責(zé)任人的簽字以便于責(zé)任追究，信息系統(tǒng)的運(yùn)用只需權(quán)限或口令的執(zhí)行，容易使得企業(yè)在授權(quán)過(guò)程出現(xiàn)瑕疵，不利于企業(yè)內(nèi)部控制的監(jiān)督。

三、完善信息化環(huán)境下中小企業(yè)內(nèi)部控制的措施

（一）重塑適應(yīng)中小企業(yè)信息化的內(nèi)部控制制度，保障權(quán)限分配合理

中小企業(yè)要完善內(nèi)部控制，使內(nèi)部控制在信息化條件下維護(hù)企業(yè)的正常運(yùn)行，首要任務(wù)是建立和完善與企業(yè)信息化相適應(yīng)的內(nèi)部控制制度。中小企業(yè)規(guī)模小、資金薄弱，這需要中小企業(yè)要依照企業(yè)自身?xiàng)l件建立信息系統(tǒng)，而不是照搬大企業(yè)的系統(tǒng)模式，要避免形式主義。中小企業(yè)內(nèi)部控制制度的建立以“規(guī)模小、內(nèi)容詳、權(quán)限嚴(yán)”為主旨，這既可以節(jié)約成本又有利于管理；中小企業(yè)經(jīng)營(yíng)內(nèi)容傾向于一元化、體系化，故而在建立信息系統(tǒng)時(shí)要將企業(yè)經(jīng)營(yíng)的各個(gè)環(huán)節(jié)都要考慮在內(nèi)，以確保企業(yè)信息化發(fā)展的可持續(xù)性；中小企業(yè)人力資源雖不及大企業(yè)規(guī)模大，但中小企業(yè)尤其是小企業(yè)員工任用的主觀性比較大，在建立企業(yè)信息系統(tǒng)時(shí)，應(yīng)該將員工的權(quán)力和權(quán)限嚴(yán)格劃分，以降低責(zé)任混亂的可能性。

（二）加強(qiáng)信息化環(huán)境下中小企業(yè)工作人員的素質(zhì)

中小企業(yè)信息系統(tǒng)的安全運(yùn)行，不僅要保障系統(tǒng)本身的無(wú)誤性，還要考慮系統(tǒng)操作員的工作能力和素質(zhì)，系統(tǒng)操作員的工作能力是擔(dān)任該項(xiàng)工作的基本要求，只有在能力勝任的條件下，才能保證操作員完成份內(nèi)工作；操作人員的素質(zhì)是保證系統(tǒng)運(yùn)行合規(guī)的必要條件。故而企業(yè)要針對(duì)系統(tǒng)操作人員的工作能力和素質(zhì)進(jìn)行定期培訓(xùn)，保證操作人員的能力和素質(zhì)的可信賴性。

（三）取得中小企業(yè)高層管理者的支持

中小企業(yè)信息化條件下，內(nèi)部控制的建立和完善要取得成功，高層管理者的支持必不可少。企業(yè)高層管理者要提高信息化環(huán)境下的管理理念，認(rèn)識(shí)到內(nèi)部控制在企業(yè)經(jīng)營(yíng)運(yùn)行中的重要性，了解企業(yè)內(nèi)部控制改進(jìn)的方向，立足企業(yè)自身，剖析企業(yè)需求，明確企業(yè)目標(biāo)，建立適應(yīng)企業(yè)發(fā)展的內(nèi)部控制機(jī)制。

（四）加強(qiáng)風(fēng)險(xiǎn)的評(píng)估和控制

在風(fēng)險(xiǎn)管理信息化環(huán)境下，可以利用情景分析工具、蒙特卡羅模擬對(duì)風(fēng)險(xiǎn)進(jìn)行分析，制作風(fēng)險(xiǎn)的分布圖、影響圖和數(shù)量趨勢(shì)圖等多角度管理視圖。將風(fēng)險(xiǎn)的識(shí)別和評(píng)估由主觀的定性分析轉(zhuǎn)變?yōu)榭陀^的定量分析。建立風(fēng)險(xiǎn)監(jiān)控系統(tǒng)，對(duì)企業(yè)信息化系統(tǒng)中可能出現(xiàn)的內(nèi)部控制問(wèn)題實(shí)施監(jiān)控，不僅是對(duì)風(fēng)險(xiǎn)本身的監(jiān)控，還要對(duì)風(fēng)險(xiǎn)發(fā)生的條件、征兆進(jìn)行監(jiān)控。

（五）保障信息和溝通安全

中小企業(yè)在建立了信息系統(tǒng)之后，還要確保企業(yè)信息系統(tǒng)的安全。信息系統(tǒng)的安全性主要集中在信息的安全上，企業(yè)信息的傳遞過(guò)程包括輸入、處理和輸出。信息在輸入時(shí)要嚴(yán)格按照系統(tǒng)設(shè)置的權(quán)限進(jìn)行授權(quán)和審批，保證信息在輸入時(shí)是真實(shí)準(zhǔn)確的；在信息處理環(huán)節(jié)中要確保信息的準(zhǔn)確性、適應(yīng)性、客觀性和及時(shí)性；信息輸出過(guò)程中要控制信息使用權(quán)限，避免企業(yè)信息使用混亂、商業(yè)機(jī)密外泄，保障企業(yè)利益不受損害。

（六）優(yōu)化中小企業(yè)內(nèi)部審計(jì)的監(jiān)督作用

內(nèi)部審計(jì)人員要對(duì)信息化后的企業(yè)進(jìn)行深入的了解，區(qū)分企業(yè)現(xiàn)階段的運(yùn)營(yíng)模式與原運(yùn)營(yíng)模式的異同，在對(duì)企業(yè)進(jìn)行審計(jì)時(shí)做到“有重點(diǎn)、有計(jì)劃、有步驟、有成效”。同時(shí)，企業(yè)也可以通過(guò)社會(huì)審計(jì)對(duì)企業(yè)的運(yùn)行進(jìn)行監(jiān)督，降低企業(yè)的營(yíng)運(yùn)風(fēng)險(xiǎn)，提高中小企業(yè)的經(jīng)營(yíng)效益。

信息系統(tǒng)在中小企業(yè)的應(yīng)用，使得企業(yè)的運(yùn)行方式和渠道發(fā)生了很多變化，信息傳遞的快速化，授權(quán)審批的數(shù)字化，信息法制的滯后性，各種信息化帶來(lái)的變數(shù)都需要審計(jì)人員從中做出判斷，收集審計(jì)證據(jù)，最終發(fā)表審計(jì)意見(jiàn)。因此，為了保證企業(yè)的經(jīng)營(yíng)運(yùn)行，企業(yè)要對(duì)內(nèi)部審計(jì)人員針對(duì)中小企業(yè)自身的特點(diǎn)進(jìn)行法規(guī)、審計(jì)技術(shù)和信息系統(tǒng)操作的專門培訓(xùn)，提高審計(jì)人員的素質(zhì)，保障內(nèi)部控制監(jiān)督環(huán)節(jié)起到應(yīng)有的作用。

四、結(jié)束語(yǔ)

伴隨著中小企業(yè)信息化的發(fā)展，中小企業(yè)內(nèi)部控制在面臨諸多挑戰(zhàn)的同時(shí)也存在著機(jī)遇，中小企業(yè)內(nèi)部控制要以“中小企業(yè)的獨(dú)特性為基準(zhǔn)，信息技術(shù)的前瞻性為輔翼”來(lái)建立和完善。要切實(shí)發(fā)揮內(nèi)部控制在企業(yè)經(jīng)營(yíng)運(yùn)行中的作用，促進(jìn)中小企業(yè)可持續(xù)發(fā)展。