（長沙理工大學 湖南長沙410114）

中小企業(yè)占我國企業(yè)總數(shù)的99%以上，對GDP的貢獻超過60%，對稅收的貢獻超過50%，提供了近70%的進出口貿(mào)易額，創(chuàng)造了80%左右的城鎮(zhèn)就業(yè)崗位。中小企業(yè)的發(fā)展對于增加社會就業(yè)，推進技術(shù)創(chuàng)新，促進經(jīng)濟發(fā)展，尤其是促進地方經(jīng)濟的發(fā)展，提高我國的綜合實力，具有不容忽視的重要作用。中小企業(yè)要取得長足發(fā)展，在取得政治、經(jīng)濟、文化等宏觀方面支持的同時，更需要進一步完善其內(nèi)部控制制度，加強自身的競爭力。

一、信息化環(huán)境下，內(nèi)部控制的新變化

信息化條件下，企業(yè)各個經(jīng)營運作循環(huán)都建立了相應的信息系統(tǒng)，如供應環(huán)節(jié)的ERP系統(tǒng)，研究開發(fā)環(huán)節(jié)的PDM系統(tǒng)，市場營銷環(huán)節(jié)的CRM系統(tǒng)，分析決策環(huán)節(jié)的BI系統(tǒng)等。這就要求內(nèi)部控制的檢查點和關(guān)注點都需要集中到信息化系統(tǒng)上。同時隨著信息系統(tǒng)的實施，數(shù)據(jù)的處理變得復雜多樣，這需要內(nèi)部控制在企業(yè)運行過程中有重點有計劃的實施監(jiān)控，由此需要內(nèi)部控制本身要信息化。信息化環(huán)境下，企業(yè)內(nèi)部控制監(jiān)控的實質(zhì)對象是企業(yè)各個運行環(huán)節(jié)的信息系統(tǒng)，要實現(xiàn)內(nèi)部控制的目標，需要內(nèi)部控制對企業(yè)的流程進行自動測試，發(fā)現(xiàn)異常時再進行重點關(guān)注。內(nèi)部控制不僅要關(guān)注企業(yè)實物資產(chǎn)的安全，更加要關(guān)注企業(yè)信息資產(chǎn)的安全。

二、中小企業(yè)信息化過程中內(nèi)部控制的現(xiàn)狀

（一）權(quán)責分配不合理

中小企業(yè)的組織機構(gòu)設置多傾向于“因事設人”，崗位分工不明確，制度形同虛設。在中小企業(yè)，尤其是規(guī)模小的私營企業(yè)，財務部門“一人獨大”，不相容職務存在實質(zhì)性混淆。在信息化條件下，中小企業(yè)權(quán)限制度的設計和執(zhí)行都存在瑕疵，上級對權(quán)限的過度下放，同級對權(quán)限的界限混淆，下級對權(quán)限的逾越，致使中小企業(yè)權(quán)責分配在執(zhí)行過程中存在不合理。

（二）人員素質(zhì)和觀念的滯后性

信息系統(tǒng)在中小企業(yè)的應用，不僅要求員工要掌握專業(yè)技能還要熟知信息系統(tǒng)操作技能，這使得企業(yè)的員工面臨著知識層面的欠缺。傳統(tǒng)企業(yè)經(jīng)營運行多為手工操作，處理流程簡單，程序直觀性強，只需掌握權(quán)限范圍內(nèi)的工作。而在經(jīng)營運行的系統(tǒng)中，整體操作流程自動化，員工需要對整體流程的運行有所了解，明確所處的流程環(huán)節(jié)及其職責和權(quán)限。員工的操作技能與自我定位還有待于適應企業(yè)整體信息化的發(fā)展。

中小企業(yè)管理層目前存在“形式信息化，觀念滯后性”的問題，企業(yè)在硬件方面都在追求信息化、數(shù)字化。會計軟件和ERP管理系統(tǒng)的應用顯示中小企業(yè)正在步入信息化的進程，但是企業(yè)管理者的理念還停留在原始的認識階段，缺乏與ERP等信息化系統(tǒng)相適應的先進管理理念。

（三）風險未知性增加，評估難度加大

中小企業(yè)的信息系統(tǒng)在建設和維護方面存在著薄弱環(huán)節(jié)，企業(yè)信息資料都經(jīng)信息系統(tǒng)的處理，一旦系統(tǒng)受到破壞，中小企業(yè)將面臨致命的打擊。中小企業(yè)信息系統(tǒng)的應用給企業(yè)帶來了新風險，一是信息生成的控制風險，二是信息處理的傳遞風險，三是信息保存和輸出的網(wǎng)絡風險。隨著信息化的發(fā)展與更新，風險的未知性增加，其中包括系統(tǒng)本身的風險，也包括中小企業(yè)內(nèi)部控制所存在的風險。

系統(tǒng)本身的風險可以定位為技術(shù)風險，中小企業(yè)資本實力薄弱，企業(yè)規(guī)模較小，基于對成本效益的考慮，中小企業(yè)信息系統(tǒng)在建立和使用過程中往往會受到限制。

中小企業(yè)內(nèi)部控制存在的風險一般包括業(yè)務流程附加風險、信息失真風險和評估控制方式風險等。信息化的建設使得企業(yè)的業(yè)務流程在信息化的條件下進行重組以適應企業(yè)的發(fā)展，但是原有業(yè)務系統(tǒng)與信息系統(tǒng)的融合會給企業(yè)帶來新的未知風險，是業(yè)務流程信息化的附加風險。中小企業(yè)的信息和資料數(shù)字化加大了企業(yè)的信息控制難度，在一定程度上增加了信息失真的概率。中小企業(yè)的原有風險評估方式隨著企業(yè)信息化的發(fā)展逐漸出現(xiàn)了漏洞，要對這些新的風險做出評估，那原有的風險評估方法已經(jīng)不適用，倘若風險評估方法無法進行改進，將會給企業(yè)帶來風險評估的附加風險。

（四）系統(tǒng)風險控制的不完善

企業(yè)信息系統(tǒng)往往會忽視系統(tǒng)退出的控制，一些系統(tǒng)中不會設置“限時鎖定系統(tǒng)或退出系統(tǒng)”指令，會導致蓄意盜取信息的行為發(fā)生。中小企業(yè)有時為了節(jié)約成本會購買盜版軟件，這使得企業(yè)系統(tǒng)容易遭受木馬和黑客等攻擊，造成企業(yè)數(shù)據(jù)的篡改或丟失。針對信息系統(tǒng)有可能出現(xiàn)的漏洞，中小企業(yè)內(nèi)部控制缺乏相關(guān)的預防和解決措施。

（五）信息量的增加，溝通方式的改變，加大了企業(yè)的工作量

隨著信息系統(tǒng)在中小企業(yè)廣泛的使用，企業(yè)經(jīng)營生成的信息量也隨之加大，信息的真?zhèn)渭捌渲匾孕枰髽I(yè)管理層的辨別，這無疑增加了企業(yè)運行過程中的工作量。信息系統(tǒng)的使用，使得原有的企業(yè)溝通渠道和方式發(fā)生了改變，企業(yè)對外溝通及企業(yè)內(nèi)部上下級員工的溝通需要進行調(diào)整，適應中小企業(yè)信息化發(fā)展的需要。

（六）經(jīng)營運行的數(shù)字化，減少了業(yè)務痕跡，增加了監(jiān)督難度

信息化管理使得工作量與工作速度都大幅度上升，從而對內(nèi)部控制的監(jiān)督加大了難度。企業(yè)在采用信息系統(tǒng)進行經(jīng)營運行之后，某些業(yè)務痕跡不能被完整的保留，這給企業(yè)審計監(jiān)督帶來了困難。隨著企業(yè)信息化的建立，企業(yè)內(nèi)部控制監(jiān)督本身也出現(xiàn)了漏洞，例如，原來企業(yè)項目或業(yè)務的執(zhí)行需要責任人的簽字以便于責任追究，信息系統(tǒng)的運用只需權(quán)限或口令的執(zhí)行，容易使得企業(yè)在授權(quán)過程出現(xiàn)瑕疵，不利于企業(yè)內(nèi)部控制的監(jiān)督。

三、完善信息化環(huán)境下中小企業(yè)內(nèi)部控制的措施

（一）重塑適應中小企業(yè)信息化的內(nèi)部控制制度，保障權(quán)限分配合理

中小企業(yè)要完善內(nèi)部控制，使內(nèi)部控制在信息化條件下維護企業(yè)的正常運行，首要任務是建立和完善與企業(yè)信息化相適應的內(nèi)部控制制度。中小企業(yè)規(guī)模小、資金薄弱，這需要中小企業(yè)要依照企業(yè)自身條件建立信息系統(tǒng)，而不是照搬大企業(yè)的系統(tǒng)模式，要避免形式主義。中小企業(yè)內(nèi)部控制制度的建立以“規(guī)模小、內(nèi)容詳、權(quán)限嚴”為主旨，這既可以節(jié)約成本又有利于管理；中小企業(yè)經(jīng)營內(nèi)容傾向于一元化、體系化，故而在建立信息系統(tǒng)時要將企業(yè)經(jīng)營的各個環(huán)節(jié)都要考慮在內(nèi)，以確保企業(yè)信息化發(fā)展的可持續(xù)性；中小企業(yè)人力資源雖不及大企業(yè)規(guī)模大，但中小企業(yè)尤其是小企業(yè)員工任用的主觀性比較大，在建立企業(yè)信息系統(tǒng)時，應該將員工的權(quán)力和權(quán)限嚴格劃分，以降低責任混亂的可能性。

（二）加強信息化環(huán)境下中小企業(yè)工作人員的素質(zhì)

中小企業(yè)信息系統(tǒng)的安全運行，不僅要保障系統(tǒng)本身的無誤性，還要考慮系統(tǒng)操作員的工作能力和素質(zhì)，系統(tǒng)操作員的工作能力是擔任該項工作的基本要求，只有在能力勝任的條件下，才能保證操作員完成份內(nèi)工作；操作人員的素質(zhì)是保證系統(tǒng)運行合規(guī)的必要條件。故而企業(yè)要針對系統(tǒng)操作人員的工作能力和素質(zhì)進行定期培訓，保證操作人員的能力和素質(zhì)的可信賴性。

（三）取得中小企業(yè)高層管理者的支持

中小企業(yè)信息化條件下，內(nèi)部控制的建立和完善要取得成功，高層管理者的支持必不可少。企業(yè)高層管理者要提高信息化環(huán)境下的管理理念，認識到內(nèi)部控制在企業(yè)經(jīng)營運行中的重要性，了解企業(yè)內(nèi)部控制改進的方向，立足企業(yè)自身，剖析企業(yè)需求，明確企業(yè)目標，建立適應企業(yè)發(fā)展的內(nèi)部控制機制。

（四）加強風險的評估和控制

在風險管理信息化環(huán)境下，可以利用情景分析工具、蒙特卡羅模擬對風險進行分析，制作風險的分布圖、影響圖和數(shù)量趨勢圖等多角度管理視圖。將風險的識別和評估由主觀的定性分析轉(zhuǎn)變?yōu)榭陀^的定量分析。建立風險監(jiān)控系統(tǒng)，對企業(yè)信息化系統(tǒng)中可能出現(xiàn)的內(nèi)部控制問題實施監(jiān)控，不僅是對風險本身的監(jiān)控，還要對風險發(fā)生的條件、征兆進行監(jiān)控。

（五）保障信息和溝通安全

中小企業(yè)在建立了信息系統(tǒng)之后，還要確保企業(yè)信息系統(tǒng)的安全。信息系統(tǒng)的安全性主要集中在信息的安全上，企業(yè)信息的傳遞過程包括輸入、處理和輸出。信息在輸入時要嚴格按照系統(tǒng)設置的權(quán)限進行授權(quán)和審批，保證信息在輸入時是真實準確的；在信息處理環(huán)節(jié)中要確保信息的準確性、適應性、客觀性和及時性；信息輸出過程中要控制信息使用權(quán)限，避免企業(yè)信息使用混亂、商業(yè)機密外泄，保障企業(yè)利益不受損害。

（六）優(yōu)化中小企業(yè)內(nèi)部審計的監(jiān)督作用

內(nèi)部審計人員要對信息化后的企業(yè)進行深入的了解，區(qū)分企業(yè)現(xiàn)階段的運營模式與原運營模式的異同，在對企業(yè)進行審計時做到“有重點、有計劃、有步驟、有成效”。同時，企業(yè)也可以通過社會審計對企業(yè)的運行進行監(jiān)督，降低企業(yè)的營運風險，提高中小企業(yè)的經(jīng)營效益。

信息系統(tǒng)在中小企業(yè)的應用，使得企業(yè)的運行方式和渠道發(fā)生了很多變化，信息傳遞的快速化，授權(quán)審批的數(shù)字化，信息法制的滯后性，各種信息化帶來的變數(shù)都需要審計人員從中做出判斷，收集審計證據(jù)，最終發(fā)表審計意見。因此，為了保證企業(yè)的經(jīng)營運行，企業(yè)要對內(nèi)部審計人員針對中小企業(yè)自身的特點進行法規(guī)、審計技術(shù)和信息系統(tǒng)操作的專門培訓，提高審計人員的素質(zhì)，保障內(nèi)部控制監(jiān)督環(huán)節(jié)起到應有的作用。

四、結(jié)束語

伴隨著中小企業(yè)信息化的發(fā)展，中小企業(yè)內(nèi)部控制在面臨諸多挑戰(zhàn)的同時也存在著機遇，中小企業(yè)內(nèi)部控制要以“中小企業(yè)的獨特性為基準，信息技術(shù)的前瞻性為輔翼”來建立和完善。要切實發(fā)揮內(nèi)部控制在企業(yè)經(jīng)營運行中的作用，促進中小企業(yè)可持續(xù)發(fā)展。