◎文/鄭楚歡

一、引言

隨著信息技術(shù)的更新迭代和企業(yè)管理的日益復(fù)雜化，內(nèi)部控制逐漸成為保障企業(yè)可持續(xù)發(fā)展的重要措施。內(nèi)部控制旨在通過制定和執(zhí)行一系列規(guī)范、程序和措施，保護企業(yè)的資產(chǎn)安全、促進業(yè)務(wù)流程的有效運作、提高決策的準(zhǔn)確性和可靠性， 確保企業(yè)遵守相關(guān)法律法規(guī)和規(guī)章制度。 然而，隨著企業(yè)規(guī)模的擴大和業(yè)務(wù)范圍的拓寬，傳統(tǒng)的手工和紙質(zhì)化的內(nèi)部控制方式已無法滿足企業(yè)的管理要求。 信息系統(tǒng)擁有高效、準(zhǔn)確、自動化的數(shù)據(jù)處理能力、 實時的數(shù)據(jù)訪問和分析功能以及跨部門和跨地域的信息共享和協(xié)同工作能力， 其廣泛應(yīng)用為企業(yè)內(nèi)部控制提供了全新的機遇。

二、信息系統(tǒng)在企業(yè)內(nèi)部控制中的作用

（一）信息系統(tǒng)在內(nèi)部控制中的作用和影響

信息系統(tǒng)在企業(yè)內(nèi)部控制中扮演著關(guān)鍵的角色。 首先， 它標(biāo)準(zhǔn)化和留痕的設(shè)置能幫助企業(yè)建立統(tǒng)一的規(guī)范和流程，明確各個環(huán)節(jié)的職責(zé)和權(quán)限，從而降低操作風(fēng)險和錯誤的發(fā)生，讓企業(yè)實時監(jiān)控業(yè)務(wù)運作情況。 其次，信息系統(tǒng)的輸出功能可以將處理好的數(shù)據(jù)和信息以適當(dāng)?shù)男问匠尸F(xiàn)給利益相關(guān)者。 一方面，能為管理層提供決策所需的信息，另一方面，也能將數(shù)據(jù)和信息傳遞給其他部門和外部合作伙伴，實現(xiàn)信息的共享和溝通。 最后，信息系統(tǒng)監(jiān)管和審計的功能可以實時監(jiān)控和審計業(yè)務(wù)流程及操作，發(fā)現(xiàn)潛在的問題和風(fēng)險，并及時采取措施加以解決，糾正錯誤或處理異常，保障業(yè)務(wù)的正常進行。 綜上，信息系統(tǒng)在企業(yè)內(nèi)部控制中發(fā)揮著多重作用，一方面提高了業(yè)務(wù)流程的效率和準(zhǔn)確性，另一方面加強了管理的可視性和監(jiān)督性，從而提升了企業(yè)的整體控制能力和運營效果。

（二）信息系統(tǒng)與內(nèi)部控制的協(xié)同發(fā)展

信息系統(tǒng)應(yīng)具備安全性和可靠性， 保護數(shù)據(jù)和信息的安全、完整和準(zhǔn)確性，以滿足內(nèi)部控制的要求。 其建設(shè)應(yīng)充分考慮公司的目標(biāo)， 將內(nèi)部控制納入信息系統(tǒng)建設(shè)的整個生命周期， 以保證系統(tǒng)設(shè)計和實施符合內(nèi)部控制的要求，確保內(nèi)部控制的執(zhí)行得到有效承載和監(jiān)督。

三、信息系統(tǒng)在企業(yè)內(nèi)部控制中的應(yīng)用

（一）訪問控制

1.用戶身份認(rèn)證

用戶身份認(rèn)證作為一種有效的控制措施， 可以防止未經(jīng)授權(quán)的訪問和潛在的惡意行為。 它通過驗證用戶的身份來確保只有經(jīng)過授權(quán)的用戶才能訪問特定的數(shù)據(jù)，從而提高數(shù)據(jù)的安全性，并讓用戶的行為變得可追溯。 良好的用戶身份認(rèn)證機制可以提高企業(yè)的整體安全水平，增強內(nèi)部控制的可靠性和效率。

2.權(quán)限管理和訪問控制策略

通過權(quán)限管理將用戶按職責(zé)劃分為不同的角色來確保角色得到標(biāo)準(zhǔn)化的權(quán)限， 并對角色的訪問和操作權(quán)限進行明確以避免過度授權(quán)， 減少風(fēng)險和錯誤操作的可能性。 需要定期審查用戶的權(quán)限，根據(jù)業(yè)務(wù)和員工變動及時更新，確保權(quán)限與實際需要保持一致，以防止權(quán)限被濫用和泄露。

3.審計日志和監(jiān)控

根據(jù)企業(yè)內(nèi)部控制和監(jiān)管要求， 配置審計日志和監(jiān)控系統(tǒng)是一項重要的舉措。 在配置過程中，需要設(shè)置適當(dāng)?shù)娜罩居涗浖墑e、存儲位置和保護措施，以確保日志的完整性和安全性。 為了滿足安全性需求，需要采用安全的存儲方式，將審計日志按照分類進行保存，并對訪問權(quán)限進行限制，以防止未經(jīng)授權(quán)的訪問和篡改。 同時，根據(jù)實際情況制定監(jiān)控規(guī)則和警告機制， 通過對日志數(shù)據(jù)進行分析，及時識別和報告異?；顒?、潛在風(fēng)險和安全事件。 此外，還需建立應(yīng)急響應(yīng)計劃和流程，包括組織應(yīng)急團隊、事件分類和制定響應(yīng)措施等， 以便在發(fā)生安全事件時及時采取相應(yīng)的措施來應(yīng)對和解決問題。 最后，定期審查審計日志和監(jiān)控系統(tǒng)的配置及性能， 并根據(jù)實際情況和風(fēng)險變化進行更新，以確保系統(tǒng)的有效性和安全性。 通過以上措施，企業(yè)可以有效防范潛在的安全威脅，并及時應(yīng)對安全事件，保障信息系統(tǒng)的安全運行。

（二）提高數(shù)據(jù)完整性和準(zhǔn)確性

1.數(shù)據(jù)輸入和校驗控制

在數(shù)據(jù)輸入過程中， 需要驗證輸入數(shù)據(jù)的合法性和正確性。 首先，驗證輸入數(shù)據(jù)的格式是否符合標(biāo)準(zhǔn)，并檢查輸入數(shù)據(jù)的完整性和邏輯性以確保數(shù)據(jù)的合理性和完整性；此外，還應(yīng)設(shè)立適當(dāng)?shù)漠惓Ｌ幚頇C制，如果發(fā)生輸入錯誤或不符合規(guī)則的情況， 可以向用戶提供錯誤提示和警告信息，幫助他們進行修正；同時，需記錄輸入錯誤的詳細信息并進行審核和復(fù)核， 以確保數(shù)據(jù)輸入的準(zhǔn)確性和完整性；最后，為數(shù)據(jù)輸入人員提供相關(guān)的培訓(xùn)，培養(yǎng)他們對數(shù)據(jù)輸入準(zhǔn)確性的責(zé)任意識， 并遵循正確的流程和要求。 通過以上措施，可以提高數(shù)據(jù)輸入的質(zhì)量和準(zhǔn)確性，從而確保企業(yè)數(shù)據(jù)的有效管理和應(yīng)用。

2.數(shù)據(jù)備份和恢復(fù)

制定備份策略并定期執(zhí)行數(shù)據(jù)備份操作非常重要。首先，需根據(jù)數(shù)據(jù)變更的頻率和重要性確定備份的頻率；接著確定需要備份的數(shù)據(jù)范圍，包括數(shù)據(jù)庫、文件系統(tǒng)、應(yīng)用程序等；然后，選擇適當(dāng)?shù)膫浞萁橘|(zhì)和安全可靠的備份位置，避免與原始數(shù)據(jù)存儲在同一地點，以防止單點故障或災(zāi)難性事件。 其次，需確定備份和恢復(fù)策略并定期進行數(shù)據(jù)恢復(fù)測試，驗證備份的可用性和完整性，及時發(fā)現(xiàn)備份故障或恢復(fù)問題，并及時采取糾正措施。 最后，合理管理備份數(shù)據(jù)的存儲介質(zhì)，包括存儲介質(zhì)的可靠性、安全性和容量規(guī)劃，確保備份介質(zhì)的及時更新和維護，并采取措施保護備份數(shù)據(jù)的機密性和完整性。

（三）業(yè)務(wù)流程控制

1.流程自動化和工作流程管理

自動化流程在企業(yè)中具有諸多優(yōu)勢。 首先，它能減少人工操作，加快審批速度，降低出錯率，從而節(jié)約時間和資源，確保工作按照預(yù)定的規(guī)則和標(biāo)準(zhǔn)執(zhí)行，減少人為錯誤的可能性。 其次，它提供實時的審批流程狀態(tài)跟蹤和監(jiān)控，使管理者能夠了解流程的進展情況，及時進行介入和調(diào)整。 通過流程自動化，企業(yè)能更容易地擴展和調(diào)整業(yè)務(wù)流程，以適應(yīng)不斷變化的業(yè)務(wù)需求。 為了實現(xiàn)這一目標(biāo)，企業(yè)需要根據(jù)業(yè)務(wù)需求和目標(biāo)， 設(shè)計清晰明確的工作流程，包括審批流程、工作順序、參與者角色等，并將審批流程分配給適當(dāng)?shù)膮⑴c者。 參與者根據(jù)審批流程的優(yōu)先級、時間要求和技能需求進行處理，實現(xiàn)跨部門的協(xié)同合作。此外，自動化流程可以實時跟蹤和監(jiān)控工作的狀態(tài)、進度和質(zhì)量，確保審批流程按時完成，并提供預(yù)警機制和異常處理措施。 最后，通過集成不同的數(shù)據(jù)源和系統(tǒng)，自動化流程實現(xiàn)數(shù)據(jù)的無縫傳遞和交互， 提供一個及時的通信和協(xié)作平臺。 綜上，自動化流程的應(yīng)用能夠提高企業(yè)的效率、準(zhǔn)確性和協(xié)同合作能力，推動業(yè)務(wù)的順利進行。

2.分工與權(quán)限控制

結(jié)合業(yè)務(wù)需求和組織結(jié)構(gòu)， 考慮包括明確崗位職責(zé)和要求等，將企業(yè)的工作任務(wù)劃分為不同的崗位或角色，根據(jù)員工的崗位或角色進行分工， 給予其訪問和操作特定資源和數(shù)據(jù)的權(quán)限。 對員工的訪問和操作進行限制和控制， 只有經(jīng)過授權(quán)的員工可以訪問和操作特定資源和數(shù)據(jù)，并對員工操作系統(tǒng)和數(shù)據(jù)的權(quán)限進行限制，例如，限制讀取、寫入、修改和刪除等。 記錄員工對系統(tǒng)和數(shù)據(jù)的操作日志，以便追蹤和監(jiān)控員工的行為，并在需要時進行審計和調(diào)查。

3.業(yè)務(wù)規(guī)則和審批流程設(shè)計

設(shè)計適用于特定業(yè)務(wù)模塊的規(guī)則，例如，采購、生產(chǎn)、銷售、財務(wù)等。 將規(guī)則劃分為不同的類別，如將規(guī)則按業(yè)務(wù)流程劃分為前置規(guī)則、后置規(guī)則、驗證規(guī)則等，以便于管理和應(yīng)用。 根據(jù)特定業(yè)務(wù)需求，確定審批流程的步驟、順序和參與者，流程可以包括單一層級審批、多層級審批和并行審批等。 進行規(guī)則驗證和測試優(yōu)化，以使規(guī)則能夠準(zhǔn)確地反映業(yè)務(wù)需求和流程，確保規(guī)則能得到有效、準(zhǔn)確地運行。 使用信息系統(tǒng)或工作流管理工具來支持業(yè)務(wù)規(guī)則和審批流程的設(shè)計、執(zhí)行和監(jiān)控，提高流程的自動化水平和效率， 將業(yè)務(wù)規(guī)則和審批流程與相關(guān)的信息系統(tǒng)進行集成，以實現(xiàn)數(shù)據(jù)的無縫傳遞和自動觸發(fā)審批流程。 通過信息系統(tǒng)或工作流管理工具， 實時跟蹤和監(jiān)控審批流程的進展情況，包括當(dāng)前審批狀態(tài)、待審批人員、歷史記錄等，實施異常處理機制，對審批超時、審批拒絕等流程進行處理，以確保流程能順利進行。

四、信息系統(tǒng)內(nèi)部控制的優(yōu)化和改進

（一）內(nèi)部控制評估和審計

內(nèi)部控制審計的過程涵蓋了一系列關(guān)鍵步驟： 一是根據(jù)業(yè)務(wù)流程和關(guān)鍵風(fēng)險確定審計的重點， 明確審計的目標(biāo)和范圍；二是識別與業(yè)務(wù)相關(guān)的內(nèi)部控制風(fēng)險等；三是評估企業(yè)已有的內(nèi)部控制措施的合理性和有效性；四是根據(jù)評估結(jié)果和優(yōu)先級確定審計計劃； 五是執(zhí)行內(nèi)部控制審計程序，通過數(shù)據(jù)抽樣、穿行測試等審計方法，獲取證據(jù)來評估內(nèi)部控制的有效性和合規(guī)性； 六是針對發(fā)現(xiàn)的內(nèi)部控制缺陷和問題， 評估其對業(yè)務(wù)運作和風(fēng)險管理的影響，提出改進建議；七是輸出審計結(jié)果，將結(jié)果和建議以報告的形式提交給管理層并監(jiān)督整改工作； 八是建立持續(xù)監(jiān)測機制， 對內(nèi)部控制的有效性和合規(guī)性進行定期或?qū)崟r的監(jiān)測和評估， 確保內(nèi)部控制持續(xù)有效地發(fā)揮作用。 以上步驟構(gòu)成了一套完整的內(nèi)部控制審計流程，幫助企業(yè)評估和提升內(nèi)部控制的質(zhì)量和效果。

（二）信息系統(tǒng)優(yōu)化和技術(shù)創(chuàng)新

在優(yōu)化信息系統(tǒng)時，需先了解業(yè)務(wù)和用戶需求，評估當(dāng)前狀況和性能，分析是存在的技術(shù)瓶頸和不足之處，以確定優(yōu)化的目標(biāo)和要求。 基于技術(shù)評估和需求分析選擇適合的新技術(shù)和解決方案。 再根據(jù)選定的技術(shù)，設(shè)計系統(tǒng)更新和創(chuàng)新方案、進行系統(tǒng)開發(fā)和測試、數(shù)據(jù)遷移、更新部署和調(diào)試。 在過程中需引入新的技術(shù)和解決方案，探索新的應(yīng)用場景和模式，以提升業(yè)務(wù)流程效率和用戶體驗。最后，評估技術(shù)創(chuàng)新的效益和成果，比較更新前后系統(tǒng)的差異， 驗證技術(shù)創(chuàng)新的價值和效果。 通過這一系列的步驟，實現(xiàn)信息系統(tǒng)的優(yōu)化以滿足公司需求。

五、結(jié)論

基于信息系統(tǒng)的企業(yè)內(nèi)部控制的研究旨在探討如何充分發(fā)揮信息系統(tǒng)的優(yōu)勢，提升內(nèi)部控制的效果和效率。通過信息系統(tǒng)和內(nèi)部控制的結(jié)合， 可以實現(xiàn)企業(yè)管理的科學(xué)化、 自動化和智能化， 提高業(yè)務(wù)流程的效率和準(zhǔn)確性，降低內(nèi)部操作風(fēng)險和管理風(fēng)險，提升企業(yè)的可持續(xù)發(fā)展能力和競爭力。 然而，盡管企業(yè)內(nèi)部控制與信息系統(tǒng)的融合在理論和實踐中有廣闊的前景， 但在其應(yīng)用領(lǐng)域仍面臨一系列挑戰(zhàn)和難點。 信息系統(tǒng)的安全性和可靠性問題、數(shù)據(jù)的完整性和準(zhǔn)確性保障、人員的技術(shù)素質(zhì)和意識培養(yǎng)等方面存在挑戰(zhàn)。 因此，需要深入研究基于信息系統(tǒng)的企業(yè)內(nèi)部控制， 探索有效的方法和策略來克服這些難題，并為企業(yè)提供可行的解決方案和管理實踐。