1 財務公司內部控制的定義及信息化下內部控制的目標
大型企業集團內的財務公司,其內部控制主要是為實現一定的經營目標,通過制定和實施一系列制度、程序和方法,對所從事的各種業務活動的風險進行事前防范、事中控制、事后監督和糾正的一種動態過程和機制。信息化環境下財務公司內部控制的總體目標是在保證業務目標與信息化戰略目標高度一致的前提下,采取控制信息技術的風險、合理利用信息資源等措施手段,建立財務公司內部控制體系,實現企業效益最大化。信息化環境下財務公司內部控制的具體目標主要包括:
(1)遵循法律法規的合法性。在信息化環境下,不僅僅要遵循傳統方式的相關制度要求,從系統設計到系統運行的全過程,還要遵循與信息系統相關的法律法規。
(2)信息資源的合理利用。在信息化環境下,信息系統與傳統手工方式相比具有運行效率高的明顯優勢,但必須通過采取內部控制的方法加強信息資源的管理,確保信息系統數據、架構、安全策略等信息資源能夠合理使用。
(3)防范信息技術風險的有效性。信息技術是一把“雙刃劍”,因此財務公司只有建立健全的內部控制體系,才能規避和控制信息系統的有關風險。
(4)確保系統數據準確安全。在進行內部控制體系設計時,在系統程序中嵌入控制,通過平衡檢查控制、合法性控制、輸入輸出控制等控制方式確保財務信息和其他信息的真實、準確和完整。
(5)確保信息系統的安全。在信息系統運行過程中,通過優化功能,及時運維、制訂應急方案、購買較好的軟硬件,采取有效的數據安全方法提高系統的安全性。
(6)確保問題糾正的及時性。在信息化環境下,通過內部控制體系對業務流程、交易數據、單據等的檢查、記錄、評價,找出存在的問題并及時進行整改,確保各項業務開展安全、合法、有序。
2 信息化的發展對財務公司內部控制的影響
信息化的發展改變了財務公司數據存取、保存、傳遞的方式和會計處理的模式,提高了業務運轉與管理的效率。如隨著中石化集團資金集中管理系統、財務公司核心業務系統、電子商業匯票系統的上線運行,使中石化財務公司內部控制由單一控制變成了多層次、全方位的控制,從單純的控制活動到控制的諸多要素(活動、環境、程序、風險、制度)的綜合控制,從控制財務到整個資源的控制。財務公司內部控制系統主要由5個基本要素構成,在信息化環境下,每項基本要素的內部構成卻呈現新的內容,并表現出新的特征,也因此帶來了內部控制新的變化。
2.1 控制環境的動態化
信息技術的發展,使得財務公司可以借助于計算機網絡系統實現會計和業務的一體化處理,大部分業務的控制由人工轉為信息系統自動控制,從事后的靜態核算轉變為事中的動態核算;信息技術集成了業務信息處理流程與會計信息處理過程,有效地提高了會計信息的實時性和準確性,從而避免了財務信息滯后于業務運作信息的現象,實現了財務分析與業務流程的同步,控制環境處于動態變化之中。
2.2 控制活動復雜化
在信息技術平臺上,由于大量的人工控制被信息系統的自動控制取代,使得經營管理存在更多的復雜性,內部控制的范圍相應擴大。同時在信息化環境下,業務授權、審批可以在線上完成,業務記錄不再是書面的簽章、編碼、審批等,而是通過登錄密碼、操作日志等技術手段進行線上記錄,其有效性受信息系統的正確性、完整性和安全性的影響。因此,在信息系統內部建立嚴格的人員訪問授權、數據接觸控制、操作流程規則和職責權利分工體系尤為重要。
2.3 風險評估更加必要
在信息化環境下,業務流程的自動化降低了業務處理過程中源于人員疏漏或舞弊的風險。但與此同時,由于信息系統的應用,將使得公司數據的采集、處理和運用更加依賴信息技術和信息系統的實施效果,信息化環境促使信息存儲高度集中、單位時間傳遞的信息量大為提高,業務操作流程復雜,這些都增加了信息化條件下內部控制執行的難度。如果信息系統失靈或崩潰,重要信息被竊,都將給財務公司帶來不可估量的損失。因此,我們應當建立良好的風險控制、檢查評估機制,減少信息系統失靈和操作失誤產生的風險。
2.4 交流和溝通更加順暢
信息化環境下,大量的管理信息、經營信息、會計信息、業務信息都集中存儲在數據庫系統內,并不斷被實時更新。在信息平臺上,員工可以更好地從信息系統中查閱有關的政策和法規,獲取更多與其職責相關的控制信息。另外,財務公司在網絡平臺上構建與集團企業的聯系機制,使財務公司與成員企業能及時進行溝通,更好地為集團內單位提供金融服務。
2.5 監督顯得更加重要
信息化環境下,內部控制的程序化使得內部控制具有一定的依賴性并增加了差錯反復發生的可能性。因此在信息化環境下,要及時了解原來設置在信息系統內的控制程序、控制要點是否過時,并及時評估業務流程控制點的運行狀態,重新調整或更改設置在信息系統的運作流程和控制要點。財務公司除了需要建立健全的信息系統控制之外,還要通過審計活動審查與評價信息系統的內部控制建設及其執行情況,并提出審計建議。
3 信息化環境下財務公司內部控制存在的問題
財務公司內部控制經過多年實踐,已取得了一定的成效,但同時也存在著一些問題。信息化的全面發展,為財務公司的發展創造了良好的機會,同時也對財務公司的經營管理提出了更高的要求。
(1)信息化環境下,隨著財務公司各種系統的上線,大部分業務的創建、審批及會計核算均依賴系統自動完成。例如中石化資金集中管理系統推廣上線后,資金流量大,業務筆數多,涉及的系統多、流程長、控制點多、對賬量大。因此信息系統的風險控制顯得特別重要,系統出現大的漏洞或出現失靈、故障,容易出現資金支付的安全風險。
(2)財務公司部分人員風險意識還比較薄弱,認為財務公司服務的都是集團內企業,出現風險的概率較低,因此出現對風險防范不夠重視,對內控及風險認識不夠,個別人員對制度、對業務流程執行不嚴,對檢查不重視、不全面、走過場的情況。
(3)在信息化環境下,受互聯網的影響,一方面,公司內部各部門之間的信息溝通更加方便直接快捷;另一方面,也增加了公司資料和技術外泄的風險,使內部審計、稽核的難度增加。
4 對信息化體系下完善內部控制的幾點建議
信息化的不斷發展要求財務公司在實施內部控制時應科學合理地運用先進的信息化技術,加強信息管理者的專業知識,加強對信息化的認識,加強對信息網絡系統的控制,進一步防范經營風險。
4.1 進一步改善內部控制環境,健全內部控制體系
財務公司應加強內部控制的環境建設,首先,參考國內外相關的信息系統安全的法制法規,對內部控制制度進行完善,制定出科學合理的并與信息系統相適應的內部控制制度與政策措施;其次,高度重視企業文化的打造,建立包括價值觀、道德觀、信念、政策制度的企業文化,強化員工的風險意識。通過制定有效的獎懲政策,充分發揮人力資源優勢,營造良好的內部控制環境。
4.2 加強信息化建設,加強安全控制
①進一步完善系統設計,優化功能; ②加強網絡系統安全控制,加強權限及用戶管理,對系統權限加強審批管理,對系統操作人員進行互相監督和制約; ③加強軟硬件安全控制; ④加強系統功能和風險的培訓,增強員工操作技能和風險識別能力。
4.3 加強專業人員培養
信息化環境對員工的素質提出了更高的要求,提升責任心和業務水平及加強風險防范意識非常重要,另一方面要培養一批既懂內控,又懂信息系統,既熟悉應有控制,又熟悉一般控制,既掌握業務流程,又掌握關鍵控制的內控信息化人才。
4.4 切實加強對內部控制執行效果的監督檢查評價
結合財務公司實際情況,需進一步完善內部控制評價的指標體系、標準體系和評價方法,建立一套規范的、具有可操作性和指導性的內部控制評價體系。檢查要針對業務控制薄弱環節和關鍵控制點,通過不同部門交叉檢查的辦法,充分反映各部門的真實情況和存在問題,加強整改,提高檢查效果和質量。同時,加強對重要部門、崗位人員的管理,定期輪崗,嚴防內部人員失職產生風險。通過內部控制的測試與評價,及時發現并糾正控制弱點,使內部控制在形式與內容、效率與效果上達到統一,真正發揮好內部風險控制的作用。
4.5 加強對信息系統的管理
財務公司實現信息化,核心數據和信息都保存在計算機中,關系到公司內部機密的關鍵數據和信息的破壞及泄露對公司的損失將是不可估量的,甚至是致命的。所以,對信息系統的有效控制是財務公司內部控制的前提。制定有效的信息管理措施及相關的信息安全管理制度,構建實時的監控體系,有效地防治計算機病毒對網絡系統的侵襲將是財務公司下一步工作的重點。
主要參考文獻
[1]嚴李浩.企業集團財務公司內部控制制度建設:存在問題與改進建議[J].上海金融,2011(11).
[2]張星貴.淺談信息化環境下如何加強企業內部控制[J]. 山東冶金,2010,32(4).
作者:林志力
