黄辉渊华东交通大学经济管理学院 南昌 330013冤 随着信息时代的来临,传统的企业内部控制的不足和缺 陷逐步暴露. 为提高企业的经营决策效率, 需要对传统的内部 控制进行整合. 一、 信息化环境对内部控制的影响 1. 对控制环境的影响. 一方面, 信息化将使企业组织结构趋向扁平化, 管理层次 减少, 人员精简, 进而降低成本和提高效率. 同时, 扁平化组织 结构能够使物流和信息流更加顺畅, 有利于工作周期的缩短、 工作质量的提高.随着扁平化组织结构的建立和信息系统的 运行, 企业的权责分派体系也出现了变化, 主要包括岗位设置 和交易授权. 淤岗位设置. 信息化环境下, 工作岗位及其职责 需要重新合并和划分. 就会计岗位而言, 可以按照会计信息的 不同形态划分为会计核算组、 会计信息运行组、 管理组. 与此 同时,会计岗位的重心由传统的总账报表岗位转变为会计信 息运行组岗位.这种工作岗位及其职责的变化更加强调员工 之间的竞争与合作, 有利于团队的成长和发展. 于交易授权. 传统的交易授权大都采用签字和盖章等方式,而在信息化环 境下, 交易授权一般采用计算机口令和数字签名等手段. 这种 交易授权行为可以在人工介入很少的条件下,通过计算机程 序自动完成. 它减少了工作量, 提高了工作效率, 但同时也出 现了一个新的问题, 即交易轨迹消失, 这给内部控制的实施和 评价带来了很多困难. 另一方面,信息化对企业管理者的素质提出了更高的要 求. 企业所面临的竞争加剧、 变化加速, 管理者所能获得的信 息量倍增, 信息技术和信息系统在企业中的作用日益凸显. 这 些都要求管理者不但要有更强的把握信息、 利用信息的能力, 在运营管理企业中利用好信息资源, 而且要有对信息、 信息技 术和信息系统重要性和风险的正确认识和理解,制定正确的 信息技术战略和信息技术规划. 2. 对风险评估的影响. 在信息化环境下,企业经营管理的外部环境与内部因素 都发生了变化. 伴随着业务流程的重组, 系统的开放性、 信息 的分散性、 数据的共享性, 使信息系统从以往的封闭集中状态 走向开放, 给企业带来的风险主要有: 淤由于信息的开放性和 保密性, 系统程序员、 系统操作员、 系统维护员等各类人员对 其权限内的工作都设置一定的口令或密码,但是一旦系统操 作员不怀好意,擅自改变他人的口令或密码,改变他人的权 限, 则势必造成系统管理混乱, 从而给企业带来风险. 于内部 控制计算机程序化, 可能导致同一错误反复发生. 盂在信息化 环境下,企业业务流程的自动化降低了业务处理过程中源于 人员疏忽或舞弊的风险.但由于企业的运营管理越来越依赖 于信息系统, 信息在企业中的作用日趋重要, 信息化环境促使 信息存储高度集中、 单位时间传递的信息量大为增加, 这些都 增大了与信息资产和信息系统相关的风险. 信息化环境下, 人 们的主观判断被忽视, 数据处理过于集中, 存储的数据可以被 不留痕迹地改写或删除,数据的存放方式增加了数据再现的 难度, 数据处理过程无法观测, 等等. 这些新的风险构成了企 业内部控制的新内容. 3. 对控制活动的影响. 信息化环境下的控制活动分为两部分:自动化业务控制 和信息系统控制.自动化业务控制的控制对象仍然是企业的 生产经营过程, 但其形式和控制手段发生了很大变化. 它以计 算机程序的形式嵌入企业信息系统之中,对业务的控制由计 算机自动完成.信息系统控制是企业为了保证信息系统的正 确性、 完整性和安全性而采取的控制措施, 其控制对象是企业 信息系统, 包括计算机软硬件资源、 应用系统、 数据和相关人 员等信息系统的所有组成要素.随着网络技术和电子商务的 发展,信息系统控制还必须考虑网络安全和电子商务控制的 问题. 信息化环境下的交易授权可以由计算机程序自动完成, 这使得授权过程不明显,控制的失效往往在发生损失后才被 察觉. 因此, 管理者对交易授权的关注应该转移到对相关计算 机程序的正确性和完整性的检查上. 4. 对信息沟通的影响. 在完善的信息系统的支持下,企业员工能够较好地取得 他们在执行、 管理和控制企业经营活动过程中所需的信息, 使 其职责能够顺利履行. 当然, 也要警惕信息技术可能带来的信 息过量的问题,以及部分员工借助高速信息处理能力造假的 问题. 援 财会月刊渊综合冤 窑园9 窑阴【摘要】 本文通过对信息化环境对企业内部控制要素中控制环境、 风险评估、 控制活动、 信息沟通和监控的影响进行分 析, 提出加强企业内部控制的对策. 【关键词】 信息化 内部控制 影响 5. 对监控的影响. 内部控制的程序化使得内部控制具有一定的依赖性并增 加了差错发生的可能性.网络技术的应用使得内部控制具有 人工控制与程序控制相结合的特点.这些程序化的内部控制 的有效性取决于应用程序的有效性.如果程序发生差错或不 起作用, 人们对计算机系统的依赖性、 麻痹大意以及程序运行 的重复性会使得失效控制长期难以被发现,从而使系统在特 定方面发生错误或违规行为的可能性加大. 二、 信息化环境下加强企业内部控制的对策 1. 针对控制环境方面采取的对策. (1) 实施信息技术治理. 信息技术治理是从公司治理的高 度, 对企业信息化做出制度安排, 制定与企业战略相融合的信 息技术战略, 并从战略投资、 企业管理变革的角度, 降低信息 技术风险.信息技术治理的目标是帮助管理层建立以企业战 略为导向、 以外界环境为依据、 以业务和信息技术相整合为中 心的观念, 正确定位信息技术部门在整个组织中的作用, 最终 能够针对不同业务发展要求, 整合信息资源, 制定并执行推动 企业发展的信息技术战略. 信息技术治理的主要任务是: 保持 信息技术与业务目标一致, 推动业务发展, 促使收益最大化, 合理利用信息技术资源, 适当管理相关风险. (2) 进行业务流程重组. 先进的企业信息系统的建立, 必 然需要对企业原有的业务流程进行不同程度的改造,以满足 "面向用户, 价值链管理, 快速反应和决策" 等方面全新的管理 需要. 对业务流程进行重组时, 需要对原有的流程有清楚的认 识, 找到其与新的管理要求不相适应之处, 以使新的流程切实 符合管理要求.另外也应尽量避免对原有流程完全放弃而全 部重建的做法. 这样可以节约成本, 减少不必要的浪费, 避免 动作过大造成企业混乱. 2. 针对风险评估方面采取的对策. (1) 加强系统软件安全控制. 系统软件应设置有关操作人 员的姓名、 操作权限、 相应人员的密码和电子签名. 要按操作 权限严格控制系统软件的安装和修改.为了防止非法修改软 件, 必须对软件的修改建立审批制度, 按操作规程定期对系统 软件进行安全性检查. 当系统被毁坏时, 要求系统软件具备紧 急响应、 强制备份、 快速重构和快速恢复等功能. (2) 加强数据资源安全控制. 数据库的安全威胁主要来自 两个方面: 一是系统外人员对数据库的非法访问; 二是系统故 障、 误操作或人为破坏造成数据库的物理毁损. 为此, 可采用 以下控制措施: 一是合理定义、 应用数据库模式, 即根据不同 类别的用户或应用项目分别定义不同的数据,针对特定类型 的用户开放,以限制合法用户或非法访问者轻易获取全部数 据资源. 二是建立数据备份和恢复制度. 数据备份是数据恢复 与重建的基础, 是一种常见的数据控制手段, 利用两个服务器 进行双机备份是数据备份的先进形式. 3. 针对控制活动方面采取的对策. (1) 加强信息系统控制, 实施信息系统审计. 在信息化环 境下,对信息系统的有效控制是企业生产经营活动顺利进行 的前提和保障.内部审计机构是信息系统控制最重要的执行 者之一. 内部审计机构在信息系统的开发、 实施、 维护和操作 过程中应当进行严格的独立审查并定期对信息系统加以检 查, 以保证信息系统的正确性、 完整性和安全性. 内部审计机 构应当将发现的问题及时报告给企业管理当局,提高管理当 局对信息系统控制的重视程度,帮助管理当局弥补信息系统 控制中存在的缺陷. 有条件的企业还应当实施信息系统审计. 信息系统审计是独立信息系统审计师以第三方的客观立场对 以计算机为核心的信息系统进行综合的检查与评价,向被审 计单位的最高管理当局提出问题与建议的一系列活动.信息 系统审计综合运用 IT 技术与审计理论和方法为信息系统的 使用者提供合理的保证. (2) 加强组织控制. 组织控制的具体内容包括以下几个方 面: 淤系统职能部门内部的职责分离. 信息化系统职能部门内 部的职责应进行适当的分工,包括系统开发与数据处理职责 分离、 数据录入和数据审核的职责分离. 同时, 要明确各部门 的权责, 促使各部门之间相互监督、 相互控制, 防止差错的产 生. 于系统职能的授权控制. 所有现有系统的改进工作、 新系 统的开发应用以及控制措施都应由使用部门发起并经高级管 理人员授权, 未经有关部门的批准, 职能部门无权擅自修改现 有的应用程序. 4. 针对信息沟通方面采取的对策. 在建立完善的信息沟通渠道的情况下,要建立信息的过 滤机制, 清除垃圾信息. 为了防止非法访问者对信息系统的入 侵, 可采取以下措施: 一是设置外部访问区域. 外部访问区域 是系统接待外界网上访问, 与外界进行会计数据交换的区域. 二是在本部门局域网与互联网之间建立 "防火墙" , 包括软件、 硬件设备, 加强网络的安全设施建设, 防止黑客或计算机病毒 的袭击. 另外, 各个职能部门要严防密码泄露, 防止非法访问 者对系统的破坏. 5. 针对监控方面采取的对策. 借助信息技术, 可以使一部分的监督工作自动完成, 并且 可能实现实时监督, 从而提高监督的效率. 应当注意的是, 对 信息系统的开发、实施和维护过程所进行的监督应当成为监 督的重点. 同时, 可以尝试控制自我评估 (CSA) . CSA 是企业 不定期或定期地对自己的内部控制系统进行评估,评估内部 控制的有效性及其实施的效率和效果,以期能更好地达成内 部控制的目标. CSA 有助于提高组织内部控制的自我意识, 帮助人们了解哪里存有缺陷以及可能引致的后果,然后采取 行动改变这种状况. CSA 对于企业加强管理、提高劳动生产 率、改进内部审计程序和业务经营程序以及控制风险等都有 积极的作用. 主要参考文献 1. 孙强援信息系统审计院安全尧风险管理与控制援北京院机 械工业出版社袁2003 2. 傅元略等援企业信息化下的财务监控援北京院中国财政 经济出版社袁2003 3. 单广荣援基于网络环境下的会计信息系统内部控制援财 会研究袁2002曰7 阴窑10 窑 财会月刊渊综合冤 援
下载该文档
文档格式:PDF
更新时间:2014-07-31
下载次数:0
点击次数:1
黄辉渊华东交通大学经济管理学院 南昌 330013冤 随着信息时代的来临,传统的企业内部控制的不足和缺 陷逐步暴露. 为提高企业的经营决策效率, 需要对传统的内部 控制进行整合. 一、 信息化环境对内部控制的影响 1. 对控制环境的影响. 一方面, 信息化将使企业组织结构趋向扁平化, 管理层次 减少, 人员精简, 进而降低成本和提高效率. 同时, 扁平化组织 结构能够使物流和信息流更加顺畅, 有利于工作周期的缩短、 工作质量的提高.随着扁平化组织结构的建立和信息系统的 运行, 企业的权责分派体系也出现了变化, 主要包括岗位设置 和交易授权. 淤岗位设置. 信息化环境下, 工作岗位及其职责 需要重新合并和划分. 就会计岗位而言, 可以按照会计信息的 不同形态划分为会计核算组、 会计信息运行组、 管理组. 与此 同时,会计岗位的重心由传统的总账报表岗位转变为会计信 息运行组岗位.这种工作岗位及其职责的变化更加强调员工 之间的竞争与合作, 有利于团队的成长和发展. 于交易授权. 传统的交易授权大都采用签字和盖章等方式,而在信息化环 境下, 交易授权一般采用计算机口令和数字签名等手段. 这种 交易授权行为可以在人工介入很少的条件下,通过计算机程 序自动完成. 它减少了工作量, 提高了工作效率, 但同时也出 现了一个新的问题, 即交易轨迹消失, 这给内部控制的实施和 评价带来了很多困难. 另一方面,信息化对企业管理者的素质提出了更高的要 求. 企业所面临的竞争加剧、 变化加速, 管理者所能获得的信 息量倍增, 信息技术和信息系统在企业中的作用日益凸显. 这 些都要求管理者不但要有更强的把握信息、 利用信息的能力, 在运营管理企业中利用好信息资源, 而且要有对信息、 信息技 术和信息系统重要性和风险的正确认识和理解,制定正确的 信息技术战略和信息技术规划. 2. 对风险评估的影响. 在信息化环境下,企业经营管理的外部环境与内部因素 都发生了变化. 伴随着业务流程的重组, 系统的开放性、 信息 的分散性、 数据的共享性, 使信息系统从以往的封闭集中状态 走向开放, 给企业带来的风险主要有: 淤由于信息的开放性和 保密性, 系统程序员、 系统操作员、 系统维护员等各类人员对 其权限内的工作都设置一定的口令或密码,但是一旦系统操 作员不怀好意,擅自改变他人的口令或密码,改变他人的权 限, 则势必造成系统管理混乱, 从而给企业带来风险. 于内部 控制计算机程序化, 可能导致同一错误反复发生. 盂在信息化 环境下,企业业务流程的自动化降低了业务处理过程中源于 人员疏忽或舞弊的风险.但由于企业的运营管理越来越依赖 于信息系统, 信息在企业中的作用日趋重要, 信息化环境促使 信息存储高度集中、 单位时间传递的信息量大为增加, 这些都 增大了与信息资产和信息系统相关的风险. 信息化环境下, 人 们的主观判断被忽视, 数据处理过于集中, 存储的数据可以被 不留痕迹地改写或删除,数据的存放方式增加了数据再现的 难度, 数据处理过程无法观测, 等等. 这些新的风险构成了企 业内部控制的新内容. 3. 对控制活动的影响. 信息化环境下的控制活动分为两部分:自动化业务控制 和信息系统控制.自动化业务控制的控制对象仍然是企业的 生产经营过程, 但其形式和控制手段发生了很大变化. 它以计 算机程序的形式嵌入企业信息系统之中,对业务的控制由计 算机自动完成.信息系统控制是企业为了保证信息系统的正 确性、 完整性和安全性而采取的控制措施, 其控制对象是企业 信息系统, 包括计算机软硬件资源、 应用系统、 数据和相关人 员等信息系统的所有组成要素.随着网络技术和电子商务的 发展,信息系统控制还必须考虑网络安全和电子商务控制的 问题. 信息化环境下的交易授权可以由计算机程序自动完成, 这使得授权过程不明显,控制的失效往往在发生损失后才被 察觉. 因此, 管理者对交易授权的关注应该转移到对相关计算 机程序的正确性和完整性的检查上. 4. 对信息沟通的影响. 在完善的信息系统的支持下,企业员工能够较好地取得 他们在执行、 管理和控制企业经营活动过程中所需的信息, 使 其职责能够顺利履行. 当然, 也要警惕信息技术可能带来的信 息过量的问题,以及部分员工借助高速信息处理能力造假的 问题. 援 财会月刊渊综合冤 窑园9 窑阴【摘要】 本文通过对信息化环境对企业内部控制要素中控制环境、 风险评估、 控制活动、 信息沟通和监控的影响进行分 析, 提出加强企业内部控制的对策. 【关键词】 信息化 内部控制 影响 5. 对监控的影响. 内部控制的程序化使得内部控制具有一定的依赖性并增 加了差错发生的可能性.网络技术的应用使得内部控制具有 人工控制与程序控制相结合的特点.这些程序化的内部控制 的有效性取决于应用程序的有效性.如果程序发生差错或不 起作用, 人们对计算机系统的依赖性、 麻痹大意以及程序运行 的重复性会使得失效控制长期难以被发现,从而使系统在特 定方面发生错误或违规行为的可能性加大. 二、 信息化环境下加强企业内部控制的对策 1. 针对控制环境方面采取的对策. (1) 实施信息技术治理. 信息技术治理是从公司治理的高 度, 对企业信息化做出制度安排, 制定与企业战略相融合的信 息技术战略, 并从战略投资、 企业管理变革的角度, 降低信息 技术风险.信息技术治理的目标是帮助管理层建立以企业战 略为导向、 以外界环境为依据、 以业务和信息技术相整合为中 心的观念, 正确定位信息技术部门在整个组织中的作用, 最终 能够针对不同业务发展要求, 整合信息资源, 制定并执行推动 企业发展的信息技术战略. 信息技术治理的主要任务是: 保持 信息技术与业务目标一致, 推动业务发展, 促使收益最大化, 合理利用信息技术资源, 适当管理相关风险. (2) 进行业务流程重组. 先进的企业信息系统的建立, 必 然需要对企业原有的业务流程进行不同程度的改造,以满足 "面向用户, 价值链管理, 快速反应和决策" 等方面全新的管理 需要. 对业务流程进行重组时, 需要对原有的流程有清楚的认 识, 找到其与新的管理要求不相适应之处, 以使新的流程切实 符合管理要求.另外也应尽量避免对原有流程完全放弃而全 部重建的做法. 这样可以节约成本, 减少不必要的浪费, 避免 动作过大造成企业混乱. 2. 针对风险评估方面采取的对策. (1) 加强系统软件安全控制. 系统软件应设置有关操作人 员的姓名、 操作权限、 相应人员的密码和电子签名. 要按操作 权限严格控制系统软件的安装和修改.为了防止非法修改软 件, 必须对软件的修改建立审批制度, 按操作规程定期对系统 软件进行安全性检查. 当系统被毁坏时, 要求系统软件具备紧 急响应、 强制备份、 快速重构和快速恢复等功能. (2) 加强数据资源安全控制. 数据库的安全威胁主要来自 两个方面: 一是系统外人员对数据库的非法访问; 二是系统故 障、 误操作或人为破坏造成数据库的物理毁损. 为此, 可采用 以下控制措施: 一是合理定义、 应用数据库模式, 即根据不同 类别的用户或应用项目分别定义不同的数据,针对特定类型 的用户开放,以限制合法用户或非法访问者轻易获取全部数 据资源. 二是建立数据备份和恢复制度. 数据备份是数据恢复 与重建的基础, 是一种常见的数据控制手段, 利用两个服务器 进行双机备份是数据备份的先进形式. 3. 针对控制活动方面采取的对策. (1) 加强信息系统控制, 实施信息系统审计. 在信息化环 境下,对信息系统的有效控制是企业生产经营活动顺利进行 的前提和保障.内部审计机构是信息系统控制最重要的执行 者之一. 内部审计机构在信息系统的开发、 实施、 维护和操作 过程中应当进行严格的独立审查并定期对信息系统加以检 查, 以保证信息系统的正确性、 完整性和安全性. 内部审计机 构应当将发现的问题及时报告给企业管理当局,提高管理当 局对信息系统控制的重视程度,帮助管理当局弥补信息系统 控制中存在的缺陷. 有条件的企业还应当实施信息系统审计. 信息系统审计是独立信息系统审计师以第三方的客观立场对 以计算机为核心的信息系统进行综合的检查与评价,向被审 计单位的最高管理当局提出问题与建议的一系列活动.信息 系统审计综合运用 IT 技术与审计理论和方法为信息系统的 使用者提供合理的保证. (2) 加强组织控制. 组织控制的具体内容包括以下几个方 面: 淤系统职能部门内部的职责分离. 信息化系统职能部门内 部的职责应进行适当的分工,包括系统开发与数据处理职责 分离、 数据录入和数据审核的职责分离. 同时, 要明确各部门 的权责, 促使各部门之间相互监督、 相互控制, 防止差错的产 生. 于系统职能的授权控制. 所有现有系统的改进工作、 新系 统的开发应用以及控制措施都应由使用部门发起并经高级管 理人员授权, 未经有关部门的批准, 职能部门无权擅自修改现 有的应用程序. 4. 针对信息沟通方面采取的对策. 在建立完善的信息沟通渠道的情况下,要建立信息的过 滤机制, 清除垃圾信息. 为了防止非法访问者对信息系统的入 侵, 可采取以下措施: 一是设置外部访问区域. 外部访问区域 是系统接待外界网上访问, 与外界进行会计数据交换的区域. 二是在本部门局域网与互联网之间建立 "防火墙" , 包括软件、 硬件设备, 加强网络的安全设施建设, 防止黑客或计算机病毒 的袭击. 另外, 各个职能部门要严防密码泄露, 防止非法访问 者对系统的破坏. 5. 针对监控方面采取的对策. 借助信息技术, 可以使一部分的监督工作自动完成, 并且 可能实现实时监督, 从而提高监督的效率. 应当注意的是, 对 信息系统的开发、实施和维护过程所进行的监督应当成为监 督的重点. 同时, 可以尝试控制自我评估 (CSA) . CSA 是企业 不定期或定期地对自己的内部控制系统进行评估,评估内部 控制的有效性及其实施的效率和效果,以期能更好地达成内 部控制的目标. CSA 有助于提高组织内部控制的自我意识, 帮助人们了解哪里存有缺陷以及可能引致的后果,然后采取 行动改变这种状况. CSA 对于企业加强管理、提高劳动生产 率、改进内部审计程序和业务经营程序以及控制风险等都有 积极的作用. 主要参考文献 1. 孙强援信息系统审计院安全尧风险管理与控制援北京院机 械工业出版社袁2003 2. 傅元略等援企业信息化下的财务监控援北京院中国财政 经济出版社袁2003 3. 单广荣援基于网络环境下的会计信息系统内部控制援财 会研究袁2002曰7 阴窑10 窑 财会月刊渊综合冤 援