浅谈信息技术环境下企业的内部控制
开篇:润墨网以专业的文秘视角,为您筛选了一篇浅谈信息技术环境下企业的内部控制范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘要:本文简要的论述了信息技术环境下企业内部控制的一些变化及特点,并对如何进行企业内部控制做了简要的说明,最后,对内部控制进行了深层次的思考。
Abstract: This article briefly discussed some changes and characteristics of enterprise internal control under information technology environment, and then made the brief explanation on methods of enterprise internal control. Finally, it conducted in-depth thinking about internal control.
关键词:内部控制;交易处理控制;一般控制;应用控制
Key words: internal control;transaction control;general control;application control
中图分类号:F272 文献标识码:A文章编号:1006-4311(2011)16-0133-02
作者简介:王刚(1978-),男,陕西咸阳人,讲师,毕业于西安交大,现从事软件工程的理论研究和教学。
0 引言
信息技术的广泛应用,使企业的生产、经营与管理模式产生了巨大的变化,一方面信息技术应用在为企业增强竞争力的同时带来了新的风险,另一方面信息技术也能为控制风险提供新的手段。在信息技术环境下,作为企业管理重要组成部分的内部控制必须进行改革,以适应新的情况。
1 计算机信息系统内部控制的变化
计算机引入数据处理系统后,计算机信息系统呈现出不同于一般手工系统的特征,如数据处理的集中化、数据存储的磁、光介质化、可视审计线索减少、缺乏综合判断及推理能力和初始成本变大等。计算机信息系统的这些特点,一方面使得审计中有些风险减少,另一方面也增加了许多在手工系统中较小的、或不曾有的风险,从而使得加强计算机信息系统的内部控制成为任何实施计算机信息系统的单位都不可忽视的一项重要工作。计算机信息系统中内部控制的一些变化主要有:
1.1 计算机系统消除了手工的大部分交易处理痕迹 原来在手工业务处理系统中使用的一套能作为处理凭证的单据等,在计算机系统中逐渐减少或根本不用了,纸质凭证所起到较强的控制功能被弱化,大部分交易活动几乎没有任何纸质“痕迹”。特别是在联机系统中,终端操作者经常把业务直接输入计算机而不留任何凭证。
1.2 计算机系统中交易的授权和执行与手工系统有很大不同
在手工业务处理系统中,对于每一项经济业务的每一个处理环节都要经过上一级管理层的授权,具体方式为签字或盖章,而在计算机系统中这种方式已改为授权文件、授权指令或授权密码。这些授权文件、授权指令或授权密码保管不善被人盗用或破解,就会使其非法获得某种权限或运行特定程序进行非法业务处理。
1.3 重新安排职责分离 传统上,企业授权、处理、记录和保管等职责分开,防止正常工作过程中发生人为的错误或舞弊,但在信息化之后,情况发生了变化,业务人员可能一人兼多项职能。
1.4 对信息系统内控的依赖性,增加了差错多次发生的可能性
许多应用程序中都包含了内部控制功能,而这些程序化内部控制功能的有效性取决于业务处理时是否真正执行了这段程序。如果程序发生差错,或业务的变化使控制功能不起作用,人们又没能及时发现这种情况,由于人们的依赖性和程序的重复性,则会大大增加发生错误或违规的可能性。
1.5 更严峻的风险 企业信息化后,会面临很多更严峻的风险。首先,企业的数据集中存储和管理,一旦出现硬件故障,如主机系统损坏,可能导致数据丢失甚至造成毁灭性的灾难。其次,信息化后,企业的许多管理规则变了,权限配置也变了,原来有效的控制规则可能得不到充分的实现。再次,在信息技术环境下,对技术人员尤其是系统管理人员的控制问题变得异常突出。在极端情况下,这些人员可能会造成机器毁坏或整个系统瘫痪。最后,信息在互联网上传输,产生了易泄露的风险,还有各级权限密码保存、改动不当或丢失都可能造成重大损失。
2 计算机信息系统内部控制的特点
信息技术环境下内部控制的总体目标仍然是保证运营的效率效果、财务报告的真实可靠性和经营活动的合法合规。但是,由于业务环节和交易方式的变化,控制活动的子目标可能需要做调整。①控制的重点转向系统职能部门。计算机信息系统实现后,数据的处理、存储集中于系统职能部门,因此内部控制的重点必须随之转移。②控制的范围扩大。由于计算机信息系统的数据处理方式与手工处理方式相比有所不同,以及计算机系统建立与运行的复杂性,要求内部控制的范围相应扩大,其中包括一些手工系统中没有的控制内容。③控制方式和操作手段由人工控制转为人工控制和程序控制相结合。在手工系统中,所有的控制手段一般都是手工控制。在计算机系统中,原有的手工控制手段有些仍然保留,但需要增设一些存储与计算机程序中的程序化控制。当然随着计算机应用的程度不同,程序化控制的范围也会有所不同。
3 计算机信息系统内部控制的功能
内部控制发挥着三个方面的功能,即预防、监测和校正功能。①预防。是通过防止或组织来避免错误、灾害、事故、舞弊等的发生。②监测性控制功能。是通过找出、发现已经发生的错误、灾害、事故、舞弊等来防止危害的扩大或者使损失得到补偿。③校正性控制功能。是通过更正和校正已检测出错误,处置发生的舞弊行为,以及处理和补救已发生的灾害来减轻危害,使系统恢复正常。
4 计算机信息系统内部控制的类型
设计交易处理控制的目的是确保一个组织的所有内部控制措施被有效用于某些应用系统,这些应用系统包含于组织的每个交易循环中。交易处理控制由一般控制和应用控制组成。一般控制影响全部的交易处理;应用控制则被用于某些具体方面。
4.1 一般控制是指对计算机信息系统的研制开发、组织、鉴定、应用环境等方面进行的控制。一般控制的强弱,直接影响到每个计算机应用的成败,可以说,一般控制是应用控制的基础。一般控制所采用的控制措施普遍适用于某一单位的会计系统,同时也为每一应用系统提供了环境。一般控制作用于所有的应用系统,成为应用系统的保护层。一般控制主要包括以下几个方面的控制:①高层管理控制。随着企业信息不断深入,信息系统已经成为为企业提供竞争力和服务的一项基础设施。因此,为保证信息系统的有效运行,必须全力做好信息系统的管理控制工作。高层管理控制应通过规划、组织和控制等手段对信息系统进行控制。②系统开发与维护控制。系统开发与维护控制是对新系统的分析、设计、实施,以及对现有系统的改进与维护实施的控制,具体包括系统开发控制、系统维护控制和系统档案控制三个方面。③数据资源管理控制。数据库中的数据是企业的重要资源,数据库的正确使用及数据的完整性是整个信息系统运行和为企业提供决策的重要环节。对数据资源主要实施访问控制和建立数据备份和恢复制度。④质量管理控制。为了确保信息系统达到特定的质量目标,信息系统的开发、实施和维护应遵守一系列的质量标准。因此,国外的一些组织中出现了信息系统质量保证角色,如信息系统审计。所谓信息系统审计是指审计人员接受委托或授权,搜集证据并评估证据以判断一个信息系统是否做到有效保护资产、维护数据完整并最有效地完成组织目标的活动过程。⑤安全管理控制。安全管理控制的目的是为了确保信息系统的硬件、软件和数据资源受到妥善保护,不因自然和人为因素而遭到破坏,使信息系统能够持续、正常地运行。安全管理控制包括:设备安全控制、软件安全控制、数据安全控制和系统入侵防范控制等。⑥信息系统外包的管理控制。由于信息系统更新换代的周期短,信息系统工作人员的流动性高,人工费用与设备维修费用十分昂贵,因此,近年来在先进的发达国家出现了利用外包信息系统资源的方法,简称“外包”。外包指组织只专注于自己的特定业务,而将相关的信息系统业务承包给外部的信息服务机构。外包必须由特定的人员来负责监督控制,主要包括:不断评价外包商的财务能力;监督外包合同条款的执行;通过要求外包供应商定期提供一个第三方的审计报告或由客户的内部审计人员和外部审计人员定期审计其控制,对外包商控制的可靠性进行监督,确保外包商提供安全可靠的信息系统资源;建立外包灾难恢复控制,并定期评价这些控制,如果外包商发生灾难事项,客户应设计自己的灾难恢复程序。⑦运行管理控制。运行管理控制是针对信息系统中硬件和软件设施日常运行而实施的控制,主要包括计算中心进入控制、计算机操作控制、文件服务器控制、硬件设备维护控制、文档资料保管控制和软、硬件性能监控等。
4.2 应用控制是具体控制或微观控制,它与具体的应用系统有关,是为了确保数据处理完整、准确而实施的控制。通常将应用控制分为:①输入控制。输入正确的数据是系统正确处理的关键。输入控制是为保证输入系统的数据正确、完整和可靠而实施的控制。②处理控制。处理控制是为了保证数据处理的正确性和完整性而实施的控制。数据输入计算机以后,按照程序对数据进行加工处理。程序逻辑有误、用错文件、或记录、处理非法数据等同样会导致处理结果的不正确,因此必须设置处理控制措施。处理控制有些是由人工实施,有些被定写入计算机程序实施自动控制。③输出控制。输出控制的主要目的是保证输出信息的正确性,并且要确保输出的信息只能提供给经过授权的使用者。
5 关于内部控制的深层思考
5.1 人的因素第一 人是所有内部控制中最为重要的因素,因此制定和实施控制措施的人必须具有较高的业务素质,才能使控制措施科学有效、好理解、易操作。组织应该着力建设企业文化。健康的企业文化可以促进员工的道德行为,鼓励员工的敬业精神,提升员工的士气。不良的企业文化会阻碍员工的进取精神,影响员工的工作情绪,降低员工的理想信念。组织内的职员应当具有较高的综合素质。综合素质包括经验、才能、品格、奉献精神和组织能力。一支过硬的员工队伍是内部控制效果得以保证的基础。一个理想的控制系统应该让每位员工都能确信控制的目的是为了防止组织经营中可能出现的困难和犯罪,而这些困难和犯罪一定会影响到他们自己。
5.2 控制的适度性 一个信息系统有多个目标,首要的目标是运行效率。信息的可靠性和安全性也是重要目标,这些目标之间往往会发生冲突。信息系统的运行效率常会受到对信息可靠性顾虑的限制。控制其实是一种重复劳动,它们影响了运行效率,但增加了输出结果的可靠性。过度考虑可靠性和安全性可能会降低效率,但忽略可靠性和安全性只强调效率也会牺牲可靠性与安全性,两者必须权衡与兼顾。系统分析与设计人员必须认识到并认真考虑内部控制与生产效率之间的矛盾,因为它不光影响到系统内人们的行为,最终还会影响到整个组织的运转效果。过于追求劳动效率常会忽略内部控制责任。系统分析人员在设计和评价内部控制时应牢记这一点。
5.3 内部控制过程分析 搞好内部控制,不仅要关注内部控制系统是如何设计的,还要充分了解这个控制系统是如何动作的。实际的运行过程可能与预期的过程不一致。这就需要定期调查、了解、收集信息,以检查责任或权限是否转移,批准与核实是否得到执行。有关内部控制责任的文档必须予以检查,以评价系统运行的可靠性。设计一个内部控制过程只是问题的一个方面,内部控制责任真正按照规定运行才是问题的关键。
参考文献:
[1]彭志国,刘琳主编.企业内部控制与全面风险管理.中国时代经济出版社;2008-11.
[2]王立彦,张继东主编.企业内部控制.机械工业出版社,2007-08.
[3]王保平主编.企业内部控制操作实务与案例分析.中国财政经济出版社,2010-7.