- 相關推薦
企業(yè)信息化環(huán)境下內(nèi)部控制的思考
在人類跨入21世紀之際,由信息技術(shù)所引發(fā)的全球信息化浪潮沖擊著傳統(tǒng)社會生活的每一個角落。信息技術(shù)的,開創(chuàng)了人類智力解放的新紀元,是現(xiàn)代革命的重要標志。信息技術(shù)的滲透到了國民和社會發(fā)展的各個領域和各個層次,對人類社會的、經(jīng)濟和文化等方面都產(chǎn)生了巨大的沖擊,各行各業(yè)都面臨著信息化的挑戰(zhàn)。在我國,“大力推動全社會的信息化,以信息化帶動化”的戰(zhàn)略已經(jīng)深入人心。信息技術(shù)在中的運用日益廣泛和深入,電算化、管理信息系統(tǒng)(MIS)、企業(yè)信息系統(tǒng)(EIS)、企業(yè)資源規(guī)劃(ERP)、客戶關系管理(CRM)、商務(EC)、虛擬企業(yè)等概念和應用層出不窮。企業(yè)信息化促使企業(yè)的組織形式、管理體制、控制要點等等發(fā)生重大的變化。企業(yè)組織結(jié)構(gòu)趨向扁平,管理人員越來越依賴于信息系統(tǒng)經(jīng)營和控制企業(yè),電子商務將成為新世紀中全球貿(mào)易的發(fā)展方向。企業(yè)信息化給企業(yè)的內(nèi)部控制提出了新的挑戰(zhàn)。信息技術(shù)對內(nèi)部控制產(chǎn)生了哪些?內(nèi)部控制應該如何改變才能適應變化?企業(yè)應該如何加強信息化環(huán)境下的內(nèi)部控制?這些正是本文擬探討的。
一、內(nèi)部控制及其構(gòu)成要素
,對內(nèi)部控制較為權(quán)威的定義是美國COSO委員會提出的內(nèi)部控制整體框架概念。COSO委員會于1992年提出報告《內(nèi)部控制-整體框架》,并于1994年進行了增補。COSO委員會認為,內(nèi)部控制是由企業(yè)董事會、經(jīng)理階層和其他員工實施的,為營運的效率效果、財務報告的可靠性、相關法令的遵循性等目標的達成而提供合理保證的過程。其構(gòu)成要素應該來源于管理階層經(jīng)營企業(yè)的方式,并與管理的過程相結(jié)合。具體包括五要素:(1)控制環(huán)境。控制環(huán)境是指對建立、加強或削弱特定政策、程序及其效率產(chǎn)生影響的各種因素。控制環(huán)境塑造企業(yè)文化,影響企業(yè)內(nèi)部各成員的控制意識、企業(yè)內(nèi)部控制的貫徹和執(zhí)行以及企業(yè)經(jīng)營目標和整體戰(zhàn)略目標的實現(xiàn)?刂骗h(huán)境的構(gòu)成因素是多方面的。(2)風險評估。當今世界市場競爭日趨激烈,企業(yè)經(jīng)營風險不斷增加,企業(yè)的內(nèi)部控制必須從企業(yè)風險的入手,了解自身所面臨的風險,并適時加以處理。(3)控制活動。控制活動是確保管理階層的指令得以實現(xiàn)的政策和程序。傳統(tǒng)的控制活動主要包括:交易授權(quán)、職責分離、監(jiān)管、業(yè)務記錄、接觸控制和獨立稽核。(4)信息和溝通。企業(yè)必須保證企業(yè)內(nèi)部的員工能夠取得他們在執(zhí)行、管理和控制企業(yè)經(jīng)營過程中所需的信息,使員工順利履行其職責。(5)監(jiān)督。整個內(nèi)部控制的過程必須施以恰當?shù)谋O(jiān)督,通過監(jiān)督活動在必要時對其加以修正。內(nèi)部審計和對控制的自我評估是最重要的兩項監(jiān)督。
二、企業(yè)信息化對內(nèi)部控制的影響
。ㄒ唬┢髽I(yè)信息化如何影響內(nèi)部控制(how)?
為了分析企業(yè)信息化對內(nèi)部控制造成了什么影響,我們必須先分析企業(yè)信息化改變了企業(yè)哪些方面,從而對內(nèi)部控制產(chǎn)生影響,即企業(yè)信息化是如何影響內(nèi)部控制的。
1.信息技術(shù)在企業(yè)中的應用提高了企業(yè)的業(yè)務流程的自動化程度,業(yè)務流程中的一些環(huán)節(jié)被省略或合并。而且隨著電子商務的發(fā)展,企業(yè)間交易的自動化程度也將得到提高。內(nèi)部控制的具體實施是根據(jù)業(yè)務流程的各個環(huán)節(jié)以及交易方式來進行的,因此,業(yè)務流程的自動化不可避免地對內(nèi)部控制的各個要素以及控制理念等產(chǎn)生不同程度的影響。
2.企業(yè)信息化改變了數(shù)據(jù)和信息的獲取方式。傳統(tǒng)方式下,原始數(shù)據(jù)的獲取靠的是企業(yè)員工肉眼觀察、手工計數(shù)或使用儀器測量。在信息化條件下,可以利用傳感設備全自動地獲取所需的數(shù)據(jù)或信息。例如:用裝有重量感應裝置的貨架自動測量存貨數(shù)量、用自動監(jiān)控裝置代替值班人員等等。利用自動傳感設備具有高度自動化、準確性高、24小時不間斷、數(shù)據(jù)實時獲取、不受惡劣環(huán)境影響等優(yōu)點,為企業(yè)實施更有效的內(nèi)部控制提供了基礎。
3.企業(yè)信息化改變了信息存儲的方式,存儲介質(zhì)由紙變?yōu)榇疟P或光盤。與紙介質(zhì)相比,磁介質(zhì)或光介質(zhì)具有存儲密度大、擦寫不留痕跡的特點,對內(nèi)部控制的影響是雙方面的。存儲密度大使得企業(yè)可以集中保存數(shù)據(jù)和信息資源,便于對其加以保護,但一旦毀損或被盜將使企業(yè)遭受更大的損失。擦寫不留痕跡使得數(shù)據(jù)被篡改的可能性增大,需要加強內(nèi)部控制。
4.企業(yè)信息化提高了信息處理的效率。在信息化環(huán)境下,借助機的高速處理能力,能夠使得信息處理的速度大為加快,效率大為提高。然而,這對內(nèi)部控制的影響也是雙方面的。一方面,信息處理效率的提高有利于企業(yè)實施更復雜更有效的控制措施和控制,提高內(nèi)部控制的效果和效率。另一方面,借助高速的信息處理能力,企業(yè)員工或管理當局造假的能力也能得到提高,例如:利用隨機數(shù)產(chǎn)生程序偽造應收款項或存貨的金額、利用報表編制程序快速編制多份虛假財務報表等等。這又要求企業(yè)加強內(nèi)部控制。
5.企業(yè)信息化改變了信息的傳遞方式。信息化環(huán)境下的信息傳遞,改變了手工環(huán)境下的傳票、報告、電話等方式,利用電纜、光纜、無線電波等以光速傳遞信息,而且傳遞的信息量遠非傳統(tǒng)方式可比,為企業(yè)加強內(nèi)部控制提供了基礎。但如果信息傳遞過程中受到了阻礙或破壞,也將給企業(yè)帶來更大的損失。
6.企業(yè)信息化提高了信息的集成性。在完善的企業(yè)信息系統(tǒng)的支持下,企業(yè)領導足不出戶,就能夠在電腦屏幕前對遍布世界的跨國公司了如指掌。輕點幾下鼠標就能成交生意、調(diào)動資金、指揮員工。企業(yè)信息系統(tǒng)為企業(yè)加強內(nèi)部控制提供了基礎,同時也對企業(yè)的內(nèi)部控制提出了更高的要求。
7.企業(yè)信息化提高了信息的價值。在信息,人們對信息資源的利用能力得到提高。人們已經(jīng)認識到企業(yè)的數(shù)據(jù)和信息資源,是企業(yè)最寶貴的資產(chǎn)之一。而信息是無形的,與有形的資產(chǎn)相比,對信息的竊取更隱蔽,更不易被發(fā)現(xiàn)。這要求內(nèi)部控制不但要保護有形資產(chǎn),更要對企業(yè)的數(shù)據(jù)和信息資產(chǎn)加以保護。同時應當針對信息的特點,采用有效的保護措施。
8.企業(yè)信息化將對人造成一定的影響。在信息化環(huán)境下,人們可能越來越多地通過計算機進行聯(lián)系和溝通,人與人之間的直接接觸將有所減少。網(wǎng)絡世界的無形性和匿名性將對人的心理造成一定的影響,從而影響控制環(huán)境。
。ǘ┢髽I(yè)信息化對內(nèi)部控制造成了什么影響(what)?
1.企業(yè)信息化不影響內(nèi)部控制的目標
設定目標是任何一個人造系統(tǒng)的首要環(huán)節(jié)。內(nèi)部控制的目標決定了內(nèi)部控制的要素、手段及其他組成部分。雖然它不是內(nèi)部控制的組成要素,但卻是內(nèi)部控制的先決條件,也是促成內(nèi)部控制的要件。企業(yè)信息化雖然對企業(yè)產(chǎn)生了深遠的影響,但是并沒有改變企業(yè)經(jīng)營管理的目標。因此,內(nèi)部控制作為企業(yè)管理的一個組成部分,其總體目標也沒有改變,仍然是達到營運的效率和效果、財務報告的可靠性以及遵循相關法令。當然,各項具體的控制活動和控制措施中的子目標應該根據(jù)具體的情況有所變化。
2.企業(yè)信息化對內(nèi)部控制五要素的影響
。1)對控制環(huán)境的影響
控制環(huán)境的構(gòu)成因素是多方面的,主要包括:企業(yè)的治理機制、組織結(jié)構(gòu)與權(quán)責分派體系、企業(yè)管理者的素質(zhì)、品行與管理、企業(yè)文化、信息系統(tǒng)、人力資源政策及實務等等。企業(yè)信息化將影響企業(yè)的治理機制。通過完善的企業(yè)信息系統(tǒng),董事會、監(jiān)事會可以更及時更全面的了解企業(yè)的全面信息,因而可以更好地進行戰(zhàn)略制定、經(jīng)理人員選擇和績效評價、企業(yè)運營情況監(jiān)控等等,對企業(yè)進行更好的治理。小股東可以以較低的成本通過網(wǎng)絡在線參加股東大會,而不必因為路途遙遠等原因放棄自己的權(quán)利,可以更好地維護自身的利益。信息化將使企業(yè)組織結(jié)構(gòu)趨向扁平化,管理層次減少。
信息化對企業(yè)管理者的素質(zhì)提出了更高的要求。企業(yè)所面臨的商務環(huán)境競爭加劇、變化加速,管理者所能獲得的信息量倍增,信息技術(shù)和信息系統(tǒng)在企業(yè)中的作用日益重要,這些都要求管理者不但要有更強的把握信息、利用信息的能力,在運營管理企業(yè)中利用好信息資源,而且要有對信息、信息技術(shù)和信息系統(tǒng)重要性和風險的認識和理解,制定良好的IT戰(zhàn)略和IT規(guī)劃。
在網(wǎng)絡環(huán)境下,人與人之間的直接接觸將有所減少。網(wǎng)絡世界的無形性和匿名性將對人的心理造成一定的影響,使部分人誤以為借助網(wǎng)絡為非作歹不容易被抓住,從而可能降低犯罪的心理閥值。信息資產(chǎn)價值的提高可能誘使掌握它的管理人員將其買給競爭對手的犯罪行為,而由于信息的無形性、可拷貝性,信息的泄密不易被發(fā)現(xiàn)。再者網(wǎng)絡的遠程接入性也給犯罪分子提供了方便,他們只要獲得一個登錄密碼就可能通過網(wǎng)絡侵入系統(tǒng),竊取企業(yè)重要的信息資產(chǎn),或是使信息系統(tǒng)崩潰,而不必像盜竊有形資產(chǎn)那樣需要翻墻入室、避開警衛(wèi)等麻煩之舉。這些均對管理人員的品行和道德水平提出了更高的要求。同時也需要企業(yè)加強對信息資產(chǎn)、信息技術(shù)和信息系統(tǒng)的內(nèi)部控制,通過良好的管理手段和技術(shù)手段降低風險。
(2)對風險評估的影響
在企業(yè)信息化環(huán)境下,業(yè)務流程的自動化降低了業(yè)務處理過程中源于人員疏漏或舞弊的風險。但另一方面,企業(yè)的運營管理越來越依賴于信息系統(tǒng),信息在企業(yè)中的作用日趨重要,信息化環(huán)境促使信息存儲高度集中、單位時間傳遞的信息量大為提高,這些都增加了與信息資產(chǎn)和信息系統(tǒng)相關的風險。信息化環(huán)境下,如果信息系統(tǒng)失靈或崩潰,重要信息被竊,都將給企業(yè)帶來不可估量的損失。因此,企業(yè)應當作好有關信息資產(chǎn)和信息系統(tǒng)方面的風險評估,建立良好的IT治理機制,減少災難的發(fā)生以及災難發(fā)生時的損失。
。3)對控制活動的
控制活動必須根據(jù)業(yè)務流程的情況和具體的控制點進行設置,因此,控制活動受到企業(yè)信息化的直接影響。信息化環(huán)境下的控制活動分為兩部分:自動化業(yè)務控制和信息系統(tǒng)控制。自動化業(yè)務控制的控制對象仍然是企業(yè)的生產(chǎn)經(jīng)營過程,但其形式和控制手段發(fā)生了很大變化。它以機程序的形式嵌入于企業(yè)信息系統(tǒng)之中,對業(yè)務的控制由計算機自動完成。信息系統(tǒng)控制是企業(yè)為了保證信息系統(tǒng)正確性、完整性和安全性而采取的控制措施,其控制對象是企業(yè)信息系統(tǒng),包括計算機軟硬件資源、系統(tǒng)、數(shù)據(jù)和相關人員等等信息系統(tǒng)的所有組成要素。隨著技術(shù)和商務的,信息系統(tǒng)控制還必須考慮網(wǎng)絡安全和電子商務控制的。自動化業(yè)務控制和信息系統(tǒng)控制對控制活動有著不同要求,使得傳統(tǒng)的六類控制活動都有一定的變化。
信息化環(huán)境下的交易授權(quán)可以由計算機程序自動完成,使得授權(quán)過程不明顯,控制的失效往往在發(fā)生損失后才被察覺。因此,管理者對交易授權(quán)的關注應該轉(zhuǎn)移到對相關計算機程序的正確性和完整性的檢查上。
在信息化環(huán)境下,計算機能夠避免人類通常會犯的錯誤或舞弊,手工環(huán)境下的一些不相容的職責可以由計算機來執(zhí)行,所以職責分離和員工的相互檢查成為不必要的控制活動。同樣,也沒有必要針對自動業(yè)務流程進行監(jiān)管和獨立稽核。然而,對于信息系統(tǒng)的開發(fā)、實施、維護和操作等活動,職責分離、監(jiān)管以及獨立稽核仍然是重要的控制措施。
在信息化環(huán)境下,業(yè)務記錄不再是書面的簽章、編碼、交叉索引等,而是通過登錄密碼、操作日志等技術(shù)手段進行業(yè)務記錄,其有效性受信息系統(tǒng)的正確性、完整性和安全性的影響。
在信息化環(huán)境下,對計算機硬件設備的接觸控制與傳統(tǒng)方式下并無太大的區(qū)別,主要通過實物防護措施來進行。但對于信息資產(chǎn)的接觸控制,由于網(wǎng)絡的遠程接入性,應當通過防火墻、操作員權(quán)限設置、登錄密碼安全策略、信息系統(tǒng)審計等等技術(shù)手段和管理措施加以實現(xiàn)。
。4)對信息和溝通的影響
企業(yè)信息化對內(nèi)部控制的信息和溝通這一要素產(chǎn)生了有利的影響。在完善的企業(yè)信息系統(tǒng)的支持下,企業(yè)員工能夠更好地取得他們在執(zhí)行、管理和控制企業(yè)經(jīng)營過程中所需的信息,使員工順利履行其職責。當然,也要警惕信息技術(shù)可能帶來的信息過量的問題,以及借助高速信息處理能力造假的問題。
。5)對監(jiān)督的影響
借助信息技術(shù),可以使一部分的監(jiān)督過程自動完成,并且可能實現(xiàn)實時監(jiān)督,從而提高監(jiān)督的效果和效率。應當注意的是,對信息系統(tǒng)的開發(fā)、實施和維護過程所進行的監(jiān)督應當成為監(jiān)督的重點。同時,“控制自我評估(CSA,Control
【企業(yè)信息化環(huán)境下內(nèi)部控制的思考】相關文章:
從海爾的發(fā)展歷程看企業(yè)內(nèi)部控制環(huán)境建設02-24
內(nèi)部控制審計評價初探06-03
建立內(nèi)部控制審計與組織效率06-03
企業(yè)內(nèi)部控制失控的表現(xiàn)03-29
證券公司內(nèi)部控制指引06-03
企業(yè)內(nèi)部控制不可或缺06-02