信息化过程中内部控制研究.doc

. . . . 信息化过程中部控制研究 中国一拖集团审计部 旭东 [摘 要]信息化对企业的影响可以说是革命性的,它不仅改变了企业经营观念和管理流程,也给传统的部控制理念带来了新的挑战。本文通过借鉴国部控制的理论依据和实践经验,分析我国目前部控制在企业信息化过程中所存在的问题,并提出加强信息化条件下部控制的建议。 关键词：信息化过程 部控制 研究 一、企业信息化过程中部控制问题分析 信息技术波及各行各业,以信息技术的广泛应用为代表的信息化过程对企业的影响极其巨大,它革命性地改变了企业经营管理战略、组织结构、作业与管理流程、人力资源政策以及企业的核心价值体系,从而对企业部控制带来了新的挑战。本文具体分析在企业信息化过程下部控制所存在的问题。 <一>控制环境更加复杂 1.组织控制的复杂化 信息时代组织结构能较好地解决等级式结构的层次重叠、组织机构运转效率低下等弊端,可以精炼管理层次、加快信息传递、提升企业竞争优势及与环境适配的能力,信息时代组织模式成为时下众多组织创新与转型的趋势。但是,不容忽视的是,组织结构扁平化也存在缺陷。扁平化使企业的集权性和规性降低,也使企业丧失了传统组织结构下集权性和规性高、组织稳定性强的优势,不可避免地带来一些弊端:一是组织不稳定,管理容易失控,给组织带来不容小觑的破坏力。二是容易造成权利与义务边界模糊、管理责任难以界定、各部门相互推诿现象。三是信息时代组织集权性和规性低,组织成员专业背景、价值观相差较大,容易在组织部产生各种矛盾与冲突。因此,各部分之间协调机制的建立直接依赖于企业整体管理水平的提高,增加了企业管理的复杂性。 2.道德准则控制的复杂化 在信息化过程中,企业处于不断的变革中,互联网的影响也扑面而来,由此滋生的各种道德观念层出不穷,道德规的约束力下降。但是,网络世界的无形性和匿名性、远程接入性可能使行为人产生侥幸的心理,从而可能降低犯罪的心理阀值。信息资产价值的提高可能诱使掌握它的管理人员将其卖给竞争对手的犯罪行为,同时,由于信息技术易于操作,不留痕迹,也给恶意访问者提供了方便,他们只要获得一个登录密码就可能通过网络侵入系统,窃取企业重要的信息资源,或是严重干扰信息系统,导致信息系统瘫痪。这些都可能助长员工利用信息系统舞弊的行为,企业管理层应对员工道德进行正面引导,强化员工的道德准则控制。 <二>风险评估的难度加大 风险评估就是分析和辨认对实现部控制目标可能产生负面影响的不确定性因素。在传统型企业,各层员工岗位明确,职责清楚,工作过程按照既定的标准和制度进行监督和控制,就能达到预期目标。在企业信息化过程中,企业原有的业务流程被彻底再造,信息系统在组织的围和重要性增加,知识和信息成为企业创造价值的重要资源,企业的运营管理、战略制定、授权与控制越来越依赖于信息系统,这些都增加了与信息资产和信息系统相关的风险。例如,资料窜改、网络攻击使信息的安全性受到威胁;对信息依赖性越强,信息不对称性产生的"道德风险"或"逆向选择风险"越大。风险评估除了包括传统的评估对象外,还要对信息系统对企业资源的整合与协调能力、信息系统的可靠性和安全性进行评估,毫无疑问,这些工作还需要不同专业背景的人员协作才能完成。所有这些能够进行定量或是概率分析的很少,大大增加了风险评估的难度和复杂度。 <三>控制活动容易出现漏洞 1.业务流程 在传统作业条件下,企业按经济业务的性质分为不同的职能中心,构成一个完整受控的部牵制网,很少出现错误或舞弊的行为。而信息化系统是按照计算机数据处理系统组织起来的,这种数据处理的集中性使传统的组织控制功能减弱。同时,很多企业引入信息技术后,没有对其旧流程进行更新,也没有深入研究如何进行流程重构,这就造成了信息系统与业务流程之间存在许多冲突,形成部控制的盲点,将更容易发生舞弊行为。 2.信息初始化 在开始实施信息系统前必须进行可行性分析和需求分析,然而很多企业在授权实施时忽视相应的控制,没有从企业自身实际情况出发,导致上马的信息系统不仅消耗大量的财力,而且也破坏了原来系统的稳定性。此外,系统的开发和变更还要注意程序编码的控制,防止系统遭到了致命的摧毁。当信息化达到一定程度,企业必须专门设置信息资源管理中心,中心人员必须精通企业的整个业务流程,然而实务息管理部门人员多是来自纯计算机领域的人士,忽略了业务流程的理解。 3.信息安全访问控制 信息系统往往对登录进行严格控制,而忽略了退出控制。当系统没有设置"限时无操作锁屏或自动退出"的程序,导致已登录的用户在离开后被他人盗用的情况。此外,很多企业忽视数据划分密级,由于没有对数据权限进行划分,黑客只要盗取一个普通账号,就可以对所有数据进行盗取、修改、删除等破坏。 4.软硬件资源控制 很多情况下数据本身比信息设备更值钱,因此,备份存储控制异常重要,应作为日常控制进行。然而对于备份周期,很多企业无法根据实际情况进行选择。备份周期太短,不仅要占用大量的存储空间,而且需要花费不必要的时间,多数人会因为怕麻烦而抱有侥幸心理,不在规定时期进行备份;周期太长,则大大降低了备份文件的实时性,也会影响还原备份的使用效率。且由于存储介质十分小巧,容易被复制或偷偷带出企业,导致商业的泄漏,因此数据存储与处理资源的接近控制也需被慎重考虑。 5.具体业务控制 在具体业务控制方面,由于使用了信息技术,可能在以下几个方面有不良影响:第一,信息化增长了员工惰性,不利于有效执行部控制。第二,信息化环境下,无法完全反映业务痕迹,难以留下必要的审计线索。第三,很多核对工作由计算机自动完成,一旦在输入阶段输入错误,结果会导致形成的数据没有意义。 <四>缺乏适当的监督 借助信息技术,可以使一部分的监督过程自动完成,并且可能实现实时监督,从而提高监督的效果和效率。但是,组织结构的变化以及企业信息化也带来了新的挑战。首先,部分企业实行部审计外包,这些部审计外包局限于部控制的核查监督上,忽视了信息系统作用与信息资源的安全性评估,没有真正做到控制自我评估,缺乏从企业信息化的视角提高组织部控制的自我意识。其次,信息化的实施导致企业业务流程发生重大变化。信息化下的部控制监督经验不足,再加上缺少完整的部审计线索,加大了部控制监督的难度。同时,在企业信息化下,很多授权控制是"嵌入"在管理信息系统之中自动完成,授权过程不明显,控制的失效往往在发生损失后才被察觉。因此,在企业信息化过程中,从信息系统的分析设计、开发、实施到维护都应该进行重点监督。 二、加强信息化过程中部控制的对策 <一>优化控制环境 控制环境居于部控制中最重要的位置,是其他控制要素的基础,完善的控制环境才能使控制制度得以贯彻实施。结合上市公司的实际,应从以下几个方面对部控制环境加以改进和完善。 1.重塑企业文化氛围 在企业信息化过程中,企业成员的道德论理、价值观念、工作态度都会发生变化,尤其是企业员工的诚信程度和职业道德水平,是影响企业部控制环境的一个非常重要因素。良好的企业文化可以对企业员工形成一种无形的约束力。同时建立基于企业信息化的道德价值观、规章制度、基本信念,从而有效解决信息时代组织结构所产生的负面影响。 2.建立切实可行的激励政策 在信息时代组织,作业与管理由IT整合及推动,与传统层级结构相比晋升机会减少,平行调动增加,良好的人力资源政策、激励约束机制、管理哲学与经营风格,成为企业有效运营的关键。因此,从信息时代组织特点出发,研究和制定具有可操作性的责任分配与授权制度,设立分享与合作的激励制度,才能达到优化部控制环境的目的。 <二>完善风险管理机制 企业信息化意味着企业各部门、各作业单位之间,以及企业与外部等通过实时互联的网络实现信息、作业高度共享,网络的开放性把企业暴露于各种风险之中。企业除了要建立传统的风险管理机制之外,还要结合信息化的特点,建立基于信息化的风险管理机制:一是建立一套信息网络系统安全政策和制度;二是定期对系统安全政策与制度的实施效果进行评价;三是通过企业部会计控制框架的构建,建立健全预算及责任控制,强化信息化的风险意识。必要时企业可设置风险评估部门或岗位,专门负责有关风险的识别、规避和控制。 <三>建立良好的控制活动 1.实现业务流程与系统的整合 实现财务业务流程与系统的整合就是利用信息技术去再造工作流程,在流程再造的基础上建立企业财务信息系统,实现系统的高度整合。由于信息技术对组织结构、管理模式、工作方式都产生巨大的影响,应该在业务流程再造的开始阶段就加以考虑信息技术的功效,针对企业部控制的关键环节和薄弱环节,建立一套完整、规的企业财务管理制度和流程,以适应信息技术对财务工作的影响。 2.加强计算机硬件与网络系统安全的控制 加强计算机硬件与网络系统安全的控制,是为了保证计算机系统的运行安全,避免由于外部环境因素导致系统运行错误的不安全隐患。它主要包括:接触控制和环境保护、安全控制。接触控制是防止未经授权的人擅自动用系统的各种资源,以保证各项资源的正确性。网络安全指包括数据、访问控制、身份识别等。 3.加强软件管理,重视技术控制 在软件开发过程中,必须引入安全稽核机制,对重要的操作日志进行记录,并进行必要的权限设置,以便能够对各种不同的权限进行用户识别和远程请求识别。为了能够实现实时安全监控,必须建立网络安全"防火墙",按照系统管理员的权限,用预先定义好的规则控制信息的进出,通过对数据进行重新组合和对据库进行加密,使业务数据只有在解密的条件下才能使用,同时必须进行必要的身份认证和容检查,控制一些软件的安装,以防止对数据信息进行非法篡改。 4.规数据处理方法和过程,监控与操作的职责分离 在信息化条件下,应加强对信息系统安全性的控制,数据处理的方法和过程都必须规化,并保持一定的准确性和相对的稳定性。这就需要制定一套更加全面、细致的部会计控制制度。同时为确保信息系统的及时性和安全性,还应数据、控制访问授权等控制。 由于信息化的特点,许多不相容的工作都已经合并到一起统一执行,这就形成了部控制的隐患。为了强化系统的部控制,将操作与监控这两个职务分离,对系统的所有岗位职责围划分清楚,同时做到不相容职务的分离,对同一业务多方备份。这样就强化了信息化系统中的相互牵制,有效地预防违规行为。 〔四建立档案管理制度 在信息化环境下,系统的所有程序文件,软、硬件技术资料,以及所有数据文件都应当作为档案进行保管,并由专人负责。同时,要严格限制无权用户、有权用户非正常时间的不正常接触。为此,单位管理层可以制定一定的制度来加强单位的部会计控制。 〔五完善监督管理机制 1.完善审计法规,提高审计技术 在企业信息化过程中,现有的法律法规呈现滞后性。同时,审计技术相对落后,审计人员知识结构不完整,导致审计人员在进行审计时,常常面对信息化下的业务流程、电子凭证,无法可依,无技可施。审计部门的独立性受到威胁,审计结果的公正性受到质疑。因此,不仅要完善原有的技术规,统一网络技术管理规,同时还应建立相配套的法律法规,升级计算机辅助审计技术与系统软件,针对企业信息化环境,加强审计专业人才的培养。 2.加强部审计力度,扩展审计深度和广度 随着信息系统地运用,部审计应从部管理者的角度出发,结合实际,不断弥补部控制工作中的不足,不断修订和完善信息化下部控制制度。另外,由于网络审计容和围的扩大,部审计要做到以下几点：首先,注意审计业务的深度和广度发展,在信息化系统中,数据的处理、存储均集中于系统职能部门,部控制的合理运行很大程度上取决于计算机网络系统是否能够正常运行,因而部会计控制的重点,必须随之转移到对网络系统职能部门的管理与监控上。随着信息化系统建立与运行复杂性程度的提高,要求部控制的围应相应扩大,其中包括一些传统系统中没有的控制容；其次,注意对系统的审计,尤其要考虑以下事项〔1审查和检测系统程序；〔2审查系统本身是否合规合法；〔3对系统的部控制制度进行评审。最后,网络系统中有更多公众的参与,因而还应该关注相关公众的审计。 主要参考文献： 高一斌,王宏.2005.对加快推进部会计控制建设若干问题的思考.会计研究 关亭,少华.2003.论上市公司部控制的披露及其审核.审计研究 海英.2004.上市公司部控制环境研究.会计研究 朱立新,显中.2005.对企业信息化发展阶段的重新划分.企业经济 雄胜.2006.部控制理论面临的困境及其出路.会计研究,2:53～59 志斌.2005.控规的嵌入与超越.会计研究,11:56～60 若山,徐明磊等.2005.COSO报告下的部控制新发展.会计研究 素萍.2006企业信息化进程中的部控制研究.北方经济 11 / 11