范文一：企业信息化与信息系统内部控制

企业信息化与信息系统内部控制

自 20世纪 90年代以来,随着信息系统的发展,系统越来越复杂化、大型 化及网络化。 各种各样的信息系统成为各种业务处理的核心, 与此同时, 互联网 也开始向世界范围扩充。 互联网的爆炸性发展对社会影响的广度和深度是以往任 何一次产业革命所无法比拟的。 互联网使信息资源的作用得到充分发挥, 但也产 生了众多不安全因素。 大量的事实证明信息系统的安全、 可靠和有效变得越来越 重要。信息系统成为政府和企业的中枢,在美国、日本及欧洲的一些国家,政府 部门和企业都认识到了信息系统内部控制的重要性, 人们也越来越清楚地意识到 有效管理和控制信息及信息相关技术是进入信息化社会的可靠保障。

信息系统内部控制是一个单位在信息系统环境下,为了保证业务活动的有 效进行,保护资产的安全与完整,防止、发现、纠正错误与舞弊,合理确保信息 系统提供信息的真实、合法、完整,而制定和实施的一系列政策与程序措施。它 是规范秩序、防范风险、遏制腐败、合理确保信息系统功效的有效途径,从而更 好地确保组织目标的实现。 凡是与信息系统的建立、 运行维护、 管理和业务处理 有关的部门、 人员和活动, 都属于信息系统内部控制的对象。 信息系统内部控制 分为一般控制和应用控制。

信息系统一般控制是应用于一个单位信息系统全部或较大范围的内部控 制,其基本目标为保证数据安全、保护计算机应用程序、防止系统被非法侵入、 保证在意外中断情况下的继续运行等。 有效的一般控制是保证应用控制有效的一 个重要因素,它提供应用系统运行和应用控制实施的环境。如果一般控制薄弱, 将会严重地削弱相关的具体应用控制的可靠性。 由此, 对一般控制的评价通常在 应用控制评价之前进行。 对一般控制的测评内容包括:单位整体范围安全计划和 管理、访问控制、应用软件开发和变更控制、系统软件控制、职能分离控制、服 务持续性控制。

信息系统应用控制是被用于对具体应用系统的控制,一个应用系统一般由 多个相关计算机程序组成, 有些应用系统可能是复杂的综合系统, 牵涉到多个计 算机程序和组织单元, 与此相应, 应用控制包括包含在计算机编码中的日常控制 及与用户活动相关的政策和流程。 对信息系统应用控制的测评内容包括各项业务 的授权控制、完整性控制、准确性控制。

由于计算机信息系统的数据处理与手工处理有许多不同,从而产生了新的 内部控制内容和方式, 因此开展信息系统审计针对企业信息系统内部控制的评测 是很有意义的。

一、 信息化对内部控制的影响

企业信息化虽然对企业产生了深远的影响,但是并没有改变企业经营管理 的目标。 因此, 内部控制作为企业管理的一个组成部分, 其总体目标也没有改变, 仍然是达到营运的效率和效果、 财务报告的可靠性以及遵循相关法令。 当然, 各 项具体的控制活动和控制措施中的子目标应该根据具体的情况有所变化, 对内部 控制的五要素也产生了一定的影响。

(一)对控制环境的影响

控制环境的构成因素是多方面的,主要包括:企业的治理机制、组织结构 与权责分派体系、企业管理者的素质、品行与管理哲学、企业文化、信息系统、 人力资源政策及实务等等。 企业信息化将影响企业的治理机制。 通过完善的企业 信息系统, 董事会、 监事会可以更及时更全面的了解企业的全面信息, 因而可以 更好地进行战略制定、 经理人员选择和绩效评价、 企业运营情况监控等等, 对企 业进行更好的治理。 小股东可以以较低的成本通过网络在线参加股东大会, 而不 必因为路途遥远等原因放弃自己的权利, 可以更好地维护自身的利益。 信息化将 使企业组织结构趋向扁平化,管理层次减少。

信息化对企业管理者的素质提出了更高的要求。企业所面临的商务环境竞 争加剧、 变化加速, 管理者所能获得的信息量倍增, 信息技术和信息系统在企业 中的作用日益重要, 这些都要求管理者不但要有更强的把握信息、 利用信息的能 力, 在运营管理企业中利用好信息资源, 而且要有对信息、 信息技术和信息系统 重要性和风险的认识和理解,制定良好的 IT 战略和 IT 规划。

在网络环境下,人与人之间的直接接触将有所减少。网络世界的无形性和 匿名性将对人的心理造成一定的影响, 使部分人误以为借助网络为非作歹不容易 被抓住, 从而可能降低犯罪的心理阀值。 信息资产价值的提高可能诱使掌握它的 管理人员将其买给竞争对手的犯罪行为, 而由于信息的无形性、 可拷贝性, 信息 的泄密不易被发现。 再者网络的远程接入性也给犯罪分子提供了方便, 他们只要

获得一个登录密码就可能通过网络侵入系统, 窃取企业重要的信息资产, 或是使 信息系统崩溃, 而不必像盗窃有形资产那样需要**入室、 避开警卫等麻烦之举。 这些均对管理人员的品行和道德水平提出了更高的要求。 同时也需要企业加强对 信息资产、 信息技术和信息系统的内部控制, 通过良好的管理手段和技术手段降 低风险。

(二)对风险评估的影响

在企业信息化环境下,业务流程的自动化降低了业务处理过程中源于人员 疏漏或舞弊的风险。 但另一方面, 企业的运营管理越来越依赖于信息系统, 信息 在企业中的作用日趋重要, 信息化环境促使信息存储高度集中、 单位时间传递的 信息量大为提高, 这些都增加了与信息资产和信息系统相关的风险。 信息化环境 下, 如果信息系统失灵或崩溃, 重要信息被窃, 都将给企业带来不可估量的损失。 因此,企业应当作好有关信息资产和信息系统方面的风险评估,建立良好的 IT 治理机制,减少灾难的发生以及灾难发生时的损失。

(三)对控制活动的影响

控制活动必须根据企业业务流程的情况和具体的控制点进行设置,因此, 控制活动受到企业信息化的直接影响。 信息化环境下的控制活动分为两部分:自 动化业务控制和信息系统控制。 自动化业务控制的控制对象仍然是企业的生产经 营过程, 但其形式和控制手段发生了很大变化。 它以计算机程序的形式嵌入于企 业信息系统之中, 对业务的控制由计算机自动完成。 信息系统控制是企业为了保 证信息系统正确性、 完整性和安全性而采取的控制措施, 其控制对象是企业信息 系统, 包括计算机软硬件资源、 应用系统、 数据和相关人员等等信息系统的所有 组成要素。 随着网络技术和电子商务的发展, 信息系统控制还必须考虑网络安全 和电子商务控制的问题。 自动化业务控制和信息系统控制对控制活动有着不同要 求,使得传统的六类控制活动都有一定的变化。

信息化环境下的交易授权可以由计算机程序自动完成,使得授权过程不明 显, 控制的失效往往在发生损失后才被察觉。 因此, 管理者对交易授权的关注应 该转移到对相关计算机程序的正确性和完整性的检查上。

在信息化环境下,计算机能够避免人类通常会犯的错误或舞弊,手工环境 下的一些不相容的职责可以由计算机来执行, 所以职责分离和员工的相互检查成

为不必要的控制活动。 同样, 也没有必要针对自动业务流程进行监管和独立稽核。 然而,对于信息系统的开发、实施、维护和操作等活动,职责分离、监管以及独 立稽核仍然是重要的控制措施。

在信息化环境下,业务记录不再是书面的签章、编码、交叉索引等,而是 通过登录密码、 操作日志等技术手段进行业务记录, 其有效性受信息系统的正确 性、完整性和安全性的影响。

在信息化环境下,对计算机硬件设备的接触控制与传统方式下并无太大的 区别, 主要通过实物防护措施来进行。 但对于信息资产的接触控制, 由于网络的 远程接入性,应当通过防火墙、操作员权限设置、登录密码安全策略、信息系统 审计等等技术手段和管理措施加以实现。

(四)对信息和沟通的影响

企业信息化对内部控制的信息和沟通这一要素产生了有利的影响。在完善 的企业信息系统的支持下, 企业员工能够更好地取得他们在执行、 管理和控制企 业经营过程中所需的信息, 使员工顺利履行其职责。 当然, 也要警惕信息技术可 能带来的信息过量的问题,以及借助高速信息处理能力造假的问题。

(五)对监督的影响

借助信息技术,可以使一部分的监督过程自动完成,并且可能实现实时监 督,从而提高监督的效果和效率。应当注意的是,对信息系统的开发、实施和维 护过程所进行的监督应当成为监督的重点。 同时, “控制自我评估 (CSA , Control Self Appraisal) ”仍然是很有益的作法。 CSA 是企业不定期或定期地对自己的 内部控制系统进行评估, 评估内部控制的有效性及其实施的效率效果, 以期能更 好地达成内部控制的目标。 CSA 有助于提高组织内部控制的自我意识,帮助人们 了解哪里存有缺陷以及可能引至的后果, 然后采取行动改进这种状况, 对于一个 企业加强管理、 提高劳动生产率、 改进内部审计程序和业务经营程序以及控制风 险等都有着积极的作用。

信息技术一方面给企业带来了无限的生机,另一方面给企业内部控制带来 了新的难题, 信息系统内部控制理论孕育而生, 促使企业内部控制体系进行发展 和创新。 从信息系统的角度来说, 信息技术对企业内部控制体系的影响主要有以 下几点。

(一)计算机信息系统构成要素的复杂性使得系统安全控制的难度加大 企业计算机信息系统是一个庞大而复杂的系统,电子商务是一种整合的经 济模式, 交易与服务活动的完成一般以 Internet 、 Extranet 和 Intranet 三种网 络为基础。计算机硬件、软件、人员和各种规程等构成了信息系统的基本要素。 由于硬件配置不合理、 软件功能欠完善、 系统操作失误、 内部管理人员的非法访 问及来自外部的恶意攻击等原因, 计算机信息系统的各个层面将面临着严重的安 全威胁。 错综复杂的网络结构使得系统安全问题日益突出, 安全控制的难度将进 一步加大。

(二)计算机网络数据处理的集中性使得传统的组织控制功能减弱

网络的应用大大减少了人工输入环节,数据访问和数据交换都通过应用服 务器进行。 网络计算机集成化处理促使传统手工会计中制单、 复核、 记帐等不相 容岗位相互牵制制度的效力逐步削弱,传统的组织控制功能弱化。

(三)计算机网络环境的开放性使得信息失真的风险加剧

从信息的取得渠道看,其来源具有多样性有可能导致审计线索紊乱;从信 息传递的方式看, 大量信息通过网络通讯线路传输, 有可能遭受非法的拦截、 窃 取和纂改; 从信息的存储形式看, 信息大都以电子数据的形式存储, 肉眼很难辨 认,易被修改、删除、隐匿、转移和伪造且不留痕迹。计算机网络系统的开放性 和动态性加大了审计取证难度,加剧了会计信息失真的风险。

(四)授权方式的改变,潜伏着更大的经营风险和控制风险

授权批准是传统内部控制的基本手段,通过严格控制相应环节的负责人员 的权限, 使每一个岗位上的负责人只在本岗位上有权处理数据, 能加强各环节的 内部牵制,有效的防止作弊。 IT 使权限分工成为口令形式,口令不像印章那样 便于保管,一旦被偷看或窃取,就会给企业带来巨大损失。如果有人窃取口令, 非法核销企业的卖出产品数量和应收账款, 然后收买销售人员窃取到顾客订单密 码开出假订单,就会骗取企业的产品,这就增大了企业的控制风险和经营风险。 (五)审计人员面临的审计风险加大。

在 IT 环境下审计人员对本身具有不安全性的信息资料和数据进行审计, 加 大了做出错误判断的可能性,使审计的控制风险和检查风险增大。审计风险 AR=IR CR DR(IR 为固有风险, CR 为控制风险, DR 为检查风险) , IR 、 CR 、 DR

都增大了,相应的审计风险也就增大了,这对审计行业来讲是一个严峻的挑战。 二、 内部控制对信息化的反作用影响

在实际中,信息化与企业内部控制二者的影响是互动的:信息化影响了内 部控制, 内部控制反过来影响企业信息化的进程。 我们在这里对内部控制对信息 化有怎样的影响进行一下分析。

按照企业从设计、建立到实施信息系统这个时间顺序,我们可以得出在时 间维度下, 企业内部控制对企业信息化进程的反作用影响。 在企业信息化的不同 阶段, 内部控制对企业信息化的影响也不同。 可以从三点进行分析:企业原有的 内部控制基础将影响企业信息化进程、 信息化进程中企业内部控制将影响信息化 的质量和效率、信息化后企业内部控制将影响信息系统的安全性和可用性。 (一)企业原有的内部控制基础将影响企业信息化进程

企业是否应该实施企业信息化?是企业决定信息化首要的问题。而这一切 又取决于企业管理层所制定的信息化规划、 战略。 管理层制定的信息化战略, 又 来源于其对信息化的认识, 对企业整体行业状况及自身经营状况的宏观把握和其 对信息化有利于企业改进完善内部控制和其他管理的认识程度, 而这些管理层对 信息化认识及其所制定的信息化战略规划是企业内部控制的重要组成部分。因 此,管理层的支持与否,成为企业信息化的首要决定因素。

同时,原有的内部控制将影响到企业各类数据的准确性和完整性。对建立 一个新的信息系统来说, 原始数据的规范与否, 能否提供一个有效的数据基础将 对企业信息化具有十分重要的作用。 如果企业最初的内部控制无效或者低效, 那 么建立在其基础上的提供信息的系统的有效性也值得怀疑。 内部控制的薄弱, 信 息的有效性也便大打折扣。 在一大堆存在差错、 漏弊的数据基础上去实施企业信 息化, 将无法发挥信息化所应该有的功效, 甚至可能误导决策, 导致更大的损失。 当然, 企业原有内控基础薄弱并不能成为企业拒绝信息化的理由。 相反, 企业信 息化倒是一个借助信息技术手段有效地改进和完善内部控制的契机。 只不过在这 样的情况下, 要求我们在信息化的前期准备阶段, 要对原有的内部控制、 数据基 础进行改进和完善。

(二)信息化进程中企业内部控制将影响信息化的质量和效率

在企业信息化的过程中,企业的内部控制,特别是针对信息化项目的内部 控制将在很大程度上影响企业信息化的质量和效率。 实际上, 信息化的过程并不 简单地只是一个技术应用问题,它是一个企业通过计算机手段改变其信息的收 集、传送、处理、存储和输出的过程,而在这个过程中,信息化过程必然受到来 自人力、物力、资金等各方面资源因素的影响。这主要体现在以下方面:第一,最高管理层的支持与否,是企业信息化成败的决定性因素。最高领 导的支持构成企业内部控制环境的第一层次, 它对信息化的实际有效执行具有重 要影响。 最高层领导的重视与支持, 将形成良好的控制环境, 保证企业信息化的 顺利完成。 最高层领导层对信息化工作的作用主要有两方面:一是给与政策上的 支持,二是设置机构专门负责信息化项目的建设。

第二,组织和人才上的保障。企业信息化是一项系统工程,其涉及面广, 对相关的信息化系统实施人员也要求较高。 为保证信息化建设的成功, 有必要从 组织和人才上给与保障。 建立起一个专门的信息技术结构, 独立负责开展企业的 信息化工作。 该机构必须能全面负责、 协调整个企业的信息化工作并拥有既懂信 息管理,又懂技术管理的人才。

第三,资金控制机制保障。企业信息化是一个耗资巨大的系统工程,硬件 设备、软件系统、网络设备、人才引进等,都会耗费大量资金。因此,为保证良 好的预算控制, 须在信息化过程中构建有效的资金控制机制, 一方面保证项目进 展过程中资金流量的充分、 及时; 另一方面也可防范利用信息化项目挪用资金的 行为。

第四,项目管理控制。将企业信息化进程作为一个项目来进行单独管理, 项目运行的优良与否将极大影响企业信息化的效率和质量。 我们不仅要关注信息 化项目的短期效果, 更应关注长期影响, 因此在项目开发建设过程中, 必须有效 地做好职责分工和监督, 除保质保量地完成项目基础工作外, 还要关注整个项目 的后期维护及升级因素,真正做到良好的项目进程管理和质量管理。

(三)信息化后企业内部控制将影响信息系统的安全性和可用性。

一旦企业实施了信息化系统,那么企业日常的经营运转将更多地依赖于信 息系统所提供的信息。信息系统自身的安全性和可用性将直接影响信息的质量, 再影响到管理层对企业经营管理效率性和有效性。因为信息系统的失效和崩溃、

商业秘密等重要数据的丢失、 泄露都将给企业带来巨大的损失。 因而保障信息系 统的安全性和可用性将成为信息化后企业的重要任务。 而这一任务的完成, 将不 仅仅是一个技术问题, 更需要相应的制度安排和管理措施。 对信息系统的内部控 制则是重要措施之一。 加强和完善信息化下的内部控制, 将能保障信息系统的安 全性、可靠性和可用性,使企业利用其数字神经系统,保持信息化的优势。

三、信息系统内部控制的内容

信息系统的内部控制主要是维护系统的数据、操作、处理过程、业务流程 的正确、可靠、安全而制定的各种规章制度、操作守则、设计方法等。至少应包 括以下内容:

(一)组织与管理控制

组织控制主要是通过不相容职责的分离来实现。其主要内容包括:

1.适当的职责分离。

例如设置网络管理中心,由网管中心全盘规划,合理布局,采取措施确保 各工作站、终端和人员之间适当的职责分离;

2.优化配置人力资源。

良好的人力资源管理政策对于企业内部控制的顺利实施起着关键性的作 用。因此要制定措施,确保人力资源的合理利用。

3.发挥内部审计的作用。

内部审计的本质是一种特殊的组织控制。通过内部审计部门对网络会计系 统信息的质量和完整性进行独立和公正地监督与评价,有利于系统内部自我约 束、自我激励机制的建立与健全。

(二)系统开发控制

系统开发控制是为保证网络会计系统开发过程中各项活动的合法性和有效 性而设计的控制措施,它应贯穿于系统规划、系统分析、系统设计、系统实施和 系统运行测试与维护的各个阶段。其主要内容包括:

1.组织良好的项目管理。

明确开发目标,制定项目管理计划,进行项目的可行性研究与分析;控制 开发进度,监督开发质量,检查各功能模块设置的合理性及程序设计的可靠性,

提高系统的可审性。

2.利用测试手段保障信息安全。

利用测试检验整个系统的完整性,并应对非法数据的容错能力、系统抗干 扰能力和发生突发事件的应变能力以及系统遭遇破坏后的恢复能力进行重点测 试; 做好人员和设备等资源的整合配置以及初始数据的安全导入, 保证新旧系统 的转换有序进行。

3.及时发现和规避安全风险。

一旦发现网络系统各类软件可能存在安全漏洞,应立即进行在线修补与升 级,并将所有与软件修改有关的记录报告及时存储归档。

(三)日常操作系统管理控制

1.制定上机操作规程。

主要包括软硬件操作规程、作业运行规程和用机时间记录规程等。

2.加强系统人员的操作管理。

人作为系统主体是网络发展的基本动力和信息安全的最终防线,人员操作 管理的重点是权限控制。 系统管理员被赋予超级用户管理权限, 主要负责系统硬、 软件的管理维护和网络资源分配, 操作人员应按照被授予呐权限严格作业, 不得 越权接触系统, 系统程序员不得进行业务操作, 以避免人为因素或操作不当给操 作系统带来不必要的损失和风险。

3.建立计算机资源访问授权和身份认证制度。

即明确每个用户的安全级别和身份标识,并分别定义具体的访问对象。 4.建立安全稽核机制。

对系统操作的事件类型、用户身份、操作时间、系统参数和状态以及系统 敏感资源进行实时监控和记录, 进行必要的权限设置, 以便能够对各种不同的权 限进行用户识别和远程请求识别。

5.设置安全检测预警系统。

即实时寻找具有网络攻击特征和违反网络安全策略的数据流,实时响应和 报警, 阻断非法的网络连接, 对事件涉及的主机实施进一步跟踪, 创造一种漏洞 检测与实时监控相结合的可持续改进的安全模式。

(四)网络系统安全控制

1.硬件设备安全控制。

硬件设备安全主要涉及计算机机房环境和设备的技术安全要求。应制定网 络计算机机房和设备的管理制度、 岗位职责和操作规程, 严格禁止无关人员接触 系统,专机专用;计算机机房应充分满足防火、防潮、防尘、防磁和防辐射及恒 温等技术要求,关键性的硬件设备可采用双系统备份。

2.系统软件安全控制。

严格控制系统软件的安装与修改,对系统软件进行定期的预防性检查,系 统被破坏时, 要求系统软件具备紧急响应、 强制备份、 快速重构和快速恢复的功 能。

3.会计信息安全控制。

会计信息安全的基础是密码学。按加密和解密算法所用的密码是否相同, 将密码分为对称密码体制和非对称密码体制。 后者在信息安全管理方面得到了广 泛的应用。 如通信线路上的数据流加密, 数据库中的数据文件加密, 访问者的身 份认证, 数字签名等。 除密码学之外, 模式识别的方法也在网络信息安全方面得 到应用。如指纹识别、面容识别在身份认证中具有很好的作用。

4.系统入侵防范控制。

为了防止非法用户对网络会计系统的入侵,应采取设置防火墙,身份认证 和授权管理等安全技术, 用以限制外界对主机操作系统的访问; 用以隔离开局应 用系统与外界访问区域之间的联系, 限制外界穿过访问区域对网络应用系统服务 器尤其是对会计数据库系统的非法访问; 加强原有的基于帐户和口令的控制, 提 供授权访问控制和用户身份识别。

5.交易安全控制。

为了保证交易者的交易信息不被他人窃取或破译,主要应采取数字加密、 数字认证等核心技术。

(五)应用控制

应用控制是指在网络会计系统的数据输入、通讯、处理和输出环节所采用 的控制程序和措施。

1.输入控制。

输入控制的重点在于建立适当的授权和审批机制,并对输入数据的准确性

进行校验,如总数控制校验、平衡校验、科目代码校验和逻辑关系测试等。 2.通讯控制。

通讯控制的重点在于批量控制,业务时序控制、数据编码控制与发放和接 收的标识控制等。

3.处理控制。

处理控制的重点在于处理过程的现场控制、数据有效性检测、预留审计线 索控制和错误纠正控制等。

4.数据输出控制。

输出控制的重点在于数据稽核控制,授权输出控制和打印程序控制等。 综上所述,信息化条件下加强企业内部控制的对策,其重点主要体现在: (一)实施信息系统治理,从公司治理的高度,对企业信息化作出制度安 排。

信息系统治理是指,从公司治理的高度,对企业信息化做出制度安排,制 定与企业战略相融合的信息化战略, 并从战略投资、 企业管理变革的角度, 分析 并有效降低其信息化风险。 站在公司治理角度实施信息系统治理, 将使得良好的 信息系统治理有助于公司治理机制的完善, 而公司治理机制的完善将为企业内部 控制的完善提供良好的基础。

(二)加强信息系统控制,实施信息系统内部审计。

在信息化条件下,对信息系统的有效控制是企业开展正常的生产经营活动 的前提和保障。 企业最高领导者对信息系统控制的重视, 将有助于控制行为的有 效进行。

内部审计是内部控制措施的再控制。内部审计作用的有效发挥对于提高公 司内部控制的效率有着举足轻重的作用。 在信息化条件下, 企业的内部审计机构 将是信息系统控制最重要的执行者, 通过对信息系统在开发、 实施、 维护和操作 过程中进行检查, 将发现的问题及时报告给管理层, 这在一定程度上能弥补信息 系统控制中的缺陷,保证信息系统的正确性、完整性和安全性。

作为内部审计的重要组成部分,信息系统审计则是由独立的信息化咨询机 构, 为了确保信息系统的安全、 可靠与有效, 以第三方的客观立场对以计算机为 核心的信息系统进行综合的检查与评价, 向被审计单位的最高管理层提出问题与

建议的一系列活动。 信息系统审计综合运用信息技术和审计理论与方法为信息系 统的使用者提供合理保证。

(三)加强人力资源管理,完善内部控制的基础环境。

不管是 COSO 报告 《内部控制——一体化框架》 , 还是 《企业风险管理框架》 , 都突出了“人”的因素。任何企业的核心都是企业中的人及其活动。在信息化条 件下, 加强人力资源的管理, 是企业加强内部控制的一个重要方面。 企业实施信 息化后, 对员工素质提出了更高的要求, 因而人力资源管理的目标主要是通过相 应的人事政策激励员工和制定良好的培训政策等提高员工的素质。 同时, 由于信 息化条件下与信息资源相关的风险的存在, 要求企业制定良好的绩效考评、 激励 和约束机制, 以期保证与信息化相关的人员的道德品行。 因此, 加强人力资源管 理, 做到人尽其用, 留住重要的信息化方面人才, 是加强完善内部控制的重要措 施之一。

四、企业信息系统内部控制机制的完善

从我国企业现阶段企业实施信息系统内部控制的情况来看,多数企业仍处 于萌芽状态。 因此, 结合我国国情, 企业对信息系统内部控制机制进行进一步完 善,必须要达到以下 4点基本要求:

(一)建章立制,强化企业内部制度

实行系统信息化管理以后,信息系统的正常、安全、有效运行的关键是操 作使用。 如果单位管理制度不健全或实施不力, 都会给各种非法舞弊行为以可乘 之机。因此,管理方式和对象的改变,也给内部控制下的制度赋予了新的内涵。 首先,应严格机构和人员的管理与控制,对各类人员制订岗位责任制度。 会计电算化后的工作岗位可分为基本会计岗位和电算化会计岗位。 基本会计岗位 可包括:会计主管、出纳、会计核算、稽核、会计档案管理等工作岗位;电算化 会计岗位包括:直接管理、操作、维修电脑及会计软件系统等工作岗位。机构调 整必须同组织控制相结合, 以实现职权分离, 有效地限制和及时发现错误或违法 行为。如规定系统开发人员和维护人员不能兼任系统操作员和管理人员等。 其次,应严格系统操作环境管理和控制系统。制订一套完整而严格的操作 规定来控制操作程式。 操作规程应明确职责、 操作程式和注意事项, 并形成一套

电算化系统文件。 如规定交接班手续和登记运行日志, 规定资料备份及机器的使 用规范,规定软盘专用以防病毒感染。

最后, 应建立健全档案管理制度。 这些档案主要是指打印输出的各种账簿、 报表、凭证、存储会计资料和程式的软盘及其他存储介质。此外,还应高度重视 电算化人才的开发与培养, 并为此提供必要的物力、 财力, 以造就一支高素质的 财会科技队伍,为会计电算化工作提供人力和智力支持。

(二)建立信息系统评价机制,不断优化系统

企业的内部控制是否健全有效,特别是对会计核算有何影响,需要在持续 的控制之后, 对此做出评价。 在实际工作中, 由于各种原因, 在评价内部控制时, 往往注重对业务处理控制的了解、 测试和评价, 忽视了对信息系统控制是否有效 执行、 是否健全的审查, 从而导致由于信息系统控制的漏洞而有意无意地改变了 信息系统中有关数据, 这样就无法保障后续的信息质量。 企业不仅要建立信息系 统控制, 还必须对所建立的各项控制进行测试和评价, 特别是要对会计信息系统 控制是否健全、有效做出评价,以便及时发现问题,及时纠正。

对信息系统及相关业务系统的控制测试包括控制设计测试和控制执行测试 两个方面。 控制设计测试是确定信息系统的控制设计是否合理、 适当, 也就是对 信息系统控制的健全性进行测试; 控制执行测试是确定现行会计信息系统控制是 否存在并发挥作用, 也就是对会计信息系统控制的有效性进行测试。 由于信息系 统控制既包括人工控制, 又包括计算机程序控制, 因此单纯依靠传统的控制测试 方法是无法完成该项工作的, 还必须采用计算机辅助审计技术, 才能对信息系统 控制进行全面测试。 在实际工作中, 应针对不同的控制形式, 选择相应的控制测 试技术。

在对信息系统控制进行测试之后, 要对各项控制是否健全、 有效做出评价。 针对识别出的控制薄弱环节, 进行深入研究与分析, 提出完善信息系统控制的建 议,及时改进。对于信息系统控制制度方面的问题,要从根本上解决。

(三)充分发挥系统的激励职能,调动职工的积极性、主动性、创造性 完善的管理控制系统必须和人融合在一起。在企业的管理活动中,人力是 最主动、最关键的因素。要搞好一个企业,提高劳动生产率,增加经济效益,最 重要的是调动人的积极性, 进行人力资源的开发。 人的资源潜力是很大的。 有调

查指出,职工每天只需发挥 20%~30%的能力用于工作就能基本完成任务。如果 能充分调动职工的积极性,他们的潜力可以发挥到 80%~90%.另外,随着科学技 术的进步, 脑力劳动逐渐成为主要劳动形式, 这更需要调动职工的积极性、 主动 性和创造性,因为脑力劳动是不能计件的。

(四)培训管理人员,提高管理人员的业务操作水平

企业必须根据企业管理信息化程度的不同,加强对员工的专业培训,以适 应信息化管理岗位的新要求,形成良好的人力资源结构。

首先,企业必须引入竞争机制,根据市场竞争、优胜劣汰的原则,形成任 人唯贤的用人机制,为企业的发展和壮大配置合格的人才。

其次,管理者的素质在企业经营管理中起着非常重要的作用,管理者的素 质不同, 对企业发展产生的影响也不相同, 进而影响到企业内部控制的效率和效 果。企业管理者的素质不仅仅指知识与技能,还包括道德观、价值观、世界观等 各方面。

企业承受营业风险的种类、整个企业的管理方式、企业管理阶层对法规的 反应、 对企业财务的重视程度以及对人力资源的政策及看法等, 都深深地影响着 内部控制的成效。

范文二：内部控制系统信息化建设若干问题研究

内部控制系统信息化建设若干问题研究

【摘 要】 借助IT技术来开展内部控制管理，在我国业界已逐步形成共识。然而，面对即将到来的信息化浪潮，许多企业并未准备好。文章基于这种现状，对内部控制信息化优势进行阐述，提出了内部控制系统信息化的实施目标，并分析了实施过程中存在的主要问题。

【关键词】 内部控制； 信息化； 实施目标

一、引言

2008年财政部联合五部委制定发布《企业内部控制基本规范》（以下简称《基本规范》），到2010年的《企业内部控制配套指引》（具体包括《应用指引》18项、《评价指引》、《审计指引》），标志着我国内部控制框架体系已经形成，为摸索前行中的中国企业指明了方向，可以预见内部控制建设在我国将迎来全面提速的时代。据德勤的《中国上市公司内部控制分析报告》统计显示，2009年52.94%及2010年46%的受调查企业表示企业缺乏与内部控制相关的信息系统，企业内部控制信息化建设将成为我国内部控制建设的一项主要课题。

二、内部控制系统信息化的优势

《基本规范》将内部控制定义为：“内部控制是由企业董事会、监事会、经理层和全体员工实施的，旨在实现控制目标的过程”。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效益和效果，促进企业实现发展战略。内部控制系统信息化就是：“以信息技术实现内部控制目标的全过程”，与传统内部控制系统相比，内部控制系统信息化具有以下优势：

（一）信息化提升了内部控制环境基础

信息系统信息处理的制度化、规范化、流程化要求企业必须在企业结构、人员配备、作业程序、业务规则等方面做出变革，具备需要共同遵守的作业程序和业务规则，一旦设定，就必须遵照执行。从不规范管理到规范化管理是一场深刻的管理变革，要规范就必须改革。由此可见，内部控制系统信息化不是仅仅代替手工系统，而是要通过实施信息化达到改善内部控制环境现状、提升内控质量和水平的目的。这种通过信息化来实施企业管理变革的模式，已经逐渐得到企业管理者们的认同，并有愈演愈烈之势，“信息化的本质就是一场管理的变革”已深入人心。

（二）信息化丰富了内部控制的手段

“流程可视，过程可控”是内部控制信息系统的又一大优势。在内部控制信息系统中，任何事件的结果都是由一定的流程所产生，结果不理想，可以从产生的结果倒推到作业过程中去找原因。信息化可以把每一项作业经历的步骤都记录下来存储在案，可以追溯检查，做到流程透明或可视化，提高了经济业务的能见度。这种流程可视化，一方面可以丰富审计线索，强化对经济业务事项的事后监督和分析；另一方面，通过计算机及网络技术使经济业务事项全程处于监控之中，有利于及时纠正甚至防范错误的发生。

（三）信息化提高了内部控制信息的质量

与传统内部控制系统相比，依托于IT技术的内部控制信息系统的优势还体现在：一是数据采集的多样性，利用计算机及网络技术，更多的财务或非财务信息被计算机终端接收并加以分类存储，为内部控制提供广而全的信息；二是信息

范文三：信息化企业内部控制系统内容

企业内部控制系统

企业内部控制是现代企业制度的重要核心，对于企业及其利益相关者规避风险具有关键意义。1992年美国COSO委员会发布了《内部控制—整体框架》，作为美国上市公司最常用评价内部控制效果的标准。2002年美国颁布《公众公司会计改革和投资者保护法》（简称《萨班斯—奥克斯利法案》或SOX），其404条款明确提出了内部控制评审要求，对全球会计、公司治理以及整个证券市场产生巨大影响。世界各国相继制定了有关内部控制的法律、法规。我国于2008年，由财政部、证监会、审计署、银监会和保监会联合发布了《企业内部控制基本规范》、《企业内部控制应用指引》和《企业内部控制评价指引》，标志着我国企业内部控制制度体系取得重大突破。本系统则是根据以上法律文件和相关学者研究成果设计而成，并配备流程图设计模块、常用技术分析方法工具库和数据采集对接模块，最大限度地提升内部控制效率。

本系统采用立体矩阵式功能结构：

内部控制要素

一、内部控制要素：内部控制的主要内容

1、内部环境：内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置、权责分配、内部审计、人力资源政策及企业文化等。

系统采用录入和查询方式显示内部环境。

2、风险评估：风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。

系统为经营活动各环节建立流程图，用户可确定经营环节风险点，作为重点监控目标，用户也可以在流程图中设立数据采集点，对数据进行结构、趋势分析，并调用统计工具进行方差、差异系数等风险分析。

系统带有自定义流程图模块，用户可根据实际设计流程图，并建立风险监控机制。

3、控制活动：控制活动是内部控制系统的核心。应根据内部控制目标，结合风险应对策略，综合运用控制措施，对各种业务和事项实施有效控制。系统设计控制措施包括：不相容职务分离控制、授权审批控制、会计系统控制、财务保护控制、预算控制、运营分析控制、绩效考评控制和重大风险预警机制与突发事件应急处理机制等。

(1)、不相容职务分离控制：

要求企业全面系统系统地分析、梳理业务流程中所有涉及的不相容职务，实施相应的分离措施，形成各司其职、各负其责，相互制约的工作机制。

(2)、授权审批控制：

要求企业根据常规授权和特别授权的规定，明确各岗位办理业务和事项的权限范围、审批程序和相应责任，并填报违规责任。

(3)、会计系统控制：

要求保护会计资料完整、真实，财务活动合法、有效。财务软件安全、真实。

(4)、财产保护控制：

要求企业建立财产日常管理制度和定期清查制度，采取财产记录、实物保管、定期盘点和帐实核对等措施，确保财产安全。财产保护包括有形资产和无形资产。

(5)、预算控制：

要求建立预算管理制度，明确各责任单位在预算管理中的职责权限，规范预算的编制、审定、下达和执行程序，强化预算约束。

(6)、运营分析控制：

运用关键性指标分析，建立数据采集、动态分析机制。系统支持临时性、可自定义指标及指标组建立和分析机制，综合利用分析技术工具库。

（7）、综合绩效评价控制：

系统运用平衡记分卡、层次分析法等综合性绩效评价方法进行综合评价，也可自定义评价参数，进行局部考核评价。

(8)、重大风险预警机制与突发事件应急处理机制：

明确风险预警标准、制定应急预案、明确责任人员、规范处置程序、确保突发事件得到及时妥善处理。系统支持应急预案制定，通过甘特图动态监控措施实施。

4、信息与沟通：

系统包括数据库与动态数据库建立和维护。企业信息系统、ERP、财务系统数据对接和动态调用。临时性Excel数据应用。数据和系统安全，系统操作记录与稽核。反舞弊机制建立以及举报投诉渠道。

5、内部监督

包括内部监督制度、内部控制缺陷、内部控制自我评价、资料保存等几个方面。

二、内部控制内容：

1、资金控制：

包括：资金支付授权控制、货币资金授权审批控制、现金管理控制和效率分析、银行存款控制、票据管理规范、印章管理制度等。

系统包括流程图、风险点、控制内容、数据点分析等。

2、采购控制：

包括：采购授权审批控制、采购申请审批控制、采购预算管理控制、采购控制制度、验收管理制度、付款控制制度、退货管理控制、应付账款管理等。

系统包括流程图、风险点、控制内容、数据点分析等。

3、存货控制：

包括：存货授权审批控制、存货采购控制、存货储存管理、仓库调拨管理、存货领用管理、存货发放管理、存货盘点管理、废损存货管理、存货核算工作规范

系统包括流程图、风险点、控制内容、数据点分析、蓄水池监控等。

4、销售控制：

包括：销售授权审批控制、客户信用管理控制、销售合同管理、发货、退货管理、货款回收管理、应收账款管理、销售回款奖惩制度、问题账款管理办法、应收票据管理、

系统包括流程图、风险点、控制内容、数据点分析等。

5、工程项目：

包括：工程项目授权批准控制、项目决策管理控制、概预算审查控制、项目进度和里程碑控制、竣工清理控制、竣工验收控制等。

系统包括流程图、风险点、控制内容、数据点分析、进度和里程碑控制使用甘特图监控等。

6、固定资产：

包括：固定资产授权批准控制、固定资产购置控制、固定资产验收控制、固定资产保管控制、固定资产折旧控制、固定资产盘点控制、固定资产处置控制、固定资产转移控制等。 系统包括流程图、风险点、控制内容、数据点分析、蓄水池监控等。

7、无形资产：

包括：无形资产授权批准控制、取得与验收控制、无形资产使用控制、无形资产处置与转移控制、无形资产重大处置控制。

系统包括流程图、风险点、控制内容、数据点分析等。

8、长期股权投资控制：

包括：投资授权批准控制、长期股权投资决策控制、长期股权投资执行控制、长期股权保值增值控制、长期股权投资处置控制。

系统包括流程图、风险点、控制内容、数据点分析等。

9、筹资控制：

包括：最佳资本结构和筹资需求计算、筹资授权批准控制、筹资决策控制、

筹资执行控制、筹资偿付控制等。

系统包括流程图、风险点、控制内容、数据点分析等。

10、预算控制：

包括：预算授权批准控制、预算编制控制、预算执行控制、预算调整控制、预算执行分析、预算审计控制等。

系统包括流程图、风险点、控制内容、数据点分析等。

11、成本费用控制 ：

包括：成本费用授权批准控制、成本费用预测、成本费用预算编制控制、成本费用执行控制、成本费用核算控制等。

系统包括流程图、风险点、控制内容、数据点分析和成本费用树等。

12、担保控制：

包括：担保授权审批控制、担保风险评估、担保业务执行控制等。

系统包括流程图、风险点、控制内容、数据点分析、风险概率转移矩阵计算等。

13、合同控制：

包括：合同授权审批控制、合同执行情况控制、合同专用章控制、合同违约及纠纷处理等。

系统包括流程图、风险点、控制内容、数据点分析、合同执行使用甘特图监控等。

14、业务外包控制：

包括：业务外包授权审批控制、技术服务外包合同范例、外包业务执行控制。

系统包括流程图、风险点、控制内容、数据点分析、外包业务执行使用甘特图监控等。

15、子公司管理 188

包括：委派董事、监事制度控制、会计师委派控制、委派子公司绩效薪酬控制、子公司重大投资项目控制、对子公司进行内部审计、子公司重大事项报告及对外披露制度、子公司报表控制等

系统包括流程图、风险点、控制内容、数据点分析等。

16、财务报告编制与披露控制：

包括：反财务舞弊与投诉举报制度、财务报告编制准备控制、会计凭证管理、财产清查管理、财务报告编制管理、财务报告报送与披露管理控制。

系统包括流程图、风险点、控制内容、数据点分析等。

17、人力资源管理控制：

包括：企业人力资源需求计划、招聘管理制度、培训管理制度、绩效考核管理、薪酬与激励管理制度、晋升与离职管理等。

系统包括流程图、风险点、控制内容、数据点分析等。

18、信息系统控制：

包括：信息系统管理授权审批控制、信息系统开发、变更与维护管理控制、信息系统使用安全管理控制、信息系统硬件管理控制、会计信息化综合管理控制、会计信息化岗位责任控制等。

系统包括流程图、风险点、控制内容、数据点分析等。

19、衍生工具控制：

包括：衍生工具业务报告控制、衍生工具交易控制、衍生工具交易监督与检查控制等

系统包括流程图、风险点、控制内容、数据点分析、衍生工具交易业绩分析等。

20、并购控制：

包括：并购交易授权审批控制、并购交易前期准备控制、并购交易审慎性调查控制、并购交易财务控制。

系统包括流程图、风险点、控制内容、数据点分析、并购交易效果分析等。

21、关联交易控制：

包括：关联交易回避控制、关联交易报告与披露控制、关联交易财务控制等。

系统包括流程图、风险点、控制内容、数据点分析等。

22、内部审计控制

包括：审计人员工作规范、内部审计管理制度、舞弊行为预防、检查、汇报控制、内部审计督导控制、内部审计质量控制、 内部审计外部评价。

系统包括流程图、风险点、控制内容、数据点分析等。

23、内部控制评价：

包括：内部控制评价内容和标准、内部控制评价程序和方法、内部控制缺陷认定。

三、辅助项：

1、统计分析工具：

基础统计：包括算术平均数、几何平均数、调和平均数、中值、众数、四分位数、百分位数、平均差、误差平方和、标准差、标准误差、方差、偏斜度、峰态、标准化Z统计量、最大值、最小值、最大最小区间、合计、个数、K阶最大值、K阶最小值、均值置信度等分析，并生成指标和标准化数值图。

回归模型包括的模型如下：线形回归、乘幂回归、对数回归、多项式回归、多元线性回归、指数回归、龚柏兹模型、皮尔模型、修正指数模型、多元Logistic模型、多元岭回归、多元逐步回归、多对多回归、三维趋势面回归。

2、数据：

(1)、通用数据库及维护平台：用户可以自行建立数据库，并利用系统工具新增、修改或删除数据，同时将自己的数据库加入到分析平台中，利用各类分析工具进行分析。通用数据维护工具还支持数据表之间关联和字段之间外键的建立，以及自动设置用户维护数据时下拉框提示等功能。

(2)、商业智能工具：系统引进了美国9Rays.Net公司OLAP和BI控件，可在客户端层面构建数据立方体，同时与我们的综合查询平台相结合，为客户提供高性能的数据访问和强大的在线分析处理功能，用户可以实现数据查询、钻取、旋转、过滤和统计图表的功能，系统支持最新的XML方式。达到数据透视的效果。

(3)、查询构建器：是一套用于客户端的多功能查询和临时分析的管理工具，经过特定设置后可以同时管理多种不同的数据库、允许同异质数据库的资料移转。使用人性化的操作接口，取代允长且繁杂的SQL叙述，使用者不需要学习繁复的指令、SQL语法和不同的管理工具，就能够简单地操作各种数据库，并可随时生成SQL语句，自定义形成的存储过程，并在查询状态下直接运行存储过程。从而达到多功能查询的目的。在国际通用SQL语句的基础上，增加了变量功能，用户可对SQL语句中任意项设为变量，用{}表示，

并增添使用用户提示信息。查询设置可以保留下来供其他人使用，从而使分析具有动态的学习功能。

(4)、图形透视工具：除了对数据进行透视分析之外，个性化的图形透视工具，可以将系统任意查询（或SQL语句）转换为图形显示，并支持图形拖拉、旋转、过滤等透视功能，还支持平均值、标准差、高低值等统计计算与显示以及在不同图形之间进行切换、输出。

3、报告：

报告生成器：

报告生成器能够为内部控制人员提供高素质“内部控制报告”报告生成器利用Word的书签功能，将报告以Word和Excel的形式反映出来，更加符合内控人员的工作习惯。具体讲，报告生成器具有以下特点：

(1)、报告生成器以模版的形式表现出来，其优点在于用户可以根据自身企业、行业的不同特点，制定出更加适合自己的报告模版，也可以利用著名的分析报告作为模版使用。

(2)、一个模版也可以直接适用于不同企业，而不需要进行变换。只要选择不同的企业名称、报表日期，就可以生成当期的分析报告，特别适用于批量客户的分析。

(3)、系统支持自定义数据源，从不同数据源取得分析数据，生成报告。

(4)、系统支持用户自定义SQL语句和存储过程，进行复杂的数据截取和更加复杂的分析。

(5)、系统包括：系统与模版的自动对照功能，避免生成工具和模版结构的差异。

(6)、通用数据可以和具体数据相结合。由于一个模版可以适用不同客户，因此数据具有通用性（可变性），但是有时需要具体的企业数据和报表日期进行比较（固定性），因此我们在系统中同时支持着这两种模式。

(7)、系统具有自学习功能，随着模版、查询类型和自定义的语句不断增多，其功能也会不断提高。

(8)、通过数据源文本可直接生成23种图形，三维图形支持半透明色彩，使报告层次更高。

(9)、通过数据源文本可直接生成N*M数据表，一个数据源可对应多行、多

列。

(10)、可以链接其他程序的运行结果，以Excel或图形形式相链接，作为报告的组成部分，并随着分析变化而自动变化。

4、管理工具：系统还提供其他管理工具，用户可根据需要选择。

范文四：会计信息化论文内部控制论文

会计信息化论文内部控制论文

摘要：会计信息化对企业内部控制带来的影响不容小觑，特别是企业内部控制存在不确定性加大等问题，可以从优化内部控制环境，更新和完善内部控制制度，强化监督检查等方面强化企业内部控制。

关键词：会计信息化；企业；内部控制

据测算，到2013年我国信息化市场规模将达到近40亿元人民币，2007年-2013年的市场规模复合增长率接近20%，而这种信息化就包含了会计信息化。如此快速的信息化速度必然会对包括内部控制在内的企业管理造成一定的冲击，必须科学应对才能在享受信息化的益处的同时化解信息化带来的风险。

一、会计信息化对企业内部控制的影响研究

按照《企业内部控制基本规范》等法规文件，企业财务部门内部控制目标是保证企业资产安全，保证企业财务报告及会计信息真实、完整。在传统的模式下，企业内部控制主要由人工完成，但在信息化条件下，通过将会计信息转变为计算机能够识别的语言，并充分利用计算机、网络与通信等手段对会计信息进行传输和处理，使得内部控制的方式、范围、内容等都发生了改变或者进行了调整，这既给内部控制带来了机遇，同时带来的挑战也不容小觑。

1.会计信息化给企业内部控制带来的机遇

首先，可以提高内部控制的时效性。在信息化条件下，内部控制由原来的顺序控制转变为并行控制，即可以在财会业务处理过程中

或者处理后实施控制，而不必按照传统模式按照业务流程在账簿处理完毕后进行控制，使得内部控制的时效性大为增加。其次，内部控制的方式多元化，在信息化条件下，各种视频技术的发展使得内部控制可以采用实时监控的方式来进行，计算机软件技术的运用使得内部控制可以通过计算机操作来进行，这些新技术的运用使得内部控制不必一定要到现场查证，或者采取查询账簿的方式来进行，增加了控制方法与手段。再次，在信息化条件下，内部控制可以大量的利用计算机软件预设模块进行数据处理，而不必通过手工进行计算，这就大大节省了时间和人工成本，从而可以降低内部控制的成本。

2.会计信息化给企业内部控制带来的挑战

首先，从内部控制的对象来看，相比于传统的内部控制，信息化条件下的内部控制从单纯的对人的控制转变为对人和计算机同时的控制，这种控制对象的增多无疑会加大内部控制的风险。其次，从控制的内容来看，传统的内部控制主要是通过对账、核查凭证等方式来进行，但在信息化条件下，除上述内容外，内部控制还必须对财务软件中数据的输入、数据的安全性等进行控制，在现代存储、摄像技术发达的前提下，内部控制的难度加大。再次，从内部控制环境来看，在信息化条件下，内部控制不再简单的局限于企业内部，可能拓展到企业的利益相关者甚至是外部宏观环境，因为这都将对企业财务状况产生影响，从而使得控制环境复杂化。

以集团公司为例，在控股子公司模式下，母公司对子公司具有完

全的控制权，通过财会部门的信息化，母公司对子公司的财务部门也可以实现完全的控制。这一背景下的企业内部控制，一方面可以通过实时通信技术、互联网技术实现母子公司之间的沟通，这就突破了传统内部控制模式中的地域空间的限制，可以大大提高内部控制效率。另一方面，不同的控股子公司之间通过统一的信息管理系统联系在一起，可以实现相互之间的比较，发现某一子公司财务异动行为，从而更好的达到内部控制的目标。

同一控股股东、联营公司、参股公司是企业所不具有控制权的，这种模式下的企业内部控制不同于控股子公司，一方面，由于不具有控制权，为保护不同股东的利益，公司之间的财务信息难以实现实时对接，企业内部控制更多的是依靠审计部门等职能部门来完成，从这种意义上讲会计信息化对内部控制难以起到大的作用。但从更广的层面来看，会计信息化能够有效的规范下属公司的财务行为，能够为实施财务检查提供有效的支撑，因此，对于内部控制也具有重要的意义。

二、会计信息化背景下企业内部控制存在的问题

信息化条件下企业内部控制不仅面临传统的内部控制制度有待完善等问题，同时也带来信息安全、人才素质提升等方面的问题。

1.信息化使得内部控制不确定性加大

从内部控制的流程来看，在信息化条件下，首先，企业财务部门需要将财务信息转换为计算机所能识别的语言，这种人工输入面临的问题在于如何保证数据的准确性和真实性，由于人工容易出现失

误，以及输入过程中难以进行全程实时监控等问题，从而使得数据输入可能存在较大的风险。其次，由于现代计算机安全技术特别是网络安全技术还无法确保企业信息系统百分之百的安全，并且在这种互联网状态下各种人为的失误很容易将会计信息泄露且不容易被察觉，但企业所有的财务信息都保存在这种信息系统中，这就使得内部控制制度必须非常完善才能有效的防范这种风险，而目前还尚未完全达到这种状态。再次，在信息化条件下，通过明确不同权限的方式来掌握和更改会计信息，但一方面这种口令可能被泄露，另一方面上级可以对下级的财务信息进行更改且不会留下痕迹也使得责任难以划分，这就使得整个内部控制的风险较大。

2.信息化使得内部控制可能存在缺位问题

首先，在信息化条件下，内部控制可能更多的是对财务软件或者信息系统中的有关账务进行核查，在此情况下，部分财会人员可能疏于对原始凭证，属于对账务发生事实的了解，从而使得内部控制出现漏洞。其次，在信息化条件下，一般认为计算机信息系统不会出现错误，这就使得财会人员过于相信“机器”的力量，从而对部分数据疏于复核，或者没有与现实中的账务进行核对，但信息系统内部通过各种逻辑关系联系在一起，一旦某一子条目没有选入或者说查询条件出现差错等都有可能导致结果上的问题，这也可能使得内部控制出现缺位。

3.内部控制的外部条件还有待优化

首先，从人才的角度来看，信息化要求相关人才不仅要懂得财务

会计方面的知识，同时还要能够较为熟练的操作计算机，并经过专门的培训，能够全面的掌握财务软件以及企业管理信息系统的各项操作，但现有的人才一方面可能存在理论上的不足，他们对新的会计制度、国家最新颁布的法规条例等不太清楚，也难以用于指导实践，另一方面可能存在实践上不足，对企业内部各种新的业务的会计处理方式不甚熟悉，这些问题的存在使得其在开展内部控制工作时存在能力上的差异。其次，从内部控制的环境来看，当前企业更多的是注重会计业务的处理，注重发挥财务部门的作用帮助企业实现价值增值，实现利润最大化，对内部控制的重视程度相对要低一些，此外，内部控制工作的独立性也相对不够，这都不利于内部控制工作的开展。

三、会计信息化背景下强化企业内部控制的对策建议

会计信息化背景加强企业内部控制，可以从优化内部控制环境，更新和完善内部控制制度，强化监督检查等方面着手。

1.优化内部控制环境

首先，要选择合适的会计信息化服务的供应商，要通过有效的参考服务供应商的以往信用记录，市场份额等指标，确定服务供应商在信息安全、信息软件的稳定性等方面的能力，以此为基础根据企业的行业属性等情况合理的选择信息服务供应商，为信息化条件下的内部控制奠定基础。其次，要注重内部控制氛围的营造，通过宣传、培训等方式帮助财会人员树立内部控制理念，提高业务能力。再次，要强化财会人员的风险意识，要通过案例讲解等方式帮助财

会人员甚至全体能够接触到财务信息的人员树立一种风险意识，让其了解到任何信息的泄露都可能影响企业的财务安全，从而帮助其树立风险意识。

2.更新和完善内部控制制度

首先，要完善内部授权制度，在信息化条件下，必须通过完善授权的方式，授权后业务处理的职责划分等来强化内部控制制度，以此避免出现职责不分甚至徇私舞弊等行为。其次，要完善岗位职责分配。对于信息化条件下财会系统的管理员、操作员、数据审核人员以及后台服务人员的工作职责的划分必须明确，以此来保证财会信息的安全可靠，推动内部控制制度的实施。再次，要严格信息化条件下会计业务处理流程，在信息化条件下对于会计业务处理，必须明确账簿的建立、经济活动事实资料的记载等会计行为的流程，以此为事后的监督检查提供保障。

3.强化监督检查

首先，要进一步发挥审计部门的作用，通过对企业财会活动进行分类，并根据经济活动的重要程度、风险的大小决定是否引入审计部门进行全程监督，以此来加强内部控制的力量。其次，要强化日常监管活动，在信息化条件下，必须进一步完善对会计凭证等资料的审查制度，避免出现监管不严或者监管随意性大等问题，从而提高内部控制整体水平。

参考文献：

[1]徐丽群.会计信息化对企业内部控制的影响及对策研究[j].财

会研究,2009(20):57-59.

[2]王健华.会计信息化环境下的内部控制及其实现[j].中国管理信息化,2010(16):6-8.

范文五：信息化过程中内部控制研究

信息化过程中内部控制研究

中国一拖集团有限公司审计部 韩旭东

【摘 要】信息化对企业的影响可以说是革命性的,它不仅改 变了企业经营观念和管理流程,也给传统的内部控制理念带来了新 的挑战。本文通过借鉴国内部控制的理论依据和实践经验,分析我 国目前内部控制在企业信息化过程中所存在的问题,并提出加强信 息化条件下内部控制的建议。

关键词:信息化过程 内部控制 研究

一、企业信息化过程中内部控制问题分析

信息技术波及各行各业 , 以信息技术的广泛应用为代 表的信息化过程对企业的影响极其巨大 , 它革命性地改变 了企业经营管理战略、组织结构、作业与管理流程、人力 资源政策以及企业的核心价值体系 , 从而对企业内部控制 带来了新的挑战。 本文具体分析在企业信息化过程下内部 控制所存在的问题。

(一 ) 控制环境更加复杂

1. 组织控制的复杂化

信息时代组织结构能较好地解决等级式结构的层次 重叠、 组织机构运转效率低下等弊端 , 可以精炼管理层次、 加快信息传递、提升企业竞争优势及与环境适配的能力 , 信息时代组织模式成为时下众多组织创新与转型的趋势。 但是 , 不容忽视的是 , 组织结构扁平化也存在缺陷。 扁平化 使企业的集权性和规范性降低 , 也使企业丧失了传统组织

结构下集权性和规范性高、组织稳定性强的优势 , 不可避 免地带来一些弊端 :一是组织不稳定 , 管理容易失控, 给组 织带来不容小觑的破坏力。 二是容易造成权利与义务边界 模糊、管理责任难以界定、各部门相互推诿现象。三是信 息时代组织集权性和规范性低 , 组织内成员专业背景、价 值观相差较大 , 容易在组织内部产生各种矛盾与冲突。因 此 , 各部分之间协调机制的建立直接依赖于企业整体管理 水平的提高 , 增加了企业管理的复杂性。

2. 道德准则控制的复杂化

在信息化过程中 , 企业处于不断的变革中 , 互联网的 影响也扑面而来 , 由此滋生的各种道德观念层出不穷 , 道 德规范的约束力下降。 但是 , 网络世界的无形性和匿名性、 远程接入性可能使行为人产生侥幸的心理 , 从而可能降低 犯罪的心理阀值。 信息资产价值的提高可能诱使掌握它的 管理人员将其卖给竞争对手的犯罪行为 , 同时 , 由于信息 技术易于操作 , 不留痕迹 , 也给恶意访问者提供了方便 , 他 们只要获得一个登录密码就可能通过网络侵入系统 , 窃取 企业重要的信息资源 , 或是严重干扰信息系统 , 导致信息 系统瘫痪。 这些都可能助长员工利用信息系统舞弊的行为 , 企业管理层应对员工道德进行正面引导 , 强化员工的道德 准则控制。

(二 ) 风险评估的难度加大

风险评估就是分析和辨认对实现内部控制目标可能 产生负面影响的不确定性因素。在传统型企业 , 各层员工 岗位明确 , 职责清楚 , 工作过程按照既定的标准和制度进 行监督和控制 , 就能达到预期目标。 在企业信息化过程中 , 企业原有的业务流程被彻底再造 , 信息系统在组织内的范 围和重要性增加 , 知识和信息成为企业创造价值的重要资 源 , 企业的运营管理、战略制定、授权与控制越来越依赖 于信息系统 , 这些都增加了与信息资产和信息系统相关的 风险。例如 , 资料窜改、网络攻击使信息的安全性受到威 胁 ; 对信息依赖性越强 , 信息不对称性产生的“道德风险” 或“逆向选择风险”越大。风险评估除了包括传统的评估 对象外 , 还要对信息系统对企业资源的整合与协调能力、 信息系统的可靠性和安全性进行评估 , 毫无疑问 , 这些工 作还需要不同专业背景的人员协作才能完成。 所有这些能 够进行定量或是概率分析的很少 , 大大增加了风险评估的 难度和复杂度。

(三 ) 控制活动容易出现漏洞

1. 业务流程

在传统作业条件下, 企业按经济业务的性质分为不同 的职能中心,构成一个完整受控的内部牵制网,很少出现 错误或舞弊的行为。 而信息化系统是按照计算机数据处理 系统组织起来的, 这种数据处理的集中性使传统的组织控

制功能减弱。同时,很多企业引入信息技术后 , 没有对其 旧流程进行更新 , 也没有深入研究如何进行流程重构 , 这 就造成了信息系统与业务流程之间存在许多冲突 , 形成内 部控制的盲点,将更容易发生舞弊行为。

2. 信息初始化

在开始实施信息系统前必须进行可行性分析和需求 分析 , 然而很多企业在授权实施时忽视相应的控制 , 没有 从企业自身实际情况出发 , 导致上马的信息系统不仅消耗 大量的财力 , 而且也破坏了原来系统的稳定性。 此外 , 系统 的开发和变更还要注意程序编码的控制 , 防止系统遭到了 致命的摧毁。当信息化达到一定程度 , 企业必须专门设置 信息资源管理中心 , 中心人员必须精通企业的整个业务流 程 , 然而实务中信息管理部门人员多是来自纯计算机领域 的人士 , 忽略了业务流程的理解。

3. 信息安全访问控制

信息系统往往对登录进行严格控制 , 而忽略了退出控 制。当系统没有设置“限时无操作锁屏或自动退出”的程 序 , 导致已登录的用户在离开后被他人盗用的情况。 此外 , 很多企业忽视数据划分密级 , 由于没有对数据权限进行划 分 , 黑客只要盗取一个普通账号 , 就可以对所有数据进行 盗取、修改、删除等破坏。

4. 软硬件资源控制

很多情况下数据本身比信息设备更值钱 , 因此 , 备份 存储控制异常重要 , 应作为日常控制进行。然而对于备份 周期 , 很多企业无法根据实际情况进行选择。备份周期太 短 , 不仅要占用大量的存储空间 , 而且需要花费不必要的 时间 , 多数人会因为怕麻烦而抱有侥幸心理 , 不在规定时 期内进行备份 ; 周期太长 , 则大大降低了备份文件的实时 性 , 也会影响还原备份的使用效率。且由于存储介质十分 小巧 , 容易被复制或偷偷带出企业 , 导致商业机密的泄漏 , 因此数据存储与处理资源的接近控制也需被慎重考虑。 5. 具体业务控制

在具体业务控制方面 , 由于使用了信息技术 , 可能在 以下几个方面有不良影响 :第一 , 信息化增长了员工惰性 , 不利于有效执行内部控制。 第二 , 信息化环境下 , 无法完全 反映业务痕迹 , 难以留下必要的审计线索。 第三 , 很多核对 工作由计算机自动完成 , 一旦在输入阶段输入错误 , 结果 会导致形成的数据没有意义。

(四 ) 缺乏适当的监督

借助信息技术 , 可以使一部分的监督过程自动完成 , 并且可能实现实时监督 , 从而提高监督的效果和效率。但 是 , 组织结构的变化以及企业信息化也带来了新的挑战。 首先 , 部分企业实行内部审计外包 , 这些内部审计外包局 限于内部控制的核查监督上 , 忽视了信息系统作用与信息

资源的安全性评估 , 没有真正做到控制自我评估 , 缺乏从 企业信息化的视角提高组织内部控制的自我意识。其次 , 信息化的实施导致企业业务流程发生重大变化。 信息化下 的内部控制监督经验不足 , 再加上缺少完整的内部审计线 索 , 加大了内部控制监督的难度。同时 , 在企业信息化下 , 很多授权控制是“嵌入”在管理信息系统之中自动完成 , 授权过程不明显 , 控制的失效往往在发生损失后才被察觉。 因此 , 在企业信息化过程中 , 从信息系统的分析设计、 开发、 实施到维护都应该进行重点监督。

二、加强信息化过程中内部控制的对策

(一 ) 优化控制环境

控制环境居于内部控制中最重要的位置 , 是其他控制 要素的基础 , 完善的控制环境才能使控制制度得以贯彻实 施。结合上市公司的实际 , 应从以下几个方面对内部控制 环境加以改进和完善。

1. 重塑企业文化氛围

在企业信息化过程中 , 企业成员的道德论理、价值观 念、工作态度都会发生变化 , 尤其是企业员工的诚信程度 和职业道德水平 , 是影响企业内部控制环境的一个非常重 要因素。 良好的企业文化可以对企业员工形成一种无形的 约束力。同时建立基于企业信息化的道德价值观、规章制 度、基本信念 , 从而有效解决信息时代组织结构所产生的

负面影响。

2. 建立切实可行的激励政策

在信息时代组织 , 作业与管理由 IT 整合及推动 , 与传 统层级结构相比晋升机会减少 , 平行调动增加 , 良好的人 力资源政策、激励约束机制、管理哲学与经营风格 , 成为 企业有效运营的关键。 因此 , 从信息时代组织特点出发 , 研 究和制定具有可操作性的责任分配与授权制度 , 设立分享 与合作的激励制度 , 才能达到优化内部控制环境的目的。 (二 ) 完善风险管理机制

企业信息化意味着企业各部门、各作业单位之间 , 以 及企业与外部等通过实时互联的网络实现信息、 作业高度 共享 , 网络的开放性把企业暴露于各种风险之中。企业除 了要建立传统的风险管理机制之外 , 还要结合信息化的特 点 , 建立基于信息化的风险管理机制 :一是建立一套信息 网络系统安全政策和制度 ; 二是定期对系统安全政策与制 度的实施效果进行评价 ; 三是通过企业内部会计控制框架 的构建 , 建立健全预算及责任控制 , 强化信息化的风险意 识。必要时企业可设置风险评估部门或岗位 , 专门负责有 关风险的识别、规避和控制。

(三 ) 建立良好的控制活动

1. 实现业务流程与系统的整合

实现财务业务流程与系统的整合就是利用信息技术

去再造工作流程 , 在流程再造的基础上建立企业财务信息 系统 , 实现系统的高度整合。由于信息技术对组织结构、 管理模式、工作方式都产生巨大的影响 , 应该在业务流程 再造的开始阶段就加以考虑信息技术的功效 , 针对企业内 部控制的关键环节和薄弱环节 , 建立一套完整、规范的企 业财务管理制度和流程 , 以适应信息技术对财务工作的影 响。

2. 加强计算机硬件与网络系统安全的控制

加强计算机硬件与网络系统安全的控制 , 是为了保证 计算机系统的运行安全 , 避免由于外部环境因素导致系统 运行错误的不安全隐患。它主要包括 :接触控制和环境保 护、安全控制。接触控制是防止未经授权的人擅自动用系 统的各种资源 , 以保证各项资源的正确性。网络安全指包 括数据保密、访问控制、身份识别等。

3. 加强软件管理 , 重视技术控制

在软件开发过程中 , 必须引入安全稽核机制 , 对重要 的操作日志进行记录 , 并进行必要的权限设置 , 以便能够 对各种不同的权限进行用户识别和远程请求识别。 为了能 够实现实时安全监控 , 必须建立网络安全“防火墙” , 按照 系统管理员的权限 , 用预先定义好的规则控制信息的进出 , 通过对数据进行重新组合和对据库进行加密 , 使业务数据 只有在解密的条件下才能使用 , 同时必须进行必要的身份

认证和内容检查 , 控制一些软件的安装 , 以防止对数据信 息进行非法篡改。

4. 规范数据处理方法和过程, 监控与操作的职责分离 在信息化条件下,应加强对信息系统安全性的控制, 数据处理的方法和过程都必须规范化, 并保持一定的准确 性和相对的稳定性。这就需要制定一套更加全面、细致的 内部会计控制制度。 同时为确保信息系统的及时性和安全 性,还应数据保密、控制访问授权等控制。

由于信息化的特点, 许多不相容的工作都已经合并到 一起统一执行,这就形成了内部控制的隐患。为了强化系 统的内部控制,将操作与监控这两个职务分离,对系统的 所有岗位职责范围划分清楚, 同时做到不相容职务的分离, 对同一业务多方备份。 这样就强化了信息化系统中的相互 牵制,有效地预防违规行为。

(四)建立档案管理制度

在信息化环境下,系统的所有程序文件,软、硬件技 术资料,以及所有数据文件都应当作为档案进行保管,并 由专人负责。同时,要严格限制无权用户、有权用户非正 常时间的不正常接触。为此,单位管理层可以制定一定的 制度来加强单位的内部会计控制。

(五)完善监督管理机制

1. 完善审计法规 , 提高审计技术

在企业信息化过程中 , 现有的法律法规呈现滞后性。 同时 , 审计技术相对落后 , 审计人员知识结构不完整 , 导致 审计人员在进行审计时 , 常常面对信息化下的业务流程、 电子凭证 , 无法可依 , 无技可施。 审计部门的独立性受到威 胁 , 审计结果的公正性受到质疑。 因此 , 不仅要完善原有的 技术规范 , 统一网络技术管理规范 , 同时还应建立相配套 的法律法规 , 升级计算机辅助审计技术与系统软件 , 针对 企业信息化环境 , 加强审计专业人才的培养。

2. 加强内部审计力度,扩展审计深度和广度

随着信息系统地运用, 内部审计应从内部管理者的角 度出发,结合实际,不断弥补内部控制工作中的不足,不 断修订和完善信息化下内部控制制度。另外,由于网络审 计内容和范围的扩大,内部审计要做到以下几点:首先, 注意审计业务的深度和广度发展,在信息化系统中,数据 的处理、存储均集中于系统职能部门,内部控制的合理运 行很大程度上取决于计算机网络系统是否能够正常运行, 因而内部会计控制的重点 , 必须随之转移到对网络系统职 能部门的管理与监控上。 随着信息化系统建立与运行复杂 性程度的提高,要求内部控制的范围应相应扩大,其中包 括一些传统系统中没有的控制内容;其次,注意对系统的 审计, 尤其要考虑以下事项 (1) 审查和检测系统程序; (2) 审查系统本身是否合规合法; (3)对系统的内部控制制度

进行评审。最后,网络系统中有更多公众的参与,因而还 应该关注相关公众的审计。

主要参考文献:

高一斌 , 王宏 .2005. 对加快推进内部会计控制建设若干问题的思考 . 会计 研究

陈关亭 , 张少华 .2003. 论上市公司内部控制的披露及其审核 . 审计研究 郑海英 .2004. 上市公司内部控制环境研究 . 会计研究

朱立新 , 陈显中 .2005. 对企业信息化发展阶段的重新划分 . 企业经济 杨雄胜 .2006. 内部控制理论面临的困境及其出路 . 会计研究 ,2:53~59 陈志斌 .2005. 内控规范的嵌入与超越 . 会计研究 ,11:56~60

李若山 , 徐明磊等 .2005.COSO 报告下的内部控制新发展 . 会计研究 李素萍 .2006企业信息化进程中的内部控制研究 . 北方经济

11

转载请注明出处范文大全网 » 企业信息化与信息系统内部控制