新用戶掃碼下載
掃碼下載APP
及時接收最新考試資訊及
備考信息
信息技術對企業內部控制影響分析與對策
一、引言
按COSO的定義①,企業內部控制是一種由企業董事會、管理層和其他員工執行,為達到財務報告的可靠性、經營的效果和效率、符合適應的法律和法規的目標而提供合理保證的過程,并由控制環境、風險評估、控制活動、信息和溝通、監控五個要素組成。
傳統上,企業大量的經營活動和信息處理活動的記錄主要由人工完成,經營過程的物流、資金流所形成的數據流被記載在紙介質上。會計與審計人員在這種應用背景下所形成的風險認識與控制觀點,一直左右著企業內部控制系統設計。阿妮塔。s.霍蘭德將其描述為:(1)大量使用硬拷貝文檔記錄、處理和維護交易的信息;(2)重視職責和責任分離;(3)會計數據重復記錄和重復數據的大量調整;(4)會計師的反映性要多于主動性,檢查性要多于預防性;(5)嚴重依賴年末對財務報表的檢查;(6)避開信息技術;(7)控制的結構基于符合性。
隨著經濟全球化及市場競爭力度的加劇,許多企業加快了信息化的步伐,以提升企業競爭力。信息技術在企業的廣泛應用,不僅改變了傳統手工數據處理方式,而且觸發了企業管理模式、生產方式、交易方式、作業流程的變革,人們的行為模式也隨著企業業務流程化、組織扁平化、作業信息化而發生變化。雖然信息技術沒有改變企業內部控制目標,但企業內部所發生的變革對傳統的內部控制觀點、控制方法產生很大的沖擊。因此,如何構建基于信息技術環境下的企業內部控制系統已成為目前亟待解決的問題。為此,文本試圖從信息技術對企業內部控制要素的影響著手,分析信息技術環境下企業內部控制呈現的新特點,探討內部控制系統設計策略,以期達到充分利用信息技術來提高內部控制質量的目的。
二、信息技術對企業內部控制要素的影響分析
1.改善企業控制環境
控制環境構成一個單位的控制氛圍,是所有控制方式和方法賴以存在的運行環境。它包括員工的誠實度和勝任能力、董事會或審計委員會、管理理念和經營方式、組織結構、授予權利和責任的方式、人力資源政策和實施。信息技術使企業內部控制環境發生以下的變化。
首先,企業組織結構趨于扁平化。由于計算機信息處理技術替代大量業務層和中間層的人工數據處理工作,數據以磁介質的方式存儲在數據庫中,并能通過網絡迅速傳輸到企業各個角落。信息技術減少信息在傳統組織的信道傳輸中延遲、失真以及噪音干擾,降低信息獲取成本,擴大信息發布范圍,增進組織各層次人員的信息傳遞與交流。原先多人分工協作的工作被信息技術重組后只需一個人就可以完成,大量的人工控制被信息系統的自動控制所取代。這種變化導致企業組織結構趨于扁平化,內部控制層次明顯減少,崗位更加精簡,責任更加明確,效率更加提高。
其次,提高員工地位和素質要求。隨著組織扁平化和業務流程化與信息化,企業決策層次向下移動,基層員工獲得更多的決策機會,同時對員工素質也提出了更高的要求。在新的信息技術平臺下,員工需要熟悉計算機信息系統,持有實時、積極的控制觀點,認識業務發生時信息技術所能提供預防、檢查及糾正錯誤和識別舞弊的機會,充分應用信息技術與自己的專業知識控制企業的經營活動。企業人力資源管理將結合信息技術特點制定員工雇用、培訓、提升和獎勵政策。內部控制設計更強調以人為本、人機結合的原則,通過增強員工識別風險能力、發現問題與解決問題能力、與其他業務人員協同配合能力,利用信息技術的控制能力來提高企業內部控制質量。
再次,改善信息不對稱狀況,提高對“內部人” 的監控水平。現代企業由于所有權與經營權分離,真實的會計信息披露對公司治理起著重要的作用。信息技術集成了業務信息處理流程與會計信息處理過程,由于數據同源并在計算機內部連續處理,有效地提高了會計信息的實時性和準確性。而投資者經過合適權限的授權,通過計算機網絡就能隨時訪問企業數據庫的相關數據, 在一定程度上改善了信息不對稱性狀況,增強信息的透明度以及對企業經營者的監控能力,促使企業內部人提高誠信度與道德觀,規范企業經營行為。
2.擴大風險評估范圍
信息技術應用改變企業傳統營運模式,也帶來業務流程和信息系統的新風險。例如企業在信息技術平臺上運行ERP系統、電子商務、供應鏈管理系統、客戶關系管理系統,通過企業之間、企業內部的信息傳遞實現協同合作、優化資源配置。企業物流和資金流的流量、流速均由計算機精密排程,與聯盟企業、市場情況環環相扣,以求最低成本、最快速度、最好質量組織企業經營活動。因此,供應鏈的任何環節出現突發事件都會波及企業的正常運行,給企業帶來損失。此外,由于企業所有數據存放在數據庫服務器內,網絡開放性、數據共享性必將增加信息系統的風險,如數據可能被非授權人員拷貝、刪除、修改,破壞;計算機病毒感染、黑客入侵、使用人員違規操作也會造成計算機系統故障或信息系統崩潰。企業風險識別、評估與防范,不僅要考慮內外部環境,而且要考慮業務流程與信息流程的耦合度、協作企業的關聯度、信息系統的依賴度等因素,規避供應鏈作業流程和信息系統的新風險給企業帶來的危害。
3.業務流程控制與信息系統控制成為控制活動的一項重要內容
在信息技術平臺上,企業運行的ERP系統實行流程化管理。企業戰略遠景的實現、信息系統的導入、企業文化價值觀的具體呈現,最終落實到企業的業務作業流程。
信息技術應用使傳統人工控制形式演變為人機系統控制,控制重心將集中在作業流程的人機控制與信息系統控制。一些傳統的內部控制規則和程序在新的技術環境下失去存在的意義,新的控制規則和程序建立在充分利用信息技術、用最少的資源達到更佳控制目標的基礎上。
圍繞業務流程,企業會計、審計人員與業務人員將密切協作,共同分析信息技術環境下的企業訂單、采購、庫存、計劃、生產制造、質量控制、運輸、分銷、財務會計、人事管理等環節的作業過程、管理過程和信息過程的新特點,制定對應控制規則,設計企業預算控制、成本費用控制、資金控制、投資控制、信息記錄控制、計算機信息系統控制、業績評價等控制制度和控制程序,并將這些控制程序和控制參數輸入到計算機信息系統內部,形成完整、嚴密的面向流程的人機內部控制系統。這樣,企業員工可以根據信息系統反映的信息流及時監控業務過程的物流、資金流、作業流,通過反饋信息與控制參數的比較,制定決策、預防風險、修正作業錯誤,防范業務舞弊。另外,在計算機信息系統內部建立嚴格的人員訪問授權、數據接觸控制、操作流程規則和職責體系,以避免信息系統故障,保留IT審計線索,杜絕利用信息技術進行貪污、舞弊的行為。
4.組織成員之間信息交流和溝通更加便利
信息與溝通是指企業在其經營過程中識別企業內、外部信息,并在組織內溝通,以便員工了解、執行其職責。
信息技術應用改變企業信息孤島的狀況,大量的企業環境信息、政策信息、經營信息、財務會計信息、作業信息集中存儲在企業數據庫系統內,并不斷被實時更新。基于互聯網、企業網、數據庫技術的客戶/服務器(C/S)和瀏覽器/WEB服務器(B/S)混合結構的網絡平臺為企業成員提供了很好的溝通條件。在這個平臺上,員工可以十分便捷地從計算機數據庫中查閱有關的政策和法規,獲取與其職責相關的控制信息,明確各自的權利與責任,了解自己的活動如何與他人的工作相關以及例外情況如何報告或處理的途徑。另外,企業在網絡平臺上構建與利益相關者聯系的機制,使組織的相關成員可以實時獲取經營信息與財務會計信息,及時進行溝通,達到最佳協同合作和利益共享。
5.監控更注意更新信息系統內部設置的控制參數與控制程序
監控是評價一段時間的內部控制質量過程,包括及時評估控制制度的設計和運行,以及在必要的時候采取的行動。在信息技術環境下,內部控制是基于一種人機結合的控制模式,許多控制程序、控制指標、控制方法被設置在計算機信息系統內部,。因此監控的一項重要內容就是要及時了解原來設置在信息系統內的控制程序、控制參數是否過時,并針對企業經營環境變化情況,及時評估業務流程控制點的運行狀態,重新調整或更改設置在信息系統的控制參數或程序。
三、基于信息技術的企業內部控制系統設計策略
針對上述分析,企業在進行內部控制系統設計時,應綜合考慮內部控制要素的新特點,從組織控制、流程控制、信息系統控制三方面制定對應設計策略。
1.組織控制設計策略
組織控制是為實現組織的目標而進行的組織結構設計、權責安排和制度設計。在信息技術環境下,流程決定企業組織結構。因此,組織結構設計應以產出為中心,結合企業流程特點、信息化程度、人員素質、風險類型與大小進行全盤考慮;圍繞產出目標,重新審視原先組織的職能界限與任務劃分,盡可能將跨越不同職能部門并由不同專業人員完成的工作環節集合起來,形成適應流程管理與控制的企業組織結構,使企業組織設計能保障決策點、控制點位于工作執行地方,能將信息處理工作納入產生這些信息的實際工作中,并與員工信息的使用權、決策權相匹配,與切合流程職位的控制信息需求和成功運用這些信息相匹配。
組織控制設計的一項重要任務是權責分派與不相容職務分離。傳統設計方法建立在執行者、監控者、決策者分離的基礎上,并通過層層授權與審批手續來監督員工作業。在信息技術應用條件下,企業組織的權責范圍遵循以流程為核心的原則。首先將企業主要業務分解為產品流程、質量流程、服務流程、物流流程等,并在這些流程層面上重新定義企業各部門在業務流程中的職責以及它們之間的協調關系。然后再進一步將這些流程分解為一系列相關作業集合,并結合業務的信息化程度來定義企業作業崗位以及對應的崗位責任制度。作業崗位權責分派應體現以人為本,崗位職責的授權、績效評估考核等控制設計應能最大限度地發揮每個員工的主觀能動性和潛能。不相容職務分離設計應結合重組后的業務特點和人機系統的控制功能,通過計算機應用軟件功能使用權限設置、應用軟件的作業流程邏輯順序的設置、業務控制參數的設置,充分發揮計算機系統內部監控能力,實現信息化環境下業務流程不相容職務分離的制度安排。
組織控制的制度設計要充分考慮信息技術在公司治理中的作用。對內,信息系統應與企業的崗位職責、內部牽制以及責任中心控制、預算控制、企業財產管理控制、業績評價等控制制度融合為一體,保障資產安全、會計信息真實及效益提高。對外,建立企業門戶,采取推拉式服務來加強與外部利益相關者的聯系。通過信息在組織內外的傳遞,改善企業監督體系與公司治理結構。
2.流程控制設計策略
以往企業內部控制主要側重于事后控制,即通過期末會計資料的檢查或審計來識別業務錯誤或舞弊。由于信息技術使企業業務流程與信息流程融合在一起,并與企業上下游建立了密切聯系,業務流程控制與信息流程控制成為企業內部控制系統設計的重要內容,控制重心也從適時控制向事前控制、實時控制轉移,控制的順序先是以預防為主,然后是檢查、糾正錯誤和舞弊。因此,在企業流程控制的設計中,專業人員的首要任務是熟悉企業業務過程和信息過程以及它們之間的聯系,并針對組織內部控制目標的要求,對業務流程和信息流程的各類風險進行評估,確定風險重要程度。其次為業務過程和信息過程制定規則和程序,作為控制策略的一部分。具體的規則依賴于企業的各種因素,如環境、組織規模、使用技術、員工素質等,并在此基礎上建立企業作業的預算制度、作業操作制度、業績評價制度、供應鏈績效評價制度。最后依據風險的重要程度確定業務流程與信息流程的關鍵控制點、建立控制模型,設定控制參數與控制程序,并將其嵌入到信息系統中, 形成人機結合、業務活動與信息處理集合的內部控制系統。這樣,在企業經營過程中,信息系統就能動態跟蹤業務活動的信息,自動監控這些活動所產生的數據是否在控制范圍內,預測發展趨勢,實時輸出預警信號。組織成員也能依據這些作業點的反饋信號及時制定正確決策,有效控制企業的經營活動過程。
3.信息系統控制設計策略
信息系統控制包括信息系統建設的過程和使用過程的控制。對企業而言,由于信息系統的建設涉及大量的投資,而且信息系統的質量關系到企業經營活動的效益,信息系統的風險控制成為企業所有者與管理者日益關注的重要問題。因此,在信息系統建設過程中,為保證信息系統開發質量、規避信息系統建設風險,具體的控制設計策略應包括認真進行系統開發前期的可行性研究;加強對開發商的資質驗證;對其已開發的項目進行調查分析;通過公開招標、答辯等方式選擇適合企業營運環境的計算機信息系統軟、硬件與開發商。在項目實施過程中,應加強對IT項目管理,完善信息系統實施的組織工作,明確人員分工安排以及在項目實施各階段所承擔的責任,建立嚴密進度控制和質量控制機制、驗收程序及第三方監理和審計的控制,保障信息系統質量。
信息系統使用過程控制設計包括操作權限與操作規程控制設計、信息安全與數據處理流程控制設計。操作權限控制是指作業崗位的人員只能按照所授予的權限進行計算機作業。設計策略主要包括通過對系統資源進行分類管理、員工作業權限程序化方式,在計算機系統定義用戶具體訪問對象,限制超越權限的非法接觸和訪問。
操作規程控制是指系統操作必須遵循一定的標準操作規程進行。主要通過制定軟硬件操作規程、作業運行規程,規范計算機用戶的操作行為。信息安全控制包括數據和程序安全控制、網絡安全控制,通過數據保密、訪問控制、身份識別、數據備份等措施保障計算機信息資源的安全。
數據處理流程控制設計包括數據輸入、處理、輸出的控制。例如在計算機系統的數據輸入窗口設置各類有效的檢測方法,最大限度地減少操作人員在數據輸入過程中出錯的可能性,保障未經批準的業務不能輸入計算機內;進行嚴格的系統測試,糾正隱含在軟件內的程序處理邏輯錯誤與計算錯誤;檢測計算機系統輸出的數據是否合理,能否符合勾稽關系等,以提高計算機數據處理質量。
注釋:
①參見COSO委員會1992年、1994年修訂的《內部控制一整體框架》(COSO)報告。
[參考文獻]
[1]朱榮恩。內部控制評價[M].北京:中國時代出版社,2002.
[2]閻達五,宋建波。雙元控制主體框架下現代企業會計控制新思考[J].會計研究,2002.
[3]王田英。基于價值鏈的企業流程再造與信息集成[M].北京:清華大學出版社,2002.
[4]阿妮塔。S.霍蘭德。現代會計信息系統[M].北京:經濟科學出版社,1999.
按COSO的定義①,企業內部控制是一種由企業董事會、管理層和其他員工執行,為達到財務報告的可靠性、經營的效果和效率、符合適應的法律和法規的目標而提供合理保證的過程,并由控制環境、風險評估、控制活動、信息和溝通、監控五個要素組成。
傳統上,企業大量的經營活動和信息處理活動的記錄主要由人工完成,經營過程的物流、資金流所形成的數據流被記載在紙介質上。會計與審計人員在這種應用背景下所形成的風險認識與控制觀點,一直左右著企業內部控制系統設計。阿妮塔。s.霍蘭德將其描述為:(1)大量使用硬拷貝文檔記錄、處理和維護交易的信息;(2)重視職責和責任分離;(3)會計數據重復記錄和重復數據的大量調整;(4)會計師的反映性要多于主動性,檢查性要多于預防性;(5)嚴重依賴年末對財務報表的檢查;(6)避開信息技術;(7)控制的結構基于符合性。
隨著經濟全球化及市場競爭力度的加劇,許多企業加快了信息化的步伐,以提升企業競爭力。信息技術在企業的廣泛應用,不僅改變了傳統手工數據處理方式,而且觸發了企業管理模式、生產方式、交易方式、作業流程的變革,人們的行為模式也隨著企業業務流程化、組織扁平化、作業信息化而發生變化。雖然信息技術沒有改變企業內部控制目標,但企業內部所發生的變革對傳統的內部控制觀點、控制方法產生很大的沖擊。因此,如何構建基于信息技術環境下的企業內部控制系統已成為目前亟待解決的問題。為此,文本試圖從信息技術對企業內部控制要素的影響著手,分析信息技術環境下企業內部控制呈現的新特點,探討內部控制系統設計策略,以期達到充分利用信息技術來提高內部控制質量的目的。
二、信息技術對企業內部控制要素的影響分析
1.改善企業控制環境
控制環境構成一個單位的控制氛圍,是所有控制方式和方法賴以存在的運行環境。它包括員工的誠實度和勝任能力、董事會或審計委員會、管理理念和經營方式、組織結構、授予權利和責任的方式、人力資源政策和實施。信息技術使企業內部控制環境發生以下的變化。
首先,企業組織結構趨于扁平化。由于計算機信息處理技術替代大量業務層和中間層的人工數據處理工作,數據以磁介質的方式存儲在數據庫中,并能通過網絡迅速傳輸到企業各個角落。信息技術減少信息在傳統組織的信道傳輸中延遲、失真以及噪音干擾,降低信息獲取成本,擴大信息發布范圍,增進組織各層次人員的信息傳遞與交流。原先多人分工協作的工作被信息技術重組后只需一個人就可以完成,大量的人工控制被信息系統的自動控制所取代。這種變化導致企業組織結構趨于扁平化,內部控制層次明顯減少,崗位更加精簡,責任更加明確,效率更加提高。
其次,提高員工地位和素質要求。隨著組織扁平化和業務流程化與信息化,企業決策層次向下移動,基層員工獲得更多的決策機會,同時對員工素質也提出了更高的要求。在新的信息技術平臺下,員工需要熟悉計算機信息系統,持有實時、積極的控制觀點,認識業務發生時信息技術所能提供預防、檢查及糾正錯誤和識別舞弊的機會,充分應用信息技術與自己的專業知識控制企業的經營活動。企業人力資源管理將結合信息技術特點制定員工雇用、培訓、提升和獎勵政策。內部控制設計更強調以人為本、人機結合的原則,通過增強員工識別風險能力、發現問題與解決問題能力、與其他業務人員協同配合能力,利用信息技術的控制能力來提高企業內部控制質量。
再次,改善信息不對稱狀況,提高對“內部人” 的監控水平。現代企業由于所有權與經營權分離,真實的會計信息披露對公司治理起著重要的作用。信息技術集成了業務信息處理流程與會計信息處理過程,由于數據同源并在計算機內部連續處理,有效地提高了會計信息的實時性和準確性。而投資者經過合適權限的授權,通過計算機網絡就能隨時訪問企業數據庫的相關數據, 在一定程度上改善了信息不對稱性狀況,增強信息的透明度以及對企業經營者的監控能力,促使企業內部人提高誠信度與道德觀,規范企業經營行為。
2.擴大風險評估范圍
信息技術應用改變企業傳統營運模式,也帶來業務流程和信息系統的新風險。例如企業在信息技術平臺上運行ERP系統、電子商務、供應鏈管理系統、客戶關系管理系統,通過企業之間、企業內部的信息傳遞實現協同合作、優化資源配置。企業物流和資金流的流量、流速均由計算機精密排程,與聯盟企業、市場情況環環相扣,以求最低成本、最快速度、最好質量組織企業經營活動。因此,供應鏈的任何環節出現突發事件都會波及企業的正常運行,給企業帶來損失。此外,由于企業所有數據存放在數據庫服務器內,網絡開放性、數據共享性必將增加信息系統的風險,如數據可能被非授權人員拷貝、刪除、修改,破壞;計算機病毒感染、黑客入侵、使用人員違規操作也會造成計算機系統故障或信息系統崩潰。企業風險識別、評估與防范,不僅要考慮內外部環境,而且要考慮業務流程與信息流程的耦合度、協作企業的關聯度、信息系統的依賴度等因素,規避供應鏈作業流程和信息系統的新風險給企業帶來的危害。
3.業務流程控制與信息系統控制成為控制活動的一項重要內容
在信息技術平臺上,企業運行的ERP系統實行流程化管理。企業戰略遠景的實現、信息系統的導入、企業文化價值觀的具體呈現,最終落實到企業的業務作業流程。
信息技術應用使傳統人工控制形式演變為人機系統控制,控制重心將集中在作業流程的人機控制與信息系統控制。一些傳統的內部控制規則和程序在新的技術環境下失去存在的意義,新的控制規則和程序建立在充分利用信息技術、用最少的資源達到更佳控制目標的基礎上。
圍繞業務流程,企業會計、審計人員與業務人員將密切協作,共同分析信息技術環境下的企業訂單、采購、庫存、計劃、生產制造、質量控制、運輸、分銷、財務會計、人事管理等環節的作業過程、管理過程和信息過程的新特點,制定對應控制規則,設計企業預算控制、成本費用控制、資金控制、投資控制、信息記錄控制、計算機信息系統控制、業績評價等控制制度和控制程序,并將這些控制程序和控制參數輸入到計算機信息系統內部,形成完整、嚴密的面向流程的人機內部控制系統。這樣,企業員工可以根據信息系統反映的信息流及時監控業務過程的物流、資金流、作業流,通過反饋信息與控制參數的比較,制定決策、預防風險、修正作業錯誤,防范業務舞弊。另外,在計算機信息系統內部建立嚴格的人員訪問授權、數據接觸控制、操作流程規則和職責體系,以避免信息系統故障,保留IT審計線索,杜絕利用信息技術進行貪污、舞弊的行為。
4.組織成員之間信息交流和溝通更加便利
信息與溝通是指企業在其經營過程中識別企業內、外部信息,并在組織內溝通,以便員工了解、執行其職責。
信息技術應用改變企業信息孤島的狀況,大量的企業環境信息、政策信息、經營信息、財務會計信息、作業信息集中存儲在企業數據庫系統內,并不斷被實時更新。基于互聯網、企業網、數據庫技術的客戶/服務器(C/S)和瀏覽器/WEB服務器(B/S)混合結構的網絡平臺為企業成員提供了很好的溝通條件。在這個平臺上,員工可以十分便捷地從計算機數據庫中查閱有關的政策和法規,獲取與其職責相關的控制信息,明確各自的權利與責任,了解自己的活動如何與他人的工作相關以及例外情況如何報告或處理的途徑。另外,企業在網絡平臺上構建與利益相關者聯系的機制,使組織的相關成員可以實時獲取經營信息與財務會計信息,及時進行溝通,達到最佳協同合作和利益共享。
5.監控更注意更新信息系統內部設置的控制參數與控制程序
監控是評價一段時間的內部控制質量過程,包括及時評估控制制度的設計和運行,以及在必要的時候采取的行動。在信息技術環境下,內部控制是基于一種人機結合的控制模式,許多控制程序、控制指標、控制方法被設置在計算機信息系統內部,。因此監控的一項重要內容就是要及時了解原來設置在信息系統內的控制程序、控制參數是否過時,并針對企業經營環境變化情況,及時評估業務流程控制點的運行狀態,重新調整或更改設置在信息系統的控制參數或程序。
三、基于信息技術的企業內部控制系統設計策略
針對上述分析,企業在進行內部控制系統設計時,應綜合考慮內部控制要素的新特點,從組織控制、流程控制、信息系統控制三方面制定對應設計策略。
1.組織控制設計策略
組織控制是為實現組織的目標而進行的組織結構設計、權責安排和制度設計。在信息技術環境下,流程決定企業組織結構。因此,組織結構設計應以產出為中心,結合企業流程特點、信息化程度、人員素質、風險類型與大小進行全盤考慮;圍繞產出目標,重新審視原先組織的職能界限與任務劃分,盡可能將跨越不同職能部門并由不同專業人員完成的工作環節集合起來,形成適應流程管理與控制的企業組織結構,使企業組織設計能保障決策點、控制點位于工作執行地方,能將信息處理工作納入產生這些信息的實際工作中,并與員工信息的使用權、決策權相匹配,與切合流程職位的控制信息需求和成功運用這些信息相匹配。
組織控制設計的一項重要任務是權責分派與不相容職務分離。傳統設計方法建立在執行者、監控者、決策者分離的基礎上,并通過層層授權與審批手續來監督員工作業。在信息技術應用條件下,企業組織的權責范圍遵循以流程為核心的原則。首先將企業主要業務分解為產品流程、質量流程、服務流程、物流流程等,并在這些流程層面上重新定義企業各部門在業務流程中的職責以及它們之間的協調關系。然后再進一步將這些流程分解為一系列相關作業集合,并結合業務的信息化程度來定義企業作業崗位以及對應的崗位責任制度。作業崗位權責分派應體現以人為本,崗位職責的授權、績效評估考核等控制設計應能最大限度地發揮每個員工的主觀能動性和潛能。不相容職務分離設計應結合重組后的業務特點和人機系統的控制功能,通過計算機應用軟件功能使用權限設置、應用軟件的作業流程邏輯順序的設置、業務控制參數的設置,充分發揮計算機系統內部監控能力,實現信息化環境下業務流程不相容職務分離的制度安排。
組織控制的制度設計要充分考慮信息技術在公司治理中的作用。對內,信息系統應與企業的崗位職責、內部牽制以及責任中心控制、預算控制、企業財產管理控制、業績評價等控制制度融合為一體,保障資產安全、會計信息真實及效益提高。對外,建立企業門戶,采取推拉式服務來加強與外部利益相關者的聯系。通過信息在組織內外的傳遞,改善企業監督體系與公司治理結構。
2.流程控制設計策略
以往企業內部控制主要側重于事后控制,即通過期末會計資料的檢查或審計來識別業務錯誤或舞弊。由于信息技術使企業業務流程與信息流程融合在一起,并與企業上下游建立了密切聯系,業務流程控制與信息流程控制成為企業內部控制系統設計的重要內容,控制重心也從適時控制向事前控制、實時控制轉移,控制的順序先是以預防為主,然后是檢查、糾正錯誤和舞弊。因此,在企業流程控制的設計中,專業人員的首要任務是熟悉企業業務過程和信息過程以及它們之間的聯系,并針對組織內部控制目標的要求,對業務流程和信息流程的各類風險進行評估,確定風險重要程度。其次為業務過程和信息過程制定規則和程序,作為控制策略的一部分。具體的規則依賴于企業的各種因素,如環境、組織規模、使用技術、員工素質等,并在此基礎上建立企業作業的預算制度、作業操作制度、業績評價制度、供應鏈績效評價制度。最后依據風險的重要程度確定業務流程與信息流程的關鍵控制點、建立控制模型,設定控制參數與控制程序,并將其嵌入到信息系統中, 形成人機結合、業務活動與信息處理集合的內部控制系統。這樣,在企業經營過程中,信息系統就能動態跟蹤業務活動的信息,自動監控這些活動所產生的數據是否在控制范圍內,預測發展趨勢,實時輸出預警信號。組織成員也能依據這些作業點的反饋信號及時制定正確決策,有效控制企業的經營活動過程。
3.信息系統控制設計策略
信息系統控制包括信息系統建設的過程和使用過程的控制。對企業而言,由于信息系統的建設涉及大量的投資,而且信息系統的質量關系到企業經營活動的效益,信息系統的風險控制成為企業所有者與管理者日益關注的重要問題。因此,在信息系統建設過程中,為保證信息系統開發質量、規避信息系統建設風險,具體的控制設計策略應包括認真進行系統開發前期的可行性研究;加強對開發商的資質驗證;對其已開發的項目進行調查分析;通過公開招標、答辯等方式選擇適合企業營運環境的計算機信息系統軟、硬件與開發商。在項目實施過程中,應加強對IT項目管理,完善信息系統實施的組織工作,明確人員分工安排以及在項目實施各階段所承擔的責任,建立嚴密進度控制和質量控制機制、驗收程序及第三方監理和審計的控制,保障信息系統質量。
信息系統使用過程控制設計包括操作權限與操作規程控制設計、信息安全與數據處理流程控制設計。操作權限控制是指作業崗位的人員只能按照所授予的權限進行計算機作業。設計策略主要包括通過對系統資源進行分類管理、員工作業權限程序化方式,在計算機系統定義用戶具體訪問對象,限制超越權限的非法接觸和訪問。
操作規程控制是指系統操作必須遵循一定的標準操作規程進行。主要通過制定軟硬件操作規程、作業運行規程,規范計算機用戶的操作行為。信息安全控制包括數據和程序安全控制、網絡安全控制,通過數據保密、訪問控制、身份識別、數據備份等措施保障計算機信息資源的安全。
數據處理流程控制設計包括數據輸入、處理、輸出的控制。例如在計算機系統的數據輸入窗口設置各類有效的檢測方法,最大限度地減少操作人員在數據輸入過程中出錯的可能性,保障未經批準的業務不能輸入計算機內;進行嚴格的系統測試,糾正隱含在軟件內的程序處理邏輯錯誤與計算錯誤;檢測計算機系統輸出的數據是否合理,能否符合勾稽關系等,以提高計算機數據處理質量。
注釋:
①參見COSO委員會1992年、1994年修訂的《內部控制一整體框架》(COSO)報告。
[參考文獻]
[1]朱榮恩。內部控制評價[M].北京:中國時代出版社,2002.
[2]閻達五,宋建波。雙元控制主體框架下現代企業會計控制新思考[J].會計研究,2002.
[3]王田英。基于價值鏈的企業流程再造與信息集成[M].北京:清華大學出版社,2002.
[4]阿妮塔。S.霍蘭德。現代會計信息系統[M].北京:經濟科學出版社,1999.
上一篇:加強內部審計過程的質量控制
下一篇:現代公司中財務監控與薪酬激勵
學員討論(0)
實務學習指南
距6月報稅結束還有天
新用戶掃碼下載
京公網安備 11010802044457號