论文部分内容阅读
一、企业信息化发展历程
企业信息化过程就是信息技术与企业组织结构、业务流程、人力资源政策、管理控制相互冲突和融合的过程,随着信息资源的深度开发和广泛利用,这个过程在以几何级数从低级到高级加速演进。为了应对信息化的变革,许多学者从不同角度对企业信息化发展阶段进行了描述。
诺兰教授(1979)提出六阶段模型,即初始引入计算机、普及、控制、整合、数据管理、成熟六阶段,这种模型受时间与地域的局限,与今天的信息技术环境相差甚远。刘英姿等(2004)提出了五阶段模式:引人阶段、扩散阶段、集成阶段、流程变革阶段和战略变革阶段。我国著名的信息经济学专家乌家培教授曾给出三种概括:第一阶段是从生产自动化与管理信息化的关系的角度划分为20世纪50到60年代生产自动化阶段,70到80年代的管理信息化阶段及90年代以来出现的生产自化与管理信息化相融合的网络一体化阶段。第二阶段是从信息技术应用的角度划分为用电子计算机替代手工操作进行辅助设计和辅助制造以及单项管理等的替代阶段,用电子计算机进行集成制造和集成管理等的强化阶段,在电子计算机与电信结合形成信息网络后对企业的业务和管理的流程进行重组、创新的变革阶段。第三阶段是从信息资源管理的角度划分为数据管理、信息管理、知识管理三个阶段。
在信息化的浪潮推动下,传统的金字塔式的功能式层级结构组织因不能适应这种新的环境,纷纷进行组织转型,具有信息时代特征的组织构成单元纷纷出现,如网络式、流程导向、学习型、团队式、虚拟组织、快速周期,它们或自成新组织,或有机地嵌入原组织中,从而引发基于信息技术的组织创新。这些创新后组织,即信息时代组织,显著特点就是扁平化,有更大的管辖幅度与灵活性;作业与管理流程跨部门跨组织整合、流线化程度日益加深;信息孤岛不断被打破,需要更畅通的信息沟通与严密的控制;更加强调战略与风险管理;人力资源政策与价值体系需重新界定。
二、内部控制理论发展回顾
(一)国外内部控制理论发展历程 西方内部控制理论的演进大概经历了五个阶段,其内容由简单到复杂、目标由单元到多元、对象由局部到整体。它们分别是内部牵制阶段、内部控制制度阶段、内部控制结构阶段、内部控制整体框架阶段以及《企业风险管理——总体框架》(简称ERM)阶段。
内部牵制制度阶段主要是在20世纪40年代以前,它是现代内部控制理论中有关组织控制、职务分离控制的雏形,能够制止错误的发生和防止舞弊做假,并且能够保护财产的安全,保障企业运作有成效性。20世纪40年代至70年代,内部控制进入了内部控制制度阶段。此时的控制范围更广,方法更趋科学与完善。目标不光停留在保护企业财产的安全,还包括增进会计信息的可靠性、提高经营效率和遵循既定的管理方针。20世纪80年代至90年代初,内部控制的发展进入了内部控制结构阶段。20世纪90年代,由财务经理协会(FEI)、美国注册会计师协会(AICPA)、美国会计学会(AAA)等多个职业团体参与的“发起组织委员会(coso)”对内部控制的描述是迄今最权威的内部控制的概念,得到专家学者、审计人员及债权人、投资者、管理当局、公司董事会的普遍认可。内部控制的执行人是企业董事会、经理当局以及其他员工,为了达到相关法律法规的遵循、经营活动的效率和效果、财务报告的可靠性等三个目标,内部控制提供合理保证的过程。内部控制的发展进入了一个新的阶段,是由“三大目标”和“五大要素”组成的内部控制的整体框架。五个要素紧密联系,相互影响制约。在执行过程中,应避免在观念上走进误区,即应该意识到最重要的是对整个过程的法规的适当性和有效性进行监督与评审。第五阶段的变化主要体现在:内部控制定义得更加细化;提出了一个新的目标——战略目标;ERM框架对其构成要素作了进一步拓展,将其演变成八个要素;ERM框架使董事会在企业风险管理方面扮演更加重要的角色。
20世纪90年代开始,随着信息系统的发展,各种各样的信息系统成为各种业务处理的核心;与此同时,互联网也开始向世界范围扩充。互联网使信息资源的作用得到充分发挥,但也产生了众多不安全因素,给企业带来巨大的风险,人们越来越清楚地意识到有效管理和控制信息及信息相关技术是进入信息化社会的可靠保障,信息技术对内部控制的影响已经得到社会各方的重视。在这个背景下,COBIT也就应运而生了。COBIT直译为信息及相关技术的控制目标,是IT治理的一个开放性标准,该标准为IT的治理、安全与控制提供了一个一般适用的公认、权威的标准,以辅助管理层进行IT治理。
(二)国内内部控制理论发展历程 我国的内部控制理论起步较晚,正式法规中首次有实际意义的使用是在《会计基础工作规范》(1986年财政部颁发)中。财政部发布的其他内控文件以及《会计法》都沿袭了此定义。
20世纪90年代,针对突然涌现的经营管理松懈、企业会计信息失真等问题,国家不得不开始对此方面的重视以及对内控的研究和实施力度,通过一系列法律法规的推进来制约违规违纪情况的发生。《加强金融机构内部控制的指导原则》(1995年5月中国人民银行颁布)和《独立审计具体准则第号内部控制和审计风险》(1996年12月财政部颁发),均指出控制程序、会计系统、控制环境是内部控制三大要素。2007年3月财政部内部控制标准委员会颁布了《企业内部控制规范》征求意见稿,使我国企业内部控制规范上了一个台阶。此次的内控措施,增加了基于IT系统的内部控制政策与程序,强调了信息系统安全性。总的而言,我国新的内部控制规范明确且有条理的将内部控制呈现在企业面前,这一标准将为企业内部控制提供一个很好的引导。
从以上分析可以看出,我国内部控制理论与西方相比还存在很大差距,尤其是针对企业信息化环境的内部控制。随着信息化时代的到来,会计信息系统所包含的东西越来越多,如何将内部控制融人其中将是一个重要的课题。
三、IT环境下企业内部控制问题分析
(一)风险评估难度增大风险评估是对信息资产面临的威胁、存在的弱点、造成的影响,以及三者综合作用而带来风险的可能性。风险评估的要素包括:关注对整体目标和业务活动目标的制定和衔接、对内部和外部风险的识别与分析、对影响目标实现的变化的认识和各项政策与工作程序的调整等。在传统型企业,各层员工岗位明确,职责清楚,工作过程按照既定的标准和制度进行监督和控制,就能达到预期目标。在信息技术(IT)应用过程中,企业原有的业务流程被彻底再造,信息系统在组织内的范围和重要性增加,知识和信息成为企业创造价值的重要资源,企业的运营管理、战略制定、授权与控制越来越依赖于信息系统,这些都增加了与信息资产和信息系统相关的风险。如由于计算机病毒和网络安全等带来隐藏的数据安全风险等。新风险的出现,对于内部控制的风险识别、风险评估与风险管理提出新的要求。
(二)控制环境更加复杂多变 一方面,信息技术的应用使企业集权化和规范性降低,不可避免地带来一些弊端:第一,信息技术的介入使组织结构层次规范与人员变动更加频繁,人事关系的频繁变动使组织结构的稳定性降低,管理路线经常性短暂不明确容易造成管理漏洞,使很多越权等违规行为难以被发现,操作人员可能超越权限或未经授权通过计算机和网络浏览全部数据文件,篡改、复制、伪造、销毁企业重要的数据,以达到舞弊目的。第二,如果信息技术应用不当,会造成管理界限模糊,甚至管理人员内部矛盾或者互相推脱责任,管理强度被削弱。另一方面,由于信息技术的应用,企业处于躁动不安的变革中,由于受到互联网的影响,企业的价值观、理哲学与经营风格也面临巨大的挑战,企业的激励与诱导机制、精神指导方面也会迎来巨大变革,此外互联网的无形性和匿名性会导致某些员工产生侥幸心理,从而诱发舞弊等违法违规行为的发生。
(三)控制活动漏洞频出 控制活动框架图如图1所示:
在操作系统控制方面,由于操作系统面向所有用户,再加上自身缺陷,因此它时刻面临来自各方面的潜在威胁,包括系统内人员的滥用职权、越权操作和系统外人员的非法访问甚至破坏。如使用浏览法搜寻主内存中的口令信息、使用伪装法复制合法注册程序、设计“后门”程序建立非法访问系统的通道、用“特洛伊木马”法探测系统的弱点,以及各种各样通过操作系统破坏整个系统的计算机病毒等。在会计数据资源控制方面,数据库系统是整个系统控制的主要安全目标。对数据库系统安全的威胁主要包括:系统内外人员对数据库的非法访问;由于系统故障、误操作或认为破坏造成数据库的物理损坏等。此外,由于数据备份的可复制性和存储介质的轻便性,企业数据很容易被复制或偷带出企业导致商业机密的泄露。在应用控制方面,数据在信息环境下的输入、处理、输出三个环节较之手工处理有很多不稳定因素,如原始数据采集的合法性、准确性、完整性很难被控制,数据的处理过程的可靠性差,数据输出过程中被遗失、错发、截留、等风险的存在。在组织控制方面,和手工状态下不同,IT环境下信息系统是一种分布式处理结构,计算机服务功能(工作站)分布于企业内各业务应用部门,实行会计与业务协同处理,使传统的组织控制难以适应等。在工作站控制方面,工作站可以是单机点,也可以是分服务器站点,它是网络系统在某种应用项目(如库存管理、成本控制等)下的一个用户界面,工作站点既是系统日常应用处理(包括数据采集、处理和输出)的端点,也是潜在威胁系统安全的一个入口,如工作站与计算机中心常位于不同建筑,甚至不同街区。因此在数据通信过程中,系统面临着因线路和设备故障导致数据丢失、损坏的风险,以及认为拦截、泄密的风险。
(四)信息沟通不通畅 信息系统的应用往往把各个工作环节细化,员工只要负责好自己的模块的职责就可以了,这就导致了“信息孤岛”的形成。由于不同分工的各个工作环节细化,各个环节之间信息不通畅,数据的重复录入和重复使用会加大工作的复杂程度。而且由于各个分工互不沟通,信息传递是大部分人都一起使用信息传递设备,这就很容易导致数据的丢失和被篡改。
(五)缺乏应有的监督在IT环境下,由于是“人机” 对话的特殊形态,授权方式不再是单纯的签字、盖章,很多授权控制是“嵌入”在管理信息系统之中的,交易授权可以由计算机程序自动完成,这使得授权过程不明显,控制的失效往往在发生损失后才被察觉。因此,在IT环境下信息系统的分析设计、开发、实施到维护都应该进行重点监督。此外现代内部控制很难做到审查机内数据与书面资料的一致性,如查看账册内容,做到账表相符,对不妥或错误的账表处理应及时调整;很难做到监督数据保存方式的安全性、合法性,防止发生非法修改历史数据的现象等。
四、IT环境下企业内部控制完善对策
(一)完善风险管理机制企业信息化意味着企业各部门、各作业单位之间,以及企业与外部,如供应商、客户、合作伙伴等通过实时互联的网络实现信息、作业高度共享,网络的开放性把企业暴露于各种风险之中。企业除了要建立传统的风险管理机制之外,还要结合信息化的特点,建立基于信息化的风险管理机制:一是建立一套信息网络系统安全政策和制度;二是定期对系统安全政策与制度的实施效果进行评价;三是通过企业内部会计控制框架的构建,建立健全预算及责任控制,强化信息化的风险意识。必要时企业可设置风险评估部门或岗位,专门负责有关风险的识别、规避和控制。
(二)优化控制环境不同的控制环境,其内部控制的方法和措施是不同的。由于信息技术(IT)环境的开放性、数据的共享性等方面大大超过了以往任何时期的控制环境,我们应改变以往的控制内容和方法。一方面,信息技术的介入,应当科学合理地建立组织结构层次,明确分工和管理路径,明确管理界限,组织结构和流程做到清晰透明,职责权限有制度可依。另一方面,信息技术(IT)的应用会给企业带来不安变革的情绪,还有互联网带来的影响,员工的价值观和领导层的管理风格都发生了很大的变化,企业应当积极应对变化,努力改变经营风格、强化企业文化、积极引导员工树立正确的价值观,强化员工的道德准则控制。
(三)规范控制活动在操作系统控制方面,要提高操作系统的安全可靠性,除了要尽可能地选用安全等级较高的操作系统产品,并经常进行版本升级外,在管理控制上采取以下措施:明确规定每个用户的安全级别和身份标识,并分别定义具体的访问对象;对运行系统的事件类型、用户身份、操作时间、系统参数和状态以及系统敏感资源进行实时监控和记录,并对日志文件定期进行安全检查和评估;对系统资源进行分类管理,并根据用户级别,限制系统资源的共享和流动;进行特权管理,使系统由若干个系统管理员和操作员共同管理系统,使其具有完成其任务的最少特权,并相互制约,以提高系统安全可靠性。在会计数据资源控制方面,应合理定义应用子模式,根据不同的应用项目(功能)分别定义面向用户操作的数据界面,做到需要什么数据,用到什么数据,就开放什么数据;明确定义每一用户对数据资源访问的范围和内容,并分别规定对数据库的查阅、修改、删除、插入等操作权限;建立数据备份和恢复制度。在应用控制方面,在系统开发时可以嵌入以下软件功能:嵌入输入控制,确保网络环境下数据采集的合法性、准确性和完整性;嵌入处理控制,确保信息系统处理过程的正确可靠性,包括处理正确性控制、数据一致性控制、预留审计线索控制等;嵌入输出控制,确保信息系统输出或传输中没有被遗失、错发、截留,秘密没有被泄露等,包括打印程序控制、分发控制、废报告控制、最终用户控制等。在组织控制方面,合理设置工作站点,并通过操作系统、数据库管理系统实现对各工作站的职责分工控制;设立内审组,监督和控制各工作站的日常运行;设立风险评估小组,定期对系统进行风险评估、弱点分析,以不断完善会计控制体系;实行业务考核制度,对特殊企业的重要岗位实行轮岗制度;进行职责分离控制,一个岗位的人员只能接触与本岗位相关的设备、文件和数据,不能“串岗”。在工作站控制方面,进行工作站内部控制,包括工作站物理环境控制、操作权限控制、系统存取控制、操作规程控制、故障处理控制等等;进行工作站对整个系统访问的控制,根据最小特权原则,要严格控制工作站超越权限的操作行为;进行数据通信控制,采取数据加密、回响检查、奇偶检查、备份控制等技术手段和管理措施进行控制。
(四)加强信息流通 信息的流通有利于提高企业运行的效率和效果,给企业管理者提供全面、及时、正确的管理信息,有助于各个部门及时沟通加强配合。 管理者应当制定有关方面制度,使信息能够及时准确地为信息需要者所用,进而提高企业运行的整体效率。
(五)完善并加强监督 在信息技术环境下,应更注意对内部控制的监督,由适当的人员及时评估控制的设计和运作情况。在进行社会审计时,可以借鉴西方国家对内部控制审计的一些做法,要求企业对外界公众出具内部控制报告,并要求注册会计师对其进行审计,出具审计报告。这就加强了企业管理当局和注册会计师的责任,既可以降低企业的营运风险,提高企业经营效益进而保护投资者的权益,又提高了企业对外出具的财务报告及其他披露信息的可靠性。同时,应给加大对审计人员的培养力度,提高审计人员的专业素质,壮大审计专业人员的队伍。
参考文献:
[1]陈志斌:《内控规范的嵌入与超越》,《会计研究》2005年第11期。
(编辑杜 昌)
企业信息化过程就是信息技术与企业组织结构、业务流程、人力资源政策、管理控制相互冲突和融合的过程,随着信息资源的深度开发和广泛利用,这个过程在以几何级数从低级到高级加速演进。为了应对信息化的变革,许多学者从不同角度对企业信息化发展阶段进行了描述。
诺兰教授(1979)提出六阶段模型,即初始引入计算机、普及、控制、整合、数据管理、成熟六阶段,这种模型受时间与地域的局限,与今天的信息技术环境相差甚远。刘英姿等(2004)提出了五阶段模式:引人阶段、扩散阶段、集成阶段、流程变革阶段和战略变革阶段。我国著名的信息经济学专家乌家培教授曾给出三种概括:第一阶段是从生产自动化与管理信息化的关系的角度划分为20世纪50到60年代生产自动化阶段,70到80年代的管理信息化阶段及90年代以来出现的生产自化与管理信息化相融合的网络一体化阶段。第二阶段是从信息技术应用的角度划分为用电子计算机替代手工操作进行辅助设计和辅助制造以及单项管理等的替代阶段,用电子计算机进行集成制造和集成管理等的强化阶段,在电子计算机与电信结合形成信息网络后对企业的业务和管理的流程进行重组、创新的变革阶段。第三阶段是从信息资源管理的角度划分为数据管理、信息管理、知识管理三个阶段。
在信息化的浪潮推动下,传统的金字塔式的功能式层级结构组织因不能适应这种新的环境,纷纷进行组织转型,具有信息时代特征的组织构成单元纷纷出现,如网络式、流程导向、学习型、团队式、虚拟组织、快速周期,它们或自成新组织,或有机地嵌入原组织中,从而引发基于信息技术的组织创新。这些创新后组织,即信息时代组织,显著特点就是扁平化,有更大的管辖幅度与灵活性;作业与管理流程跨部门跨组织整合、流线化程度日益加深;信息孤岛不断被打破,需要更畅通的信息沟通与严密的控制;更加强调战略与风险管理;人力资源政策与价值体系需重新界定。
二、内部控制理论发展回顾
(一)国外内部控制理论发展历程 西方内部控制理论的演进大概经历了五个阶段,其内容由简单到复杂、目标由单元到多元、对象由局部到整体。它们分别是内部牵制阶段、内部控制制度阶段、内部控制结构阶段、内部控制整体框架阶段以及《企业风险管理——总体框架》(简称ERM)阶段。
内部牵制制度阶段主要是在20世纪40年代以前,它是现代内部控制理论中有关组织控制、职务分离控制的雏形,能够制止错误的发生和防止舞弊做假,并且能够保护财产的安全,保障企业运作有成效性。20世纪40年代至70年代,内部控制进入了内部控制制度阶段。此时的控制范围更广,方法更趋科学与完善。目标不光停留在保护企业财产的安全,还包括增进会计信息的可靠性、提高经营效率和遵循既定的管理方针。20世纪80年代至90年代初,内部控制的发展进入了内部控制结构阶段。20世纪90年代,由财务经理协会(FEI)、美国注册会计师协会(AICPA)、美国会计学会(AAA)等多个职业团体参与的“发起组织委员会(coso)”对内部控制的描述是迄今最权威的内部控制的概念,得到专家学者、审计人员及债权人、投资者、管理当局、公司董事会的普遍认可。内部控制的执行人是企业董事会、经理当局以及其他员工,为了达到相关法律法规的遵循、经营活动的效率和效果、财务报告的可靠性等三个目标,内部控制提供合理保证的过程。内部控制的发展进入了一个新的阶段,是由“三大目标”和“五大要素”组成的内部控制的整体框架。五个要素紧密联系,相互影响制约。在执行过程中,应避免在观念上走进误区,即应该意识到最重要的是对整个过程的法规的适当性和有效性进行监督与评审。第五阶段的变化主要体现在:内部控制定义得更加细化;提出了一个新的目标——战略目标;ERM框架对其构成要素作了进一步拓展,将其演变成八个要素;ERM框架使董事会在企业风险管理方面扮演更加重要的角色。
20世纪90年代开始,随着信息系统的发展,各种各样的信息系统成为各种业务处理的核心;与此同时,互联网也开始向世界范围扩充。互联网使信息资源的作用得到充分发挥,但也产生了众多不安全因素,给企业带来巨大的风险,人们越来越清楚地意识到有效管理和控制信息及信息相关技术是进入信息化社会的可靠保障,信息技术对内部控制的影响已经得到社会各方的重视。在这个背景下,COBIT也就应运而生了。COBIT直译为信息及相关技术的控制目标,是IT治理的一个开放性标准,该标准为IT的治理、安全与控制提供了一个一般适用的公认、权威的标准,以辅助管理层进行IT治理。
(二)国内内部控制理论发展历程 我国的内部控制理论起步较晚,正式法规中首次有实际意义的使用是在《会计基础工作规范》(1986年财政部颁发)中。财政部发布的其他内控文件以及《会计法》都沿袭了此定义。
20世纪90年代,针对突然涌现的经营管理松懈、企业会计信息失真等问题,国家不得不开始对此方面的重视以及对内控的研究和实施力度,通过一系列法律法规的推进来制约违规违纪情况的发生。《加强金融机构内部控制的指导原则》(1995年5月中国人民银行颁布)和《独立审计具体准则第号内部控制和审计风险》(1996年12月财政部颁发),均指出控制程序、会计系统、控制环境是内部控制三大要素。2007年3月财政部内部控制标准委员会颁布了《企业内部控制规范》征求意见稿,使我国企业内部控制规范上了一个台阶。此次的内控措施,增加了基于IT系统的内部控制政策与程序,强调了信息系统安全性。总的而言,我国新的内部控制规范明确且有条理的将内部控制呈现在企业面前,这一标准将为企业内部控制提供一个很好的引导。
从以上分析可以看出,我国内部控制理论与西方相比还存在很大差距,尤其是针对企业信息化环境的内部控制。随着信息化时代的到来,会计信息系统所包含的东西越来越多,如何将内部控制融人其中将是一个重要的课题。
三、IT环境下企业内部控制问题分析
(一)风险评估难度增大风险评估是对信息资产面临的威胁、存在的弱点、造成的影响,以及三者综合作用而带来风险的可能性。风险评估的要素包括:关注对整体目标和业务活动目标的制定和衔接、对内部和外部风险的识别与分析、对影响目标实现的变化的认识和各项政策与工作程序的调整等。在传统型企业,各层员工岗位明确,职责清楚,工作过程按照既定的标准和制度进行监督和控制,就能达到预期目标。在信息技术(IT)应用过程中,企业原有的业务流程被彻底再造,信息系统在组织内的范围和重要性增加,知识和信息成为企业创造价值的重要资源,企业的运营管理、战略制定、授权与控制越来越依赖于信息系统,这些都增加了与信息资产和信息系统相关的风险。如由于计算机病毒和网络安全等带来隐藏的数据安全风险等。新风险的出现,对于内部控制的风险识别、风险评估与风险管理提出新的要求。
(二)控制环境更加复杂多变 一方面,信息技术的应用使企业集权化和规范性降低,不可避免地带来一些弊端:第一,信息技术的介入使组织结构层次规范与人员变动更加频繁,人事关系的频繁变动使组织结构的稳定性降低,管理路线经常性短暂不明确容易造成管理漏洞,使很多越权等违规行为难以被发现,操作人员可能超越权限或未经授权通过计算机和网络浏览全部数据文件,篡改、复制、伪造、销毁企业重要的数据,以达到舞弊目的。第二,如果信息技术应用不当,会造成管理界限模糊,甚至管理人员内部矛盾或者互相推脱责任,管理强度被削弱。另一方面,由于信息技术的应用,企业处于躁动不安的变革中,由于受到互联网的影响,企业的价值观、理哲学与经营风格也面临巨大的挑战,企业的激励与诱导机制、精神指导方面也会迎来巨大变革,此外互联网的无形性和匿名性会导致某些员工产生侥幸心理,从而诱发舞弊等违法违规行为的发生。
(三)控制活动漏洞频出 控制活动框架图如图1所示:
在操作系统控制方面,由于操作系统面向所有用户,再加上自身缺陷,因此它时刻面临来自各方面的潜在威胁,包括系统内人员的滥用职权、越权操作和系统外人员的非法访问甚至破坏。如使用浏览法搜寻主内存中的口令信息、使用伪装法复制合法注册程序、设计“后门”程序建立非法访问系统的通道、用“特洛伊木马”法探测系统的弱点,以及各种各样通过操作系统破坏整个系统的计算机病毒等。在会计数据资源控制方面,数据库系统是整个系统控制的主要安全目标。对数据库系统安全的威胁主要包括:系统内外人员对数据库的非法访问;由于系统故障、误操作或认为破坏造成数据库的物理损坏等。此外,由于数据备份的可复制性和存储介质的轻便性,企业数据很容易被复制或偷带出企业导致商业机密的泄露。在应用控制方面,数据在信息环境下的输入、处理、输出三个环节较之手工处理有很多不稳定因素,如原始数据采集的合法性、准确性、完整性很难被控制,数据的处理过程的可靠性差,数据输出过程中被遗失、错发、截留、等风险的存在。在组织控制方面,和手工状态下不同,IT环境下信息系统是一种分布式处理结构,计算机服务功能(工作站)分布于企业内各业务应用部门,实行会计与业务协同处理,使传统的组织控制难以适应等。在工作站控制方面,工作站可以是单机点,也可以是分服务器站点,它是网络系统在某种应用项目(如库存管理、成本控制等)下的一个用户界面,工作站点既是系统日常应用处理(包括数据采集、处理和输出)的端点,也是潜在威胁系统安全的一个入口,如工作站与计算机中心常位于不同建筑,甚至不同街区。因此在数据通信过程中,系统面临着因线路和设备故障导致数据丢失、损坏的风险,以及认为拦截、泄密的风险。
(四)信息沟通不通畅 信息系统的应用往往把各个工作环节细化,员工只要负责好自己的模块的职责就可以了,这就导致了“信息孤岛”的形成。由于不同分工的各个工作环节细化,各个环节之间信息不通畅,数据的重复录入和重复使用会加大工作的复杂程度。而且由于各个分工互不沟通,信息传递是大部分人都一起使用信息传递设备,这就很容易导致数据的丢失和被篡改。
(五)缺乏应有的监督在IT环境下,由于是“人机” 对话的特殊形态,授权方式不再是单纯的签字、盖章,很多授权控制是“嵌入”在管理信息系统之中的,交易授权可以由计算机程序自动完成,这使得授权过程不明显,控制的失效往往在发生损失后才被察觉。因此,在IT环境下信息系统的分析设计、开发、实施到维护都应该进行重点监督。此外现代内部控制很难做到审查机内数据与书面资料的一致性,如查看账册内容,做到账表相符,对不妥或错误的账表处理应及时调整;很难做到监督数据保存方式的安全性、合法性,防止发生非法修改历史数据的现象等。
四、IT环境下企业内部控制完善对策
(一)完善风险管理机制企业信息化意味着企业各部门、各作业单位之间,以及企业与外部,如供应商、客户、合作伙伴等通过实时互联的网络实现信息、作业高度共享,网络的开放性把企业暴露于各种风险之中。企业除了要建立传统的风险管理机制之外,还要结合信息化的特点,建立基于信息化的风险管理机制:一是建立一套信息网络系统安全政策和制度;二是定期对系统安全政策与制度的实施效果进行评价;三是通过企业内部会计控制框架的构建,建立健全预算及责任控制,强化信息化的风险意识。必要时企业可设置风险评估部门或岗位,专门负责有关风险的识别、规避和控制。
(二)优化控制环境不同的控制环境,其内部控制的方法和措施是不同的。由于信息技术(IT)环境的开放性、数据的共享性等方面大大超过了以往任何时期的控制环境,我们应改变以往的控制内容和方法。一方面,信息技术的介入,应当科学合理地建立组织结构层次,明确分工和管理路径,明确管理界限,组织结构和流程做到清晰透明,职责权限有制度可依。另一方面,信息技术(IT)的应用会给企业带来不安变革的情绪,还有互联网带来的影响,员工的价值观和领导层的管理风格都发生了很大的变化,企业应当积极应对变化,努力改变经营风格、强化企业文化、积极引导员工树立正确的价值观,强化员工的道德准则控制。
(三)规范控制活动在操作系统控制方面,要提高操作系统的安全可靠性,除了要尽可能地选用安全等级较高的操作系统产品,并经常进行版本升级外,在管理控制上采取以下措施:明确规定每个用户的安全级别和身份标识,并分别定义具体的访问对象;对运行系统的事件类型、用户身份、操作时间、系统参数和状态以及系统敏感资源进行实时监控和记录,并对日志文件定期进行安全检查和评估;对系统资源进行分类管理,并根据用户级别,限制系统资源的共享和流动;进行特权管理,使系统由若干个系统管理员和操作员共同管理系统,使其具有完成其任务的最少特权,并相互制约,以提高系统安全可靠性。在会计数据资源控制方面,应合理定义应用子模式,根据不同的应用项目(功能)分别定义面向用户操作的数据界面,做到需要什么数据,用到什么数据,就开放什么数据;明确定义每一用户对数据资源访问的范围和内容,并分别规定对数据库的查阅、修改、删除、插入等操作权限;建立数据备份和恢复制度。在应用控制方面,在系统开发时可以嵌入以下软件功能:嵌入输入控制,确保网络环境下数据采集的合法性、准确性和完整性;嵌入处理控制,确保信息系统处理过程的正确可靠性,包括处理正确性控制、数据一致性控制、预留审计线索控制等;嵌入输出控制,确保信息系统输出或传输中没有被遗失、错发、截留,秘密没有被泄露等,包括打印程序控制、分发控制、废报告控制、最终用户控制等。在组织控制方面,合理设置工作站点,并通过操作系统、数据库管理系统实现对各工作站的职责分工控制;设立内审组,监督和控制各工作站的日常运行;设立风险评估小组,定期对系统进行风险评估、弱点分析,以不断完善会计控制体系;实行业务考核制度,对特殊企业的重要岗位实行轮岗制度;进行职责分离控制,一个岗位的人员只能接触与本岗位相关的设备、文件和数据,不能“串岗”。在工作站控制方面,进行工作站内部控制,包括工作站物理环境控制、操作权限控制、系统存取控制、操作规程控制、故障处理控制等等;进行工作站对整个系统访问的控制,根据最小特权原则,要严格控制工作站超越权限的操作行为;进行数据通信控制,采取数据加密、回响检查、奇偶检查、备份控制等技术手段和管理措施进行控制。
(四)加强信息流通 信息的流通有利于提高企业运行的效率和效果,给企业管理者提供全面、及时、正确的管理信息,有助于各个部门及时沟通加强配合。 管理者应当制定有关方面制度,使信息能够及时准确地为信息需要者所用,进而提高企业运行的整体效率。
(五)完善并加强监督 在信息技术环境下,应更注意对内部控制的监督,由适当的人员及时评估控制的设计和运作情况。在进行社会审计时,可以借鉴西方国家对内部控制审计的一些做法,要求企业对外界公众出具内部控制报告,并要求注册会计师对其进行审计,出具审计报告。这就加强了企业管理当局和注册会计师的责任,既可以降低企业的营运风险,提高企业经营效益进而保护投资者的权益,又提高了企业对外出具的财务报告及其他披露信息的可靠性。同时,应给加大对审计人员的培养力度,提高审计人员的专业素质,壮大审计专业人员的队伍。
参考文献:
[1]陈志斌:《内控规范的嵌入与超越》,《会计研究》2005年第11期。
(编辑杜 昌)