企业信息化环境下内部控制的思考
来源:
2005-04-13
普通
在人类社会跨入21世纪之际,由现代信息技术所引发的全球信息化浪潮冲击着传统社会生活的每一个角落。信息技术的发展,开创了人类智力解放的新纪元,是现代科技革命的重要标志。信息技术的应用渗透到了国民经济和社会发展的各个领域和各个层次,对人类社会的政治、经济和文化等方面都产生了巨大的冲击,各行各业都面临着信息化的挑战。在我国,“大力推动全社会的信息化,以信息化带动工业化”的战略已经深入人心。信息技术在企业中的运用日益广泛和深入,会计电算化、管理信息系统(MIS)、企业信息系统(EIS)、企业资源规划(ERP)、客户关系管理(CRM)、电子商务(EC)、虚拟企业等概念和应用层出不穷。企业信息化促使企业的组织形式、管理体制、控制要点等等发生重大的变化。企业组织结构趋向扁平,管理人员越来越依赖于信息系统经营和控制企业,电子商务将成为新世纪中全球贸易的发展方向。
企业信息化给企业的内部控制提出了新的挑战。信息技术对内部控制产生了哪些影响?内部控制应该如何改变才能适应变化?企业应该如何加强信息化环境下的内部控制?这些正是本文拟探讨的问题。
一、内部控制及其构成要素
目前,对内部控制较为权威的定义是美国COSO委员会提出的内部控制整体框架概念。COSO委员会于1992年提出报告《内部控制-整体框架》,并于1994年进行了增补。COSO委员会认为,内部控制是由企业董事会、经理阶层和其他员工实施的,为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。其构成要素应该来源于管理阶层经营企业的方式,并与管理的过程相结合。具体包括五要素:(1)控制环境。控制环境是指对建立、加强或削弱特定政策、程序及其效率产生影响的各种因素。控制环境塑造企业文化,影响企业内部各成员的控制意识、企业内部控制的贯彻和执行以及企业经营目标和整体战略目标的实现。控制环境的构成因素是多方面的。(2)风险评估。当今世界市场竞争日趋激烈,企业经营风险不断增加,企业的内部控制必须从企业风险的分析入手,了解自身所面临的风险,并适时加以处理。(3)控制活动。控制活动是确保管理阶层的指令得以实现的政策和程序。传统的控制活动主要包括:交易授权、职责分离、监管、业务记录、接触控制和独立稽核。(4)信息和沟通。企业必须保证企业内部的员工能够取得他们在执行、管理和控制企业经营过程中所需的信息,使员工顺利履行其职责。(5)监督。整个内部控制的过程必须施以恰当的监督,通过监督活动在必要时对其加以修正。内部审计和对控制的自我评估是最重要的两项监督。
二、企业信息化对内部控制的影响
(一)企业信息化如何影响内部控制(how)?
为了分析企业信息化对内部控制造成了什么影响,我们必须先分析企业信息化改变了企业哪些方面,从而对内部控制产生影响,即企业信息化是如何影响内部控制的。
1.信息技术在企业中的应用提高了企业的业务流程的自动化程度,业务流程中的一些环节被省略或合并。而且随着电子商务的发展,企业间交易的自动化程度也将得到提高。内部控制的具体实施是根据业务流程的各个环节以及交易方式来进行的,因此,业务流程的自动化不可避免地对内部控制的各个要素以及控制理念等产生不同程度的影响。
2.企业信息化改变了数据和信息的获取方式。传统方式下,原始数据的获取靠的是企业员工肉眼观察、手工计数或使用仪器测量。在信息化条件下,可以利用传感设备全自动地获取所需的数据或信息。例如:用装有重量感应装置的货架自动测量存货数量、用自动监控装置代替值班人员等等。利用自动传感设备具有高度自动化、准确性高、24小时不间断、数据实时获取、不受恶劣环境影响等优点,为企业实施更有效的内部控制提供了基础。
3.企业信息化改变了信息存储的方式,存储介质由纸变为磁盘或光盘。与纸介质相比,磁介质或光介质具有存储密度大、擦写不留痕迹的特点,对内部控制的影响是双方面的。存储密度大使得企业可以集中保存数据和信息资源,便于对其加以保护,但一旦毁损或被盗将使企业遭受更大的损失。擦写不留痕迹使得数据被篡改的可能性增大,需要加强内部控制。
4.企业信息化提高了信息处理的效率。在信息化环境下,借助计算机的高速处理能力,能够使得信息处理的速度大为加快,效率大为提高。然而,这对内部控制的影响也是双方面的。一方面,信息处理效率的提高有利于企业实施更复杂更有效的控制措施和控制方法,提高内部控制的效果和效率。另一方面,借助高速的信息处理能力,企业员工或管理当局造假的能力也能得到提高,例如:利用随机数产生程序伪造应收款项或存货的金额、利用报表编制程序快速编制多份虚假财务报表等等。这又要求企业加强内部控制。
5.企业信息化改变了信息的传递方式。信息化环境下的信息传递,改变了手工环境下的传票、报告、电话等方式,利用电缆、光缆、无线电波等以光速传递信息,而且传递的信息量远非传统方式可比,为企业加强内部控制提供了基础。但如果信息传递过程中受到了阻碍或破坏,也将给企业带来更大的损失。
6.企业信息化提高了信息的集成性。在完善的企业信息系统的支持下,企业领导足不出户,就能够在电脑屏幕前对遍布世界的跨国公司了如指掌。轻点几下鼠标就能成交生意、调动资金、指挥员工。企业信息系统为企业加强内部控制提供了基础,同时也对企业的内部控制提出了更高的要求。
7.企业信息化提高了信息的价值。在信息时代,人们对信息资源的利用能力得到提高。人们已经认识到企业的数据和信息资源,是企业最宝贵的资产之一。而信息是无形的,与有形的资产相比,对信息的窃取更隐蔽,更不易被发现。这要求内部控制不但要保护有形资产,更要对企业的数据和信息资产加以保护。同时应当针对信息的特点,采用有效的保护措施。
8.企业信息化将对人造成一定的影响。在信息化环境下,人们可能越来越多地通过计算机网络进行联系和沟通,人与人之间的直接接触将有所减少。网络世界的无形性和匿名性将对人的心理造成一定的影响,从而影响控制环境。
(二)企业信息化对内部控制造成了什么影响(what)?
1.企业信息化不影响内部控制的目标
设定目标是任何一个人造系统的首要环节。内部控制的目标决定了内部控制的要素、手段及其他组成部分。虽然它不是内部控制的组成要素,但却是内部控制的先决条件,也是促成内部控制的要件。企业信息化虽然对企业产生了深远的影响,但是并没有改变企业经营管理的目标。因此,内部控制作为企业管理的一个组成部分,其总体目标也没有改变,仍然是达到营运的效率和效果、财务报告的可靠性以及遵循相关法令。当然,各项具体的控制活动和控制措施中的子目标应该根据具体的情况有所变化。
2.企业信息化对内部控制五要素的影响
(1)对控制环境的影响
控制环境的构成因素是多方面的,主要包括:企业的治理机制、组织结构与权责分派体系、企业管理者的素质、品行与管理哲学、企业文化、信息系统、人力资源政策及实务等等。企业信息化将影响企业的治理机制。通过完善的企业信息系统,董事会、监事会可以更及时更全面的了解企业的全面信息,因而可以更好地进行战略制定、经理人员选择和绩效评价、企业运营情况监控等等,对企业进行更好的治理。小股东可以以较低的成本通过网络在线参加股东大会,而不必因为路途遥远等原因放弃自己的权利,可以更好地维护自身的利益。信息化将使企业组织结构趋向扁平化,管理层次减少。
信息化对企业管理者的素质提出了更高的要求。企业所面临的商务环境竞争加剧、变化加速,管理者所能获得的信息量倍增,信息技术和信息系统在企业中的作用日益重要,这些都要求管理者不但要有更强的把握信息、利用信息的能力,在运营管理企业中利用好信息资源,而且要有对信息、信息技术和信息系统重要性和风险的认识和理解,制定良好的IT战略和IT规划。
在网络环境下,人与人之间的直接接触将有所减少。网络世界的无形性和匿名性将对人的心理造成一定的影响,使部分人误以为借助网络为非作歹不容易被抓住,从而可能降低犯罪的心理阀值。信息资产价值的提高可能诱使掌握它的管理人员将其买给竞争对手的犯罪行为,而由于信息的无形性、可拷贝性,信息的泄密不易被发现。再者网络的远程接入性也给犯罪分子提供了方便,他们只要获得一个登录密码就可能通过网络侵入系统,窃取企业重要的信息资产,或是使信息系统崩溃,而不必像盗窃有形资产那样需要翻墙入室、避开警卫等麻烦之举。这些均对管理人员的品行和道德水平提出了更高的要求。同时也需要企业加强对信息资产、信息技术和信息系统的内部控制,通过良好的管理手段和技术手段降低风险。
(2)对风险评估的影响
在企业信息化环境下,业务流程的自动化降低了业务处理过程中源于人员疏漏或舞弊的风险。但另一方面,企业的运营管理越来越依赖于信息系统,信息在企业中的作用日趋重要,信息化环境促使信息存储高度集中、单位时间传递的信息量大为提高,这些都增加了与信息资产和信息系统相关的风险。信息化环境下,如果信息系统失灵或崩溃,重要信息被窃,都将给企业带来不可估量的损失。因此,企业应当作好有关信息资产和信息系统方面的风险评估,建立良好的IT治理机制,减少灾难的发生以及灾难发生时的损失。
(3)对控制活动的影响
控制活动必须根据企业业务流程的情况和具体的控制点进行设置,因此,控制活动受到企业信息化的直接影响。信息化环境下的控制活动分为两部分:自动化业务控制和信息系统控制。自动化业务控制的控制对象仍然是企业的生产经营过程,但其形式和控制手段发生了很大变化。它以计算机程序的形式嵌入于企业信息系统之中,对业务的控制由计算机自动完成。信息系统控制是企业为了保证信息系统正确性、完整性和安全性而采取的控制措施,其控制对象是企业信息系统,包括计算机软硬件资源、应用系统、数据和相关人员等等信息系统的所有组成要素。随着网络技术和电子商务的发展,信息系统控制还必须考虑网络安全和电子商务控制的问题。自动化业务控制和信息系统控制对控制活动有着不同要求,使得传统的六类控制活动都有一定的变化。
信息化环境下的交易授权可以由计算机程序自动完成,使得授权过程不明显,控制的失效往往在发生损失后才被察觉。因此,管理者对交易授权的关注应该转移到对相关计算机程序的正确性和完整性的检查上。
在信息化环境下,计算机能够避免人类通常会犯的错误或舞弊,手工环境下的一些不相容的职责可以由计算机来执行,所以职责分离和员工的相互检查成为不必要的控制活动。同样,也没有必要针对自动业务流程进行监管和独立稽核。然而,对于信息系统的开发、实施、维护和操作等活动,职责分离、监管以及独立稽核仍然是重要的控制措施。
在信息化环境下,业务记录不再是书面的签章、编码、交叉索引等,而是通过登录密码、操作日志等技术手段进行业务记录,其有效性受信息系统的正确性、完整性和安全性的影响。
在信息化环境下,对计算机硬件设备的接触控制与传统方式下并无太大的区别,主要通过实物防护措施来进行。但对于信息资产的接触控制,由于网络的远程接入性,应当通过防火墙、操作员权限设置、登录密码安全策略、信息系统审计等等技术手段和管理措施加以实现。
(4)对信息和沟通的影响
企业信息化对内部控制的信息和沟通这一要素产生了有利的影响。在完善的企业信息系统的支持下,企业员工能够更好地取得他们在执行、管理和控制企业经营过程中所需的信息,使员工顺利履行其职责。当然,也要警惕信息技术可能带来的信息过量的问题,以及借助高速信息处理能力造假的问题。
(5)对监督的影响
借助信息技术,可以使一部分的监督过程自动完成,并且可能实现实时监督,从而提高监督的效果和效率。应当注意的是,对信息系统的开发、实施和维护过程所进行的监督应当成为监督的重点。同时,“控制自我评估(CSA,Control Self Appraisal)”仍然是很有益的作法。CSA是企业不定期或定期地对自己的内部控制系统进行评估,评估内部控制的有效性及其实施的效率效果,以期能更好地达成内部控制的目标。CSA有助于提高组织内部控制的自我意识,帮助人们了解哪里存有缺陷以及可能引至的后果,然后采取行动改进这种状况,对于一个企业加强管理、提高劳动生产率、改进内部审计程序和业务经营程序以及控制风险等都有着积极的作用。
三、企业信息化环境下加强内部控制的对策
(一)实施IT治理,从公司治理的高度对企业信息化作出制度安排
IT治理是一个相当新的概念,是从公司治理的高度,对企业信息化作出制度安排,制定与企业战略相融合的IT战略,并从战略投资、企业管理变革的角度,降低IT风险。IT治理的目标是帮助管理层建立以企业战略为导向,以外界环境为依据,以业务和IT相整合为中心的观念,正确定位IT部门在整个组织中的作用。最终能够针对不同业务发展要求,整合信息资源,制定并执行推动企业发展的IT战略。IT治理的主要任务是:保持IT与业务目标一致,推动业务发展,促使收益最大化,合理利用IT资源,适当管理IT相关风险。
(二)加强信息系统控制,实施信息系统审计
在企业信息化环境下,对信息系统的有效控制是企业开展正常的生产经营活动的前提和保障。有效的信息系统控制是技术与制度相结合的体系,决不仅仅是一个技术问题,不能仅由技术人员负责,而应当受到企业最高管理层的高度重视。
内部审计机构是信息系统控制最重要的执行者之一。内部审计机构在信息系统的开发、实施、维护和操作过程中应当进行严格的独立审查,并定期对信息系统加以检查,以保证信息系统的正确性、完整性和安全性。内部审计机构应当将发现的问题及时报告给企业管理当局,提高管理当局对信息系统控制的重视程度,帮助管理当局弥补信息系统控制中的缺陷。
有条件的企业还应当实施信息系统审计。信息系统审计是独立信息系统审计师,为了信息系统的安全、可靠与有效,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价,向被审计单位的最高管理当局,提出问题与建议的一系列活动。信息系统审计综合运用IT技术与审计理论和方法为信息系统的使用者提供合理的保证。
信息系统审计主要包括以下几个方面:(1)评价信息系统的管理、规划与组织方面的策略、政策、标准、程序和相关实务。(2)评价企业在信息系统技术基础设施与操作实务的管理和实施方面的有效性及效率,以确保其充分支持企业的商业目标。(3)对逻辑、环境与信息技术基础设施的安全性进行评价,确保其能支持企业保护信息资产的需要,防止信息资产在未经授权的情况下被使用、披露、修改、损坏或丢失。(4)评价灾难恢复与业务持续计划,这些计划保证在发生灾难时,能够使企业持续处理业务。(5)对应用系统的开发、获得、实施与维护方面所采用的方法和流程进行评价,以确保其满足企业的业务目标。(6)评估业务系统与处理流程,确保根据企业的业务目标对相应风险实施管理。
(三)实施业务流程重组
如果企业进行了一定程度的信息化,实施了蕴含先进管理思想的企业信息系统,但其业务流程仍然保持手工环境下的状态,必然造成信息系统与业务流程之间存在许多冲突,从而使企业生产经营管理出现低效率,而且会形成内部控制的弱点和许多问题。因此,企业信息化过程中实施业务流程重组具有十分重要的意义。业务流程重组(BPR,Business Process Reengineering)的概念最早由著名管理学家Michael Hammer提出。他认为,“业务流程重组是从根本上重新考虑并彻底重建企业的业务流程,其目的是在成本、质量、服务和速度等方面取得显著的改善,使企业能最大限度地适应以顾客、竞争、变化为特征的现代企业经营环境”。
(四)加强人力资源管理
任何企业的核心均是企业中的人及其活动。人力资源管理是合理配置和开发企业的人力资源,以实现企业目标的管理活动。在信息化环境下,企业加强内部控制的一个重要方面就是加强对人力资源的管理。对于内部控制而言,人力资源管理的目标主要是保证和提高员工的素质和品行。信息化环境对员工的素质提出了更高的要求,员工不但要熟悉更多的业务流程,而且还要熟悉信息系统的操作方法。另一方面,由于信息系统的程序设计员、系统管理员等人员对信息系统具有巨大潜在破坏力,要求这些人员具有更高的道德品质。企业应该通过完善的人力资源管理来保证员工尤其是与信息技术相关的人员的素质和品行,对他们进行合理且有效地管理,建立良好的绩效评价机制、激励机制以及约束机制,使拥有知识的人获得合理的报酬,实现知识创造财富,留住了解重要信息资源的人才,防止人才流失以及相应的信息资源损失。
企业信息化给企业的内部控制提出了新的挑战。信息技术对内部控制产生了哪些影响?内部控制应该如何改变才能适应变化?企业应该如何加强信息化环境下的内部控制?这些正是本文拟探讨的问题。
一、内部控制及其构成要素
目前,对内部控制较为权威的定义是美国COSO委员会提出的内部控制整体框架概念。COSO委员会于1992年提出报告《内部控制-整体框架》,并于1994年进行了增补。COSO委员会认为,内部控制是由企业董事会、经理阶层和其他员工实施的,为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。其构成要素应该来源于管理阶层经营企业的方式,并与管理的过程相结合。具体包括五要素:(1)控制环境。控制环境是指对建立、加强或削弱特定政策、程序及其效率产生影响的各种因素。控制环境塑造企业文化,影响企业内部各成员的控制意识、企业内部控制的贯彻和执行以及企业经营目标和整体战略目标的实现。控制环境的构成因素是多方面的。(2)风险评估。当今世界市场竞争日趋激烈,企业经营风险不断增加,企业的内部控制必须从企业风险的分析入手,了解自身所面临的风险,并适时加以处理。(3)控制活动。控制活动是确保管理阶层的指令得以实现的政策和程序。传统的控制活动主要包括:交易授权、职责分离、监管、业务记录、接触控制和独立稽核。(4)信息和沟通。企业必须保证企业内部的员工能够取得他们在执行、管理和控制企业经营过程中所需的信息,使员工顺利履行其职责。(5)监督。整个内部控制的过程必须施以恰当的监督,通过监督活动在必要时对其加以修正。内部审计和对控制的自我评估是最重要的两项监督。
二、企业信息化对内部控制的影响
(一)企业信息化如何影响内部控制(how)?
为了分析企业信息化对内部控制造成了什么影响,我们必须先分析企业信息化改变了企业哪些方面,从而对内部控制产生影响,即企业信息化是如何影响内部控制的。
1.信息技术在企业中的应用提高了企业的业务流程的自动化程度,业务流程中的一些环节被省略或合并。而且随着电子商务的发展,企业间交易的自动化程度也将得到提高。内部控制的具体实施是根据业务流程的各个环节以及交易方式来进行的,因此,业务流程的自动化不可避免地对内部控制的各个要素以及控制理念等产生不同程度的影响。
2.企业信息化改变了数据和信息的获取方式。传统方式下,原始数据的获取靠的是企业员工肉眼观察、手工计数或使用仪器测量。在信息化条件下,可以利用传感设备全自动地获取所需的数据或信息。例如:用装有重量感应装置的货架自动测量存货数量、用自动监控装置代替值班人员等等。利用自动传感设备具有高度自动化、准确性高、24小时不间断、数据实时获取、不受恶劣环境影响等优点,为企业实施更有效的内部控制提供了基础。
3.企业信息化改变了信息存储的方式,存储介质由纸变为磁盘或光盘。与纸介质相比,磁介质或光介质具有存储密度大、擦写不留痕迹的特点,对内部控制的影响是双方面的。存储密度大使得企业可以集中保存数据和信息资源,便于对其加以保护,但一旦毁损或被盗将使企业遭受更大的损失。擦写不留痕迹使得数据被篡改的可能性增大,需要加强内部控制。
4.企业信息化提高了信息处理的效率。在信息化环境下,借助计算机的高速处理能力,能够使得信息处理的速度大为加快,效率大为提高。然而,这对内部控制的影响也是双方面的。一方面,信息处理效率的提高有利于企业实施更复杂更有效的控制措施和控制方法,提高内部控制的效果和效率。另一方面,借助高速的信息处理能力,企业员工或管理当局造假的能力也能得到提高,例如:利用随机数产生程序伪造应收款项或存货的金额、利用报表编制程序快速编制多份虚假财务报表等等。这又要求企业加强内部控制。
5.企业信息化改变了信息的传递方式。信息化环境下的信息传递,改变了手工环境下的传票、报告、电话等方式,利用电缆、光缆、无线电波等以光速传递信息,而且传递的信息量远非传统方式可比,为企业加强内部控制提供了基础。但如果信息传递过程中受到了阻碍或破坏,也将给企业带来更大的损失。
6.企业信息化提高了信息的集成性。在完善的企业信息系统的支持下,企业领导足不出户,就能够在电脑屏幕前对遍布世界的跨国公司了如指掌。轻点几下鼠标就能成交生意、调动资金、指挥员工。企业信息系统为企业加强内部控制提供了基础,同时也对企业的内部控制提出了更高的要求。
7.企业信息化提高了信息的价值。在信息时代,人们对信息资源的利用能力得到提高。人们已经认识到企业的数据和信息资源,是企业最宝贵的资产之一。而信息是无形的,与有形的资产相比,对信息的窃取更隐蔽,更不易被发现。这要求内部控制不但要保护有形资产,更要对企业的数据和信息资产加以保护。同时应当针对信息的特点,采用有效的保护措施。
8.企业信息化将对人造成一定的影响。在信息化环境下,人们可能越来越多地通过计算机网络进行联系和沟通,人与人之间的直接接触将有所减少。网络世界的无形性和匿名性将对人的心理造成一定的影响,从而影响控制环境。
(二)企业信息化对内部控制造成了什么影响(what)?
1.企业信息化不影响内部控制的目标
设定目标是任何一个人造系统的首要环节。内部控制的目标决定了内部控制的要素、手段及其他组成部分。虽然它不是内部控制的组成要素,但却是内部控制的先决条件,也是促成内部控制的要件。企业信息化虽然对企业产生了深远的影响,但是并没有改变企业经营管理的目标。因此,内部控制作为企业管理的一个组成部分,其总体目标也没有改变,仍然是达到营运的效率和效果、财务报告的可靠性以及遵循相关法令。当然,各项具体的控制活动和控制措施中的子目标应该根据具体的情况有所变化。
2.企业信息化对内部控制五要素的影响
(1)对控制环境的影响
控制环境的构成因素是多方面的,主要包括:企业的治理机制、组织结构与权责分派体系、企业管理者的素质、品行与管理哲学、企业文化、信息系统、人力资源政策及实务等等。企业信息化将影响企业的治理机制。通过完善的企业信息系统,董事会、监事会可以更及时更全面的了解企业的全面信息,因而可以更好地进行战略制定、经理人员选择和绩效评价、企业运营情况监控等等,对企业进行更好的治理。小股东可以以较低的成本通过网络在线参加股东大会,而不必因为路途遥远等原因放弃自己的权利,可以更好地维护自身的利益。信息化将使企业组织结构趋向扁平化,管理层次减少。
信息化对企业管理者的素质提出了更高的要求。企业所面临的商务环境竞争加剧、变化加速,管理者所能获得的信息量倍增,信息技术和信息系统在企业中的作用日益重要,这些都要求管理者不但要有更强的把握信息、利用信息的能力,在运营管理企业中利用好信息资源,而且要有对信息、信息技术和信息系统重要性和风险的认识和理解,制定良好的IT战略和IT规划。
在网络环境下,人与人之间的直接接触将有所减少。网络世界的无形性和匿名性将对人的心理造成一定的影响,使部分人误以为借助网络为非作歹不容易被抓住,从而可能降低犯罪的心理阀值。信息资产价值的提高可能诱使掌握它的管理人员将其买给竞争对手的犯罪行为,而由于信息的无形性、可拷贝性,信息的泄密不易被发现。再者网络的远程接入性也给犯罪分子提供了方便,他们只要获得一个登录密码就可能通过网络侵入系统,窃取企业重要的信息资产,或是使信息系统崩溃,而不必像盗窃有形资产那样需要翻墙入室、避开警卫等麻烦之举。这些均对管理人员的品行和道德水平提出了更高的要求。同时也需要企业加强对信息资产、信息技术和信息系统的内部控制,通过良好的管理手段和技术手段降低风险。
(2)对风险评估的影响
在企业信息化环境下,业务流程的自动化降低了业务处理过程中源于人员疏漏或舞弊的风险。但另一方面,企业的运营管理越来越依赖于信息系统,信息在企业中的作用日趋重要,信息化环境促使信息存储高度集中、单位时间传递的信息量大为提高,这些都增加了与信息资产和信息系统相关的风险。信息化环境下,如果信息系统失灵或崩溃,重要信息被窃,都将给企业带来不可估量的损失。因此,企业应当作好有关信息资产和信息系统方面的风险评估,建立良好的IT治理机制,减少灾难的发生以及灾难发生时的损失。
(3)对控制活动的影响
控制活动必须根据企业业务流程的情况和具体的控制点进行设置,因此,控制活动受到企业信息化的直接影响。信息化环境下的控制活动分为两部分:自动化业务控制和信息系统控制。自动化业务控制的控制对象仍然是企业的生产经营过程,但其形式和控制手段发生了很大变化。它以计算机程序的形式嵌入于企业信息系统之中,对业务的控制由计算机自动完成。信息系统控制是企业为了保证信息系统正确性、完整性和安全性而采取的控制措施,其控制对象是企业信息系统,包括计算机软硬件资源、应用系统、数据和相关人员等等信息系统的所有组成要素。随着网络技术和电子商务的发展,信息系统控制还必须考虑网络安全和电子商务控制的问题。自动化业务控制和信息系统控制对控制活动有着不同要求,使得传统的六类控制活动都有一定的变化。
信息化环境下的交易授权可以由计算机程序自动完成,使得授权过程不明显,控制的失效往往在发生损失后才被察觉。因此,管理者对交易授权的关注应该转移到对相关计算机程序的正确性和完整性的检查上。
在信息化环境下,计算机能够避免人类通常会犯的错误或舞弊,手工环境下的一些不相容的职责可以由计算机来执行,所以职责分离和员工的相互检查成为不必要的控制活动。同样,也没有必要针对自动业务流程进行监管和独立稽核。然而,对于信息系统的开发、实施、维护和操作等活动,职责分离、监管以及独立稽核仍然是重要的控制措施。
在信息化环境下,业务记录不再是书面的签章、编码、交叉索引等,而是通过登录密码、操作日志等技术手段进行业务记录,其有效性受信息系统的正确性、完整性和安全性的影响。
在信息化环境下,对计算机硬件设备的接触控制与传统方式下并无太大的区别,主要通过实物防护措施来进行。但对于信息资产的接触控制,由于网络的远程接入性,应当通过防火墙、操作员权限设置、登录密码安全策略、信息系统审计等等技术手段和管理措施加以实现。
(4)对信息和沟通的影响
企业信息化对内部控制的信息和沟通这一要素产生了有利的影响。在完善的企业信息系统的支持下,企业员工能够更好地取得他们在执行、管理和控制企业经营过程中所需的信息,使员工顺利履行其职责。当然,也要警惕信息技术可能带来的信息过量的问题,以及借助高速信息处理能力造假的问题。
(5)对监督的影响
借助信息技术,可以使一部分的监督过程自动完成,并且可能实现实时监督,从而提高监督的效果和效率。应当注意的是,对信息系统的开发、实施和维护过程所进行的监督应当成为监督的重点。同时,“控制自我评估(CSA,Control Self Appraisal)”仍然是很有益的作法。CSA是企业不定期或定期地对自己的内部控制系统进行评估,评估内部控制的有效性及其实施的效率效果,以期能更好地达成内部控制的目标。CSA有助于提高组织内部控制的自我意识,帮助人们了解哪里存有缺陷以及可能引至的后果,然后采取行动改进这种状况,对于一个企业加强管理、提高劳动生产率、改进内部审计程序和业务经营程序以及控制风险等都有着积极的作用。
三、企业信息化环境下加强内部控制的对策
(一)实施IT治理,从公司治理的高度对企业信息化作出制度安排
IT治理是一个相当新的概念,是从公司治理的高度,对企业信息化作出制度安排,制定与企业战略相融合的IT战略,并从战略投资、企业管理变革的角度,降低IT风险。IT治理的目标是帮助管理层建立以企业战略为导向,以外界环境为依据,以业务和IT相整合为中心的观念,正确定位IT部门在整个组织中的作用。最终能够针对不同业务发展要求,整合信息资源,制定并执行推动企业发展的IT战略。IT治理的主要任务是:保持IT与业务目标一致,推动业务发展,促使收益最大化,合理利用IT资源,适当管理IT相关风险。
(二)加强信息系统控制,实施信息系统审计
在企业信息化环境下,对信息系统的有效控制是企业开展正常的生产经营活动的前提和保障。有效的信息系统控制是技术与制度相结合的体系,决不仅仅是一个技术问题,不能仅由技术人员负责,而应当受到企业最高管理层的高度重视。
内部审计机构是信息系统控制最重要的执行者之一。内部审计机构在信息系统的开发、实施、维护和操作过程中应当进行严格的独立审查,并定期对信息系统加以检查,以保证信息系统的正确性、完整性和安全性。内部审计机构应当将发现的问题及时报告给企业管理当局,提高管理当局对信息系统控制的重视程度,帮助管理当局弥补信息系统控制中的缺陷。
有条件的企业还应当实施信息系统审计。信息系统审计是独立信息系统审计师,为了信息系统的安全、可靠与有效,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价,向被审计单位的最高管理当局,提出问题与建议的一系列活动。信息系统审计综合运用IT技术与审计理论和方法为信息系统的使用者提供合理的保证。
信息系统审计主要包括以下几个方面:(1)评价信息系统的管理、规划与组织方面的策略、政策、标准、程序和相关实务。(2)评价企业在信息系统技术基础设施与操作实务的管理和实施方面的有效性及效率,以确保其充分支持企业的商业目标。(3)对逻辑、环境与信息技术基础设施的安全性进行评价,确保其能支持企业保护信息资产的需要,防止信息资产在未经授权的情况下被使用、披露、修改、损坏或丢失。(4)评价灾难恢复与业务持续计划,这些计划保证在发生灾难时,能够使企业持续处理业务。(5)对应用系统的开发、获得、实施与维护方面所采用的方法和流程进行评价,以确保其满足企业的业务目标。(6)评估业务系统与处理流程,确保根据企业的业务目标对相应风险实施管理。
(三)实施业务流程重组
如果企业进行了一定程度的信息化,实施了蕴含先进管理思想的企业信息系统,但其业务流程仍然保持手工环境下的状态,必然造成信息系统与业务流程之间存在许多冲突,从而使企业生产经营管理出现低效率,而且会形成内部控制的弱点和许多问题。因此,企业信息化过程中实施业务流程重组具有十分重要的意义。业务流程重组(BPR,Business Process Reengineering)的概念最早由著名管理学家Michael Hammer提出。他认为,“业务流程重组是从根本上重新考虑并彻底重建企业的业务流程,其目的是在成本、质量、服务和速度等方面取得显著的改善,使企业能最大限度地适应以顾客、竞争、变化为特征的现代企业经营环境”。
(四)加强人力资源管理
任何企业的核心均是企业中的人及其活动。人力资源管理是合理配置和开发企业的人力资源,以实现企业目标的管理活动。在信息化环境下,企业加强内部控制的一个重要方面就是加强对人力资源的管理。对于内部控制而言,人力资源管理的目标主要是保证和提高员工的素质和品行。信息化环境对员工的素质提出了更高的要求,员工不但要熟悉更多的业务流程,而且还要熟悉信息系统的操作方法。另一方面,由于信息系统的程序设计员、系统管理员等人员对信息系统具有巨大潜在破坏力,要求这些人员具有更高的道德品质。企业应该通过完善的人力资源管理来保证员工尤其是与信息技术相关的人员的素质和品行,对他们进行合理且有效地管理,建立良好的绩效评价机制、激励机制以及约束机制,使拥有知识的人获得合理的报酬,实现知识创造财富,留住了解重要信息资源的人才,防止人才流失以及相应的信息资源损失。