浅谈内部控制在企业管理信息化中的应用

信息化条件下企业内部控制的创新

(一)实施业务流程重组,使业务流程与信息流程相协调。

信息技术使企业业务流程与信息流程融合在一起,如果企业的业务流程仍然保持手工环境下的状态,必然造成信息系统与业务流程之间存在许多冲突,从而使企业生产经营管理出现低效率,而且会形成内部控制的弱点,产生许多问题。因此,要提高企业内部控制的效果,首先必须从根本上重新考虑并彻底重建企业的业务流程,使企业能最大限度地适应以顾客、竞争、变化为特征的现代企业经营环境。业务流程控制与信息流程控制成为企业内部控制系统设计的重要内容。在企业流程控制中,企业业务流程必须与信息流程相协调,并针对组织内部控制目标的要求,对业务流程和信息流程的各类风险进行评估,确定风险重要程度。依据风险的重要程度确定业务流程与信息流程的关键控制点,建立控制模型,设定控制参数与控制程序,并将其嵌入到信息系统中,形成人机结合、业务活动与信息处理集合的内部控制系统,这样在企业经营过程中,信息系统就能动态跟踪业务活动的信息,自动监控这些活动所产生的数据是否在控制范围内,预测发展趋势,实时输出预警信号。组织成员也能依据这些作业点的反馈信号及时制定正确决策,有效控制企业的经营活动过程。

(二)强化风险意识,建立新型的风险控制体系。

在信息化条件下,任何信息系统失灵导致重要信息的遗失或泄漏,都将给企业造成不可估量的损失。这就要求企业强化风险意识,注意识别新环境下的新风险。同时还要建立相应的风险控制机制,做到有备无患。首先,应建立风险评估的信号和指标体系,针对可能出现的技术风险和管理风险等,建立起一套风险预警指标,这就相当于给信息系统安装了风险警报系统,可以及时发现和评价所出现的风险;其次,应健全风险控制的运行体系。收到预警信号后应及时采取措施,以防风险的发生。这是计算机信息系统运行的“防火墙”;再次,应该建立风险处理的快速反应部门,目的是帮助企业能迅速地对事故及故障做出反应,将事故及故障造成的损害降到最小,并通过对已发事件进行分析来防范此类事件再次发生,达到进一步防范风险的作用。

(三)监控与操作分离,强化系统内部的相互牵制。

职责分离是内部控制的一个重要组成部分。为了强化系统的内部控制,可以在系统内分设操作与监控两个岗位,对每一笔业务同时进行多方备份。一旦主管部门或审计人员对某些数据产生怀疑时,可以利用监控人员备份的原始记录进行分析调查、辩明真伪。系统分析、程序设计、计算机操作、数据输入、文件程序管理等职务应予以分离,系统操作人员、管理人员和维护人员这三种不相容职务相互分离,互不兼任。信息系统各岗位要明确职责分工,并对各类人员制定岗位责任制度,各岗位都要得到一定的授权,并用密码控制。对操作密码要严格管理,指定专人定期更换操作员的密码。通过设立一种相互稽核、相互监督和相互制约的机制来保障信息的真实可靠,减少发生错误和舞弊的可能性。

企业的内部控制是否健全有效，特别是对会计核算有何影响，需要在持续的控制之后，对此做出评价。在实际工作中，由于各种原因，在评价内部控制时，往往注重对业务处理控制的了解、测试和评价，忽视了对信息系统控制是否有效执行、是否健全的审查，从而导致由于信息系统控制的漏洞而有意无意地改变了信息系统中有关数据，这样就无法保障后续会计处理的会计信息的质量。企业不仅要建立信息系统控制，还必须对所建立的各项控制进行测试和评价，特别是要对会计信息系统控制是否健全、有效做出评价，以便及时发现问题，及时纠正。对会计信息系统及相关业务系统的控制测试包括控制设计测试和控制执行测试两个方面。控制设计测试是确定会计信息系统的控制设计是否合理、适当，也就是对会计信息系统控制的健全性进行测试。控制执行测试是确定现行会计信息系统控制是否存在并发挥作用，也就是对会计信息系统控制的有效性进行测试。由于信息系统控制既包括人工控制，又包括计算机程序控制，因此单纯依靠传统的控制测试方法是无法完成该项工作的，还必须采用计算机辅助审计技术，才能对信息系统控制进行全面测试。在实际工作中，应针对不同的控制形式，选择相应的控制测试技术。

在对会计信息系统控制进行测试之后，要对各项控制是否健全、有效做出评价。针对识别出的控制薄弱环节，进行深入研究与分析，提出完善会计信息系统控制的建议，及时改进。对于信息系统控制制度方面的问题，要从根本上解决。

(四)加强人力资源管理,保证员工业务素质和道德素养。

完善的管理控制系统必须和人融合在一起。在企业的管理活动中，人力是最主动、最关键的因素。要搞好一个企业，提高劳动生产率，增加经济效益，最重要的是调动人的积极性，进行人力资源的开发。人的资源潜力是很大的。有调查指出，职工每天只需发挥20%～30%的能力用于工作就能基本完成任务。如果能充分调动职工的积极性，他们的潜力可以发挥到80%～90%。另外，随着科学技术的进步，脑力劳动逐渐成为主要劳动形式，这更需要调动职工的积极性、主动性和创造性。我国企业必须根据企业管理信息化程度的不同，加强对员工的专业培训，以适应信息化管理岗位的新要求，形成良好的人力资源结构。引入竞争机制，根据市场竞争、优胜劣汰的原则，形成任人唯贤的用人机制，为企业的发展和壮大配置合格的人才。其次，管理者的素质在企业经营管理中起着非常重要的作用，管理者的素质不同，对企业发展产生的影响也不相同，进而影响到企业内部控制的效率和效果。企业管理者的素质不仅仅指知识与技能，还包括道德观、价值观、世界观等各方面。企业承受营业风险的种类、整个企业的管理方式、企业管理阶层对法规的反应、对企业财务的重视程度以及对人力资源的政策及看法等，都深深地影响着内部控制的成效。

在信息化条件下,加强人力资源的管理,是企业完善内部控制的基础。企业实施信息化后,对员工业务素质和道德素养提出了更高的要求。员工不但要熟悉更多的业务流程,而且还要熟悉信息系统的操作方法。因而人力资源管理的目标主要是通过相应的人事政策激励员工和制定良好的培训政策等提高员工的素质。同时,由于信息化条件下与信息资源相关的风险的存在,要求企业制定良好的绩效考评机制和激励约束机制。对员工进行道德素质教育,引导其形成良好、健康的心态,增强其组织归属感,信赖感;加大惩罚力度,如在职员发生偏离内部控制行为时,给予经济上的重罚,同时在内部媒体中进行披露;于严重的偏离行为还可以采取解聘、甚至寻求法律途径进行处罚,以防范内部人员的道德风险。

(五)建立安全管理控制制度,保证网络和信息系统的安全。

建章立制，强化企业内部制度，实行系统信息化管理以后，信息系统的正常、安全、有效运行的关键是操作使用。如果单位管理制度不健全或实施不力，都会给各种非法舞弊行为以可乘之机。因此，管理方式和对象的改变，也给内部控制下的制度赋予了新的内涵。应严格机构和人员的管理与控制，对各类人员制订岗位责任制度。应严格系统操作环境管理和控制系统。制订一套完整而严格的操作规定来控制操作程式。操作规程应明确职责、操作程式和注意事项。应建立健全档案管理制度。这就要求在技术上对企业信息系统包括通信平台、网络平台、操作系统平台、应用平台等在内的各个层次建立综合的多层次的安全控制体系。为了防范来自外部的非法访问,企业信息系统应建立访问控制措施,如防火墙技术、邮件系统控制、网上信息查询控制、漏洞扫描技术、入侵检测技术等;为了防止会计数据在通过公共网络传输过程中发生错误、丢失、泄密等事故,企业应采取数字签名技术和数据加密技术等,保证数据安全、完整;修改、删除数据时,随时留存操作日志,留下操作的痕迹以便日后检查;每次操作完成退出系统时,除进行数据备份等方法以外,为防止非法篡改,一些重要的数据库文件,可以定义为专用文件,采用专门技术定义为隐形文件,未经授权,难以动用;采取专门的管理制度,如专机专用,专室专用等措施,以保证数据的安全;高度重视计算机病毒的防范,通过服务器的网络杀毒软件进行实时监控、追踪病毒,同时可以挂接或捆绑防病毒软件,加强自身的防毒能力,对外来的软件和传输的数据必须经过病毒检查,及时升级防病毒软件。

综上所述，内部控制实质上是企业完善管理的内部问题，是企业运用控制理论，通过管理信息系统实现企业内部管理的合理性、经济性、效率性;加强企业在信息化环境下对会计工作的有效监管，维护资产和资源的安全和完整，提高经济效益的重要管理手段。我国的企业管理必须引入或加强内部控制，完善信息化环境下的内部控制制度，以增强企业的竞争能力和生存能力，保证企业可持续发展。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友