浅析信息化环境下的内部控制(doc-10页).doc

浅析信息化环境下的内部控制 友新街道内审组 当今时代，信息技术的应用渗透到了国民经济和社会发展的各个领域，会计工作经历了从手工会计到电算化会计的发展过程，财务软件、网络等在会计工作中得到广泛运用，如：远程报账、远程报表、网上支付、网上银行、网上保税、电子开票等等。信息化极大提高了会计工作的效率和准确性，但同时，黑客、病毒、系统不稳定等也使得信息化环境下的会计资料更易发生篡改、泄露、丢失等灾难。在信息化环境下，内部控制的作用不是削弱而是加强了，严格的内部控制有助于防止违法行为的发生。与传统的内部控制相比，信息化环境下的内部控制由单纯的对人控制转化为对人、计算机和互联网的控制，其中面临许多新的挑战。 一、内部控制 内部控制是企业为了保证业务活动的有效进行，保护资产的安全和完整，防止、发现、纠正错误与舞弊，保证会计资料的真实、合法、完整而制订和实施的政策与程序。内部控制的控制对象是交易或事项，控制内容是风险，基本措施是限制、牵制和管制。在《内部控制——整体框架》中，COSO 委员会认为内部控制具体包括五个要素： （1）控制环境（controlenvironment） 控制环境构成一个单位的控制氛围，控制环境的好坏直接决定了企业其他控制能否实施或实施的后果。 （2）风险评估（risk appraisal） 风险评估是对与经营活动相关的风险进行预见、识别的过程，是提高内部控制效率和效果的关键。 （3）控制活动（controlactivity） 控制活动是指管理者在既定控制环境下，通过风险评估确定内部控制的关键点后，针对这些关键点所制定并实行的各种政策和程序。 （4）信息和沟通（information and communication） 围绕在控制活动周围的是信息与沟通系统。该系统使企业内部的员工能够取得他们在执行、管理和控制企业经营过程中所需的信息，并交换这些信息。 （5）监督（monitoring） 监督是对内部控制的整体框架及其运行情况的跟踪、监测和调节，以自始至终确保其有效性。 信息化环境下内部控制的目标虽然不是内部控制的组成要素，但却是内部控制的先决条件，内部控制的目标决定了内部控制的要素、手段以及其他组成部分。信息化对内部控制的五要素产生了影响，但是并没有改变企业经营管理的目标，因此也没有改变作为管理组成部分的内部控制目标。信息技术环境下内部控制的总体目标仍然是确保法规的贯彻,保护单位资产的安全和完整,提高单位经营管理水平，促进会计信息质量的提高。 二、信息化对内部控制五要素的影响 （1）对控制环境的影响 信息化提高治理机制的效率。通过计算机网络等先进设备，管理者可以更及时更全面的了解企业的信息，可以更快速更有效的传递信息，因而可以更好地进行战略决策、制定经营方案、监控运营情况等等，对企业进行更好的治理。小股东可以以较低的成本通过网络在线参加股东大会，而不必因为路途遥远等原因放弃自己的权利，可以更好地维护自身的利益。 信息化将使企业组织结构趋向扁平化。计算机信息处理技术使原先多人分工协作才能完成的工作只需一个人就可以完成，大量的人工控制被信息系统的自动控制所取代。这种变化压缩了原来的多层级内部控制，使岗位更加精简，责任更加明确，效率更加提高。 信息化对管理者的素质提出更高的要求。信息化环境下，信息传递速度加快，信息量加大，决策者每天面对变化迅速的大量信息，对其信息处理能力提出了更高要求。这不仅是对管理者运用计算机能力的挑战，更是对管理者分析能力、决策能力的挑战。而且，由于信息的公开性和流通性，企业间的信息竞争更为激烈，能否快速准确的对有效信息做出反应，成为影响企业发展的重要因素。此外，信息的无形性、匿名性等特点使信息化环境下更容易引发隐蔽性财务犯罪，这对管理人员的品行和道德水平提出了更高的要求。 （2）对风险评估的影响 信息化增加企业风险。在信息化环境下，业务流程的自动化降低了业务处理过程中源于人员疏漏或舞弊的风险。但另一方面，由于信息输入方式和存储介质的改变，信息更易发生被窃、被删、被改、被泄漏等情况，非人为的系统错误也成为令人头疼的难题，网络的运用进一步加剧这些问题，而信息存储的高密集性又使这些灾难一旦发生就是毁灭性的。鉴于企业对信息系统的依赖性日益加强，企业财务蕴含的风险越大越大。因此，企业应当作好有关信息资产和信息系统方面的风险评估，建立良好的IT治理机制，减少灾难的发生以及灾难发生时的损失。 （3）对控制活动的影响 控制活动必须根据企业业务流程的情况和具体的控制点进行设置，因此，控制活动受到企业信息化的直接影响。信息化环境下的控制活动分为两部分：自动化业务控制和信息系统控制。自动化业务控制的控制对象仍然是企业的生产经营过程，但其形式和控制手段发生了很大变化。它以计算机程序的形式嵌入于企业信息系统之中，对业务的控制由计算机自动完成。信息系统控制是企业为了保证信息系统正确性、完整性和安全性而采取的控制措施，其控制对象是企业信息系统，包括计算机软硬件资源、应用系统、数据和相关人员等等信息系统的所有组成要素。随着网络技术和电子商务的发展，信息系统控制还必须考虑网络安全和电子商务控制的问题。自动化业务控制和信息系统控制对控制活动有着不同要求，使得传统的六类控制活动都有一定的变化。 手工会计中每一项经济业务的每个环节都要经过具有相应权限人员的签章。信息化环境下，业务人员可利用特殊的授权文件或口令，获得某种权利或运行特定程序进行业务处理，这使得授权过程不明显，审查、复核等人工控制被削弱甚至消失。传统签名的模仿相对比较困难，而且只是针对一笔或几笔业务，计算机口令的失窃造成的损失则更为巨大且难以察觉。因此，管理者对交易授权的关注应该转移到对相关计算机口令的保密和计算机程序正确性的检查上。 在信息化环境下，一些人为的计算错误等可以得到避免，手工环境下的一些不相容的职责可以由计算机来执行，所以职责分离和员工的相互检查成为不必要的控制活动。同样，也没有必要针对自动业务流程进行监管和独立稽核。然而，由于计算机信息系统的引入，需要新增计算机病毒防治、计算机操作管理、系统管理、系统维护等岗位，对于信息系统的开发、实施、维护和操作等活动，职责分离、监管以及独立稽核仍然是重要的控制措施。 在信息化环境下，业务记录不再是书面纸制的签章、编码、交叉索引等，而是通过登录密码、电子文档等技术手段进行业务记录，记录的数据不具有传统凭证的直视性，且容易被不留痕迹的修改，容易产生伪造或修改凭证、制造虚假交易，进而侵吞公款等违法乱纪行为。信息化环境下的业务记录更容易受信息系统的正确性、完整性和安全性的影响，如何防治历史数据被修改也是个非常重要的问题。 　　在信息化环境下，对计算机硬件设备的接触控制与传统方式下并无太大的区别，主要通过实物防护措施来进行。但对于信息资产的接触控制，由于网络的远程接入性，应当通过防火墙、操作员权限设置、登录密码安全策略、信息系统审计等等技术手段和管理措施加以实现。 （4）对信息和沟通的影响 信息化对内部控制的信息和沟通这一要素产生了有利的影响，在完善的信息系统支持下，管理人员、员工都能够更好地取得他们在执行、管理和控制企业经营过程中所需的信息，使员工顺利履行其职责。当然，也要警惕信息技术可能带来的信息过量的问题，以及借助高速信息处理能力造假的问题。 （5）对监督的影响 借助信息技术，可以使一部分的监督过程自动完成，并且可能实现实时监督，从而提高监督的效果和效率。应当注意的是，对信息系统的开发、实施和维护过程所进行的监督应当成为监督的重点。同时，“控制自我评估（CSA，Control Self Appraisal）”仍然是很有益的作法。CSA是企业不定期或定期地对自己的内部控制系统进行评估，评估内部控制的有效性及其实施的效率效果，以期能更好地达成内部控制的目标。CSA有助于提高组织内部控制的自我意识，帮助人们了解哪里存有缺陷以及可能引至的后果，然后采取行动改进这种状况，对于一个企业加强管理、提高劳动生产率、改进内部审计程序和业务经营程序以及控制风险等都有着积极的作用。 三、信息化环境下加强内部控制的对策 （一）建立和完善会计信息化的管理制度 制度依据有关法律、法规而制定，具有强制性和约束力，一经颁布，有关人员必须遵守，若有违反，则要受到相应的处罚。合理、科学、可操作的制度使各项工作有章可循，制度能从整体上提高办事质量和效率，也是加强内部控制的一个重要手段。在信息化环境下，需要建立和完善以下几方面的管理制度： (1)岗位责任制。确定各种岗位人员的职责范围及其考核办法。(2)安全保密制度。制定口令密码的使用和管理办法,机房、保卫、数据资料安全等方面应遵循的制度。(3)机器操作管理制度。规定应遵守的机器操作过程和应注意事项。(4)数据管理制度。规定输入、输出、存储、查询、使用数据应遵守的制度。(5)会计档案管理制度。及时做好数据的备份和保管，重新规定会计档案的范围、保管办法以及领用手续。(6)系统维护管理制度。规定系统维护的申请、审批和应完成的任务，等等。 （二）加强信息系统控制，实施信息系统审计 信息化环境下，信息系统的有效控制是会计工作得以正常开展的前提和保障，系统故障造成的后果是毁灭性的。必须对信息系统的开发、实施、维护和操作过程进行严格的独立审查，并定期对信息系统加以检查维护，排除可能的系统隐患，以保证信息系统的正确性、完整性和安全性。主要包括以下几个方面：（1）以会计资料定期进行审计，电算化会计账务处理是否正确，是否遵照《会计法》及有关法律、法规的规定，审核费用签字是否符合有关内控制度，凭证附件是否规范完整等；（2）审查电子数据与书面资料的一致性，如查看账册内容，做到账表相符，对不妥或错误的账表应及时调整；（3）监督数据保存方式的安全、合法性，防止发生非法修改历史数据的现象；（4）对系统运行各环节进行审查，防止存在漏洞。内部审计机构应当将发现的问题及时报告给管理当局，提高管理当局对信息系统控制的重视程度，帮助管理当局及时弥补信息系统控制中的缺陷。 有条件的企业还应当实施信息系统审计。信息系统审计是独立信息系统审计师，为了信息系统的安全、可靠与有效，以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价，向被审计单位的最高管理当局，提出问题与建议的一系列活动。信息系统审计综合运用IT技术与审计理论和方法为信息系统的使用者提供合理的保证。主要包括以下几个方面：（1）评价信息系统的管理、规划与组织方面的策略、政策、标准、程序和相关实务。（2）评价企业在信息系统技术基础设施与操作实务的管理和实施方面的有效性及效率，以确保其充分支持企业的商业目标。（3）对逻辑、环境与信息技术基础设施的安全性进行评价，确保其能支持企业保护信息资产的需要，防止信息资产在未经授权的情况下被使用、披露、修改、损坏或丢失。（4）评价灾难恢复与业务持续计划，这些计划保证在发生灾难时，能够使企业持续处理业务。（5）对应用系统的开发、获得、实施与维护方面所采用的方法和流程进行评价，以确保其满足企业的业务目标。（6）评估业务系统与处理流程，确保根据企业的业务目标对相应风险实施管理。 （三）加强会计信息化系统的组织控制 组织与管理控制是指通过部门的设置、人员的分工、岗位职责的制定、权限的划分等形式进行的控制，其基本目标是建立恰当的组织机构和职责分工制度，以达到相互牵制、相互制约、防止或减少舞弊发生的目的。要建立有效的内部会计控制,使系统中的有关人员正确、有效地履行自己的职责,必须贯彻五分离原则:(1)授权批准职务与执行业务职务相分离;(2)业务经办职务与审核监督职务相分离;(3)业务经办职务与会计记录职务相分离;(4)财产保管职务与会计记录职务相分离;(5)业务经办职务与财产保管职务相分离。 （四）加强会计信息化系统的内部审计 内部审计是内部控制的一个重要形式,是对其他内部控制的再控制,信息化环境下的内部审计依然是内部控制最有效的手段之一。通过内部审计,可以发现各种控制手段的弊端,找出进一步改进的措施。在信息系统运行的各个环节,都应有内审人员参与,定期检查和测试会计信息化系统的工作情况,参与制定和监督执行相关管理制度。同时，内部审计部门也要充分利用信息化工具，利用新的审计理论、审计技术、审计方法和审计模式，与时俱进提高内审工作的效率与效果。 （五）加强对会计人员的培训　 信息化环境下，会计工作的技术含量更高，从计算机操作到软件应用，从数据录入到财务分析，从网络安全到财务法律法规，这些对会计人员的业务知识提出了新的要求，而且信息化环境下会计工作知识日新月异。针对这些情况，企业必须为会计人员提供更多更全面的培训和学习机会，才能使财务工作更加高效、安全。此外，信息化环境下发生“内盗”、“内外勾结”的情况更加容易，在加强会计人员业务水平培训的同时，必须进一步提高其职业道德素质，并可通过良好的绩效考评、激励和惩戒机制来约束员工的行为。 二○○七年七月二十三日