APP下载

信息环境下企业内部控制问题研究

2014-05-04董小婉

商业经济 2014年1期
关键词:信息环境企业内部控制问题与对策

董小婉

【摘要】信息技术的飞速发展影响着企业内部的控制环境,并对风险评估、控制活动、信息与沟通以及监督等内容产生了深远的影响。在信息化环境下,企业内部控制还面临着人员素质低下、管理观念落后、信息系统控制不完善、控制监督难度增大等新问题。有效加强企业内部控制,应加快健全网络安全管理,加强内部审计制度,完善组织和管理机制,提高工作人员素质,塑造企业文化,并进行全面的风险评估和处理,以遏制潜在风险的发生。

【关键词】信息环境;企业内部控制;问题与对策

【中图分类号】F830 【文献标识码】B

一、信息环境对企业内部控制的影响

(一)控制目标

企业内部控制目标,是内部控制运行方式和方向的指南,也是认识内部控制理论体系的出发点和落脚点。在信息化环境下,企业内部控制的目标仍然是战略目标,运营的成效和效率,经济有效的利用保护组织资源,以及报告的可靠性,遵守相应的法律法规。企业在设立控制目标时,要充分考虑组织的内部环境和外部环境,以实现控制目标设立的最优化。企业运营的的成效应该在原有目标基础上适当的扩大,也应该把精力放在技术革新,商誉,文化等无形资产上;因为所有的组织都是在一个有限的环境中运行,能否充分地利用现有的资源,是实现控制目标的关键因素,设立内部控制必须根据能否保证以最少的成本取得最优资源并且防止在生产中产生不必要的浪费。企业需建立有效的政策和程序来提高运行的经济性和效率,并建立严格的标准来对运行过程进行监督。报告的可靠性十分重要,但还应当保证信息的质量和时效等因素,还有非报告形式的披露也应该适当关注。信息环境下的法律法规更加完善,所以企业监督的方式和手段要同步,更要遵守法律法规。

(二)内部控制要素

1.控制环境

控制环境是组织结构的基础,决定了组织的发展。控制环境是企业内各种因素综合作用的结果,并且在不同程度的影响内部控制措施的实施效果。信息环境下的控制环境改变了企业原有的组织结构,让企业从封闭向开放转变,使企业的运营模式发生很大变化。与此同时,信息技术也深深地影响着企业文化,经营目标,管理者的管理方法和经营风格,企业实施的权责制方法和相关的人事政策,以及员工的道德价值观念和个人能力等。

2.风险评估

任何组织都会面临来自内部和外部的风险,所以各个组织都要进行风险评估,用来辨别、分析、处理风险,为达到各个组织风险最小化的目标。信息技术的不断深入,不但增加了信息系统方面的风险,而且也增加了企业管理中的风险。如企业运营操作对信息系统依赖程度的不断加深,一旦信息系统出现了运行故障,则会导致企业的经营不能连续有效的运行,因此产生不利后果。这就要求企业建立一套有效健全的机制来应对这些由经营环境变化,改造和更换新的信息系统,新的员工,新技术应用等发生的风险。

3.控制活动

控制活动是为了确保管理者的指令能够得到有效执行的程序。而控制活动需要根据该企业业务运行的过程和情况,以及各组织具体的控制点进行设置。在信息技术条件下,企业的核准,授权,验证,调节和复核营业绩效等控制活动,都必然会受到信息技术的影响。

4.信息与沟通

信息与沟通系统是指员工从管理层取得他们在企业经营过程中所需要的有效的信息,并且准确及时地传达这些信息。而信息技术的应用最显著的改变是信息的获取、交换、储存的方式。在拥有健全的信息系统下,企业能够准确及时的获取,传递,加工等需要的信息,有明确有序的从管理层到执行层信息沟通的方法,有与客户,供货商,有关政府部门以及董事会主要股东的沟通途径和方式。健全完善的信息系统改变了企业信息沟通方式,提高了信息沟通速度和质量,加大了信息数量,对企业的内部控制目标实现提供了有利保障。但是由于信息化的广泛应用,也会相继发生信息失真,数据错误,系统瘫痪等问题,对内部控制造成不利影响。

5.监督

监督是指长期评价企业内部控制质量,必要时还需要采取有效措施的一个连续的过程。信息环境下,企业监督方式发生了改变,监督的范围变得更广泛,监督方法更加多样化,实现了实时连续的监督。企业可以通过日常有效的监督活动,执行内部审计和外部审计相结合的方法进行有效的监督。但有时因为信息环境下监督经验有限,使监督的准确性,连续性受到影响。

二、信息环境下内部控制面临的新问题

信息技术在企业中的应用在改变着企业传统运营模式的同时也给企业带来业务流程和信息系统的风险。况且我国企业信息化的起步较晚,许多大中型企业信息化程度不高,内部控制制度不够完善,控制环境薄弱,以及控制经验不足,风险意识淡薄。内部控制不仅要关注企业有形资产的安全准确,更加要关注企业信息资源的安全。

(一)人员素质及管理观念的滞后性

信息系统的应用,不仅要求员工掌握专业的技能,还要熟练掌握信息系统的操作流程。因此企业的员工面临着信息系统知识的欠缺,传统手工处理下流程简单,直观性强,掌握要求有限。而在信息系统运行下,操作流程半自动化,需要员工对信息系统有宏观的把握,明确每个业务流程环节和控制点,才能实现员工的操作技能,以适应企业信息化的发展。目前,虽然很多会计软件和ERP系统已经进入企业的运营中,但是很多企业的管理观念仍然很滞后。很多管理者的管理方法还是来源于传统的处理模式。缺乏与信息化相接轨的先进的管理理念。还有一些企业的组织机构仍然还是分工不明确,很多制度没有实际的约束力。在信息化环境下,更要明确岗位分工,确保每个流程环节没有漏洞。因此,制度应该起到应有的效力,并与信息环境相适应。

(二)风险增加,信息系统控制不完善

信息系统在企业中不断深入发展,风险发生的概率和未知性也不断增加,既包括了信息系统本身的风险,也包括外部因素导致信息系统发生风险。企业的大部分重要信息资源都经过信息系统的存储,处理,一旦系统受到破坏,给企业带来致命的打击。新风险主要包括在生成,传递,存储,输出这几个关键环节发生。还有在信息环境下,系统操作人员,信息管理人员,系统维护人员,都有可能获得其权限以外的数据权限,可以擅自篡改程序,会造成程序异常甚至系统崩溃的危险。所以,信息技术人员的权限控制问题十分重要。除此之外,会计人员,管理人员也可能在没哟授权的情况下修改数据,或者凭空交易,这些企业人员都会给企业信息系统的安全带来潜在风险。

现行市场上的信息软件并不是都很安全完善,如果企业信息系统安装了不正规的软件,很可能会遭受木马和黑客的袭击,给企业带来巨大的损失。由于我国企业的信息化起步较晚,针对一些恶意破坏或者系统损坏等故障,缺乏有效的解决措施。

(三)企业工作量加大,控制监督难度增大

信息化在中小企业的应用,使企业生成了更多的信息资源,信息的真伪及其重要相关性需要管理者去辨别,而且维护信息也是大量的工作。信息化后,很多企业业务都是通过计算机完成,很难被完整的保留。这给审计工作带来了很大的难度。而且审计工作随着企业信息化,其本身也发生了漏洞风险,不利于审计人员发挥其监督职能。

三、加强内部控制的对策

(一)提高工作人员素质和塑造企业文化

内部控制系统正常有序的运行,不仅要保证系统本身的安全性,还应考虑到操作人员的工作能力和整体素质。能够胜任该项工作是操作人员的基本工作能力,而操作人员的素质是保证系统运行符合规定的必要条件。企业应该加强对员工素质和技能的培训,保证员工的工作态度端正可靠,使员工都是可以信赖的。而企业的管理层在信息化条件下依然起着重要作用。结合本企业的实际情况,深度剖析本企业内部控制的优势和缺陷,并不断吸取其他企业内部控制的先进理念,以建立适应企业健康发展的内部控制制度。充分肯定内部控制的重要作用,积极促成员工完成内部控制工作。

如今,企业越来越重视软文化的作用,一个企业拥有良好的企业文化,不仅能增强员工的职业道德和自律能力,还会提高企业的知名度。良好的文化氛围引导员工和企业紧紧联系在一起,让员工有强烈的使命感和归属感,对强化员工的道德,行为有积极作用,从而减少了一些信息失真,泄露等负面影响。

(二)完善组织和管理机制

在信息环境下,保证信息系统的安全可靠与畅通是企业内部控制的首要任务。因此,企业需要对整个信息系统的各个层次制定切实可行的安全防范措施。对系统操作的用户身份和权限、操作时间、系统参数和系统敏感资源等要进行实时监控和记录。其次,要保证计算机系统能够准确,安全运行,有防止各种意外的有力措施。查询计算机重要资源时应明确每个用户的安全级别和身份,并分别把访问对象进行具体定义,来保证系统内部的有力牵制。在信息化环境下,人是操作的主体,对操作人员应该实施严格的权限作业,不得在没有授权情况下接触其他系统。企业还应在各个重要控制点上设置安全预警系统,实时保护信息系统,以免受到恶意破坏和不安全的数据流进入。实现漏洞检测和实时监测相结合的安全有效模式。

(三)建立健全网络安全管理

首先是系统软件的安全。主要的控制点应在系统软件的安装和修改方面,另外对系统软件进行定期检查,如果发生意外情况时,系统软件可以自动紧急响应、迅速备份,并且能够尽快恢复。其次,是硬件设备。主要包括计算机系统环境和设备的技术。企业需对设备制定一套严格周密的管理制度,岗位责任和规范操作流程,禁止无关人员接触系统,还应在计算机系统房间准备防潮,防火,防水等技术配备,以防止突发事件。还有对企业重要信息资源的严密保护。非对称密码体制对于信息安全管理使用广泛。在企业中对通信线路的数据流加密,数据库中的数据流加密,还有访问者的身份认证也应设置限制,除了输入密码外进行身份认证,还可以采用指纹识别和面容识别。最后,企业应高度重视计算机病毒的防范,针对每—种病毒都有相应的技术手段预防和消灭,实时监督,追踪病毒。

(四)进行全面的风险评估和处理

风险根据形成原因可以分为财务风险和经营风险。风险控制的目标是尽可能的防止和避免出现不利的结果,建立风险控制机制。还应建立风险评估的信号和指标体系,主要是针对设备的技术风险和一些管理风险等。风险防范机制可以迅速发现并对风险做出反应。设置信息系统的防火墙,健全风险控制运行体系,在接收到信号时,可以及时自动的采取措施,防止风险扩大。企业应重视风险发生频率和不利后果专门设置处理风险的部门,可以帮助企业对风险故障迅速的做出方案,把不利后果降到最小。并且,根绝已发生的事件进行分析总结,达到进一步加强防范的作用。企业基于信息化环境下,建立一套信息系统风险管理机制也是很有必要的。健全责任控制,强化信息化下的风险意识。

(五)加强和完善内部审计制度

企业内部审计机构是强化内部控制的一项基本措施。在信息化下,数据处理是人与计算机的特殊形式,因而对内部审计人员提出的更高的要求。内部审计人员要对信息化后的企业进行深入的研究,准确掌握现有信息运营模式与传统模式的不同之处,并熟练在操作现有模式的基础上,能够检测出现有模式的不足和欠缺。做到有计划,有步骤,实现连续全面,高效率的审计工作。同时,为了应对不断变化的企业内部和外部的审计环境,企业要经常组织内审人员学习审计法规。组织审计人员定期培训,提高审计人员的素质和操作技能确保内部控制监督是真实的,并且准确有效的。如果企业的财务状况允许,企业可以不定期的请社会审计机构对企业的运营进行监督,同时也是对内审的考核,督促内审更好的起到监督作用。

猜你喜欢

信息环境企业内部控制问题与对策
信息环境下高校学生学习动机激发刍议
信息环境下的企业管理路径与信息安全探索
浅析企业内部控制与财务账务处理的几个关系
企业存货的管理与控制分析
信息化条件下供电公司电力营销管理策略探究
浙江省中小企业民间借贷问题探讨
企业内部控制管理存在的问题及对策研究
“生存关注”阶段中学教师自我专业发展的问题与对策
关于配电运行管理中的问题与对策
泛在信息环境下高校图书馆《信息检索与利用》课程设计与改革