企业信息系统内部控制存在的问题与对策研究
2016-04-12陈瑞燕
陈瑞燕
企业信息系统内部控制存在的问题与对策研究
陈瑞燕
信息系统作为企业管理的重要实施方式为管理层提供了更便捷有效的途径,但同时也为企业内部控制的有效性带来了新问题。本文在分析加强企业信息系统内部控制重要性的基础上,深入探讨了当前企业信息系统内部控制存在的问题及其成因,并针对性地提出了加强信息系统内部控制的对策和措施。
企业信息系统 风险控制 内部控制
随着电子信息技术的飞速发展,信息系统已经普遍成为企业运行和管理的基本工具。信息系统帮助我们处理大量繁杂的数据,提高了工作效率,降低了人为操作的错误发生率,使远程管理更为方便快捷。但信息系统给企业管理带来方便的同时,也给管理层带来了不可忽视的风险。例如,信息系统的开发和控制措施是否合理、信息系统提供的数据及解决方案是否完整有效、信息系统之间是否相互兼容等。所以,管理层应对信息系统的内部控制引起重视,这样才能使其更有效地为企业处理事务,帮助企业作出决策,从而为实现企业战略目标奠定坚实的基础。
一、当前企业信息系统内部控制存在的问题与成因分析
信息技术高速发展,企业的信息系统也随之不断更新,以适应社会不断发展的需要,这对企业内部控制提出了更大的挑战。
(一)企业信息系统的适用性问题
一种情况是企业在建立信息系统时根据用户部门的要求借鉴国外或国内成功企业的经验。但是不同企业有不同的经营管理模式和信息技术管理要求,这可能导致引进的信息系统无法真正适应企业管理的要求,需要企业不断完善甚至重新建立新的信息系统以弥补旧系统的不足,避免发生重复控制、浪费资源的情况。
另外一种情况是企业聘请外部专门从事信息系统开发的机构或公司为企业量身定做企业需要的信息系统。这种情况也会由于外部人员没有真正理解企业的需求,造成信息系统资源的重复建设、系统运行效率低和无法达到预期目标的后果,而且往往长期需要依赖系统开发机构解决使用过程中出现的各种问题,系统才能正常运转。
(二)不同系统对数据的关注点不同有可能导致系统流转数据不准确
信息技术的使用涉及企业的各个领域,信息系统的建立是为各类业务服务的。例如,为生产经营需要而产生的生产管理系统;为服务及物资采办而产生的采办管理系统;为物资仓储而产生的库存管理系统;为预算管理、成本核算、费用分析和财务报告而产生的会计信息系统;为资金收集和支付而产生的资金管理系统。这些信息系统之间一定是相互联系的。
采办管理系统签订服务合同和货物购买合同购买服务和货物,这些货物通过库存管理系统领出后用于生产,通过生产经营系统得出企业的生产商品的数据,而各个系统的数据最终都会转入会计信息系统由财务人员进行成本核算和费用分析,分析的结果又服务于生产管理。每一个流转环节都需要相应的知识背景,但系统和系统之间的“沟通”往往没有想象中那么顺畅。实际操作中会有这样的例子,生产领料人员需要相应的原材料,经过一定领料审批后由库房的管理人员对材料进行出库,系统自动将领出材料计入成本费进行会计核算,之后转入会计信息系统。这种情况下,由于领料人员和库房保管人员不具备专业的财务知识,所以不能判断材料的成本费用科目是否正确,而财务人员没有及时得到相应的领料依据,因此无法对其进行相应的复核。尤其是大型企业,每天的生产领料数据非常巨大,财务核算人员无法及时获取相关复核资料,一旦出现错误,直接影响最终的财务报表数据。
(三)企业信息系统在操作过程中存在安全性问题
信息系统一定是由人来操作,那就会有相应的人员操作风险。例如,有不法分子利用非法手段强行进入企业信息系统窃取机密信息;企业内部人员为了达到某种目的滥用权限进行非法操作和舞弊,篡改系统信息。当然也存在由于系统权限配置不当,致使企业员工误操作而导致的数据错误或系统功能失效等。
信息系统本身的固有局限性也可能导致信息泄露的风险。信息系统的安全措施不当,可能导致系统信息的泄露、毁损、丢失等。
(四)信息系统数据的丢失
信息系统正常运行过程中,各种信息在系统内正常流转,一旦发生事故或非正常事件,系统中断运行,信息毁损、丢失,会给企业正常运行管理造成非常重大的损失。例如,库存管理系统的各个远程终端由于不可抗力发生事故,导致库存信息毁损,给生产带来不便,同时传入会计核算系统的数据失真,最终导致企业财务报表数据失真,给企业带来严重的负面影响。
二、加强企业信息系统内部控制的对策措施
面对上述问题,企业可以从内部控制的角度考虑各个风险的大小,采取降低、转移或规避风险的方式来化解相应的风险,实现信息系统的有效内部控制。
(一)加强企业在信息系统开发阶段的内部控制建设
企业在进行信息系统开发时应该充分考虑自身的管理模式和业务类型,以及企业文化、技术能力、组织架构、地域特点等因素,选择建立适应企业要求的信息系统。企业内部应该建立健全相应的信息系统内部控制制度体系,对信息系统的引进、开发和维护均制定相应的管理制度。
企业应该首先制定信息系统开发的战略目标,在系统引进和上线前进行可行性研究,充分收集用户部门相关的系统需求,并评估可能发生的风险,梳理信息系统开发和应用等各个环节的关键控制点,设计适当的控制措施对其进行控制。
企业应该建立信息系统上线审批制度,对于系统上线运行和升级替换,应当由归口部门和用户部门批准后实施,主要的信息系统开发和重大的信息系统实施方案,必须由董事会或类似机构审核批准后才能实施。
(二)加强企业信息系统的应用控制及人工控制
企业内部的各种业务类型都是为企业服务的,所以各个业务系统之间应该相互联系,形成一个闭环。对于企业各个信息系统之间传递的数据,企业应当根据实际情况,对不同的控制环节采取不同的系统应用控制,如手工控制或两者相结合的控制。企业可以设置系统控制参数,建立规范的流程。
例如,上述第二个问题,在生产领料系统中可以增设领料环节的系统应用控制,将领料人员按其业务性质分成不同的类别,设置不同性质的领料岗位对应的财务科目或财务科目细类。财务人员将传入会计核算系统的领料数据按预先分好的核算类别汇总,与拿到的领料单据核对。系统应用控制和人工控制相结合,有效降低了错误数据发生的概率。
企业的内部审计部门也可以不定期地对信息系统的应用控制和人工控制进行检查和评价,确定其是否真正起到了控制作用。
另外,对于手工录入、批量导入、接收其他系统数据等不同的数据输入方式,可以分别考虑对进入系统数据的检查和校验功能,确保数据的准确性、有效性和完整性。
企业应该设置信息系统操作日志,详细记录系统当日的操作内容、流量和系统之间的接口设置,并配备专门的人员对系统之前的接口设置进行定期检查,如存在异常的交易或者数据,应尽快处理并以报告的形式记录下来,为将来维护和评价系统功能储备资料。
(三)加强企业信息系统的安全控制
企业应当根据不同信息系统的不同特性设置不同的安全参数,使用技术手段加强系统的访问安全。例如,采用设置防火墙、漏洞扫描、入侵检测、远程访问安全策略等手段加强风险防控,阻止来自网络的攻击和非法侵入,也可以采取安装安全软件的措施来防范信息系统受到病毒等恶意软件的感染和破坏。考虑到内部控制的成本效益原则,企业应当根据信息系统的业务性质和重要程度设置不同的安全标准,针对不同的信息系统采用不同的控制技术。
对于信息系统权限的管理,企业应该建立用户权限管理制度,设置专门的信息系统权限管理岗位管理权限,禁止不相容职务用户的权限交叉。对于岗位发生变动或离职的人员,应在管理制度中规定员工所在部门或人力资源部及时将员工变动信息通知系统权限管理员,以便系统管理人员及时变更或撤销其权限,防止不必要的信息系统数据错误或数据泄露风险。企业应该制定系统权限手册,明确每个岗位应该拥有哪些权限,明确不相容岗位不应该拥有哪些权限,系统权限管理人员据以定期检查系统权限,发现并清除不符合规定的权限,形成检查记录存档。
企业的管理层应对信息系统的安全性加强关注,从自我做起,不定期地对员工进行系统操作及安全知识培训,丰富员工的信息系统运用知识,增强员工安全意识。对于重要岗位员工,企业可以与其签署信息安全保密协议。
(四)建立企业信息系统风险评估机制
面对复杂的信息系统数据丢失可能带来的威胁,企业应该提前做好相应的风险防范工作。首先,企业应该对信息系统进行全面的风险评估,充分考虑每一项风险发生的可能性和带来的后果,均衡成本效益后,采取相应的控制措施。其次,企业应当建立并执行系统数据定期备份制度,明确备份的范围、备份频率、备份方法、备份责任人、备份存放地点、备份有效性检查等内容。同时,企业应当根据业务性质和风险程度,制定信息系统业务持续和灾难恢复计划。再次,企业应当采用日常检测、设立容错冗余、编制应急预案等预防措施,确保信息系统的持续运行。对于信息系统中异常的或者违背内部控制要求的交易或数据,企业应当考虑在系统中设置自动报告功能。
综上所述,增强信息系统内部控制是当务之急,只有内部控制良好的信息系统才能为企业的运行提供有效的数据,为企业管理打下坚实的基础,为管理层作出正确的决策提供合理的理论依据,保证企业持续、健康发展,实现企业战略目标。
(作者单位为中海石油〈中国〉有限公司天津分公司)
[1] 王民治,赵学进. ERP环境下财务会计信息系统内部控制与风险管理研究[J].会计之友,2013(09).
