论文部分内容阅读
摘 要: 信息化是由工业社会向信息社会前进的动态过程,以信息技术的广泛应用为核心。信息技术对会计工作的影响从IBM最早使用的工资管理模块到通用电器的电子数据处理系统(EDPS),再到目前会计电算化、会计信息系统的应用,特别对内部控制的影响有了质的飞越,控制重点由对人的控制转变为人机的二重控制。
关键词: 信息化 内部控制 风险 对策
一、信息化对内部控制的影响
信息技术诞生于20世纪40年代,各类企业管理软件的技术平台经历了DOS、Windows平台、Web平台的转变,软件应用架构也经历了单机应用(F/S)、联网应用(C/S)、互联网应用(B/S)架构的发展,这些技术方面的进步和发展,为财务管理提供了很好的平台,先后出现了人工智能(AI)、专家系统(ES)、商业智能(BI)、智能化管理技术(AM)等,给企业带来诸多益处。
1.信息化使企业的管理更加精细化。如华为公司在信息化下的“精细化”运营,针对不同用户群的个性化业务需求细分市场,实行差异化战略,从而占有更多的市场份额,明显领先于同类公司。
2.信息化让监督和反馈更加便利与快速,通过远程控制、实时控制技术的运用,使企业能及时发现问题、解决问题。如公司通过系统查看每天的经营情况、财务状况,可以按周、旬、月编制报表,及时掌控信息,极大地增强实时性与精确性。
3.信息化扩大了控制范围,不仅关注会计和财务部门的控制,还延伸到企业的风险控制,预算控制、成本控制、组织管理、业绩管理等,很大程度上实现了统筹管理,便于公司重大战略的实施与调整。
二、信息化对内部控制提出的新的要求
1.电子信息技术的发展要求我们在常规内控基础上延伸,减少和消除人为操作因素的不利影响,特别加强系统开发与维护、数据输入与输出、文件保管、网络安全等方面的控制。
2.信息化要求我们需要从传统管理思维方式和工作方式转变出来,做好信息化知识储备,提升相关人员业务素质,将信息化在整个企业的管理中推广开来,提高企业管理效率。
三、信息化下的内部控制的相关风险与措施
信息化下,数据的不可见性、高度集中性、开放性使信息系统在现实环境中,总要面临各种人为的与自然的威胁,如自然灾害、误操作、安全生产事故、病毒蠕虫、网络攻击、通过信息化手段进行欺诈、信息数据的修改和丢失、内部泄密、采用安全防范措施尚不到位的高端技术。
这些信息威胁对内部控制的影响不可想象,雅虎日本就曾遭受信息泄密的危机,有人试图非法访问“雅虎日本”的管理系统,致使2200万用户的身份信息可能遭窃取。所以公司需要评估信息系统面临的安全风险,通过恰当的安全措施控制风险,使风险降至最低。
1.在宏观层面,我们需要健全信息安全法律法规。尽管国家颁布了一系列相关法规,如《中华人民共和国计算机信息系统安全保护条例》、《商用密码管理条例》、《互联网信息服务管理办法》等,但信息技术在发展,安全风险层出不穷,各种法规需要与时俱进进行完善和修改。
2.在个体层面,我们需要从管理控制、技术控制和物理控制三方面降低系统安全风险。
(1)管理控制通常是管理人员的职责,如编制安全策略、流程和标准。管理控制包括筛选人员、执行安全意识培训、编制业务连续性和灾难计划、确保规则执行,以及建立变更控制。
(2)技术控制是保护资源和信息的逻辑机制,采用数据加密技术、防火墙、入侵检测系统等。这些技术控制使用并限制主体对客体(资源)访问的软件和硬件机制。
(3)物理控制用于保护计算机系统、部门、人员和设施。物理控制包括安全保安、边界栅栏、锁,以及从计算机中拆除软驱和光驱及动感检测器。
管理控制措施、技术控制措施和物理控制措施可以提供检测性的、预防性的、纠正性的、恢复性的、阻止性的和补偿性的保护功能。此外,我们还需完善责任认定与追究的机制,明确责任,承担后果,这样可以把风险降到最低。
四、信息化与内部控制结合的经典案例
信息化最典型的代表是ERP系统,即“企业资源计划”,ERP为了实现企业经营效率,将资源在购、存、产、销、人、财、物等各个方面合理配置与利用。在这方面具有代表性的是格力的ERP、BBP系统(原材料网上采购系统)的实施,通过对企业进行流程改造,极大地推动了格力的发展。
我们从控制环境、一般控制与应用控制的角度来看ERP对内部控制的影响。
1.控制环境是一种软控制,是内部控制其他组成要素的基础,反映管理层对态度,企业的氛围。控制环境对格力的成败有重要作用,管理层对信息化建设非常重视,采用自上而下的权威式管理方式,而且一直是部门一把手亲自抓的工作,亲临现场,分责到人,管理层的大力支持,保证了信息化实施效果。此外,格力转变了对系统的认识,将过去人们对ERP的实施看做一种项目型管理活动,指望一次投资长期见效,系统安装成功就算项目完成了的认识,转化为在日常生产和经营中不断学习和掌握应用ERP的知识和经验,在ERP应用上投入大量人力和物力,保证了ERP系统的效益。
2.一般控制包括五个方面,而格力在岗位分工控制、计算机操作控制、备份与恢复控制三个方面做得尤为突出。
(1)岗位分工控制:不相容的岗位职责互相分离,降低错误或舞弊的风险。从原有的审批、记录、验证、保管相分离,延伸至信息化下系统开发编程、计算机操作与数据控制相分离,格力的分工明确,岗位与岗位之间的职责明确,相关系统开发、操作、数据控制都有独立的部门负责,避免一岗多责现象发生。
(2)计算机操作控制:对计算机信息系统的操作进行规范与控制,从而保证信息系统仅被用于经授权的用途,保证及时发现数据处理过程中可能发生的差错。格力通过设置每个员工对系统的操作权限及对信息的查询范围,从源头上保证了企业的业务活动是由被授权的员工执行的。由此看来,信息化使控制更加客观,克服控制过程中的人情障碍,保证相关政策得到严格地执行。
(3)备份与恢复控制:提供一种预防措施,以便需要时可以恢复计算机中丢失、损坏或删除的数据。运用祖—父—子技术,将文件存放于至少两个不同的地点。
应用控制包括三个方面:数据输入控制、数据处理控制和数据输出控制。当格力实施ERP系统后,许多数据不再由会计人员最后统一输入,而是在生产经营过程中分散输入,会计信息会在交易完成后自动入账,产出报表,不再需要像以前一样过多关注凭证数据和账簿之间的一致性与计算的准确性。系统还可以设计风险模型,自动依据相关数据,生成风险评估报告,及时反映风险状况,减少人为评估的主观性。
参考文献:
[1]黄津孚,张小红,何辉.信息化 数字化 智能化——管理的视角.经济科学出版社.
[2]林国恩,李建彬.信息系统安全.电子工业出版社.
[3]《内部会计控制概论》编写组.内部会计控制概论.立信会计出版社.
关键词: 信息化 内部控制 风险 对策
一、信息化对内部控制的影响
信息技术诞生于20世纪40年代,各类企业管理软件的技术平台经历了DOS、Windows平台、Web平台的转变,软件应用架构也经历了单机应用(F/S)、联网应用(C/S)、互联网应用(B/S)架构的发展,这些技术方面的进步和发展,为财务管理提供了很好的平台,先后出现了人工智能(AI)、专家系统(ES)、商业智能(BI)、智能化管理技术(AM)等,给企业带来诸多益处。
1.信息化使企业的管理更加精细化。如华为公司在信息化下的“精细化”运营,针对不同用户群的个性化业务需求细分市场,实行差异化战略,从而占有更多的市场份额,明显领先于同类公司。
2.信息化让监督和反馈更加便利与快速,通过远程控制、实时控制技术的运用,使企业能及时发现问题、解决问题。如公司通过系统查看每天的经营情况、财务状况,可以按周、旬、月编制报表,及时掌控信息,极大地增强实时性与精确性。
3.信息化扩大了控制范围,不仅关注会计和财务部门的控制,还延伸到企业的风险控制,预算控制、成本控制、组织管理、业绩管理等,很大程度上实现了统筹管理,便于公司重大战略的实施与调整。
二、信息化对内部控制提出的新的要求
1.电子信息技术的发展要求我们在常规内控基础上延伸,减少和消除人为操作因素的不利影响,特别加强系统开发与维护、数据输入与输出、文件保管、网络安全等方面的控制。
2.信息化要求我们需要从传统管理思维方式和工作方式转变出来,做好信息化知识储备,提升相关人员业务素质,将信息化在整个企业的管理中推广开来,提高企业管理效率。
三、信息化下的内部控制的相关风险与措施
信息化下,数据的不可见性、高度集中性、开放性使信息系统在现实环境中,总要面临各种人为的与自然的威胁,如自然灾害、误操作、安全生产事故、病毒蠕虫、网络攻击、通过信息化手段进行欺诈、信息数据的修改和丢失、内部泄密、采用安全防范措施尚不到位的高端技术。
这些信息威胁对内部控制的影响不可想象,雅虎日本就曾遭受信息泄密的危机,有人试图非法访问“雅虎日本”的管理系统,致使2200万用户的身份信息可能遭窃取。所以公司需要评估信息系统面临的安全风险,通过恰当的安全措施控制风险,使风险降至最低。
1.在宏观层面,我们需要健全信息安全法律法规。尽管国家颁布了一系列相关法规,如《中华人民共和国计算机信息系统安全保护条例》、《商用密码管理条例》、《互联网信息服务管理办法》等,但信息技术在发展,安全风险层出不穷,各种法规需要与时俱进进行完善和修改。
2.在个体层面,我们需要从管理控制、技术控制和物理控制三方面降低系统安全风险。
(1)管理控制通常是管理人员的职责,如编制安全策略、流程和标准。管理控制包括筛选人员、执行安全意识培训、编制业务连续性和灾难计划、确保规则执行,以及建立变更控制。
(2)技术控制是保护资源和信息的逻辑机制,采用数据加密技术、防火墙、入侵检测系统等。这些技术控制使用并限制主体对客体(资源)访问的软件和硬件机制。
(3)物理控制用于保护计算机系统、部门、人员和设施。物理控制包括安全保安、边界栅栏、锁,以及从计算机中拆除软驱和光驱及动感检测器。
管理控制措施、技术控制措施和物理控制措施可以提供检测性的、预防性的、纠正性的、恢复性的、阻止性的和补偿性的保护功能。此外,我们还需完善责任认定与追究的机制,明确责任,承担后果,这样可以把风险降到最低。
四、信息化与内部控制结合的经典案例
信息化最典型的代表是ERP系统,即“企业资源计划”,ERP为了实现企业经营效率,将资源在购、存、产、销、人、财、物等各个方面合理配置与利用。在这方面具有代表性的是格力的ERP、BBP系统(原材料网上采购系统)的实施,通过对企业进行流程改造,极大地推动了格力的发展。
我们从控制环境、一般控制与应用控制的角度来看ERP对内部控制的影响。
1.控制环境是一种软控制,是内部控制其他组成要素的基础,反映管理层对态度,企业的氛围。控制环境对格力的成败有重要作用,管理层对信息化建设非常重视,采用自上而下的权威式管理方式,而且一直是部门一把手亲自抓的工作,亲临现场,分责到人,管理层的大力支持,保证了信息化实施效果。此外,格力转变了对系统的认识,将过去人们对ERP的实施看做一种项目型管理活动,指望一次投资长期见效,系统安装成功就算项目完成了的认识,转化为在日常生产和经营中不断学习和掌握应用ERP的知识和经验,在ERP应用上投入大量人力和物力,保证了ERP系统的效益。
2.一般控制包括五个方面,而格力在岗位分工控制、计算机操作控制、备份与恢复控制三个方面做得尤为突出。
(1)岗位分工控制:不相容的岗位职责互相分离,降低错误或舞弊的风险。从原有的审批、记录、验证、保管相分离,延伸至信息化下系统开发编程、计算机操作与数据控制相分离,格力的分工明确,岗位与岗位之间的职责明确,相关系统开发、操作、数据控制都有独立的部门负责,避免一岗多责现象发生。
(2)计算机操作控制:对计算机信息系统的操作进行规范与控制,从而保证信息系统仅被用于经授权的用途,保证及时发现数据处理过程中可能发生的差错。格力通过设置每个员工对系统的操作权限及对信息的查询范围,从源头上保证了企业的业务活动是由被授权的员工执行的。由此看来,信息化使控制更加客观,克服控制过程中的人情障碍,保证相关政策得到严格地执行。
(3)备份与恢复控制:提供一种预防措施,以便需要时可以恢复计算机中丢失、损坏或删除的数据。运用祖—父—子技术,将文件存放于至少两个不同的地点。
应用控制包括三个方面:数据输入控制、数据处理控制和数据输出控制。当格力实施ERP系统后,许多数据不再由会计人员最后统一输入,而是在生产经营过程中分散输入,会计信息会在交易完成后自动入账,产出报表,不再需要像以前一样过多关注凭证数据和账簿之间的一致性与计算的准确性。系统还可以设计风险模型,自动依据相关数据,生成风险评估报告,及时反映风险状况,减少人为评估的主观性。
参考文献:
[1]黄津孚,张小红,何辉.信息化 数字化 智能化——管理的视角.经济科学出版社.
[2]林国恩,李建彬.信息系统安全.电子工业出版社.
[3]《内部会计控制概论》编写组.内部会计控制概论.立信会计出版社.