信息技术对企业内部控制影响分析与对策

作和利益共享。

　　5.监控更注意更新信息系统内部设置的控制参数与控制程序

　　监控是评价一段时间的内部控制质量过程，包括及时评估控制制度的设计和运行，以及在必要的时候采取的行动。在信息技术环境下，内部控制是基于一种人机结合的控制模式，许多控制程序、控制指标、控制方法被设置在计算机信息系统内部，。因此监控的一项重要内容就是要及时了解原来设置在信息系统内的控制程序、控制参数是否过时，并针对企业经营环境变化情况，及时评估业务流程控制点的运行状态，重新调整或更改设置在信息系统的控制参数或程序。

　　三、基于信息技术的企业内部控制系统设计策略

　　针对上述分析，企业在进行内部控制系统设计时，应综合考虑内部控制要素的新特点，从组织控制、流程控制、信息系统控制三方面制定对应设计策略。

　　1.组织控制设计策略

　　组织控制是为实现组织的目标而进行的组织结构设计、权责安排和制度设计。在信息技术环境下，流程决定企业组织结构。因此，组织结构设计应以产出为中心，结合企业流程特点、信息化程度、人员素质、风险类型与大小进行全盘考虑；围绕产出目标，重新审视原先组织的职能界限与任务划分，尽可能将跨越不同职能部门并由不同专业人员完成的工作环节集合起来，形成适应流程管理与控制的企业组织结构，使企业组织设计能保障决策点、控制点位于工作执行地方，能将信息处理工作纳入产生这些信息的实际工作中，并与员工信息的使用权、决策权相匹配，与切合流程职位的控制信息需求和成功运用这些信息相匹配。

　　组织控制设计的一项重要任务是权责分派与不相容职务分离。传统设计方法建立在执行者、监控者、决策者分离的基础上，并通过层层授权与审批手续来监督员工作业。在信息技术应用条件下，企业组织的权责范围遵循以流程为核心的原则。首先将企业主要业务分解为产品流程、质量流程、服务流程、物流流程等，并在这些流程层面上重新定义企业各部门在业务流程中的职责以及它们之间的协调关系。然后再进一步将这些流程分解为一系列相关作业集合，并结合业务的信息化程度来定义企业作业岗位以及对应的岗位责任制度。作业岗位权责分派应体现以人为本，岗位职责的授权、绩效评估考核等控制设计应能最大限度地发挥每个员工的主观能动性和潜能。不相容职务分离设计应结合重组后的业务特点和人机系统的控制功能，通过计算机应用软件功能使用权限设置、应用软件的作业流程逻辑顺序的设置、业务控制参数的设置，充分发挥计算机系统内部监控能力，实现信息化环境下业务流程不相容职务分离的制度安排。

　　组织控制的制度设计要充分考虑信息技术在公司治理中的作用。对内，信息系统应与企业的岗位职责、内部牵制以及责任中心控制、预算控制、企业财产管理控制、业绩评价等控制制度融合为一体，保障资产安全、会计信息真实及效益提高。对外，建立企业门户，采取推拉式服务来加强与外部利益相关者的联系。通过信息在组织内外的传递，改善企业监督体系与公司治理结构。

　　2.流程控制设计策略

　　以往企业内部控制主要侧重于事后控制，即通过期末会计资料的检查或审计来识别业务错误或舞弊。由于信息技术使企业业务流程与信息流程融合在一起，并与企业上下游建立了密切联系，业务流程控制与信息流程控制成为企业内部控制系统设计的重要内容，控制重心也从适时控制向事前控制、实时控制转移，控制的顺序先是以预防为主，然后是检查、纠正错误和舞弊。因此，在企业流程控制的设计中，专业人员的首要任务是熟悉企业业务过程和信息过程以及它们之间的联系，并针对组织内部控制目标的要求，对业务流程和信息流程的各类风险进行评估，确定风险重要程度。其次为业务过程和信息过程制定规则和程序，作为控制策略的一部分。具体的规则依赖于企业的各种因素，如环境、组织规模、使用技术、员工素质等，并在此基础上建立企业作业的预算制度、作业操作制度、业绩评价制度、供应链绩效评价制度。最后依据风险的重要程度确定业务流程与信息流程的关键控制点、建立控制模型，设定控制参数与控制程序，并将其嵌入到信息系统中， 形成人机结合、业务活动与信息处理集合的内部控制系统。这样，在企业经营过程中，信息系统就能动态跟踪业务活动的信息，自动监控这些活动所产生的数据是否在控制范围内，预测发展趋势，实时输出预警信号。组织成员也能依据这些作业点的反馈信号及时制定正确决策，有效控制企业的经营活动过程。

　　3.信息系统控制设计策略

　　信息系统控制包括信息系统建设的过程和使用过程的控制。对企业而言，由于信息系统的建设涉及大量的投资，而且信息系统的质量关系到企业经营活动的效益，信息系统的风险控制成为企业所有者与管理者日益关注的重要问题。因此，在信息系统建设过程中，为保证信息系统开发质量、规避信息系统建设风险，具体的控制设计策略应包括认真进行系统开发前期的可行性研究；加强对开发商的资质验证；对其已开发的项目进行调查分析；通过公开招标、答辩等方式选择适合企业营运环境的计算机信息系统软、硬件与开发商。在项目实施过程中，应加强对IT项目管理，完善信息系统实施的组织工作，明确人员分工安排以及在项目实施各阶段所承担的责任，建立严密进度控制和质量控制机制、验收程序及第三方监理和审计的控制，保障信息系统质量。

　　信息系统使用过程控制设计包括操作权限与操作规程控制设计、信息安全与数据处理流程控制设计。操作权限控制是指作业岗位的人员只能按照所授予的权限进行计算机作业。设计策略主要包括通过对系统资源进行分类管理、员工作业权限程序化方式，在计算机系统定义用户具体访问对象，限制超越权限的非法接触和访问。

　　操作规程控制是指系统操作必须遵循一定的标准操作规程进行。主要通过制定软硬件操作规程、作业运行规程，规范计算机用户的操作行为。信息安全控制包括数据和程序安全控制、网络安全控制，通过数据保密、访问控制、身份识别、数据备份等措施保障计算机信息资源的安全。

　　数据处理流程控制设计包括数据输入、处理、输出的控制。例如在计算机系统的数据输入窗口设置各类有效的检测方法，最大限度地减少操作人员在数据输入过程中出错的可能性，保障未经批准的业务不能输入计算机内；进行严格的系统测试，纠正隐含在软件内的程序处理逻辑错误与计算错误；检测计算机系统输出的数据是否合理，能否符合勾稽关系等，以提高计算机数据处理质量。

　　注释：

　　①参见COSO委员会1992年、1994年修订的《内部控制一整体框架》（COSO）报告。

　　[参考文献]

　　[1]朱荣恩。内部控制评价[M].北京：中国时代出版社，2002.

　　[2]阎达五，宋建波。双元控制主体框架下现代企业会计控制新思考[J].会计研究，2002.

　　[3]王田英。基于价值链的企业流程再造与信息集成[M].北京：清华大学出版社，2002.

　　[4]阿妮塔。S.霍兰德。现代会计信息系统[M].北京：经济科学出版社，1999.

上一页  [1] [2]