信息技术对企业内部控制影响分析与对策

信息技术对企业内部控制的影响分析及对策根据COSO的定义，企业内部控制是由董事会、管理层和企业其他员工执行的一个过程，为实现财务报告的可靠性、经营效果和效率以及遵守适用的法律法规等目标提供合理的保证，由五个要素组成：控制环境、风险评估、控制活动、信息和沟通以及监控。传统上，企业大量业务活动和信息处理活动的记录主要是手工完成的，业务流程中物流和资金流形成的数据流记录在纸质媒体上。在这种应用背景下，会计师和审计师形成的风险意识和控制观一直影响着企业内部控制制度的设计。安妮塔。荷兰将其描述为：(1)广泛使用硬拷贝文件来记录、处理和维护交易信息；(2)重视职责分离；(三)会计数据重复记录和重复数据的大量调整；(4)会计师更具反思性而非主动性，更具检查性而非预防性。(5)严重依赖年终财务报表检查；(6)回避信息技术；(7)控制结构基于合规性。随着经济全球化和市场竞争力的增强，许多企业加快了信息化的步伐，以增强竞争力。信息技术在企业中的广泛应用不仅改变了传统的手工数据处理模式，也引发了企业管理模式、生产模式、交易模式和运营流程的变化。人们的行为模式也随着企业的业务流程、扁平化组织和运营信息化而改变。虽然信息技术没有改变企业的内部控制目标，但企业内部发生的变化对传统的内部控制观点和方法产生了很大的冲击。因此，如何构建一个基于信息技术环境的企业内部控制体系成为一个亟待解决的问题。因此，本文试图从信息技术对企业内部控制要素的影响入手，分析信息技术环境下内部控制的新特点，探讨内部控制系统的设计策略，从而达到充分利用信息技术提高内部控制质量的目的。信息技术对企业内部控制要素的影响分析1.改善企业控制环境控制环境形成了一个单元的控制气氛，是所有控制方法和手段所依赖的操作环境。包括员工的诚信和能力、董事会或审计委员会、管理理念和运作模式、组织结构、授予权利和责任的方式、人力资源政策和执行情况。信息技术给企业的内部控制环境带来了以下变化。首先，企业的组织结构趋于扁平化。由于计算机信息处理技术取代了大量的业务层和中间层的人工数据处理工作，数据以磁介质的形式存储在数据库中，可以通过网络快速传输到企业的各个角落。信息技术减少了传统组织渠道传播中信息的延迟、失真和噪声干扰，降低了信息获取成本，扩大了信息传播范围，提高了各级组织人员的信息传播和沟通能力。信息技术重组后，原来的多人分工合作工作只能由一人完成，大量的人工控制已经被信息系统的自动控制所取代。这一变化导致企业组织结构扁平化，内部控制水平大幅降低，员额更加精简，责任更加明确，效率更高。其次，提高员工的地位和素质要求。随着组织、业务流程和信息化的扁平化，企业的决策水平下降，基层员工获得了更多的决策机会。同时，对员工的素质也提出了更高的要求。在新的信息技术平台下，员工需要熟悉计算机信息系统，持有实时和积极的控制观点，了解信息技术在预防、检查和纠正错误以及识别业务发生时的欺诈方面提供的机会，并充分应用信息技术及其专业知识来控制企业的业务活动。企业人力资源管理将根据信息技术的特点制定员工的聘用、培训、晋升和奖励政策。内部控制的设计更加强调以人为本和人机结合的原则，通过提高员工识别风险、发现问题和解决问题的能力，以及与其他业务人员的合作，利用信息技术的控制能力，提高企业内部控制的质量。第三，改善信息不对称，提高“内部人”的监控水平。由于现代企业所有权和经营权的分离，真实的会计信息披露在公司治理中发挥着重要作用。信息技术整合了业务信息处理和会计信息处理的过程。由于相同的数据来源和在计算机中的连续处理，有效地提高了会计信息的实时性和准确性。但是，投资者可以在适当的授权下，随时通过计算机网络访问企业数据库的相关数据。在一定程度上改善了信息不对称，增强了信息透明度和企业经营者的监控能力，促进了企业内部人诚信道德的提高，规范了企业管理行为。2.扩大风险评估的范围信息技术的应用改变了企业的传统运营模式，也给业务流程和信息系统带来了新的风险。例如，企业在信息技术平台上运行企业资源规划系统、电子商务、供应链管理系统和客户关系管理系统，以通过企业之间和企业内部的信息传递实现协作合作和优化资源配置。企业物流和资金流的流量和速度是由计算机精确调度的，与联盟企业和市场条件密切相关，以便以最低的成本、最快的速度和最好的质量组织企业业务活动。因此，供应链中任何环节的突发事件都会影响企业的正常运营，给企业带来损失。此外，由于企业的所有数据都存储在数据库服务器中，网络的开放性和数据共享必然会增加信息系统的风险，如数据可能被未经授权的人员复制、删除、修改和销毁。计算机病毒感染、黑客入侵和用户的非法操作也会导致计算机系统故障或信息系统崩溃。企业风险识别、评估和防范不仅要考虑内部和外部环境，还要考虑业务流程和信息流程的耦合度、合作企业的关联度、信息系统的依赖度等因素，以避免供应链运作流程和信息系统的新风险给企业带来的危害。3.业务流程控制和信息系统控制成为控制活动的重要组成部分在信息技术平台上，企业运行的ERP系统实施过程管理。企业战略愿景的实现、信息系统的引入、企业文化价值观的具体体现，最后是企业业务流程的实施。信息技术的应用将传统的人工控制形式转变为人机系统控制，控制中心将重点关注人机控制和信息系统操作流程的控制。一些传统的内部控制规则和程序在新的技术环境中失去了其重要性。新的控制规则和程序是以充分利用信息技术和实现更好的控制目标为基础的围绕业务流程，企业会计、审计师和业务人员将紧密合作，分析信息技术环境下企业订单、采购、库存、计划、生产制造、质量控制、运输、配送、财务会计、人事管理等环节的运作流程、管理流程和信息流程的新特点，并制定相应的控制规则。设计企业预算控制、成本控制、资金控制、投资控制、信息记录控制、计算机信息系统控制、绩效评价等控制系统和控制程序，并将这些控制程序和控制参数输入计算机信息系统，形成完整、严谨的面向过程的人机内部控制系统。这样，企业员工就可以根据信息系统反映的信息流，及时监控业务流程的物流、资金流和运营流。通过比较反馈信息和控制参数，他们可以做出决策，防范风险，纠正操作错误，防止商业欺诈。此外，应在计算机信息系统内建立严格的人员访问授权、数据联系控制、操作流程规则和责任制度，以避免信息系统故障，保留信息技术审计线索，并利用信息技术防止腐败和欺诈。4.组织成员之间的信息交流和沟通更加方便。信息与沟通是指识别企业业务流程中的内部和外部信息以及组织内部的沟通，以便员工能够理解和履行自己的职责。信息技术的应用改变了企业信息孤岛的局面。大量的企业环境信息、政策信息、管理信息、财务会计信息和经营信息存储在企业数据库系统中，并不断实时更新。基于互联网、企业网络和数据库技术，客户/服务器(C/S)和浏览器/网络服务器(B/S)混合结构的网络平台为企业成员提供了良好的沟通条件。在这个平台上，员工可以轻松地从计算机数据库中访问相关的政策和法规，获取与其职责相关的控制信息，定义他们各自的权利和责任，并了解他们的活动如何与他人的工作相关，以及如何报告或处理异常情况。此外，企业在网络平台上建立与利益相关者的联系机制，使组织的相关成员能够实时获取管理信息和财务会计信息，及时沟通，实现最佳合作和利益共享。5.监控应更加注意更新信息系统内部设置的控制参数和控制程序。监控是在一段时间内评估内部控制质量的过程，包括及时评估控制系统的设计和运行以及必要时采取的措施。在信息技术环境下，内部控制是基于人机结合的控制模式。许多控制程序、控制指标和控制方法都设置在计算机信息系统内部。因此，监控的一个重要内容是及时了解信息系统中原来设置的控制程序和控制参数是否过期，并根据企业业务环境的变化及时评估业务流程控制点的运行状态，重新调整或更改信息系统中设置的控制参数或程序。基于信息技术的企业内部控制系统设计策略根据以上分析，企业在设计内部控制体系时，应综合考虑内部控制要素的新特点，从组织控制、过程控制和信息系统控制三个方面制定相应的设计策略。1.组织控制设计策略组织控制是实现组织目标的组织结构设计、权力和责任安排以及制度设计。在信息技术环境中，过程决定了企业的组织结构。因此，组织结构设计应以产出为中心，并考虑到企业流程、信息水平、人员素质、风险类型和规模的特点。围绕输出目标，重新审视原组织的职能边界和任务划分，尽可能将跨越不同职能部门、由不同专业人员完成的工作环节集合起来，形成适应过程管理和控制的企业组织结构，使企业组织设计能够确保决策点和控制点位于工作执行的地方， 并且可以将信息处理结合到产生这种信息的实际工作中，并且与雇员信息的使用权和决策权相匹配，并且与过程位置的控制信息要求和这种信息的成功使用相匹配。组织控制设计的一个重要任务是将权力和责任从不相容的职位中分离出来。传统的设计方法是基于执行者、监督者和决策者的分离，通过授权和批准程序来监督员工的工作。在信息技术应用条件下，企业组织的权责范围遵循以过程为核心的原则。首先，将企业的主要业务分解为产品过程、质量过程、服务过程、物流过程等。在这些流程级别上重新定义了企业各部门在业务流程中的职责以及它们之间的协调关系。然后将这些流程进一步分解成一系列相关的工作集，并根据业务的信息水平定义企业的工作岗位和相应的工作责任体系。岗位职责的分配应以人为本，岗位职责的授权和绩效考核等控制设计应能充分发挥每位员工的主观能动性和潜能。不相容作业分离的设计应结合重组后的业务特征和人机系统的控制功能，通过设置计算机应用软件功能的使用权限、设置应用软件操作流程的逻辑顺序和设置业务控制参数，充分发挥计算机系统的内部监控能力，实现信息环境下业务流程不相容作业分离的制度安排。组织控制的制度设计应充分考虑信息技术在公司治理中的作用。在内部，信息系统应与企业的岗位责任、内部牵制、责任中心控制、预算控制、企业财产管理控制、绩效评价等控制系统相结合，以确保资产安全、会计信息真实性和效率提高。对于外部世界，我们应该建立企业门户并采用推拉式服务来加强与外部利益相关者的联系。通过组织内外的信息传递，完善企业监管体系和公司治理结构。2.过程控制设计策略过去，企业内部控制主要侧重于事后控制，即通过对最终会计数据的检查或审计来识别业务错误或舞弊。随着信息技术整合企业业务流程和信息流程，与企业的上下游建立紧密联系，业务流程控制和信息流程控制已经成为企业内部控制系统设计的重要内容。控制重点也从及时控制转移到事先控制和实时控制。控制顺序首先是预防为主，然后是检查、纠正错误和欺诈。因此，在企业过程控制的设计中，专业人员的首要任务是熟悉企业业务过程和信息过程及其相互关系，并根据组织内部控制目标的要求，对业务过程和信息过程的各种风险进行评估，确定风险的重要性。其次，作为控制策略的一部分，为业务流程和信息流程制定了规则和程序。具体规则取决于企业的各种因素，如环境、组织规模、使用技术、员工素质等。在此基础上，建立了企业运营的预算体系、运营体系、绩效评价体系和供应链绩效评价体系。最后，根据风险的重要性，确定业务流程和信息流程的关键控制点，建立控制模型，设置控制参数和控制程序，并嵌入信息系统，形成人机结合、业务活动和信息处理集的内部控制系统。这样，在企业运营过程中，信息系统可以动态跟踪业务活动的信息，自动监控这些活动产生的数据是否在控制范围内，预测发展趋势，并实时输出预警信号。组织的成员也可以根据来自这些操作点的反馈信号及时做出正确的决策，从而有效地控制企业的业务活动。3.信息系统控制设计策略信息系统控制包括对信息系统建设和使用过程的控制。对于企业来说，信息系统的建设涉及到大量的投资，信息系统的质量关系到企业活动的效率，信息系统的风险控制已经成为企业所有者和管理者越来越重要的问题。因此，在信息系统建设过程中，为了保证信息系统开发的质量，规避信息系统建设的风险，具体的控制设计策略应该包括在系统开发的早期阶段进行细致的可行性研究；加强开发商资质认证；调查和分析其开发的项目；通过公开招标和答辩，选择适合企业运营环境的计算机信息系统的软件、硬件和开发人员。在项目实施过程中，要加强对信息技术项目的管理，完善信息系统实施的组织，明确项目实施各阶段的分工和责任，建立严格的进度控制和质量控制机制，建立验收程序和第三方监督审计控制，确保信息系统的质量。信息系统使用过程控制的设计包括操作权限和操作规程控制、信息安全和数据处理流程控制的设计。操作权限控制是指岗位人员只能根据授权进行计算机操作。设计策略主要包括通过对系统资源的分类管理和员工操作权限的程序化方法来定义用户在计算机系统中的具体访问对象，以及限制非法接触和权限以外的访问。操作程序控制是指系统运行必须遵循一定的标准操作程序。主要通过制定软硬件操作规程、操作规程，规范计算机用户的操作行为。信息安全控制包括数据和程序安全控制和网络安全控制，通过数据保密、访问控制和网络安全控制来保证计算机信息资源的安全数据处理流程控制设计包括数据输入、处理和输出控制。例如，在计算机系统的数据输入窗口中设置各种有效的检测方法，以最小化操作员在数据输入过程中出错的可能性，并