淺談信息系統(tǒng)管理與企業(yè)內(nèi)部控制

【摘 要】信息技術(shù)在企業(yè)管理中的作用日益凸顯，這就要求企業(yè)必須加快信息化建設(shè)。企業(yè)信息化管理作為控制環(huán)境的一部分，深刻影響著會計系統(tǒng)和控制程序等內(nèi)部控制要素。信息管理系統(tǒng)能帶來諸多效益，但在信息化管理下的內(nèi)部控制制度也存在一些問題，比如信息錄入的關(guān)鍵控制缺失，網(wǎng)絡(luò)化深入應(yīng)用帶來的信息安全風(fēng)險等。本文旨在分析在信息化管理的新企業(yè)環(huán)境下，信息管理系統(tǒng)對內(nèi)部控制的影響以及應(yīng)有措施。

【關(guān)鍵詞】信息化管理 信息管理系統(tǒng) 內(nèi)部控制 風(fēng)險 措施

引言

近年來，電子信息技術(shù)在企業(yè)管理領(lǐng)域的廣泛運用，徹底改變了企業(yè)傳統(tǒng)信息的儲存和處理方式，從而適應(yīng)了現(xiàn)代企業(yè)對信息的高標(biāo)準(zhǔn)和高要求。信息化管理是時代發(fā)展的需要，對企業(yè)的積極作用是毋庸置疑的，但同時它又是一把“雙刃劍”，另一面帶來的風(fēng)險不可忽視。由于企業(yè)內(nèi)部控制體系的不完善和有效控制手段的缺失，借助企業(yè)信息管理系統(tǒng)舞弊的案件屢有發(fā)生，而且這種行為具有危害大，隱蔽性強的特點。因此，研究信息化管理環(huán)境下企業(yè)內(nèi)控及風(fēng)險控制具有十分重要的意義。

一、信息化管理及內(nèi)部控制的關(guān)系

信息化管理就是通過對信息數(shù)據(jù)的合理控制，實現(xiàn)資源高效配置，進而提高企業(yè)生產(chǎn)效率和決策水平，為企業(yè)獲得持續(xù)競爭能力提供了有力保障。而內(nèi)部控制，是指企業(yè)為實現(xiàn)經(jīng)營目標(biāo)，確保信息真實可靠，保護資產(chǎn)安全完整，遵循有關(guān)法律法規(guī)和規(guī)章制度，提高企業(yè)運營的經(jīng)濟性、效率性和效果性而制定和實施相關(guān)政策、程序和措施予以合理保證的過程。美國會計師協(xié)會對內(nèi)部控制作出的權(quán)威性的定義：“內(nèi)部控制是企業(yè)所制定的旨在保護資產(chǎn)、保證會計資料可靠性和準(zhǔn)確性、提高效率，推動管理部門所制定的各項政策得以貫徹執(zhí)行的組織計劃和相互配套的各種方法及措施?！?/p>

在實際運作中，企業(yè)內(nèi)部控制很大程度上依賴其信息化水平，信息化水平越高，內(nèi)部控制得到的信息資源就越充分，實施效果就越明顯。同時，企業(yè)的信息化管理也給企業(yè)內(nèi)部控制帶來新的風(fēng)險。首先，風(fēng)險評估范圍拓寬。企業(yè)將所有信息高度集中于數(shù)據(jù)處理系統(tǒng)，一旦有不法分子利用病毒來竊取企業(yè)信息，可能使企業(yè)蒙受損失。企業(yè)通過風(fēng)險識別、評估與防范新風(fēng)險，這就拓寬了評估范圍。其次，設(shè)備使用風(fēng)險加大。信息管理系統(tǒng)由硬件和軟件構(gòu)成。硬件存在許多不可抗因素，如跳電、物理損失、人為誤操作等，這些問題的出現(xiàn)增加了內(nèi)部控制的難度。而軟件主要指運行風(fēng)險，如設(shè)計缺陷、與企業(yè)切合度不高、穩(wěn)定性不夠等都會帶來新的風(fēng)險。第三，增加了道德風(fēng)險。信息化建設(shè)需要企業(yè)內(nèi)部系統(tǒng)與外部網(wǎng)絡(luò)連接，這會使信息使用者或操作人員通過公用通訊線路干預(yù)系統(tǒng)的機會變大，從而可能產(chǎn)生非授權(quán)的訪問、篡改等隱蔽性較大的舞弊行為。

由此可見，企業(yè)好比是一艘輪船，信息化是推動器，而內(nèi)部控制是舵輪，只有兩者相互配合才能使行駛暢通無阻。

二、企業(yè)信息化環(huán)境下內(nèi)部控制風(fēng)險問題

（一）信息管理系統(tǒng)的數(shù)據(jù)來源，對信息質(zhì)量產(chǎn)生影響

信息管理系統(tǒng)經(jīng)常直接從其他系統(tǒng)采集數(shù)據(jù)，不必重新錄入，減少了數(shù)據(jù)錄入錯誤的機會，也保證了數(shù)據(jù)的完整性及時性。但是從其他系統(tǒng)直接采集的數(shù)據(jù)如果本身有錯誤，則該錯誤可能會帶到內(nèi)部管理系統(tǒng)，管理人員被動地接受其他系統(tǒng)生成的數(shù)據(jù)進行處理，審核功能被削弱。由于實現(xiàn)了數(shù)據(jù)的快速傳輸與數(shù)據(jù)共享，數(shù)據(jù)生成部門或客戶如果反復(fù)更改同一經(jīng)濟業(yè)務(wù)的數(shù)據(jù)，也會給數(shù)據(jù)處理帶來不便。

（二）信息流與單證傳遞相脫節(jié)，原始憑證形態(tài)發(fā)生變化

當(dāng)企業(yè)的信息系統(tǒng)大規(guī)模聯(lián)網(wǎng)時，數(shù)據(jù)可以跨部門、跨地區(qū)傳輸，且傳輸?shù)乃俣葮O為迅速，而紙質(zhì)原始憑證卻不可能以同樣的速度在需求部門之間進行傳遞，有些電子交易甚至沒有產(chǎn)生紙質(zhì)原始憑證。在這種情況下，數(shù)據(jù)處理時難以取得數(shù)據(jù)發(fā)生時產(chǎn)生的紙質(zhì)原始憑證，而只能依賴原始數(shù)據(jù)管理部門的數(shù)據(jù)處理憑證，如業(yè)務(wù)部門的數(shù)據(jù)交換憑證或數(shù)據(jù)匯總憑證等。

（三）網(wǎng)絡(luò)開發(fā)環(huán)境使內(nèi)部控制壁壘變得脆弱

信息網(wǎng)絡(luò)技術(shù)的發(fā)展使信息管理系統(tǒng)發(fā)生了質(zhì)的變化，克服了以前單機信息系統(tǒng)的不足，使信息化管理環(huán)境下的內(nèi)部控制更加完善。然而網(wǎng)絡(luò)的開放性、共享性、分散性也給信息管理系統(tǒng)的內(nèi)部控制帶來新的問題，如重要信息通過網(wǎng)絡(luò)傳輸可能被截獲，收到病毒和黑客攻擊的機率變大等。從理論上說，置于服務(wù)器上的任何信息都是可以被訪問的，除非切斷物理連接才能避免外來非授權(quán)訪問者的侵?jǐn)_。因此，企業(yè)必須定期對系統(tǒng)的安全性及內(nèi)部控制能力進行評估，時時保持系統(tǒng)更新以降低網(wǎng)絡(luò)環(huán)境帶來的風(fēng)險。

（四）信息和數(shù)據(jù)便于偽造，舞弊行為具有較大隱蔽性

在傳統(tǒng)管理模式下，所有數(shù)據(jù)都是以單、證、帳、表的形式出現(xiàn)，其作為核對憑證，修改困難，修改后有明顯痕跡，所以不便于偽造。而信息管理系統(tǒng)則完全不同，磁介質(zhì)代替紙張作業(yè)，對信息和數(shù)據(jù)篡改后可以輕易抹去任何痕跡。而且篡改和偽造的操作具有很強的隱蔽性，很難被發(fā)現(xiàn)。另外電磁介質(zhì)容易受損，所以系統(tǒng)上的信息和數(shù)據(jù)也存在丟失和毀壞的危險。因此信息化管理環(huán)境下的內(nèi)部控制不僅難度大、復(fù)雜，而且對計算機安全技術(shù)也有較高的要求。

三、內(nèi)部控制在信息化管理環(huán)境下應(yīng)有的措施

（一）建立完整全面的內(nèi)控記錄文檔，制定內(nèi)部控制目標(biāo)

企業(yè)應(yīng)采用流程圖或文字描述的方式建立全面的控制文檔記錄，并對現(xiàn)有文檔記錄進行持續(xù)的維護和更新。公司管理層要制定內(nèi)部控制目標(biāo)，并根據(jù)文檔記錄的控制點和風(fēng)險點每年至少進行一次正式的風(fēng)險評估。信息管理系統(tǒng)實施之后，內(nèi)部控制評估的目標(biāo)通常包括下面這些內(nèi)容：

①對整個流程和控制的設(shè)計進行評估，確定這些控制是否很好地滿足和支持最終業(yè)務(wù)目標(biāo)的實現(xiàn)。

②對崗位職責(zé)分離的評估，確保在整個流程中存在正確的稽核點和平衡點，對敏感業(yè)務(wù)交易給出足夠的訪問限制。

③評估控制方式是否合理，比如基于手工流程的控制和基于系統(tǒng)的自動控制是否搭配合理。

（二）堅持不相容職務(wù)分離原則

企業(yè)在信息化管理環(huán)境下更要堅持不相容職務(wù)分離原則，也就是要進行職務(wù)分隔。內(nèi)部控制制度能夠保證企業(yè)內(nèi)部關(guān)鍵機構(gòu)、崗位的合理設(shè)置及其職責(zé)、權(quán)限的合理劃分。堅持不相容職務(wù)互相分離，確保不同的機構(gòu)和崗位之間權(quán)責(zé)分明，互相制約，相互監(jiān)督。調(diào)整不適應(yīng)信息管理系統(tǒng)環(huán)境的崗位設(shè)置，完善各崗位職責(zé)，特別是管理崗位和稽核崗位，在不同崗位上加強預(yù)測、分析等職責(zé)，加強稽核對業(yè)務(wù)的指導(dǎo)、監(jiān)督、檢查等職責(zé)。

（三）前期，中期和后期控制相結(jié)合

在信息化管理環(huán)境下，企業(yè)內(nèi)部控制可簡單劃分為前期，中期和后期控制三個階段。前期控制包括預(yù)算控制和權(quán)限控制兩個方面，屬于預(yù)防性控制類型。預(yù)算控制使得在發(fā)生經(jīng)濟業(yè)務(wù)時，系統(tǒng)能自動將實際情況與預(yù)算目標(biāo)進行比較，對不符合目標(biāo)的業(yè)務(wù)操作進行否決或提請授權(quán)機構(gòu)決策；權(quán)限控制則能根據(jù)企業(yè)的組織結(jié)構(gòu)及員工的崗位職責(zé)，設(shè)置每個員工對系統(tǒng)的操作權(quán)限以及對信息的查詢范圍，系統(tǒng)將保證企業(yè)的各項業(yè)務(wù)活動均是由被批準(zhǔn)或被授權(quán)的員工執(zhí)行。中期控制主要是對操作程序進行控制，主要包括業(yè)務(wù)操作控制和會計系統(tǒng)控制。而后期控制則可以確保檢查報告的客觀性、可靠性，提高檢查效率、降低檢查成本，有利于企業(yè)及時發(fā)現(xiàn)在目標(biāo)實現(xiàn)及制度執(zhí)行過程中的各項偏差，屬于發(fā)現(xiàn)型控制類型。

（四）信息管理系統(tǒng)與其他接口數(shù)據(jù)的控制

企業(yè)在實際應(yīng)用中會遇到信息管理系統(tǒng)與其他系統(tǒng)數(shù)據(jù)接口問題，如在開發(fā)票時與稅務(wù)系統(tǒng)的接口，產(chǎn)品出入庫時與檢斤計量系統(tǒng)的接口等，企業(yè)信息管理系統(tǒng)和其他系統(tǒng)之間的接口是實現(xiàn)不同系統(tǒng)間數(shù)據(jù)和信息互聯(lián)互通的必需。由于不同系統(tǒng)的數(shù)據(jù)格式可能完全不同，為了實現(xiàn)數(shù)據(jù)的傳遞，就需要進行一系列的轉(zhuǎn)換，因此這些位于不同系統(tǒng)之間的接口是一個重要的風(fēng)險區(qū)域，內(nèi)控流程應(yīng)在系統(tǒng)接口點設(shè)置控制點，如設(shè)置訪問權(quán)限，加強稽核等方式，防范控制風(fēng)險發(fā)生。

（五）創(chuàng)新風(fēng)險管理措施，推行風(fēng)險在線監(jiān)控

依托信息管理系統(tǒng)平臺，從控制風(fēng)險出發(fā)，針對信息化環(huán)境下內(nèi)部控制風(fēng)險的新特點，權(quán)衡風(fēng)險與收益，制定相應(yīng)的風(fēng)險防范策略，建立“業(yè)務(wù)有流程，流程有標(biāo)準(zhǔn)，風(fēng)險有控制”的內(nèi)部控制操作體系，以保障信息系統(tǒng)數(shù)據(jù)和信息安全可靠，從而更好地實現(xiàn)內(nèi)部控制目標(biāo)。企業(yè)應(yīng)同時開展在線稽核，增強風(fēng)險管理的針對性和時效性，應(yīng)結(jié)合全面風(fēng)險管理，開展信息系統(tǒng)風(fēng)險梳理，建立統(tǒng)一的信息管理系統(tǒng)規(guī)則庫和風(fēng)險預(yù)警指標(biāo)體系，運用不同的業(yè)務(wù)稽核規(guī)則，稽核方案，稽核專題，通過系統(tǒng)的智能運算，尋找各類數(shù)據(jù)疑點，形成稽核結(jié)論，實施風(fēng)險全過程監(jiān)控，從而達(dá)到風(fēng)險可控在控的目的。

結(jié)言

信息管理系統(tǒng)作為企業(yè)管理信息化進程中一項重要的內(nèi)容，正逐步在企業(yè)中得到廣泛應(yīng)用。但是，當(dāng)我們關(guān)注其為企業(yè)帶來巨大的管理提升和經(jīng)濟效益的同時，也必須充分認(rèn)識到由于信息管理系統(tǒng)自身的特點所帶來的風(fēng)險。針對這些風(fēng)險，研究和制定信息化管理環(huán)境下企業(yè)的內(nèi)部控制策略，是信息管理系統(tǒng)應(yīng)用中不容忽視的新課題。