第壹,企業信息化挑戰內控。內部控制是現代企業管理的重要內容,也是國家五部委對上市企業規範管理的明確要求。企業建立內部控制制度的目的是:(1)保證生產經營的效果和效率;(2)保證財務報告的可靠性,以堵塞企業內部管理漏洞,保證企業生產經營數據的真實性,制定合理的業績評價指標和依據;(3)使企業自覺遵守國家和地方相關法律法規,防治企業內部舞弊。根據國際權威機構COSO委員會的定義,企業內部控制包括五個要素:(1)控制環境影響員工的內部控制意識,從而使內部控制得以實施,實現企業的戰略目標。(2)風險評估在日益激烈的市場競爭中,企業內部控制必須分析和了解所面臨的各種風險,並及時應對。(3)控制活動的政策和程序,以確保企業管理層的指示得以實現。控制活動主要包括:交易授權、職責分離、監督、業務記錄、聯系控制和獨立審計。(4)信息通信企業必須保證員工在實施、管理和控制企業經營過程中能夠獲得所需的信息,使員工能夠順利履行職責。(5)對內部控制的全過程進行監督,需要行使適當的監督,必要時進行修正。企業信息化增加了企業內部控制的潛在風險。在企業從傳統管理向信息化管理轉變的過程中,它不僅是現代企業必須遵循的基本管理規律,也是企業提高風險防範能力和管理水平的內在要求。二、企業信息化對內部控制的影響2.1主要體現在壹個方面:企業信息化的應用增加了企業決策者的管理範圍,企業組織結構扁平化,業務流程優化固化,內部控制體系必須與之相適應;(1)企業信息化改變了管理信息的收集、存儲和整理方式,數據的及時性、準確性和真實性大大提高,為實施更加有效的內部控制奠定了基礎;(2)企業信息化改變了管理信息的溝通和處理方式,提高了管理效率和信息集成,使企業內部控制由傳統控制向實時控制轉變。實時控制主要體現在:(1)控制目標從“確保資產的安全完整”轉變為“提高企業的經營效率和效益,實現增值”;(2)控制內容由“資本或資本核算要素的單壹變化控制”變為“企業價值鏈系統和網絡的多維控制”;(3)控制方式由“業務活動過程中的及時控制”改為“實時控制”;(4)控制信息,從“用貨幣價值控制”到“用時間、實物量、貨幣量控制信息”;(5)控制屬性,從靜態控制到動態控制,從局部控制到業務活動全過程的控制,從而滿足信息使用者隨時隨地獲取所需信息的需求。
2.2對內部控制五要素的影響(1)對控制環境的影響企業信息化使企業的組織結構趨於扁平化,管理層次降低,對企業管理者的素質提出了更高的要求,有利於決策者全面、及時地掌握企業的經營情況,為企業正確做出戰略、資源配置、績效評價等決策提供依據。(2)對風險評估的影響企業信息化規範和固化業務流程,系統控制降低人員疏忽或欺詐的風險;與此同時,信息存儲高度集中,系統故障、崩潰和數據竊取的風險增加。需要建立良好的IT治理機制,在災難發生時預防災難,減少損失。(3)對控制活動的影響①控制活動按照企業業務流程的節點控制設置,業務控制對象是企業的生產經營過程,業務控制由信息系統自動完成;(2)業務授權由信息系統完成,但授權過程不明顯,控制失效往往在損失發生後才被發現。關註並檢查系統授權的正確性和完整性;③業務職責分離、監督和獨立審計仍是重要的控制措施,信息系統應建立標準化的審批工作流程;④在信息環境下,業務記錄不是書面簽名、代碼、交叉索引等。,而是登錄密碼、操作日誌等技術手段,其有效性受到信息系統的正確性、完整性和安全性的影響;⑤在信息化環境下,由於網絡的遠程訪問,應通過防火墻、操作員權限設置、登錄密碼安全策略、信息系統審計等技術手段和管理措施實現信息資產的接觸控制。(4)對信息和通信的影響企業信息化有利於信息和通信的內部控制。有了完善的企業信息系統,員工在實施、管理和控制企業的業務運作過程中,可以更好地獲取所需信息,順利履行職責。當然,也要警惕借助高速信息處理能力的信息過量和造假問題。(5)對監管的影響借助信息系統,可以實現實時監管,從而提高監管的效果和效率。對信息系統的開發、實施和維護的監督應是監督的重點。企業應當運用CSA實務定期或不定期地對內部控制制度進行評價,評估其有效性和執行效率,從而更好地實現內部控制的目標。三。加強內部控制的對策3.1建立適應信息化建設的內部控制體系。企業信息化要服從企業的整體發展戰略,站在企業治理的高度,制定與企業發展戰略相融合的信息化戰略,從戰略投資和企業管理改革的角度降低企業信息化的風險。幫助企業管理層建立以企業戰略為導向,以外部環境為基礎,以業務和信息化融合為核心的信息戰略,並根據不同的業務發展需求整合信息資源,制定和實施信息化戰略,促進企業發展。3.2加強信息系統控制和審計在企業信息環境中,對信息系統的有效控制是企業進行正常生產經營活動的前提和保障。內部審計機構是信息系統控制最重要的執行者之壹。在信息系統開發、實施、維護和運行過程中,應進行嚴格的獨立審查和監督,確保信息系統的正確性、完整性和安全性。信息系統審計主要包括以下幾個方面:(1)評價信息系統管理、規劃和組織的戰略、政策、標準、程序及相關實踐。(2)評估企業在管理和實施信息系統技術基礎設施和運營做法方面的有效性和效率,以確保其完全支持企業的運營目標。(3)評估邏輯、環境和信息技術基礎設施的安全性,確保其能夠支持企業保護信息資產的需求,防止信息資產被擅自使用、披露、修改、損壞或丟失。(4)評估災難恢復和業務連續性計劃,確保企業在發生災難時能夠繼續處理業務。(5)評估應用系統的開發、獲取、實施和維護所采用的方法和過程,以確保其符合企業的業務目標。(6)評估業務系統和處理流程,以確保根據企業的業務目標管理相應的風險。3.3業務流程優化與固化的實施企業信息系統中蘊含著先進的管理思想,但其業務流程仍停留在手工環境的狀態,必然導致信息系統與業務流程的沖突,從而使企業的生產經營管理效率低下,並會形成內部控制的薄弱環節和諸多問題。因此,在企業信息化過程中,優化和固化業務流程具有重要意義。3.4加強企業人力資源管理企業管理應以人為本,人力資源管理是為實現企業目標而合理配置和開發企業人力資源的管理活動。在信息化環境下,企業加強內部控制的壹個重要方面就是加強人力資源管理。對於內部控制來說,人力資源管理的目標主要是保證和提高員工的素質和品行。信息化環境對從業人員的素質提出了更高的要求,不僅要熟悉業務,還要掌握軟件系統的操作。企業應通過完善的內部控制制度約束員工行為,建立良好的績效考核和激勵機制,防止企業重要信息資源的人才流失和相應的信息資源流失。3.5強調企業管理效率的實現依賴於管理流程的規範化、業務流程的順暢以及信息上傳和發布的及時準確。企業內控、ISO9001、TQM等管理體系都強調過程控制,壹切以數據為基礎。企業信息化建設的目標之壹是為管理者提供及時、準確、全面的管理數據。企業內部控制制度的建立是規範管理、保證企業信息系統有效運行的基礎,而信息系統是提高工作效率、保證管理信息及時準確、量化考核公正客觀、真正落實制度的關鍵。因此,無論是內部控制還是企業信息化應用,有效執行是關鍵。