浅谈信息系统管理和企业内部控制.docVIP

浅谈信息系统管理和企业内部控制 　　【摘 要】信息技术在企业管理中的作用日益凸显，这就要求企业必须加快信息化建设。企业信息化管理作为控制环境的一部分，深刻影响着会计系统和控制程序等内部控制要素。信息管理系统能带来诸多效益，但在信息化管理下的内部控制制度也存在一些问题，比如信息录入的关键控制缺失，网络化深入应用带来的信息安全风险等。本文旨在分析在信息化管理的新企业环境下，信息管理系统对内部控制的影响以及应有措施。 　　【关键词】信息化管理 信息管理系统 内部控制 风险 措施 　　引言 　　近年来，电子信息技术在企业管理领域的广泛运用，彻底改变了企业传统信息的储存和处理方式，从而适应了现代企业对信息的高标准和高要求。信息化管理是时代发展的需要，对企业的积极作用是毋庸置疑的，但同时它又是一把“双刃剑”，另一面带来的风险不可忽视。由于企业内部控制体系的不完善和有效控制手段的缺失，借助企业信息管理系统舞弊的案件屡有发生，而且这种行为具有危害大，隐蔽性强的特点。因此，研究信息化管理环境下企业内控及风险控制具有十分重要的意义。 　　一、信息化管理及内部控制的关系 　　信息化管理就是通过对信息数据的合理控制，实现资源高效配置，进而提高企业生产效率和决策水平，为企业获得持续竞争能力提供了有力保障。而内部控制，是指企业为实现经营目标，确保信息真实可靠，保护资产安全完整，遵循有关法律法规和规章制度，提高企业运营的经济性、效率性和效果性而制定和实施相关政策、程序和措施予以合理保证的过程。美国会计师协会对内部控制作出的权威性的定义：“内部控制是企业所制定的旨在保护资产、保证会计资料可靠性和准确性、提高效率，推动管理部门所制定的各项政策得以贯彻执行的组织计划和相互配套的各种方法及措施。” 　　在实际运作中，企业内部控制很大程度上依赖其信息化水平，信息化水平越高，内部控制得到的信息资源就越充分，实施效果就越明显。同时，企业的信息化管理也给企业内部控制带来新的风险。首先，风险评估范围拓宽。企业将所有信息高度集中于数据处理系统，一旦有不法分子利用病毒来窃取企业信息，可能使企业蒙受损失。企业通过风险识别、评估与防范新风险，这就拓宽了评估范围。其次，设备使用风险加大。信息管理系统由硬件和软件构成。硬件存在许多不可抗因素，如跳电、物理损失、人为误操作等，这些问题的出现增加了内部控制的难度。而软件主要指运行风险，如设计缺陷、与企业切合度不高、稳定性不够等都会带来新的风险。第三，增加了道德风险。信息化建设需要企业内部系统与外部网络连接，这会使信息使用者或操作人员通过公用通讯线路干预系统的机会变大，从而可能产生非授权的访问、篡改等隐蔽性较大的舞弊行为。 　　由此可见，企业好比是一艘轮船，信息化是推动器，而内部控制是舵轮，只有两者相互配合才能使行驶畅通无阻。 　　二、企业信息化环境下内部控制风险问题 　　（一）信息管理系统的数据来源，对信息质量产生影响 　　信息管理系统经常直接从其他系统采集数据，不必重新录入，减少了数据录入错误的机会，也保证了数据的完整性及时性。但是从其他系统直接采集的数据如果本身有错误，则该错误可能会带到内部管理系统，管理人员被动地接受其他系统生成的数据进行处理，审核功能被削弱。由于实现了数据的快速传输与数据共享，数据生成部门或客户如果反复更改同一经济业务的数据，也会给数据处理带来不便。 　　（二）信息流与单证传递相脱节，原始凭证形态发生变化 　　当企业的信息系统大规模联网时，数据可以跨部门、跨地区传输，且传输的速度极为迅速，而纸质原始凭证却不可能以同样的速度在需求部门之间进行传递，有些电子交易甚至没有产生纸质原始凭证。在这种情况下，数据处理时难以取得数据发生时产生的纸质原始凭证，而只能依赖原始数据管理部门的数据处理凭证，如业务部门的数据交换凭证或数据汇总凭证等。 　　（三）网络开发环境使内部控制壁垒变得脆弱 　　信息网络技术的发展使信息管理系统发生了质的变化，克服了以前单机信息系统的不足，使信息化管理环境下的内部控制更加完善。然而网络的开放性、共享性、分散性也给信息管理系统的内部控制带来新的问题，如重要信息通过网络传输可能被截获，收到病毒和黑客攻击的机率变大等。从理论上说，置于服务器上的任何信息都是可以被访问的，除非切断物理连接才能避免外来非授权访问者的侵扰。因此，企业必须定期对系统的安全性及内部控制能力进行评估，时时保持系统更新以降低网络环境带来的风险。 　　（四）信息和数据便于伪造，舞弊行为具有较大隐蔽性 　　在传统管理模式下，所有数据都是以单、证、帐、表的形式出现，其作为核对凭证，修改困难，修改后有明显痕迹，所以不便于伪造。而信息管理系统则完全不同，磁介质代替纸张作业，对信息和数据篡改后可以轻易抹去任何痕迹。而