《企业信息化与信息系统内部控制.docx》由会员分享,可在线阅读,更多相关《企业信息化与信息系统内部控制.docx(13页珍藏版)》请在第壹文秘上搜索。
1、企业信息化与信息系统内部限制自20世纪90年头以来,随者信息系统的发展,系统越来越困难化、大型化及网络化。各种各样的信息系统成为各种业务处理的核心,与此同时,互联网也起先向世界范用扩充。互联网的爆炸性发展对社会影响的广度和深度是以往任何一次产业革命所无法比拟的“互联网使信息资源的作用得到充分发挥,但也产生了众多担心全因素。大量的事实证明信息系统的平安、牢靠和有效变得越来越重要。信息系统成为政府和企业的中枢,在美国、日本及欧洲的些国家,政府部门和企业都相识到了信息系统内部限制的IIi要性,人们也越来越清晰地意识到有效管理和限制信息及信息相关技术是进入信息化社会的牢靠保障。信息系统内部限制是一个单
2、位在信息系统环境下,为f保证业务活动的有效进行,爱护资产的平安与完整,防止、发觉、订正错误与舞弊,合理确保信息系统供应信息的真实、合法、完整,而制定和实施的系列政策与程序措施。它是规范秩序、防范风险、遏制腐败、合理确保信息系统功效的有效途径,从而更好地确保组织目标的实现。凡是与信息系统的建立、运行维护、管理和业务处理有关的部门、人员和活动,都属于信息系统内部限制的对象。信息系统内部限制分为一般限制和应用限制。信息系统一般限制是应用于一个单位信息系统全部或较大范围的内部限制,其基本目标为保证数据平安、爱护计算机应用程序、防止系统被非法侵入、保证在意外中断状况下的接若运行等。有效的一般限制是保证应
3、用限制有效的一个型要因素,它供应应用系统运行和应用限制实施的环境。假如般限制薄弱,将会严峻地减弱相关的详细应用限制的牢靠性。由此,对一般限制的评价通常在应用限制评价之前进行。对一般限制的测评内容包括:单位整体范围平安支配和管理、访问限制、应用软件开发和变更限制、系统软件限制、职能分别限制、服务持续性限制。信息系统应用限制是被用于对详细应用系统的限制,一个应用系统一般由多个相关计克机程序组成,有些应用系统可能是困难的综合系统,牵涉到多个计算机程序和组织单元,与此相应,应用限制包括包含在计算机编码中的日常限制及与用户活动相关的政策和流程。对信息系统应用限制的测评内容包括各项业务的授权限制、完整性限
4、制、精确性限制。由于计.算机信息系统的数据处理与手工处理有很多不同,从而产生了新的内部限制内容和方式,因此开展信息系统审计针对企业信息系统内部限制的评测是很有意义的。一、信息化对内部限IM的影响企业信息化虽然对企业产生深远的影响,但是并没有变更企业经营管理的目标。因此,内部限制作为企业管理的一个组成部分,其总体目标也没有变更,仍旧是达到营运的效率和效果、财务报告的牢轼性以及遵循相关法令。当然,各项详细的限制活动和限制措施中的子目标应当依据详细的状况有所变更,对内部限制的五要素也产生了肯定的影响。-)对限制环境的影响限制环境的构成因素是多方面的,主要包括:企业的治理机制、组织结构与权贵分派体系、
5、企业管理者的素养、品德与管理哲学、企业文化、信息系统、人力资源政策及实务等等.企业信息化将影响企业的治理机制通过完善的企业信息系统,董驿会、监事会可以更刚好更全面的了解企业的全面信息,因而可以更好地进行战略制定、经理人员选择和绩效评价、企业运营状况监控等等,对企业进行更好的治理.小股东可以以较低的成本通过网络在线参与股东大会,而不必因为路途遥远等缘由放弃自己的权利,可以更好地维护自身的利益。信息化将使企业组织结构趋向扁平化,管理层次削减。信息化对企业管理者的索养提出了更淘的要求。企业所面临的商务环境竞争加剧、变更加速,管理者所能获得的信息量倍增,信息技术和信息系统在企业中的作用日益重耍,这些都
6、要求管理者不但要有更强的把握信息、利用信息的实力,在运营管理企业中利用好信息资源,而且要有对信息、信息技术和信息系统重要性和风险的相识和理解,制定良好的IT战略和IT规划。在网络环境下,人与人之间的干脆接触将有所削减。网络世界的无形性和匿名性将时人的心理造成肯定的影响,使部分人误以为借助网络为非作歹不简洁被抓住,从而可能降低犯邪的心理阀值。信息资产价值的提高可能诱使驾驭它的管理人员将其买给竞争对手的犯罪行为,而由于信息的无形性、可拷贝性,信息的泄密不易被发觉。再者网络的远程接入性也给犯罪分子供应了便利,他们只要获得一个登录密码就可能通过网络侵入系统,窃取企业重要的信息资产,或是使信息系统崩溃,
7、而不必像盗窃有形资产那样须要翻墙入室、避开警卫等麻烦之举。这些均对管理人员的品镌和道婢水平提出了更高的要求。同时也须要企业加强对信息资产、信息技术和信息系统的内部限制,通过良好的管理手段和技术户段降低风险。(二)对风险评估的影响在企业信息化环境下,业务流程的自动化降低了业务处理过程中源于人员疏漏或舞弊的风险.但另一方面,企业的运营管理越来越依靠于信息系统,信息在企业中的作用日趋重要,信息化环境促使信息存储高度集中、单位时间传递的信息忌大为提高,这些都增加了与信息资产和信息系统相关的风险。信息化环境下,假如信息系统失灵或崩溃,亚要信息被窃,都将给企业带来不行估量的损失。因此,企业应当作好有关信息
8、资产和信息系统方面的风险评估,建立良好的IT治理机制,削减灾难的发生以及灾难发生时的损失.(=)对限制活动的影响限制活动必需依据企业业务流程的状况和详细的限制点进行设置,因此.限制活动受到企业信息化的干脆影响.信息化环境下的限制活动分为两部分:自动化业务限制和信息系统限制。自动化业务限制的限制对象仍旧是企业的生产经营过程,但其形式和限制手段发生了很大变更。它以计算机程序的形式嵌入于企业信息系统之中,对业务的限制由计算机自动完成。信息系统限制是企业为了保证信息系统正确性、完整性和平安性而实行的限制措施,其限制对象是企业信息系统,包括计算机软懊件资源、应用系统、数据和相关人员等等信息系统的全部组成
9、要素。随着网络技术和电子商务的发展,信息系统限制还必需考虑网络平安和电子商务限制的问题。自动化业务限制和信息系统限制对限制活动有着不同要求,使得传统的六类限制活动都有肯定的变更。信息化环境卜的交易授权可以由计鸵机程序自动完成,使得授权过程不明显,限制的失效往往在发生损失后才被察觉。因此.管理者对交易授权的关注应当转移到对相关计算机程序的正确性和完整性的检杳上。在信息化环境卜.,计算机能够避开人类通常会犯的错误或舞弊,手工环境下的一些不相容的职贡可以由计算机来执行,所以职贡分别和员工的相互检查成为不必要的限制活动。同样,也没有必要针对自动业务流程进行监管和独立稽核。然而,对于信息系统的开发、实施
10、、维护和操作等活动,职费分别、监管以及独立稽核仍旧是歪要的限制措淮。在信息化环境卜.,业务记录不再是书面的签章、编码、交叉索引等,而是通过登录密码、操作日志等技术手段进行业务记录,其有效性受信息系统的正确性、完整性和平安性的影响。在信息化环境下,对计算机硬件设备的接触限制与传统方式下并无太大的区分,主要通过实物防护措施来进行0但对于信息资产的接触限制,由于网络的远程接入性,应当通过防火墙、操作员权限设置、登录密码平安策略、信息系统审计等等技术手段和管理措施加以实现。(四)对信息和沟通的影响企业信息化对内部限制的信息和沟通这一要素产生了有利的影响。在完善的企业信息系统的支持下,企业员工能够更好地
11、取得他们在执行、管理和限制企业经营过程中所需的信息,使员工顺当胜行其职责。当然,也要警惕信息技术可能带来的信息过量的问题,以及借助高速信息处理实力造假的问题。(五)对监督的影响借助信息技术,可以使一部分的监修过程自动完成,并且可能实现实时监督,从而提高监督的效果和效率。应当留意的是,对信息系统的开发、实施和维护过程所进行的监惇应当成为监督的至点。同时,“限制自我评估(CSA,Contro1.Se1.fAppraisa1.)w仍旧是很有益的作法。CSA是企业不定期或定期地对自己的内部限制系统进行评估,评估内部限制的有效性及其实施的效率效果,以期能更好地达成内部限制的目标。CSA有助于提高组织内部
12、限制的自我意识,帮助人们了解哪里存有缺陷以及可能引至的后果,然后实行行动改进这种状况,对于个企业加强管理、提高劳动生产率、改进内部审计程序和业务经营程序以及限制风险等都有着主动的作用。信息技术方面给企业带来了无限的朝气,另方面给企业内部限制带来了新的难题,信息系统内部限制理论孕育而生,促使企业内部限制体系进行发展和创新。从信息系统的角度来说,信息技术对企业内部限制体系的影响主要有以下几点.(一)计重机信息系统构成要素的困难性使得系统平安限制的难度加大企业计算机信息系统是个浩大而困琲的系统,电了商务是一种整合的经济模式,交易与服务活动的完成一般以InterneUExtranet和InIranet
13、三种网络为基础。计算机硬件、软件、人员和各种规程等构成了信息系统的基本要素。由于接件配置不合理、软件功能欠完善、系统操作失误、内部管理人处的非法访问及来自外部的恶意攻击等缘山,计算机信息系统的各个层面将面临若严峻的平安威逼。错综困难的网络结构使得系统平安问题日益突出,平安限制的难度将进一步加大。(二)计算机网络数据处理的集中性使得传统的蛆版限制功能总强网络的应用大大削减了人工输入环节,数据访问和数据交换都通过应用服务器进行。网络计算机集成化处理促使传统手工会计中制单、豆核、记帐等不相容岗位相互牵制制度的效力逐步减弱,传统的组织限制功能弱化。(三)计算机网络环境的开放性使得信息失真的风险加剧从信
14、息的取得渠道看,敢来源具有多样性有可能导致审计线索紊乱;从信息传递的方式看,大量信息通过网络通讯线路传输,为可能遭遇非法的拦截、富取和篡改:从信息的存储形式看,信息大都以电子数据的形式存储,肉眼很难分辨,易被修改、捌除、的匿、转移和伪造且不留痕迹。计算机网络系统的开放性和动态性加大了审计取证难度,加剧了会计信息失真的风险。(四)授权方式的变更,滞或着更大的经营风险和限制风险授权批准是传统内部限制的基本手段,通过严格限制相应环节的负货人员的权限,使每一个岗位上的负货人只在本岗位上有权处理数据,能加强各环节的内部牵制,有效的防止作弊。IT使权限分工成为口令形式,口令不像印章那样便于保管,且被偷看或
15、窃取,就会给企业带来巨大损失。假如有人窃取口令,非法核销企业的卖出产品数属和应收账款,然后收买销带人i窃取到顾客订单密码开出假订堆,就会骗取企业的产品,这就增大了企业的限制风险和经营风险。(五)审计人员面临的审计风险加大.在IT环境下审计人员对本身具有担心全性的信息资料和数据进行审计,加大了做出错误推断的可能性,使审计的限制风险和检查风险增大。审计风险AR=IRCKDR(IR为固有风险,CR为限制风险,DK为检查风险),IR.CR、I)R都增大了,相应的审计风险也就增大了,这对审计行业来讲是一个严峻的挑战。二、内部限制对信息化的反作用影响在实际中,信息化与企业内部限制二者的影响是互动的:信息化
16、影响了内部限制,内部限制反过来影响企业信息化的进程。我们在这里对内部限制对信息化有怎样的影响进行一下分析0依据企业从设计、建立到实施信息系统这个时间依次,我们可以得出在时间维度下,企业内部限制对企业信息化进程的反作用影响。在企业信息化的不同阶段,内部限制对企业信息化的影晌也不同.可以从三点进行分析:企业原有的内部限制基础将影响企业信息化进程、信息化进程中企业内部限制将影响信息化的质信和效率、信息化后企业内部限制将影响佶息系统的平安性和可用性。(一)企业原有的内部限制基础将影响企业信息化进程企业是否应当实施企业信息化?是企业确定信息化首要的问题:而这一切又取决丁企业管理U所制定的信息化规划、战略.管理U制定的信息化战略,又来源于其对信息化的相识,对企业整体行业状况及自身经营状况的宏观把握和其对信息化有利于企业改进完善内部限制和其他管理的相识程度,而这些管理层对信息化相识及其所制定的信息化战略规划是企业内
