1、信息技术环境下企业内部控制信息技术环境下企业内部控制 任何企业在其经营活动中都会面临各种任何企业在其经营活动中都会面临各种各样的风险,企业的发展过程就是不断与各样的风险,企业的发展过程就是不断与各种风险打交道并降低和避免各种风险的各种风险打交道并降低和避免各种风险的过程。而信息技术的广泛应用,使企业的过程。而信息技术的广泛应用,使企业的生产、经营与管理模式产生了巨大的变化,生产、经营与管理模式产生了巨大的变化,一方面信息技术应用为企业增强了竞争力一方面信息技术应用为企业增强了竞争力的同时带来了新的风险,另一方面信息技的同时带来了新的风险,另一方面信息技术也能为控制风险提供新的手段。作为企术也能
2、为控制风险提供新的手段。作为企业管理重要组成部分的内部控制必须进行业管理重要组成部分的内部控制必须进行改革,以适应新的情况,本章就来讨论这改革,以适应新的情况,本章就来讨论这些问题。些问题。控制是针对风险而设立的,风险是导致控制是针对风险而设立的,风险是导致一个组织或机构发生损失的可能性,而控一个组织或机构发生损失的可能性,而控制则是降低或减少风险的活动。风险损失制则是降低或减少风险的活动。风险损失的大小是该风险事件发生的概率与该事件的大小是该风险事件发生的概率与该事件可能造成的损失的乘积。风险不仅仅是由可能造成的损失的乘积。风险不仅仅是由于缺少控制而产生的,它是任何组织的经于缺少控制而产生的
3、,它是任何组织的经营活动中固有的,其原因多种多样。控制营活动中固有的,其原因多种多样。控制可以减少风险,但不能消除其起因。可以减少风险,但不能消除其起因。过高的成本;不足的收入;资产的流失;过高的成本;不足的收入;资产的流失;会计的失误;经营的中断;违规的处罚;会计的失误;经营的中断;违规的处罚;竞争的弱势;舞弊与盗用;白领犯罪;法竞争的弱势;舞弊与盗用;白领犯罪;法人犯罪。见图人犯罪。见图9-1 不足的收入过高的成本资产流失经营的中断舞弊与窃取会计的失误竞争的弱势违规被处罚常见的风险常见的风险图图9-1 企业面临的传统风险企业面临的传统风险常见的常见的传统风险传统风险法人犯罪白领犯罪 白领犯
4、罪白领犯罪 是指管理层犯罪,这类犯罪有别于其他非法活是指管理层犯罪,这类犯罪有别于其他非法活动,它发生在犯罪人的工作中,当管理人员通过动,它发生在犯罪人的工作中,当管理人员通过某些欺骗手段将资产转移用途或隐瞒时,白领犯某些欺骗手段将资产转移用途或隐瞒时,白领犯罪就发生了。如会计作假账就是白领犯罪行为。罪就发生了。如会计作假账就是白领犯罪行为。法人犯罪。法人犯罪。是指表面上看只是对企业或组织有利,不是对是指表面上看只是对企业或组织有利,不是对犯罪者个人有利的白领犯罪,而实际上犯罪者个犯罪者个人有利的白领犯罪,而实际上犯罪者个人是间接受益的。法人犯罪给组织带来的风险可人是间接受益的。法人犯罪给组织
5、带来的风险可能更大。能更大。1.计算机系统消除了手工的大部分交易处理痕迹计算机系统消除了手工的大部分交易处理痕迹2.计算机系统中交易的授权和执行与手工系统有计算机系统中交易的授权和执行与手工系统有很大不同很大不同3.重新安排职责分离重新安排职责分离 4.对信息系统内控的依赖性,增加了差错多次发对信息系统内控的依赖性,增加了差错多次发生的可能性生的可能性5.更严峻的风险更严峻的风险 数据集中存储和管理,一但出现硬件故障,比如主机系统数据集中存储和管理,一但出现硬件故障,比如主机系统损坏,可能导致数据丢失甚至造成毁灭性的灾难。损坏,可能导致数据丢失甚至造成毁灭性的灾难。业务数据和财业务数据和财务数
6、据集成以后,内部管理上权限控制是重新分配的,新的控制措务数据集成以后,内部管理上权限控制是重新分配的,新的控制措施跟不上,就有可能造成控制的漏洞。施跟不上,就有可能造成控制的漏洞。在信息技术环境下,对技在信息技术环境下,对技术人员尤其是系统管理人员的控制问题变得异常突出。这些人员在术人员尤其是系统管理人员的控制问题变得异常突出。这些人员在极端情况下,可能会造成机器毁坏或整个系统瘫痪。极端情况下,可能会造成机器毁坏或整个系统瘫痪。信息在互联信息在互联网上传输,产生了易泄露的风险,还有各级权限密码保存、改动不网上传输,产生了易泄露的风险,还有各级权限密码保存、改动不当甚或丢失都可能造成重大损失。当
7、甚或丢失都可能造成重大损失。信息技术是双刃剑,有正面的价值,也有负面信息技术是双刃剑,有正面的价值,也有负面的影响。我们的任务就是千方百计发挥和利用信的影响。我们的任务就是千方百计发挥和利用信息技术的正面效用而减少或避免其负面影响,这息技术的正面效用而减少或避免其负面影响,这就为内部控制提出了新的挑战,我们必须认识这就为内部控制提出了新的挑战,我们必须认识这一点。好在信息技术在内部控制工作中也可以大一点。好在信息技术在内部控制工作中也可以大有作为,甚至可以帮助完成人工不可能实现的控有作为,甚至可以帮助完成人工不可能实现的控制任务,这完全取决于我们的研究与探索。企业制任务,这完全取决于我们的研究
8、与探索。企业信息化完全改变了原来业务处理的模式、秩序、信息化完全改变了原来业务处理的模式、秩序、稳定性和安全性,需要我们建立一个全新的信息稳定性和安全性,需要我们建立一个全新的信息技术环境下的以信息技术为工具的内部控制体系,技术环境下的以信息技术为工具的内部控制体系,也就是要建立一个基于信息技术的具有稳定性、也就是要建立一个基于信息技术的具有稳定性、安全性的新的业务处理模式。安全性的新的业务处理模式。一、内部控制的基本概念一、内部控制的基本概念 美国美国COSO委员会在委员会在内部控制内部控制整整体框架体框架中将内部控制定义为:内部控制中将内部控制定义为:内部控制是由企业董事会、经理层和其他员
9、工实施是由企业董事会、经理层和其他员工实施的,为营运的效率效果、财务报告的可靠的,为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提性、相关法令的遵循性等目标的达成而提供合理保证的过程。对此定义我们可作如供合理保证的过程。对此定义我们可作如下理解:下理解:1.内部控制是一个流程,受公司董事会、管内部控制是一个流程,受公司董事会、管理层和员工行为的影响。内部控制流程中理层和员工行为的影响。内部控制流程中一切活动的设计,都必须始终围绕实现下一切活动的设计,都必须始终围绕实现下列三个目标提供合理的保证:列三个目标提供合理的保证:经营的效果与效率;经营的效果与效率;财务报告的真实与可
10、靠;财务报告的真实与可靠;经营活动的合法与合规。经营活动的合法与合规。2.内部控制的实施基于两个前提:内部控制的实施基于两个前提:第一个前提是第一个前提是责任责任,管理层和董事会有责任建立管理层和董事会有责任建立并维持一个有效的内部控制流程。虽然具体的控并维持一个有效的内部控制流程。虽然具体的控制活动的责任由某些下属承担,但最终的责任仍制活动的责任由某些下属承担,但最终的责任仍属于最高管理层和董事会。尽管内部审计师最熟属于最高管理层和董事会。尽管内部审计师最熟系内部控制的知识,但内部控制并不是由审计师系内部控制的知识,但内部控制并不是由审计师负责,而是由管理层负责。审计师负责为管理层负责,而是
11、由管理层负责。审计师负责为管理层提供有关内部控制如何运行的信息。提供有关内部控制如何运行的信息。第二个前提是第二个前提是合理合的保证合理合的保证,这与控制的成本和,这与控制的成本和收益有关,精明的管理层不会让花在控制上的钱收益有关,精明的管理层不会让花在控制上的钱超过从控制上所能得到的收益。即控制的合算性。超过从控制上所能得到的收益。即控制的合算性。3.内部控制还要受到外部法制环境和企业经内部控制还要受到外部法制环境和企业经济环境的影响济环境的影响 任何企业都受制于国家发布的相关而具体的法律法任何企业都受制于国家发布的相关而具体的法律法规。一个企业必须保证它的所有生产经营活动符合规。一个企业必
12、须保证它的所有生产经营活动符合国家颁布并已生效了的相关法律法规。否则,违规国家颁布并已生效了的相关法律法规。否则,违规违法都会遭受处罚,形成经济损失。内部控制就是违法都会遭受处罚,形成经济损失。内部控制就是保证企业活动符合相关的法律法规的活动。保证企业活动符合相关的法律法规的活动。企业的内部控制流程将会随着某些情况的不同而改企业的内部控制流程将会随着某些情况的不同而改变,这些情况包括企业的规模,组织结构,所有者变,这些情况包括企业的规模,组织结构,所有者特征,传送、处理、保存和评价信息的方法、法律特征,传送、处理、保存和评价信息的方法、法律法规的要求,经营的多样性和复杂程度等。比如,法规的要求
13、,经营的多样性和复杂程度等。比如,小型企业中就可能没有足够的雇员来做到和大企业小型企业中就可能没有足够的雇员来做到和大企业同样程度的职责分离。同样程度的职责分离。确定内部控制的目标是管理过程的一个重要组确定内部控制的目标是管理过程的一个重要组成部分,是搞好内部控制的先决条件。内部控制成部分,是搞好内部控制的先决条件。内部控制的目标决定了内部控制的要素、手段和具体实施的目标决定了内部控制的要素、手段和具体实施办法。控制是为了减少风险,在对企业的风险分办法。控制是为了减少风险,在对企业的风险分析中,常常结合经营活动的四个一般循环来进行,析中,常常结合经营活动的四个一般循环来进行,每个交易循环都可能
14、存在风险,那么管理层就应每个交易循环都可能存在风险,那么管理层就应该明确每个交易循环的具体控制目标,这些控制该明确每个交易循环的具体控制目标,这些控制目标为分析风险提供了一个基础,便于找到风险目标为分析风险提供了一个基础,便于找到风险并评估其大小,从而有针对性地设计控制措施。并评估其大小,从而有针对性地设计控制措施。图图9-2 列出了每个交易循环的典型控制目标。列出了每个交易循环的典型控制目标。典型的控制目标典型的控制目标收入循环收入循环顾客应该是按管理层的标准认可的所提供的货物和服务是按管理层的标准认可的所提供的货物的装运应以给顾客的账单为结束给顾客的通知单应被准确分类、总结和报告支出循环支
15、出循环供货商应该是按管理层的标准认可的雇员应该是按管理层的标准录取的员工工资、费用记录应该是按管理层的标准批准的报酬率和工资扣减应该是按管理层的标准认可的付供应商的货款应该被批准、适当的分类、总结并报告生产循环生产循环生产计划应该是按管理层的标准认可的产品的生产成本应该被批准、适当的分类、总结并报告财务循环财务循环债务记录的金额及时间应该是按管理层的标准认可的接近现金及证券的行为应该是按管理层的标准批准的图图9-2 交易交易循环中典型的控制目标 一个企业的内部控制过程包括五个要素:一个企业的内部控制过程包括五个要素:控制环境,风险评估,控制活动,信息与控制环境,风险评估,控制活动,信息与沟通,
16、监督。沟通,监督。COSOCOSO将内部控制要素以一个将内部控制要素以一个金字塔结构提出,其中控制环境作为金字金字塔结构提出,其中控制环境作为金字塔的最底部,风险评估和控制活动位于上塔的最底部,风险评估和控制活动位于上一层次,信息和沟通接近顶部,监督处于一层次,信息和沟通接近顶部,监督处于最顶端。如图最顶端。如图9-39-3所示。所示。控制环境控制环境风险评估风险评估控制活动控制活动信息与沟通信息与沟通监督监督内内 部部 控控 制制图图9-3 9-3 内部控制五要素内部控制五要素 一个组织的控制环境是控制系统中其他要素的一个组织的控制环境是控制系统中其他要素的基础基础。控制环境是。控制环境是各
17、种因素各种因素共同作用的结果,这共同作用的结果,这些因素可以增强或弱化内控措施的实施效果。因些因素可以增强或弱化内控措施的实施效果。因此,此,控制环境决定着组织的整体风格,左右着员控制环境决定着组织的整体风格,左右着员工的控制意识,直接影响控制效果。控制环境包工的控制意识,直接影响控制效果。控制环境包括企业文化;包括企业的经营重点和经营目标;括企业文化;包括企业的经营重点和经营目标;包括管理层的管理哲学和经营风格;包括企业实包括管理层的管理哲学和经营风格;包括企业实施的权责分配方法和执行的人事政策;还包括员施的权责分配方法和执行的人事政策;还包括员工的职业道德、敬业精神和个人才能等。工的职业道
18、德、敬业精神和个人才能等。道德准则道德准则 企业文化企业文化 敬业精神敬业精神 管理哲学管理哲学 组织结构组织结构 董事会及下属委员会的职能董事会及下属委员会的职能 权责分配方式权责分配方式 人力资源政策与实施人力资源政策与实施 潜在的道德违规对企业意味着重大的损失潜在的道德违规对企业意味着重大的损失风险。这些风险可能是缴纳巨额罚金,也风险。这些风险可能是缴纳巨额罚金,也可能是企业行政官员被起诉。比如,美国可能是企业行政官员被起诉。比如,美国一家利用氰化物从胶卷中提取银的公司,一家利用氰化物从胶卷中提取银的公司,曾导致一名员工死亡。该公司被指控蓄意曾导致一名员工死亡。该公司被指控蓄意营造危险工
19、作环境,三位行政官员被判谋营造危险工作环境,三位行政官员被判谋杀罪定刑杀罪定刑25年监禁。年监禁。每个企业都有自己的企业文化,企业文化与全每个企业都有自己的企业文化,企业文化与全体员工的一般信念、追求、价值取向、行为和态体员工的一般信念、追求、价值取向、行为和态度有关。企业文化可能促进也可能阻碍企业的道度有关。企业文化可能促进也可能阻碍企业的道德行为,进而影响内控的效果。如果企业文化存德行为,进而影响内控的效果。如果企业文化存在严重问题,内控效果就会大打折扣,一个健康在严重问题,内控效果就会大打折扣,一个健康的企业文化会使内控事半功倍。的企业文化会使内控事半功倍。塑造一种具有高尚道德行为的企业
20、文化十分困塑造一种具有高尚道德行为的企业文化十分困难,它需要员工有较高的受教育程度,有较高的难,它需要员工有较高的受教育程度,有较高的觉悟和组织纪律性;需要管理者具有莫大的人文觉悟和组织纪律性;需要管理者具有莫大的人文关怀和公平、公正而又艺术的执政风格。关怀和公平、公正而又艺术的执政风格。任何内部控制过程要想发挥作用,员工任何内部控制过程要想发挥作用,员工的能力都是必不可少的。员工的品质、能的能力都是必不可少的。员工的品质、能力和敬业精神保证了控制过程的执行。若力和敬业精神保证了控制过程的执行。若没有具有足够能力和起码觉悟的员工,任没有具有足够能力和起码觉悟的员工,任何控制过程都不能发挥作用。
21、何控制过程都不能发挥作用。一个组织中的有效控制基于并且依赖于一个组织中的有效控制基于并且依赖于组织的管理风格。如果管理层相信控制是组织的管理风格。如果管理层相信控制是重要的,那么他就应该实行监督使得控制重要的,那么他就应该实行监督使得控制措施得到有效执行。如果管理层只把控制措施得到有效执行。如果管理层只把控制的重要性停留在口头上,久而久之其下属的重要性停留在口头上,久而久之其下属会觉察到管理层的真实态度会觉察到管理层的真实态度说说而已,说说而已,从而使控制的目标得不到实现。从而使控制的目标得不到实现。ffff一个组织的结构是由这个组织中的授权和责任类型决定的。如下图。一个组织的结构是由这个组织
22、中的授权和责任类型决定的。如下图。总总 裁裁生产副总裁内部审计长主计长销售副总裁财务主管管理副总裁生产控制采购装运收获存储生产成品存货控制预算纳税筹划会计经理计时开单应收账款应付帐款成本会计薪酬费用分类账总分类账促销顾客服务销售订单人事效益经营办公室收发室信贷出纳保险 图图9-4 组织结构图组织结构图 图中开单人对会计经理负责,会计经理对图中开单人对会计经理负责,会计经理对会计主管负责,会计主管则对总裁负责。会计主管负责,会计主管则对总裁负责。一个企业需要建立科学而有效的组织结构,一个企业需要建立科学而有效的组织结构,使得权责分明,沟通渠道规范。如图中所使得权责分明,沟通渠道规范。如图中所示,
23、开账单的人不应该把行动的结果向生示,开账单的人不应该把行动的结果向生产副总裁报告,否则就是非正常的组织结产副总裁报告,否则就是非正常的组织结构。构。一个组织的董事会是连接组织的所有者一个组织的董事会是连接组织的所有者股东股东和组织的经营和组织的经营管理层管理层的纽带。股东们通过董事会的纽带。股东们通过董事会及其下设的委员会对管理层进行控制。董事会通及其下设的委员会对管理层进行控制。董事会通常将专有的职能售给各种各样的委员会,其中最常将专有的职能售给各种各样的委员会,其中最为重要的就是为重要的就是审计委员会审计委员会。审计委员会应独立于。审计委员会应独立于组织的管理层,主要由董事会以外的人员组成
24、,组织的管理层,主要由董事会以外的人员组成,其职能是对组织的财务报告负责,包括遵守现行其职能是对组织的财务报告负责,包括遵守现行的法律法规。审计委员会任命执业会计师,与他的法律法规。审计委员会任命执业会计师,与他们讨论审计的范围和性质,并评价该组织的编制们讨论审计的范围和性质,并评价该组织的编制的财务报告。为保持内部审计的独立性,内部审的财务报告。为保持内部审计的独立性,内部审计应直接向董事会下属的审计委员会报告。见图计应直接向董事会下属的审计委员会报告。见图9-5 董事会董事会下属的审计委员会总裁内部审计其他人员主计长图图9-5 审计委员会审计委员会 一个组织的权责分配方式取决于组织内一个组
25、织的权责分配方式取决于组织内部的管理风格和经营模式。如果只有口头部的管理风格和经营模式。如果只有口头上的或非正式的权责分配形式,控制可能上的或非正式的权责分配形式,控制可能会弱化或形同虚设。一张正式的组织结构会弱化或形同虚设。一张正式的组织结构图或一份书面文件经常用来表明组织总体图或一份书面文件经常用来表明组织总体的权责分配情况,组织结构图往往与正式的权责分配情况,组织结构图往往与正式的的职责描述职责描述和职责分配的陈述联合使用。和职责分配的陈述联合使用。书面备忘录、政策手册和程序手册也是一书面备忘录、政策手册和程序手册也是一些组织常用的权责分配手段。些组织常用的权责分配手段。公司的正式职员应
26、该是称职的,并且进行公司的正式职员应该是称职的,并且进行过大量有关职责方面的培训。大量实践和过大量有关职责方面的培训。大量实践和分析表明,职员在任何一个控制系统中都分析表明,职员在任何一个控制系统中都是最为关键的因素。公司为每一个工作职是最为关键的因素。公司为每一个工作职位建立的用人条款都应该反映与这个职位位建立的用人条款都应该反映与这个职位相关的责任和具体要求,如:经验、才能相关的责任和具体要求,如:经验、才能品质、奉献精神和领导能力。在用人政策品质、奉献精神和领导能力。在用人政策的实施中常采用以下控制措施:的实施中常采用以下控制措施:忠诚保险忠诚保险 为职员的忠诚买保险,以便得到可靠的雇员
27、。为职员的忠诚买保险,以便得到可靠的雇员。职责分配职责分配 明确每一个员工职务和责任,界定职责范围。明确每一个员工职务和责任,界定职责范围。监督监督 被授权的人对员工直接督察,确保职责按分配执行。被授权的人对员工直接督察,确保职责按分配执行。轮流工作和强制休假轮流工作和强制休假 令员工在某段时间内执行其他员工的任务,以检查和令员工在某段时间内执行其他员工的任务,以检查和校验其他人的业务。校验其他人的业务。双重控制双重控制两个执行同一任务的员工必须经常相互检查同伴的工两个执行同一任务的员工必须经常相互检查同伴的工作,建立责任共同体。作,建立责任共同体。风险评估是提高内部控制效率和效果的风险评估是
28、提高内部控制效率和效果的关键。任何组织都会面临来自其内部和外关键。任何组织都会面临来自其内部和外部的风险,各个组织都必须进行风险评估,部的风险,各个组织都必须进行风险评估,以识别、分析、管理风险。一般而言,风以识别、分析、管理风险。一般而言,风险会随以下因素而产生或变化:经营环境险会随以下因素而产生或变化:经营环境变化、改造和更换新的信息系统、新的员变化、改造和更换新的信息系统、新的员工、新技术应用等。不健全或无效的内部工、新技术应用等。不健全或无效的内部控制措施就是风险存在的信号。控制措施就是风险存在的信号。控制活动是指管理者为了确保管理指令能够得以控制活动是指管理者为了确保管理指令能够得以
29、有效实施而制定并实行的各种政策和步骤。旨在为有效实施而制定并实行的各种政策和步骤。旨在为组织中每个特定的控制目标的实现提供合理的保证,组织中每个特定的控制目标的实现提供合理的保证,这些特定的控制目标包括:这些特定的控制目标包括:必须有任务分割以防止员工在其正常职责范围内作弊必须有任务分割以防止员工在其正常职责范围内作弊并隐瞒并隐瞒。(职责分离)。(职责分离)设计和使用适当的文档和记录以保证交易和事件的适设计和使用适当的文档和记录以保证交易和事件的适当记录当记录。(留迹)。(留迹)只有得到管理层的授权才能接近资产只有得到管理层的授权才能接近资产。(物理隔离)。(物理隔离)对资产和工作情况的相关责
30、任进行独立的检查。对资产和工作情况的相关责任进行独立的检查。对数据处理进行控制以保证交易的合理授权、业务数对数据处理进行控制以保证交易的合理授权、业务数据处理的准确性与完整性。据处理的准确性与完整性。围绕在控制活动周围的是信息与沟通系统。该围绕在控制活动周围的是信息与沟通系统。该系统使企业内部的员工能够取得他们在执行、管系统使企业内部的员工能够取得他们在执行、管理和控制企业经营过程中所需要的信息,并交换理和控制企业经营过程中所需要的信息,并交换这些信息,使企业内部的每一个员工都能够履行这些信息,使企业内部的每一个员工都能够履行其职责。有效沟通的含义包括:必须了解自己在其职责。有效沟通的含义包括
31、:必须了解自己在内部控制制度中扮演的角色,以及每个人的活动内部控制制度中扮演的角色,以及每个人的活动如何影响他人的工作;必须具有相上沟通重要信如何影响他人的工作;必须具有相上沟通重要信息的渠道和方法;还应向顾客、供应商、政府主息的渠道和方法;还应向顾客、供应商、政府主管机关和股东等进行有效沟通。健全的管机关和股东等进行有效沟通。健全的信息系统信息系统必须以标准化的文件、报表、政策手册、备忘录必须以标准化的文件、报表、政策手册、备忘录等形式,有效地传输或沟通各种信息。等形式,有效地传输或沟通各种信息。监督是指长期评价内部控制质量、必要时还要监督是指长期评价内部控制质量、必要时还要采取必要行动的一
32、个不间断的过程。采取必要行动的一个不间断的过程。监督是对内部控制的整体框架及其运行情况的监督是对内部控制的整体框架及其运行情况的跟踪、监测和调节,以自始自终确保其有效性。跟踪、监测和调节,以自始自终确保其有效性。监督可以通过日常的监控活动来完成,也可通过监督可以通过日常的监控活动来完成,也可通过执行独立监督(内部审计和外部审计)或二者结执行独立监督(内部审计和外部审计)或二者结合起来实现。如内部审计的目标就是通过向管理合起来实现。如内部审计的目标就是通过向管理层提供对以下活动或系统的分析与评估的结果,层提供对以下活动或系统的分析与评估的结果,来为管理层服务:来为管理层服务:组织的信息系统组织的
33、信息系统 组织的内部控制结构组织的内部控制结构 对经营政策、程序和计划的遵守程度对经营政策、程序和计划的遵守程度 公司员工的业绩质量公司员工的业绩质量 内部控制的三个目标之间具有直接联系,内部控制的三个目标之间具有直接联系,他们代表了企业努力的目标;而五项要素他们代表了企业努力的目标;而五项要素代表了实现这些目标的所需元素。所有五代表了实现这些目标的所需元素。所有五项要素都与每一类目标相联系。为实现每项要素都与每一类目标相联系。为实现每一类目标一类目标如经营的效率和效果如经营的效率和效果需需要五项要素共同发挥作用,以说明经营的要五项要素共同发挥作用,以说明经营的内部控制是有效的。内部控制是有效
34、的。这五项要素既相互独立又相互联系,这五项要素既相互独立又相互联系,形成一个有机统一体,对不断变化的环形成一个有机统一体,对不断变化的环境自动作出反应。境自动作出反应。(一)业务控制与信息系统控制的分离(一)业务控制与信息系统控制的分离 信息技术的应用对内部控制五要素的影响信息技术的应用对内部控制五要素的影响程度是不同的。其中,由于程度是不同的。其中,由于控制活动控制活动是实是实现控制目标的规章制度、岗位设置和流程现控制目标的规章制度、岗位设置和流程定义等具体措施,而且依赖于企业的业务定义等具体措施,而且依赖于企业的业务流程,所以业务流程的自动化必然对控制流程,所以业务流程的自动化必然对控制活
35、动产生的影响最大。信息技术环境下的活动产生的影响最大。信息技术环境下的控制活动分离出两个分支:自动化业务控控制活动分离出两个分支:自动化业务控制和信息系统控制。制和信息系统控制。自动化业务控制就是以信息技术实现的传统控自动化业务控制就是以信息技术实现的传统控制活动,如机上授权,机上审批等。他的控制目制活动,如机上授权,机上审批等。他的控制目标与传统控制活动的控制目标一致,都是为了达标与传统控制活动的控制目标一致,都是为了达到营运的效率效果、财务报告的可靠性和相关法到营运的效率效果、财务报告的可靠性和相关法令的遵循性等目标。自动化业务控制的控制对象令的遵循性等目标。自动化业务控制的控制对象与传统
36、业务控制的控制对象是一致的,都是企业与传统业务控制的控制对象是一致的,都是企业的生产经营过程。不过,自动化业务控制的存在的生产经营过程。不过,自动化业务控制的存在形式和控制手段发生了很大变化。它形式和控制手段发生了很大变化。它以计算机程以计算机程序的形式嵌入企业的信息系统中序的形式嵌入企业的信息系统中,对业务的控制,对业务的控制由计算机自动执行。由计算机自动执行。信息系统控制是为了保证信息系统效率、安全性和完整信息系统控制是为了保证信息系统效率、安全性和完整一致性而采取的控制措施。信息系统控制的控制目标服从一致性而采取的控制措施。信息系统控制的控制目标服从于业务控制目标,包括以下三点:于业务控
37、制目标,包括以下三点:效率效率 信息系统的全部资源应该被充分开发利用。信息系统的全部资源应该被充分开发利用。安全性安全性 信息系统的软、硬件和数据资源应得到最高水平的保护,信息系统的软、硬件和数据资源应得到最高水平的保护,敏感部位应防止未经授权的人员接触。敏感部位应防止未经授权的人员接触。完整一致性完整一致性 信息系统的完整性一致性指信息系统的处理逻辑应该符合信息系统的完整性一致性指信息系统的处理逻辑应该符合企业的商业规则,所输出的信息精确而有效。企业的商业规则,所输出的信息精确而有效。在信息化程度较高的企业中,传统的手工业在信息化程度较高的企业中,传统的手工业务控制活动完全由自动化业务控制活
38、动所取代。务控制活动完全由自动化业务控制活动所取代。自动化业务控制与信息系统控制其控制活动有自动化业务控制与信息系统控制其控制活动有许多不同的特点,具体变化如下:许多不同的特点,具体变化如下:1.交易授权交易授权 交易授权是将交易的执行限定给经过选择的交易授权是将交易的执行限定给经过选择的人。信息技术环境下的交易授权有以下几点变人。信息技术环境下的交易授权有以下几点变化:(化:(1)交易授权自动化。()交易授权自动化。(2)授权过程不)授权过程不明显。明显。职责分离通过将职责分离通过将交易授权交易授权、交易记录交易记录和和资产资产监管监管等职责分配给不同的人得以实现。即:交等职责分配给不同的人
39、得以实现。即:交易(业务)活动要得到授权;活动情况(结果)易(业务)活动要得到授权;活动情况(结果)由另外的人记载(记账);负责交易的人不能由另外的人记载(记账);负责交易的人不能监管资产;监管资产的人不能单独记录(记账)监管资产;监管资产的人不能单独记录(记账)资产增减。资产增减。在信息技术环境下,能用计算机进行自动处在信息技术环境下,能用计算机进行自动处理的业务流程中的职责没有必要进行划分。因理的业务流程中的职责没有必要进行划分。因为计算机没有私心,也不会倦怠,在其运行过为计算机没有私心,也不会倦怠,在其运行过程中不会像人那样会犯错误或故意作弊,原来程中不会像人那样会犯错误或故意作弊,原来
40、手工环境下本不相容的职责,现在由一个程序手工环境下本不相容的职责,现在由一个程序模块来执行也不会出问题。模块来执行也不会出问题。监管是指管理者对员工的监视和管理。监管是针对职责监管是指管理者对员工的监视和管理。监管是针对职责分离不充分的一个补救措施。充分的职责分离需要企业有分离不充分的一个补救措施。充分的职责分离需要企业有大量的员工,这对中小型企业和一些缺少人手的部门来说大量的员工,这对中小型企业和一些缺少人手的部门来说有一定困难,所以不充分的职责分离在所难免。为了避免有一定困难,所以不充分的职责分离在所难免。为了避免不充分的职责分离可能带来的损失,企业采用监管作为补不充分的职责分离可能带来的
41、损失,企业采用监管作为补救的措施。在信息技术环境下,自动业务流程中的职责分救的措施。在信息技术环境下,自动业务流程中的职责分离大部分被计算机程序所取代,不存在职责分离是否充分离大部分被计算机程序所取代,不存在职责分离是否充分的问题,所以没必要针对自动业务流程进行监管。但是,的问题,所以没必要针对自动业务流程进行监管。但是,信息系统的开发、维护和处理操作等活动仍然存在着职责信息系统的开发、维护和处理操作等活动仍然存在着职责分离,而且管理这些活动中的员工有一些新的难点,所以分离,而且管理这些活动中的员工有一些新的难点,所以对信息系统的监管十分重要,传统的监管手段也发生了一对信息系统的监管十分重要,
42、传统的监管手段也发生了一定的变化。定的变化。业务记录是指企业为了反应和控制各项生产经营业务以业务记录是指企业为了反应和控制各项生产经营业务以文字形式对业务活动的发生、进展和结束等的全过程进行文字形式对业务活动的发生、进展和结束等的全过程进行记载,主要包括业务活动的授权记录、接受记录和会计记记载,主要包括业务活动的授权记录、接受记录和会计记录等。这些记录反映了经济业务的实质,并为内部控制和录等。这些记录反映了经济业务的实质,并为内部控制和审计提供了交易轨迹。审计提供了交易轨迹。在信息技术环境下,业务记录的载体由纸质变成了磁质。在信息技术环境下,业务记录的载体由纸质变成了磁质。同时,纸质的交易轨迹
43、不复存在,取而代之的是数据库记同时,纸质的交易轨迹不复存在,取而代之的是数据库记录和操作日志等磁记录。信息技术在改变交易轨迹形式的录和操作日志等磁记录。信息技术在改变交易轨迹形式的同时也对交易轨迹的法律效力产生了影响。员工在纸质凭同时也对交易轨迹的法律效力产生了影响。员工在纸质凭证上的签字可以证明确实是他对交易进行了授权或确认,证上的签字可以证明确实是他对交易进行了授权或确认,但在磁质交易记录上的操作员字段信息的法律效力却受信但在磁质交易记录上的操作员字段信息的法律效力却受信息系统的完整性、正确性和安全性的影响。息系统的完整性、正确性和安全性的影响。接触控制是保证只有经过授权的人才能接触控制是
44、保证只有经过授权的人才能接触企业资产的控制行为,接触企业资产的控制行为,限制非授权者限制非授权者接近资产,常用方法如下:接近资产,常用方法如下:现金登记簿和保险柜现金登记簿和保险柜锁、保险库和禁区锁、保险库和禁区人力保卫人力保卫监视器监视器报警系统报警系统 当然,上述措施要配套:比如锁要有钥匙,当然,上述措施要配套:比如锁要有钥匙,监视器要有人监视才行。监视器要有人监视才行。独立稽核是指验证另一个人或另一个部门执行的工作。独立稽核是指验证另一个人或另一个部门执行的工作。通过独立稽核,管理层可以评估员工的业绩、信息系统完通过独立稽核,管理层可以评估员工的业绩、信息系统完整性和交易记录的正确性。独
45、立稽核是一种事后措施,不整性和交易记录的正确性。独立稽核是一种事后措施,不同于监管。在手工环境下独立稽核是非常必要的,因为员同于监管。在手工环境下独立稽核是非常必要的,因为员工处理业务时可能会失误,而失误可能没有被监管等措施工处理业务时可能会失误,而失误可能没有被监管等措施所发现,此时独立稽核便成为最后的防范措施。在信息技所发现,此时独立稽核便成为最后的防范措施。在信息技术环境中,正常情况下计算机会始终如一地根据程序运行,术环境中,正常情况下计算机会始终如一地根据程序运行,如果程序精确而完整,那就没有必要对程序运行的结果进如果程序精确而完整,那就没有必要对程序运行的结果进行日常性的检查,这也正
46、是信息技术的应用会降低企业运行日常性的检查,这也正是信息技术的应用会降低企业运行成本的一个重要方面。但是这并不意味着企业没有必要行成本的一个重要方面。但是这并不意味着企业没有必要进行独立稽核。在信息系统维护或业务发生变化时,独立进行独立稽核。在信息系统维护或业务发生变化时,独立稽核仍然是确保计算机系统运行正确性的重要控制措施。稽核仍然是确保计算机系统运行正确性的重要控制措施。由于上述种种变化,企业在制定内部控由于上述种种变化,企业在制定内部控制制度设计内部控制措施时,应该对五个制制度设计内部控制措施时,应该对五个要素特别是控制活动要素充分考虑信息技要素特别是控制活动要素充分考虑信息技术应用带来
47、的影响。因为原来合理的、有术应用带来的影响。因为原来合理的、有效的控制措施,现在可能变得没有意义;效的控制措施,现在可能变得没有意义;原来不存在问题的业务环节,现在由于处原来不存在问题的业务环节,现在由于处理方式的改变可能风险陡增。这就需要认理方式的改变可能风险陡增。这就需要认真研究和识别控制对象与控制活动的变化,真研究和识别控制对象与控制活动的变化,设计相应的有针对性的控制措施。设计相应的有针对性的控制措施。设计交易处理控制的目的是确保一个组设计交易处理控制的目的是确保一个组织的内部控制的元素被用于实施某些应用织的内部控制的元素被用于实施某些应用系统,这些应用系统包含于组织的每个交系统,这些
48、应用系统包含于组织的每个交易循环中。交易处理控制由易循环中。交易处理控制由一般控制一般控制和和应应用控制用控制组成。一般控制影响全部的交易处组成。一般控制影响全部的交易处理;应用控制则被用于某些具体方面。理;应用控制则被用于某些具体方面。一般控制也即整体控制。实施一般控制的一般控制也即整体控制。实施一般控制的目的是为了确保信息系统的开发、实施、目的是为了确保信息系统的开发、实施、运行能在有序地、被控制的状态下运行。运行能在有序地、被控制的状态下运行。一般控制作用于所有的应用系统,成为围一般控制作用于所有的应用系统,成为围绕应用系统的保护层。见图绕应用系统的保护层。见图5-7。高层管理控制应用控
49、制信息系统的管理控制系统开发与维护控制数据资源管理控制质量管理控制安全管理控制信息系统外包管理控制运行管理控制图图5-7信息系统一般控制框架信息系统一般控制框架 随着企业信息化不断深入,信息系统已经成随着企业信息化不断深入,信息系统已经成为企业提供有竞争力的产品和服务的一项基础设为企业提供有竞争力的产品和服务的一项基础设施。因此,为保证信息系统的有效运行,必须全施。因此,为保证信息系统的有效运行,必须全力做好信息系统的管理控制工作。力做好信息系统的管理控制工作。CIO应通过下应通过下列手段对信息系统进行管理控制:列手段对信息系统进行管理控制:规划规划 规划工作建立一个组织的信息系统的目标。规划
50、工作建立一个组织的信息系统的目标。组织组织 筹集、分配实现目标所需的人、财、物资源。筹集、分配实现目标所需的人、财、物资源。控制控制 对信息系统实施总体控制:确定系统所需费对信息系统实施总体控制:确定系统所需费 用;分析系统可创造价值;控制系统人员的用;分析系统可创造价值;控制系统人员的 业务活动。业务活动。系统开发与维护控制是对新系统的分析、设计、实施以及现有系统系统开发与维护控制是对新系统的分析、设计、实施以及现有系统的改进与维护实施的控制。具体包括三个方面:的改进与维护实施的控制。具体包括三个方面:l系统开发控制系统开发控制 如有可能,内部审计人员应参与系统开发,除对开发过程进行监督,更