《传统信息技术情境下的企业内部控制》由会员分享,可在线阅读,更多相关《传统信息技术情境下的企业内部控制(9页珍藏版)》请在金锄头文库上搜索。
1、传统信息技术情境下的企业内部控制一、传统信息技术情境下企业内控面临的主要问题会计信息化技术的应用,对企业的管理产生了很大影响,改变了企业经营管理战略、组织构造、作业管理流程及人力资源政策,在带给企业高效、便捷的同时,也使企业的内部控制出现了不少问题。1、网络环境下会计信息系统的内部控制出现新的问题计算机网络、硬件系统、软件系统的稳定性是计算时机计信息系统能否正常运行的前提。如果计算机网络、硬件系统、软件系统始终处于动乱的状态,计算时机计信息系统处理业务也将会处于动乱的状态,数据传输的可靠受到严重的危胁。开放的网络环境使得任何信息在理论上都有可能被到,因此在会计信息系统下,会计信息通过物理通信线
2、路传输存在着很大的平安隐患。一方面,从公司内部来说,公司内部人员凭借自身得天独厚的条件,能够窥测到并利用公司业务活动的薄弱环节作案,如果公司内部人员还掌握了高科技手段便可以有针对性地研究诸如破解加密技术,模拟防伪标志等手段实施作案。一般情况下,内部人员作案后,都会千方百计掩盖作案事实,消灭痕迹,制造假象,转移赃物,相关人员串通作案更给案件侦破带来极大困难。另一方面,从公司外部来说,黑客攻击时有发生。黑客通过程序侵入他人电脑,在电脑用户毫不知情下的情况下盗用或者篡改他人信息,更有甚者入侵到公司内部网络的数据库,窃取公司的商业XX后出卖给商业竞争对手,从中得利,却使该公司蒙受巨大损失。计算机系统的
3、硬件一旦发生物理性损坏,将引起数据库丧失,导致数据不能被处理,公司正常的经营不能进展。电源故障包括计算机内部供电与外部供电,当系统突然失去供电,易失性存储器中的数据将会丧失,从而威胁到会计信息的平安。操作系统软件和会计信息系统软件的设计和使用是否合法、合规,以及是否适应财务管理的需要都是计算时机计信息系统内部控制所需要解决的问题。会计信息系统的运行软件由于程序本身设计存在的问题,或者对数据校验考虑不周,都将影响到会计数据的完整性。2、计算机信息系统授权存在平安隐患传统手工会计授权下,对于每一项业务的每个环节都有相应工作人员的签名或印章。签名或印章的访写、仿造具有一定的难度。会计信息系统授权方式
4、是口令授权,口令授权存在于计算机系统内部。随着会计信息系统的进一步开展,电子原始数据经审核和确认后,就可自动生成电子记账凭证,而由这些记账凭证直接生成的账簿和报表都是派生性的数据。所以,账簿和报表的正确性、真实性完全取决于审核和确认的电子数据。在计算时机计信息系统下,常用的身份认证方式主要有用户名密码方式、IC卡认证、动态口令、USBKey认证、生物识别技术。目前,我国会计信息系统应用商业软件在身份认证管理上主要采用用户名密码方式,这种方式过于简单,在密码验证过程很容易被木马程序或网络中的监听设备截获,平安性极差。会计信息操作员在设置密码时,为了方便记忆,往往用“123、“1111或是生日、作
5、为操作员密码,甚至将密码设置为空值,极易破译。一些企业对身份认证疏于管理,会计信息系统管理员在员工已调离本企业后,依然在很长的一段时间内保存着该员工的账号,留下了平安隐患。在使用电子原始凭证的情况下,由于电子原始凭证的内容与载体相别离和易篡改性特征,不可能像对纸质原始凭证那样对载体进展审核,所以主要通过技术手段来保证业务处理的真实性,通常把这一系列技术手段称为电予签名。电子原始凭证进展电子签名的过程为:报文发送方用散列算法从报文中生成一个固定长度的报文摘要,用私有密钥对报文摘要进展加密后形成发送方数字签名并发送。所以收到电子原始凭证的企业应首先从认证中心取得发送方的公钥,再用它来解出报文摘要,
6、同时对报文进展散列运算得到报文摘要,如果这两个报文摘要一样,就可以确认这个凭证是签名者发送的,并且凭证的内容保持了发送时的原始状念,没有被更改。这个审核过程可以由计算机自动完成,由于相关技术已经较为成熟,而且它采用的是第三方审核的方式,认证中心具有独立的经济、法律地位,所以这种审核方式比审核纸质原始凭证更为可靠和快。3、数据过失具有重复性和蔓延性传统手工会计系统下,由于数据处理环节相对分散,一个环节数据出现错误,下一个环节还可以发现并更正。但是,计算时机计信息系统数据处理集中化、自动化,数据可以转入、拷贝,因此一个业务的数据错误往往会重复出现几次,从一个环节蔓延至其它环节,导致整个系统数据失真
7、,使得错误的严重性加大。例如:在录入原始会计数据期间,录入的错误数据就会再次用到会计科目汇总的过程中,影响到会计科目汇总的结果,导致科目汇总数据的错误。在进行经济指标分析时,又可能会再次使用到错误的科目汇总数据。可见,因一个数据的错误将会导致一连串系统的错误,最终导致整个会计信息系统的数据失真。可见,公司所使用计算时机计信息系统的合法、合规是公司使用计算时机计信息系统的前提保障;软件的合法、合规是公司使用计算时机计信息系统的必要条件,任何非法的软件都可能在软件内部镶嵌着病毒,一方面是破坏业务处理流程,另一方面使公司内部信息在业务处理的同时悄悄地泻漏出去。4、内部稽核难度加大手工会计系统中,会出
8、现由于会计人员的粗心大意、疲劳或处理环节过多等产生的无意错误。计算时机计信息系统后,输入数据正确、计算机程序正确和设备正常运转三者兼备才能保证财务信息的准确性,如果上述任何一方出现过失,就会使处理结果错误。现实中,由于储存在计算机磁性媒介上的数据容易被篡改,有时甚至能不留痕迹地篡改,加以数据高度集中,未经授权的人员有可能通过计算机和网络浏览全部数据文件,复制、伪造、销毁企业重要的数据,因此,计算机犯罪具有很大的隐蔽性和危害性,发现计算机舞弊和犯罪的难度较之手工会计系统更大。在计算时机计信息系统下,由于系统操作的高度集中,许多岗位可以合并,许多手续合并到计算机统一执行,会计工作人员大大减少,因而
9、必须建立适合计算时机计信息系统下的不相容业务。计算时机计系统与手工会计系统一样,对每一项可能引起舞弊或欺诈的经济业务,都不能由一个人或一个部门经手到底,必须分别由几个人或几个部门承当。在计算时机计系统中,不相容的职务主要有:系统开发、维护职务与系统操作的职务;数据维护管理职务与审核职务;数据录入职务与审核记账职务;系统操作的职务与系统档案管理职务等。通过计算机舞弊的犯罪分子大多是企业的程序员兼计算机操作员。计算时机计信息系统所要求的完善的人员职能控制制度就是适当分工,明确规定每个岗位的职责,以防止对处理过程的不适当干预。计算时机计信息系统工作岗位包括基本工作岗位和计算时机计信息系统会计岗位,前
10、者有会计主管、出纳,后者有系统主管、软件操作、审核记账、系统维护、审查和数据分析、档案管理、软件开发等。企业应将系统分析、程序设计、计算机操作、数据输入、文件程序管理等职务予以别离,系统操作人员、管理人员和维护人员这三种不相容职务相互别离,互不兼任,以减少利用计算机舞弊的可能性。企业为防止舞弊或欺诈,应建立一整套符合职责划分原那么的内部控制制度,同时,还应建立职务轮换制度。二、信息化情境对企业内控的现实要求1、对控制环境的要求一方面,信息化将使企业组织构造趋向扁平化,管理层次减少,人员精简,进而降低本钱和提高效率。同时,扁平化组织构造能够使物流和信息流更加顺畅,有利于工作周期的缩短、工作质量的
11、提高。随着扁平化组织构造的建立和信息系统的运行,企业的权责分派体系也出现了变化,主要包括岗位设置和交易授权。岗位设置。信息化环境下,工作岗位及其职责需要重新合并和划分。核算组、 会计信息运行组、转变为会计信息运行组岗位。有利于团队的成长和开展。就会计岗位而言,可以按照会计信息的不同形态划分为会计管理组。与此同时,会计岗位的重心由传统的总账报表岗位这种工作岗位及其职责的变化更加强调员工之间的竞争与合作交易授权。传统的交易授权大都采用签字和盖章等方式,而在信息化环境下,交易授权一般采用计算机口令和数字签名等手段。这种交易授权行为可以在人工介入很少的条件下,通过计算机程序自动完成。它减少了工作量,提
12、高了工作效率,但同时也出现了一个新的问题,即交易轨迹消失,这给内部控制的实施和评价带来了很多困难。另一方面,信息化对企业管理者的素质提出了更高的要求。企业所面临的竞争加剧、变化加速,管理者所能获得的信息量倍增,信息技术和信息系统在企业中的作用日益凸显。这些都要求管理者不但要有更强的把握信息、利用信息的能力,在运营管理企业中利用好信息资源,而且要有对信息、信息技术和信息系统重要性和风险的正确认识和理解,制定正确的信息技术战略和信息技术规划。2、对风险评估的要求在信息化环境下,企业经营管理的外部环境与内部因素都发生了变化。伴随着业务流程的重组,系统的开放性、信息的分散性、数据的共享性,使信息系统从
13、以往的封闭集中状态走向开放,给企业带来的风险主要有:由于信息的开放性和XX性,系统程序员、系统操作员、系统维护员等各类人员对其权限内的工作都设置一定的口令或密码,但是一旦系统操作员不怀好意,擅自改变他人的口令或密码,改变他人的权限,那么势必造成系统管理混乱,从而给企业带来风险。内部控制计算机程序化,可能导致同一错误反复发生。在信息化环境下,企业业务流程的自动化降低了业务处理过程中源于人员疏忽或舞弊的风险。但由于企业的运营管理越来越依赖于信息系统,信息在企业中的作用日趋重要,信息化环境促使信息存储高度集中、单位时间传递的信息量大为增加,这些都增大了与信息资产和信息系统相关的风险。信息化环境下,人
14、们的主观判断被无视,数据处理过于集中,存储的数据可以被不留痕迹地改写或删除,数据的存放方式增加了数据再现的难度,数据处理过程无法观测,等等。这些新的风险构成了企业内部控制的新内容。3、对控制活动的要求信息化环境下的控制活动分为两局部:自动化业务控制和信息系统控制。自动化业务控制的控制对象仍然是企业的生产经营过程,但其形式和控制手段发生了很大变化。它以计算机程序的形式嵌入企业信息系统之中,对业务的控制由计算机自动完成。信息系统控制是企业为了保证信息系统的正确性、完整性和平安性而采取的控制措施,其控制对象是企业信息系统,包括计算机软硬件资源、应用系统、数据和相关人员等信息系统的所有组成要素。随着网
15、络技术和电子商务的开展,信息系统控制还必须考虑网络平安和电子商务控制的问题。信息化环境下的交易授权可以由计算机程序自动完成,这使得授权过程不明显,控制的失效往往在发生损失后才被发觉。因此,管理者对交易授权的关注应该转移到对相关计算机程序的正确性和完整性的检查上。4、对信息沟通的要求在完善的信息系统的支持下,企业员工能够较好地取得他们在执行、管理和控制企业经营活动过程中所需的信息,使其职责能够顺利履行。当然,也要警觉信息技术可能带来的信息过量的问题,以及局部员工借助高速信息处理能力造假的问题。5、对监控的要求内部控制的程序化使得内部控制具有一定的依赖性并增加了过失发生的可能性。网络技术的应用使得内部控制具有人工控制与程序控制相结合的特点。这些程序化的内部控制的有效性取决于应用程序的有效性。如果程序发生过失或不起作用,人们对计算机系统的依赖性、麻痹大意以及程序运行的重复性会使得失效控制长期难以被发现,从而使系统在特定方面发生错误或违规行为的可能性加大。三、基于信息化情境的企业内控框架构建。1、国外关于信息化环境下的内部控制框架及标准1COBIT内部控制框架。该框架由美国信息系统审计与控制基金会ISACF
