企业信息化与信息系统内部控制.docx

1、企业信息化与信息系统内部控制企业信息化与信息系统内部控制自20世纪90年代以来，随着信息系统的发展，系统越来越复杂化、大型化及网络化。各种各样的信息系统成为各种业务处理的核心，与此同时，互联网也开始向世界范围扩充。互联网的爆炸性发展对社会影响的广度和深度是以往任何一次产业革命所无法比拟的。互联网使信息资源的作用得到充分发挥，但也产生了众多不安全因素。大量的事实证明信息系统的安全、可靠和有效变得越来越重要。信息系统成为政府和企业的中枢，在美国、日本及欧洲的一些国家，政府部门和企业都认识到了信息系统内部控制的重要性，人们也越来越清楚地意识到有效管理和控制信息及信息相关技术是进入信息化社会的可靠保障

2、。信息系统内部控制是一个单位在信息系统环境下，为了保证业务活动的有效进行，保护资产的安全与完整，防止、发现、纠正错误与舞弊，合理确保信息系统提供信息的真实、合法、完整，而制定和实施的一系列政策与程序措施。它是规范秩序、防范风险、遏制腐败、合理确保信息系统功效的有效途径，从而更好地确保组织目标的实现。凡是与信息系统的建立、运行维护、管理和业务处理有关的部门、人员和活动，都属于信息系统内部控制的对象。信息系统内部控制分为一般控制和应用控制。信息系统一般控制是应用于一个单位信息系统全部或较大范围的内部控制，其基本目标为保证数据安全、保护计算机应用程序、防止系统被非法侵入、保证在意外中断情况下的继续运

3、行等。有效的一般控制是保证应用控制有效的一个重要因素，它提供应用系统运行和应用控制实施的环境。如果一般控制薄弱，将会严重地削弱相关的具体应用控制的可靠性。由此，对一般控制的评价通常在应用控制评价之前进行。对一般控制的测评内容包括：单位整体范围安全计划和管理、访问控制、应用软件开发和变更控制、系统软件控制、职能分离控制、服务持续性控制。信息系统应用控制是被用于对具体应用系统的控制，一个应用系统一般由多个相关计算机程序组成，有些应用系统可能是复杂的综合系统，牵涉到多个计算机程序和组织单元，与此相应，应用控制包括包含在计算机编码中的日常控制及与用户活动相关的政策和流程。对信息系统应用控制的测评内容包

4、括各项业务的授权控制、完整性控制、准确性控制。由于计算机信息系统的数据处理与手工处理有许多不同，从而产生了新的内部控制内容和方式，因此开展信息系统审计针对企业信息系统内部控制的评测是很有意义的。一、 信息化对内部控制的影响企业信息化虽然对企业产生了深远的影响，但是并没有改变企业经营管理的目标。因此，内部控制作为企业管理的一个组成部分，其总体目标也没有改变，仍然是达到营运的效率和效果、财务报告的可靠性以及遵循相关法令。当然，各项具体的控制活动和控制措施中的子目标应该根据具体的情况有所变化，对内部控制的五要素也产生了一定的影响。（一）对控制环境的影响控制环境的构成因素是多方面的，主要包括：企业的治

5、理机制、组织结构与权责分派体系、企业管理者的素质、品行与管理哲学、企业文化、信息系统、人力资源政策及实务等等。企业信息化将影响企业的治理机制。通过完善的企业信息系统，董事会、监事会可以更及时更全面的了解企业的全面信息，因而可以更好地进行战略制定、经理人员选择和绩效评价、企业运营情况监控等等，对企业进行更好的治理。小股东可以以较低的成本通过网络在线参加股东大会，而不必因为路途遥远等原因放弃自己的权利，可以更好地维护自身的利益。信息化将使企业组织结构趋向扁平化，管理层次减少。信息化对企业管理者的素质提出了更高的要求。企业所面临的商务环境竞争加剧、变化加速，管理者所能获得的信息量倍增，信息技术和信息

6、系统在企业中的作用日益重要，这些都要求管理者不但要有更强的把握信息、利用信息的能力，在运营管理企业中利用好信息资源，而且要有对信息、信息技术和信息系统重要性和风险的认识和理解，制定良好的IT战略和IT规划。在网络环境下，人与人之间的直接接触将有所减少。网络世界的无形性和匿名性将对人的心理造成一定的影响，使部分人误以为借助网络为非作歹不容易被抓住，从而可能降低犯罪的心理阀值。信息资产价值的提高可能诱使掌握它的管理人员将其买给竞争对手的犯罪行为，而由于信息的无形性、可拷贝性，信息的泄密不易被发现。再者网络的远程接入性也给犯罪分子提供了方便，他们只要获得一个登录密码就可能通过网络侵入系统，窃取企业重

7、要的信息资产，或是使信息系统崩溃，而不必像盗窃有形资产那样需要翻墙入室、避开警卫等麻烦之举。这些均对管理人员的品行和道德水平提出了更高的要求。同时也需要企业加强对信息资产、信息技术和信息系统的内部控制，通过良好的管理手段和技术手段降低风险。（二）对风险评估的影响在企业信息化环境下，业务流程的自动化降低了业务处理过程中源于人员疏漏或舞弊的风险。但另一方面，企业的运营管理越来越依赖于信息系统，信息在企业中的作用日趋重要，信息化环境促使信息存储高度集中、单位时间传递的信息量大为提高，这些都增加了与信息资产和信息系统相关的风险。信息化环境下，如果信息系统失灵或崩溃，重要信息被窃，都将给企业带来不可估量

8、的损失。因此，企业应当作好有关信息资产和信息系统方面的风险评估，建立良好的IT治理机制，减少灾难的发生以及灾难发生时的损失。（三）对控制活动的影响控制活动必须根据企业业务流程的情况和具体的控制点进行设置，因此，控制活动受到企业信息化的直接影响。信息化环境下的控制活动分为两部分：自动化业务控制和信息系统控制。自动化业务控制的控制对象仍然是企业的生产经营过程，但其形式和控制手段发生了很大变化。它以计算机程序的形式嵌入于企业信息系统之中，对业务的控制由计算机自动完成。信息系统控制是企业为了保证信息系统正确性、完整性和安全性而采取的控制措施，其控制对象是企业信息系统，包括计算机软硬件资源、应用系统、数

9、据和相关人员等等信息系统的所有组成要素。随着网络技术和电子商务的发展，信息系统控制还必须考虑网络安全和电子商务控制的问题。自动化业务控制和信息系统控制对控制活动有着不同要求，使得传统的六类控制活动都有一定的变化。信息化环境下的交易授权可以由计算机程序自动完成，使得授权过程不明显，控制的失效往往在发生损失后才被察觉。因此，管理者对交易授权的关注应该转移到对相关计算机程序的正确性和完整性的检查上。在信息化环境下，计算机能够避免人类通常会犯的错误或舞弊，手工环境下的一些不相容的职责可以由计算机来执行，所以职责分离和员工的相互检查成为不必要的控制活动。同样，也没有必要针对自动业务流程进行监管和独立稽核

10、。然而，对于信息系统的开发、实施、维护和操作等活动，职责分离、监管以及独立稽核仍然是重要的控制措施。在信息化环境下，业务记录不再是书面的签章、编码、交叉索引等，而是通过登录密码、操作日志等技术手段进行业务记录，其有效性受信息系统的正确性、完整性和安全性的影响。在信息化环境下，对计算机硬件设备的接触控制与传统方式下并无太大的区别，主要通过实物防护措施来进行。但对于信息资产的接触控制，由于网络的远程接入性，应当通过防火墙、操作员权限设置、登录密码安全策略、信息系统审计等等技术手段和管理措施加以实现。（四）对信息和沟通的影响企业信息化对内部控制的信息和沟通这一要素产生了有利的影响。在完善的企业信息系

11、统的支持下，企业员工能够更好地取得他们在执行、管理和控制企业经营过程中所需的信息，使员工顺利履行其职责。当然，也要警惕信息技术可能带来的信息过量的问题，以及借助高速信息处理能力造假的问题。（五）对监督的影响借助信息技术，可以使一部分的监督过程自动完成，并且可能实现实时监督，从而提高监督的效果和效率。应当注意的是，对信息系统的开发、实施和维护过程所进行的监督应当成为监督的重点。同时，“控制自我评估（CSA，Control Self Appraisal）”仍然是很有益的作法。CSA是企业不定期或定期地对自己的内部控制系统进行评估，评估内部控制的有效性及其实施的效率效果，以期能更好地达成内部控制的目

12、标。CSA有助于提高组织内部控制的自我意识，帮助人们了解哪里存有缺陷以及可能引至的后果，然后采取行动改进这种状况，对于一个企业加强管理、提高劳动生产率、改进内部审计程序和业务经营程序以及控制风险等都有着积极的作用。信息技术一方面给企业带来了无限的生机，另一方面给企业内部控制带来了新的难题，信息系统内部控制理论孕育而生，促使企业内部控制体系进行发展和创新。从信息系统的角度来说，信息技术对企业内部控制体系的影响主要有以下几点。（一）计算机信息系统构成要素的复杂性使得系统安全控制的难度加大企业计算机信息系统是一个庞大而复杂的系统，电子商务是一种整合的经济模式，交易与服务活动的完成一般以Interne

13、t、Extranet和Intranet三种网络为基础。计算机硬件、软件、人员和各种规程等构成了信息系统的基本要素。由于硬件配置不合理、软件功能欠完善、系统操作失误、内部管理人员的非法访问及来自外部的恶意攻击等原因，计算机信息系统的各个层面将面临着严重的安全威胁。错综复杂的网络结构使得系统安全问题日益突出，安全控制的难度将进一步加大。 （二）计算机网络数据处理的集中性使得传统的组织控制功能减弱网络的应用大大减少了人工输入环节，数据访问和数据交换都通过应用服务器进行。网络计算机集成化处理促使传统手工会计中制单、复核、记帐等不相容岗位相互牵制制度的效力逐步削弱，传统的组织控制功能弱化。（三）计算机网

14、络环境的开放性使得信息失真的风险加剧从信息的取得渠道看，其来源具有多样性有可能导致审计线索紊乱；从信息传递的方式看，大量信息通过网络通讯线路传输，有可能遭受非法的拦截、窃取和纂改；从信息的存储形式看，信息大都以电子数据的形式存储，肉眼很难辨认，易被修改、删除、隐匿、转移和伪造且不留痕迹。计算机网络系统的开放性和动态性加大了审计取证难度，加剧了会计信息失真的风险。 （四）授权方式的改变，潜伏着更大的经营风险和控制风险授权批准是传统内部控制的基本手段，通过严格控制相应环节的负责人员的权限，使每一个岗位上的负责人只在本岗位上有权处理数据，能加强各环节的内部牵制，有效的防止作弊。IT使权限分工成为口令

15、形式，口令不像印章那样便于保管，一旦被偷看或窃取，就会给企业带来巨大损失。如果有人窃取口令，非法核销企业的卖出产品数量和应收账款，然后收买销售人员窃取到顾客订单密码开出假订单，就会骗取企业的产品，这就增大了企业的控制风险和经营风险。（五）审计人员面临的审计风险加大。在IT环境下审计人员对本身具有不安全性的信息资料和数据进行审计，加大了做出错误判断的可能性，使审计的控制风险和检查风险增大。审计风险AR=IR CR DR（IR为固有风险，CR为控制风险，DR为检查风险），IR、CR、DR都增大了，相应的审计风险也就增大了，这对审计行业来讲是一个严峻的挑战。二、 内部控制对信息化的反作用影响在实际中

16、，信息化与企业内部控制二者的影响是互动的：信息化影响了内部控制，内部控制反过来影响企业信息化的进程。我们在这里对内部控制对信息化有怎样的影响进行一下分析。按照企业从设计、建立到实施信息系统这个时间顺序，我们可以得出在时间维度下，企业内部控制对企业信息化进程的反作用影响。在企业信息化的不同阶段，内部控制对企业信息化的影响也不同。可以从三点进行分析：企业原有的内部控制基础将影响企业信息化进程、信息化进程中企业内部控制将影响信息化的质量和效率、信息化后企业内部控制将影响信息系统的安全性和可用性。（一）企业原有的内部控制基础将影响企业信息化进程企业是否应该实施企业信息化？是企业决定信息化首要的问题。而这一切又取决于企业管理层所制定的信息化规划、战略。管理层制定的信息化战略，又来源于其对信息化的认识，对企业整体行业状况及自身经营状况的宏观把握和其对信息化有利于企业改进完善内部控制和其他管理的认识程度，而这些管理层对信息化认识及其所制定的信