24周年

財(cái)稅實(shí)務(wù) 高薪就業(yè) 學(xué)歷教育
APP下載
APP下載新用戶掃碼下載
立享專屬優(yōu)惠

安卓版本:8.7.50 蘋果版本:8.7.50

開(kāi)發(fā)者:北京正保會(huì)計(jì)科技有限公司

應(yīng)用涉及權(quán)限:查看權(quán)限>

APP隱私政策:查看政策>

HD版本上線:點(diǎn)擊下載>

信息技術(shù)對(duì)企業(yè)內(nèi)部控制影響分析與對(duì)策

來(lái)源: 編輯: 2005/04/21 11:31:21  字體:
  一、引言

  按COSO的定義①,企業(yè)內(nèi)部控制是一種由企業(yè)董事會(huì)、管理層和其他員工執(zhí)行,為達(dá)到財(cái)務(wù)報(bào)告的可靠性、經(jīng)營(yíng)的效果和效率、符合適應(yīng)的法律和法規(guī)的目標(biāo)而提供合理保證的過(guò)程,并由控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息和溝通、監(jiān)控五個(gè)要素組成。

  傳統(tǒng)上,企業(yè)大量的經(jīng)營(yíng)活動(dòng)和信息處理活動(dòng)的記錄主要由人工完成,經(jīng)營(yíng)過(guò)程的物流、資金流所形成的數(shù)據(jù)流被記載在紙介質(zhì)上。會(huì)計(jì)與審計(jì)人員在這種應(yīng)用背景下所形成的風(fēng)險(xiǎn)認(rèn)識(shí)與控制觀點(diǎn),一直左右著企業(yè)內(nèi)部控制系統(tǒng)設(shè)計(jì)。阿妮塔。s.霍蘭德將其描述為:(1)大量使用硬拷貝文檔記錄、處理和維護(hù)交易的信息;(2)重視職責(zé)和責(zé)任分離;(3)會(huì)計(jì)數(shù)據(jù)重復(fù)記錄和重復(fù)數(shù)據(jù)的大量調(diào)整;(4)會(huì)計(jì)師的反映性要多于主動(dòng)性,檢查性要多于預(yù)防性;(5)嚴(yán)重依賴年末對(duì)財(cái)務(wù)報(bào)表的檢查;(6)避開(kāi)信息技術(shù);(7)控制的結(jié)構(gòu)基于符合性。

  隨著經(jīng)濟(jì)全球化及市場(chǎng)競(jìng)爭(zhēng)力度的加劇,許多企業(yè)加快了信息化的步伐,以提升企業(yè)競(jìng)爭(zhēng)力。信息技術(shù)在企業(yè)的廣泛應(yīng)用,不僅改變了傳統(tǒng)手工數(shù)據(jù)處理方式,而且觸發(fā)了企業(yè)管理模式、生產(chǎn)方式、交易方式、作業(yè)流程的變革,人們的行為模式也隨著企業(yè)業(yè)務(wù)流程化、組織扁平化、作業(yè)信息化而發(fā)生變化。雖然信息技術(shù)沒(méi)有改變企業(yè)內(nèi)部控制目標(biāo),但企業(yè)內(nèi)部所發(fā)生的變革對(duì)傳統(tǒng)的內(nèi)部控制觀點(diǎn)、控制方法產(chǎn)生很大的沖擊。因此,如何構(gòu)建基于信息技術(shù)環(huán)境下的企業(yè)內(nèi)部控制系統(tǒng)已成為目前亟待解決的問(wèn)題。為此,文本試圖從信息技術(shù)對(duì)企業(yè)內(nèi)部控制要素的影響著手,分析信息技術(shù)環(huán)境下企業(yè)內(nèi)部控制呈現(xiàn)的新特點(diǎn),探討內(nèi)部控制系統(tǒng)設(shè)計(jì)策略,以期達(dá)到充分利用信息技術(shù)來(lái)提高內(nèi)部控制質(zhì)量的目的。

  二、信息技術(shù)對(duì)企業(yè)內(nèi)部控制要素的影響分析

  1.改善企業(yè)控制環(huán)境

  控制環(huán)境構(gòu)成一個(gè)單位的控制氛圍,是所有控制方式和方法賴以存在的運(yùn)行環(huán)境。它包括員工的誠(chéng)實(shí)度和勝任能力、董事會(huì)或?qū)徲?jì)委員會(huì)、管理理念和經(jīng)營(yíng)方式、組織結(jié)構(gòu)、授予權(quán)利和責(zé)任的方式、人力資源政策和實(shí)施。信息技術(shù)使企業(yè)內(nèi)部控制環(huán)境發(fā)生以下的變化。

  首先,企業(yè)組織結(jié)構(gòu)趨于扁平化。由于計(jì)算機(jī)信息處理技術(shù)替代大量業(yè)務(wù)層和中間層的人工數(shù)據(jù)處理工作,數(shù)據(jù)以磁介質(zhì)的方式存儲(chǔ)在數(shù)據(jù)庫(kù)中,并能通過(guò)網(wǎng)絡(luò)迅速傳輸?shù)狡髽I(yè)各個(gè)角落。信息技術(shù)減少信息在傳統(tǒng)組織的信道傳輸中延遲、失真以及噪音干擾,降低信息獲取成本,擴(kuò)大信息發(fā)布范圍,增進(jìn)組織各層次人員的信息傳遞與交流。原先多人分工協(xié)作的工作被信息技術(shù)重組后只需一個(gè)人就可以完成,大量的人工控制被信息系統(tǒng)的自動(dòng)控制所取代。這種變化導(dǎo)致企業(yè)組織結(jié)構(gòu)趨于扁平化,內(nèi)部控制層次明顯減少,崗位更加精簡(jiǎn),責(zé)任更加明確,效率更加提高。

  其次,提高員工地位和素質(zhì)要求。隨著組織扁平化和業(yè)務(wù)流程化與信息化,企業(yè)決策層次向下移動(dòng),基層員工獲得更多的決策機(jī)會(huì),同時(shí)對(duì)員工素質(zhì)也提出了更高的要求。在新的信息技術(shù)平臺(tái)下,員工需要熟悉計(jì)算機(jī)信息系統(tǒng),持有實(shí)時(shí)、積極的控制觀點(diǎn),認(rèn)識(shí)業(yè)務(wù)發(fā)生時(shí)信息技術(shù)所能提供預(yù)防、檢查及糾正錯(cuò)誤和識(shí)別舞弊的機(jī)會(huì),充分應(yīng)用信息技術(shù)與自己的專業(yè)知識(shí)控制企業(yè)的經(jīng)營(yíng)活動(dòng)。企業(yè)人力資源管理將結(jié)合信息技術(shù)特點(diǎn)制定員工雇用、培訓(xùn)、提升和獎(jiǎng)勵(lì)政策。內(nèi)部控制設(shè)計(jì)更強(qiáng)調(diào)以人為本、人機(jī)結(jié)合的原則,通過(guò)增強(qiáng)員工識(shí)別風(fēng)險(xiǎn)能力、發(fā)現(xiàn)問(wèn)題與解決問(wèn)題能力、與其他業(yè)務(wù)人員協(xié)同配合能力,利用信息技術(shù)的控制能力來(lái)提高企業(yè)內(nèi)部控制質(zhì)量。

  再次,改善信息不對(duì)稱狀況,提高對(duì)“內(nèi)部人” 的監(jiān)控水平?,F(xiàn)代企業(yè)由于所有權(quán)與經(jīng)營(yíng)權(quán)分離,真實(shí)的會(huì)計(jì)信息披露對(duì)公司治理起著重要的作用。信息技術(shù)集成了業(yè)務(wù)信息處理流程與會(huì)計(jì)信息處理過(guò)程,由于數(shù)據(jù)同源并在計(jì)算機(jī)內(nèi)部連續(xù)處理,有效地提高了會(huì)計(jì)信息的實(shí)時(shí)性和準(zhǔn)確性。而投資者經(jīng)過(guò)合適權(quán)限的授權(quán),通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)就能隨時(shí)訪問(wèn)企業(yè)數(shù)據(jù)庫(kù)的相關(guān)數(shù)據(jù), 在一定程度上改善了信息不對(duì)稱性狀況,增強(qiáng)信息的透明度以及對(duì)企業(yè)經(jīng)營(yíng)者的監(jiān)控能力,促使企業(yè)內(nèi)部人提高誠(chéng)信度與道德觀,規(guī)范企業(yè)經(jīng)營(yíng)行為。

  2.擴(kuò)大風(fēng)險(xiǎn)評(píng)估范圍

  信息技術(shù)應(yīng)用改變企業(yè)傳統(tǒng)營(yíng)運(yùn)模式,也帶來(lái)業(yè)務(wù)流程和信息系統(tǒng)的新風(fēng)險(xiǎn)。例如企業(yè)在信息技術(shù)平臺(tái)上運(yùn)行ERP系統(tǒng)、電子商務(wù)、供應(yīng)鏈管理系統(tǒng)、客戶關(guān)系管理系統(tǒng),通過(guò)企業(yè)之間、企業(yè)內(nèi)部的信息傳遞實(shí)現(xiàn)協(xié)同合作、優(yōu)化資源配置。企業(yè)物流和資金流的流量、流速均由計(jì)算機(jī)精密排程,與聯(lián)盟企業(yè)、市場(chǎng)情況環(huán)環(huán)相扣,以求最低成本、最快速度、最好質(zhì)量組織企業(yè)經(jīng)營(yíng)活動(dòng)。因此,供應(yīng)鏈的任何環(huán)節(jié)出現(xiàn)突發(fā)事件都會(huì)波及企業(yè)的正常運(yùn)行,給企業(yè)帶來(lái)?yè)p失。此外,由于企業(yè)所有數(shù)據(jù)存放在數(shù)據(jù)庫(kù)服務(wù)器內(nèi),網(wǎng)絡(luò)開(kāi)放性、數(shù)據(jù)共享性必將增加信息系統(tǒng)的風(fēng)險(xiǎn),如數(shù)據(jù)可能被非授權(quán)人員拷貝、刪除、修改,破壞;計(jì)算機(jī)病毒感染、黑客入侵、使用人員違規(guī)操作也會(huì)造成計(jì)算機(jī)系統(tǒng)故障或信息系統(tǒng)崩潰。企業(yè)風(fēng)險(xiǎn)識(shí)別、評(píng)估與防范,不僅要考慮內(nèi)外部環(huán)境,而且要考慮業(yè)務(wù)流程與信息流程的耦合度、協(xié)作企業(yè)的關(guān)聯(lián)度、信息系統(tǒng)的依賴度等因素,規(guī)避供應(yīng)鏈作業(yè)流程和信息系統(tǒng)的新風(fēng)險(xiǎn)給企業(yè)帶來(lái)的危害。

  3.業(yè)務(wù)流程控制與信息系統(tǒng)控制成為控制活動(dòng)的一項(xiàng)重要內(nèi)容

  在信息技術(shù)平臺(tái)上,企業(yè)運(yùn)行的ERP系統(tǒng)實(shí)行流程化管理。企業(yè)戰(zhàn)略遠(yuǎn)景的實(shí)現(xiàn)、信息系統(tǒng)的導(dǎo)入、企業(yè)文化價(jià)值觀的具體呈現(xiàn),最終落實(shí)到企業(yè)的業(yè)務(wù)作業(yè)流程。

  信息技術(shù)應(yīng)用使傳統(tǒng)人工控制形式演變?yōu)槿藱C(jī)系統(tǒng)控制,控制重心將集中在作業(yè)流程的人機(jī)控制與信息系統(tǒng)控制。一些傳統(tǒng)的內(nèi)部控制規(guī)則和程序在新的技術(shù)環(huán)境下失去存在的意義,新的控制規(guī)則和程序建立在充分利用信息技術(shù)、用最少的資源達(dá)到更佳控制目標(biāo)的基礎(chǔ)上。

  圍繞業(yè)務(wù)流程,企業(yè)會(huì)計(jì)、審計(jì)人員與業(yè)務(wù)人員將密切協(xié)作,共同分析信息技術(shù)環(huán)境下的企業(yè)訂單、采購(gòu)、庫(kù)存、計(jì)劃、生產(chǎn)制造、質(zhì)量控制、運(yùn)輸、分銷、財(cái)務(wù)會(huì)計(jì)、人事管理等環(huán)節(jié)的作業(yè)過(guò)程、管理過(guò)程和信息過(guò)程的新特點(diǎn),制定對(duì)應(yīng)控制規(guī)則,設(shè)計(jì)企業(yè)預(yù)算控制、成本費(fèi)用控制、資金控制、投資控制、信息記錄控制、計(jì)算機(jī)信息系統(tǒng)控制、業(yè)績(jī)?cè)u(píng)價(jià)等控制制度和控制程序,并將這些控制程序和控制參數(shù)輸入到計(jì)算機(jī)信息系統(tǒng)內(nèi)部,形成完整、嚴(yán)密的面向流程的人機(jī)內(nèi)部控制系統(tǒng)。這樣,企業(yè)員工可以根據(jù)信息系統(tǒng)反映的信息流及時(shí)監(jiān)控業(yè)務(wù)過(guò)程的物流、資金流、作業(yè)流,通過(guò)反饋信息與控制參數(shù)的比較,制定決策、預(yù)防風(fēng)險(xiǎn)、修正作業(yè)錯(cuò)誤,防范業(yè)務(wù)舞弊。另外,在計(jì)算機(jī)信息系統(tǒng)內(nèi)部建立嚴(yán)格的人員訪問(wèn)授權(quán)、數(shù)據(jù)接觸控制、操作流程規(guī)則和職責(zé)體系,以避免信息系統(tǒng)故障,保留IT審計(jì)線索,杜絕利用信息技術(shù)進(jìn)行貪污、舞弊的行為。

  4.組織成員之間信息交流和溝通更加便利

  信息與溝通是指企業(yè)在其經(jīng)營(yíng)過(guò)程中識(shí)別企業(yè)內(nèi)、外部信息,并在組織內(nèi)溝通,以便員工了解、執(zhí)行其職責(zé)。

  信息技術(shù)應(yīng)用改變企業(yè)信息孤島的狀況,大量的企業(yè)環(huán)境信息、政策信息、經(jīng)營(yíng)信息、財(cái)務(wù)會(huì)計(jì)信息、作業(yè)信息集中存儲(chǔ)在企業(yè)數(shù)據(jù)庫(kù)系統(tǒng)內(nèi),并不斷被實(shí)時(shí)更新。基于互聯(lián)網(wǎng)、企業(yè)網(wǎng)、數(shù)據(jù)庫(kù)技術(shù)的客戶/服務(wù)器(C/S)和瀏覽器/WEB服務(wù)器(B/S)混合結(jié)構(gòu)的網(wǎng)絡(luò)平臺(tái)為企業(yè)成員提供了很好的溝通條件。在這個(gè)平臺(tái)上,員工可以十分便捷地從計(jì)算機(jī)數(shù)據(jù)庫(kù)中查閱有關(guān)的政策和法規(guī),獲取與其職責(zé)相關(guān)的控制信息,明確各自的權(quán)利與責(zé)任,了解自己的活動(dòng)如何與他人的工作相關(guān)以及例外情況如何報(bào)告或處理的途徑。另外,企業(yè)在網(wǎng)絡(luò)平臺(tái)上構(gòu)建與利益相關(guān)者聯(lián)系的機(jī)制,使組織的相關(guān)成員可以實(shí)時(shí)獲取經(jīng)營(yíng)信息與財(cái)務(wù)會(huì)計(jì)信息,及時(shí)進(jìn)行溝通,達(dá)到最佳協(xié)同合作和利益共享。

  5.監(jiān)控更注意更新信息系統(tǒng)內(nèi)部設(shè)置的控制參數(shù)與控制程序

  監(jiān)控是評(píng)價(jià)一段時(shí)間的內(nèi)部控制質(zhì)量過(guò)程,包括及時(shí)評(píng)估控制制度的設(shè)計(jì)和運(yùn)行,以及在必要的時(shí)候采取的行動(dòng)。在信息技術(shù)環(huán)境下,內(nèi)部控制是基于一種人機(jī)結(jié)合的控制模式,許多控制程序、控制指標(biāo)、控制方法被設(shè)置在計(jì)算機(jī)信息系統(tǒng)內(nèi)部,。因此監(jiān)控的一項(xiàng)重要內(nèi)容就是要及時(shí)了解原來(lái)設(shè)置在信息系統(tǒng)內(nèi)的控制程序、控制參數(shù)是否過(guò)時(shí),并針對(duì)企業(yè)經(jīng)營(yíng)環(huán)境變化情況,及時(shí)評(píng)估業(yè)務(wù)流程控制點(diǎn)的運(yùn)行狀態(tài),重新調(diào)整或更改設(shè)置在信息系統(tǒng)的控制參數(shù)或程序。

  三、基于信息技術(shù)的企業(yè)內(nèi)部控制系統(tǒng)設(shè)計(jì)策略

  針對(duì)上述分析,企業(yè)在進(jìn)行內(nèi)部控制系統(tǒng)設(shè)計(jì)時(shí),應(yīng)綜合考慮內(nèi)部控制要素的新特點(diǎn),從組織控制、流程控制、信息系統(tǒng)控制三方面制定對(duì)應(yīng)設(shè)計(jì)策略。

  1.組織控制設(shè)計(jì)策略

  組織控制是為實(shí)現(xiàn)組織的目標(biāo)而進(jìn)行的組織結(jié)構(gòu)設(shè)計(jì)、權(quán)責(zé)安排和制度設(shè)計(jì)。在信息技術(shù)環(huán)境下,流程決定企業(yè)組織結(jié)構(gòu)。因此,組織結(jié)構(gòu)設(shè)計(jì)應(yīng)以產(chǎn)出為中心,結(jié)合企業(yè)流程特點(diǎn)、信息化程度、人員素質(zhì)、風(fēng)險(xiǎn)類型與大小進(jìn)行全盤考慮;圍繞產(chǎn)出目標(biāo),重新審視原先組織的職能界限與任務(wù)劃分,盡可能將跨越不同職能部門并由不同專業(yè)人員完成的工作環(huán)節(jié)集合起來(lái),形成適應(yīng)流程管理與控制的企業(yè)組織結(jié)構(gòu),使企業(yè)組織設(shè)計(jì)能保障決策點(diǎn)、控制點(diǎn)位于工作執(zhí)行地方,能將信息處理工作納入產(chǎn)生這些信息的實(shí)際工作中,并與員工信息的使用權(quán)、決策權(quán)相匹配,與切合流程職位的控制信息需求和成功運(yùn)用這些信息相匹配。

  組織控制設(shè)計(jì)的一項(xiàng)重要任務(wù)是權(quán)責(zé)分派與不相容職務(wù)分離。傳統(tǒng)設(shè)計(jì)方法建立在執(zhí)行者、監(jiān)控者、決策者分離的基礎(chǔ)上,并通過(guò)層層授權(quán)與審批手續(xù)來(lái)監(jiān)督員工作業(yè)。在信息技術(shù)應(yīng)用條件下,企業(yè)組織的權(quán)責(zé)范圍遵循以流程為核心的原則。首先將企業(yè)主要業(yè)務(wù)分解為產(chǎn)品流程、質(zhì)量流程、服務(wù)流程、物流流程等,并在這些流程層面上重新定義企業(yè)各部門在業(yè)務(wù)流程中的職責(zé)以及它們之間的協(xié)調(diào)關(guān)系。然后再進(jìn)一步將這些流程分解為一系列相關(guān)作業(yè)集合,并結(jié)合業(yè)務(wù)的信息化程度來(lái)定義企業(yè)作業(yè)崗位以及對(duì)應(yīng)的崗位責(zé)任制度。作業(yè)崗位權(quán)責(zé)分派應(yīng)體現(xiàn)以人為本,崗位職責(zé)的授權(quán)、績(jī)效評(píng)估考核等控制設(shè)計(jì)應(yīng)能最大限度地發(fā)揮每個(gè)員工的主觀能動(dòng)性和潛能。不相容職務(wù)分離設(shè)計(jì)應(yīng)結(jié)合重組后的業(yè)務(wù)特點(diǎn)和人機(jī)系統(tǒng)的控制功能,通過(guò)計(jì)算機(jī)應(yīng)用軟件功能使用權(quán)限設(shè)置、應(yīng)用軟件的作業(yè)流程邏輯順序的設(shè)置、業(yè)務(wù)控制參數(shù)的設(shè)置,充分發(fā)揮計(jì)算機(jī)系統(tǒng)內(nèi)部監(jiān)控能力,實(shí)現(xiàn)信息化環(huán)境下業(yè)務(wù)流程不相容職務(wù)分離的制度安排。

  組織控制的制度設(shè)計(jì)要充分考慮信息技術(shù)在公司治理中的作用。對(duì)內(nèi),信息系統(tǒng)應(yīng)與企業(yè)的崗位職責(zé)、內(nèi)部牽制以及責(zé)任中心控制、預(yù)算控制、企業(yè)財(cái)產(chǎn)管理控制、業(yè)績(jī)?cè)u(píng)價(jià)等控制制度融合為一體,保障資產(chǎn)安全、會(huì)計(jì)信息真實(shí)及效益提高。對(duì)外,建立企業(yè)門戶,采取推拉式服務(wù)來(lái)加強(qiáng)與外部利益相關(guān)者的聯(lián)系。通過(guò)信息在組織內(nèi)外的傳遞,改善企業(yè)監(jiān)督體系與公司治理結(jié)構(gòu)。

  2.流程控制設(shè)計(jì)策略

  以往企業(yè)內(nèi)部控制主要側(cè)重于事后控制,即通過(guò)期末會(huì)計(jì)資料的檢查或?qū)徲?jì)來(lái)識(shí)別業(yè)務(wù)錯(cuò)誤或舞弊。由于信息技術(shù)使企業(yè)業(yè)務(wù)流程與信息流程融合在一起,并與企業(yè)上下游建立了密切聯(lián)系,業(yè)務(wù)流程控制與信息流程控制成為企業(yè)內(nèi)部控制系統(tǒng)設(shè)計(jì)的重要內(nèi)容,控制重心也從適時(shí)控制向事前控制、實(shí)時(shí)控制轉(zhuǎn)移,控制的順序先是以預(yù)防為主,然后是檢查、糾正錯(cuò)誤和舞弊。因此,在企業(yè)流程控制的設(shè)計(jì)中,專業(yè)人員的首要任務(wù)是熟悉企業(yè)業(yè)務(wù)過(guò)程和信息過(guò)程以及它們之間的聯(lián)系,并針對(duì)組織內(nèi)部控制目標(biāo)的要求,對(duì)業(yè)務(wù)流程和信息流程的各類風(fēng)險(xiǎn)進(jìn)行評(píng)估,確定風(fēng)險(xiǎn)重要程度。其次為業(yè)務(wù)過(guò)程和信息過(guò)程制定規(guī)則和程序,作為控制策略的一部分。具體的規(guī)則依賴于企業(yè)的各種因素,如環(huán)境、組織規(guī)模、使用技術(shù)、員工素質(zhì)等,并在此基礎(chǔ)上建立企業(yè)作業(yè)的預(yù)算制度、作業(yè)操作制度、業(yè)績(jī)?cè)u(píng)價(jià)制度、供應(yīng)鏈績(jī)效評(píng)價(jià)制度。最后依據(jù)風(fēng)險(xiǎn)的重要程度確定業(yè)務(wù)流程與信息流程的關(guān)鍵控制點(diǎn)、建立控制模型,設(shè)定控制參數(shù)與控制程序,并將其嵌入到信息系統(tǒng)中, 形成人機(jī)結(jié)合、業(yè)務(wù)活動(dòng)與信息處理集合的內(nèi)部控制系統(tǒng)。這樣,在企業(yè)經(jīng)營(yíng)過(guò)程中,信息系統(tǒng)就能動(dòng)態(tài)跟蹤業(yè)務(wù)活動(dòng)的信息,自動(dòng)監(jiān)控這些活動(dòng)所產(chǎn)生的數(shù)據(jù)是否在控制范圍內(nèi),預(yù)測(cè)發(fā)展趨勢(shì),實(shí)時(shí)輸出預(yù)警信號(hào)。組織成員也能依據(jù)這些作業(yè)點(diǎn)的反饋信號(hào)及時(shí)制定正確決策,有效控制企業(yè)的經(jīng)營(yíng)活動(dòng)過(guò)程。

  3.信息系統(tǒng)控制設(shè)計(jì)策略

  信息系統(tǒng)控制包括信息系統(tǒng)建設(shè)的過(guò)程和使用過(guò)程的控制。對(duì)企業(yè)而言,由于信息系統(tǒng)的建設(shè)涉及大量的投資,而且信息系統(tǒng)的質(zhì)量關(guān)系到企業(yè)經(jīng)營(yíng)活動(dòng)的效益,信息系統(tǒng)的風(fēng)險(xiǎn)控制成為企業(yè)所有者與管理者日益關(guān)注的重要問(wèn)題。因此,在信息系統(tǒng)建設(shè)過(guò)程中,為保證信息系統(tǒng)開(kāi)發(fā)質(zhì)量、規(guī)避信息系統(tǒng)建設(shè)風(fēng)險(xiǎn),具體的控制設(shè)計(jì)策略應(yīng)包括認(rèn)真進(jìn)行系統(tǒng)開(kāi)發(fā)前期的可行性研究;加強(qiáng)對(duì)開(kāi)發(fā)商的資質(zhì)驗(yàn)證;對(duì)其已開(kāi)發(fā)的項(xiàng)目進(jìn)行調(diào)查分析;通過(guò)公開(kāi)招標(biāo)、答辯等方式選擇適合企業(yè)營(yíng)運(yùn)環(huán)境的計(jì)算機(jī)信息系統(tǒng)軟、硬件與開(kāi)發(fā)商。在項(xiàng)目實(shí)施過(guò)程中,應(yīng)加強(qiáng)對(duì)IT項(xiàng)目管理,完善信息系統(tǒng)實(shí)施的組織工作,明確人員分工安排以及在項(xiàng)目實(shí)施各階段所承擔(dān)的責(zé)任,建立嚴(yán)密進(jìn)度控制和質(zhì)量控制機(jī)制、驗(yàn)收程序及第三方監(jiān)理和審計(jì)的控制,保障信息系統(tǒng)質(zhì)量。

  信息系統(tǒng)使用過(guò)程控制設(shè)計(jì)包括操作權(quán)限與操作規(guī)程控制設(shè)計(jì)、信息安全與數(shù)據(jù)處理流程控制設(shè)計(jì)。操作權(quán)限控制是指作業(yè)崗位的人員只能按照所授予的權(quán)限進(jìn)行計(jì)算機(jī)作業(yè)。設(shè)計(jì)策略主要包括通過(guò)對(duì)系統(tǒng)資源進(jìn)行分類管理、員工作業(yè)權(quán)限程序化方式,在計(jì)算機(jī)系統(tǒng)定義用戶具體訪問(wèn)對(duì)象,限制超越權(quán)限的非法接觸和訪問(wèn)。

  操作規(guī)程控制是指系統(tǒng)操作必須遵循一定的標(biāo)準(zhǔn)操作規(guī)程進(jìn)行。主要通過(guò)制定軟硬件操作規(guī)程、作業(yè)運(yùn)行規(guī)程,規(guī)范計(jì)算機(jī)用戶的操作行為。信息安全控制包括數(shù)據(jù)和程序安全控制、網(wǎng)絡(luò)安全控制,通過(guò)數(shù)據(jù)保密、訪問(wèn)控制、身份識(shí)別、數(shù)據(jù)備份等措施保障計(jì)算機(jī)信息資源的安全。

  數(shù)據(jù)處理流程控制設(shè)計(jì)包括數(shù)據(jù)輸入、處理、輸出的控制。例如在計(jì)算機(jī)系統(tǒng)的數(shù)據(jù)輸入窗口設(shè)置各類有效的檢測(cè)方法,最大限度地減少操作人員在數(shù)據(jù)輸入過(guò)程中出錯(cuò)的可能性,保障未經(jīng)批準(zhǔn)的業(yè)務(wù)不能輸入計(jì)算機(jī)內(nèi);進(jìn)行嚴(yán)格的系統(tǒng)測(cè)試,糾正隱含在軟件內(nèi)的程序處理邏輯錯(cuò)誤與計(jì)算錯(cuò)誤;檢測(cè)計(jì)算機(jī)系統(tǒng)輸出的數(shù)據(jù)是否合理,能否符合勾稽關(guān)系等,以提高計(jì)算機(jī)數(shù)據(jù)處理質(zhì)量。

  注釋:

  ①參見(jiàn)COSO委員會(huì)1992年、1994年修訂的《內(nèi)部控制一整體框架》(COSO)報(bào)告。

  [參考文獻(xiàn)]

  [1]朱榮恩。內(nèi)部控制評(píng)價(jià)[M].北京:中國(guó)時(shí)代出版社,2002.

  [2]閻達(dá)五,宋建波。雙元控制主體框架下現(xiàn)代企業(yè)會(huì)計(jì)控制新思考[J].會(huì)計(jì)研究,2002.

  [3]王田英?;趦r(jià)值鏈的企業(yè)流程再造與信息集成[M].北京:清華大學(xué)出版社,2002.

  [4]阿妮塔。S.霍蘭德。現(xiàn)代會(huì)計(jì)信息系統(tǒng)[M].北京:經(jīng)濟(jì)科學(xué)出版社,1999.
回到頂部
折疊
網(wǎng)站地圖

Copyright © 2000 - 8riaszlp.cn All Rights Reserved. 北京正保會(huì)計(jì)科技有限公司 版權(quán)所有

京B2-20200959 京ICP備20012371號(hào)-7 出版物經(jīng)營(yíng)許可證 京公網(wǎng)安備 11010802044457號(hào)