信息技术环境下企业内部控制思考.docVIP

信息技术环境下企业内部控制思考 　　【摘 要】随着信息技术在企业经营管理中的广泛应用，使企业在提高经营效益的同时，也给企业带来了新问题与挑战，本文针对信息技术环境下企业内部控制存在的特殊风险进行分析，并提出完善信息系统内部控制的措施。 　　【关键词】信息技术；内部控制；风险；防范措施 　　内部控制是一个企业或单位为了保证其资产的安全性、会计资料的准确性和可靠性，提高经营效率以及贯彻执行其规定的管理方针而在组织内实施的一系列制度、方法和程序。在信息化环境下，企业实现了业务和财务的一体化，以ERP为代表的企业信息系统已逐步取代了传统的手工系统，提高了企业的经营管理效率。另一方面，信息技术的特殊性也加大了企业经营管理的风险。在信息化环境下，各种数据的处理实现了自动化，人的参与越来越少，部分内部控制活动已由计算机程序所代替，这种内部控制的程序化、集中化，使控制对象由原来的对组织、文档等的控制扩展到对硬件、软件等各种运行环境的控制。 　　一、信息化环境下企业内部控制的特殊风险 　　信息技术具有数字化、网络化、多媒体化、智能化、虚拟化等特征，这些特征增加了企业在经营管理上的未知风险。 　　（一）信息系统资源风险 　　信息系统，是指企业利用计算机和通信技术，对内部控制进行集成、转化和提升所形成的信息化管理平台。不仅包括以计算机为载体的各种系统软件，还包括各种协同计算机操作各种硬件环境，如电源，房屋等。在传统手工控制环境下，各种信息以纸为存储介质，企业通过对有管理层签字授权的凭证和交易方开具的发票实现对交易的活动的控制。在信息系统环境下，数据及交易信息集中存储在磁介质中，各种交易通过计算机进行处理，并将数据信息记录到明细账、总账等数据库系统。由于软件、硬件等存贮设备的安全具有不可预知性，其本身一旦发生故障，如，水灾、火灾等自然灾害，就会容易导致数据损毁或丢失，甚至面临系统瘫痪的风险。另外，磁介质一旦受损，又很难修复，这使得数字化的信息丢失或损坏的风险加大。 　　（二）数据处理中的风险 　　数据的处理包括数据输入、处理和输出。在传统手工环境下，数据主要是手工控制。由于不相容职责的相互分离，数据的处理分散至多个部门，一个部门的差错往往可以在下个环节和其他部门中发现和改正。在信息系统下，数据处理集中化。虽然计算机能够对数据进行快速和准确的处理，但是计算机系统不能识别错误的数据信息。当数据输入错误时，即使之后的数据处理操作都是正确的，信息系统都会相应的输出错误的信息，并在短时间内迅速蔓延，导致从凭证、明细账、到总账信息失真。另一方面，数据处理系统自身存在缺陷，这可能来自两个方面。第一，系统功能设计的不完善，公式不正确；第二，在计算机系统下，数据必须先转换成计算机系统能够识别的代码才能对其进行处理。所以，数据从输入到输出需要经过几次代码的转换，而在这一过程中，可能形成错误。对于这类风险，会使企业信息系统内部控制失效，影响企业的经营管理。 　　（三）信息系统安全风险 　　信息系统、数据库及操作系统的相关安全控制如果无效，会增加对数据信息非授权访问的风险。在手工环境下，一项经济业务从发生到形成相应的会计信息，这一过程经历的各个环节都应有相关部门管理人员的授权批准，才能进行下一环节。这种控制方式虽然效率不高，但能有效的防止舞弊的发生。在信息系统环境下，权限分工主要是通过口令授权来实现。一方面口令存储于计算机系统内，容易被他人窃取；另一方面，企业职员的安全防范意识薄弱，设置的口令必威体育官网网址性不高，容易被他人破解。 　　在手工环境下，各种会计凭证，签字授权均以纸张为载体，很难不露痕迹地加以修改和伪造。但是在信息系统环境下，数据信息存储在磁介质上，会计凭证等也由计算机程序自动生成。而这种电子数据极易被篡改，若能访问数据库，还能将相关的非法访问记录删除，使犯罪舞弊不留痕迹。 　　（四）网络安全风险 　　网络环境的开放性和动态性给信息系统的安全也带来了一定的风险。在网络环境下，信息的集中共享，大量的信息可以通过网络快速方便的进行传播。在这一过程中，信息可能被非法拦截，窃取甚至篡改。另外，网络环境下，信息系统遭受病毒入侵或黑客攻击的可能性加大。网络病毒不仅传播速度快，而且影响范围广，具有潜伏性和可继发性，破坏性强。 　　二、信息化环境下企业内部控制风险应对 　　（一）完善信息系统功能的设计，加强信息系统开发的控制 　　企业应该分派熟悉企业业务的人员参与信息系统的开发，使在开发信息系统时，能够根据企业的经营管理情况提出要求，将生产经营管理的业务流程、关键控制点和处理规则嵌入系统程序，实现手工环境下难以实现的控制功能。 　　（二）加强对信息系统资源的安全管理 　　由于磁介质对环境的要求较高，而且容易损坏，所以，其周围的环境不仅要防水、防火还要防尘，防磁，并对温度也有一定的要求