企业信息化内控与风险管理初探
来源:用户上传
作者: 唐月娥
摘要:21世纪信息时代,信息技术在企业管理中的作用日益凸显,这就要求企业必须加快信息化建设。企业信息化建设有利于节约成本和时间,增强内部控制效果,但其为企业发展带来便利的同时,也产生了许多问题。本文探讨了信息化环境下企业内部控制及风险管理策略。
关键词:企业信息化 内部控制 风险管理
电子信息技术在会计领域的广泛运用,彻底改变了会计信息的储存和处理方式,从而适应了现代企业对会计信息的高标准与高要求。企业信息化是时代发展的必然,对企业的积极作用是毋庸置疑的,但同时它又是一把“双刃剑”,另一面带来的危害不可忽视。由于企业内部控制体系不完善和有效控制手段的缺失,借助企业信息管理系统舞弊的案件屡见不鲜,而且这种行为具有危害大、隐蔽性强的特点。鉴于此,研究信息化环境下企业内控及风险控制具有十分重要的意义。
一、企业信息化与内部控制的关系
信息化与内部控制相辅相承。企业信息化就是通过对信息数据的合理控制,实现资源高效配置,进而提高企业生产效率和决策水平,为企业获得持续竞争能力提供了有力保障。在实际运作中,企业内部控制在很大程度上依赖于其信息化水平,信息化水平越高,内部控制得到的信息资源就越充分,实施效果就越明显。企业好比是一艘轮船,信息化是推进器,而内部控制则是舵轮,只有两者相互配合才能使行驶畅通无阻。
信息化有助于企业内部结构扁平化。传统企业财务管理是建立在管理层级制度基础之上的金字塔式结构,会计信息传递受到中层财务经理的影响较多。财务管理信息化实现了会计信息的实时采集与更新,企业高层可随时了解基层业务情况,从而避免中层财务经理干预,实现了组织结构的扁平化。
企业信息化给企业经营带来新的风险。首先,风险评估范围拓宽。企业将所有会计信息高度集中于数据处理系统,一旦有不法分子利用病毒等窃取企业信息,可能使企业蒙受损失。企业通过风险识别、评估与防范新风险,这就拓宽了评估范围。其次,设备使用风险加大。会计信息管理系统由硬件和软件构成。硬件存在许多不可抗因素,如跳电、物理损伤、人为误操作等,这些问题的出现增加了内部控制的难度。软件主要指运行风险,如设计缺陷、与企业切合度不高、稳定性不够等都会带来新的潜在风险。第三,增加了道德风险。信息化建设需要企业内部系统与外部网络连接,这会使信息使用者或操作人员通过公用通讯线路干预系统的机会变大,此时如果企业内部人员与黑客合作,很可能产生非授权的访问、篡改等风险。
二、企业信息化环境下内部控制风险问题
(一)授权方式的改变使内部控制风险加大
在传统会计模式下,经济业务形成会计信息需要专门工作人员操作及盖章才可有效。这种方式虽然效率较低,但其它人参与的机会较少,安全性很高。在会计信息模式下,业务权限通过角色授权来完成,授权角色口令虽然由角色人物自行维护,但被窃取或泄露的机会很大,便会给企业带来了巨大的安全隐患。另外,业务人员获得授权后,尤其是信息维护专职人员获得授权后,企业网络数库内其它财务秘密也尽收眼底。
(二)网络开放环境使内部控制壁垒变得脆弱
信息网络技术的发展使会计信息系统发生了质的变化,克服了以前单机信息系统的不足,使信息化会计系统的内控制度更加完善。然而,网络的开放性、共享性、分散性也给计算机会计信息系统内部控制带来新的问题,如会计信息通过网络传输可能被截获,受到病毒及黑客攻击的机率变大等。从理论上讲,置于服务器上的任何信息都是可以被访问的,除非切断物理连接才能避免外来非授权访问者的侵扰。为此,企业必须定期对系统的安全性及内部控制能力进行评估,时时保持系统最新以降低网络环境带来的风险。
(三)会计信息便于伪造
在过去单机电算化环境下,所有会计数据是以单、证、账、表的形式出现,其作为核对凭证,修改困难,修改后留有明显痕迹,所以不便于伪造。网络会计则完全不同,磁介质代替纸张作业,对会计信息篡改后可以轻意抹去任何痕迹。另外,电磁介质易受损坏,所以会计信息也存在丢失或毁坏的危险。因此,如何使磁性介质上的数据安全可靠、防止数据被非法修改是一个非常重要的问题。
(四)舞弊行为带有极强的隐蔽性和危害性
当前,基于计算机网络的各种诈骗、舞弊、贪污等犯罪活动猖獗。一是网络共享环境为犯罪行为提供了有利条件,不法之徒可以在任何时间、任何地点实施作案;二是由于计算机采用磁性存储介质,容易被篡改,而且改后不会留下任何痕迹;三是未经授权人伪造数据后带有极强的隐蔽性,很难被发现;四是一旦出现舞弊行为,往往涉案资金较多,对企业的损伤比传统会计大得多。因此,会计信息化系统的内部控制不仅难度大、复杂,而且还要有各种难以控制的计算机技术手段。
三、企业信息化环境下防范内部控制风险的管理措施
(一)政府应建立完善的会计信息化舞弊案处理法规
当前,我国关于会计信息化舞弊案的相关立法还不够成熟,仅在《公司法》中有一些较为模糊的规定,但由于处罚力度不够,在一定程度上滋长了企业、中介机构或个人的舞弊动机。为此,政府必须完善相关立法,加大制造虚假会计信息的企业、中介机构或个人的处罚力度,从而形成排拆虚假信息的良好会计环境。从实践来看,会计信息造假案的处理必须遵守一定的客观性而不是一蹴而就。不论是上市企业还是中介机构,要逐渐加大处罚力度,争取随着立法的不断完善与成熟,实现内部控制环境的平滑过渡。
(二)加大企业的内部审计力度
内部审计是企业提高内部控制水平的重要保障。应保证内部审计的建立具有权威性和独立性,保证其设置高于其它职能部门。现代内部审计不仅要完成企业查错防弊工作,还要对企业做出具体的分析、评价和管理建议。因此,内部审计发挥作用还要有自身做起。首先,明确审计职能范围。内部审计应以查错防弊为基本前提拓展作业,将合规性效益审计、风险评估与防范、内部控制评审等作为重点发展方向。其次,改进审计方法。在进行事后财务收支审计的同时,注重事前、事中的管理效益审计,并加强审计监督服务。审计报告要客观公正、实事求是,同时重视不断提炼总结有价值的经验,保证审计建议有深度和价值意义。
(三)创新风险管理措施,推行风险在线监控
依托财务信息平台,建立“业务有流程、流程有标准、风险有控制”的内部控制操作体系,开展在线稽核,增强风险管理的针对性和时效性。结合全面风险管理,开展财务风险梳理,建立统一的财务稽核规则库和财务风险预警指标体系,运用不同的业务稽核规则、稽核方案、稽核专题,通过系统的智能运算,寻找各类数据疑点,形成稽核结论,实施风险全过程监控,从而实现财务风险可控在控。
(四)建立起有效的激励机制
首先,塑造企业文化。良好的企业文化可以形成一种无形的抓手,约束员工行为,不断提高员工的职业道德水平和诚信程度,从而减少企业下属部门的个体利益倾向。建立基于企业会计信息化的道德价值观、规章制度、基本信念,从而有效解决信息时代组织结构所产生的负面影响。其次,从信息时代组织特点出发,研究和制定具有可操作性的责任分配与授权制度,设立分享与合作的激励制度,通过激励,使公司会计信息化核心人员更关注公司长远的发展,从根源上消除制造虚假会计信息的动机。
(五)完善风险管理机制
首先,企业应当借助信息化平台,从控制风险出发,针对信息化环境下内部控制风险的新特点,权衡风险与收益,制定出相应的风险防范策略,以保障信息系统数据和信息安全可靠,从而更好地实现内部控制目标。其次,加强会计系统开发、运行和维护的控制。开发前应进行可行性研究和需求分析;开发中要对现有系统设计分析,对企业发展需求评估,更新方案要有可行性研究;后期要对系统的软件及硬件进行完善性维护,维护要做到会计数据的连续和安全,并由有关人员进行监督。第三,加强网络安全控制。重点发展第三方认证机构,企业之间发生业务来往时必须由第三方公证确认才可交易;在会计信息系统中分离出操作与监控两个岗位,通过经济业务多方备份的方式实现岗位间的有效牵制。
参考文献:
[1]李海蓉.以财务信息化实现企业内控浅谈[J].山西财税,2005,2
[2]刘湘华.浅谈企业信息化在促进内控建设中的作用[J].当代经济,2008,8
[3]张爱成.基于内控视角的中小企业会计信息化构建[J].产业与科技论坛,2010,9(06)
转载注明来源:https://www.xzbu.com/3/view-7695.htm