信息化内控
1. 浅谈信息化环境下如何加强企业内部控制
企业信息化当前企业信息化应用正逐步深入,财务管理软件、企业资源规划(ERP)、供应链管理(SCM)、客户关系管理(CRM)、电子商务(EC)等应用日益广泛。企业信息化建设促使企业的组织形式、管理体制、控制要点发生相应的改变,企业组织结构趋向扁平化,管理人员越来越依赖于管理信息平台经营和控制企业,电子商务也成为企业进行全球贸易经营的发展方向。与此同时,企业信息化也给企业的内部控制提出了新的挑战,本研究拟探讨信息化应用对内部控制产生的影响,为适应变化内部控制应进行的改变以及企业应该如何加强信息化环境下的内部控制。
一、企业信息化对内部控制提出挑战 内部控制是现代企业管理的重要内容,也是国家五部委对上市企业提出规范管理的明确要求。企业建立内部控制制度的目的在于: (1)保障企业生产经营的效果与效率; (2)保证财务报告的可靠性,以堵塞企业内部管理漏洞,确保企业生产、业务数据的真实性,制定合理的绩效考核指标及依据; (3)使企业自觉遵循国家、地方相关法令、法规,预防、控制企业内部的舞弊行为。 按照国际权威美国COSO委员会定义,企业内部控制包括5个要素: (1)控制环境 影响企业员工内部控制意识,使内部控制得以贯彻执行,确保企业经营战略目标的实现。 (2)风险评估 在市场日趋激烈竞争中,企业内部控制必须分析、了解自身所面临的各种风险,并适时加以处理。 (3)控制活动 确保企业管理层的指令得以实现的政策和程序。控制活动主要包括:交易授权、职责分离、监管、业务记录、接触控制和独立稽核。 (4)信息和沟通 企业必须保证员工能够取得他们在执行、管理和控制企业经营过程中所需的信息,使员工顺利履行其职责。 (5)监督 整个内部控制的过程必须施以恰当的监督,并在必要时对其加以修正。 企业信息化增加了企业内部控制的潜在风险,在企业由传统管理向信息化管理转变过程中,构建系统、严密、完善的内部控制体系,不仅是现代企业必须遵循的基本管理法则,也是企业提高防范风险能力和经营管理水平的内在要求。二、企业信息化对内部控制的影响 2.1 主要体现方面 一企业信息化应用增加了企业决策者的管理幅度,使企业组织结构扁平化,优化、固化了业务流程,内控制度必须与之相适应; (1)企业信息化改变了管理信息的采集、存储及整理方式,数据及时、准确、真实性大大提高,为实施更有效的内部控制打下了基础; (2)企业信息化改变了管理信息的沟通、处理方式,提高了管理效率和信息的集成性,企业内部控制由传统控制转向实时控制。 实时控制主要体现在: (1)控制目标,由“确保资产安全完整”变为“提高企业经营效率和效益,实现价值增值”; (2)控制内容,由“资金或资本会计要素的单项变动控制”发展为“企业价值链系统及网络的多维控制”; (3)控制方式,由“只限于经营活动过程中的适时控制”变为“实时控制”; (4)控制信息,由“以货币价值量的控制”发展为“利用时间量、实物量和货币量的信息控制”; (5)控制属性,由静态控制拓展为动态控制,由局部控制转向经营活动全过程的控制,以满足信息使用者任何时间、地点获取所需的信息。
2.2 对内部控制五要素的影响 (1)对控制环境的影响 企业信息化使企业组织结构趋向扁平化,管理层次减少,对企业管理者的素质提出了更高的要求,有利于决策者全面、及时地掌握企业运营情况,为正确制定战略、资源分配和绩效评价等企业决策提供依据。 (2)对风险评估的影响 企业信息化规范、固化了业务流程,系统控制降低了人员疏漏或舞弊的风险;同时信息存储高度集中,系统失灵、崩溃和数据窃取等风险增加,需建立良好的IT 治理机制,防范灾难和减少灾难发生时的损失。 (3)对控制活动的影响 ①控制活动是根据企业业务流程的节点控制进行设置,业务控制对象是企业生产经营过程,对业务控制由信息系统自动完成; ②业务授权由信息系统完成,但授权过程不明显,控制的失效往往在发生损失后才被察觉。应关注、检查系统授权的正确性和完整性; ③业务职责分离、监管及独立稽核仍是重要的控制措施,信息系统应建立规范的审批工作流程; ④信息化环境下,业务记录不再是书面的签章、编码、交叉索引等,而是通过登录密码、操作日志等技术手段进行业务记录,其有效性受信息系统的正确性、完整性和安全性的影响; ⑤信息化环境下,对于信息资产的接触控制,由于网络的远程接入性,应当通过防火墙、操作员权限设置、登录密码安全策略、信息系统审计等技术手段和管理措施加以实现。 (4)对信息和沟通的影响 企业信息化有利于内部控制的信息和沟通,利用完善的企业信息系统,企业员工能够更好地取得他们在执行、管理和控制企业经营过程中所需的信息,顺利履行其职责。当然,也要警惕信息过量及借助高速信息处理能力造假的问题。 (5)对监督的影响 借助信息系统,可以实现实时监督,从而提高监督效果和效率,对信息系统的开发、实施和维护过程所进行的监督,应当成为监督的重点。企业应运用CSA做法,定期或不定期地对内部控制系统进行评估,评估其有效性及实施的效率效果,以期能更好地达到内部控制的目标。三、加强内部控制的对策 3.1 建立与信息化建设相适应的内部控制制度 企业信息化应服从企业整体发展战略,要站在企业治理的高度,制定与企业发展战略相融合的信息化战略,从战略投资、企业管理变革的角度,降低企业信息化风险。帮助企业管理层建立以企业战略为导向,以外界环境为依据,以业务和信息化整合为中心,针对不同业务发展要求,整合信息资源,制定并执行推动企业发展的信息化战略。 3.2 加强信息系统控制及审计 在企业信息化环境下,对信息系统的有效控制是企业开展正常生产经营活动的前提和保障。内部审计机构是信息系统控制最重要的执行者之一,在信息系统的开发、实施、维护和操作过程中应当进行严格的独立审查和监督,保证信息系统的正确性、完整性和安全性。 信息系统审计主要包括以下方面: (1)评价信息系统的管理、规划与组织方面的策略、政策、标准、程序和相关实务。 (2)评价企业在信息系统技术基础设施与操作实务的管理和实施方面的有效性及效率,以确保其充分支持企业的运营目标。 (3)对逻辑、环境与信息技术基础设施的安全性进行评价,确保其能支持企业保护信息资产的需要,防止信息资产在未经授权的情况下被使用、披露、修改、损坏或丢失。 (4)评价灾难恢复与业务持续计划,这些计划保证在发生灾难时,能够使企业持续处理业务。 (5)对应用系统的开发、获得、实施与维护方面所采用的方法和流程进行评价,以确保其满足企业的业务目标。 (6)评估业务系统与处理流程,确保根据企业的业务目标对相应风险实施管理。 3.3 实施业务流程优化和固化 企业信息化系统,蕴含了先进管理思想,但其业务流程仍然保持手工环境下的状态,必然造成信息系统与业务流程之间的冲突,从而使企业生产经营管理出现低效率,而且会形成内部控制的弱点和许多问题。因此,企业信息化过程中实施业务流程优化、固化,具有十分重要的意义。 3.4 加强企业人力资源管理 企业管理要以人为本,人力资源管理是合理配置和开发企业的人力资源,以实现企业目标的管理活动。在信息化环境下,企业加强内部控制的一个重要方面就是加强对人力资源的管理。 对于内部控制而言,人力资源管理的目标主要是保证和提高员工的素质和品行。信息化环境对员工的素质提出了更高的要求,员工不但要熟悉业务,还要掌握软件系统的操作。企业应该通过完善的内控制度来约束企业员工行为,建立良好的绩效评价、激励机制,防止掌握企业重要信息资源的人才流失以及相应的信息资源损失。 3.5 重在执行 企业管理效率取决于管理流程的规范、业务流程的畅通以及信息上传下达的及时准确,企业内部控制、ISO9001、TQM等管理体系,无不强调的是过程控制,一切由数据说话。企业信息化建设目标之一就是为管理者提供及时、准确、全面的管理数据。 企业建立内部控制制度是规范管理、保证企业信息化系统有效运行的基础,而信息化系统是提高工作效率,保证管理信息及时、准确,量化考核做到公正、客观,制度得以真正落实下去的关键。因此,无论是内部控制,还是企业信息化应用,有效执行是关键。
2. 企业内部控制规范与IT内部控制有什么关系
以下解答摘自谷安天下咨询顾问发表的相关文章:
企业内部控制基本规范包含的五要素框架:
(一)内部环境。内部环境是影响、制约企业内部控制建立与执行的各种内部因素的总称,是实施内部控制的基础。内部环境主要包括治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审计机构设置、反舞弊机制等。
(二)风险评估。风险评估是及时识别、科学分析和评价影响企业内部控制目标实现的各种不确定因素并采取应对策略的过程,是实施内部控制的重要环节。风险评估主要包括目标设定、风险识别、风险分析和风险应对。
(三)控制措施。控制措施是根据风险评估结果、结合风险应对策略所采取的确保企业内部控制目标得以实现的方法和手段,是实施内部控制的具体方式。控制措施结合企业具体业务和事项的特点与要求制定,主要包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。
(四)信息与沟通。信息与沟通是及时、准确、完整地收集与企业经营管理相关的各种信息,并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程,是实施内部控制的重要条件。
(五)监督检查。监督检查是企业对其内部控制的健全性、合理性和有效性进行监督检查与评估,形成书面报告并做出相应处理的过程,是实施内部控制的重要保证。
相应的,IT内部控制框架也应对于企业内部控制的五要素框架:
(一)IT内部控制环境。内部环境在企业IT领域的体现是IT的内部控制环境,同样IT内部控制环境是实施IT内部控制的基础。主要包括IT治理架构、IT组织与职责,IT决策机制,IT合规与IT审计等。
(二)IT风险评估。企业信息化带来的IT风险已经成为企业风险管理的主要方面。风险评估主要包括目标设定、风险识别、风险分析和风险应对。IT目标设定可以理解为IT战略与IT规划,IT风险识别与分析应对包括对信息资产的风险、IT流程的风险以及应用系统的风险识别分析与应对。
(三)IT控制措施。针对风险评估的结果,在IT方面需要实施具体的IT控制措施,包括IT技术类控制措施,如防火墙、防病毒、入侵检测、身份管理、权限管理等,以及IT管理类控制措施,包括各类IT管控制度与流程,如开发管理、项目管理、变更管理、安全管理、运营管理、职责分离,授权审批等。
(四)信息与沟通。在IT领域也需要明确具体的IT管理制度和沟通机制,建立服务台与事件管理程序,及时传达企业内部层级之间和与企业外部相关的信息。
(五)监督检查。需要建立IT内部控制体系的审核机制,评价IT控制的有效性。通过IT技术手段如日志、监控系统、综合分析平台等,和管理手段如内部IT审核、管理评审、专项检查等措施,不断改进企业的IT内部控制。
综合分析IT内部控制的组件,谷安天下将IT的控制分为三个层面:
(一)公司层控制。在公司层面建立IT治理架构,完善IT组织与职责,制定IT决策机制,实行IT人员绩效考核,加强IT合规与IT审计。
(二)流程与应用层控制。分析企业业务流程与活动,在企业业务流程、应用系统层面与通用IT流程层面建立控制,重点关注与财务报表相关的各种业务与应用系统的技术控制与流程控制。
(三)资源层控制。针对企业业务运作所依赖的各类信息资产和IT资源,分析具体每个资源点的风险,建立风险控制措施。
3. 浅议如何实现企业内部控制信息化
(1)控制方式上,人工和计算机程序相结合,信息技术是手段,企业信息系统是平台。把因人为的因素而出现差错的几率降到最低,有利于提高信息沟通的效率和效果。这种特征最终好处就是能够降低内部控制的成本, 提高内部控制的效益。
(2)内部控制流程信息化 《企业内部控制基本规范》为各大企业提供标本,企业根据其要求进行评估,包括内部控 制的制度、流程、关键控制点和控制措施等方面。将它们固化在信息化系统中的,使得内部控 制的规范制度设计和运行更加有效
(3)企业内部的管理必须科学、规范和健全 规范的制度流程是内部控制的基础,只有规范和健全企业内部管理,才能固化企业的内部 控制制度、流程和措施于信息系统中。这样,员工在开展业务时能按规范的制度和流程进行, 能有效地管控经营过程中遇到的风险。
(3)信息化内控扩展阅读:
财政部等五部委联合出台的《企业内部控制基本规范》对企业内部控制与信息系统的结合提出了要求:“企业应当运用信息技术加强内部控制,建立与经营管理相适应的信息系统,促进内部控制流程与信息系统的有机结合,实现对业务和事项的自动控制,减少或消除人为操纵因素”。
《企业内部控制应用指引第18号一一信息系统》又进一步明确了促进企业有效实施内部控制,提高企业现代化管理水平,减少人为因素的主旨和各项具体内容。可见,利用信息技术手段实施内部控制,减少人为因素造成的错弊,提高内部控制的执行力和效率,是内部控制信息化的目标。
参考资料:网络-企业内部控制规范
4. 信息化环境下如何加强企业内部控制
当前企业信息化应用正逐步深入,
财务管理软件、企业资源规划(ERP)、供应链管理(SCM)、客户关系管理(CRM)、电子商务(EC)等应用日益广泛。企业信息化建设促使企业的组织形式、管理体制、控制要点发生相应的改变,企业组织结构趋向扁平化,管理人员越来越依赖于管理信息平台经营和控制企业,电子商务也成为企业进行全球贸易经营的发展方向。与此同时,企业信息化也给企业的内部控制提出了新的挑战,本研究拟探讨信息化应用对内部控制产生的影响,为适应变化内部控制应进行的改变以及企业应该如何加强信息化环境下的内部控制。
1、企业信息化对内部控制提出挑战
内部控制是现代企业管理的重要内容,也是国家五部委对上市企业提出规范管理的明确要求。企业建立内部控制制度的目的在于:1)保障企业生产经营的效果与效率;2)保证财务报告的可靠性,以堵塞企业内部管理漏洞,确保企业生产、业务数据的真实性,制定合理的绩效考核指标及依据;3)使企业自觉遵循国家、地方相关法令、法规,预防、控制企业内部的舞弊行为。
按照国际权威美国COSO 委员会定义,企业内部控制包括5 个要素:
1)控制环境。影响企业员工内部控制意识,使内部控制得以贯彻执行,确保企业经营战略目标的实现。2)风险评估。在市场日趋激烈竞争中,企业内部控制必须分析、了解自身所面临的各种风险,并适时加以处理。3)控制活动。确保企业管理层的指令得以实现的政策和程序。控制活动主要包括:交易授权、职责分离、监管、业务记录、接触控制和独立稽核。4)信息和沟通
。企业必须保证员工能够取得他们在执行、管理和控制企业经营过程中所需的信息,使员工顺利履行其职责。5)监督。整个内部控制的过程必须施以恰当的监督,并在必要时对其加以修正。
企业信息化增加了企业内部控制的潜在风险,在企业由传统管理向信息化管理转变过程中,构建系统、严密、完善的内部控制
5. 信息化环境下如何做好企业的内部控制
1 建立适应信息化的内部控制制度
与手工业务流程相比,信息系统的内部控制综合性更强、范围更广、程序更复杂。在信息化环境下,手工业务流程中的人工审核监督机制的作用大大削弱,这就对内部控制提出了新的要求:制定相关的授权和管理制度;原始数据必须输入准确、数据的处理方法及流程规范化并保持相对的稳定性。另外,计算机的软硬件必须具备较高的可靠性与稳定性。
2 提高信息化环境下员工素质
在信息化环境下,要加强员工内部控制知识和信息技术的教育,在提高员工对内部控制认知的前提下提高他们的信息化水平。使信息系统使用人员树立安全意识及良好的职业道德,并加强对计算机、信息和网络知识的学习,提高业务素质。
3 加强风险的评估和控制
信息化环境下,由于网络的开放性、信息的共享性必然导致企业的潜在风险增加。因此,中小企业要加强信息资产和信息系统方面的风险预警和评估管理,不断提高风险的评估能力,加强风险评估活动,建立相适应的风险分析和风险管理机制。
4 保障信息和沟通的安全
中小企业在应用信息化技术时,要保证信息沟通的安全有效。中小企业内部信息沟通主要有输入、传递、处理、输出。企业信息在授权方式、传递过程、有效实施的各个环节都必须按照信息化系统设置的权限进行注册、授权、审批,保证信息在输入时是正确的,传递时是有序的,处理时是科学的、客观的。中小企业应建立合理科学的信息与沟通制度,信息来源的安全,传递方式的可靠,避免企业信息外漏,造成商业机密外泄。
5 加强信息化系统内部审计及监督
内部审计、内部监督在企业内部控制制度中起着至关重要的作用,而且是监督其他控制活动的重要途径。在信息化环境下,信息系统运行的各个环节都应有内部审计人员定期检查和测试其工作情况,并监督执行相关管理制度。同时,内部审计部门要充分利用信息化工具,新的审计技术、审计方法,收集更多的审计监督资料,选择信息自动化下更加有效的审计监督方式,做出更加可靠完整的审计监督方案。加强内部审计监督也需要提高审计监督人员素质和职业能力,提升信息技术水平,以此来提高内部审计监督的效率与效果。
6. 如何通过信息化提升财务内控管理
推荐智联腾华的财务内控管理--企业预算管理与费用审批平台
他们做一家500强公司的解决方案,你可以参考一下。
客户介绍
该500强企业于1998年成立,2000年上市。上市后以市场化经营为价值导向,坚持向产业上下游延伸的发展战略,努力从外贸代理型企业向具有市场营销能力和稳定盈利能力的综合服务商转变,化工物流、橡胶、农化、分销等核心业务的市场地位不断提升,客户遍及全球100多个国家和地区,销售收入已突破20亿美元。展望未来,目前已在物流、橡胶、农化、分销等业务领域内展开营销、技术、生产等关键要素的专业化组织。
费用报销管理存在的问题
• 工作效率低下:单据填写效率低下、业务审批效率低下、财务审核效率低下
• 资金计划管理困难,无法进行有效的资金控制
• 费用统计分析能力薄弱,无法提取有价值的信息
• 内部控制不力:费用预算管理、控制困难;制度流程执行、员工信用管理不力
费用报销管理面临的挑战
• 随着公司战略推进,业务规模不断扩大,员工人数增加,费用规模增加
• 公司管理层对于预算执行、预算控制、预算管理要求不断提高
• 公司内部管理、流程执行、流程管理要求不断提高
面向财务管理的内控管理系统方案的系统特点
流程管理 公司的财务政策和国家法律通过相关流程控制各种违规行为
通过在线帮助和业务流程实现报销政策的执行
信息管理 可按计划、预算、实际费用等进行比较
分人员、分部门、分职能、分项、分金额进行检索分析
与商务活动结合:可以与员工的业务活动关联,查看每笔费用是花在哪些客户上
预算管理 预算管理系统控制整个差旅和日常费用
内部控制 建立员工个人信用系统:根据员工每次报销还款的情况决定员工是否可以借款、是否可以使用本系统
能够完成公司(多个法人实体)统一控制费用
完成费用总量控制、单项费用控制、部门费用控制、项目费用控制
系统效益分析
直接效益 降低报销和业务审批成本
降低财务审核成本
降低账务付款成本
降低报告成本
降低信息重复成本
间接效益 提升了企业信息化水平和公司形象
费用报销周期缩短,提高员工满意度
全流程控制,财务工作透明化
简洁美观的操作界面,降低出错率,提高信息质量
进一步完善预算管理及企业的内部控制
加强了财务数据的分析与应用能力
7. 内部控制管理信息系统功能是什么意思
内部管理控制制度是指那些对会计业务、会计记录和会计报表的可靠性没有直接影响的内部控制。例如,企业单位的内部人事管理、技术管理等,就属于内部管理控制。
内部管理控制由组织的计划和主要与经营效率和坚持经营政策相关、通常只和财务记录间接相关的所有方法和程序组成,一般包括统计分析、工时和操作的研究、业绩报告、雇员的培训计划和质量控制等控制手段。其目的是提高经营效率,促使有关人员遵守既定的管理方针。
(7)信息化内控扩展阅读
内控管理是企业为保证经营管理活动正常有序、合法的运行,采取对财务、人、资产、工作流程实行有效监管的系列活动。 企业内控要求保证企业资产、财务信息的准确性、真实性、有效性、及时性;保证对企业员工、工作流程、物流的有效的管控;建立对企业经营活动的有效的监督机制
8. 企业内控与IT内控有什么关系
以下解答摘自谷安天下咨询顾问发表的相关文章:
企业内部控制基本规范包含的五要素框架:
(一)内部环境。内部环境是影响、制约企业内部控制建立与执行的各种内部因素的总称,是实施内部控制的基础。内部环境主要包括治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审计机构设置、反舞弊机制等。
(二)风险评估。风险评估是及时识别、科学分析和评价影响企业内部控制目标实现的各种不确定因素并采取应对策略的过程,是实施内部控制的重要环节。风险评估主要包括目标设定、风险识别、风险分析和风险应对。
(三)控制措施。控制措施是根据风险评估结果、结合风险应对策略所采取的确保企业内部控制目标得以实现的方法和手段,是实施内部控制的具体方式。控制措施结合企业具体业务和事项的特点与要求制定,主要包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。
(四)信息与沟通。信息与沟通是及时、准确、完整地收集与企业经营管理相关的各种信息,并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程,是实施内部控制的重要条件。
(五)监督检查。监督检查是企业对其内部控制的健全性、合理性和有效性进行监督检查与评估,形成书面报告并做出相应处理的过程,是实施内部控制的重要保证。
相应的,IT内部控制框架也应对于企业内部控制的五要素框架:
(一)IT内部控制环境。内部环境在企业IT领域的体现是IT的内部控制环境,同样IT内部控制环境是实施IT内部控制的基础。主要包括IT治理架构、IT组织与职责,IT决策机制,IT合规与IT审计等。
(二)IT风险评估。企业信息化带来的IT风险已经成为企业风险管理的主要方面。风险评估主要包括目标设定、风险识别、风险分析和风险应对。IT目标设定可以理解为IT战略与IT规划,IT风险识别与分析应对包括对信息资产的风险、IT流程的风险以及应用系统的风险识别分析与应对。
(三)IT控制措施。针对风险评估的结果,在IT方面需要实施具体的IT控制措施,包括IT技术类控制措施,如防火墙、防病毒、入侵检测、身份管理、权限管理等,以及IT管理类控制措施,包括各类IT管控制度与流程,如开发管理、项目管理、变更管理、安全管理、运营管理、职责分离,授权审批等。
(四)信息与沟通。在IT领域也需要明确具体的IT管理制度和沟通机制,建立服务台与事件管理程序,及时传达企业内部层级之间和与企业外部相关的信息。
(五)监督检查。需要建立IT内部控制体系的审核机制,评价IT控制的有效性。通过IT技术手段如日志、监控系统、综合分析平台等,和管理手段如内部IT审核、管理评审、专项检查等措施,不断改进企业的IT内部控制。
综合分析IT内部控制的组件,谷安天下将IT的控制分为三个层面:
(一)公司层控制。在公司层面建立IT治理架构,完善IT组织与职责,制定IT决策机制,实行IT人员绩效考核,加强IT合规与IT审计。
(二)流程与应用层控制。分析企业业务流程与活动,在企业业务流程、应用系统层面与通用IT流程层面建立控制,重点关注与财务报表相关的各种业务与应用系统的技术控制与流程控制。
(三)资源层控制。针对企业业务运作所依赖的各类信息资产和IT资源,分析具体每个资源点的风险,建立风险控制措施。
参考资料:答案来自于谷安天下网站咨询顾问发表的相关文章
关键字是:企业内控、IT内控