是很有益的作法。csa是企业不定期或定期地对自己的内部控制系统进行评估,评估内部控制的有效性及其实施的效率效果,以期能更好地达成内部控制的目标。csa有助于提高组织内部控制的自我意识,帮助人们了解哪里存有缺陷以及可能引至的后果,然后采取行动改进这种状况,对于一个企业加强管理、提高劳动生产率、改进内部审计程序和业务经营程序以及控制风险等都有着积极的作用。
三、企业信息化环境下加强内部控制的对策
(一)实施it治理,从公司治理的高度对企业信息化作出制度安排
it治理是一个相当新的概念,是从公司治理的高度,对企业信息化作出制度安排,制定与企业战略相融合的it战略,并从战略投资、企业管理变革的角度,降低it风险。it治理的目标是帮助管理层建立以企业战略为导向,以外界环境为依据,以业务和it相整合为中心的观念,正确定位it部门在整个组织中的作用。最终能够针对不同业务发展要求,整合信息资源,制定并执行推动企业发展的it战略。it治理的主要任务是:保持it与业务目标一致,推动业务发展,促使收益最大化,合理利用it资源,适当管理it相关风险。
(二)加强信息系统控制,实施信息系统审计
在企业信息化环境下,对信息系统的有效控制是企业开展正常的生产经营活动的前提和保障。有效的信息系统控制是技术与制度相结合的体系,决不仅仅是一个技术问题,不能仅由技术人员负责,而应当受到企业最高管理层的高度重视。
内部审计机构是信息系统控制最重要的执行者之一。内部审计机构在信息系统的开发、实施、维护和操作过程中应当进行严格的独立审查,并定期对信息系统加以检查,以保证信息系统的正确性、完整性和安全性。内部审计机构应当将发现的问题及时报告给企业管理当局,提高管理当局对信息系统控制的重视程度,帮助管理当局弥补信息系统控制中的缺陷。
有条件的企业还应当实施信息系统审计。信息系统审计是独立信息系统审计师,为了信息系统的安全、可靠与有效,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价,向被审计单位的最高管理当局,提出问题与建议的一系列活动。信息系统审计综合运用it技术与审计理论和方法为信息系统的使用者提供合理的保证。
信息系统审计主要包括以下几个方面:(1)评价信息系统的管理、规划与组织方面的策略、政策、标准、程序和相关实务。(2)评价企业在信息系统技术基础设施与操作实务的管理和实施方面的有效性及效率,以确保其充分支持企业的商业目标。(3)对逻辑、环境与信息技术基础设施的安全性进行评价,确保其能支持企业保护信息资产的需要,防止信息资产在未经授权的情况下被使用、披露、修改、损坏或丢失。(4)评价灾难恢复与业务持续计划,这些计划保证在发生灾难时,能够使企业持续处理业务。(5)对应用系统的开发、获得、实施与维护方面所采用的方法和流程进行评价,以确保其满足企业的业务目标。(6)评估业务系统与处理流程,确保根据企业的业务目标对相应风险实施管理。
(三)实施业务流程重组
如果企业进行了一定程度的信息化,实施了蕴含先进管理思想的企业信息系统,但其业务流程仍然保持手工环境下的状态,必然造成信息系统与业务流程之间存在许多冲突,从而使企业生产经营管理出现低效率,而且会形成内部控制的弱点和许多问题。因此,企业信息化过程中实施业务流程重组具有十分重要的意义。业务流程重组(bpr,business process reengineering)的概念最早由著名管理学家michael hammer提出。他认为,“业务流程重组是从根本上重新考虑并彻底重建企业的业务流程,其目的是在成本、质量、服务和速度等方面取得显著的改善,使企业能最大限度地适应以顾客、竞争、变化为特征的现代企业经营环境”。
(四)加强人力资源管理
任何企业的核心均是企业中的人及其活动。人力资源管理是合理配置和开发企业的人力资源,以实现企业目标的管理活动。在信息化环境下,企业加强内部控制的一个重要方面就是加强对人力资源的管理。对于内部控制而言,人力资源管理的目标主要是保证和提高员工的素质和品行。信息化环境对员工的素质提出了更高的要求,员工不但要熟悉更多的业务流程,而且还要熟悉信息系统的操作方法。另一方面,由于信息系统的程序设计员、系统管理员等人员对信息系统具有巨大潜在破坏力,要求这些人员具有更高的道德品质。企业应该通过完善的人力资源管理来保证员工尤其是与信息技术相关的人员的素质和品行,对他们进行合理且有效地管理,建立良好的绩效评价机制、激励机制以及约束机制,使拥有知识的人获得合理的报酬,实现知识创造财富,留住了解重要信息资源的人才,防止人才流失以及相应的信息资源损失。
上一页 [1] [2] [3]