制、信息记录控制、计算机信息系统控制、业绩评价等控制制度和控制程序,并将这些控制程序和控制参数输入到计算机信息系统内部,形成完整、严密的面向流程的人机内部控制系统。这样,企业员工可以根据信息系统反映的信息流及时监控业务过程的物流、资金流、作业流,通过反馈信息与控制参数的比较,制定决策、预防风险、修正作业错误,防范业务舞弊。另外,在计算机信息系统内部建立严格的人员访问授权、数据接触控制、操作流程规则和职责体系,以避免信息系统故障,保留it审计线索,杜绝利用信息技术进行贪污、舞弊的行为。
4.组织成员之间信息交流和沟通更加便利
信息与沟通是指企业在其经营过程中识别企业内、外部信息,并在组织内沟通,以便员工了解、执行其职责。
信息技术应用改变企业信息孤岛的状况,大量的企业环境信息、政策信息、经营信息、财务会计信息、作业信息集中存储在企业数据库系统内,并不断被实时更新。基于互联网、企业网、数据库技术的客户/服务器(c/s)和浏览器/web服务器(b/s)混合结构的网络平台为企业成员提供了很好的沟通条件。在这个平台上,员工可以十分便捷地从计算机数据库中查阅有关的政策和法规,获取与其职责相关的控制信息,明确各自的权利与责任,了解自己的活动如何与他人的工作相关以及例外情况如何报告或处理的途径。另外,企业在网络平台上构建与利益相关者联系的机制,使组织的相关成员可以实时获取经营信息与财务会计信息,及时进行沟通,达到最佳协同合作和利益共享。
5.监控更注意更新信息系统内部设置的控制参数与控制程序
监控是评价一段时间的内部控制质量过程,包括及时评估控制制度的设计和运行,以及在必要的时候采取的行动。在信息技术环境下,内部控制是基于一种人机结合的控制模式,许多控制程序、控制指标、控制方法被设置在计算机信息系统内部,。因此监控的一项重要内容就是要及时了解原来设置在信息系统内的控制程序、控制参数是否过时,并针对企业经营环境变化情况,及时评估业务流程控制点的运行状态,重新调整或更改设置在信息系统的控制参数或程序。
三、基于信息技术的企业内部控制系统设计策略
针对上述分析,企业在进行内部控制系统设计时,应综合考虑内部控制要素的新特点,从组织控制、流程控制、信息系统控制三方面制定对应设计策略。
1.组织控制设计策略
组织控制是为实现组织的目标而进行的组织结构设计、权责安排和制度设计。在信息技术环境下,流程决定企业组织结构。因此,组织结构设计应以产出为中心,结合企业流程特点、信息化程度、人员素质、风险类型与大小进行全盘考虑;围绕产出目标,重新审视原先组织的职能界限与任务划分,尽可能将跨越不同职能部门并由不同专业人员完成的工作环节集合起来,形成适应流程管理与控制的企业组织结构,使企业组织设计能保障决策点、控制点位于工作执行地方,能将信息处理工作纳入产生这些信息的实际工作中,并与员工信息的使用权、决策权相匹配,与切合流程职位的控制信息需求和成功运用这些信息相匹配。
组织控制设计的一项重要任务是权责分派与不相容职务分离。传统设计方法建立在执行者、监控者、决策者分离的基础上,并通过层层授权与审批手续来监督员工作业。在信息技术应用条件下,企业组织的权责范围遵循以流程为核心的原则。首先将企业主要业务分解为产品流程、质量流程、服务流程、物流流程等,并在这些流程层面上重新定义企业各部门在业务流程中的职责以及它们之间的协调关系。然后再进一步将这些流程分解为一系列相关作业集合,并结合业务的信息化程度来定义企业作业岗位以及对应的岗位责任制度。作业岗位权责分派应体现以人为本,岗位职责的授权、绩效评估考核等控制设计应能最大限度地发挥每个员工的主观能动性和潜能。不相容职务分离设计应结合重组后的业务特点和人机系统的控制功能,通过计算机应用软件功能使用权限设置、应用软件的作业流程逻辑顺序的设置、业务控制参数的设置,充分发挥计算机系统内部监控能力,实现信息化环境下业务流程不相容职务分离的制度安排。
组织控制的制度设计要充分考虑信息技术在公司治理中的作用。对内,信息系统应与企业的岗位职责、内部牵制以及责任中心控制、预算控制、企业财产管理控制、业绩评价等控制制度融合为一体,保障资产安全、会计信息真实及效益提高。对外,建立企业门户,采取推拉式服务来加强与外部利益相关者的联系。通过信息在组织内外的传递,改善企业监督体系与公司治理结构。
2.流程控制设计策略
以往企业内部控制主要侧重于事后控制,即通过期末会计资料的检查或审计来识别业务错误或舞弊。由于信息技术使企业业务流程与信息流程融合在一起,并与企业上下游建立了密切联系,业务流程控制与信息流程控制成为企业内部控制系统设计的重要内容,控制重心也从适时控制向事前控制、实时控制转移,控制的顺序先是以预防为主,然后是检查、纠正错误和舞弊。因此,在企业流程控制的设计中,专业人员的首要任务是熟悉企业业务过程和信息过程以及它们之间的联系,并针对组织内部控制目标的要求,对业务流程和信息流程的各类风险进行评估,确定风险重要程度。其次为业务过程和信息过程制定规则和程序,作为控制策略的一部分。具体的规则依赖于企业的各种因素,如环境、组织规模、使用技术、员工素质等,并在此基础上建立企业作业的预算制度、作业操作制度、业绩评价制度、供应链绩效评价制度。最后依据风险的重要程度确定业务流程与信息流程的关键控制点、建立控制模型,设定控制参数与控制程序,并将其嵌入到信息系统中, 形*机结合、业务活动与信息处理集合的内部控制系统。这样,在企业经营过程中,信息系统就能动态跟踪业务活动的信息,自动监控这些活动所产生的数据是否在控制范围内,预测发展趋势,实时输出预警信号。组织成员也能依据这些作业点的反馈信号及时制定正确决策,有效控制企业的经营活动过程。
3.信息系统控制设计策略
上一页 [1] [2] [3] 下一页