企业信息化与信息系统内部控制

企业信息化与信息系统内部控制

自20世纪90年代以来，随着信息系统的发展，系统越来越复杂化、大型化及网络化。各种各样的信息系统成为各种业务处理的核心，与此同时，互联网也开始向世界范围扩充。互联网的爆炸性发展对社会影响的广度和深度是以往任何一次产业革命所无法比拟的。互联网使信息资源的作用得到充分发挥，但也产生了众多不安全因素。大量的事实证明信息系统的安全、可靠和有效变得越来越重要。信息系统成为政府和企业的中枢，在美国、日本及欧洲的一些国家，政府部门和企业都认识到了信息系统内部控制的重要性，人们也越来越清楚地意识到有效管理和控制信息及信息相关技术是进入信息化社会的可靠保障。

信息系统内部控制是一个单位在信息系统环境下，为了保证业务活动的有效进行，保护资产的安全与完整，防止、发现、纠正错误与舞弊，合理确保信息系统提供信息的真实、合法、完整，而制定和实施的一系列政策与程序措施。它是规范秩序、防范风险、遏制腐败、合理确保信息系统功效的有效途径，从而更好地确保组织目标的实现。凡是与信息系统的建立、运行维护、管理和业务处理有关的部门、人员和活动，都属于信息系统内部控制的对象。信息系统内部控制分为一般控制和应用控制。

信息系统一般控制是应用于一个单位信息系统全部或较大范围的内部控制，其基本目标为保证数据安全、保护计算机应用程序、防止系统被非法侵入、保证在意外中断情况下的继续运行等。有效的一般控制是保证应用控制有效的一个重要因素，它提供应用系统运行和应用控制实施的环境。如果一般控制薄弱，将会严重地削弱相关的具体应用控制的可靠性。由此，对一般控制的评价通常在应用控制评价之前进行。对一般控制的测评内容包括：单位整体范围安全计划和管理、访问控制、应用软件开发和变更控制、系统软件控制、职能分离控制、服务持续性控制。

信息系统应用控制是被用于对具体应用系统的控制，一个应用系统一般由多个相关计算机程序组成，有些应用系统可能是复杂的综合系统，牵涉到多个计算机程序和组织单元，与此相应，应用控制包括包含在计算机编码中的日常控制及与用户活动相关的政策和流程。对信息系统应用控制的测评内容包括各项业务的授权控制、完整性控制、准确性控制。

由于计算机信息系统的数据处理与手工处理有许多不同，从而产生了新的内部控制内容和方式，因此开展信息系统审计针对企业信息系统内部控制的评测是很有意义的。

一、信息化对内部控制的影响

企业信息化虽然对企业产生了深远的影响，但是并没有改变企业经营管理的目标。因此，内部控制作为企业管理的一个组成部分，其总体目标也没有改变，仍然是达到营运的效率和效果、财务报告的可靠性以及遵循相关法令。当然，各项具体的控制活动和控制措施中的子目标应该根据具体的情况有所变化，对内部控制的五要素也产生了一定的影响。

（一）对控制环境的影响

控制环境的构成因素是多方面的，主要包括：企业的治理机制、组织结构与权责分派体系、企业管理者的素质、品行与管理哲学、企业文化、信息系统、人力资源政策及实务等等。企业信息化将影响企业的治理机制。通过完善的企业信息系统，董事会、监事会可以更及时更全面的了解企业的全面信息，因而可以更好地进行战略制定、经理人员选择和绩效评价、企业运营情况监控等等，对企业进行更好的治理。小股东可以以较低的成本通过网络在线参加股东大会，而不必因为路途遥远等原因放弃自己的权利，可以更好地维护自身的利益。信息化将使企业组织结构趋向扁平化，管理层次减少。

信息化对企业管理者的素质提出了更高的要求。企业所面临的商务环境竞争加剧、变化加速，管理者所能获得的信息量倍增，信息技术和信息系统在企业中的作用日益重要，这些都要求管理者不但要有更强的把握信息、利用信息的能力，在运营管理企业中利用好信息资源，而且要有对信息、信息技术和信息系统重要性和风险的认识和理解，制定良好的IT战略和IT规划。

在网络环境下，人与人之间的直接接触将有所减少。网络世界的无形性和匿名性将对人的心理造成一定的影响，使部分人误以为借助网络为非作歹不容易被抓住，从而可能降低犯罪的心理阀值。信息资产价值的提高可能诱使掌握它的管理人员将其买给竞争对手的犯罪行为，而由于信息的无形性、可拷贝性，信息的泄密不易被发现。再者网络的远程接入性也给犯罪分子提供了方便，他们只要

获得一个登录密码就可能通过网络侵入系统，窃取企业重要的信息资产，或是使信息系统崩溃，而不必像盗窃有形资产那样需要翻墙入室、避开警卫等麻烦之举。这些均对管理人员的品行和道德水平提出了更高的要求。同时也需要企业加强对信息资产、信息技术和信息系统的内部控制，通过良好的管理手段和技术手段降低风险。

（二）对风险评估的影响

在企业信息化环境下，业务流程的自动化降低了业务处理过程中源于人员疏漏或舞弊的风险。但另一方面，企业的运营管理越来越依赖于信息系统，信息在企业中的作用日趋重要，信息化环境促使信息存储高度集中、单位时间传递的信息量大为提高，这些都增加了与信息资产和信息系统相关的风险。信息化环境下，如果信息系统失灵或崩溃，重要信息被窃，都将给企业带来不可估量的损失。因此，企业应当作好有关信息资产和信息系统方面的风险评估，建立良好的IT 治理机制，减少灾难的发生以及灾难发生时的损失。

（三）对控制活动的影响

控制活动必须根据企业业务流程的情况和具体的控制点进行设置，因此，控制活动受到企业信息化的直接影响。信息化环境下的控制活动分为两部分：自动化业务控制和信息系统控制。自动化业务控制的控制对象仍然是企业的生产经营过程，但其形式和控制手段发生了很大变化。它以计算机程序的形式嵌入于企业信息系统之中，对业务的控制由计算机自动完成。信息系统控制是企业为了保证信息系统正确性、完整性和安全性而采取的控制措施，其控制对象是企业信息系统，包括计算机软硬件资源、应用系统、数据和相关人员等等信息系统的所有组成要素。随着网络技术和电子商务的发展，信息系统控制还必须考虑网络安全和电子商务控制的问题。自动化业务控制和信息系统控制对控制活动有着不同要求，使得传统的六类控制活动都有一定的变化。

信息化环境下的交易授权可以由计算机程序自动完成，使得授权过程不明显，控制的失效往往在发生损失后才被察觉。因此，管理者对交易授权的关注应该转移到对相关计算机程序的正确性和完整性的检查上。

在信息化环境下，计算机能够避免人类通常会犯的错误或舞弊，手工环境下的一些不相容的职责可以由计算机来执行，所以职责分离和员工的相互检查成