傳統(tǒng)信息技術(shù)情境下的企業(yè)內(nèi)部控制

1、傳統(tǒng)信息技術(shù)情境下的企業(yè)內(nèi)部控制一、傳統(tǒng)信息技術(shù)情境下企業(yè)內(nèi)控面臨的主要問題會(huì)計(jì)信息化技術(shù)的應(yīng)用,對企業(yè)的管理產(chǎn)生了很大影響,改變了企業(yè)經(jīng)營管理戰(zhàn)略、組織構(gòu)造、作業(yè)管理流程及人力資源政策,在帶給企業(yè)高效、便捷的同時(shí),也使企業(yè)的內(nèi)部控制出現(xiàn)了不少問題。1、網(wǎng)絡(luò)環(huán)境下會(huì)計(jì)信息系統(tǒng)的內(nèi)部控制出現(xiàn)新的問題計(jì)算機(jī)網(wǎng)絡(luò)、硬件系統(tǒng)、軟件系統(tǒng)的穩(wěn)定性是計(jì)算時(shí)機(jī)計(jì)信息系統(tǒng)能否正常運(yùn)行的前提。如果計(jì)算機(jī)網(wǎng)絡(luò)、硬件系統(tǒng)、軟件系統(tǒng)始終處于動(dòng)亂的狀態(tài)，計(jì)算時(shí)機(jī)計(jì)信息系統(tǒng)處理業(yè)務(wù)也將會(huì)處于動(dòng)亂的狀態(tài)，數(shù)據(jù)傳輸?shù)目煽渴艿絿?yán)重的危脅。開放的網(wǎng)絡(luò)環(huán)境使得任何信息在理論上都有可能被到，因此在會(huì)計(jì)信息系統(tǒng)下，會(huì)計(jì)信息通過物理通信線

2、路傳輸存在著很大的平安隱患。一方面，從公司內(nèi)部來說，公司內(nèi)部人員憑借自身得天獨(dú)厚的條件，能夠窺測到并利用公司業(yè)務(wù)活動(dòng)的薄弱環(huán)節(jié)作案，如果公司內(nèi)部人員還掌握了高科技手段便可以有針對性地研究諸如破解加密技術(shù)，模擬防偽標(biāo)志等手段實(shí)施作案。一般情況下，內(nèi)部人員作案后，都會(huì)千方百計(jì)掩蓋作案事實(shí)，消滅痕跡，制造假象，轉(zhuǎn)移贓物，相關(guān)人員串通作案更給案件偵破帶來極大困難。另一方面，從公司外部來說，黑客攻擊時(shí)有發(fā)生。黑客通過程序侵入他人電腦，在電腦用戶毫不知情下的情況下盜用或者篡改他人信息，更有甚者入侵到公司內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)庫，竊取公司的商業(yè)XX后出賣給商業(yè)競爭對手，從中得利，卻使該公司蒙受巨大損失。計(jì)算機(jī)系統(tǒng)的

3、硬件一旦發(fā)生物理性損壞，將引起數(shù)據(jù)庫喪失，導(dǎo)致數(shù)據(jù)不能被處理，公司正常的經(jīng)營不能進(jìn)展。電源故障包括計(jì)算機(jī)內(nèi)部供電與外部供電，當(dāng)系統(tǒng)突然失去供電，易失性存儲(chǔ)器中的數(shù)據(jù)將會(huì)喪失，從而威脅到會(huì)計(jì)信息的平安。操作系統(tǒng)軟件和會(huì)計(jì)信息系統(tǒng)軟件的設(shè)計(jì)和使用是否合法、合規(guī)，以及是否適應(yīng)財(cái)務(wù)管理的需要都是計(jì)算時(shí)機(jī)計(jì)信息系統(tǒng)內(nèi)部控制所需要解決的問題。會(huì)計(jì)信息系統(tǒng)的運(yùn)行軟件由于程序本身設(shè)計(jì)存在的問題，或者對數(shù)據(jù)校驗(yàn)考慮不周，都將影響到會(huì)計(jì)數(shù)據(jù)的完整性。2、計(jì)算機(jī)信息系統(tǒng)授權(quán)存在平安隱患傳統(tǒng)手工會(huì)計(jì)授權(quán)下，對于每一項(xiàng)業(yè)務(wù)的每個(gè)環(huán)節(jié)都有相應(yīng)工作人員的簽名或印章。簽名或印章的訪寫、仿造具有一定的難度。會(huì)計(jì)信息系統(tǒng)授權(quán)方式

4、是口令授權(quán)，口令授權(quán)存在于計(jì)算機(jī)系統(tǒng)內(nèi)部。隨著會(huì)計(jì)信息系統(tǒng)的進(jìn)一步開展，電子原始數(shù)據(jù)經(jīng)審核和確認(rèn)后，就可自動(dòng)生成電子記賬憑證，而由這些記賬憑證直接生成的賬簿和報(bào)表都是派生性的數(shù)據(jù)。所以，賬簿和報(bào)表的正確性、真實(shí)性完全取決于審核和確認(rèn)的電子數(shù)據(jù)。在計(jì)算時(shí)機(jī)計(jì)信息系統(tǒng)下，常用的身份認(rèn)證方式主要有用戶名密碼方式、IC卡認(rèn)證、動(dòng)態(tài)口令、USBKey認(rèn)證、生物識(shí)別技術(shù)。目前，我國會(huì)計(jì)信息系統(tǒng)應(yīng)用商業(yè)軟件在身份認(rèn)證管理上主要采用用戶名密碼方式，這種方式過于簡單，在密碼驗(yàn)證過程很容易被木馬程序或網(wǎng)絡(luò)中的監(jiān)聽設(shè)備截獲，平安性極差。會(huì)計(jì)信息操作員在設(shè)置密碼時(shí)，為了方便記憶，往往用“123、“1111或是生日、作

5、為操作員密碼，甚至將密碼設(shè)置為空值，極易破譯。一些企業(yè)對身份認(rèn)證疏于管理，會(huì)計(jì)信息系統(tǒng)管理員在員工已調(diào)離本企業(yè)后，依然在很長的一段時(shí)間內(nèi)保存著該員工的賬號，留下了平安隱患。在使用電子原始憑證的情況下，由于電子原始憑證的內(nèi)容與載體相別離和易篡改性特征，不可能像對紙質(zhì)原始憑證那樣對載體進(jìn)展審核，所以主要通過技術(shù)手段來保證業(yè)務(wù)處理的真實(shí)性，通常把這一系列技術(shù)手段稱為電予簽名。電子原始憑證進(jìn)展電子簽名的過程為：報(bào)文發(fā)送方用散列算法從報(bào)文中生成一個(gè)固定長度的報(bào)文摘要，用私有密鑰對報(bào)文摘要進(jìn)展加密后形成發(fā)送方數(shù)字簽名并發(fā)送。所以收到電子原始憑證的企業(yè)應(yīng)首先從認(rèn)證中心取得發(fā)送方的公鑰，再用它來解出報(bào)文摘要，

6、同時(shí)對報(bào)文進(jìn)展散列運(yùn)算得到報(bào)文摘要，如果這兩個(gè)報(bào)文摘要一樣，就可以確認(rèn)這個(gè)憑證是簽名者發(fā)送的，并且憑證的內(nèi)容保持了發(fā)送時(shí)的原始狀念，沒有被更改。這個(gè)審核過程可以由計(jì)算機(jī)自動(dòng)完成，由于相關(guān)技術(shù)已經(jīng)較為成熟，而且它采用的是第三方審核的方式，認(rèn)證中心具有獨(dú)立的經(jīng)濟(jì)、法律地位，所以這種審核方式比審核紙質(zhì)原始憑證更為可靠和快。3、數(shù)據(jù)過失具有重復(fù)性和蔓延性傳統(tǒng)手工會(huì)計(jì)系統(tǒng)下，由于數(shù)據(jù)處理環(huán)節(jié)相對分散，一個(gè)環(huán)節(jié)數(shù)據(jù)出現(xiàn)錯(cuò)誤，下一個(gè)環(huán)節(jié)還可以發(fā)現(xiàn)并更正。但是，計(jì)算時(shí)機(jī)計(jì)信息系統(tǒng)數(shù)據(jù)處理集中化、自動(dòng)化，數(shù)據(jù)可以轉(zhuǎn)入、拷貝，因此一個(gè)業(yè)務(wù)的數(shù)據(jù)錯(cuò)誤往往會(huì)重復(fù)出現(xiàn)幾次，從一個(gè)環(huán)節(jié)蔓延至其它環(huán)節(jié)，導(dǎo)致整個(gè)系統(tǒng)數(shù)據(jù)失真

7、，使得錯(cuò)誤的嚴(yán)重性加大。例如：在錄入原始會(huì)計(jì)數(shù)據(jù)期間，錄入的錯(cuò)誤數(shù)據(jù)就會(huì)再次用到會(huì)計(jì)科目匯總的過程中，影響到會(huì)計(jì)科目匯總的結(jié)果，導(dǎo)致科目匯總數(shù)據(jù)的錯(cuò)誤。在進(jìn)行經(jīng)濟(jì)指標(biāo)分析時(shí)，又可能會(huì)再次使用到錯(cuò)誤的科目匯總數(shù)據(jù)?？梢?，因一個(gè)數(shù)據(jù)的錯(cuò)誤將會(huì)導(dǎo)致一連串系統(tǒng)的錯(cuò)誤，最終導(dǎo)致整個(gè)會(huì)計(jì)信息系統(tǒng)的數(shù)據(jù)失真?？梢?，公司所使用計(jì)算時(shí)機(jī)計(jì)信息系統(tǒng)的合法、合規(guī)是公司使用計(jì)算時(shí)機(jī)計(jì)信息系統(tǒng)的前提保障；軟件的合法、合規(guī)是公司使用計(jì)算時(shí)機(jī)計(jì)信息系統(tǒng)的必要條件，任何非法的軟件都可能在軟件內(nèi)部鑲嵌著病毒，一方面是破壞業(yè)務(wù)處理流程，另一方面使公司內(nèi)部信息在業(yè)務(wù)處理的同時(shí)悄悄地瀉漏出去。4、內(nèi)部稽核難度加大手工會(huì)計(jì)系統(tǒng)中，會(huì)出

8、現(xiàn)由于會(huì)計(jì)人員的粗心大意、疲勞或處理環(huán)節(jié)過多等產(chǎn)生的無意錯(cuò)誤。計(jì)算時(shí)機(jī)計(jì)信息系統(tǒng)后，輸入數(shù)據(jù)正確、計(jì)算機(jī)程序正確和設(shè)備正常運(yùn)轉(zhuǎn)三者兼?zhèn)洳拍鼙ＷC財(cái)務(wù)信息的準(zhǔn)確性，如果上述任何一方出現(xiàn)過失，就會(huì)使處理結(jié)果錯(cuò)誤?，F(xiàn)實(shí)中，由于儲(chǔ)存在計(jì)算機(jī)磁性媒介上的數(shù)據(jù)容易被篡改，有時(shí)甚至能不留痕跡地篡改，加以數(shù)據(jù)高度集中，未經(jīng)授權(quán)的人員有可能通過計(jì)算機(jī)和網(wǎng)絡(luò)瀏覽全部數(shù)據(jù)文件，復(fù)制、偽造、銷毀企業(yè)重要的數(shù)據(jù)，因此，計(jì)算機(jī)犯罪具有很大的隱蔽性和危害性，發(fā)現(xiàn)計(jì)算機(jī)舞弊和犯罪的難度較之手工會(huì)計(jì)系統(tǒng)更大。在計(jì)算時(shí)機(jī)計(jì)信息系統(tǒng)下，由于系統(tǒng)操作的高度集中，許多崗位可以合并，許多手續(xù)合并到計(jì)算機(jī)統(tǒng)一執(zhí)行，會(huì)計(jì)工作人員大大減少，因而

9、必須建立適合計(jì)算時(shí)機(jī)計(jì)信息系統(tǒng)下的不相容業(yè)務(wù)。計(jì)算時(shí)機(jī)計(jì)系統(tǒng)與手工會(huì)計(jì)系統(tǒng)一樣，對每一項(xiàng)可能引起舞弊或欺詐的經(jīng)濟(jì)業(yè)務(wù)，都不能由一個(gè)人或一個(gè)部門經(jīng)手到底，必須分別由幾個(gè)人或幾個(gè)部門承當(dāng)。在計(jì)算時(shí)機(jī)計(jì)系統(tǒng)中，不相容的職務(wù)主要有：系統(tǒng)開發(fā)、維護(hù)職務(wù)與系統(tǒng)操作的職務(wù)；數(shù)據(jù)維護(hù)管理職務(wù)與審核職務(wù)；數(shù)據(jù)錄入職務(wù)與審核記賬職務(wù)；系統(tǒng)操作的職務(wù)與系統(tǒng)檔案管理職務(wù)等。通過計(jì)算機(jī)舞弊的犯罪分子大多是企業(yè)的程序員兼計(jì)算機(jī)操作員。計(jì)算時(shí)機(jī)計(jì)信息系統(tǒng)所要求的完善的人員職能控制制度就是適當(dāng)分工，明確規(guī)定每個(gè)崗位的職責(zé)，以防止對處理過程的不適當(dāng)干預(yù)。計(jì)算時(shí)機(jī)計(jì)信息系統(tǒng)工作崗位包括基本工作崗位和計(jì)算時(shí)機(jī)計(jì)信息系統(tǒng)會(huì)計(jì)崗位，前

10、者有會(huì)計(jì)主管、出納，后者有系統(tǒng)主管、軟件操作、審核記賬、系統(tǒng)維護(hù)、審查和數(shù)據(jù)分析、檔案管理、軟件開發(fā)等。企業(yè)應(yīng)將系統(tǒng)分析、程序設(shè)計(jì)、計(jì)算機(jī)操作、數(shù)據(jù)輸入、文件程序管理等職務(wù)予以別離，系統(tǒng)操作人員、管理人員和維護(hù)人員這三種不相容職務(wù)相互別離，互不兼任，以減少利用計(jì)算機(jī)舞弊的可能性。企業(yè)為防止舞弊或欺詐，應(yīng)建立一整套符合職責(zé)劃分原那么的內(nèi)部控制制度，同時(shí)，還應(yīng)建立職務(wù)輪換制度。二、信息化情境對企業(yè)內(nèi)控的現(xiàn)實(shí)要求1、對控制環(huán)境的要求一方面,信息化將使企業(yè)組織構(gòu)造趨向扁平化,管理層次減少,人員精簡,進(jìn)而降低本錢和提高效率。同時(shí),扁平化組織構(gòu)造能夠使物流和信息流更加順暢,有利于工作周期的縮短、工作質(zhì)量的

11、提高。隨著扁平化組織構(gòu)造的建立和信息系統(tǒng)的運(yùn)行,企業(yè)的權(quán)責(zé)分派體系也出現(xiàn)了變化,主要包括崗位設(shè)置和交易授權(quán)。崗位設(shè)置。信息化環(huán)境下,工作崗位及其職責(zé)需要重新合并和劃分。核算組、 會(huì)計(jì)信息運(yùn)行組、轉(zhuǎn)變?yōu)闀?huì)計(jì)信息運(yùn)行組崗位。有利于團(tuán)隊(duì)的成長和開展。就會(huì)計(jì)崗位而言,可以按照會(huì)計(jì)信息的不同形態(tài)劃分為會(huì)計(jì)管理組。與此同時(shí),會(huì)計(jì)崗位的重心由傳統(tǒng)的總賬報(bào)表崗位這種工作崗位及其職責(zé)的變化更加強(qiáng)調(diào)員工之間的競爭與合作交易授權(quán)。傳統(tǒng)的交易授權(quán)大都采用簽字和蓋章等方式，而在信息化環(huán)境下,交易授權(quán)一般采用計(jì)算機(jī)口令和數(shù)字簽名等手段。這種交易授權(quán)行為可以在人工介入很少的條件下,通過計(jì)算機(jī)程序自動(dòng)完成。它減少了工作量,提

12、高了工作效率,但同時(shí)也出現(xiàn)了一個(gè)新的問題,即交易軌跡消失,這給內(nèi)部控制的實(shí)施和評價(jià)帶來了很多困難。另一方面,信息化對企業(yè)管理者的素質(zhì)提出了更高的要求。企業(yè)所面臨的競爭加劇、變化加速,管理者所能獲得的信息量倍增,信息技術(shù)和信息系統(tǒng)在企業(yè)中的作用日益凸顯。這些都要求管理者不但要有更強(qiáng)的把握信息、利用信息的能力,在運(yùn)營管理企業(yè)中利用好信息資源,而且要有對信息、信息技術(shù)和信息系統(tǒng)重要性和風(fēng)險(xiǎn)的正確認(rèn)識(shí)和理解,制定正確的信息技術(shù)戰(zhàn)略和信息技術(shù)規(guī)劃。2、對風(fēng)險(xiǎn)評估的要求在信息化環(huán)境下,企業(yè)經(jīng)營管理的外部環(huán)境與內(nèi)部因素都發(fā)生了變化。伴隨著業(yè)務(wù)流程的重組,系統(tǒng)的開放性、信息的分散性、數(shù)據(jù)的共享性,使信息系統(tǒng)從

13、以往的封閉集中狀態(tài)走向開放,給企業(yè)帶來的風(fēng)險(xiǎn)主要有:由于信息的開放性和XX性,系統(tǒng)程序員、系統(tǒng)操作員、系統(tǒng)維護(hù)員等各類人員對其權(quán)限內(nèi)的工作都設(shè)置一定的口令或密碼,但是一旦系統(tǒng)操作員不懷好意,擅自改變他人的口令或密碼,改變他人的權(quán)限,那么勢必造成系統(tǒng)管理混亂，從而給企業(yè)帶來風(fēng)險(xiǎn)。內(nèi)部控制計(jì)算機(jī)程序化，可能導(dǎo)致同一錯(cuò)誤反復(fù)發(fā)生。在信息化環(huán)境下,企業(yè)業(yè)務(wù)流程的自動(dòng)化降低了業(yè)務(wù)處理過程中源于人員疏忽或舞弊的風(fēng)險(xiǎn)。但由于企業(yè)的運(yùn)營管理越來越依賴于信息系統(tǒng),信息在企業(yè)中的作用日趨重要,信息化環(huán)境促使信息存儲(chǔ)高度集中、單位時(shí)間傳遞的信息量大為增加,這些都增大了與信息資產(chǎn)和信息系統(tǒng)相關(guān)的風(fēng)險(xiǎn)。信息化環(huán)境下,人

14、們的主觀判斷被無視,數(shù)據(jù)處理過于集中,存儲(chǔ)的數(shù)據(jù)可以被不留痕跡地改寫或刪除,數(shù)據(jù)的存放方式增加了數(shù)據(jù)再現(xiàn)的難度,數(shù)據(jù)處理過程無法觀測,等等。這些新的風(fēng)險(xiǎn)構(gòu)成了企業(yè)內(nèi)部控制的新內(nèi)容。3、對控制活動(dòng)的要求信息化環(huán)境下的控制活動(dòng)分為兩局部：自動(dòng)化業(yè)務(wù)控制和信息系統(tǒng)控制。自動(dòng)化業(yè)務(wù)控制的控制對象仍然是企業(yè)的生產(chǎn)經(jīng)營過程,但其形式和控制手段發(fā)生了很大變化。它以計(jì)算機(jī)程序的形式嵌入企業(yè)信息系統(tǒng)之中,對業(yè)務(wù)的控制由計(jì)算機(jī)自動(dòng)完成。信息系統(tǒng)控制是企業(yè)為了保證信息系統(tǒng)的正確性、完整性和平安性而采取的控制措施，其控制對象是企業(yè)信息系統(tǒng),包括計(jì)算機(jī)軟硬件資源、應(yīng)用系統(tǒng)、數(shù)據(jù)和相關(guān)人員等信息系統(tǒng)的所有組成要素。隨著網(wǎng)

15、絡(luò)技術(shù)和電子商務(wù)的開展，信息系統(tǒng)控制還必須考慮網(wǎng)絡(luò)平安和電子商務(wù)控制的問題。信息化環(huán)境下的交易授權(quán)可以由計(jì)算機(jī)程序自動(dòng)完成,這使得授權(quán)過程不明顯，控制的失效往往在發(fā)生損失后才被發(fā)覺。因此，管理者對交易授權(quán)的關(guān)注應(yīng)該轉(zhuǎn)移到對相關(guān)計(jì)算機(jī)程序的正確性和完整性的檢查上。4、對信息溝通的要求在完善的信息系統(tǒng)的支持下，企業(yè)員工能夠較好地取得他們在執(zhí)行、管理和控制企業(yè)經(jīng)營活動(dòng)過程中所需的信息,使其職責(zé)能夠順利履行。當(dāng)然，也要警覺信息技術(shù)可能帶來的信息過量的問題，以及局部員工借助高速信息處理能力造假的問題。5、對監(jiān)控的要求內(nèi)部控制的程序化使得內(nèi)部控制具有一定的依賴性并增加了過失發(fā)生的可能性。網(wǎng)絡(luò)技術(shù)的應(yīng)用使得

16、內(nèi)部控制具有人工控制與程序控制相結(jié)合的特點(diǎn)。這些程序化的內(nèi)部控制的有效性取決于應(yīng)用程序的有效性。如果程序發(fā)生過失或不起作用，人們對計(jì)算機(jī)系統(tǒng)的依賴性、麻痹大意以及程序運(yùn)行的重復(fù)性會(huì)使得失效控制長期難以被發(fā)現(xiàn)，從而使系統(tǒng)在特定方面發(fā)生錯(cuò)誤或違規(guī)行為的可能性加大。三、基于信息化情境的企業(yè)內(nèi)控框架構(gòu)建。1、國外關(guān)于信息化環(huán)境下的內(nèi)部控制框架及標(biāo)準(zhǔn)1COBIT內(nèi)部控制框架。該框架由美國信息系統(tǒng)審計(jì)與控制基金會(huì)ISACF于1996年開發(fā)和推廣，是國際上公認(rèn)的信息技術(shù)管理和控制標(biāo)準(zhǔn)，目前已經(jīng)更新至第四版。COBIT有效實(shí)現(xiàn)了企業(yè)戰(zhàn)略目標(biāo)和信息技術(shù)戰(zhàn)略目標(biāo)的結(jié)合，促進(jìn)了信息技術(shù)目標(biāo)和企業(yè)戰(zhàn)略目標(biāo)之間的互動(dòng)，

17、而且它還能幫助企業(yè)管理與信息技術(shù)相關(guān)的風(fēng)險(xiǎn)。COBIT將IT過程、IT資源與企業(yè)的策略和目標(biāo)準(zhǔn)那么聯(lián)系起來，形成一個(gè)三維的體系構(gòu)造，并按照信息系統(tǒng)的生命周期定義了四個(gè)過程域，通過IT過程管理IT資源，并為每個(gè)過程定義了可靠、有效的指標(biāo)體系，為管理者提供了評估的度量模型2ITIL控制標(biāo)準(zhǔn)。信息技術(shù)根底設(shè)施庫ITIL由英國商務(wù)部OGC負(fù)責(zé)組織開發(fā)。它以流程為向?qū)?、以客戶為中心，通過整合IT效勞與企業(yè)效勞，提高企業(yè)的IT效勞水平和效勞支持能力。IT效勞管理是ITIL控制標(biāo)準(zhǔn)的核心，ITIL通過效勞級別協(xié)議SLA來保證IT效勞的質(zhì)量。其融合了系統(tǒng)管理、網(wǎng)絡(luò)管理、系統(tǒng)開發(fā)管理等管理活動(dòng)以及變更管理、資產(chǎn)

18、管理、問題管理等許多流程的理論和實(shí)踐。ITIL控制標(biāo)準(zhǔn)將IT管理活動(dòng)歸納為一項(xiàng)管理功能和十個(gè)核心流程，可以引導(dǎo)組織高效地使用技術(shù)，讓既有的信息化資源發(fā)揮更大的效能。3ISO177999標(biāo)準(zhǔn)。ISO177999標(biāo)準(zhǔn)是一項(xiàng)國際公認(rèn)的根本信息平安標(biāo)準(zhǔn)，由國際標(biāo)準(zhǔn)組織發(fā)布。其建立在“一套全面的包括信息平安良好行為規(guī)X的控制系統(tǒng)根底之上，涵蓋了業(yè)務(wù)連續(xù)性規(guī)劃、系統(tǒng)控制、系統(tǒng)開發(fā)與維護(hù)、物理與環(huán)境平安、遵從性、個(gè)人平安、平安組織、計(jì)算機(jī)與操作管理、資產(chǎn)分類與控制以及平安策略等領(lǐng)域。該標(biāo)準(zhǔn)所建立的最正確實(shí)踐標(biāo)準(zhǔn)可以用來確保在系統(tǒng)故障或其他環(huán)節(jié)中斷時(shí)業(yè)務(wù)能夠持續(xù)運(yùn)行；控制對數(shù)據(jù)、系統(tǒng)和網(wǎng)絡(luò)的；保護(hù)信息的XX性

19、和完整性；防止對業(yè)務(wù)設(shè)施的非授權(quán)。2、我國信息化環(huán)境下的企業(yè)內(nèi)部控制標(biāo)準(zhǔn)我國首份信息化環(huán)境下內(nèi)部控制的規(guī)X性文件是?會(huì)計(jì)電算化管理方法?，與其配套的是淌品化會(huì)計(jì)核算軟件評審規(guī)那么？和？會(huì)計(jì)核算軟件根本功能規(guī)X?,這些規(guī)X是基于會(huì)計(jì)核算軟件的應(yīng)用而制定的，對相關(guān)職責(zé)權(quán)限的別離和會(huì)計(jì)資料的處理及保存等作出了規(guī)定。隨著會(huì)計(jì)核算軟件的應(yīng)用和普及，信息化環(huán)境對組織的審計(jì)業(yè)務(wù)也提出了挑戰(zhàn)。1999年，中注協(xié)公布了？獨(dú)立審計(jì)具體準(zhǔn)那么第20號計(jì)算機(jī)信息系統(tǒng)環(huán)境下的審計(jì)？，該準(zhǔn)那么把計(jì)算機(jī)信息系統(tǒng)環(huán)境下的內(nèi)部控制分為一般控制和應(yīng)用控制。一般控制也稱總體控制，即技術(shù)層面的控制，包括組織與管理控制、應(yīng)用系統(tǒng)開發(fā)和

20、維護(hù)控制、計(jì)算機(jī)操作控制、系統(tǒng)軟件控制、數(shù)據(jù)和程序控制；應(yīng)用控制包括輸入控制、計(jì)算機(jī)處理與數(shù)據(jù)文件控制、輸出控制等。隨著我國信息化的推進(jìn)和內(nèi)部控制制度的建立要求，銀監(jiān)會(huì)在信息化集成度比較高的金融機(jī)構(gòu)發(fā)布了？銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引？，該指引把信息系統(tǒng)風(fēng)險(xiǎn)定義為信息系統(tǒng)的規(guī)劃、投資、研發(fā)、建立、運(yùn)行、維護(hù)、管理、監(jiān)視及其消亡過程中產(chǎn)生的銀行業(yè)務(wù)的各類風(fēng)險(xiǎn)。同時(shí)，該指引在一定程度上說明了信息化技術(shù)為銀行強(qiáng)化風(fēng)險(xiǎn)管理、提高內(nèi)部控制水平提供強(qiáng)有力的支撐的同時(shí)也產(chǎn)生了新的信息化風(fēng)險(xiǎn)；把信息系統(tǒng)的目標(biāo)和銀行業(yè)務(wù)的總體目標(biāo)相結(jié)合，并將信息系統(tǒng)的目標(biāo)定為為機(jī)構(gòu)的總體目標(biāo)而效勞。但該指引僅針對與信息化

21、集成度比擬高的金融機(jī)構(gòu)，普遍適用性較差。目前，我國企業(yè)普遍適用的內(nèi)部控制規(guī)X是2008年6月28日五部委聯(lián)合發(fā)布的企業(yè)內(nèi)部控制根本規(guī)X?和17項(xiàng)具體規(guī)X,該規(guī)X與國際普遍適用的COSO內(nèi)部控制框架具有一定的趨同性，且根據(jù)我國的實(shí)際情況進(jìn)展了某些創(chuàng)新。雖然該規(guī)X考慮了信息化對內(nèi)部控制的影響，但這些考慮僅在內(nèi)部控制框架五要素中的“控制活動(dòng)和“信息與溝通兩個(gè)要素中涉及，且涉及的深度不夠。而從組織的各個(gè)方面或是不同的層次來看，現(xiàn)代信息技術(shù)對企業(yè)或是組織的影響X圍是非常廣的，僅在內(nèi)部控制框架兩個(gè)要素中反映信息化對內(nèi)部控制的影響顯然是不夠的。雖然17項(xiàng)具體規(guī)X將“計(jì)算機(jī)信息系統(tǒng)作為一項(xiàng)具體規(guī)X，但其內(nèi)容主

22、要是強(qiáng)調(diào)對信息系統(tǒng)自身問題的控制，而對怎樣實(shí)施內(nèi)部控制目標(biāo)與信息化應(yīng)用目標(biāo)融合及業(yè)務(wù)流程與信息系統(tǒng)融合的控制問題那么缺乏指導(dǎo)性意見。由以上分析可知，我國信息化環(huán)境下企業(yè)內(nèi)部控制機(jī)制的研究缺乏整體性和系統(tǒng)性，目前仍然處于以會(huì)計(jì)和審計(jì)視角為主的內(nèi)部控制構(gòu)造研究階段，沒有把企業(yè)的整體戰(zhàn)略目標(biāo)和IT目標(biāo)相融合或是融合度不夠，企業(yè)的財(cái)務(wù)系統(tǒng)和其他業(yè)務(wù)系統(tǒng)仍處于孤立的境地，“信息孤島現(xiàn)象嚴(yán)重。我國內(nèi)部控制制度的建立正處于高潮時(shí)期，應(yīng)將傳統(tǒng)環(huán)境下的內(nèi)部控制制度建立與信息化環(huán)境下的內(nèi)部控制制度建立相結(jié)合，實(shí)行“一站式建立，防止因過早的淘汰而浪費(fèi)。3、我國信息化環(huán)境下的內(nèi)部控制構(gòu)架在思考如何構(gòu)建我國信息化環(huán)境下

23、的內(nèi)部控制機(jī)制時(shí)，我們可以系統(tǒng)論的觀點(diǎn)為指導(dǎo)，在我國現(xiàn)有的內(nèi)部控制規(guī)X根底上借鑒國外先進(jìn)的IT內(nèi)部控制標(biāo)準(zhǔn)或框架來構(gòu)建適合我國企業(yè)信息化環(huán)境下的內(nèi)部控制機(jī)制。該機(jī)制框架構(gòu)造如下圖所示：該框架構(gòu)造的詳細(xì)介紹如下：1建立良好的內(nèi)部控制環(huán)境。在信息化環(huán)境下，企業(yè)的內(nèi)部控制環(huán)境不僅包括治理構(gòu)造、機(jī)構(gòu)設(shè)置、權(quán)責(zé)分配、內(nèi)部審計(jì)、人力資源政策、企業(yè)文化，還包括信息技術(shù)、信息系統(tǒng)等。信息技術(shù)的應(yīng)用不僅擴(kuò)大了內(nèi)部控制環(huán)境的X圍，還對原有內(nèi)部控制環(huán)境中的要素產(chǎn)生了沖擊，如對原有組織構(gòu)造的影響。因此，我們應(yīng)該根據(jù)內(nèi)部控制環(huán)境的特點(diǎn)來完善內(nèi)部控制環(huán)境的建立。(1)明確IT目標(biāo)。在此我們可以利用COBIT中的相關(guān)標(biāo)準(zhǔn)使

24、IT目標(biāo)和企業(yè)的整體戰(zhàn)略目標(biāo)相結(jié)合，通過企業(yè)的IT目標(biāo)來保障企業(yè)業(yè)務(wù)的有效運(yùn)行，提高企業(yè)的競爭力與經(jīng)濟(jì)效益，促進(jìn)企業(yè)戰(zhàn)略目標(biāo)的實(shí)現(xiàn)。2增強(qiáng)相關(guān)人員的專業(yè)勝任能力，尤其是中基層管理人員的信息化能力，在企業(yè)內(nèi)部形成學(xué)習(xí)型組織。3建立扁平化組織構(gòu)造，使企業(yè)能對各種環(huán)境作出快速反響和決策，保持企業(yè)的競爭力。2信息化環(huán)境下的風(fēng)險(xiǎn)識(shí)別、評估及控制。企業(yè)必須從環(huán)境因素及其風(fēng)險(xiǎn)的成因入手，對信息化環(huán)境下可能存在的各種風(fēng)險(xiǎn)進(jìn)展全面的分析和評估，以躲避企業(yè)風(fēng)險(xiǎn)。1風(fēng)險(xiǎn)識(shí)別和評估。信息化環(huán)境下除了要界定和評估企業(yè)的戰(zhàn)略風(fēng)險(xiǎn)、經(jīng)營風(fēng)險(xiǎn)外，還要界定和評估由于信息技術(shù)的應(yīng)用而產(chǎn)生的新風(fēng)險(xiǎn)，如信息系統(tǒng)規(guī)劃建立的治理風(fēng)險(xiǎn)、軟

25、件中內(nèi)部控制機(jī)制漏洞風(fēng)險(xiǎn)、系統(tǒng)運(yùn)轉(zhuǎn)的不穩(wěn)定性風(fēng)險(xiǎn)、操作中的人為風(fēng)險(xiǎn)等。2利用信息技術(shù)有效控制風(fēng)險(xiǎn)。我們可以借鑒ITIL控制標(biāo)準(zhǔn)中以流程為導(dǎo)向的控制模式實(shí)現(xiàn)對企業(yè)業(yè)務(wù)流程的風(fēng)險(xiǎn)控制，以到達(dá)IT效勞的最優(yōu)化。同時(shí)也可以通過ISO標(biāo)準(zhǔn)確保信息平安，防止因系統(tǒng)故障而造成業(yè)務(wù)中斷、非授權(quán)等風(fēng)險(xiǎn)。3IT環(huán)境下的內(nèi)部控制活動(dòng)。信息化環(huán)境下的內(nèi)部控制活動(dòng)不僅包括傳統(tǒng)的內(nèi)部控制活動(dòng)，還包括與信息技術(shù)相關(guān)的控制活動(dòng)。本文將重點(diǎn)講述與信息技術(shù)相關(guān)的控制活動(dòng)。與信息技術(shù)相關(guān)的控制活動(dòng)是在實(shí)現(xiàn)組織目標(biāo)過程中因信息技術(shù)風(fēng)險(xiǎn)而采取的必要防X或減少損失的措施，它包括信息系統(tǒng)的規(guī)劃、開發(fā)、運(yùn)行、維護(hù)等。在此，我們可以借鑒國外C

26、OBIT的IT控制思想和框架，按照構(gòu)造化的系統(tǒng)開發(fā)方法將整個(gè)系統(tǒng)開發(fā)過程劃分為四個(gè)階段，即規(guī)劃、實(shí)施、運(yùn)行及評價(jià)階段。在信息系統(tǒng)開發(fā)的每個(gè)階段參照應(yīng)用COBIT內(nèi)部控制框架下的34個(gè)IT過程。4內(nèi)部控制的監(jiān)視和評價(jià)。內(nèi)部控制的監(jiān)視和評價(jià)是內(nèi)部控制體系中不可或缺的一局部，是內(nèi)部控制制度得到有效實(shí)施的有力保障。信息化環(huán)境下內(nèi)部控制的監(jiān)視和評價(jià)應(yīng)與信息技術(shù)相結(jié)合，即利用信息系統(tǒng)對企業(yè)內(nèi)部控制進(jìn)展監(jiān)視和評價(jià)。對此，內(nèi)部審計(jì)人員可考慮利用信息系統(tǒng)和計(jì)算機(jī)網(wǎng)絡(luò)的建立，在系統(tǒng)中參加自動(dòng)控制點(diǎn)和各種自動(dòng)評價(jià)機(jī)制，可以定期參加，也可以是在特殊情況出現(xiàn)時(shí)參加。但由于信息系統(tǒng)運(yùn)行也有其不穩(wěn)定性，因此對信息系統(tǒng)的平安

27、性評價(jià)也是內(nèi)部控制監(jiān)視和評價(jià)的內(nèi)容。四、信息化情境下企業(yè)內(nèi)部控制的主要方法1、組織與管理控制。組織與管理控制是指通過部門的設(shè)置、人員的分工、崗位職責(zé)的制定、權(quán)限的劃分等形式進(jìn)展的控制，其根本目標(biāo)是建立恰當(dāng)?shù)慕M織機(jī)構(gòu)和職責(zé)分工制度，以到達(dá)相互牽制、相互制約、防止或減少舞弊發(fā)生的目的。會(huì)計(jì)電算化后的工作崗位可分為根本會(huì)計(jì)崗位和電算化會(huì)計(jì)崗位。根本會(huì)計(jì)崗位可包括會(huì)計(jì)主管、出納、會(huì)計(jì)核算、稽核，會(huì)計(jì)檔案管理等工作崗位；電算化會(huì)計(jì)崗位包括系統(tǒng)管理、操作、進(jìn)展系統(tǒng)維護(hù)等工作崗位。1建立健全內(nèi)部會(huì)計(jì)控制制度。現(xiàn)行?內(nèi)部會(huì)計(jì)控制一根本規(guī)X?還存在缺乏之處，如整體上未涉及內(nèi)部控制的環(huán)境問題，只是粗略提到電子信息

28、技術(shù)控制，要求運(yùn)用電子信息技術(shù)手段建立內(nèi)部會(huì)計(jì)控制系統(tǒng)，減少和消除人為操縱因素，確保內(nèi)部會(huì)計(jì)控制的有效實(shí)施，對信息化這一特定環(huán)境下的內(nèi)部會(huì)計(jì)控制未作出詳細(xì)的說明和具體規(guī)X。信息化環(huán)境下內(nèi)部會(huì)計(jì)控制的難度大，這必然要求構(gòu)建一套責(zé)權(quán)清楚、規(guī)章健全、運(yùn)作有序的內(nèi)部會(huì)計(jì)控制制度。2改善檔案管理制度。會(huì)計(jì)信息系統(tǒng)各種檔案均由專人管理，做好防火、防潮、防塵、防盜等工作，并定期盤點(diǎn)整理，磁性介質(zhì)還要進(jìn)展防磁和防病毒工作。為確保計(jì)算時(shí)機(jī)計(jì)系統(tǒng)產(chǎn)生的數(shù)據(jù)和信息被儲(chǔ)存，便于調(diào)用、更新和檢索，企業(yè)對于輸出的磁介質(zhì)的會(huì)計(jì)資料還應(yīng)及時(shí)貼上外部標(biāo)簽，在外部標(biāo)簽上寫明文件名稱、輸出時(shí)間、并要妥善保管、存檔或上報(bào)使用。文件的

29、修改、更新等操作都應(yīng)附有修改通知書、更新通知書等書面授權(quán)證明，對整個(gè)修改更新過程都應(yīng)作好登記。會(huì)計(jì)系統(tǒng)應(yīng)具有必要的自動(dòng)記錄能力，以便業(yè)務(wù)人員或?qū)徲?jì)人員查詢或跟蹤檢查。除此之外，還應(yīng)定期對所有檔案進(jìn)展備份的措施，并保管好這些備份。為防止檔案被破壞，企業(yè)應(yīng)制訂出一旦檔案被破壞的事件發(fā)生時(shí)的應(yīng)急措施和恢復(fù)手段。3加強(qiáng)授權(quán)審批控制，強(qiáng)化內(nèi)部牽制。授權(quán)審批活動(dòng)是一種最常見的內(nèi)部控制，而內(nèi)部牽制制度那么是通過部門的設(shè)置、人員的分工、崗位職責(zé)的制定、權(quán)限的劃分等形式進(jìn)展控制防止錯(cuò)漏、舞弊和越權(quán)行為的發(fā)生。不相容職務(wù)別離是對本單位組織機(jī)構(gòu)設(shè)置和會(huì)計(jì)分工的合理性、有效性進(jìn)展控制。通過密碼設(shè)置和分組管理，每一用戶

30、按照自己的用戶身份和密碼進(jìn)人系統(tǒng)，對存儲(chǔ)在網(wǎng)絡(luò)上的重要數(shù)據(jù)進(jìn)展有效加密也可以強(qiáng)化內(nèi)部牽制?？梢詮臉I(yè)務(wù)X圍出發(fā)，將整個(gè)網(wǎng)絡(luò)信息系統(tǒng)分級管理，層層負(fù)責(zé)，對各種數(shù)據(jù)的讀、寫、修改權(quán)限進(jìn)展嚴(yán)格限制，各項(xiàng)業(yè)務(wù)的授權(quán)、執(zhí)行、記錄以及資產(chǎn)保管等只能授予不同崗位的用戶，并賦予不同的操作權(quán)限，拒絕其他用戶。特別是要將系統(tǒng)管理員和數(shù)據(jù)錄人員這兩種不相容職務(wù)相互別離，互不兼任，也可以減少利用計(jì)算機(jī)舞弊的可能性。4操作與監(jiān)控別離控制。監(jiān)控與操作的別離實(shí)現(xiàn)了系統(tǒng)內(nèi)部的有效牽制。必須在電算化系統(tǒng)內(nèi)分出操作與監(jiān)控兩個(gè)崗位，對每一筆業(yè)務(wù)同時(shí)進(jìn)展多方備份，當(dāng)會(huì)計(jì)人員進(jìn)展賬務(wù)處理時(shí)，其操作和數(shù)據(jù)也被同步記錄在監(jiān)控人員的機(jī)器上，那

31、么監(jiān)控人員進(jìn)展即時(shí)或定期審查，一旦出現(xiàn)數(shù)據(jù)不一致便進(jìn)展深人調(diào)查。這樣明確了崗位的劃分，實(shí)現(xiàn)了有效牽制。5加強(qiáng)對會(huì)計(jì)信息系統(tǒng)使用人員的培養(yǎng)。系統(tǒng)使用人員特別是系統(tǒng)操作人員,要加強(qiáng)計(jì)算機(jī)和網(wǎng)絡(luò)理論知識(shí)的學(xué)習(xí),提高業(yè)務(wù)素質(zhì);對會(huì)計(jì)信息樹立良好的職業(yè)道德,自覺遵守各種規(guī)章制度和操作規(guī)程,防止工作中出現(xiàn)失誤。建立健全會(huì)計(jì)信息系統(tǒng)的信息平安制度是確保會(huì)計(jì)核算操作平安,及時(shí)、準(zhǔn)確提供會(huì)計(jì)信息的根本保證,是實(shí)現(xiàn)企業(yè)會(huì)計(jì)電算化甚至是會(huì)計(jì)信息化的前提。以此為根底,同時(shí)建立與之相應(yīng)的人工控制制度,如設(shè)備管理制度檔案管理制度等,真正做到人機(jī)結(jié)合的多方位控制,從而使信息環(huán)境下的會(huì)計(jì)內(nèi)部控制逐步走向完善。2、日常操作管理

32、控制。日常控制是批企業(yè)對會(huì)計(jì)電算化系統(tǒng)中具體的數(shù)據(jù)處理所進(jìn)展的經(jīng)常性控制。日常控制包括經(jīng)濟(jì)業(yè)務(wù)發(fā)生控制、數(shù)據(jù)輸入控制、數(shù)據(jù)處理控制、數(shù)據(jù)輸出控制和數(shù)據(jù)儲(chǔ)存控制等。1業(yè)務(wù)發(fā)生控制。業(yè)務(wù)發(fā)生控制又稱“程序檢查，主要目的是采用相應(yīng)的控制程序，鄄別、拒納各種無效的、不合理的及不完整的經(jīng)濟(jì)業(yè)務(wù)。在經(jīng)濟(jì)業(yè)務(wù)發(fā)生時(shí)通過計(jì)算機(jī)的控制程序，對業(yè)務(wù)發(fā)生的合理性、合法性和完整性進(jìn)展檢查和控制。2數(shù)據(jù)輸入控制。企業(yè)應(yīng)該建立起一整套內(nèi)部控制制度以便對輸入的數(shù)據(jù)進(jìn)展嚴(yán)格的控制，保證數(shù)據(jù)輸入的準(zhǔn)確性。數(shù)據(jù)輸入控制首先要求輸入的數(shù)據(jù)應(yīng)經(jīng)過必要的授權(quán)，并經(jīng)有關(guān)的內(nèi)部控制部門檢查，其次，應(yīng)采用各種技術(shù)手段對輸入數(shù)據(jù)的準(zhǔn)確性進(jìn)展校

33、驗(yàn)，如總數(shù)控制校驗(yàn)、平衡校驗(yàn)、數(shù)據(jù)類型校驗(yàn)、重復(fù)輸入校驗(yàn)等。3數(shù)據(jù)處理控制。數(shù)據(jù)處理控制是指對計(jì)算時(shí)機(jī)計(jì)系統(tǒng)進(jìn)展數(shù)據(jù)處理的有效性和可靠性進(jìn)展的控制。4數(shù)據(jù)輸出控制。數(shù)據(jù)輸出控制是企業(yè)為了保證輸出信息的準(zhǔn)確、可靠而采取的各種控制。輸出數(shù)據(jù)控制一般應(yīng)檢查輸出數(shù)據(jù)是否與輸入數(shù)據(jù)相一致，輸出數(shù)據(jù)是否完整，輸出數(shù)據(jù)是否能滿足使用部門的需要，數(shù)據(jù)的發(fā)送對象、份數(shù)應(yīng)有明確的規(guī)定，要建立標(biāo)準(zhǔn)化的報(bào)告編號、收發(fā)、保管工作等。數(shù)據(jù)存儲(chǔ)和檢索控制。為了確保計(jì)算時(shí)機(jī)計(jì)系統(tǒng)產(chǎn)生的數(shù)據(jù)和信息被適當(dāng)?shù)貎?chǔ)存。便于調(diào)用、更新和檢索，企業(yè)應(yīng)當(dāng)對儲(chǔ)存數(shù)據(jù)的各種磁盤或光盤作好必要的標(biāo)號，文件的修改、更新等操作都應(yīng)附有修改通知書、更新

34、通知書等書面授權(quán)證明，對整個(gè)修改更新過程都應(yīng)作好登記，計(jì)算時(shí)機(jī)計(jì)系統(tǒng)應(yīng)具有必要的自動(dòng)記錄能力，以便業(yè)務(wù)人員或?qū)徲?jì)人員查詢或跟蹤檢查。3、會(huì)計(jì)信息系統(tǒng)的平安控制目前，企業(yè)在會(huì)計(jì)電算化進(jìn)程中主要存在的問題是數(shù)據(jù)的平安XX性差，這也正是企業(yè)內(nèi)部控制中最薄弱的環(huán)節(jié)。會(huì)計(jì)信息系統(tǒng)的平安控制，是指采用各種方法保護(hù)數(shù)據(jù)和計(jì)算機(jī)程序，以防止數(shù)據(jù)泄密、更改或破壞，主要包括：實(shí)體平安控制、硬件平安控制、軟件平安控制、網(wǎng)絡(luò)平安控制和病毒的防X與控制等。1實(shí)體平安控制實(shí)體平安涉及到計(jì)算機(jī)主機(jī)房的環(huán)境和各種技術(shù)平安要求、光和磁介質(zhì)等數(shù)據(jù)存貯體的存放和保護(hù)。是一種預(yù)防性控制。計(jì)算機(jī)機(jī)房應(yīng)該符合技術(shù)要求和平安要求，應(yīng)充分滿足防火、防水、防潮、防盜、恒溫等技術(shù)條件；對用于數(shù)據(jù)備份的磁盤、光盤等存貯介質(zhì)應(yīng)注意防潮、防塵和防磁，對每天的業(yè)務(wù)數(shù)據(jù)雙備份