基于IT环境的企业内部控制研究——来自中铁集团调查数据的分析,本文主要内容关键词为:内部控制论文,中铁论文,环境论文,集团论文,数据论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
一、引言 全球化市场经济使得企业之间的竞争日益加剧,为了应对激烈的竞争要求,企业应构建科学的信息系统,为企业在激烈的市场竞争中立于不败之地提供技术支持。目前建筑业信息化进程较其他行业而言相对落后,信息化水平远低于其他行业,其传统的经营与管理方法,不能适应现代信息化环境下经营管理的需要,必须构建基于IT环境下的内部控制管理模式,提高企业在信息化环境下的管理水平。本文以中国铁建集团为例对此进行研究。以期为IT环境下企业内部控制建设提供参考。 二、基于IT环境的企业内部控制比较分析 (一)IT环境下企业内部控制概述 1.IT内控目标。信息系统内部控制(简称IT内控)是针对IT风险制定一系列制度、程序和方法,实现事前防范、事中控制、事后监督和纠正的动态过程的机制。目标是合理合法地规划信息系统,避免造成信息孤岛或重复建设。利用信息技术实施有效控制,增强授权管理,减少人为操纵因素,提高企业现代化管理水平。增强信息系统的安全性、合理性和可靠性及其相关信息的保密性、完整性和可利用性的控制,为建立有效的信息与沟通机制提供技术保障。 2.IT内控控制环境。意识到IT会给企业带来新的风险;整合IT组织与企业组织;注重员工IT特殊能力的培养;IT控制会涉及第三方,特别是在项目外包过程中;可能导致IT控制的责任人不明确。 3.IT内控风险评估。企业层面上由专门组织来定义IT内部控制目标及对IT风险进行识别;活动层面上要特别针对IT运营服务、IT资产管理、IT项目,以及在变更管理活动中进行风险评估。 4.IT内控控制活动。对IT系统环境、构成要素及IT基础设施相关的控制。普遍适用于所有IT系统,为IT系统的正常运行提供安全可靠的环境。IT应用控制是指与运行业务流程相关的IT系统的控制活动,应用控制是IT内部控制的最关键要素。 5.IT内控信息与沟通。企业层面上需要设计和沟通组织机构策略、开发和沟通报告要求、财务信息的沟通;业务层面上需要设计和沟通策略目标、实现业务信息沟通、及时报告安全违例情况。 6.IT内控监控活动。企业层面上需监控计算机的运行情况、监控信息安全情况、IT内部审计审核;活动层面上需进行缺陷识别和管理、本地检测计算机运行或计算机安全、本地IT人员的监督管理。 (二)传统内部控制与IT环境下内部控制差异分析 1.控制环境的差异。传统内部控制指的是关注会计信息可靠性的内部会计控制,很少考虑与业务操作和规则遵守有关的内部控制。使得财务系统和业务系统相“隔离”,财务数据只能在业务发生之后采集并经过再加工成为可用的数据,财务信息的严重滞后与业务实时控制之间存在着不可调节的矛盾。IT环境下企业信息处理和业务活动融为一体。在业务活动发生、有关数据进入数据库之前,就会对数据的准确性、完整性和合法性进行检查;其网络环境中的信息可以被有授权的人员检查,进行实时事中控制,原始业务的再现也由于环环相扣的链接关系变为可能,这种高度集成整合的信息系统是企业实现财务与业务一体化的有效保障。与传统内部控制相比,IT环境下企业内部控制存在新的风险,例如信息系统规划与建设的管理风险、信息系统内控机制漏洞风险、信息系统运行的不稳定性风险、网络安全风险等等。例如现金管理软件如果不受人为约束生成、传递与传统条件下类似的支票、本票等现金收付文件,将会给企业带来灾难性的影响。 2.风险评估的差异。与传统内部控制相比,企业应设立专门机构对IT环境下企业内部控制重新定义,并对IT风险进行识别。其信息一致性风险是指在内部信息资源整合或与外部信息资源整合过程中,由于信息或信息系统不匹配导致的系统能力降低等风险。具体还是要根据企业的业务来特别制定企业IT风险评估。 3.控制活动的差异。传统的控制活动形式一般体现为:业绩评价、信息处理、实物控制、职责分离等。IT环境下企业内部控制除包含这些外,特别强调对信息处理这方面的相关审计控制,其应用控制也是IT内控的最关键要素。 4.信息与沟通的差异。传统环境下企业部门与部门之间往往存在信息沟通不畅的问题,借助手工处理这些问题有时间差异,业务部门需要的资料要送达财务部门并经过相关数据处理再传送给其他部门,大大影响企业内部工作的效率和效果。有效的信息沟通需要企业信息的实时共享,企业信息化为其提供了可能,本企业信息系统与客户、供应商和商业伙伴信息系统之间的联系日益紧密,其数据及时传递和处理使企业管理者能够掌握企业内部和外部实时情况,及时控制企业面临的风险,优化企业内部控制。 5.监控活动的差异。在IT环境下,监控活动就是评估企业信息系统内部控制系统在一定时期内运行质量的过程。包括监控计算机的运行情况、信息系统安全情况、IT内部审计审核情况、进行缺陷识别和管理、本地IT人员的监督管理等等,这是传统内部控制不具备的,需要企业专业IT管理人才进行企业内部控制监控活动的实施。 三、基于IT环境内部控制调查分析 (一)调查问卷设计 本文采用调查法进行数据收集,主要分为访谈和问卷调查两个阶段。为了得到更为有效的数据,首先对中国铁建集团项目部技术人员、财务人员进行实地访谈,初步了解对该问题的看法,根据访谈结果按照COSO五要素设计了调查问卷。调查问卷采用了Likert五分法,分为极不同意、不同意、说不清、同意、极力同意五个级别,问卷调查采取实地分发和邮件传送两种方式。本次共发放问卷100份,收回83,其中剔除无效问卷2份,最后得到有效问卷81份,占总问卷数的81%。问卷中项目的设计均用数值表示调查对象对此项目的态度,设置了0、1、2、3、4五档数值。 (二)调查结果分析 1.控制环境。由表2可以看出,按公司隶属关系由高到低其评分整体趋势也是由高到低,即二级子公司总体和各项评分都最高,项目部则略低尤其是(1)、(4)、(5)这三项,项目部评分介于不同意和说不清之间,说明其整合IT组织与企业组织效率低、第三方业务中应用信息系统处理业务量少,同时若信息系统发生与业务流程相关问题时,不能及时明确责任人。在对员工进行IT业务培训方面,各级子公司差距不大,都做得令人满意。见表2。 2.风险评估。由表3可以看出,各子公司都明确制定了信息系统内部控制目标,甚至是出现了项目部得分大于二级子公司的情况,集团公司会下发相关文件为各级子公司指引,项目部IT内控目标制定实施良好。各级子公司都明确了信息系统的经营风险,在系统维护和安全措施方面投入量很大,而在信息系统合规风险这一块,主要是项目部评分在不同意以下。见表3。 3.控制活动。由表4可以看出,各项评分介于2.5-3.2之间,其信息系统控制活动整体接近同意这一评价标准。但评分随公司隶属关系由高到低分布,在实行全面控制方面二级子公司做得最好,接近于满点,可想而知安全控制影响之大使其资金投入量也加大;在职责分离、领导监督及数据有效输入控制方面项目部实施良好,与上级公司基本持平。见表4。 4.信息与沟通。表5显示,各级子公司在企业各部门信息有效沟通共享和及时报告企业安全及违例情况上差距较大,尤其是项目部,其后两项的评分低于1分,处于极不同意和不同意之间,应加强管理建设。而在财务报告和财务信息沟通方面公司格外注重,如2014年初,根据集团公司的统一部署,中国铁建十五局二公司沪昆项目部停止使用浪潮财务管理系统,中国铁建财务共享服务平台取而代之,形成以协同办公、综合项目管理、企业邮件、财务共享服务为主,QQ交流群、项目微信群为辅的“4+2”项目信息化综合管理体系,为改善企业的经营管理做出巨大贡献。见表5。 5.监控活动。表6显示,各级子公司在实时监控计算机运行情况和进行信息系统内部审计方面实施情况比较好,评分近于同意。而在进行有效缺陷识别管理和实时有效的对IT人员监督管理上明显三级子公司和项目部实施效果不好,这与项目部长期以来的工作环境和施工条件密切相关,同时信息化管理人才缺乏也是造成这一现状的重要原因。见表6。 四、IT环境下企业内部控制建设对策 (一)设定相关人员权限控制 在信息系统控制环境部分,由调查数据可知若企业信息系统发生与业务流程相关的问题(如相关业务权限控制),能明确责任人这一项评分较低,尤其是项目部。在出现问题及时明确相关责任人,才能最大程度发挥信息系统在企业经营管理中的积极作用,这就使得相关人员权限控制显得尤为重要。 (二)明确信息系统合规风险 通过风险评估评分表可知,信息系统合规风险相对目标设定和经营风险来说评分比较低。说明企业对风险评估中合规风险控制不到位,尤其是底层项目部。中国有句古话说“没有规矩,不成方圆。”意思是缺少了制度的约束,人的行为就会进入混乱。信息系统代替手工,使得审批流程简洁方便,但是在这过程中也有合规风险出现,例如发票报销,不必像以前一样拿着发票找经理主管签字,有的甚至根本没有签字就可生成账单,如果对信息系统合规风险控制不当,则很容易给企业带来巨大损失。 (三)加强对软、硬件系统控制 硬件是实时信息系统的先决条件,而软件则是决定信息系统命脉的决定因素。在信息化时代,软硬件更新速度日新月异,只有紧跟时代潮流才能在信息化进程中找到适合企业发展和生存的契机,有效利用信息化改善企业经营管理。在中国铁建集团官网上查询可了解其财务软件更新过程,1992年,初始实现电算化,当时还是账务单板机,不联网;2002年,开始使用U8系统做账;2005年NC的使用,才使得基层项目实现了网上做账;到2007年,更新为浪潮GS3.5,并在其基础上进行二次开发,使其更加适合单位生产经营需要;2013年底,又更换成中国铁建财务共享服务平台,真正实现了财务交流无障碍。 (四)增强信息沟通与共享 中国铁建集团子公司众多,遍布海内外,如果不能及时信息沟通有效共享,可能会错失很多项目,同时也会给公司预算、采购、人工上浪费很多资源。以尼泊尔马兰奇引水项目为例,在尼泊尔信息很落后,其网络很不稳定,通信也极不发达,公司安排专人定期和网络公司联系,督促检查网络信号,同时搭建内部信息平台,为每位员工配备了一张G网和一张C网手机卡,双卡互补,确保信息交流基本畅通。 (五)加强缺陷识别与管理 信息系统一直在更新换代,以不断适应企业业务需求和管理需要,在信息系统有缺陷时能及时识别和管理,会使企业信息系统实时修缮,为企业经营管理提供更好的服务,提高公司运行效益和市场竞争力。标签:内部控制论文; 项目部论文; 企业内部控制评价指引论文; 内控体系建设论文; 控制环境论文; 控制活动论文; 内控管理论文; 管理风险论文; 管理控制论文; 沟通管理论文; 业务管理论文; 内部控制缺陷论文; 相关性分析论文; 信息系统规划论文; 风险内控论文; 信息安全论文; 中铁集团论文; 风险评估论文;