内部控制与企业信息化建设
3.信息访问控制易存在安全隐患
通常来说,信息系统都会对用户访问进行严格的控制,只有当用户或管理者输入正确的用户名与密码后才可以执行相应权限的操作,然而使用者却经常忽略退出控制的操作。此时当系统未设置“限时无操作自动退出或锁屏”时,在刚登录的用户离开后,其他人员仍可以继续访问信息系统,这样安全隐患较大。此外,还有的企业出于省钱或者其他考虑,经常有意或者无意地使用盗版软件,在盗版软件中很可能包含了木马、病毒等,这将会给企业信息系统带来相当大的安全隐患。
4.缺乏适当的监督
利用信息技术能够自动实现一部分监督过程,而且能够做到实时监督,大大提高监督的效果与效率。但是,企业信息化建设以及组织结构的变化也给监督带来了新的挑战。如基于信息化的矩阵型组织结构难以准确区分权责利以及信息化下内部控制监督经验不足等,都给内部监督带来一定困难。
三、企业信息化进程中加强内部控制建设的对策
1.优化内部控制环境
控制环境是内部控制中最为基础的要素,在内部控制中居于最重要的位置,只有在完善的控制环境下才能确保控制制度的贯彻实施。在企业信息化进程中,笔者认为控制环境可以从以下三方面加以改进与完善。
(1)重塑企业文化氛围。企业良好的文化氛围能够对员工产生一种无形的约束力,可以减少或避免在组织结构“扁平化”下企业下属部门或单位为追求自身利益而牺牲企业整体利益的行为发生。因此,企业应当建立基于信息化建设的规章制度、道德价值观以及基本信念,以便有效解决企业信息时代组织结构所带来的负面影响。
(2)完善企业组织控制结构
为了避免矩阵型组织机构所带来的多头领导和权责不清等问题,企业可考虑采取更为完善和科学的组织结构,如可以采取跨越功能的组织,该组织的生命周期较短,一旦任务完成,团队便可随即解散,并可以根据具体问题随时成立弹性化的组合,规避因专业分工而带来的僵化和协调等问题,同时还能够激发组织成员的责任心与成就感。
(3)制定切实可行的激励政策。企业应当从信息化建设的特点出发,研究与制定切实可行的责任分配和授权制度以及分享与合作的激励制度,以达到充分优化企业控制环境的目的。
2.建立健全风险管理机制
企业信息化下,企业除了要建立传统企业风险管理机制以外,还应当结合企业信息化的特点,建立健全基于企业信息化建设的风险管理机制:一是要建立一套切实可行的信息网络系统安全制度与政策;二是要定期对这套制度和政策的实施效果进行评价;三是在企业内部会计控制的框架下,建立健全企业预算及其责任控制,强化企业信息化建设的风险意识。此外,如果有必要,企业可以设立专门的风险评估岗位或部门来专门从事相关风险的识别、规避与控制。
3.加强计算机硬件和信息系统安全的控制
为了保证信息系统的安全运行,规避系统运行错误等各种不安全隐患,企业应当加强计算机硬件与网络系统安全的控制。具体来说有环境保护、安全控制与接触控制。其中接触控制是指任何未经授权的人员均不得擅自动用信息系统的各种资源,确保企业各项资源的安全性。
4.将企业内部控制与外部监督相结合
企业应当将内部控制管理与外部监督相结合,建立良好的信息沟通。一方面,企业领导层要将内部控制管理的执行情况列入考核范围,并就执行情况做出相应评价;另一方面,可以委托社会中介结构,对本企业内部控制管理体系以及信息系统进行评审,以便及时发现薄弱环节和安全隐患,从而及时改进和完善。