结合某行业分析内部控制的五要素~
答案:1 悬赏:20 手机版
解决时间 2021-03-29 20:16
- 提问者网友:半生酒醒
- 2021-03-29 00:04
结合某行业分析内部控制的五要素~
最佳答案
- 五星知识达人网友:想偏头吻你
- 2021-03-29 01:42
在信息技术(以下简称IT)广泛应用的当今社会,信息传播、处理和反馈的速度大大加快,导致企业间竞争日益加剧,而且随着信息产业成为社会主导产业,产品生命周期不断缩短,技术含量不断提高,对企业经营管理能力和决策水平提出了更高的要求,当然也给企业传统的内部控制带来了新的问题。对此,文章主要探讨了信息技术的发展对传统内部控制要素的影响。
关键词: IT环境;内部控制;影响
内部控制要素包括控制环境、风险评估、控制活动、信息与沟通和监控。IT环境对作为内部控制系统主要组成部分的五个要素必将产生重大影响。
一、控制环境
内部控制环境主要由企业组织内部其他子系统中对内部控制效果有重大影响的因素构成,其根本目标在于保障内部控制系统的有效性。一般企业内部控制环境要素的变化主要受到组织结构、管理者和员工的特质三个方面因素的影响,以及这三个方面与外部环境的协调。分析其根源,主要包括经济形态的发展与商务模式变革、管理模式的特征演变以及组织、群体和个人的特质。由于经济形态和商务模式的变革直接受制于信息作用的方式和范围,并且管理系统的特征和信息组织的方式息息相关,组织、群体和个人的特质也与其处理信息的能力紧密相连,因此,当信息在组织内部的作用和功能发生根本改变时,控制环境的内容也会随之进行调整。
在网络环境下,由于企业内部控制具有“自我控制、行为优化导向”的属性,这时的企业就要塑造相应的控制环境:其一,组织结构,主要应在形态、要素构成、运作方式及其内部关系上进行调整;其二,与企业外部环境的关联性,主要应通过加强组织内的适应以及组织与外部商务系统的融合性来强化;其三,业务单元的学习能力,应加强在组织内部创建共同远景并组织成员系统思考的能力;其四,价值观,主要应通过强化员工主动承担责任、行使相应权力的文化来实现价值导向的重构;其五,人力资源特质,组织成员不仅应具备高度参与的精神,而且更应成为第一线的知识型专家。基于网络的企业内部控制环境在诸多要素综合作用的基础上,应实现一套全新的基于人性假设Y理论的积极文化导向,使内部控制向自主性、主动性的方向发展。
二、风险评估
每个单位均应评估来自内部和外部的不同风险。风险评估系指辨认并分析影响目标达成的各种不确定因素。在信息时代,虽然企业的整体目标没有改变,但是经济、产业及管理的外部环境与内部因素都发生了变化,自然改变了传统的风险控制内容和方法。例如强大的、复杂的计算机系统增加了企业潜在的风险,因为人们的主观判断被忽略,数据处理过于集中,存储的数据可以被不留痕迹地改写或删除,数据的存放形式增加了数据再现的难度,数据处理过程无法观测等等。这些新的风险点构成了内部控制的新内容。新的技术带来了新的风险:
(一)数字化信息丢失或毁坏的风险加大
原始凭证数字化,使得会计信息易于被篡改或伪造而不留任何痕迹,弱化了纸质原始凭证所具有的较强控制功能。另外,磁性介质容易损坏,一旦受损则很难修复,这也使数字化的信息丢失或毁坏的风险加大。
(二)数据处理的程序化,可使同一差错反复发生
网络环境下的内部控制,很大程度上取决于系统中运行的应用程序的质量,一旦这些程序中存在漏洞或恶意的“后门”,便会严重危害系统安全。在找到这些漏洞之前,系统将多次重复同一错误。
(三)数据的集中存放使数据的安全性有所下降
在网络环境下,数据集中存放于磁性介质中,可以被经过授权的多个操作人员共同访问,且数据的修改是不留痕迹的。这就加大了系统的风险系数,导致数据的安全性下降。
由于企业内外部环境的变化及企业中个人理性的有效性,使得企业战略目标的实现总是存在着不确定性,因而内部控制必须适应风险变化的特点和要求不断进行调整。风险评估是企业内部控制过程中的关键环节,是企业内部控制的主要特征。
依靠信息技术的发展实现实时信息传输的企业,不仅使其各职能部门之间的界限变得模糊,而且使企业与外部环境之间的界限也变得更加模糊。客户对企业产品和服务定制化要求更高,企业之间的竞争更加剧烈,这些都使得企业依赖于广大员工的知识和创新能力;信息在企业内部的高度共享和实时传输,既极大地降低了企业内部不同层级、不同部门和个人之间的信息不对称程度,又减少了企业内部控制过程中因此而出现的“道德危机”和“逆向选择”的风险。这样,企业的内部控制风险主要不是差错与舞弊风险,而是知识员工科学行使其决策权的风险。这时,对企业风险进行评估就是一个动态的过程,企业内部控制的改进也是一个持续动态的过程。
因此,对网络环境下企业风险进行评估,就要充分了解外部环境的变化、企业知识获取与保护能力,以及员工的素质及企业的激励机制的影响。
三、控制活动
在传统型企业,控制活动是管理者的主要职责内容,这就决定了传统型企业的控制活动具有外部性和强制性的特征,甚至成为一种权力的象征。对企业员工而言,他们只是监督和控制的对象,而非监督和控制的主体。另外,企业根据专业分工的需要将企业人为地划分为不同的职能部门和作业环节。由于各职能部门、环节之间缺乏信息沟通,使企业内部不同部门、环节的目标不相同,衡量绩效的标准也不一致,因此,整个企业内部控制的标准必然表现出多元化的特征。控制活动的外部性和强制性,以及控制标准的多元化,决定了传统型企业内部控制活动的低效率。
在基于网络的企业中,由于计量技术的改进和信息传递成本的降低,信息在整个企业中不仅实现了跨部门、跨边界的实时传递,而且实现了信息流与实物流和价值流的一致性,使得实时的信息成为衡量整个企业内部控制活动的主要标准;对企业员工而言,他们不再是被控制的对象,而是成为自我控制的主体。控制标准的一元化以及以企业所有员工的自我控制为特征的基于网络的企业的控制活动,与传统型企业的控制活动相比,已经发生了根本性的变化,它极大地提高了企业内部控制的效力。基于网络的企业的内部控制机制也适应了自我主导型控制活动的特别要求,并进一步促进了企业的自我主导型内部控制活动的顺利展开。
信息技术的广泛应用,对控制手段产生了影响:首先,广泛地使用信息技术为支持决策和改善业务与信息过程提供了战略机会,也加强了内部控制的预防、检查与纠正的功能。控制的重点由对人的控制为主转变为对人、机共同控制为主,控制程序与计算机处理相适应,企业可以依赖更少的人员、利用更少的资源,达到更高的内部控制目标。从而在新环境下形成新的控制理念。好的内部控制不应仅依赖过多的审核人员或复杂的控制程序,而应该依赖信息时代的控制哲学和恰当适用的信息技术。其次,应该看到,随着计算机使用范围的扩大,利用计算机进行的贪污、舞弊、诈骗等犯罪活动有所增加。如储存在计算机磁性媒介上的数据容易被篡改;数据库技术的提高使数据高度集中,未经授权的人员有可能通过计算机和网络浏览全部数据文件,复制、伪造、销毁企业重要的数据,使得计算机犯罪具有很大的隐蔽性和危害性。因此,也增加了经济与管理信息技术环境下内部控制的难度。
四、咨询与沟通
传统模式下,企业会计信息系统的采集是在业务发生之后进行的,因而用于决策的会计信息具有滞后性。这种非即时的会计信息将会影响到决策的科学性和正确性。诚如戴克曼、杜克斯和戴维斯所说:“必须在会计信息失去影响决策的作用前,将它提交给决策者。这是财务信息和影响力源源不及新的财务信息。信息不及时就降低了他的相关性。”而在网络化管理模式下,会计系统和业务系统进行了有机的结合,实现了嵌入式的会计模式,而会计核算也是按照业务类型进行细分的。这样,在信息技术的支持下,会计系统和业务系统实现了融合,也使得信息成为了企业管理的中心。
与现代信息相结合的信息系统具有开放化、实时化、电子化的特点。它的应用为企业获取信息,进行内部沟通发挥了积极作用。任何企业在其经营与控制的过程中,都必须按照一定的方式和时间规定,辨识并取得来自企业内部及外部的信息,并在组织内部进行沟通,使员工清楚地获取有关其控制责任的信息,履行其责任。在信息化时代,ERP系统的广泛运用使得企业可以借助于局域网实现其会计和业务的一体化处理,会计核算从事后的静态核算转变为事中的动态核算;基于ERP系统的信息流通渠道使得内部员工、管理者以及顾客、供应商等外部团体的及时沟通成为可能。有利于内部沟通与外部沟通的进行,便于组织内的员工清楚了解内部控制制度的规定,各自的责任;管理者随时掌握内部控制制度的执行与生效情况。
五、监督
在网络环境下,企业中的任何价值活动的信息都通过无缝的网络连接实现了实时和同步传输。无缝的网络连接取代了传统企业高成本的信息沟通渠道,使信息与沟通已不再成为内部控制中难以解决的问题,它实现了企业的物流、价值流和信息流的高度统一,企业利用实时的信息流就能对所有的物流和价值流进行实时监督和控制。通过实时的监督与控制,不仅能同步反映和纠正企业在物流、价值流中存在的问题,而且通过企业全员参与的以自我主导为特征的控制活动对现有的内部控制系统进行动态调整。因此,对内部控制制度进行监督的过程,已经内化为实时的控制活动中的一项内容,或者说与实时的控制活动完全融合为一个基本要素。
从以上分析可以看出,信息技术的应用使得内部控制框架的内部构成产生了新的变化,给提高企业内部控制效率、增强内部控制效果,带来了新的机会,也产生了系统安全性等潜在的风险。信息系统下的内部控制制度与传统的内部控制制度相比较;是范围扩大、控制程序灵活多样的综合性控制;是控制的重点为职能部门和计算数据处理部门并重的全面控制;是人工控制和计算机自动控制相结合的多方位控制。
传统的内部控制与网络环境下的内部控制之间的区别:
(一)控制范围
传统的内部控制,是手工系统下的组织控制、职责分离等;网络环境下的内部控制,除了传统的内部控制内容之外还要增加网络系统安全的控制、系统权限的控制、系统开发与维护的控制、修改程序的控制等,控制技术更加复杂。
(二)控制模式
传统的内部控制,企业的内部控制是一堆一堆的文件和手册,对于企业内部控制的执行情况也只能是定期地去进行检查评估,以事后监督检查为主;网络环境下的内部控制,企业的内部控制系统与经营和业务活动系统融合在一起,通过实时在线数据的传输和处理实现信息的充分集成和信息反馈,事前和事中控制模式,实现了动态和实时控制。
(三)控制主体
传统的内部控制,是以管理者作为主要的控制主体;网络环境下的内部控制,是企业全体员工成为自我控制的主体。
(四)控制手段
传统的内部控制,单一制度控制手段;结构控制方法为核心;网络环境下的内部控制,计算机程序和制度共同控制,且内部控制制度以计算机程序为载体实现控制。
(五)控制重点
传统的内部控制是对人的控制;网络环境下的内部控制是对人和机的共同控制。
关键词: IT环境;内部控制;影响
内部控制要素包括控制环境、风险评估、控制活动、信息与沟通和监控。IT环境对作为内部控制系统主要组成部分的五个要素必将产生重大影响。
一、控制环境
内部控制环境主要由企业组织内部其他子系统中对内部控制效果有重大影响的因素构成,其根本目标在于保障内部控制系统的有效性。一般企业内部控制环境要素的变化主要受到组织结构、管理者和员工的特质三个方面因素的影响,以及这三个方面与外部环境的协调。分析其根源,主要包括经济形态的发展与商务模式变革、管理模式的特征演变以及组织、群体和个人的特质。由于经济形态和商务模式的变革直接受制于信息作用的方式和范围,并且管理系统的特征和信息组织的方式息息相关,组织、群体和个人的特质也与其处理信息的能力紧密相连,因此,当信息在组织内部的作用和功能发生根本改变时,控制环境的内容也会随之进行调整。
在网络环境下,由于企业内部控制具有“自我控制、行为优化导向”的属性,这时的企业就要塑造相应的控制环境:其一,组织结构,主要应在形态、要素构成、运作方式及其内部关系上进行调整;其二,与企业外部环境的关联性,主要应通过加强组织内的适应以及组织与外部商务系统的融合性来强化;其三,业务单元的学习能力,应加强在组织内部创建共同远景并组织成员系统思考的能力;其四,价值观,主要应通过强化员工主动承担责任、行使相应权力的文化来实现价值导向的重构;其五,人力资源特质,组织成员不仅应具备高度参与的精神,而且更应成为第一线的知识型专家。基于网络的企业内部控制环境在诸多要素综合作用的基础上,应实现一套全新的基于人性假设Y理论的积极文化导向,使内部控制向自主性、主动性的方向发展。
二、风险评估
每个单位均应评估来自内部和外部的不同风险。风险评估系指辨认并分析影响目标达成的各种不确定因素。在信息时代,虽然企业的整体目标没有改变,但是经济、产业及管理的外部环境与内部因素都发生了变化,自然改变了传统的风险控制内容和方法。例如强大的、复杂的计算机系统增加了企业潜在的风险,因为人们的主观判断被忽略,数据处理过于集中,存储的数据可以被不留痕迹地改写或删除,数据的存放形式增加了数据再现的难度,数据处理过程无法观测等等。这些新的风险点构成了内部控制的新内容。新的技术带来了新的风险:
(一)数字化信息丢失或毁坏的风险加大
原始凭证数字化,使得会计信息易于被篡改或伪造而不留任何痕迹,弱化了纸质原始凭证所具有的较强控制功能。另外,磁性介质容易损坏,一旦受损则很难修复,这也使数字化的信息丢失或毁坏的风险加大。
(二)数据处理的程序化,可使同一差错反复发生
网络环境下的内部控制,很大程度上取决于系统中运行的应用程序的质量,一旦这些程序中存在漏洞或恶意的“后门”,便会严重危害系统安全。在找到这些漏洞之前,系统将多次重复同一错误。
(三)数据的集中存放使数据的安全性有所下降
在网络环境下,数据集中存放于磁性介质中,可以被经过授权的多个操作人员共同访问,且数据的修改是不留痕迹的。这就加大了系统的风险系数,导致数据的安全性下降。
由于企业内外部环境的变化及企业中个人理性的有效性,使得企业战略目标的实现总是存在着不确定性,因而内部控制必须适应风险变化的特点和要求不断进行调整。风险评估是企业内部控制过程中的关键环节,是企业内部控制的主要特征。
依靠信息技术的发展实现实时信息传输的企业,不仅使其各职能部门之间的界限变得模糊,而且使企业与外部环境之间的界限也变得更加模糊。客户对企业产品和服务定制化要求更高,企业之间的竞争更加剧烈,这些都使得企业依赖于广大员工的知识和创新能力;信息在企业内部的高度共享和实时传输,既极大地降低了企业内部不同层级、不同部门和个人之间的信息不对称程度,又减少了企业内部控制过程中因此而出现的“道德危机”和“逆向选择”的风险。这样,企业的内部控制风险主要不是差错与舞弊风险,而是知识员工科学行使其决策权的风险。这时,对企业风险进行评估就是一个动态的过程,企业内部控制的改进也是一个持续动态的过程。
因此,对网络环境下企业风险进行评估,就要充分了解外部环境的变化、企业知识获取与保护能力,以及员工的素质及企业的激励机制的影响。
三、控制活动
在传统型企业,控制活动是管理者的主要职责内容,这就决定了传统型企业的控制活动具有外部性和强制性的特征,甚至成为一种权力的象征。对企业员工而言,他们只是监督和控制的对象,而非监督和控制的主体。另外,企业根据专业分工的需要将企业人为地划分为不同的职能部门和作业环节。由于各职能部门、环节之间缺乏信息沟通,使企业内部不同部门、环节的目标不相同,衡量绩效的标准也不一致,因此,整个企业内部控制的标准必然表现出多元化的特征。控制活动的外部性和强制性,以及控制标准的多元化,决定了传统型企业内部控制活动的低效率。
在基于网络的企业中,由于计量技术的改进和信息传递成本的降低,信息在整个企业中不仅实现了跨部门、跨边界的实时传递,而且实现了信息流与实物流和价值流的一致性,使得实时的信息成为衡量整个企业内部控制活动的主要标准;对企业员工而言,他们不再是被控制的对象,而是成为自我控制的主体。控制标准的一元化以及以企业所有员工的自我控制为特征的基于网络的企业的控制活动,与传统型企业的控制活动相比,已经发生了根本性的变化,它极大地提高了企业内部控制的效力。基于网络的企业的内部控制机制也适应了自我主导型控制活动的特别要求,并进一步促进了企业的自我主导型内部控制活动的顺利展开。
信息技术的广泛应用,对控制手段产生了影响:首先,广泛地使用信息技术为支持决策和改善业务与信息过程提供了战略机会,也加强了内部控制的预防、检查与纠正的功能。控制的重点由对人的控制为主转变为对人、机共同控制为主,控制程序与计算机处理相适应,企业可以依赖更少的人员、利用更少的资源,达到更高的内部控制目标。从而在新环境下形成新的控制理念。好的内部控制不应仅依赖过多的审核人员或复杂的控制程序,而应该依赖信息时代的控制哲学和恰当适用的信息技术。其次,应该看到,随着计算机使用范围的扩大,利用计算机进行的贪污、舞弊、诈骗等犯罪活动有所增加。如储存在计算机磁性媒介上的数据容易被篡改;数据库技术的提高使数据高度集中,未经授权的人员有可能通过计算机和网络浏览全部数据文件,复制、伪造、销毁企业重要的数据,使得计算机犯罪具有很大的隐蔽性和危害性。因此,也增加了经济与管理信息技术环境下内部控制的难度。
四、咨询与沟通
传统模式下,企业会计信息系统的采集是在业务发生之后进行的,因而用于决策的会计信息具有滞后性。这种非即时的会计信息将会影响到决策的科学性和正确性。诚如戴克曼、杜克斯和戴维斯所说:“必须在会计信息失去影响决策的作用前,将它提交给决策者。这是财务信息和影响力源源不及新的财务信息。信息不及时就降低了他的相关性。”而在网络化管理模式下,会计系统和业务系统进行了有机的结合,实现了嵌入式的会计模式,而会计核算也是按照业务类型进行细分的。这样,在信息技术的支持下,会计系统和业务系统实现了融合,也使得信息成为了企业管理的中心。
与现代信息相结合的信息系统具有开放化、实时化、电子化的特点。它的应用为企业获取信息,进行内部沟通发挥了积极作用。任何企业在其经营与控制的过程中,都必须按照一定的方式和时间规定,辨识并取得来自企业内部及外部的信息,并在组织内部进行沟通,使员工清楚地获取有关其控制责任的信息,履行其责任。在信息化时代,ERP系统的广泛运用使得企业可以借助于局域网实现其会计和业务的一体化处理,会计核算从事后的静态核算转变为事中的动态核算;基于ERP系统的信息流通渠道使得内部员工、管理者以及顾客、供应商等外部团体的及时沟通成为可能。有利于内部沟通与外部沟通的进行,便于组织内的员工清楚了解内部控制制度的规定,各自的责任;管理者随时掌握内部控制制度的执行与生效情况。
五、监督
在网络环境下,企业中的任何价值活动的信息都通过无缝的网络连接实现了实时和同步传输。无缝的网络连接取代了传统企业高成本的信息沟通渠道,使信息与沟通已不再成为内部控制中难以解决的问题,它实现了企业的物流、价值流和信息流的高度统一,企业利用实时的信息流就能对所有的物流和价值流进行实时监督和控制。通过实时的监督与控制,不仅能同步反映和纠正企业在物流、价值流中存在的问题,而且通过企业全员参与的以自我主导为特征的控制活动对现有的内部控制系统进行动态调整。因此,对内部控制制度进行监督的过程,已经内化为实时的控制活动中的一项内容,或者说与实时的控制活动完全融合为一个基本要素。
从以上分析可以看出,信息技术的应用使得内部控制框架的内部构成产生了新的变化,给提高企业内部控制效率、增强内部控制效果,带来了新的机会,也产生了系统安全性等潜在的风险。信息系统下的内部控制制度与传统的内部控制制度相比较;是范围扩大、控制程序灵活多样的综合性控制;是控制的重点为职能部门和计算数据处理部门并重的全面控制;是人工控制和计算机自动控制相结合的多方位控制。
传统的内部控制与网络环境下的内部控制之间的区别:
(一)控制范围
传统的内部控制,是手工系统下的组织控制、职责分离等;网络环境下的内部控制,除了传统的内部控制内容之外还要增加网络系统安全的控制、系统权限的控制、系统开发与维护的控制、修改程序的控制等,控制技术更加复杂。
(二)控制模式
传统的内部控制,企业的内部控制是一堆一堆的文件和手册,对于企业内部控制的执行情况也只能是定期地去进行检查评估,以事后监督检查为主;网络环境下的内部控制,企业的内部控制系统与经营和业务活动系统融合在一起,通过实时在线数据的传输和处理实现信息的充分集成和信息反馈,事前和事中控制模式,实现了动态和实时控制。
(三)控制主体
传统的内部控制,是以管理者作为主要的控制主体;网络环境下的内部控制,是企业全体员工成为自我控制的主体。
(四)控制手段
传统的内部控制,单一制度控制手段;结构控制方法为核心;网络环境下的内部控制,计算机程序和制度共同控制,且内部控制制度以计算机程序为载体实现控制。
(五)控制重点
传统的内部控制是对人的控制;网络环境下的内部控制是对人和机的共同控制。
我要举报
如以上回答内容为低俗、色情、不良、暴力、侵权、涉及违法等信息,可以点下面链接进行举报!
点此我要举报以上问答信息
大家都在看
推荐资讯