摘要:
实时控制是指企业在IT环境下利用现代化技术手段,对经营活动的过程进行实时对比和分析,通过指导、调节、约束、促进等环节干预企业经营业务,从而提高经营效益达到价值增值这一终极目标。现阶段,信息技术的不断发展和应用,为实时控制提供了技术平台,主要表现在信息处理速度的加快为没有时滞的实时控制带来了可能,传输网络化为现代企业集中控制提供了可能等。本文从分析实时控制模式下的内部控制特点入手,探讨实时控制方法的设计策略,以期达到充分利用信息技术来提高内部控制质量的目的。
一、实时控制模式下的内控特点
1、设计动态化
在ERP环境中,内控风险具有极强的易变性,黑客们每天都会找出攻破企业信息系统的方法,如果控制措施只能对某一种攻击方式实施控制,那么企业就必须设计许多控制措施来控制新的风险,企业内部控制体系就会变得极其复杂,效率低下。因此,设计内控体系时应针对每一种风险制定出具有高度适应性的措施,以期能够适应发生的各种意外情况。
2、监控实时化
在传统手工环境下,业务流程发生和信息处理受时空的影响,内部控制并不能达到事前、事中和事后的有机控制,以至于当数据最后到达会计信息系统时,及时...
实时控制是指企业在IT环境下利用现代化技术手段,对经营活动的过程进行实时对比和分析,通过指导、调节、约束、促进等环节干预企业经营业务,从而提高经营效益达到价值增值这一终极目标。现阶段,信息技术的不断发展和应用,为实时控制提供了技术平台,主要表现在信息处理速度的加快为没有时滞的实时控制带来了可能,传输网络化为现代企业集中控制提供了可能等。本文从分析实时控制模式下的内部控制特点入手,探讨实时控制方法的设计策略,以期达到充分利用信息技术来提高内部控制质量的目的。
一、实时控制模式下的内控特点
1、设计动态化
在ERP环境中,内控风险具有极强的易变性,黑客们每天都会找出攻破企业信息系统的方法,如果控制措施只能对某一种攻击方式实施控制,那么企业就必须设计许多控制措施来控制新的风险,企业内部控制体系就会变得极其复杂,效率低下。因此,设计内控体系时应针对每一种风险制定出具有高度适应性的措施,以期能够适应发生的各种意外情况。
2、监控实时化
在传统手工环境下,业务流程发生和信息处理受时空的影响,内部控制并不能达到事前、事中和事后的有机控制,以至于当数据最后到达会计信息系统时,及时预防甚至检查错弊的时机已经错过。而在ERP环境下,业务流程发生和信息处理是融为一体、同步进行的,既实现了业务规则(内部控制)执行和信息采集合二为一的集成,也为事前预防、事中检查和事后纠正三种控制的整合提供了可能。
3、内控刚性化
在ERP系统中,企业设置了大量的控制准则和控制标准,计算机据此在各个业务控制点实施刚性控制,人工柔性控制改变为计算机的刚性控制,大大加强了控制力度。
二、实时控制方法的设计策略
内部会计控制的方法主要包括不相容职务相互分离控制、授权批准控制、会计系统控制、预算控制、财产保全控制、风险控制、内部报告控制、电子信息技术控制等。由于网络技术和信息技术的特点,有些控制方法出现了融合,比如不相容职务与授权批准等。笔者将上述内部控制方法在软件中进行集成优化,提出了不相容职务分离、内控制度源程序化、集成控制、风险控制、保留审计线索等方法。
1、不相容职务相分离
ERP环境下不相容职务相互分离控制的设计思路就是通过强制性分离的原则,对不同的操作员设定不同的权限。整个系统的操作员可分为系统管理员、操作用户和来宾三大类。
系统管理员负责整个系统基础数据的管理维护工作,但不进行实际的业务处理。为防止其利用职权擅自更改基础数据或者通过建立特定用户身份进行业务处理舞弊,可采取双系统管理员双人操作,即在系统中设立两个管理员同步进行操作,这样既可达到内部牵制的目的,又能有效防止意外数据的损坏。同时对管理员的操作进行专门的日志管理,管理员无权查看和修改其自身的日志以明确权责。
操作用户隶属于企业中的相应部门。当系统管理员赋予其权限时,不能将两个或两个以上规定需要分离的职务权限赋予一人,否则系统会提示错误,授权无法完成,例如凭证制单人与审核人不能为同一人。对于重要的岗位,可以设置两个或两个以上相同权限的操作员,实行岗位轮换制,以便相互监督、牵制。
来宾是一些特殊的外来用户,对其只提供有限的查询功能。
2、内控制度源程序化
从系统论和控制论角度看,内控制度源程序化就是用结构化语言对内控规则进行描述,将规则转换成准则,把准则嵌入到会计控制系统,在业务活动发生时检查和管理与事件相关的规则、政策和程序,以便发挥其实时控制的效果。其目标是识别风险,并在风险发生时尽可能控制它。
企业在经营过程中,当一项事件发生时,探测器会实时获取反映该事件的信息并存放在业务数据库中,同时驱动分析器,从控制标准和控制准则数据库中获取相应的标准和准则,如果控制准则库中有结构化控制准则,控制程序将自动按照准则进行分析,找出偏差或判断合理性,并实施刚性控制;如果控制准则库中没有结构化控制准则,则由分析器给出分析报告,驱动执行器会根据非结构化准则对该事件实施柔性控制;如果同时存在结构化和非结构化准则,则分析器在给出分析报告的同时,由驱动执行器实施控制。例如采购入库业务,标准或准则制定者制定了该存货最高库存数控制标准和超过最高库存数将不允许保存入库单控制准则,分别存于标准数据库和准则数据库中,当采购入库单保存时,触发分析器控制程序,分析器从控制标准和控制准则数据库中获取相应的标准和准则,超过最高库存数控制标准,则入库单不予保存,否则,做相反处理。
3、集成控制
目前,集团企业在管理上面临四个主要的问题:一是集团监管力度和实效性不足;二是资金管理松散;三是预算管理困难;最后也是非常重要的就是信息不对称。如何解决这一问题,笔者认为需打破传统流程,建立起财务业务一体化或集成数据处理和控制流程。
在这个管理模式中集团总部可以实施集团财务、集团OA、集团HR、集团资产管理、集团采购、集团分销、集团绩效管理、电子商务等一系列集团级应用。在分子公司和工厂内部署一个解决业务流程管理的ERP,它联结了分子公司的所有环节和部门,会计信息采集的功能分散到各个业务流程中去完成。会计信息一进入系统,就立即传递到各有关流程,通过系统各业务流程上的端口进入系统数据库,并自动完成信息的加工和输出,同一事件不同方面的会计信息马上综合化地置于有关人员的直接监督之下,而且系统进行检查、环环相扣、步步紧跟,有问题很容易发现。这样,ERP系统不但能够将每项会计信息实时报告到相关的责任部门,与预算进行比较并及时提出预警或禁止信息,从而实现对企业预算的实时管理,而且整个集团是一体化的,各分支或核算单位可以在自己的权限范围内形成自己的会计报表,同样的报表也可以在总部同步生成,从而消除内部“信息孤岛”,达到信息共享,实现对企业财务的集中实时控制。
4、建立风险控制系统
企业风险控制系统应包括预警系统、识别系统、实施系统以及评估系统。
企业首先要建立风险预警系统,对有风险前兆的潜在风险进行监测、预测和预控,争取避免风险的发生,当面临无明显预兆的风险(如自然灾害等)以及预控失败无法避免的企业风险时,要启动风险识别系统,分析风险的类型和级别,调动企业系统资源,拟定风险处理方案,并对方案的可实施性进行评估,选定实施方案,拟定风险处理计划、风险沟通计划。在实施过程中,要按照实施系统标准和要求,根据新的情况不断修订计划,灵活应对。风险评估系统旨在对风险进行总结评价,不断完善系统资源,提高企业风险预防能力和风险管理水平。
5、保留审计线索
在网络环境下,大部分数据都保存在存储介质上,业务过程缺乏可见的业务轨迹。为了能够对业务进行检查,设计内部控制制度时应在企业信息系统内部通过各种系统日志来保存审计线索。系统日志系统应包括监视模块和记录模块。监视模块的功能主要包括记录用户标识,使用软件的起止时间,调用的子程序及调用子程序的起止时间,访问的硬件设备及访问的起止时间,使用软件过程中访问的文件和目录,访问软件的类型(创建、打开、关闭、读、写、拷贝、删除、重命名、运行等)以及访问的起止时间,针对文件数据的操作,包括读、增、删、改、复制等操作以及操作对象在文件中的具体位置等;记录模块的功能主要是文件的维护。随着时间的推移,监视记录文件会不断地膨胀,因此,有必要提供对监视记录文件的各种维护处理,如转存、拷贝等。对于企业与外部的数据传递和交换,可以对所收发的邮件进行编号并建立交易日志。这些方式可以保留完整的、由内到外的审计线索,为内部稽核以及外部审计提供检查手段。
责任编辑 李斐然