信息化环境下企业内部控制的优化

-------------------------------------------------------装订线------------------------------------------------------------班级：姓名：学号：1班级姓名学号-广东财经大学答题纸（格式二）课程内部控制2016－2017学年第2学期成绩评阅人评语：＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝（题目）信息化环境下企业内部控制的优化（正文）摘要：随着信息技术和内部控制的发展，世界各国越来越重视企业信息化和内部控制的建设。所以，为了更好地利用信息技术、发展自身，内部控制需要迎合企业信息化的发展，构建企业信息化环境下内部控制体系，本文研究的目的就是要将内部控制与企业信息化全面有效融合，发挥协同作用，达到1+1>2的效果。因此，本文通过文献综述法、规范研究法、和案例分析法以xy公司为例研究在企业信息化环境下，企业如何有效地实施内部控制归纳分析得出企业应与时俱进，并根据其现状，适时、合理的引入信息系统，结合企业信息化环境对业务流程进行再造，调整企业组织结构等，将内部控制与企业信息化有效结合，从而优化运营活动，保障内部控制的运行效率，提高企业整体运营效率，为企业目标的实现提供强有力的保障。关键词：内部控制；企业信息化；优化；效率1引言1.1研究目的和意义1.1.1研究目的自二十一世纪初至今，信息技术得到了飞速发展，它改变了人们的生活、工作方式，为人们提供了极大的便利。在经济领域，随着信息技术的大范围应用以及信息技术所带来的优势，企业越来越依赖信息技术，如信息系统由部门级应用逐渐向企业级集成应用转变，再如ERP、CRM等信息系统的应用。所以，为了适应信息化的进程、实现企业目标，企业应及时调整战略。本文着力于研究企业改变传统环境即手工环境下的内部控制制度和方法，在取其精华去其糟粕的基础上，建设企业信息化环境下内部控制，构建一套适合我国的内部控制体系，将内部控制与企业信息化二者有效结合，实现1+1>2的效应。1.1.2研究意义（1）理论意义本文在前人研究的基础上，有机地全面整合了内部控制与企业信息化，二者紧密联系、相互促进，形成了一个完整的整体，从而扩大了内部控制的研究范围，为研究领域增添了活力，同时使内部控制的理论体系中增加了有价值的新内容。（2）实践意义在本文中，作者结合xy公司企业信息化建设现状及内部控制的基本情况，在该公司实施了信息化的大背景下，分别从COSO内部控制整合框架五要素出发，分析其内部控制方面的问题，并阐述了其应该如何优化现有的内部控制，从而帮助其解决问题，以增强xy公司的控制力，提高公司核心竞争力。同时，通过具体案例的介绍，为其他食品公司建设企业信息化和内部控制提供了借鉴。也就是说，本文的实践意义在于不仅可以帮助xy公司提高自身的运作效率，更重要的是还能在整个食品行业起到示范作用，帮助整个行业提高运作效率。1.2文献综述1.2.1文献综述信息技术在企业中的运用使内部控制原先的运行环境发生了变化。罗小琴(2006)认为在信息化这个大环境下，企业构建内部控制体系时应结合信息化的控制方法及信息技术，以改进传统的控制方法[1]。陈默(2006)认为企业实施信息化以后，财务部门的工作效率提高了，因为信息化使得企业原先低效、累赘的工作程序变得高效、简洁了，由此，引起了内部控制的改变[2]。杨周南、吴鑫（2015)认为在企业信息化环境下，会计人员不再是纯手工地进行工作，而是借助信息系统，所以会计工作人员为了满足信息化工作的要求，应提高自己的专业技能、强化职业道德[3]。韩洪灵、郭燕敏、陈汉文(2015)强调，内部监督(如审计委员会、内部审计部门)和外部监督对于处于信息化环境下的内部控制的正常运作缺一不可，同时表明，要以风险为导向建立监督体系[4]。黄锡远(2016)针对我国企业信息化环境下内部控制体系的构建指出以下几个问题:成本过高、构建标准参差不齐、质量低下等。了解了这些问题，研究工作就有了目标，即针对问题提出解决措施[5]。许涛(2016)表明将内部控制目标与企业信息化相结合可以使企业的工作取得事半功倍的效果。实时控制是的出现，提高了内部控制的时效性，企业可以借此快速地实现其终极目标[6]。1.2.2文献评述人们对内部控制的认识不是一蹴而就的，也是经历了一个不断摸索、不断深入的过程。随着环境和企业管理的变化，内部控制也在不断变化，它与社会经济的发展状况密不可分。从国内学者的研究中，可以看出，在进入信息时代的今天，人们对内部控制的研究也从先前的以传统环境为前提转向以信息环境为前提，逐步延伸至企业信息化条件下内部控制机制、信息系统运用等方面。但是，如何有效地利用信息技术、信息系统来加强内部控制、提高运营管理能力等方面还需要我们进一步努力。1.3研究方法和思路1.3.1研究方法（1）文献研究法:本人在论文的写作前期和写作过程中，阅读了大量关于内部控制、企业信息化、企业信息化环境下内部控制框架设计等的书籍和硕博论文，为论文写作储备知识、提供参考。（2）规范研究法:研究了COSO内部控制整合框架理论及企业信息化的特征，为具体案例分析奠定了理论基础。（3）案例分析法:根据OL公司企业信息化建设现状及内部控制基本情况，分别从COSO内部控制整合框架中的五大要素出发，分析其内部控制方面的问题，并阐述了其应该如何优化现有的内部控制，从而帮其解决问题。1.3.2研究思路运用coso内部控制整合框架理论和企业信息化的特征，进行案例的研究设计和分析，分析数据和通过企业流程，先找案例公司的内部控制出现的问题，进而结合企业信息化以内控5要素为关键切入点，为企业提出建设性的意见，使该公司能将内部控制和企业信息化有机地融合。2．研究设计和案例背景2.1研究设计2.1.1研究目的及对象以xy公司为例，，根据其企业信息化建设现状及内部控制基本现状，针对xy公司存在诸多问题的企业信息化环境下内部控制，阐述了其应如何优化，从而帮助其解决问题，最终提高内部控制的运行效率。2.1.2研究方法根据coso内部控制整合框架五要素，通过数据整理统计归纳，分别从控制环境、风险评估、控制活动、信息与沟通、监控5个方面分析了其内部控制存在的问题。2.2案例背景xy公司所在地为北京，于2001年组建成立。它是一个食品加工企业。其主要经营范围从原来的仅包括面包扩大为现如今的中西式糕点、冷饮、面包、蛋糕等五大类。与此同时，该企业也在不断扩大自身的规模，以占领更广范围的市场，相继在江苏、浙江等地成立了分公司，产品主要覆盖我国南部地区数十个大中型城市。该公司非常重视与产品有关的市场信息数据的收集、整理，以市场信息即消费者对产品口味及样式的要求为导向调整产品，从而满足消费者日益提高的消费需求。同时xy公司也非常重视员工对企业价值的认同感，致力于营造轻松和谐的工作环境，建造拥有家的味道的员工氛围。从而进一步提高了xy公司的团队服务水平，得到了广大消费者的认可。2011年，同步建设了OA,CRM,SCMCSup（plyChainManagement供应链管理)、DSS(DecisionSupportSystem决策支持系统)、电子商务系统，并完成了所有系统以ERP为核心引擎的集成、整合。所以，公司目前实现了账务处理与经济业务管理一体化，实现了全面信息化。xy公司每年在招揽优秀人才、改进企业生产技术、培训员工等方面都花费很多资金，因此，xy公司创建至今业绩突飞猛进，市场前景一片光明。xy公司目前总资产为16959万元，销售收入达27315万元，利润为931万元。3．案例分析讨论3.1企业信息化环境下xy公司内部控制存在的问题3.1.1控制环境公司责权分配问题。xy公司自成立之初就发布了一系列正式文件，用以明确公司制度、工作规范、业务处理程序等，这些使得xy公司很好地分配了公司内部的权利和责任。但自从xy公司实施了信息化以后，一些问题慢慢浮出了水面，即信息技术使得公司的权利和责任虚拟化，增加了管理与之有关的风险的难度。例如货物入库管理，采购人员进货回来后，需要将相关发票交给库房管理人员，随后，库房管理人员待货物到达后，与之核对，在核对无误后将货物信息输入信息系统，但如果信息系统的初始化工作没有做好，没有对数据录入这一权限设计相应的用户名和密码，致使任何人都能很轻易地查看、修改货物信息，这不仅造成了库房里的货物数量与信息系统里的数量有出入，而且也很难追究相关人员的责任;再如在利用信息系统处理一项业务的全程中，哪个部门该负责什么任务，对xy公司而言，这些都是很模糊的，即系统没有很好地根据项目类别确定项目主管部门权责，当一项业务活动处理涉及不同部门时，容易导致控制混乱。如图1-13.1.2风险评估方面（1）xy没有建立合理、有效的风险评估体系。风险评估体系没有在xy公司中得到足够的重视。对于外部的风险，xy公司中没有合理、高效的企业信息化环境下风险评估体系，用以识别、分析、应对风险。对于公司内部风险同样也是如此。xy公司缺乏对风险评估体系的足够认知，管理风险的手段仅仅是那些企业制定的制度、政策等，没有建立合理、高效的企业信息化环境下风险评估体系。(2)没有建立有效的信息系统风险应急机制xy公司于2011年实现了全面信息化，这使得公司的所有业务活动统一在信息系统中被连贯高效地处理完成，所有信息如财务数据、销售数据、库存数据、供应商信息、客户信息被统一储存在企业唯一的一个数据库系统之中。因此一旦信息系统出现故障或是全面瘫痪，企业将面临巨大的损失。企业不但丢失了所有的信息数据，而且企业所有业务处理都回到了纸质时代，然而，xy公司在面对这种不确定性因素的情况下，却没有建立有效的信息系统风险应急机制。3.1.3控制活动方面(1)xy公司的业务流程没有应势而变，控制活动容易出现漏洞。企业信息化使企业业务流程发生了巨大变化，所以，为了促使业务流程与信息系统相协调，避免两者之间的冲突，企业必须对业务流程进行再造，以消除内部控制的盲点。然而，xy公司在企业信息化建设之前就没有做好准备工作，即没有仔细思考如何结合企业信息化环境对业务流程进行再造，更没有采取实际行动去了解企业各个层次的需求、从而再造业务流程，结果造成原有的业务流程不能适应企业信息化环境的要求。如xy公司的会计人员现在还是按照先前的业务流程进行会计核算，在手工环境下，由于人工作业的特点，所以为了避免错误、舞弊，存在着大量复核、授权环节，而在信息化环境下，信息系统通过专业人员设计可以实现自动复核、授权，绝大部分的人工复核、授权环节都不存在了，在信息化环境下，xy公司还是遵循原先的业务流程开展工作，那么手工环境与信息化环境下业务流程的差别就导致了内部控制的盲点。3.1.4信息与沟通方面xy公司利用信息技术收集信息，但并未利用信息技术对信息进行加工以挖掘其深层价值，目前，xy公司虽然指定了特定人员利用信息系统收集信息，但却没有指定特定人员利用信息系统提炼处理这些数据，而面对堆积如山的信息，决策者无从下手，从而不能快速了解与决策相关的关键信息，总而言之，虽然xy公司的信息与沟通环节己经运用了信息技术，但这仅仅是表面上的，实际上，其并未充分发挥了信息技术高效、快捷的优势，没有享受到其为信息与沟通所带来的所有益处。3.1.5监控方面内部控制系统只有通过有效的监督才可以充分的发挥作用。内部审计即企业审计部门通过独立地评价企业中各类业务活动和控制，从而发现问题并予以改善，最终提高企业整体效率、增加企业价值。内部审计的重要作用没有得到xy公司的关注。其在企业信息化建设的初期就没有注意分离不相容职务，诸如一个人既担任出纳又担任会计的类似情况就有很多，这就给某些部门及个人提供了可乘之机。3.2．xy公司内部控制优化3.2.1优化xy公司责权分配针对xy公司的责权分配问题，xy公司应该明确权利与责任，利用信息系统执行内部控制的整个过程中，首先合理优化职能岗位，其次，在信息系统初始化阶段就应明文规定其权责，并赋予具有不同的操作权限的工作人员不同的用户名和密码。同时借助信息系统自动登记功能，详细记录操作软件的人员的姓名、时间、内容等，使各个职能岗位的责权范围进一步清晰化。通过这种有极强约束力的管理机制降低舞弊发生的概率，保证企业工作的正常开展，使其有序进行，确保信息系统中的信息真实可靠。3.2.2强化风险识别和控制xy公司需要通过组建完善的风险管理团队，进而制定一套合理、有效的风险评估体系，对该公司未来可能面对的诸多风险进行识别、分析，帮助企业管理层采取有效的措施应对风险。同时xy公司应使企业每个部门都参与到风险管理这项工作中。根据公司风险承受力确定公司目标，然后通过将目标分解到各个部门，从而将通过风险评估体系识别出的风险分散到各部门，各部门各司其职、有效配合。重点关注财务风险。选拔高素质的财务人员，并加强对信息系统的控制。此外，xy公司应增强信息系统的数据备份，并提高数据备份的及时性，以应对信息系统风险。xy公司需要注意的是，应该采用硬件、软件及人工三种方式混合备份的模式，对于重要数据，既要进行软硬件备份，也要进行人工备份，对于重要性不高的数据，可以采用软硬件备份，这样一方面，提高了重要数据的安全性，另一方面，也克服了人工备份耗时又耗力的缺陷。做好了这项工作就能大大降低因系统意外崩溃等现象而产生的损失。3.2.3促进xy公司信息系统与业务流程的全面有效融合在企业信息化环境下实施内部控制，xy公司应对其传统的业务流程进行再造，使信息系统与业务流程相协调，防止控制活动出现漏洞，从而保证内部控制的三大目标可以顺利完成。xy公司在对传统的业务流程进行再造时，应注意到，企业信息化带来了信息化风险，所以，应提前打好预防针，在新的业务流程中，可以适当的增加职位等确保信息传递的安全。同时，任何事物都不可能是一成不变的，更何况处于瞬息万变的市场经济中的xy公司，其经营策略等也在不断地变化着，起初适合公司运作的流程随着时间的推移以及经营策略的变更等也可能变得效率低下，因此xy公司应成立制度流程组，其日常工作就是时刻保持与企业各部门、各分公司的沟通，了解他们的需要及其反馈的信息，在此基础上，保持业务流程的不断更新。xy公司应将原来传统手工环境下的会计处理流程与信息化结合起来，不再基于传统的会计循环,而是基于业务活动的“业务过程/业务事件”来建立会计业务流程，建立事件驱动型会计信息系统。也就是说，会计工作的起点不是记账凭证，而是各相关业务部门的业务事件。大多数会计数据将由各部门的业务数据直接输入，由计算机自动生成记账凭证，而不用再将原始凭证传递到会计部门进行相关处理。3.2.4加强信息技术在信息与沟通方面的利用xy公司指定的收集信息的特定人员要履行好其职责，时刻关注与企业经营有关的内外部信息，及时利用信息系统获取，在此基础上，xy公司应指定特定人员，并促使其通过信息系统而不是通过人工提炼整理收集到的信息，进而将整理的结果通过良好的信息沟通系统及时传递给企业有关层级，使他们可以有效地进行沟通、正确应用工作人员分析整理的结果，从而提高企业整体的效率、确保内部控制的成功。3.2.5公司监督管理机制优化针对其监控方面的问题，xy公司应采取的措施是:提高对内部审计的重视度、完善监控方面的制度。首先应该结合本公司企业信息化现状，完善公司审计准则，通过具有独立性的内部审计部门，有关技术方面的问题也可以与信息部门合作对内部控制进行评估，最终提高信息环境下内部控制的运行效果。再次，完善激励约束机制。由公司人力资源部根据内部审计部门公布的审查结果评估工作人员的工作情况，进而根据评估结果对优秀的员工予以奖励、对差劲的员工进行惩戒甚至可以开除，从而保证内部控制的监督质量。这样就可以使内部审计、监控的结果得到落实。4.结语4.1论文策略的有效性针对xy公司存在诸多问题的企业信息化环境下内部控制，运用统计归纳流程图的方法阐述其应如何优化，从而帮助其解决问题，以增强xy公司的控制力，规范公司运行，最终增强竞争优势。同时，通过这个具体案例的介绍，为其他食品公司建设企业信息化和内部控制提供了借鉴。这不仅提高了xy公司本身的运作效率，更重要的是会给整个食品行业做出示范，帮助整个行业提高运作效率。4.2有待进一步探讨问题本文的案例研究仅从大方向即coso内部控制五要素的角度分析了xy公司企业信息化环境下的内部控制，对于具体业务如采购业务、付款业务等没有进行具体的分析，在这方面还有待于进一步研究。4.3课程学习心得总结通过这一学期学习了叶老师的内部控制与风险的课程，我受益匪浅。通过理论的课程和上机实验的案例操作。我了解到在企业管理和经营活动过程中，时时刻刻伴随着企业的就是潜在风险。企业的内部控制是为了帮助企业防范不同阶段的风险才进行控制。也就是说，企业的内部控制，第一是为风险而控制；第二则是每个阶段的风险是不一样的，每个阶段的风险不一样，那么控制的方法，控制的目标，控制的目的，控制的手段也就不一样。这是控制的多样性、复杂性和艰巨性。风险是在一定环境和限期内客观存在的，导致费用、损失与损害产生的，可以认识与控制的不确定性。它具有客观性、普遍性、必然性、可识别性、可控性等特点。风险管理作为一种特殊的管理功能，我对于风险管理可以得出以下几点认识：（1）风险管理是一个系统过程，