管理信息系统内控(精选十篇)
管理信息系统内控 篇1
由于它是对企业业务信息化系统进行监控的系统, 为了保证功能的有效性, 它应该建立在一个独立于业务信息化系统物理环境的另一环境中, 避免受到业务信息化系统的影响。如建立在不同的服务器中, 操作系统等物理环境也尽量避免相同。但另一方面, 它要实现对业务信息化系统的有效监控, 须从业务信息化系统中获得业务数据。因此, 它又是与业务信息化系统底层数据相通的系统。
二、内控管理信息化系统应满足日常较常规的内控制度、流程风险控制矩阵、风险事件、内控缺陷等方面的管理, 实现内控管理的系统化和自动化
为实现这些功能, 系统应具备以下功能。
1. 具备内控组织架构体系建立和维护功能。
该系统应能够根据企业实际建立包括风险管理委员会、内控管理部门、内控执行人等内控管理机构及人员的组织体系, 并能按企业需要进行调整和维护。
2. 具备将内控管理相关的制度、流程、风险清单、风险控制矩阵、内控手册等文档有效归集和分类, 并分别管理的系统功能。
操作人员可以将制度、流程、风险清单、风险控制矩阵等文档, 上传至系统中, 以便于各业务人员查询并参照执行。这些管理应体现以下两种关联功能。 (1) 文档之间的关联性。即在制度、流程、风险等文档间建立相互关联性, 以方便实现智能查询。如当使用人员查询流程时, 系统应自动列出与该流程有关的制度、风险等, 反之亦然。 (2) 文档与岗位的关联性。即应能将文档与业务岗位建立关联, 以便于各岗位方便、快捷地查询到与本岗位有关的文档。
3. 具备对日常风险事件的记录、统计、分析等动态管理功能。
对于日常发生的风险事件, 系统应提供对事件登记、处理、应对措施、造成损失等记录功能, 并能根据记录的情况进行动态统计和分析, 以利于企业进一步优化内控管理手段, 提高内控管理效果。
4. 具备对内控缺陷的管理功能。
包括内控缺陷登记、处理、整改情况记录、整改方案及报告的归集等, 以便于企业进行日常的内控缺陷管理。
三、内控管理信息化系统应具备内控目标和指标管理功能, 有助于企业实现内控管理目标
以下为可参考的相关功能设计。
1. 企业根据风险承受程度在系统中建立内控管理目标, 如某公司某某年度经营目标。
2. 围绕内控管理目标建立各项管理指标, 如常用的资产负债率、存货周转率等财务指标。
3. 将管理指标进行量化, 并设立指标承受度, 如资产负债表最大值不能超过75%。
4. 系统从企业业务系统中采集业务和财务数据, 并根据采集来的数据进行指标计算, 若指标超过承受度时, 应及时提醒相关岗位进行分析和处理, 起到实时预警的效果。
四、内控管理信息化系统应具备IT监控的功能, 实现对业务系统的实时监控、预警等控制效果
这部分IT监控功能如下。
1. 不相容岗位的监控功能。
在内控管理信息化系统中设立不相容权限规则, 将业务信息化系统的各项权限分为相容和不相容两类, 如果在业务信息化系统中将不相容权限分配给同一岗位, 即触发了预警功能, 系统将采取相应的限制措施。例如, 系统管理员在ERP系统中将财务凭证录入权限与审核权限授于同一会计岗位时, ERP系统将不能有效保存, 并提醒操作员触发了不相容岗位规则。
2. 业务控制的监控和预警功能。
监控和预警的范围应能够覆盖ERP系统的绝大部分系统功能, 如到期债务的监控与提醒、低于安全库存的监控与预警、应收款超过指标值的监控和预警及未按内控流程执行的监控与预警等等。这些监控与预警功能均可在内控管理信息化系统中设计和实现, 具体的实现方式如下。
(1) 按管理需求在内控管理信息化系统中设计监控点和触发条件。如, 针对企业银行贷款记录设计监控点, 触发条件为银行贷款到期日前五天, 提醒的岗位为融资岗。
(2) 系统定期从ERP业务系统中获得业务数据, 并按照设置的监控点和触发条件去验证是否符合条件。如果条件触发, 则将提醒信息发给融资岗。
(3) 融资岗收到提醒信息后, 及时履行还款业务。系统在产生还款记录后, 会自动消除该笔贷款的预警功能。
为了便于不同企业实现不同要求的监控目的, 系统应能提供功能强大的监控设计功能。例如, 设计触发条件即可以通过绝对值又可以通过相对值来设计, 还可以指定业务信息化系统的数据库字段来设计;设计时可以指定需要提醒的业务岗位, 而不是群发信息。
3. 按指定的内控流程穿行测试功能。
穿行测试是查找内控缺陷, 检验内控措施是否有效的重要手段。因此, 系统是否能按指定的内控流程去测试相关的业务数据, 并列出不符合测试条件的数据样本就显得尤其重要。这种自动化技术手段是企业进行内控自我评价的重要而有效的技术手段。
当然, 优秀的内控管理信息化系统应包括更多强大而实用的功能, 以帮助内控管理人员进行更有效、快捷的内控管理操作, 从而实现提升企业管理水平, 加强企业竞争力的最终目的。
摘要:文章所说的内控管理信息化系统是企业为实现内控管理系统化、自动化而借助IT手段的一种信息化系统工具。它的主要作用是帮助企业进行内控日常事务管理, 并对业务信息化系统 (如ERP系统) 进行监控, 实现事前、事中控制效果。文章结合其使用和实践情况, 浅谈该类系统应具备的功能和作用。
管理信息系统内控 篇2
摘要:随着电算化会计信息系统的进一步推广普及,如何完善电算化环境下单位内部控制系统,充分发挥A1s在现代企业治理和资本市场监管中的积极作用,特别是《企业内部控制基本规范》出台后,单位内控系统怎样紧跟基本规范的步伐,是当前会计电算化工作中的一个重要课题。本文通过对电算化环境下内控系统的特点分析,结合基本规范中关于单位内控系统的设计原则,提出若干基本规范实施后电算化环境下单位内部控制系统的建议。
关键词:新规范;电算化会计;内部控制
内部控制缺失对资本市场造成的影响有目共睹,如何规范企业的内部控制,使其真正起到应有的作用,一直是外界所期待的。6月28日,财政部、证监会、审计署、银监会、保监会等五部分联合发布了《企业内部控制基本规范》。《基本规范》自7月1日起首先在上市公司范围内施行。该规范被称为中国的“萨班斯法案”,其颁布标志着我国对企业内部控制的重视已上升到一个新的高度,实在施将对我国企业的内部控制将产生重要影响。
鉴于我国目前信息技术的逐步普及,新规范也对电算化会计中的内部控制的实施提出更高的要求。新内部控制规范方法中第七条中规定,新内部控制规范中的信息系统控制要求企业结合实际情况和计算机信息技术应用程度,建立与本企业经营治理业务相适应的信息化控制流程,进步业务处理效率,减少和消除人为操纵因素,同时加强对计算机信息系统开发与维护、访问与变更、数据输进与输出、文件储存与保管、网络安全等方面的控制,保证信息系统安全、有效运用。电算化会计信息系统的内部控制则是内部会计控制的特殊形式,也是内部会计控制深层次的发展。如何使电算化会计中的内控适应新规范的要求?
一、电算化会计内部控制特点及轻易产生的题目
1、会计业务处理主体发生变化
手工环境下,凭证的审核、记账、过账、对账、结账和报表编制等都是由会计和出纳职员亲身完成,在这个过程中,会计职员和其他相关职员存在大量信息交流与人工的相互校对、审验;在电算化环境下,会计职员之间的联系则转变为人与计算机的交互,操纵员的身份识别及授权控制等都有别于手工会计信息系统,除了原始单据的取得或填制主要是外部天生,制单、审核、记账、过账、对账、结账和报表编制等核算环节几乎全部在计算机系统内部完成,核算的自动化程度大大进步。
2、口令密码是实现会计操纵的唯一密码
手工环境下,任何操纵都会有签字,也就是都有责任人。电算化环境下,操纵员都有各自的授权范围和口令,假如只要有正确的密码口令,就能进行操纵,而不会留下操纵人的手迹。这就意味着,密码口令被泄露,其他知道的人都可以进行数据的操纵,就可能影响数据的真实性。
3、数据输进是电算化会计控制的重点
在电算化系统中,所有数据都源于凭证库,当凭证输进后,系统将自动进行多项业务处理。一旦输进操纵不当,将会引发日记账、明细账、总账、乃至会计报表等一系列的错误。因而,数据输进操纵不当的题目控制将是整个会计电算化业务处理程序中最关键的控制环节。
4、电算化系统的“单点录进”与“数据共享”产生的数据风险
实行计算机记账后,AIS数据几乎全部由系统各站点分散录进,且系统各站点可以实现共享,这无疑对于进步信息的利用率大有好处,但这也带来一个新的课题,那就是系统存在的可能由于局部站点数据输进或操纵错误带来的系统整体错误的发生。
二、结合新规范,企业应采取的措施
1、企业的内部会计控制须遵循新规范所要求的基本原则
新规范中规定了企业内部控制的基本原则,即正当性原则、全面性原则、重要性原则、有效性原则、制衡性原则、适应性原则、本钱效益原则。这些基本原则是企业制定会计内部控制的指南针,企业要结合自己的实际情况,特别是信息化环境下,根据企业计算机技术的应用程度制定适合企业情况的会计内部控制制度,在制度完善的条件下,更要做到有法可依,有法必依。
2、健全完善电算化环境下数据级权限与金额级权限的授权分配方案
传统的.核算型软件由于仅局限于财务职员操纵软件,从而使得软件权限分配方案非常简单,但随着ERP时代的到来,企业内部几乎所有部分和职员都有可能参与到软件实施中,面对多部分的授权局面,治理型和决策支持型软件均提供了强大的授权方案,按照权限级次不同,我们主要把电算化环境下的软件操纵权分为三个级别,即功能级权限、数据级权限和金额级权限。功能级权限主要用于对操纵员进行功能级权限的分配,比如授权某人具有总账模块“制单”权限,数据级权限用于对操纵员进行字段级和记录级权限的分配,比如授权某人在总账模块仅能编制收款和付款凭证的权限,金额级权限是在数据级权限的基础上,对权限的金额级控制,比如限制某人仅编制单笔金额不超过1万元的凭证。数据级和金额级权限都是对功能级权限的细化,主要目的是为了更好的落实内控,然而笔者通过调查发现,很多单位固然实施了治理型或者决策型软件,但却因没有充分利用好系统提供的强大的权限设置功能而使得系统应有的内控措施没有很好的发挥,大量投资购置的治理系统并没有真正发挥在现代治理中应有的作用,终极导致单位内控的风险增高。所以,本人以为全面把握现代治理软件的操纵,充分利用好系统提供的强大的权限设置方案,构建电算化环境下缜密的内控系统也是目前内控工作改进的重要内容。
3、完善数据操纵治理制度,加强信息安全
操纵治理制度是针对每一个上机操纵会计软件的职员而制订的,主要用来规范每一个操纵职员的行为以及各自之间的权限限制。除了软件对操纵方面作了一定的内部控制设计以外,制订并严格操纵治理制度,将会有效地保证会计软件的安全运行;同时,也有利于内部控制制度的执行。操纵治理制度从内容上来看,一般包括以下几项:
(1)操纵职员的工作职责和工作权限。尽管软件一般都已有用户治理功能,但其用户治理的设置是由人工进行的,这就需要从制度上对操纵职员的工作职责和工作权限加以规定,用来在用户治理的设置和具体的操纵中执行。
(2)预防原始凭证和记账凭证等会计数据未经审核而输进计算机的措施。如规定原始凭证必须经有关审核职员审核并签章后才能输进计算等。
(3)预防已输进计算机的原始凭证和记账凭证等未经核对而登记机内账簿的措施。如规定已输进计算机的凭证需由审核职员核对并签章后方可登记机内账簿等。
(4)建立必要的上机操纵记录制度。使用日志的形式记录下每个会计操纵职员的机号、登录日期及时间、所做的操纵等情况,并经常性查看日志,检查有无异常情况,监视系统操纵。
(5)根据会计电算化系统的业务要求和不相容职务相分离的原则,设立各个电脑操纵岗位,如系统维护员、系统治理员、数据审核、数据复核、会计档案治理员等,明确岗位职责和操纵权限,使每个操纵职员只能在自己的操纵权限范围内进行工作,保证会计电算化系统能够正常顺利的工作,确保会计数据的安全、正确、可靠。
三、结束语
管理信息系统内控 篇3
摘要:随着电算化会计信息系统的进一步推广普及,如何完善电算化环境下单位内部控制系统,充分发挥A1s在现代企业管理和资本市场监管中的积极作用,特别是《企业内部控制基本规范》出台后,单位内控系统怎样紧跟基本规范的步伐,是当前会计电算化工作中的一个重要课题。本文通过对电算化环境下内控系统的特点分析,结合基本规范中关于单位内控系统的设计原则,提出若干基本规范实施后电算化环境下单位内部控制系统的建议。
关键词:新规范;电算化会计;内部控制
内部控制缺失对资本市场造成的影响有目共睹,如何规范企业的内部控制,使其真正起到应有的作用,一直是外界所期待的。2008年6月28日,财政部、证监会、审计署、银监会、保监会等五部门联合发布了《企业内部控制基本规范》。《基本规范》自2009年7月1日起首先在上市公司范围内施行。该规范被称为中国的“萨班斯法案”,其颁布标志着我国对企业内部控制的重视已上升到一个新的高度,其实施将对我国企业的内部控制将产生重要影响。
鉴于我国目前信息技术的逐步普及,新规范也对电算化会计中的内部控制的实施提出更高的要求。新内部控制规范方法中第七条中规定,新内部控制规范中的信息系统控制要求企业结合实际情况和计算机信息技术应用程度,建立与本企业经营管理业务相适应的信息化控制流程,提高业务处理效率,减少和消除人为操纵因素,同时加强对计算机信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制,保证信息系统安全、有效运用。电算化会计信息系统的内部控制则是内部会计控制的特殊形式,也是内部会计控制深层次的发展。如何使电算化会计中的内控适应新规范的要求?
一、电算化会计内部控制特点及容易产生的问题
1、会计业务处理主体发生变化
手工环境下,凭证的审核、记账、过账、对账、结账和报表编制等都是由会计和出纳人员亲自完成,在这个过程中,会计人员和其他相关人员存在大量信息交流与人工的相互校对、审验;在电算化环境下,会计人员之间的联系则转变为人与计算机的交互,操作员的身份识别及授权控制等都有别于手工会计信息系统,除了原始单据的取得或填制主要是外部生成,制单、审核、记账、过账、对账、结账和报表编制等核算环节几乎全部在计算机系统内部完成,核算的自动化程度大大提高。
2、口令密码是实现会计操作的唯一密码
手工环境下,任何操作都会有签字,也就是都有责任人。电算化环境下,操作员都有各自的授权范围和口令,如果只要有正确的密码口令,就能进行操作,而不会留下操作人的手迹。这就意味着,密码口令被泄露,其他知道的人都可以进行数据的操作,就可能影响数据的真实性。
3、数据输入是电算化会计控制的重点
在电算化系统中,所有数据都源于凭证库,当凭证输入后,系统将自动进行多项业务处理。一旦输入操作不当,将会引发日记账、明细账、总账、乃至会计报表等一系列的错误。因而,数据输入操作不当的问题控制将是整个会计电算化业务处理程序中最关键的控制环节。
4、电算化系统的“单点录入”与“数据共享”产生的数据风险
实行计算机记账后,AIS数据几乎全部由系统各站点分散录入,且系统各站点可以实现共享,这无疑对于提高信息的利用率大有好处,但这也带来一个新的课题,那就是系统存在的可能由于局部站点数据输入或操作错误带来的系统整体错误的发生。
二、结合新规范,企业应采取的措施
1、企业的内部会计控制须遵循新规范所要求的基本原则
新规范中规定了企业内部控制的基本原则,即合法性原则、全面性原则、重要性原则、有效性原则、制衡性原则、适应性原则、成本效益原则。这些基本原则是企业制定会计内部控制的指南针,企业要结合自己的实际情况,特别是信息化环境下,根据企业计算机技术的应用程度制定适合企业情况的会计内部控制制度,在制度完善的前提下,更要做到有法可依,有法必依。
2、健全完善电算化环境下数据级权限与金额级权限的授权分配方案
传统的核算型软件由于仅局限于财务人员操作软件,从而使得软件权限分配方案非常简单,但随着ERP时代的到来,企业内部几乎所有部门和人员都有可能参与到软件实施中,面对多部门的授权局面,管理型和决策支持型软件均提供了强大的授权方案,按照权限级次不同,我们主要把电算化环境下的软件操作权分为三个级别,即功能级权限、数据级权限和金额级权限。功能级权限主要用于对操作员进行功能级权限的分配,比如授权某人具有总账模块“制单”权限,数据级权限用于对操作员进行字段级和记录级权限的分配,比如授权某人在总账模块仅能编制收款和付款凭证的权限,金额级权限是在数据级权限的基础上,对权限的金额级控制,比如限制某人仅编制单笔金额不超过1万元的凭证。数据级和金额级权限都是对功能级权限的细化,主要目的是为了更好的落实内控,然而笔者通过调查发现,许多单位虽然实施了管理型或者决策型软件,但却因没有充分利用好系统提供的强大的权限设置功能而使得系统应有的内控措施没有很好的发挥,大量投资购置的管理系统并没有真正发挥在现代管理中应有的作用,最终导致单位内控的风险增高。所以,本人认为全面掌握现代管理软件的操作,充分利用好系统提供的强大的权限设置方案,构建电算化环境下缜密的内控系统也是目前内控工作改进的重要内容。
3、完善数据操作管理制度,加强信息安全
操作管理制度是针对每一个上机操作会计软件的人员而制订的,主要用来规范每一个操作人员的行为以及各自之间的权限限制。除了软件对操作方面作了一定的内部控制设计以外,制订并严格操作管理制度,将会有效地保证会计软件的安全运行;同时,也有利于内部控制制度的执行。操作管理制度从内容上来看,一般包括以下几项:
(1)操作人员的工作职责和工作权限。尽管软件一般都已有用户管理功能,但其用户管理的设置是由人工进行的,这就需要从制度上对操作人员的工作职责和工作权限加以规定,用来在用户管理的设置和具体的操作中执行。
(2)预防原始凭证和记账凭证等会计数据未经审核而输入计算机的措施。如规定原始凭证必须经有关审核人员审核并签章后才能输入计算等。
(3)预防已输入计算机的原始凭证和记账凭证等未经核对而登记机内账簿的措施。如规定已输入计算机的凭证需由审核人员核对并签章后方可登记机内账簿等。
(4)建立必要的上机操作记录制度。使用日志的形式记录下每个会计操作人员的机号、登录日期及时间、所做的操作等情况,并经常性查看日志,检查有无异常情况,监督系统操作。
(5)根据会计电算化系统的业务要求和不相容职务相分离的原则,设立各个电脑操作岗位,如系统维护员、系统管理员、数据审核、数据复核、会计档案管理员等,明确岗位职责和操作权限,使每个操作人员只能在自己的操作权限范围内进行工作,保证会计电算化系统能够正常顺利的工作,确保会计数据的安全、准确、可靠。
三、结束语
公司财务信息系统的风险与内控 篇4
关键词:AIS,风险,内部控制,业务流程,信息处理
一、引言
风险是指发现的任何使公司受到伤害或损失的可能性。目前主流观点认为, AIS (Accounting Information System, 会计信息系统) 是公司财务信息系统的一个组成部分, 而公司财务信息系统又是公司整体集成管理信息系统中一个基于财务视角的剖面。有鉴于此, 公司财务信息系统分析与设计人员需要识别和控制风险, 但又要权衡风险和机遇、控制目的和控制成本。公司必须权衡经营效率和经营效果, 使公司财务信息系统可以做到同时控制效率和效果。当今经济环境下, 公司财务信息系统中内控功能的重要性越来越凸显。公司财务信息系统中控制的两个重要考虑因素是执行时间和成本。通常每种控制都能缓减某一特定风险, 但各种控制措施的成本和效率不同。因此很多潜在的风险确实存在, 但是要控制所有风险的代价如果超过了控制带来的收益, 就会不符合成本效益原则, 故不允许公司控制所有的潜在风险, 只应控制那些重大风险。
风险的重大性取决于风险对公司的影响, 以及风险实际发生的可能性阻止公司实现其目标风险的代价是巨大的, 而且可能对公司的持续经营产生灾难性影响。风险的危害性是指:潜在损失的大小及其对实现公司目标的影响, 以及损失发生的可能性。概率和损失额越大, 风险的危害性就越大, 公司管理风险的需求就越大。
二、风险的级别及内控措施
风险可以发生在不同级别或层面上:宏观经济级别、行业级别、公司整体级别、公司内业务流程级别以及信息处理级别。
(一) 宏观经济和行业风险
公司不是在真空中经营, 而是在某个行业中开展经营, 行业是当地经济的一个组成部分, 同时也是全球经济的一个组成部分。不考虑当地和全球经济风险以及行业风险, 即使再充分应对其他风险, 对公司而言往往也是徒劳无益的。经济风险包括来自战争、瘟疫、金融市场变革、恐怖袭击和诸如洪水、台风以及干旱等自然灾害。这些因素中很多都能导致全球性的经济萧条。有时经济风险能够给某些行业带来致命的打击, 因此演变为行业风险。另一种类型的行业风险是成本的普遍上涨影响了某一特定行业。例如, 某一行业普遍使用的原材料成本剧烈上涨, 整个行业都会受到负面影响。降低的产品需求就是一种行业风险, 它有时独立于价格增长。产品需求的减少可能只是源于使用趋势的转变或其他行业中更高级替代产品。
(二) 公司风险
公司风险反映了公司由于自身或外部商务伙伴的行为或状况这些内、外部因素造成的潜在损失威胁。公司内部风险因素包括诸如员工道德低下, 缺乏职业操守, 员工不胜任工作。内部因素在很大程度上由公司的管理哲学及经营风格决定。如果管理哲学和经营风格鼓励高风险环境, 那么在业务流程层面和信息处理层面也存在更高的风险。公司财务信息系统分析与设计人员确定公司风险时, 可以向管理人员询问的问题如:公司是否承诺雇佣具备岗位工作所需知识和技能的胜任员工;管理层是否采用保守或理性的方法接受并列报经营成果中的业务风险;如果存在董事会, 董事会中是否有公司外部代表;如果会计主体的年度财务报告需要审计, 公司是否存在审计委员会来管理审计事务;公司是否存在定义良好的组织架构、合理的职责分离以及明确的报告关系, 以确保重要活动得到及时计划、执行、控制和监督;员工是否理解公司的政策和实务, 自己的职责以及向谁汇报;管理层是否营造强调正直和职业操守的公司文化;公司是否具备揭发渠道, 以鼓励员工在工作过程中向管理层或董事会告发舞弊行为;如果公司对以上问题的回答相当肯定, 该公司的控制环境可能较好。而那些没有采取以上或类似措施来鼓励正直和胜任能力的公司会面临较高程度的公司内部风险。
公司风险也来源于诸如行业内其他公司竞争加剧、公司声誉及品牌质量损失、导致业务中断的意外事项、涉及一家或多家公司外部商务伙伴的危机, 以及公司兼并之类的外部因素。公司间竞争的加剧会降低公司的市场份额, 导致品牌质量或公司声誉降低的事项会给公司带来长期的负面影响;公司会面临一些由于诸如火灾、洪水、龙卷风、断电或技术失败等意外事项, 导致业务中断的风险;公司会面临一家或多家外部商务伙伴公司的业务中断事故, 从而对本公司造成威胁。
(三) 业务流程风险
本文将业务流程风险定义为与实际业务流程目标 (包括资源、事项、参与者以及这三者之间关系) 相关的风险。公司常见的资源包括存货、产品、营运资产和资金, 包括与失窃、过时、浪费、故意或非故意损毁而造成损失的威胁都可称为业务流程风险。事项可以分为宣传事项、相互承诺事项和经济交换事项。与这些类型事项相关的风险包括该发生却没发生的事项、事项执行得过早或过晚等。
大多数风险不涉及单独的资源或事项, 但却涉及资源、事项或参与者的结合体。连接资源和事项的关系可分成提议、预留、资源流关系。与“资源———事项”关系相关的风险包括事项执行了错误的资源类型或资源项目、错误的资源数量, 或资源的成本或售价错误。
资源与资源之间的链接关系是BOM (Bill Of Materials, 物料清单) 的一种表达方式。与“资源———资源”关系相关的风险包括一种资源与另一种资源之间的关系确定错误。例如, 完工产品存货类型的BOM中描述了原材料种类或数量上的错误。
与“事项———事项”关系相关的风险是事项间关系确立的错误。例如, 业务流程政策要求所有销售的现金折扣最多可达到售价的50%。一种风险是没有按折扣政策收款。同样, 在没有确认存货实际验收的情况下支付了货款。
“事项———参与者”之间的关系表现为连接公司内外部参与者与事项的参与关系。“事项———参与者”关系相关的风险包括未经授权的公司外部参与者 (如不存在的客户) 或未经授权的内部参与者执行了事项 (如仓管员执行付款) 。“资源———参与者”关系反映了诸如内部参与者管理存货类型职责的托管设置。与“资源———参与者”关系相关的风险包括未经授权的参与者托管了资源。检查单一关系有助于识别风险, 完整的风险分析却要求同时检查多种关系。例如, 查询可以被定义为评估相关的采购订单、采购事项和付款事项是否都连接到同一家供应商。如果没有连接到同一家供应商, 就说明可能存在需要进一步调查的数据录入错误或不规范。
(四) 信息处理风险
首先, 公司财务信息系统也是一种资源, 其接触应当受到严格控制。诸如文件服务器之类的关键系统硬件应当锁放在限制区域。其他网络信息系统的组成部分需要由经过授权的人员进入并完成业务和信息的处理。未经授权的进入系统对公司而言是重大风险, 因此防止未经授权进入系统很重要。进入控制在系统具备联网、实时交易处理能力时特别重要。任何一台连接到因特网的计算机都很容易受到攻击。系统接触控制涉及密码和登录控制矩阵的使用。密码是一种较弱的保护形式。登录控制矩阵表明了可以登录系统的各个用户, 以及每个用户登录后可以接触的数据和程序。一些用户只允许读数据, 另一些用户则可读、可更新数据。
其次, 信息处理风险与记录、维护和报告与资源、事项、参与者以及三者之间关系的信息相关。表面上, 这类风险与业务流程风险十分类似, 但实际上, 业务流程风险必须与事项的实际执行、实际存在的资源和参与者有关。信息处理风险必须与进行记录、维护和报告以上对象的信息相关。例如, 如果向不存在的客户销售产品是一个业务流程错误, 但如果是向公司认可的客户销售产品, 但数据录入错误导致这笔销售看起来像是向不存在的客户销售了产品, 这就是一个信息处理错误。
信息处理风险包括记录、维护或报告的信息不完整、不准确或不合法。不完整的信息反映了对于资源、事项、参与者或关系信息在记录、维护和报告中存在错误。不准确的信息反映了数据的记录、维护和报告不正确地表达了客观事实。不合法的信息反映了记录、维护和报告了不存在的资源、事项、参与者或关系。这些类型的信息处理风险都需要得到控制。
COSO的内部控制集成框架讨论了内部控制系统的五大组成要素:控制环境、风险评估、控制活动、信息和沟通、监控。COSO报告中推荐对公司内部控制的评价首先从风险识别开始。接着确定应对风险的控制活动, 最终进行内部控制测试, 以确保控制是否有效运行。COSO推荐的、萨班斯法案要求的、越来越多的监控和关于内部控制的鉴定通过业务流程和AIS设计来实现。业务流程和支持业务流程的公司财务信息系统同样关注风险识别、开发符合成本效益原则的缓减控制措施, 他们可以设计并实施控制。
财务信息系统的控制活动通常包括记录、维护和报告会计主体事项, 同时维护相关资产、负债和权益问责性的方法和记录。其信息质量影响着公司管理层在管理和控制会计主体经营活动以及准备财务报告方面进行正确决策的能力。系统必须做到以下每一条, 以便在信息系统中提供准确完整的信息来正确报告公司经营成果:1.及时确认和记录所有的业务事项;2.对每项业务事项的描述足够详尽;3.正确计量每笔业务的金额;4在财务报告中正确描述和披露业务。沟通要素是针对现有岗位分工及对应内控职责的理解。员工应当理解他们的工作如何与其他员工的工作相连接, 并且例外情况如何向高层管理人员报告。开放沟通渠道有助于例外情况的报告和采取行动。沟通也包括制度手册、会计手册和财务报告守则等。
监控是随时评价内部控制完成情况的过程。由于多数公司经常改变其经营活动以适应新的市场需求以及投资机遇, 于是监控变得尤为重要。监控涉及以时间为基础的控制机制设计和运行的评价, 以及所需的修正行动。管理层一旦发现报告明显偏离他们对公司经营的了解时, 就可采取持续的质询活动。内部审计人员或系统评价者也可以通过定期的检查内控活动、评价其效果、汇报结果, 以及提供改进建议来完成监控。来自外部会计主体的信息同样对内部控制的监控很有价值。客户或供应商关于运输或付款的投诉, 各政府机构的检查, 以及外部审计报告都提供了内部控制充分性及其改进的信息。
绩效检查是对提供某种方式监控的公司绩效的任何检查, 比较常见的检查有:事先计划数据与实际数据, 经营数据和财务数据, 甚至包括隶属关系或公司职能领域间的对比等。绩效检查的实例还可以比较实际发生的生产成本和上一会计期间生产成本, 以发现差异。任何明显偏离去年的成本项目都应追踪调查, 明确原因。另一个绩效检查的例子是比较同一区域内的销售利润率及运往该地区的存货数量, 以确定各地区间的销售利润率是否大体相等。如果某一地区的销售利润率明显低于其他地区, 就必须调查原因, 诸如存货有可能存在偷窃、毁损、过时或其他原因。Z
参考文献
[1].C.L.Dunn, J.O.Cherrington and A.S.Hollander.Enterprise Information Systems.3rd edition.New York, NY:McGraw-Hill Irwin, 2005.
部队内控网信息传输安全风险的防御 篇5
【关键词】军队;内控网;信息风险;防御
【中图分类号】TN711 【文献标识码】A 【文章编号】1672-5158(2012)09-0150-01
信息网络是我国从事军事研究工程的重要平台,网络不仅提供了广阔的资源搜寻空间,还能完成一些高难度的计算处理工作,为军事科研提供了很大的帮助。近年来军队逐渐引用内控网络,用以完成各种高难度的数据处理操作,保证数据信号的稳定传输。但由于内控网络的局限性,信息传输流程依旧面临着多方面的安全风险,及时采取针对性措施进行防御,可保障军事网络的安全性。
一、部队内控网传输的风险隐患
军队是国防事业的核心组成,军队信息化改造标志着我国军事科技发展的新方向。内控网络布置于军事基地,能够为科技研究工程提供虚拟化平台,用以完成各项成果的模拟演练,为实战训练提供科学的指导。由于军事科技水平有限,我国部队内控网络在防御功能上还存在缺陷,尤其是信息传输流程相对复杂,造成整个传输流程面临诸多风险。
1、中断风险。计算机网络是军事基地信息传输的主要平台,通过局域网可以实现多项信息的输送,保持军事科研的稳定性。由于网络信息的内容、形式、数量等多种多样,信息传输阶段易发生中断现象,即整條网络在正常状态下失去连接信号,信道内正在执行的传输命令被终止。这种情况多数是由于周围磁场环境所致,阻碍了数据信号的稳定传输。
2、窃取风险。军事科技事关一个国家的安防能力,世界各国都在加强军事体系建设,增强本国军事力量以抵制外来侵略。为了掌握对方的军事动态,黑客开始应用恶意攻击的方式扰乱网络,使军事信息在传输时被窃取Ⅲ。这主要是由于国家与国家之间的军事竞争,不得不采取非法手段捕获信息,以保证实际战斗中掌握军事信息,信息传输面临着窃取的风险。
3、操作风险。操作风险是人为失误引起的风险,研究人员在制定信息传输方案时,没有考虑数据信号的特点,编制的程序方案不符合信息的要求。网络操作时,应设备操控失误而产生不利影响,破坏了数据信息的完整性。如:计算机服务器与数据库之间,调用数据库的信息内容时,未结合服务器的功能模块,使其处于超荷载状态而发生故障。
二、信息传输风险防御的核心系统
根据部队内控网信息传输存在的安全风险,必须要设计切实可行的安全防御系统,这样才能保证信息内容的高效传输,宏观地指挥军队完成各种演练、模拟、改造等任务,建立现代化的军事基地。防范信息传输风险,需采用融入高科技的防御系统,为传输过程提供安全可靠的运行环境。
1、数字系统。内控网络自动监控需要掌握详细地数据运行状况,从宏观上控制军事基地区域的整体动态,这样才能保证传输网络控制功能的发挥。数字系统是现代军事科技的重要组成,其通过数字信号之间的转换,形成多方向的数据层面。使图像经过处理后变化为数字信号,在短时间内完成信号的传递,保护了军事数据传输的安全。
2、报警系统。为计算机网络设计报警模块,其核心功能是监控、报警,从两个方面保障部队内网运行的安全性。如:报警系统先感应到部队内控网的异常信号,再及时将情况反馈给管理中心,提醒军区管理人员采取必要的处理措施。报警系统安装于监控管理中心,在接收到异常信号后,第一时间作出报警动作,提醒指挥中心人员对网络进行检查。
3、语音系统。在小范围内建立对讲系统,实现了军事指挥中心的语音信号传输。不仅方便了各种军事信号的定点交换,也使军事科研人员的交流更加快捷。如:监控中心人员通过计算机平台监控军队调度的实况,当发现一些安全隐患或故障问题之后,可用对讲系统及时地汇报情况。对讲系统相比网络传输,语音信息的传递速度更快。
三、军事网络信息安全传输的流程
局域网运用于军事基地信息传输,有助于小范围数据资源的高效利用,保障了信号传递的及时性。当前,我国正处于严峻的军事格局,尤其是在保卫国家主权独立与领土完整方面,国防军队具有极为核心的作用,搞好信息化军事建设也是党和国家高度重视的。为了避免信息传输安全风险的发生,科技研究人员需结合部队建设的要求,设计出安全、稳定、持久的信息传输流程。
1、收集环节。收集输电信号是信息传输的基本要求,引用数字化采集方案,避免人工采集中出现的失误。高科技军事系统要求对经过处理的信号进行采集、A/D转换和记录,再交由计算机处理平台加以调控,捕捉到与军事设备、传感线路等相符的数字信号,指导军队控制中心实施安防操作。
2、分析环节。接收到传输信息后,还需进一步分析、识别、归纳,才能掌握数据信息的内容。军用网络信息分析的流程:将采集到的信号传送到后续单元,对所采集到的数据进行处理和分析,对历史数据和当前数据分析、比较,最终判断信息是否安全。经过这一处理流程,值班人员可系统地掌握输电设备的作业情况。
3、传输环节。前期准备工作完成,部队内网便可以对信息进行分配传输,按照各个站点的具体位置定点传送。信息传输过程应当添加必要的检测措施,综合l生地检测待传输内容是否安全可靠。如:计算机输出端口采用数字过滤器,检测将要传输信息内容的安全情况;站点接收端应重新过滤接收到的信息,以免扰乱内网秩序。
四、结论
管理信息系统内控 篇6
随着网络技术的发展和在医院日常管理中的广泛应用,网络环境下的医院会计核算和经济管理也应运而生。医生(护士)工作站、影像传输、OR系统等全面应用和普及。
医院新信息软件采用最新的技术, 实现了医院管理一体化。医院信息系统实现了医疗、护理业务核算、经济和国有资产管理和院长决策分析功能。因此,完善的医院信息化系统内部控制和稳定性就更为重要。
各种类型的医院网络化财务会计信息系统,在医院会计内控方面,按照会计内部控制的原则,利用电子及加密技术来实现其功能。医院经营决策者对网络信息的依赖度提高,单病种核算、病历分析、出入院信息的质量更加重要。
1.医院网络设计存在的缺陷和风险。 医院信息化建设规划与内控标准不符合,系统管控效果差;程序没有审计接口,造成审计工作困难;设计阶段沟通不全面、系统完整性差升级困难,阻碍医院进一步发展,造成信息孤岛或重复建设。
2. 开放性的网络环境增加医院数据危险。医院大量医疗业务数据、信息通过网络传输,可能被黑客入侵、非法拦截、 窃取。因此开放的网络环境风险增加,如原始医疗、护理等信息被篡改,网络系统遭破坏;感染病毒造成网络系统瘫痪,会计核算信息丢失。
3.强化操作人员管理和权限控制。在医院信息系统运行过程中,强化操作人员口令和工作权限,经常更改密码,杜绝操作员身兼数职,以不同的身份操作两项不兼容的工作或系统开发人员顶替业务人员操作的现象发生。同时,强化医院工作人员业务知识学习,掌握常见的与维护故障排除技能,精通相关知识和软件的操作,成为复合型的人才。
二、医院在信息化建设中应侧重的几个方面
1.增强医院风险防范意识,制定可行的信息化系统内控措施。在竞争激烈、开放复杂的网络环境下,医院内部控制防范更加重要。既要预防电脑犯罪,又要减少差错发生。医院领导和信息部门要强化防范风险意识,建立网络、软件、操作、 保密、监督等多种内部控制措施。
依据国家总体规划和要求,根据医院经营管理实际,量身定做好医院的信息化系统管理。要建立健全适应国家统一的医院信息管理平台,能够利用“云计算”等先进信息技术开展编制、使用、监督和评价等项工作。在内控制度方面,明确岗位职责、严谨程序规划设计、不兼容岗位相互制约、如实记录医疗业务信息和数据、管理人员定期或不定期开展检查。
2. 完善制度和切实贯彻落实制度并重。解决和及时发现网络信息化系统运行工作中存在的问题;严格遵守员工操作规范,防止擅自改变软件配置和误操作;利用防火墙等技术手段防范非法侵入。做好数据双备份和定期更换操作密码,保证医院信息和数据安全。
3.强化内部和外部审计监督功能。要强化医院内审和外审工作,重点检查系统数据的合规性;确保医院业务和操作程序可靠安全;侧重管理职能和人员控制制度是否健全、是否有完善的会计信息系统内控措施等。
4.加大复合型人才培养,建设一支业务能力过硬的管理队伍。网络管理时代业务人员必须具备专业知识和计算机知识,并熟悉整个医院信息化处理流程。内外审计人员的素质也应不断提高,适应新形势发展需要。信息化减少了一般业务操作人员,同时要求配备专业信息分析人员。因此,网络环境下信息化运行效果如何,内控执行的好坏,人才是关键因素。医院要制定合理培训、考核计划,严格评价业务人员的工作能力和业务技能,考核结果要与工作人员当月绩效挂钩。强化工作人员职业道德建设和培训, 成为高层次、新型复合型人才。
综上所述,随着网络技术的不断创新,医院会计核算、国有资产管理、医疗业务信息化程度的普及,网络环境下医院内部控制不断加强。只有强化防范风险意识,提高医院业务和管理人员的能力和素质,加强审计监督,完善内控制度,才能保证医院网络环境下信息的真实、可靠、完整,保障医院健康发展,为医院正确决策提供有效依据,更好地为群众提供优质医疗服务。
摘要:网络环境下医院信息系统存在着安全隐患,医院系统内部控制较其他行业更复杂。文章指出,只有强化安全意识教育、人才队伍建设,落实符合医院实际情况的有效控制措施,才能保证医院信息的真实、完整和可靠。
浅议会计电算化信息系统内控问题 篇7
从传统的手工会计到电算化会计系统, 虽然会计内部控制的目标和主要特征没变, 会计核算的复式记账和借贷平衡的基本原理和方法也没有变, 但由于会计信息处理方式和方法的计算机自动化, 使得会计业务处理程序和工作组织发生了质的变化, 由此导致会计信息系统内部控制体系也出现了些新的特点和变化。
我国的会计电算化内部控制体系的建设要从当前国内会计电算化系统特点出发, 不仅要考虑我国当前的社会政治、经济环境, 而且还要考虑会计管理工作的信息技术环境。从我国实施会计电算化的进程来看, 还存在不少困难和问题, 值得引起高度重视和深入研究。
一、现状与成因分析
认真分析我国目前会计电算化的现状, 主要存在以下五个问题。
1. 对会计电算化的认识不到位。
不少企业领导对实施会计电算化的重要意义缺乏足够的认识, 没有认识到开展会计电算化是时代发展的必然, 是管理现代化的需要。会计电算化是会计进入信息化的基础, 是今后企业决策的重要手段, 是会计制度改革的突破口。
2. 安全性、保密性差。
由于传统的手工记账方式长期被人们所接受, 目前企业管理建立在手工记账的基础上, 要改变已形成的习惯方式有一定难度。尤其是会计电算化的保密性、安全性存在空白, 因而对会计电算化数据的可靠性持怀疑态度。
3. 会计软件不能及时升级换代。
不少企业认为电算化仅仅是“以机代账”, 软件只需要一次投入即可, 出现了只重视硬件换代、不注意软件升级的情况。从奔腾Ⅱ一直到奔腾Ⅳ, 机型更换了几次, 但财务软件仍停留在“古老”的Foxbase开发的DOS版上。
4. 会计基础工作薄弱。
会计电算化虽然在很大程度上减轻了会计人员的工作量, 但同时也增加了操作人员、系统维护人员等岗位, 带来了许多新的要求, 提出了新的问题。目前, 我国建立在手工操作条件下的会计基础工作的管理还存在着很多不足;实施会计电算化, 就需要建立与之相配套的一系列内部控制制度来加以约束, 才能充分发挥电算化的优势。
5. 会计人员素质有待提高。
由于会计电算化涉及会计和计算机两种专业知识, 在岗的会计人员虽然经过计算机等级培训, 但与实际要求水平还有较大差距。会计人员知识不全面, 要使得计算机知识和会计工作经验有机结合, 还有待时日。同时, 计算机培训教材老化, 跟不上计算机技术发展的形势。经过这样的培训和考核的人员, 实际操作能力难以适应电算化环境下对内控的要求。
二、对策与思路
1. 加强防止电算化犯罪的法律建设。
目前, 由于法规的不健全使会计电算化犯罪的控制很困难。例如, 对未经许可接触会计电算化信息系统或有关数据文件的行为, 在法律上未规定为偷窃行为, 因此就无法对下载重要机密数据的行为治罪。必须看到, 对会计电算化信息系统的开发和管理, 不能仅靠现有的一些法规, 如《中华人民共和国会计法》、《企业会计准则》等。因为会计电算化犯罪毕竟是高科技、新技术下的一种新型犯罪, 为此制定专门的法规对此加以有效控制就很有必要。为企业营造良好的大环境, 防止电算化犯罪的法制建设, 可从两个方面入手: (1) 建立惩治利用会计电算化犯罪活动的法律, 明确规定哪些行为属于舞弊行为及惩处方法; (2) 建立会计电算化系统的保护法律, 明确会计电算化系统中哪些东西或哪些方面受法律保护 (硬件、软件、数据库) 及受何种保护。
2. 制定企业内部操作管理制度。
操作管理制度是针对每一个上机操作会计软件的人员而制定的, 主要用来规范每一个操作人员的行为以及各自之间的权限限制。制定并严格操作管理制度, 将会有效地保证软件的安全运行, 同时, 也有利于内部牵制制度的执行。操作管理制度从内部上来看, 主要有: (1) 操作人员的工作职责和工作权限。尽管软件一般都已有用户管理功能, 但其用户管理的设置是由人工进行的, 这就需要从制度上对操作人员的工作职责和工作权限加以规定, 用来在用户管理的设置和具体的操作中执行。 (2) 预防原始凭证和记账凭证等会计数据未经审核而输入计算机的措施。如规定原始凭证必须经有关人员审核并签章后才能输入计算等。 (3) 预防已输入计算机的原始凭证和记账凭证等未经核对而登记机内账簿的措施。如规定已输入计算机的凭证需由审核人员核对并签章后方可登记机内账簿等。 (4) 建立必要的上机操作记录制度。如规定用操作日记的形式记录每天的上机操作内容等。
3. 加强制定会计档案管理制度。
在实行会计电算化之后, 随着存储介质的改变, 对会计档案管理的要求也比较严格;同时, 对会计档案的要领也就有所发展。在会计电算化情况下, 除了打印输出的账、证、表以外, 整个系统开发形成有全套档案资料都属于会计档案的范畴;另外, 对存有会计数据的有关介质也应妥善保管。 (1) 实行会计电算化后的会计档案以计算机打印的书面形式保存, 保存的有关规定按《会计档案管理办法》的规定执行。 (2) 全套会计电算化系统文档视同会计文档保管, 保管期截至该系统停止使用或有重大修改后的3年。 (3) 妥善保管存有会计信息的磁性介质或其他介质的措施。如规定存有会计数据的磁盘应存放在防潮防磁的容器内等。 (4) 科学规定会计档案的有关权限。如规定查询以前年度的会计档案应经有关人员批准等。 (5) 保证会计档案安全与完整的措施。如规定用计算机打印出的账簿应按全文档案的有关规定装订成册等。企业的内部控制制度内涵是多方面的, 但内部控制制度不是万能的, 制度本身存在局限性, 只有企业的全体员工共同营造良好的内部环境, 通过不断地完善内部控制制度, 才能实现内部控制的目的。
摘要:随着计算机在会计领域的广泛应用, 对会计工作岗位分工、数据存储等方面产生了一系列影响, 使原来的手工操作系统的内部控制制度不能与之完全适应。构建适合于会计电算化系统的体系, 显得日益迫切。
管理信息系统内控 篇8
关键词:企业,计算机信息系统,内控水平,优势
一、企业内控中计算机信息系统控制过程中存在的缺陷
(一) 缺乏足够的重视, 程序化控制不足。
内部控制作为企业管理的重要组成部分, 对于其中的计算机信息系统的实际作用效果有着严格的要求。但是, 结合现阶段企业内控中计算机信息系统控制的实际发展状况, 可知某些企业管理层对于计算机信息系统内部控制缺乏足够的重视, 对于内部控制的相关作用认识不清, 客观地影响了计算机信息系统控制过程中实际作用的充分发挥。
(二) 系统运行中不相容职务原则考虑少。
企业内控中计算机信息系统既要满足数据输入的要求, 也要确保所有数据的正常传送, 从而为企业内部控制的加强提供可靠地保障。结合现阶段企业计算机信息系统在内部控制运行中的实际发展现状, 可知一些不相容的岗位没有得到及时地分离, 这些岗位之间的牵制力下降, 影响了系统运行中数据的有效处理[1]。与此同时, 一些岗位的技术人员在未授权的条件下对内控中计算机信息系统程序进行更改, 影响了数据的有效利用及实际的传送效率。
(三) 系统授权中漏洞的客观存在。
某些企业内控中计算机信息系统缺乏专业技术人员的有效管理, 对于系统访问权限的严格把控力度不够, 致使相关人员拥有全面访问的权限, 影响着计算机信息系统内部控制作用的充分发挥, 降低了相关信息的传递效率。同时, 针对不同类型的用户, 部分企业内控中计算机信息系统的访问权限限制效果不明显, 系统运行中缺乏必要的监控机制, 加大了信息系统安全管理风险。
二、加强企业内控中计算机信息系统控制的有效对策
(一) 健全计算机信息系统组织。
企业内控中计算机信息系统组织涉及的人员及业务较多, 体现着企业整体的内部控制水平。因此, 为了确保系统控制控制的有效性, 应结合企业的高层管理人员、系统维护人员等, 不断地健全计算机信息系统组织, 优化系统运行中控制环境质量, 为企业内控中不同人员职责范围的明确及实际作用的发挥提供必要地保障, 促使系统工作中其整体的控制环境能够得到有效地监督与管理, 实现计算机信息系统运行中的各种内部控制目标。
(二) 注重业务流程面计算机信息系统控制。
通过对一般性控制、应用系统控制及数据管理人员控制的深入分析, 有利于加强业务流程面计算机信息系统控制。具体表现在: (1) 注重一般性控制。通过对计算机信息系统组成结构的分析, 有利于实现整个流程的控制, 全面提高其中的安全管理、数据中心操作管理及相关问题处理中的管理, 并结合相关的监督原则, 确保计算机信息系统控制的有效性, 提高相关数据的利用效率; (2) 注重数据管理人员控制。通过开展各种专业培训活动, 促使企业内控中计算机信息系统相关的数据管理人员实际操作水平能够始终保持在更高的层面上, 结合系统内部控制的要求, 优化控制程序设计, 不断增强计算机信息系统控制的实际作用效果; (3) 注重应用系统控制, 不同完善系统的控制机制, 扩大其服务范围。
(三) 注重系统关注点的有效控制。
在计算机应用系统运行的过程中, 通过明确系统的控制要点, 有利于满足计算机信息系统内部控制的要求, 实现应用系统的程序化控制。因此, 需要注重对这种系统关注点的控制, 全面提升现代企业的内部控制水平。具体表现在: (1) 在程序化控制作用下, 注重输入数据的有效检查, 确保所有信息的分类准确性, 确保不同关注点的信息传递过程中能够得到全面地控制; (2) 充分考虑不相容职务分离原则, 最大限度地提高所有数据存取的有效性。
结束语
通过对企业内控中计算机信息系统的有效控制, 有利于提升企业的内控水平, 降低企业控制管理风险发生的几率。因此, 需要制定切实有效的措施优化计算机信息系统的服务功能, 实现对系统运行中的实时控制, 为现代化企业内控中计算机信息系统实际应用范围的扩大打下坚实的基础, 优化现代企业的内控管理体系。
参考文献
企业ERP系统内控管理 篇9
公司建成了集生产计划(PP)、设备(PM)、项目(PS)、采购(MM)、销售(SD)、总账(FI)、成本(CO)、人力资源(HR)为一体的ERP工作平台,ERP以财务管理为核心,与金税系统、销售系统、网上报销、AMINS等系统有接口。 业务部门把原始数据录入ERP后,由财务人员输入对应事物码,系统自动运行相关程序,具有高度的自动化, 每一笔基础业务发生的同时, 都产生对应的ERP-FI凭证,并同步传输到FMIS财务管理系统,业务处理更多的依赖系统操作,主要业务之间的关联程度很高,大量的业务活动通过集成凭证直接反映到财务数据, 财务人员可随时进入ERP系统查看各项费用发生情况,提高了成本管理质量,提升了财务管理水平。
内部控制是企业管理的重要内容, 内控管理保障财务报告的可靠性,堵塞内部管理漏洞,确保生产、业务数据真实,防止舞弊。 ERP系统实施后,有些业务流程发生改变,对于业务的管理更加细化,用自动控制替代人工控制,在提升财务管理水平时,也带来了一定的风险,严格防范系统风险,加强内控管理,提升风险控制的有效性变得尤为重要。
1ERP系统蓝图设计
按照公司业务流程架构管理的要求,对本单位原业务流程目录进行修订,使其涵盖ERP系统蓝图的全部内容,基于Solution Manager完成ERP系统配置, 保证ERP蓝图与系统配置及企业实际流程保持一致。
编制ERP蓝图时,要完成ERP蓝图差异分析,根据企业业务流程与ERP蓝图对照,依据ERP板块蓝图模板目录,标明蓝图各环节对应的主要风险和关键控制等内容, 完成ERP系统相关风险与控制文档,确认ERP系统控制矩阵,并依据系统控制矩阵修改蓝图,完善蓝图信息、业务流程,进行蓝图建模质量检查,落实系统关键控制,防范系统风险。
2GCC控制
ERP系统GCC即总体层面控制, 由于ERP系统高集成性、系统庞大而复杂,为了更好地保证ERP系统管理和维护,以及内部控制管理和信息化建设需要,实施ERP系统GCC控制。
防止信息资产在未经授权的情况下被使用、披露、修改、损坏或丢失, 系统用户必须经过有效的审批才能拥有系统账户,对ERP的业务用户仅分配会话类型(A-Dialog)账号,系统所有用户都应拥有个人专用的唯一账号, 以便操作能够追溯到具体责任人,个人不得外泄用户名和密码,不得转借他人使用,不应在应用系统中设立无人使用的账号, 所有用户都应归属于一个用户组,以便有效地进行用户管理。
3系统权限控制
由于ERP系统用户数据、业务数据、财务数据的集中存放,为了避免对业务、 财务数据相关的信息进行不适当的非授权修改,用户权限需符合股份公司下发的职责分离矩阵的要求,避免某个用户在操作时同时拥有可能进行舞弊的权限。
在执行ERP系统权限管理时, 用户若在系统中具有不符合其实际业务职责的权限,可能导致对业务、财务数据相关信息不适当的非授权修改,系统管理员通过对业务终端用户的角色分配实现敏感事物的授权,所以在进行ERP系统用户权限管理时,应根据《敏感事务访问权限的设置规则》确定ERP系统中的敏感事务,用户权限分配应遵循能够满足用户使用系统的最小原则进行授权,可从系统中执行“SUIM->Change Documents->For Role Assignment”,导出所有角色分配的日志,检查是否存在未经授权的角色分配操作。
用户若在系统中具有互斥权限,那么该用户就具有了在系统中进行舞弊操作的可能, 制定了业务活动之间互斥关系的《ERP系统职责分离矩阵》,避免互斥权限,主数据维护、财务活动和其他业务活动(指采购、销售、库存等业务活动)之间必须两两分离。
因ERP系统用户多,权限分配机制复杂,采用Access数据库编制了ERP系统权限测试工具对ERP系统进行权限测试,从ERP系统中导出所需数据, 将相关测试数据导入该工具中相应的表(Tables),并运行工具中的查询项目(Queries),得到当前系统中用户的敏感事务代码清单及不符合职责分离的用户名单。
4结束语
企业信息化建设目标之一是为管理者提供及时、准确、全面的管理数据,企业建立内部控制制度是规范管理、保证企业信息化系统有效运行的基础。 实施ERP系统内部控制管理,保证信息及时、准确,量化考核做到公正、客观,制度得以真正落实下去的关键,企业要积极持续推进ERP系统,加强信息化应用,加强流程管理,严格职责分离等在内控管理中的应用和深化。
摘要:本文首先说明实施ERP内控管理的重要性,继而讲述了ERP蓝图设计中风险控制以及ERP信息系统总体控制,并阐述了ERP权限控制以及权限测试,以及要持续深化ERP内控管理。
会计内控管理系统的设计及应用 篇10
1 会计内控管理系统的设计目标
通过前面的需求设计,从而了解系统的需求和数据流图,要实现系统的设计目标,就需要对客户的需求进行分析,以确定对用户需求的物理配置,以及整个系统的处理流程和系统的数据结构,接口设计,以便对系统进行设计。设计内控管理系统,为的就是要实现对会计内控的信息化与智能化管理,因此,可以优化设计该系统各个模块功能,确保系统符合实际需求。能够规范会计内控管理管理,可以科学地组织企业会计内控管理活动,正确地处理企业的会计内控关系,并且,还需确保系统设计中满足稳定性与安全性,保证系统人员的使用安全。系统设计定义:
Access:数据库管理软件
DBMS:数据库管理系统
Windows 2000/2003/XP:运行环境
Visual Basic:软件开发语言
2 会计内控管理系统的结构设计
在会计内控管理系统设计中,从基础数据管理、收支信息监管、用户信息管理三方面出发,有助于提升系统设计使用性能。
基础数据管理:该模块主要就是负责对会计中销售信息、日常报表信息,以及会计风险信息进行记录。
收支信息监管:从相关业务系统采集数据并加工分析,监督会计收支及进行内控评价。
用户信息管理:可以记录并分析会计员工履行职责的情况,对违规问题按一定流程处理,确保会计内控管理落到实效。系统要处理加工大量的数据,与用户交互的部分比重相对较小,用户可以从系统的控制界面中,发起对用户信息的调用指令,然后系统的主控模块就会在接受用户的请求之后,调度内控管理系统的各模块实现运行,从而输出有用数据信息。内控管理系统用户数据,识别制度履行过程中的违规问题,系统可以自动地识别这些违规问题,并将其进行记录,作为会计内控监督的重要数据依据。
3 会计内控管理系统的功能分配
在会计内控管理系统中,针对企业基础销售数据、收支监管、用户信息管理进行信息化的内控管理,各模块之间主要以传递数据项的引用,实现对会计内控系统功能模块之间的数据共享,使该系统辅助会计内控管理人员,对会计内控信息进行有效分析,有效提升会计内控管理质量。对于系统中,将系统功能主要分配在销售、收支以及用户管理方面,以便可以结合三项信息,有效通过系统技术方法,管控企业会计风险。
企业会计中销售信息的内控管理,确保信息添加、记录准确性,加工销售数据,生成销售报表,运用系统确保在查询时提升系统效率。在企业销售业务处理过程之中,对于该功能模块,数据的录入、修改、删除、统计都要涉及记录结构定义,主要是能够把会计内控中对丁会计管理相关的要求,以及有关内控中的注意事项等信息,制作成电子的书面文件以及相关的规章制度,从而能够通过系统信息化手段,下发给企业中各级的会计工作人员,以便为企业会计内控决策作出贡献。
在会计内控管理系统设计中,可在内控管理中协调监督好会计人员的相关因素,确保系统工作稳定性。会计内控管理系统中,设计了登录系统,保证了操作员合法性。在会计内控中,确保各级会计工作人员必须在经过授权以及批准之后,才可以处理有关的会计经济业务;对于未经授权和批准人员,就不允许其直接接触这些会计业务工作。运用会计内控管理系统,可以有效管理会计内控过程中的各个责任环节,明确内控管理人员的权利,使得会计中的某些风险事件能够在还未发生时得到有效的控制。对于会计内控管理中的各级用户,使其可以通过账号、密码来访问该管理系统;另外,系统管理员也可以对数据库的用户信息进行密码保护,以防会计内控资料在系统外泄露。会计内控管理系统中,确保用户分工负责相关的会计职务,可以使会计内控中管理人员之间能够相互制约,互相对其内控职责进行监督,有效确保会计内控管理的有效性。
4 结论
本文主要研究会计内控管理系统的设计与实现工作,针对企业会计发展现状,根据当前会计内控管理中的需求,能够从信息化、智能化的视角出发,优化设计当前的会计内控管理系统,实现该系统设计工作,以便为会计企业发展带来便利。通过研究发现,在实际中设计实现会计内控管理系统,可以提升会计内控管理效率,较之前提升18.0%,发挥积极应用价值。结论证实,在会计内控管理中,设计会计内控管理系统,发挥积极影响,值得在企业中推广。
摘要:在会计内控管理工作之中,优化设计其会计内控管理系统,不仅能够运用系统手段管理会计内控工作,也可以提高会计内控管理效率,有助于减少人为会计内控工作弊端,还可以强化会计内控管理力度,防范操作风险,有效降低会计企业内控管理中的风险,避免会计企业产生经济损失,发挥积极应用效益。
关键词:会计内控管理系统,系统设计,现代化信息
参考文献
[1]王玓.新形势下电力企业会计内控体系建设探讨[J].行政事业资产与财务,2014(6):114.
[2]赵庆昕.企业会计内控体系的现状分析及建设对策[J].黑龙江科学,2014(5):224.
[3]邓暾.会计内控管理系统的设计与实现研究[J].商场现代化,2014(29):98-99.
[4]陈红.社会转型期高校会计内控体系构建研究[J].行政事业资产与财务,2015(21):53-54.
[5]邓卫宁.高校会计内控体系与电子化的矛盾及对策[J].经济师,2005(6):262.
[6]华强.构建科学高效银行会计内控体系的思考[J].河北金融,2005(12):42-43.
[7]王燕.完善基层人民银行会计内控体系探析[J].金融与经济,1997(9):55-56.
[8]李丽.我国建筑企业会计内控体系构建分析[J].河北企业,2012(10):11-12.
【管理信息系统内控】相关文章:
内控管理信息系统05-22
企业内控中的财务信息化管理探究11-29
浅谈行政事业单位内控管理与信息化应用09-11
信息管理与信息系统09-01
信息系统与信息管理09-02
信息系统与信息管理论文04-21
信信息管理与信息系统04-13
信信息管理与信息系统04-12
信息管理与信息系统专业05-01
信息管理与信息系统毕业06-05