2.扩大风险评估范围
信息技术应用改变企业传统营运模式,也带来业务流程和信息系统的新风险。例如企业在信息技术平台上运行ERP系统、商务、供应链管理系统、客户关系管理系统,通过企业之间、企业内部的信息传递实现协同合作、优化资源配置。企业物流和资金流的流量、流速均由计算机精密排程,与联盟企业、市场情况环环相扣,以求最低成本、最快速度、最好质量组织企业经营活动。因此,供应链的任何环节出现突发事件都会波及企业的正常运行,给企业带来损失。此外,由于企业所有数据存放在数据库服务器内,网络开放性、数据共享性必将增加信息系统的风险,如数据可能被非授权人员拷贝、删除、修改,破坏;计算机病毒感染、黑客入侵、使用人员违规操作也会造成计算机系统故障或信息系统崩溃。企业风险识别、评估与防范,不仅要考虑内外部环境,而且要考虑业务流程与信息流程的耦合度、协作企业的关联度、信息系统的依赖度等因素,规避供应链作业流程和信息系统的新风险给企业带来的危害。
3.业务流程控制与信息系统控制成为控制活动的一项重要
在信息技术平台上,企业运行的ERP系统实行流程化管理。企业战略远景的实现、信息系统的导入、企业文化价值观的具体呈现,最终落实到企业的业务作业流程。
信息技术应用使传统人工控制形式演变为人机系统控制,控制重心将集中在作业流程的人机控制与信息系统控制。一些传统的内部控制规则和程序在新的技术环境下失去存在的意义,新的控制规则和程序建立在充分利用信息技术、用最少的资源达到更佳控制目标的基础上。
围绕业务流程,企业会计、审计人员与业务人员将密切协作,共同分析信息技术环境下的企业订单、采购、库存、计划、生产制造、质量控制、运输、分销、财务会计、人事管理等环节的作业过程、管理过程和信息过程的新特点,制定对应控制规则,设计企业预算控制、成本费用控制、资金控制、投资控制、信息记录控制、计算机信息系统控制、业绩评价等控制制度和控制程序,并将这些控制程序和控制参数输入到计算机信息系统内部,形成完整、严密的面向流程的人机内部控制系统。这样,企业员工可以根据信息系统反映的信息流及时监控业务过程的物流、资金流、作业流,通过反馈信息与控制参数的比较,制定决策、预防风险、修正作业错误,防范业务舞弊。另外,在计算机信息系统内部建立严格的人员访问授权、数据接触控制、操作流程规则和职责体系,以避免信息系统故障,保留IT审计线索,杜绝利用信息技术进行贪污、舞弊的行为。
4.组织成员之间信息交流和沟通更加便利
信息与沟通是指企业在其经营过程中识别企业内、外部信息,并在组织内沟通,以便员工了解、执行其职责。
信息技术应用改变企业信息孤岛的状况,大量的企业环境信息、政策信息、经营信息、财务会计信息、作业信息集中存储在企业数据库系统内,并不断被实时更新。基于互联网、企业网、数据库技术的客户/服务器(C/S)和浏览器/WEB服务器(B/S)混合结构的网络平台为企业成员提供了很好的沟通条件。在这个平台上,员工可以十分便捷地从计算机数据库中查阅有关的政策和法规,获取与其职责相关的控制信息,明确各自的权利与责任,了解自己的活动如何与他人的工作相关以及例外情况如何报告或处理的途径。另外,企业在网络平台上构建与利益相关者联系的机制,使组织的相关成员可以实时获取经营信息与财务会计信息,及时进行沟通,达到最佳协同合作和利益共享。
5.监控更注意更新信息系统内部设置的控制参数与控制程序
监控是评价一段时间的内部控制质量过程,包括及时评估控制制度的设计和运行,以及在必要的时候采取的行动。在信息技术环境下,内部控制是基于一种人机结合的控制模式,许多控制程序、控制指标、控制方法被设置在计算机信息系统内部,。因此监控的一项重要内容就是要及时了解原来设置在信息系统内的控制程序、控制参数是否过时,并针对企业经营环境变化情况,及时评估业务流程控制点的运行状态,重新调整或更改设置在信息系统的控制参数或程序。