当今世界处于信息时代,信息技术以前所未有的速度迅猛发展。组织的硬环境慢慢被削弱,而软环境越来越受到重视,计算机信息系统在组织的软环境当中占据着不可或缺的位置。在面对组织的大量业务时,它可以经济有效地处理组织的大量事务,减少许多人为的错误并有效减少随机错报。信息技术在它过去几十年的发展时期,从简单的数据输入系统发展到以相关、可靠和及时的信息支持管理决策的复杂的管理信息系统(MIS,management information system)。将信息技术运用到组织的各种活动当中,起先是会计活动,逐步延伸到预算部门、制造部门、销售部门、人力资源部门等组织的各个组成部分当中。另外,信息技术对组织的战略制度和执行十分关键,因为它能直接影响“一个组织做什么、如何经营、如何与其客户交流,以及组织的竞争地位” 。信息技术借助于当今社会的信息高速公路,无疑会在很大程度上减少人为的错误,并可以及时的传递高数量、高质量的信息。
(一)信息系统环境下数据处理的特征
信息技术在每个十年都有不同的发展,每个阶段有其不同的特点,对组织的影响程度也正深入。归结起来,信息技术给某个具体组织带来的机遇表现在以下方面:
1.数据处理的集中化与自动化
组织采用计算机系统处理各种业务以后,每台计算机完成某一特定的任务,一组数据一经输入,在一定条件下,便可以被不同的用户共享。随着信息技术的发展,系统的高复杂性带来数据处理的高集中性,这一特点在当今多用户和因特网的工作环境下尤为突出。数据的集中处理不仅因为现代社会存在大量信息,经常需要对这些信息进行总体概括或分析;它在某种程度上还是计算机数据处理方式的需要,比如当今处于理论前沿的数据挖掘技术,就是从海量数据中“挖掘”出数据本身的规律及趋势,以指导实际的情况;另外通过编写代码的方式来实现系统原始数据的采集,可以使人为干预大大减少。
2.数据存储的磁性化
在计算机系统中,组织的各种资料总是以电子文件或数据库的形式予以存储,有别于以往将数据用文本进行存储,比如XML文件或记事本,现在许多计算机程序将数据存储到数据库当中,因为面对海量数据,文本形式的存取比较慢,只适合小型系统;而且单纯的文本没有相应的数据库存储机理,必须自己定义行列、浏览、存入等,利用数据库存取可以由程序自动生成。这些文件和数据库是存储数据资料的载体,而存储的介质在当前又是以磁性材料为主。硬盘则是一种采用磁介质的数据存储设备,数据存储在密封而洁净的硬盘驱动器内腔的若干个磁盘片上,硬盘内数据区是真正存储数据的地方。在技术上,同一个文件的数据并不一定完整地存放在磁盘的一个连续区域内,而往往会分成若干段,像一条链子一样存放。由于硬盘上保存着段与段之间的连接信息,操作系统利用文件分配表读取文件时,总是能够准确地找到各段的位置并正确读出。这种电子资料具有存取方便、修改与删除不留痕迹的特点。另外,对于不小心删掉的数据文件,无论是清空了回收站、物理删除还是格式化的文件,只要该硬盘区没被重新写入,就可以通过重新建立硬盘存放单元与注册文件之间的连接,找回已经删去的数据文件。
3.内部控制的程序化
组织使用计算机信息系统之后,内部控制的内涵与外延均发生了很大的变化。组织可以将各种控制方法嵌入程序之中,通过程序的运行,核对数据之间的勾稽关系,检查使用权密码,审查各种业务及数据的处理顺序等。比如,组织利用流程图软件可以实现用系统流程图代替控制的叙述性描述法。这无疑使得组织应对日益增长的业务量时,有能力很方便地去分析利用这些业务数据,从而较准确地控制和把握组织的运营是否规范,各种业务的进行是否得到授权等。信息技术改变了组织的经营方式,改变了必要的控制。在如今交互式的商业系统中,与商业伙伴进行组织之间软件和内部控制的整合一般是无缝隙的;在组织内部,经营控制也与技术控制无缝隙的结合,可以确保计算机系统和网络是可靠的和可恢复的。内部控制的程序化,保证了系统流程操作的稳定,在系统与组织内部流程的透明性方面功不可没,也更好的顺应了萨班斯法案的要求。
4.管理信息系统中的各种子系统联系密切
当前,许多组织在建立会计信息系统的同时,也相应地建立了统计、市场管理、生产管理、仓库管理、劳动人事等信息系统,这些系统有机地结合成一个整体,共同形成组织的管理信息系统 。随着计算机工作平台的不断进步,越来越多地使用网络,组织的会计系统与其他子系统的联系有增无减。而随着决策支持系统的建立,这种联系密切的特点将更为突出,组织的信息技术系统与其经营战略系统相互依赖。正因为因特网的存在,使得这种联系与依赖落到实处。通过网络和数据共享使得各种子系统结合在一起,利用一些服务如电子邮件和因特网将个人、组织内各单元以及组织间各单元联系在一起,并融合专家系统、神经网络、智能代理和其他解决问题的辅助工具来支持整个管理信息系统的持续发展。
(二)信息环境下的内部控制风险
计算机数据处理环境与手工处理环境相比发生了很大的变化,而计算机技术本身也日复一日地向前快速发展,如前所述,信息系统给组织内部控制带来的机遇虽然显而易见,但另一方面,我们应该清楚地认识到,机遇往往伴随着风险。正如AICPA在2001年发布的审计标准说明书SAS94中所指出的:组织应用信息技术开展业务活动,将对COSO内部控制框架的全部5个方面(控制环境、风险评估、控制活动、信息与沟通以及监测)产生影响。使用信息技术将会影响交易发生、记录、处理、报告的全过程,对组织内部控制的效果和效率都有潜在的好处,但也带来了以下风险:①对数据的非法访问可能会导致数据的丢失或对数据不正确的修改;②依赖处理不正确或处理的数据不正确或两者同时发生的系统、程序;③对系统、程序、主文件数据的未经授权的修改;④没有对系统、程序做出必要的修改;⑤不恰当的手工干预;⑥数据丢失;⑦对不能正确地处理数据,或是处理错误的数据,或是两种情况兼而有之的信息系统和程序的依赖。在这里,我们系统地列举出一些常见的信息环境下内部控制的风险以供读者参考,在现实作业中,利用信息系统通常会遇到以下几种风险:
1.计算机系统固有缺陷
恶劣的自然环境以及非正常操作、蓄意破坏和变化多端的病毒要么使计算机硬件遭受破坏,比如存储介质受到攻击,要么使软件系统的程序受损或者数据丢失。另外,交易的实时处理跳过了错误检查及更正的时间缓冲,错误就会影响进行中的商业活动,人们无法控制系统,而计算机系统本身又不能真正做到自我监控。对于大量依靠计算机运行来进行活动运作的组织来说,无论是哪种情形都会给组织带来巨大的损失。而这些风险在手工时代基本上是不存在的,计算机系统本身的特点造成了组织内部控制的固有缺陷。
2.系统错误的增加
手工数据处理环境下的信息是可见的,而计算机数据处理系统中的数据只有计算机才能识别;组织用计算机程序替代了手工处理,发生随机错误的风险虽然降低,但计算机按照既定的程序对相同形式交易的处理完全相同——对于一定的输入来说,如果程序是正确的,它的控制过程与处理结果总是正确的;而一旦程序本身出现问题,错误也会不断重复,程序自身并不能自我发现并纠正——系统风险也就增加了。也就是说,对测试良好的程序来说是好消息,而对有缺陷的程序来说则是坏消息。另外,计算机处理速度的加快使得处理大量数据成为可能,这样系统产生的错误也很可能放大,并掩盖更正程序。
3.数据接触未经授权
在网络环境下,会计信息系统允许在线接触电子数据文档,许多在线接触来自于远程触点,因此很可能产生非法接触。对于黑客和病毒侵袭的威胁,终端使用者的控制知识一般都比较有限,这样会产生重大的系统风险。如果没有适当的在线限制措施,就可能存在通过计算机进行未经授权的下载上传数据文档的活动,这种非法侵入、滥用和偶然破坏等缺陷,导致组织的计算机程序或文档被非正常修改或造成组织的机密信息的非法泄漏。
4.职责与知识的集中
组织环境中,计算机的运用使得诸如基础设施、软件、数据和人事职能与知识等信息系统要素非常集中,参与处理财务信息的人员大大减少,信息系统执行了许多在传统手工处理系统中相互分离的职责。组织内部各个不同部门的工作组合在一个信息技术中心,使原来被分离的职责变得集中了;信息技术人员掌握了数据的来源、数据的处理以及输出结果,这种职责与知识的集中使得内部控制风险增加了;另外,接受有限软件培训和拥有信息技术知识的人员很可能接触到有潜力的、功能强大的软件。除非合理的分离信息技术中心的关键职责并且做好信息技术人员的内部分工,否则,接触软件和关键文档的信息技术人员舞弊的可能性就很大。
5.程序与数据的集中
与传统的手工会计处理系统不同,计算机处理环境下各种职责的集中,也导致了记录组织作业的原始数据及应用程序不是分散在各个职能部门,而往往集中于同一台机器或存储在电子数据文档中,由组织的信息系统部门统一管理。这样,如果缺乏适当的控制措施,组织的程序、数据、文档被篡改、丢失而不被发现的可能性也增加了。一旦丢失这些集中起来的程序和数据,对组织的打击也是致命的。
6.组织业务轨迹的变化
在手工环境下的纸质业务轨迹较信息系统环境下的磁盘数据文件更易于检查辨认。拿会计系统来说,尽管信息技术系统较手工处理系统更方便、快捷,但诸如原始凭证、记账凭证、账簿、报表等业务轨迹,如果都有相关人员在纸质材料上的签名与记录,会比计算机数据处理与程序运行更加容易找出错漏。而且计算机硬盘存储的工作原理使得组织能够掌握数据的使用与销毁,给组织文档的可靠性与安全性带来了极大的威胁。再加上计算机本身缺乏可视的输入和输出,很难追究信息系统出现问题的相关责任人以及难于追查错误源头,使得组织的业务轨迹难于规范。