試論企業信息系統的內部控制

[摘 要]本文從價值鏈理論出發，分析了傳統企業信息系統的缺點，引出價值鏈企業中的信息鏈的構成和優勢，從信息鏈的自身特征探討基于信息鏈的角度的企業信息系統的內部控制。基于信息鏈的角度的企業信息系統的內部控制主要是針對價值鏈中各企業間流轉的信息進行操作、管理、維護、監督和控制，保證信息的可靠性、相關性、及時性、完整性和安全性，提高企業信息系統的功能，提升內部控制的作用，實現企業價值增值最大化的目標。

[關鍵詞]價值鏈管理；信息鏈；企業信息系統；內部控制

[中圖分類號]F270．7 [文獻標識碼]A [文章編號]1673-0194f2006)11－0016-03

自邁克爾·波特提出價值鏈概念以來，價值鏈管理被人們密切關注。價值鏈管理實質是一種集成的管理思想和方法，注重鏈上企業間的分工合作，把企業的人、財、物和市場等要素集成起來以使整個價值鏈的價值得到提升。價值鏈上各企業通過物流、資金流和信息流為紐帶進行聯系，信息流在價值鏈的基礎上，依靠計算機和網絡技術，把各企業獨立和分散的企業信息系統連接起來，環環相扣，形成信息鏈。價值鏈及信息鏈均是科技進步的產物，相對傳統企業而言，更有利于企業價值增值最大化目標的實現，但也存在更多的管理隱患和風險。如何在管理好企業信息系統的同時，控制好價值鏈和信息鏈，是眾多企業亟待解決的難題之一。本文試從信息鏈的角度，通過分析信息鏈的特征，探討企業如何加強基于信息鏈的角度的企業信息系統的內部控制，防范由于信息而引起的風險，使企業價值鏈能乘信息快車更好地發揮功效。

一、傳統企業信息系統的缺陷

1．信息孤島

傳統企業信息系統的應用是一個從無到有、逐步發展的過程。企業從最初的文字處理、打印報表到開發或引進信息系統處理業務工作，一般都是分散進行、逐步推進的過程，沒有考慮數據的統一標準和信息的共享，導致“信息孤島”的產生。在企業內部尚且如此，企業間的“信息孤島”現象更為普遍和嚴重。

2．源于手工方式而囿于手工方式

傳統企業信息系統基于手工系統的模擬，將手工處理方式、方法、流程下的用戶需求作為軟件開發的依據，事后記錄、處理相應的數據。此舉提高了業務處理速度和正確率，但也囿于手工方式，不能實現事前控制、事中監督的功能，也沒有將手工環境下成熟的內部控制方法、思想融入軟件功能中，在很大程度上限制了信息系統的強大功能。

二、價值鏈中現代企業信息系統的特征和優勢

1．以價值鏈為核心擴展形成信息鏈

價值鏈中各企業以價值鏈為核心分別向上下游企業擴展(如圖l所示)，在各企業中通過物流、資金流和信息流為紐帶進行聯系，構成產業鏈。其中物流和資金流均為單向鏈條。現代計算機和網絡技術下的企業信息不受時空限制，各企業間通過網絡平臺采用B／S(瀏覽器/服務務器)或C/S(客戶端/服務器)結構進行信息流的銜接和流轉，使信息不間斷傳輸和共享成為可能，所以信息流構成雙向的信息鏈，既傳遞給下游企業，也反饋給上游企業。

2．可隨時進行信息的跟蹤和處理，實現事前、事中和事后控制

信息鏈最大的特征體現為信息不間斷傳輸和共享，信息通過網絡實現實時和同步傳輸，實現物流、資金流和信息流的高度統一，企業通過對信息的跟蹤和處理，利用實時的、動態的信息對物流和資金流實現事前、事中和事后控制。

三、基于信息鏈的角度的企業信息系統的內部控制

正如前述，信息的廣泛運用有其內在優勢，但也存在更多的管理隱患和風險。基于信息鏈的角度的企業信息系統的內部控制，就要從分析信息鏈和企業信息系統的特征出發，因地制宜，量體裁衣，形成一套適于信息的控制手段、方法和制度。其內部控制主要是針對價值鏈中各企業間流轉的信息進行操作、管理、維護、監督和控制，保證信息的可靠性、相關性、及時性、完整性和安全性。

1．可靠性

信息系統環境下信息的采集、處理和傳遞過程均由計算機系統自動完成，大大減少了人工的干預，但人工操作仍起著舉足輕重的作用，而且是內部控制的薄弱環節。因此，在可靠性方面的內部控制主要從4個方面入手：一是加強對原始數據的錄入、管理工作，操作人員的技能、專業水平均需達到相關要求，同時采用雙人操作或多級審核制度等，保證初始化數據的正確性；二是要求信息系統中軟件的處理流程、算法、程序必須要正確而且完善，實際工作時能面面俱到，應對不同的業務情況，達到較高的處理能力。在信息系統的設計開發階段需要業務人員嚴格把關，同時配以先進的計算機技術，共同控制軟件的處理能力；三是在實際操作過程中嚴格的權限等級，防止信息數據張冠李戴。企業在軟件實施之前應詳細分析員工崗位的工作性質，為不同的崗位分配不同的權限，對于不相容的崗位指派不同的操作員，并以財務手冊的形式規定各崗位使用系統的功能及相應權限；四是企業間通過數據接口導入或者輸出數據，盡量減少數據的重復錄入，環環相扣。每一步操作均在嚴格繼承其歷史記錄的同時強制性增加新的操作記錄，保證信息的不可逆轉性，降低信息通過網絡傳輸和無紙化操作的自身缺陷，杜絕信息的惡意修改、刪除現象，保證信息正確可靠。

2．相關性

相關性是建立在可靠性的基礎上，只有信息是可靠的，才能談及相關性。但是并不是所有可靠的信息都與業務相關。企業自身業務的特殊性和競爭市場要求信息的保密安全，一些不相關的信息在信息鏈中的傳輸流轉會削弱企業的競爭能力，起負面作用。因此，對于信息的相關性要從信息系統軟件的數據接口上嚴格控制。企業在設計信息系統軟件時，應盡可能細化企業的需求，應對不同合作企業不同業務對信息進行分類、篩選，有的放矢，輸出數據。只有同時滿足可靠性和相關性，才對數據進行傳輸。

3．及時性

網絡的產生使信息不間斷傳輸和共享成為可能，一定程度上解決了兩權分立和信息不對稱環境下信息計量和傳輸成本高的問題。信息鏈的雙向鏈條不是指數據可以回溯或者跳躍式處理，而是指已經生成的數據信息可以實現共享，既可以向上游企業反饋，便于其查詢跟蹤，也可以提前傳輸至下游企業，便于其關注信息的現行狀態，實現事前決策控制，這就是信息技術在內部控制上體現的最為明顯的特征——及時性。信息的及時性能使經營和決策實現實時、充分和同步反映。監督過程與控制活動融為一體，內部控制由單一控制變成多層次全方位的控制系統。因為信息不間斷傳輸和共享是在網絡的前提下才成為可能，所以實現信息及時性的內部控制主要是企業對網絡設施包括硬件、軟件的配備并進行維護和更新，與網絡狀況優良的網絡運營商合作等，保證價值鏈中的信息網絡暢通無阻．信息能及時傳送。

4．完整性

傳統企業信息系統的“瓶頸”所帶來的一系列內部控制問題在信息技術條件下得到很好的解決。企業的信息系統將業務流程的每一項操作數字化，同時實現業務流程的透明化，只要數據在信息系統中傳輸，就能通過數據庫技術進行相應的查詢、統計操作。現代信息技術中的數據倉庫、數據挖掘、OLAP等技術的應用，使信息鏈中大量的實時和歷史數據能夠按需進行統計、綜合分析，得到面向各種主題的、集成的、多維的、動態的信息。實現信息的完整性，就要提高對企業或合作軟件公司的數據庫技術人員的專業技能要求，確保數據處理和存儲技術能快速、及時、正確地應需求而變，應對業務迅速反應，得到不同需求、不同目的的各種信息，實現數據不同意義上的完整。

5．安全性

凡是和計算機及網絡有關聯的數據，安全便是重中之重。對于信息鏈來說，由于信息主體的不同以及傳輸載體的公眾化，安全問題尤為重要。安全性主要從數據傳輸、存儲、使用方面考慮。傳輸過程可以采用防火墻等先進軟、硬件安全設備以及加密措施進行傳輸，確保數據傳輸的正確和完整。存儲過程的安全主要指信息可采用聯機備份、磁帶備份、異地備份等多種存儲方式，防止數據在突發事故中的損壞或丟失。使用過程中的安全最重要，主要有以下幾方面的問題：一是共享信息的維護和管理，如共享什么，如何共享，何時更新，以及如何保證該信息的安全和各共享企業應該承擔的責任(包括法律責任)和義務等；二是信息的不可否認性，即發出信息的企業不能否認其發出信息的事實和接收信息的企業不能否認其接收信息的事實；三是確保交易者身份的真實性而采用的數字簽名、數字認證和數字證書等先進數字鑒別技術。

四、與時俱進，加強基于信息鏈的角度的企業信息系統的內部控制

基于信息鏈的角度的企業信息系統的內部控制與傳統內部控制相比，其信息的特殊性賦予了內部控制的鮮明特色，信息技術的先進性在完善傳統內部控制的基礎上提升了內部控制的作用并提出新的思路，也帶來了新的問題。經濟全球化和變化的市場使價值鏈管理成為趨勢，企業內部控制也要審時度勢，與時俱進，在加強傳統內部控制的基礎上，立足信息鏈，不斷改進和完善基于信息鏈的角度的企業信息系統的內部控制，實現企業價值增值最大化的目標。

[收稿日期]2006-07-14