Cómo construir un sistema de control interno empresarial en un entorno de información
En primer lugar, la informatización empresarial desafía el control interno. El control interno es una parte importante de la gestión empresarial moderna y también es un requisito claro para la gestión estandarizada de las empresas que cotizan en bolsa por parte de los cinco ministerios y comisiones nacionales. El propósito de una empresa que establece un sistema de control interno es: (1) garantizar la eficacia y eficiencia de la producción y las operaciones (2) garantizar la confiabilidad de los informes financieros para tapar las lagunas en la gestión interna de la empresa y garantizar la autenticidad de la empresa; datos de producción y operación, y formular resultados de desempeño razonables Indicadores y bases de evaluación (3) Hacer que las empresas cumplan conscientemente con las leyes y regulaciones nacionales y locales pertinentes y prevenir el fraude interno; Según la definición del Comité COSO, una organización internacional autorizada, el control interno empresarial incluye cinco elementos: (1) El entorno de control afecta la conciencia del control interno de los empleados, de modo que se pueda implementar el control interno y se puedan lograr los objetivos estratégicos de la empresa. (2) Evaluación de riesgos En la competencia de mercado cada vez más feroz, el control interno de las empresas debe analizar y comprender los diversos riesgos que enfrentan y responder de manera oportuna. (3) Políticas y procedimientos de actividades de control para asegurar que se implementen las instrucciones de la dirección corporativa. Las actividades de control incluyen principalmente: autorización de transacciones, segregación de funciones, supervisión, registros comerciales, control de contactos y auditoría independiente. (4) Las empresas de información y comunicación deben garantizar que los empleados puedan obtener la información que necesitan en la implementación, gestión y control de las operaciones empresariales, de modo que los empleados puedan desempeñar sus funciones sin problemas. (5) Supervisar todo el proceso de control interno, ejercer la supervisión adecuada y realizar correcciones cuando sea necesario. La informatización empresarial aumenta los riesgos potenciales del control interno empresarial. En el proceso de transformación de las empresas de la gestión tradicional a la gestión de la información, las empresas modernas no sólo deben seguir la ley de gestión básica, sino también el requisito inherente de las empresas de mejorar sus capacidades de prevención de riesgos y su nivel de gestión. 2. El impacto de la informatización empresarial en el control interno 2.1 se refleja principalmente en un aspecto: la aplicación de la informatización empresarial aumenta el alcance de gestión de los tomadores de decisiones empresariales, la estructura organizativa empresarial se aplana y los procesos comerciales se optimizan y solidifican. El sistema de control debe adaptarse a esto; (1) La informatización empresarial ha cambiado la forma en que se recopila, almacena y organiza la información de gestión, y la puntualidad, precisión y autenticidad de los datos han mejorado enormemente, sentando las bases para la implementación de sistemas internos más eficaces. control (2) La informatización empresarial ha cambiado. Mejora los métodos de comunicación y procesamiento de la información de gestión, mejora la eficiencia de la gestión y la integración de la información y transforma el control interno de la empresa del control tradicional al control en tiempo real. El control en tiempo real se refleja principalmente en: (1) el objetivo del control cambia de "garantizar la seguridad e integridad de los activos" a "mejorar la eficiencia operativa y la eficacia de la empresa y lograr valor agregado" (2) el contenido del control; está controlado por "un único cambio en el capital o en los elementos contables del capital" "cambió a "control multidimensional de los sistemas y redes de la cadena de valor empresarial"; (3) el método de control se cambió de "control oportuno durante las actividades comerciales" a "control real -control de tiempo"; (4) la información de control se cambió de "control de valor monetario" a "información de control usando tiempo, cantidad física y cantidad monetaria"; (5) atributos de control, de control estático a control dinámico, de control local a control de todo el proceso de las actividades comerciales, a fin de satisfacer las necesidades de los usuarios de la información para obtener la información que necesitan en cualquier momento y en cualquier lugar.
2.2 Impacto en los cinco elementos del control interno (1) Impacto en el entorno de control La informatización empresarial ha aplanado la estructura organizativa de la empresa, ha reducido el nivel de gestión y ha elevado estándares más altos para la calidad de los directivos de la empresa. Los requisitos favorecen la comprensión integral y oportuna de las condiciones operativas de la empresa por parte de quienes toman decisiones y proporcionan una base para que la empresa tome decisiones correctas, como la estrategia, la asignación de recursos y la evaluación del desempeño. (2) Impacto en la evaluación de riesgos La informatización empresarial estandariza y solidifica los procesos comerciales y el control del sistema reduce el riesgo de negligencia o fraude del personal; al mismo tiempo, el almacenamiento de información está altamente concentrado y el riesgo de fallas, fallas y robo de datos del sistema; aumenta. Es necesario establecer un buen mecanismo de gobernanza de TI para prevenir desastres y reducir las pérdidas cuando ocurren. (3) Impacto en las actividades de control ① Las actividades de control se establecen de acuerdo con el control del nodo del proceso comercial de la empresa. El objeto de control comercial es el proceso de producción y operación de la empresa, y el sistema de información completa automáticamente el control comercial; La autorización la completa el sistema de información, pero la autorización El proceso no es obvio y las fallas de control a menudo se descubren solo después de que ha ocurrido la pérdida. Preste atención y verifique la exactitud e integridad de la autorización del sistema; ③ La separación de responsabilidades comerciales, la supervisión y la auditoría independiente siguen siendo medidas de control importantes, y el sistema de información debe establecer un flujo de trabajo de aprobación estandarizado ④ En el entorno de información, los registros comerciales no lo son; firmas escritas, códigos, referencias cruzadas, etc. , pero la eficacia de los medios técnicos, como las contraseñas de inicio de sesión y los registros de operaciones, se ve afectada por la corrección, integridad y seguridad del sistema de información. ⑤ En el entorno de la información, debido al acceso remoto a la red, se deben utilizar firewalls y permisos del operador; Se utilizan medios y medidas de gestión, como políticas de seguridad de configuración y contraseñas de inicio de sesión, auditorías de sistemas de información, etc., para lograr el control de acceso a los activos de información.
(4) Impacto en la información y las comunicaciones La informatización empresarial es beneficiosa para el control interno de la información y las comunicaciones. Con un sistema de información empresarial completo, los empleados pueden obtener mejor la información que necesitan y desempeñar sin problemas sus funciones en el proceso de implementación, gestión y control de las operaciones comerciales de la empresa. Por supuesto, también debemos tener cuidado con la sobrecarga de información y el fraude que dependen de capacidades de procesamiento de información de alta velocidad. (5) Impacto en la supervisión Con la ayuda de sistemas de información, se puede lograr una supervisión en tiempo real, mejorando así la eficacia y eficiencia de la supervisión. La supervisión del desarrollo, implementación y mantenimiento de sistemas de información debe ser el foco de la supervisión. Las empresas deben utilizar prácticas de CSA para evaluar el sistema de control interno de forma regular o irregular para evaluar su eficacia y eficiencia de ejecución, a fin de lograr mejor los objetivos del control interno. tres. Contramedidas para fortalecer el control interno 3.1 Establecer un sistema de control interno que se adapte a la construcción de información. La informatización empresarial debe obedecer a la estrategia general de desarrollo de la empresa, formular una estrategia de informatización que esté integrada con la estrategia de desarrollo de la empresa desde la perspectiva del gobierno corporativo y reducir los riesgos de la informatización empresarial desde la perspectiva de la inversión estratégica y la reforma de la gestión empresarial. Ayudar a la gestión corporativa a establecer una estrategia de información orientada por la estrategia corporativa, basada en el entorno externo y centrada en la integración de los negocios y la informatización, e integrar los recursos de información de acuerdo con las diferentes necesidades de desarrollo empresarial, formular e implementar estrategias de informatización y promover. desarrollo empresarial. 3.2 Fortalecer el control y la auditoría de los sistemas de información En el entorno de la información empresarial, el control efectivo de los sistemas de información es el requisito previo y la garantía para que las empresas lleven a cabo actividades normales de producción y operación. La organización de auditoría interna es uno de los actores más importantes del control del sistema de información. Durante el desarrollo, implementación, mantenimiento y operación de sistemas de información, se debe realizar una estricta revisión y supervisión independiente para garantizar la corrección, integridad y seguridad del sistema de información. La auditoría de sistemas de información incluye principalmente los siguientes aspectos: (1) Evaluar las estrategias, políticas, estándares, procedimientos y prácticas relacionadas de la gestión, planificación y organización de sistemas de información. (2) Evaluar la eficacia y eficiencia de la empresa en la gestión e implementación de la infraestructura de tecnología de sistemas de información y las prácticas operativas para garantizar que respalden plenamente los objetivos operativos de la empresa. (3) Evaluar la seguridad de la lógica, el entorno y la infraestructura de tecnología de la información para garantizar que puedan satisfacer las necesidades de la empresa de proteger los activos de información y evitar que los activos de información se utilicen, divulguen, modifiquen, dañen o pierdan sin autorización. (4) Evaluar los planes de recuperación ante desastres y continuidad del negocio para garantizar que la empresa pueda continuar manejando el negocio en caso de un desastre. (5) Evaluar los métodos y procesos utilizados en el desarrollo, adquisición, implementación y mantenimiento de sistemas de aplicaciones para garantizar que cumplan con los objetivos comerciales de la empresa. (6) Evaluar los sistemas y procesos comerciales para garantizar que se gestionen los riesgos apropiados de acuerdo con los objetivos comerciales de la empresa. 3.3 Implementación de la optimización y solidificación de los procesos comerciales Los sistemas de información empresarial contienen ideas de gestión avanzadas, pero sus procesos comerciales aún permanecen en un entorno manual, lo que inevitablemente conducirá a conflictos entre el sistema de información y los procesos comerciales, lo que hará que la gestión de producción y operaciones de la empresa sea ineficiente. , y formará eslabones débiles y muchos problemas en el control interno. Por lo tanto, en el proceso de informatización empresarial, la optimización y solidificación de los procesos comerciales es de gran importancia. 3.4 Fortalecer la gestión de recursos humanos empresariales La gestión empresarial debe estar orientada a las personas. La gestión de recursos humanos es una actividad de gestión que asigna y desarrolla racionalmente los recursos humanos empresariales para lograr los objetivos empresariales. En el entorno de la información, un aspecto importante para que las empresas fortalezcan el control interno es fortalecer la gestión de recursos humanos. Para el control interno, el objetivo de la gestión de recursos humanos es principalmente asegurar y mejorar la calidad y conducta de los empleados. El entorno de la información plantea mayores requisitos para la calidad de los empleados. Estos no sólo deben estar familiarizados con el negocio, sino también dominar el funcionamiento del sistema de software. Las empresas deben limitar el comportamiento de los empleados a través de un completo sistema de control interno, establecer un buen mecanismo de evaluación e incentivos del desempeño y evitar la pérdida de talento y los correspondientes recursos de información de los importantes recursos de información de la empresa. 3.5 Destaca que la realización de la eficiencia de la gestión empresarial depende de la estandarización de los procesos de gestión, la fluidez de los procesos comerciales y la carga y publicación oportuna y precisa de información. El control interno empresarial, ISO9001, TQM y otros sistemas de gestión enfatizan el control de procesos y todo se basa en datos. Uno de los objetivos de la construcción de información empresarial es proporcionar a los gerentes datos de gestión oportunos, precisos y completos. El establecimiento de un sistema de control interno de una empresa es la base para estandarizar la gestión y garantizar el funcionamiento eficaz del sistema de información de la empresa. El sistema de información es la clave para mejorar la eficiencia del trabajo, garantizar información de gestión oportuna y precisa, una evaluación cuantitativa justa y objetiva y. implementar verdaderamente el sistema. Por lo tanto, ya sea que se trate de control interno o de una aplicación de información empresarial, la ejecución eficaz es la clave.