試論企業(yè)信息系統(tǒng)的內(nèi)部控制

[摘 要]本文從價(jià)值鏈理論出發(fā)，分析了傳統(tǒng)企業(yè)信息系統(tǒng)的缺點(diǎn)，引出價(jià)值鏈企業(yè)中的信息鏈的構(gòu)成和優(yōu)勢，從信息鏈的自身特征探討基于信息鏈的角度的企業(yè)信息系統(tǒng)的內(nèi)部控制?；谛畔㈡湹慕嵌鹊钠髽I(yè)信息系統(tǒng)的內(nèi)部控制主要是針對價(jià)值鏈中各企業(yè)間流轉(zhuǎn)的信息進(jìn)行操作、管理、維護(hù)、監(jiān)督和控制，保證信息的可靠性、相關(guān)性、及時(shí)性、完整性和安全性，提高企業(yè)信息系統(tǒng)的功能，提升內(nèi)部控制的作用，實(shí)現(xiàn)企業(yè)價(jià)值增值最大化的目標(biāo)。

[關(guān)鍵詞]價(jià)值鏈管理；信息鏈；企業(yè)信息系統(tǒng)；內(nèi)部控制

[中圖分類號]F270．7 [文獻(xiàn)標(biāo)識碼]A [文章編號]1673-0194f2006)11－0016-03

自邁克爾·波特提出價(jià)值鏈概念以來，價(jià)值鏈管理被人們密切關(guān)注。價(jià)值鏈管理實(shí)質(zhì)是一種集成的管理思想和方法，注重鏈上企業(yè)間的分工合作，把企業(yè)的人、財(cái)、物和市場等要素集成起來以使整個(gè)價(jià)值鏈的價(jià)值得到提升。價(jià)值鏈上各企業(yè)通過物流、資金流和信息流為紐帶進(jìn)行聯(lián)系，信息流在價(jià)值鏈的基礎(chǔ)上，依靠計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)，把各企業(yè)獨(dú)立和分散的企業(yè)信息系統(tǒng)連接起來，環(huán)環(huán)相扣，形成信息鏈。價(jià)值鏈及信息鏈均是科技進(jìn)步的產(chǎn)物，相對傳統(tǒng)企業(yè)而言，更有利于企業(yè)價(jià)值增值最大化目標(biāo)的實(shí)現(xiàn)，但也存在更多的管理隱患和風(fēng)險(xiǎn)。如何在管理好企業(yè)信息系統(tǒng)的同時(shí)，控制好價(jià)值鏈和信息鏈，是眾多企業(yè)亟待解決的難題之一。本文試從信息鏈的角度，通過分析信息鏈的特征，探討企業(yè)如何加強(qiáng)基于信息鏈的角度的企業(yè)信息系統(tǒng)的內(nèi)部控制，防范由于信息而引起的風(fēng)險(xiǎn)，使企業(yè)價(jià)值鏈能乘信息快車更好地發(fā)揮功效。

一、傳統(tǒng)企業(yè)信息系統(tǒng)的缺陷

1．信息孤島

傳統(tǒng)企業(yè)信息系統(tǒng)的應(yīng)用是一個(gè)從無到有、逐步發(fā)展的過程。企業(yè)從最初的文字處理、打印報(bào)表到開發(fā)或引進(jìn)信息系統(tǒng)處理業(yè)務(wù)工作，一般都是分散進(jìn)行、逐步推進(jìn)的過程，沒有考慮數(shù)據(jù)的統(tǒng)一標(biāo)準(zhǔn)和信息的共享，導(dǎo)致“信息孤島”的產(chǎn)生。在企業(yè)內(nèi)部尚且如此，企業(yè)間的“信息孤島”現(xiàn)象更為普遍和嚴(yán)重。

2．源于手工方式而囿于手工方式

傳統(tǒng)企業(yè)信息系統(tǒng)基于手工系統(tǒng)的模擬，將手工處理方式、方法、流程下的用戶需求作為軟件開發(fā)的依據(jù)，事后記錄、處理相應(yīng)的數(shù)據(jù)。此舉提高了業(yè)務(wù)處理速度和正確率，但也囿于手工方式，不能實(shí)現(xiàn)事前控制、事中監(jiān)督的功能，也沒有將手工環(huán)境下成熟的內(nèi)部控制方法、思想融入軟件功能中，在很大程度上限制了信息系統(tǒng)的強(qiáng)大功能。

二、價(jià)值鏈中現(xiàn)代企業(yè)信息系統(tǒng)的特征和優(yōu)勢

1．以價(jià)值鏈為核心擴(kuò)展形成信息鏈

價(jià)值鏈中各企業(yè)以價(jià)值鏈為核心分別向上下游企業(yè)擴(kuò)展(如圖l所示)，在各企業(yè)中通過物流、資金流和信息流為紐帶進(jìn)行聯(lián)系，構(gòu)成產(chǎn)業(yè)鏈。其中物流和資金流均為單向鏈條?，F(xiàn)代計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)下的企業(yè)信息不受時(shí)空限制，各企業(yè)間通過網(wǎng)絡(luò)平臺采用B／S(瀏覽器/服務(wù)務(wù)器)或C/S(客戶端/服務(wù)器)結(jié)構(gòu)進(jìn)行信息流的銜接和流轉(zhuǎn)，使信息不間斷傳輸和共享成為可能，所以信息流構(gòu)成雙向的信息鏈，既傳遞給下游企業(yè)，也反饋給上游企業(yè)。

2．可隨時(shí)進(jìn)行信息的跟蹤和處理，實(shí)現(xiàn)事前、事中和事后控制

信息鏈最大的特征體現(xiàn)為信息不間斷傳輸和共享，信息通過網(wǎng)絡(luò)實(shí)現(xiàn)實(shí)時(shí)和同步傳輸，實(shí)現(xiàn)物流、資金流和信息流的高度統(tǒng)一，企業(yè)通過對信息的跟蹤和處理，利用實(shí)時(shí)的、動態(tài)的信息對物流和資金流實(shí)現(xiàn)事前、事中和事后控制。

三、基于信息鏈的角度的企業(yè)信息系統(tǒng)的內(nèi)部控制

正如前述，信息的廣泛運(yùn)用有其內(nèi)在優(yōu)勢，但也存在更多的管理隱患和風(fēng)險(xiǎn)。基于信息鏈的角度的企業(yè)信息系統(tǒng)的內(nèi)部控制，就要從分析信息鏈和企業(yè)信息系統(tǒng)的特征出發(fā)，因地制宜，量體裁衣，形成一套適于信息的控制手段、方法和制度。其內(nèi)部控制主要是針對價(jià)值鏈中各企業(yè)間流轉(zhuǎn)的信息進(jìn)行操作、管理、維護(hù)、監(jiān)督和控制，保證信息的可靠性、相關(guān)性、及時(shí)性、完整性和安全性。

1．可靠性

信息系統(tǒng)環(huán)境下信息的采集、處理和傳遞過程均由計(jì)算機(jī)系統(tǒng)自動完成，大大減少了人工的干預(yù)，但人工操作仍起著舉足輕重的作用，而且是內(nèi)部控制的薄弱環(huán)節(jié)。因此，在可靠性方面的內(nèi)部控制主要從4個(gè)方面入手：一是加強(qiáng)對原始數(shù)據(jù)的錄入、管理工作，操作人員的技能、專業(yè)水平均需達(dá)到相關(guān)要求，同時(shí)采用雙人操作或多級審核制度等，保證初始化數(shù)據(jù)的正確性；二是要求信息系統(tǒng)中軟件的處理流程、算法、程序必須要正確而且完善，實(shí)際工作時(shí)能面面俱到，應(yīng)對不同的業(yè)務(wù)情況，達(dá)到較高的處理能力。在信息系統(tǒng)的設(shè)計(jì)開發(fā)階段需要業(yè)務(wù)人員嚴(yán)格把關(guān)，同時(shí)配以先進(jìn)的計(jì)算機(jī)技術(shù)，共同控制軟件的處理能力；三是在實(shí)際操作過程中嚴(yán)格的權(quán)限等級，防止信息數(shù)據(jù)張冠李戴。企業(yè)在軟件實(shí)施之前應(yīng)詳細(xì)分析員工崗位的工作性質(zhì)，為不同的崗位分配不同的權(quán)限，對于不相容的崗位指派不同的操作員，并以財(cái)務(wù)手冊的形式規(guī)定各崗位使用系統(tǒng)的功能及相應(yīng)權(quán)限；四是企業(yè)間通過數(shù)據(jù)接口導(dǎo)入或者輸出數(shù)據(jù)，盡量減少數(shù)據(jù)的重復(fù)錄入，環(huán)環(huán)相扣。每一步操作均在嚴(yán)格繼承其歷史記錄的同時(shí)強(qiáng)制性增加新的操作記錄，保證信息的不可逆轉(zhuǎn)性，降低信息通過網(wǎng)絡(luò)傳輸和無紙化操作的自身缺陷，杜絕信息的惡意修改、刪除現(xiàn)象，保證信息正確可靠。

2．相關(guān)性

相關(guān)性是建立在可靠性的基礎(chǔ)上，只有信息是可靠的，才能談及相關(guān)性。但是并不是所有可靠的信息都與業(yè)務(wù)相關(guān)。企業(yè)自身業(yè)務(wù)的特殊性和競爭市場要求信息的保密安全，一些不相關(guān)的信息在信息鏈中的傳輸流轉(zhuǎn)會削弱企業(yè)的競爭能力，起負(fù)面作用。因此，對于信息的相關(guān)性要從信息系統(tǒng)軟件的數(shù)據(jù)接口上嚴(yán)格控制。企業(yè)在設(shè)計(jì)信息系統(tǒng)軟件時(shí)，應(yīng)盡可能細(xì)化企業(yè)的需求，應(yīng)對不同合作企業(yè)不同業(yè)務(wù)對信息進(jìn)行分類、篩選，有的放矢，輸出數(shù)據(jù)。只有同時(shí)滿足可靠性和相關(guān)性，才對數(shù)據(jù)進(jìn)行傳輸。

3．及時(shí)性

網(wǎng)絡(luò)的產(chǎn)生使信息不間斷傳輸和共享成為可能，一定程度上解決了兩權(quán)分立和信息不對稱環(huán)境下信息計(jì)量和傳輸成本高的問題。信息鏈的雙向鏈條不是指數(shù)據(jù)可以回溯或者跳躍式處理，而是指已經(jīng)生成的數(shù)據(jù)信息可以實(shí)現(xiàn)共享，既可以向上游企業(yè)反饋，便于其查詢跟蹤，也可以提前傳輸至下游企業(yè)，便于其關(guān)注信息的現(xiàn)行狀態(tài)，實(shí)現(xiàn)事前決策控制，這就是信息技術(shù)在內(nèi)部控制上體現(xiàn)的最為明顯的特征——及時(shí)性。信息的及時(shí)性能使經(jīng)營和決策實(shí)現(xiàn)實(shí)時(shí)、充分和同步反映。監(jiān)督過程與控制活動融為一體，內(nèi)部控制由單一控制變成多層次全方位的控制系統(tǒng)。因?yàn)樾畔⒉婚g斷傳輸和共享是在網(wǎng)絡(luò)的前提下才成為可能，所以實(shí)現(xiàn)信息及時(shí)性的內(nèi)部控制主要是企業(yè)對網(wǎng)絡(luò)設(shè)施包括硬件、軟件的配備并進(jìn)行維護(hù)和更新，與網(wǎng)絡(luò)狀況優(yōu)良的網(wǎng)絡(luò)運(yùn)營商合作等，保證價(jià)值鏈中的信息網(wǎng)絡(luò)暢通無阻．信息能及時(shí)傳送。

4．完整性

傳統(tǒng)企業(yè)信息系統(tǒng)的“瓶頸”所帶來的一系列內(nèi)部控制問題在信息技術(shù)條件下得到很好的解決。企業(yè)的信息系統(tǒng)將業(yè)務(wù)流程的每一項(xiàng)操作數(shù)字化，同時(shí)實(shí)現(xiàn)業(yè)務(wù)流程的透明化，只要數(shù)據(jù)在信息系統(tǒng)中傳輸，就能通過數(shù)據(jù)庫技術(shù)進(jìn)行相應(yīng)的查詢、統(tǒng)計(jì)操作?，F(xiàn)代信息技術(shù)中的數(shù)據(jù)倉庫、數(shù)據(jù)挖掘、OLAP等技術(shù)的應(yīng)用，使信息鏈中大量的實(shí)時(shí)和歷史數(shù)據(jù)能夠按需進(jìn)行統(tǒng)計(jì)、綜合分析，得到面向各種主題的、集成的、多維的、動態(tài)的信息。實(shí)現(xiàn)信息的完整性，就要提高對企業(yè)或合作軟件公司的數(shù)據(jù)庫技術(shù)人員的專業(yè)技能要求，確保數(shù)據(jù)處理和存儲技術(shù)能快速、及時(shí)、正確地應(yīng)需求而變，應(yīng)對業(yè)務(wù)迅速反應(yīng)，得到不同需求、不同目的的各種信息，實(shí)現(xiàn)數(shù)據(jù)不同意義上的完整。

5．安全性

凡是和計(jì)算機(jī)及網(wǎng)絡(luò)有關(guān)聯(lián)的數(shù)據(jù)，安全便是重中之重。對于信息鏈來說，由于信息主體的不同以及傳輸載體的公眾化，安全問題尤為重要。安全性主要從數(shù)據(jù)傳輸、存儲、使用方面考慮。傳輸過程可以采用防火墻等先進(jìn)軟、硬件安全設(shè)備以及加密措施進(jìn)行傳輸，確保數(shù)據(jù)傳輸?shù)恼_和完整。存儲過程的安全主要指信息可采用聯(lián)機(jī)備份、磁帶備份、異地備份等多種存儲方式，防止數(shù)據(jù)在突發(fā)事故中的損壞或丟失。使用過程中的安全最重要，主要有以下幾方面的問題：一是共享信息的維護(hù)和管理，如共享什么，如何共享，何時(shí)更新，以及如何保證該信息的安全和各共享企業(yè)應(yīng)該承擔(dān)的責(zé)任(包括法律責(zé)任)和義務(wù)等；二是信息的不可否認(rèn)性，即發(fā)出信息的企業(yè)不能否認(rèn)其發(fā)出信息的事實(shí)和接收信息的企業(yè)不能否認(rèn)其接收信息的事實(shí)；三是確保交易者身份的真實(shí)性而采用的數(shù)字簽名、數(shù)字認(rèn)證和數(shù)字證書等先進(jìn)數(shù)字鑒別技術(shù)。

四、與時(shí)俱進(jìn)，加強(qiáng)基于信息鏈的角度的企業(yè)信息系統(tǒng)的內(nèi)部控制

基于信息鏈的角度的企業(yè)信息系統(tǒng)的內(nèi)部控制與傳統(tǒng)內(nèi)部控制相比，其信息的特殊性賦予了內(nèi)部控制的鮮明特色，信息技術(shù)的先進(jìn)性在完善傳統(tǒng)內(nèi)部控制的基礎(chǔ)上提升了內(nèi)部控制的作用并提出新的思路，也帶來了新的問題。經(jīng)濟(jì)全球化和變化的市場使價(jià)值鏈管理成為趨勢，企業(yè)內(nèi)部控制也要審時(shí)度勢，與時(shí)俱進(jìn)，在加強(qiáng)傳統(tǒng)內(nèi)部控制的基礎(chǔ)上，立足信息鏈，不斷改進(jìn)和完善基于信息鏈的角度的企業(yè)信息系統(tǒng)的內(nèi)部控制，實(shí)現(xiàn)企業(yè)價(jià)值增值最大化的目標(biāo)。

[收稿日期]2006-07-14