内部控制信息系统建立(精选8篇)
摘要:推进审计信息化建设是信息化环境下提升内部审计工作效率的必然选择。设计、执行和维护有效的内部控制,并评价其有效性是公司董事会等高级管理层的责任。文章以企业内部审计信息化、内部控制自我评价和报告工作为背景,阐述内部控制审计与内部控制、内部控制审计与信息系统审计的区别与联系,并结合作者所在单位在内部控制审计信息化建设中的实践经验,提出建立信息技术内部控制审计体系的建议。
关键词:信息技术;内部控制;内部控制审计;信息系统审计
一、背景
信息技术的快速发展及广泛使用,在促进企业经济效益增长和技术进步的同时,也给企业和广大投资者带来了更大的风险,安然、世通、施乐等公司重大财务舞弊案件的曝光,使得内部控制审计越来越多地受到国内外学者和内部控制审计工作者的重视。虽然自1991年开始,美国反舞弊性财务报告委员会发起组织(简单COSO委员会)就进行了关于内部控制的研究,但直到2002年,由参议院银行委员会主席萨班斯和众议院金融服务委员会主席奥克斯利联合提出的以“遵守证券法律以提高公司披露的准确性和可靠性,从而保护投资者及其他目的”为宗旨的《萨班斯-奥克斯利法案》的出台才推动了内部控制审计工作的发展,SOX法案中指出“公司管理层要对本企业的内部控制进行评价,注册会计师要对被审计单位内部控制的有效性进行审计并发表意见。”SOX法案的颁布与实施在一定程度上提高了大股东及广大中小投资者的信心,与此同时,欧盟、英国等国家也对各自的资本市场监管法规进行了修订。在国内,1999年修订的《会计法》第一次从立法的角度对企业建立内部控制进行了要求。随后,为了提高会计信息质量、保护资产的安全完整、确保有关法律法规和规章制度的贯彻执行等,财政部规定从2001年6月起所有公司均应建立健全和有效实施本单位的内部会计控制体系,并制定了《内部会计控制规范》基本规范及货币资金等7项内部会计控制规范。2006年在全球内部控制审计大热潮的推动下,由财政部等5部委联合发起成立的“企业内部控制标准委员会”先后出台了《企业内部控制基本规范》、《企业内部控制配套指引》等文件,上海和深圳证券交易所也分别颁布了《上市公司内部控制指引》,根据相关文件和制度要求,上市公司要对本企业的内部控制进行评价,形成的内部控制自我评价报告与公司财务报表一同对外披露。同时,要求自2011年1月1日起我国境内外同时上市的公司开始实施企业内部控制审计指引,2012年1月1日起施行范围扩大至沪深交易所的主板上市公司。由此可见,在理论与实务方面,美欧等国家要早于我国,对我国企业内部控制审计的实践具有一定的指导借鉴作用,但由于国内企业大多对内部控制审计认识不到位,因而在实务中仍存在很多问题,如内部控制审计机构不独立、审计人员专业胜任能力不足等。同时,伴随信息技术在企业各领域的广泛使用,“触手可见”的审计资料越来越少,因此,如何利用信息技术开展内部控制审计工作意义重大。
本文以企业内部控制审计管理工作实践为视角,对笔者所在企业在利用信息技术建立内部控制审计体系中的做法和困难进行分析,并对如何更好的建立信息技术内部控制审计体系提出建议。
二、内部控制审计及相关理论辨析
(一)内部控制审计与内部控制的涵义与区别
对于内部控制的涵义,1949年美国会计师协会(AICPA)曾将其界定为“企业为保护资产完整、会计信息准确、提高经营效率及制度执行而制定的方法与措施”。1992年COSO委员会在《内部控制-整体框架》(Internal Control-Integrated Framework)中指出“内部控制是指由企业董事会、经理层和员工设计并执行,旨为特定目标实现提供合理保证的过程。目标具体包括财务报告真实可靠、企业合法合规经营、经营的效率和效果。”综上,内部控制是企业自我监督的重要手段,是企业各个业务流程的操作规范,目的在于提高经营管理水平。
内部控制审计是对内部控制的再控制,是评价、监督被审计单位内部控制设计及执行有效性的过程,实践中又分为注册会计师视角下的内部控制审计和企业内部管理视角下的内部控制审计。其中,注册会计师视角下的内部控制审计是指注册会计师接受被审计单位董事会委托对被审计单位内部控制的设计与运行有效性进行审计并发表审计意见的过程,目前我国的上市公司均需按照《企业内部控制审计指引》的要求聘请注册会计师进行内部控制审计;基于企业内部管理视角下的内部控制审计,其实质是属于企业的一种自我评价活动,由企业内部人员(内部审计人员及业务流程负责人)进行的自我测试、审计,目的在于发现并整改内控执行缺陷,促进公司内部管控水平提升。
可见,内部控制与内部控制审计两者在职能和目标上是不同的。
(二)内部控制审计与信息系统审计
根据国际信息系统审计与控制协会(ISACA)的定义,信息系统审计是“搜集并评价审计证据的过程,以判断信息系统是否能够有效保证资产安全、数据完整及高效地使用组织资源实现被审计单位的目标。”从ISACA对信息系统审计内容的规定来看,信息系统审计包括信息系统建设生命周期管理、信息资产保护、灾难恢复计划等;从信息系统审计工作实践上来看,信息系统审计包括信息安全审计、软硬件管理审计等。而在传统内部控制审计工作中,审计人员一方面需要对信息系统进行一般控制审计与应用控制审计,以判断支持企业日常工作的信息系统是否安全并得到有效控制,另一方面还需要运用计算机辅助审计技术,以高效地分析、处理和验证从各个系统中获取的数据。
可见,虽然两者均属于审计,但是属于两种不同类型的工作。
三、构建信息技术内部控制审计体系的探索与实践
伴随着公司信息化进程的不断发展,信息系统遍布公司的各个业务流程,为了促进公司提高内部控制管理水平,公司管理层十分重视对各业务领域的审计项目开展。在此背景下,公司利用信息技术进行内部控制审计的工作得到极大的支持,并形成了以“内部控制审计系统”为中心的信息技术内部控制审计体系,具体内容包括内部控制审计系统、持续审计系统及计算机辅助审计。
(一)构建实时的全过程内部控制审计监督体系,发挥内部审计免疫系统功能
1.内部控制审计系统的开发背景
作为境外上市公司,相对于国内其它公司而言,公司较早的执行了COSO内部控制基本规范,为了确保公司内部控制的设计有效,公司对各领域进行了流程划分及流程控制点细分,并按照国家法律法规、公司业务规范等要求对各控制点的操作流程等进行描述,经过不断修订形成了较为完善的内部控制矩阵,该矩阵的构建为公司内部控制审计系统的建设提供了基础。然而,完善的内部控制制度体系离不开公司上下的一贯执行,由于公司业务繁多,如何实时的对内部控制的执行有效性进行评价成了难点。因此,公司以控制点为单元,按照各控制点的发生频率及涉及单位下发样本采集工单,通过将内部控制矩阵固化到系统中的方式来实现对各控制点执行的有效性进行准时实时监督的目的。
2.利用内部控制审计系统开展内部控制测试的工作程序及方法
与外部审计人员开展内部控制测试类似,利用内部控制审计系统开展内部控制测试工作也需要先对控制点描述的准确性进行检验,即通过查阅资料、访谈等审计手段确认当前的内部控制程序是否能够对重大差错、风险的发生起到防范作用,并且是否与当前的实际情况相符;并在内部控制设计有效性得到认可的情况下,通过进行穿行测试等来判断某一业务是否按照内部控制要求的程序得到一贯的执行,也可通过审阅已完成业务的过程记录、函证、观察、访谈等方式确定内部控制是否执行有效。
3.内部控制审计系统运行中的难点及成效
在利用内部控制审计系统开展内控测试的过程中,可根据审计目的的不同划分为对关键控制点的测试和对所有控制点的全面测试。但无论哪种测试,都需要测试人员及控制点责任人员配合完成,配合的效果直接影响测试结论的准确性。另一方面,由于系统中测试样本提供的人为性、随意性,在对某一控制点的缺陷认定方面存在一些困难。尽管如此,内部控制审计系统不但满足了审计人员开展非现场审计及审计资料共享的要求,也通过系统交办、承办、反馈等环节,实现了部门间对内部控制有效执行的整体推进,同时,内部控制审计系统的测试结论也为公司内部控制自我评价提供重要依据。
(二)推动审计部门与其他部门间信息交换,实现持续审计监督服务
1.持续审计系统的产生
根据管理层的关注重点及业务部门的审计需求开展各类审计工作是公司内部审计机构的职责,但针对某一高风险领域如何进行持续的审计监督,成为审计实践中亟待解决的问题。此外,为了研究审计发现问题产生的原因及更有效的发现问题,需要对大量的原始数据进行调取,数据分析与建模也被更多地应用于审计程序中。经过对实践工作进行总结,公司通过将数据获取、数据分析、审计发现及报告等系统化,实现了对某些领域的持续审计系统监督。
2.信息系统持续审计中的难点及成效
由于利用信息技术开展持续审计工作可实现对审计发现问题及审计报告的自动生成功能,因此,内部审计机构的工作重点更多的是利用审计报告结果发现问题突出的单位并向管理层报告,同时,持续的与业务部门就审计发现问题进行沟通确认也成了工作难点。但信息技术的融入对内部审计工作效率的提高及非现场审计目标的实现起到了极大的促进作用。
(三)运用计算机审计工具,有效提升审计效率
同国内大多数企业一样,公司在利用计算机执行和完成某些审计程序和任务的过程中,并未利用专门的辅助审计软件进行项目审计,主要是在审计业务中利用电子表格、数据库及字处理软件等帮助审计人员计算、复算、复核、分析审计数据,以节约审计时间、增加准确性。这也是公司在各项目开展中使用最为广泛的审计手段之一。
四、建立信息技术内部控制审计体系的建议
(一)做好内部控制审计信息化建设的整体布局,提高系统的开放性和可拓展性
内部控制审计信息化建设是公司信息化发展的重要组成部分,认真做好审计信息化建设的规划及组织实施可避免信息化建设发展不均衡、低水平重复建设等诸多问题。此外,由于多数公司信息系统的数据口径各不相同,增强电子数据的通用性和规范性,建立与之相适应的数据采集转换接口,对提高系统的适用性意义重大。
(二)建立内部控制审计信息化标准,提高利用信息技术进行内部控制审计工作的规范性
内部控制审计信息化在促进内部控制行为规范的同时,也须对内部控制审计系统的设计与开发、运行与维护、审计程序及审计证据的搜集与使用、审计人员应具备的资格等方面做出明确规定,并在建设和实践的相互作用中,不断完善信息化技术内部控制审计理论。
(三)拓宽信息化人才培养渠道,提高内部审计人员整体信息化素质
其一,引入一些既熟悉信息技术又精通审计的复合型人才到内部审计队伍中,补充信息化审计人才缺口。其二,有针对性地开展各种业务培训,促进现有内部审计人员更好地掌握信息化环境下的现代审计技术和方法。其三,加强部门间横向交流,特别是与信息专业人才的交流,通过实践锻炼、借调、交流,不断提升内部审计人员的计算机审计开发与运用水平。
参考文献:
一、信息系统审计的概念
信息系统审计 (IS audit) 目前还没有公认的通用定义, 国际信息系统审计委员会 (ISACA) 将其定义为“为了信息系统的安全、可靠与有效, 由独立于审计对象的信息系统审计师, 以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价, 向信息系统审计对象的最高领导层, 提出问题与建议的一连串的活动”。国际信息系统审计领域的权威专家Ron Weber将它定义为“收集并评估证据, 以判断一个计算机系统 (信息系统) 是否有效做到保护资产、维护数据完整、完成组织目标, 同时最经济地使用资源”。具体而言, 信息系统审计就是以被审计单位的信息系统为审计对象, 通过现代审计理论和信息技术 (IT) 管理理论, 从信息资产的安全性、数据的完整性以及系统的可靠性、有效性和效率性等多方面出发, 对信息系统从研发、运行到维护的整个生命周期的各个阶段进行审查, 从而评价该信息系统能否满足企业研发之初提出的需求, 是否有效地达到了企业的战略目标, 并从信息系统审计师的专业角度为改善和健全企业信息系统的控制提出建议的过程。
二、基于信息系统审计的功能分析
(一) 确保IT能够遵循并支撑企业的战略目标
《内部审计具体准则第28号——信息系统审计》中指出, 审计人员在识别、评估组织层面、一般性控制层面的信息技术风险时需要关注业务关注度, 即组织的信息技术战略与组织整体发展战略规划的契合度以及信息技术 (包括硬件及软件环境) 对业务和用户需求的支持度。其实本质上来说, 信息系统审计主要是审计企业信息化对企业整体战略的支持程度、IT战略和企业总体战略的匹配程度、对其业务发展的支持程度、对企业内部组织流程和业务流程所产生的影响以及能否促进其业务系统效率的提高等。因此, 可以通过信息系统审计发现并纠正企业信息化过程中存在的问题, 以确保组织信息系统的发展始终沿着正确的方向进行, 保持IT与业务目标一致, 最终借助IT推进企业总体战略目标的实现。从这个层面上看, 信息系统审计与企业内部控制可谓是殊途同归, 都是为了更好地实现组织的战略目标。通过实施信息系统审计发现内部控制是否有效, 是否真正服务于企业总体目标的实现。
(二) 借鉴公认的模型标准更全面有效地管控企业的整个运营过程
当前国际上关于信息系统审计的模型虽然还没有一个比较通用的标准, 但各种不同的信息化评估模型都采用了COBIT、ITIL (BS15000/ISO20000) 、ISO/IEC17799、IT项目管理、信息系统工程监理以及平衡记分卡等工具模型的精髓。因此, 其评估模型的周衍性、权威性和合理性都得到了保证。其中, COBIT模型目前已成为国际上公认的IT管理与控制标准, 并且已升级到COBIT5.0。COBIT覆盖整个信息系统的全部生命周期, 其范围最大。仔细研究COBIT中各项具体内容, 不难发现, 其本身就是企业信息化过程对内部控制的要求及如何评价这个要求的实现 (也就是实际意义上的对信息化下内部控制的审计) ;ISO/IEC17799标准则侧重于IT应用过程的信息安全;ITIL标准主要运用在信息系统的运营维护阶段;信息工程监理则是最具有中国特色的标准, 其标准偏重于信息化建设阶段。它能够通过专业的、全过程的监督和管理来规范企业信息化工程的建设, 达到增强企业对信息化工程建设内部控制的目的。因此, 可以将几种标准整合起来实施, 从而达到提升企业IT内部控制能力的目的。
(三) 通过对企业信息系统审计规避其内部存在的风险
企业提升自身的内部控制能力, 就是要对风险进行更有效地控制。信息系统审计是风险导向的审计, 能够对信息系统的应用状况和综合绩效状况进行全面的评估。因此, 信息系统审计所包含的内容要大于信息系统治理所涵盖的内容。
由于信息系统审计的范畴相当广泛, 包括信息安全、数据中心运营、技术支持服务、灾难恢复与业务持续、绩效与容量、基础设施、硬件管理、软件管理、数据库管理、系统开发、变更管理、问题管理等, 随着信息技术的不断发展, 其审计的外延还将不断扩展。如果只是想借助信息系统审计促进企业内部控制水平的提升, 就应该加强其有关信息化风险控制方面的指标, 适当弱化和删除其他方面的指标, 以此达到应用的目的。
三、促进信息系统审计服务于内部控制的建议
(一) 建立中国特色的信息系统审计准则体系
由于信息系统审计在中国起步比较晚, 至今还没有一套符合中国信息化建设现状的信息系统审计体系。在开展信息系统审计时, 审计人员一般是应用国外的审计准侧和指南, 并结合自己的审计经验。这在一定程度上增加了审计的难度, 不利于信息系统审计在中国的推广应用。因此, 建立中国特色的信息系统审计准侧体系迫在眉睫。这一体系的建立一方面应当满足我国信息系统审计的实际需求, 另一方面应该尽可能地与国际上已有的成文准侧、习惯做法、专业术语等保持一致, 与国际惯例接轨。可采用三个层次体系结构, 以基本准则为核心, 统领具体准则和执业指南, 以便于整个体系的不断扩展与完善。为提高信息系统审计在内部控制建立健全方面的应用价值, 具体准则在基本准则的指导下, 可以纳入企业信息系统内部控制评价的准侧, 如对操作范围的控制、人员权限控制、合法性控制、校验控制及预防出错控制系统, 进行符合性测试与评价。
(二) 企业内部控制建立初期引入信息系统审计
当企业的许多内部控制机制经程序化、数字化、虚拟化以后, 内部控制与信息系统成为一个相互融合的整体, 这是企业内部控制面临的新问题。我国《企业内部控制应用指引第18号——信息系统》中阐述:“信息系统, 是指企业利用计算机和通信技术, 对内部控制进行集成、转化和提升形成的信息化管理平台。”该定义准确地描述了信息系统与内部控制的关系。内部控制建设问题更多地转变成信息系统建设问题, 对内部控制的审计也更多地转变成对信息系统的审计。因此, 为了保证企业内部控制建立的有效性, 信息系统审计师应该在内部控制建立初期就参与其中, 从信息系统的角度为企业内部控制的建设出谋献策, 将业务风险从源头上加以控制, 确保信息系统控制与业务风险控制协调一致, 使企业的内部控制真正符合成本效益原则。
(三) 加快信息系统审计人才培养
信息系统审计要为企业内部控制增值, 实现这一目标的前提是信息系统审计工作的开展必须是合理高效的, 而配备一支专业素质高的信息系统审计队伍又是确保信息系统审计有效开展的关键。信息系统审计的对象具有综合性、复杂性, 包含了除财务信息以外的其他与生产经营有关的所有信息系统, 因此, 信息系统审计师必需具备复合型知识结构。一方面, 信息系统审计师需要掌握会计、审计、公司治理等财经知识, 以便了解组织运营的特征模式, 从审计角度看待内部控制的成效, 识别企业运营中的风险点;另一方面, 信息系统审计师也需要具备信息系统开发、计算机网络、数据库原理与应用等计算机科学技术的相关知识, 以评估企业信息系统的运营管理与内部控制的符合度, 评价信息技术基础架构对组织目标的支持度。
四、结语
信息技术的发展, 正在改变着传统的内部控制, 增强了信息系统审计与企业内部控制的联系。一方面, 信息系统审计的实施依赖于企业内部控制。一般来说, 信息系统审计是以内部控制为基础展开的, 对企业内部控制全面了解, 确定控制关键点及其风险水平是有效进行信息系统审计的前提。另一方面, 信息系统审计能为企业内部控制的建立和完善提供宝贵意见。信息系统审计过程中包涵了对企业内部控制的测试、评价以及提供改进建议。
参考文献
[1]财政部, 证监会, 审计署.企业内部控制基本规范[S].2008.
2008年5月财政部、证监会、审计署、银监会、保监会等五部委联合发布的《企业内部控制基本规范》和2010年4月发布的《企业内部控制应用指引》等18项应用指引、《企业内部控制评价指引》和《企业内部控制审计指引》。指引鼓励非上市企业中小企业执行。
内部控制是企业管理系统的重要组成部分,是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。
建立健全有效的内部控制是企事业单位健康发展的前提。内部控制能够发挥识别并降低企业内部和外部风险,合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。
内部控制的定义
内部控制是指企业为了保证业务活动的有效进行和资产的安全完整,防止、发现和纠正错误与舞弊,保证会计资料的真实、合法、完整而制定和实施的政策、措施和程序。
《企业内部控制基本规范》将企业内部控制分为控制环境、风险评估、控制活动、信息与沟通和监督五要素。内部控制主要有内部会计控制、内部管理控制、内部审计控制三种
内部控制的主要作用
(一)保证国家的方针、政策和法规在企业内部的贯彻实施。健全完善的内部控制。通过对企业内部的任何部门、任何流转环节进行有效的监督和控制,对所发生的各类问题,都能及时反映,及时纠正,从而有利于保证国家方针政策和法规得到有效的执行。
(二)保证会计信息的真实性和准确性。健全的内部控制,可以保证会计信息的采集、归类、记录和汇总过程,从而真实的反映企业的生产经营活动的实际情况,并及时发现和纠正各种错弊.从而保证会计信息的真实性和准确性。
(三)有效的防范企业经营风险。在企业的生产经营活动中,企业要达到生存发展的目标.就必须对各类风险进行有效的预防和控制,内部控制作为企业管理的中枢环节.是防范企业风险最为行之有效的一种手段。
(四)维护财产和资源的安全完整。健全完善的内部控制能够科学有效的监督和制约财产物资的采购、计量、验收等各个环节.从而确保财产物资的安全完整,并能有效的纠正各种损失浪费现象的发生。
(五)促进企业的有效经营。健全有效的内部控制,可以利用会计、统计、业务等各部门的制度规划及有关报告,把企业的生产、营销、财务等各部门及其工作结合在一起,从而是各部门密切配合,充分发挥整体的作用,以顺利达到企业的经营目标。
当前我国内部控制的现状
(一)对内部控制规范理解不深刻,执行不得力
当前,我国很大一部分企业(特别是中小企业)经营管理者不了解内部控制的真正内涵,轻视内部控制,没有充分意识到内部控制的重要性,对内部控制存在许多误区,使得企业的内部控制没有成为管理的内在需求,即使已建立了相关的内部控制制度,也只是“印在纸上、挂在墙上”,以应付有关部门的检查、审计,而不管内部控制制度执行情况如何,这也是内部控制流于形式的症结。
(二)内部控制环境弱化,控制体系不完善
内部控制关系到一个企业的认识管理、生产管理、财务管理、购销业务管理、重大投资和资产处理等各个部门的管理,因此,它的体系应该是科学而严密的,但许多企业是各部门控制各成一块,互不衔接。很多小型企业,其内部牵制机制尚未建立,更别谈内部控制的履行。
(三)会计信息失真有一些企业特别是中小企业由于会计工作秩序混乱,会计处理缺乏一贯性、完整性,核算不实而造成的信息失真现象较为严重。
(四)风险控制非常薄弱、重大投资环节上的失控
购置固定资产和对外投资是企业的重大经济活动,按规定应事先召集有关会议,征求多方面意见,进行市场预测,论证方案的可行性,选择最佳方案。一些企业只凭一把手主观臆断,在整个投资过程的决策工程排除其它的参与和监督,轻视会计控制的作用,导致投资亏损直至倒闭。
以上内部控制存在的问题,使我们深刻认识到,企业的长期健康有序生产和发展,离不开企业内部控制的制定与实施,内部控制贯穿于企业经营活动的整个过程和各个方面,只要存在企业经济活动和经营管理,就需要有相应的内部控制。
建立内部控制系统的指导原则
通过对我国企业内部控制所存在问题的分析,我们认识到内部控制是一套完整的体系,是一项与实践联系相当紧密的管理手段。因此,在建立健全内部控制时,既不能闭门造车,也不能生搬硬套,从分析自身的控制环境开始,真正建立一套符合企业发展实际的内部控制制度。
(一)以法律法规和准则规范为指导
按照《企业内部控制基本规范》,结合企业自身特点和财务管理的要求进行设计建立企业的内控体系。
(二)建立健全内控框架
企业要有一个健全有效的内控框架,从控制环境入手,建立符合现代企业制度的组织结构,加强董事会的职能及其独立性;提高管理者素质,面对经济市场的竞争,根据市场规律作出决策而不是行政手段;鼓励塑造企业文化,加强管理者和员工激励,明晰权责。
(三)加强风险评估
建立内部控制体系,企业应加强风险评估和风险管理,随着经济的发展,经济环境的变化,企业的经营风险逐步增大并更具有不确定性,如资产风险、信息系统风险、兼并重组风险等,要加强董事会各专业委员会的作用,及早进行风险评价,确定风险领域,防患于未然。
(四)成本效益原则
即在实行内部控制时,花费的成本要低于由此产生的收益,力争以最小的控制成本取得最大的经济效益。
(五)建立内部控制制度评价体系
对企业来说,建立健全内部控制制度是一个渐进的过程,必须建立其内部控制评价体系,根据情况的变化和出现的问题对相应的内部控制制度作出及时修正或建立新的内部控制制度,只有不断进行内部控制自我评价和改进,才能建立起行之有效的内部控制体系。
完善内部控制应解决的问题
内部控制是现代企业管理的重要组成部分,它参透于企业经营管理活动的各个方面,是衡量现代企业管理的重要标志,通过实践得出的结论是:得控则强、失控则弱、无控则乱。目前我国企业内部控制较为薄弱,主要原因是内控制度不完善、外部监督乏力等。因此必须加强企业内部控制,采取一些有效的措施解决问题。
(一)强化企业内部控制,必须以提高企业负责人的思想意识,净化控制环境为前提。否则将会导致上梁不正下梁歪,造成规章和行为不一致,使得内部控制变成一言堂。事实说明,目前很多企业并不是没有内部控制,而是因为没有得到很好的执行,其中最重要的原因是企业负责人理解不够,没有带头执行,甚至破坏已定的内控制度,导致内控制度形同虚设。
(二)按照《企业内部控制基本规范》,建立完善的企业治理机构,就是建立所有权、决策权、经营权三权既相互分离,又相互制衡的机制,解决内部人控制和监督不到位的问题,经营者在董事会授权的范围内决策管理,并受到严格的监督与制约,一事一物都循轨运行,从而保证包括内部会计控制在内的企业管理制度得以有效实施。
(三)建立一个有效的会计系统,并保持对相关资产与负债的受托责任而建立的方法和记录。实施会计控制是内部控制制度的关键。
(四)内部控制的建立应保持相对的连续性和一致性,要根据变化了解情况不断进行调整,使内部控制与企业经营变化相适应。一项制度的本质特征是要求人适应制度,而不是制度适应人,不能随着人员的变化而变化,更不能朝令夕改,应保持值得的连续性,让制度规范管理行为。
(五)加强企业风险管理意识,建立配套的风险管理制度,最大限度的规避企业的风险(包括决策风险、经营风险、生产风险、财务风险、其他风险等)
结语
随着全球经济一体化进程的加快,企业面临的各种风险不断增多,建立内部控制体系,加强风险和危机管理,保障企业健康,可持续发展逐步成为企业普遍关注的焦点。
企业的生存和发展已离不开内部控制。内部控制已成为企业很重要的工作。因此,建立科学、合理、适用的企业内部控制制度是现代企业必须解决的一大问题。内部控制的好坏关系到一个企业的生死存亡,而内部控制能否给企业增加价值,能否在企业经营管理过程中发挥作用,则首先取决于内部控制的设计是否科学,是否符合企业的需要。
通过内部控制机制的有效运作,可以进行全面的风险评估,正确认识自身的优势与劣势、长处与短处,经过辨别、管理和控制的过程,就能扬长避短,在市场经济大潮中,稳立船头,撑击风浪。
(作者单位:南方黑芝麻食品集团股份有限公司)
提到 企业 信息管理系统(Information Management System for Enterprise—EMS),人们就会想到企业资源计划(ERP),客户关系管理(CRM),供应链管理(SCM),产品寿命周期管理(PLM),制造执行系统(MES),产品数据管理(PDM)等管理概念、理论 和 方法 ,以及各种各样品牌的 应用 解决方案与信息管理系统,如用友ERP、海艾迪C—EMS和M—EMS及SAP信息管理系统等等。我们同时也会想到这些信息系统会减少库存占用,降低成本,加快新品上市时间获得更多收益,整合企业业务流程,提高企业运营效率等等,但对信息管理系统能够有效地加强企业的知识管理(KM),减少对企业员工个人知识的过分依赖性等方面的作用却并不很清楚。
众所周知,任何企业都在不同程度上依赖于一定的技术和知识才可以生存与 发展 ,尤其当今已经进入了知识 经济 和信息经济的 时代 , 现代 企业之间的竞争更多的是知识与信息获取或使用能力的竞争。所以对企业的知识资源进行有效的管理,是一个企业能否在激烈的市场竞争中立于不改之地的关键。从事企业管理的人都清楚,企业的人才流失对企业意味着什么。长期以来,企业员工的个人头脑是知识的载体,人才流动实际上是知识在流动。那么如何实现人走而知识却可以继续在企业中留存呢?如何实现知识不仅在某个人头脑中,而在组织的系统中并持续发挥其作用呢?如何使企业的知识可以不断积累并让每个员工快速掌握而在工作中加以运用呢?如何使新员工可以迅速在老员工的基础上继续提高工作效率和质量呢?
一、什么是知识管理和企业管理
要弄清以上 问题 ,首先,我们要从弄清什么是知识管理和企业信息管理入手。美国生产和质量委员会(APQC)对知识管理定义如下:知识管理是组织有意识采取的一种战略,它保证能够在最需要的时间将最需要的知识传送给最需要的人,这样可以帮助人们共享信息,并进而将其通过不同的方式付诸实践,最终达到提高组织业绩的目的。企业知识管理是以信息为基础的活动,通过组织性 学习创造隐性和显性知识,并负责如何在适当的时间、适当的地方拥有适当的知识。微软总裁比尔盖茨认为:知识管理并不是从技术开始的,它始于商业目标、过程和对共享信息需要的认识。知识管理只不过是管理信息流,把正确的信息传送给需要它的人,以便让他们迅速地以信息为依据采取行动。
中外学者普遍认为,信息是企业发展的一个非常重要的资源,信息作为资源,除了一般的可利用、有价值等特性外,还具备共享性、历史 积累性、时效性和多次再生性的特性。而系统则是由若干相互联系、相互制约的独立成分组成的一个有机整体,如管理人员、生产工人、工艺、技术、管理、方法和组织机构、生产设备等,为了一个共同的目标即获取利润生产出 社会 需要的产品,而组成的一个生产企业就是一个系统。那么,要系统地利用信息这个资源,企业建立信息管理系统是一个非常重要的前提。
企业信息管理系统(EIMS)就是运用现代化的管理思想和方法,采用 电子 计算 机、软件及 网络 通讯技术,对企业管理决策过程中的信息进行收集、存储、加工、分析 ,以辅助企业日常的业务处理直到决策方案的制定和优选等工作,以及跟踪、监督、控制、调节整个管理过程的人机系统。
从 目前 已经大量应用的各种企业信息管理系统来看,普遍具有以下特性:
1、除了通用的.管理软件和MRP(物料资源计划)、OA(办公自动化)、WFS(工作流系统)外,大多软件都需要做大量的需求分析,咨询顾问(多数都是行业内的专家)和企业各级员工在认真 总结 以往经验和企业发展要求的基础上,根据企业实际量身定做或在标准版本的基础上根据企业实际做大量的修改,所以具有行业专家特性及实际应用特性。
2、多数系统是从企业战略的角度出发,在全局和总体考虑的前提下设计企业的信息管理系统,是从企业的人员机构管理、产品管理、系统权限管理、销售管理、采购管理、生产管理、质量管理等系统的角度,考虑战略的实现性和信息之间的关联性、制约性的,具有系统性和整体性。
3、具有历史知识的积累性和共享性。企业的信息管理系统能够将各部门和各员工的日常工作的关键数据,存储在数据库中,并能根据权限方便查阅和调用。
4、具有决策的支持性。所有的各种数据可以经过计算机的处理从不同的角度得到各种分析结果,并通过报警提醒的方式,使决策者在第一时间得到相关信息。
5、动态特性。由于信息的时效性和关联性,当系统中某一信息要素发生变化时,与之相关联的其他信息均发生变化。同时,由于 企业 的外部环境和内部要素均在动态发生变化,系统也要求能够适应这种变化。
二、企业信息管理系统的作用
从以上对于知识管理和企业信息管理系统的概念及特性等可以看出,企业信息管理系统对于企业知识管理水平的提高具有很大的支持和保障作用,具体表现在:
1、发布知识,确保组织内的每个成员都能共享。在没有 计算 机、软件和 网络 通讯技术的前提下,企业发布知识的手段通常采用开会、发文件及书籍等手段,除了发布成本高而外,知识的传播速度、传播量、更新、查阅及查阅权限等等受到极大的制约。而企业信息管理系统则有效地解决了这些 问题 ,使知识信息交易成本大大降低,交易质量和效率大大提高,有力地发挥了知识在企业中的生产力作用。
2、确保知识获得的及时性。信息管理系统解决了跨地区、跨时间、跨单位、跨部门、跨员工之间的查阅障碍,只要是在有权限的前提下,知识需求者可以迅速通过系统找到自己需要的各种知识。例如 目前 的企业信息门户(EIP—EnterpriseInformationPortal)可以解决企业之间的信息及知识交流问题,另外企业信息系统可以与相关的网络连接,并自动按照组织内部成员对信息的需求进行筛选、分类和收集,并按照成员对信息的需求及时传送给需要的人,以解决知识时效性的问题。
3、提升组织或个人的隐性知识为显性知识,并保证两者之间的有效转换。在企业没有信息系统之前,员工的知识和经验仅存在自己的脑子里,部门的知识也在这个部门里,信息呈现孤岛状态。遗忘、人员流失和成员之间交流不畅导致企业的知识大多是隐性知识,而不能转变为显性知识,组织的知识难以积累。组织随着人员的流动、时间的推移不断地交学费,企业不能形成经验曲线,生产效率和竞争力也就难以提高。信息管理系统使个人知识得以沉淀,成员之间的知识得到共享和交融,企业对员工的过分依赖性降低,从而避免企业因某些关键岗位人员流失出现不可收拾的局面。
三、如何做好企业的知识管理
首先,我们要抓好企业的信息管理。知识管理着重于显性知识和隐性知识的相互转化,因为企业只有把国内外和自己企业积累的知识和经验即显性知识,通过归类、整理、提炼迅速传递给需要它的员工,即转化为员工个人的知识———隐性知识,并运用到每项工作中去,才能对企业目标发生作用。信息管理主要集中在对已有的如书面化的、电子 信息等显性知识的管理,在信息增值链上,要将数据提升为信息,并对其进行采集与选择、组织与程序、压缩与提炼、归类与导航等,对信息外部特征的加工和组织。在信息管理基础上,在根据企业和员工需求,对信息 内容 进行提炼、比较、挖掘、分析 、概括、判断和推论等进行知识管理。
其次,要建立知识共享系统。知识管理是以共享和创新为主要目的,重点解决信息超载而知识匮乏的问题,重视人与人产生知识过程的管理。知识如果不拿出来与他人共享,将导致:(1)核心信息掌握在具体实施人员中,管理失控。(2)企业人员外流导致知识资产流失,大量核心技术被带走。(3)知识孤岛造成协调困难,效率下降。所以,在企业信息系统建设中,要坚持以获取企业内部和外部知识资源为核心;以产品的生产流程为核心;以个人知识与团队知识的相互交流和转化为核心;以正式交流与非正式交流的相互接轨为核心;以解决实际问题为核心;以价值链的不断增值为核心和以技能培训为核心。
最后,把信息化建设作为知识管理的平台。传统的金字塔式组织结构和人际交流模式在很大程度上不适合 现代 社会 对知识的快速组织、整合和共享需要,计算机网络则为知识的获取、组织和共享创造了一个全新的平台。企业在网络平台下,形成一种柔性的与变化的组织和扁平化的信息传递渠道。从知识管理的角度,建立信息管理系统,使人与知识资源有机结合,它将人、知识与现实工作任务整合起来,必将为企业管理带来实效。
参考文献 :
1、刘杰,沈英芳。企业信息管理系统:概念、发展 、问题及 研究 方向。 中国 科技 论文在线,2001。9
2、席丹,李培根,黄培。制造业信息化战略、管理与实施,电子 工业 出版社,2003
3、高洪深,丁娟娟。企业知识管理。清华大学出版社,2003
例题:工程项目质量控制系统的活力在于它的运行机制,而运行机制的核心是()
a.动力机制;b.比较机制;c.约束机制;d.反馈机制。
答案:a。
(2)控制系统运行的约束机制没有约束机制的控制系统是无法使工程质量处于受控状态的,约束机制取决于自我约束能力和外部监控效力,前者指质量责任主体和质量活动主体,即组织及个人的经营理念、质量意识、职业道德及技术能力的发挥;后者指来自于实施主体外部的推动和检查监督。因此,加强项目管理文化建设对于增强工程项目质量控制系统的运行机制是不可忽视的。
(3)控制系统运行的反馈机制运行的状态和结果的信息反馈,是进行系统控制能力评价,并为及时做出处置提供决策依据,因此,必须保持质量信息的及时和准确,同时提倡质量管理者深入生产一线,掌握第一手资料。
仲婕
江苏省电信有限公司苏州分公司
摘要:如何保证信息系统处理流程规范,系统数据安全完整准确,内控制度落到实处,本文从信息系统的开发建设、运行维护、审计检查几个方面论述如何加强内控制度建设防范安全风险。关键词:信息系统、内控制度
随着电信企业各项生产运营系统的建立与使用,各类信息系统的内部控制是否健全、风险是否得到有效控制就成为了内部审计关注的重要课题。
近年来电信企业上线运行的重要信息系统有BSS业务受理系统、OA办公自动化系统、资源管理系统、综合调度系统、智能网管理系统、计费账务系统、计划建设管理系统等等。这些信息系统的建立运用能解决人工难以及时处理大量信息数据、难以及时进行复杂运算分析的难题,利用信息系统可以将人工处理的程序、模型预先设计好,帮助企业高效率地管理生产过程,帮助企业及时获取并提炼重要的信息,以利于提高企业综合竞争力。但这些系统是否安全、是否符合内控要求,信息数据是否完整准确,却无人来回答。内审部门作为企业的内部控制监督检查部门有责任有义务对信息系统的内控制度进行评估检查,分析系统的安全风险,堵塞系统漏洞,切实发挥信息系统在企业发展决策方面的支撑作用。
日前获悉,某电信运营企业因小灵通预付费系统超级密 码被盗,导致被非法制作了1000多万元的小灵通充值卡,至案发时已全部充值消费,给电信企业造成了巨大的经济损失。由此看出信息系统的安全与否直接影响着企业的经济利益,对企业是至关重要的。
本文将就信息系统如何加强内部控制、防范安全风险谈几点看法:
一、信息系统从开发建设起就必须建立一套完整的内控流程
1、信息系统程序设计必须健全数据核对环节,保证数据准确
信息系统能提高企业管理效率,提升企业服务水平,提高企业竞争应变能力,但这一切是建立在信息系统能提供完整、真实、准确数据的基础上的。如果数据经过信息系统的一系列加工处理流程,其中发生了部分溢出、丢失或变异,那么信息系统会输出错误的数据,经营管理者依靠错误的数据肯定不会得出正确的结论。因此信息系统的数据完整准确是首先要保证的。如何保证数据准确呢,一般情况下采用在重要数据输入前和处理输出后进行总量比对、结构比对、逻辑验证等方法验证数据是否完整准确。
2、信息系统建设必须考虑数据安全存放,保证数据安全
一般情况下数据是否安全主要考虑两个方面,一是数据库是否安全,能否防止非法访问,如果发生有非法访问,或是发生恶意修改、篡改数据情况的,系统是否会留下记录,能否及时告警。另外一方面是数据存放介质是否可靠,有无备份,重要数据是否异地存放,防止自然灾害对数据安全的危害。
根据电信企业信息系统数据对企业生产经营、财务报告等的影响程度分别对数据进行ABC分类,A类数据库如会计核算系统、计费账务系统必须要具备可靠的存储介质,严格建立实时的异地备份,以保证数据安全。B、C类数据根据机房容量、建设成本情况分别制定备份计划,采用两种以上介质存储、两个不同机房存放等方法。
3、信息系统开发要考虑设置严谨的密码策略,杜绝非法入侵
信息系统必须建立用户身份的验证机制,对信息系统的访问必须使用用户名和密码,而且每个用户帐号被授予唯一的用户。同时要制定严谨的密码政策,并根据密码政策在系统固化相应的设置,以避免用户使用安全级别低的密码。密码政策具体包括: 用户密码长度不得低于6位、密码应至少每90天进行更新、不得使用最近的密码。以上称为’6901’密码策略,对于超级用户则需要按照’8901’来设置密码,位长不少于8位,更新周期同普通用户。
在对电信企业信息系统进行内控评估时,发现较多的系统存在用户名、密码共用的现象,不符合内控要求。共用账号、密码会影响密码的定期更换、不能防止非法访问,发生 问题时也无法落实责任。因此有此现象的应当确认为重要缺陷,必须立即整改。
二、信息系统运行维护要严格遵守内控规定
1、用户账号变更严格履行审批
对信息系统的用户创建和授权必须通过信息系统主管部门主管人员审批后,方可由系统管理员在系统中创建用户帐号,以避免未经授权帐号及权限的创建或修改。在员工工作调动或离职等工作职能发生变化时,由人力资源部或用户所在部门及时正式书面通知系统维护部门,由系统管理员更新或删除其相应的访问权限。
在对某电信企业信息系统进行内控评估时,发现用户账号的创建、修改缺少书面审批资料,无法证明是否经过必要的授权,因此被认定为内控执行缺陷。
2、重要操作要严格执行复核、审批制度
对信息系统的重要操作如涉及数据增加、修改、变更等需要坚持复核、审批制度,即一人操作、一人复核再加上主管审批,防止误操作,影响信息数据准确。在大家都熟悉的会计核算系统中凭证制作必须要经过复核才能记账,这也是遵循内控规定的重要体现。以电信企业的计费系统为例,系统操作人员需要根据营销政策对批量用户进行赠送话费操作,此操作会影响一大批用户的预存款余额,不能发生任何 4 差错。操作人员要将营销政策的文字信息转化为计算机语言,既不能送错对象,也不能多送或少送,所以此类重要操作就必须严格执行复核、审批制度。
3、系统操作要有完善的记录
一般信息系统本身会具有记录的功能,将维护人员的维护操作全部记录下来,生成专门的维护日志,供主管定期审阅。但也存在个别信息系统在程序开发时未提供完善的记录功能,不是所有重要操作都能记录系统中,在这种情况下,必须要求系统操作人员作好手工记录,记录的内容包括操作员姓名、操作指令、依据、时间、结果等信息。对重要的操作指令先要履行上述第2条规定复核程序。
4、不相容职务严格分离
《内部会计控制规范》中只是说“不相容职务主要包括:授权批准、业务经办、会计记录、财产保管、稽核检查等职务”。事实上,一个企业或一个组织因业务种类、机构设置不同,所要明确的不相容职务是不尽相同的,既涉及不同部门的不相容职务又涉及同部门不同岗位的不相容职务。在此仅讨论涉及信息系统的不相容职务分离的问题,如上文所提的用户创建、修改操作与审批、数据录入与审核、系统操作与复核、数据维护与统计记账等。将这些职责分离是为了保证信息系统数据处理的合法合规性,谨防信息系统本身出现重大风险。以电信企业为例,信息系统运用广泛之后,产生了许多电子化虚拟货币如Q币、电子卡等有别于传统货币的实物,无法按照原来实物管理的模式进行到货验收、保管记录、月度盘点等工作,但作为系统管理的虚拟实物还必须要建立这样的职务分离制度,负责管理虚拟实物部门(即系统维护部门)与购买、销售部门分离,实物管理部门与会计记账部门分离,建立相互核对、相互监督的内控工作制度,以两个不同系统的数据核对,或以人工计算核对等方法来验证信息系统数据的完整。以Q币为例,在电信企业就经历购买、入库、销售、计费、记账等诸多环节,购买与入库、销售与计费、计费与记账就必须按照不相容职务分离规定执行,相互之间建立进行定期对账机制,以保证Q币的购销存业务流程闭环管理。
我们都知道不相容职务分离是内部控制的核心,在信息化环境下,更加需要强调不相容职务分离原则,因为业务管理流程经过信息系统固化之后,所有人员都会在系统中承担一个或多个角色,角色分配结果在一段时间内是不会发生变化的,这些角色之间是否是不相容职务,是否会存在因分工不当导致舞弊行为的发生,都直接影响信息系统的安全性。
三、内审部门要加强信息系统的内控评估,堵塞漏洞防范风险
1、信息系统审计评估需要关注的重点内容 对照以上所述的在信息系统开发建设、运行维护中所要落实的各项内控要求,认真开展检查评估。
在评估过程中既要关注信息系统本身对数据处理的控制流程是否规范,用户权限设置是否经过授权,是否存在数据安全风险,又要关注不同信息系统之间有无建立数据接口,是否进行数据核对,是否将不相容职务分离,相互之间是否存在监督关系。评估要重点关注与财务报告相关的信息系统数据的安全情况。
2、信息系统审计评估需要运用的方法
信息系统评估方法与业务流程内控评估方法基本相同,主要有:询问、文件检查、重新履行、观察、问卷调查等。其中文件检查、重新履行是内控评估常用的重要方法,像前面所述的用户权限审批、重要操作审批、系统操作记录、复核检查等都需要运用文件检查方法,通过审阅相关文档记录来判断各项内控措施是否得到有效执行。
3、信息系统审计评估重要目的是落实缺陷整改
民航行业系统从客户的角度看就应该是一个连续的单一系统, 而目前从管理上划分为:空管、机场、航空公司、航油和航空城附属区域等多个子行业、子区域和子系统, 旅客服务实际上常发生接续不畅、甚或服务被分解为片段, 产生不良的用户体验。
2 民航信息集成共享系统的构想
2.1 旅客需求
对一位旅客来说, 他面对的民航系统在他眼里应该是一个整体在为他服务, 在他的旅程碰到延误时, 最需要和最希望得到的消息什么?是飞机的信息:“她”现状如何? (“她”在哪儿?能不能起飞?能飞的话何时起飞?不能飞的话怎么处理?对我的影响是什么?给我提出可能的选择方案!)
从航班延误处置为切入点看民航信息集成共享需求:
由于大雾、雨雪等极端天气原因, 航空公司原因, 航路或航管原因, 机场原因甚至旅客自己等原因都会会造成航班延误, 随之此航班计划就被迫更改甚至取消等一系列连锁反应:作为后续客户 (所有客户:下站的机场、旅客也包括了保障人员) , 最需要和最希望得到的消息是什么?是飞机的信息:“她”现状如何? (“她”在哪儿?能不能起飞?能飞的话何时起飞?不能飞的话怎么处理?对我的影响是什么?给我提出可能的选择方案?) 航空公司要及时向旅客提供航班延误情况通报, 安抚旅客焦躁的情绪, 做好退改签机票的工作, 提供现场餐食, 安排旅客住宿或者乘坐交通工具离开机场。[1]机场工作人员需要了解实时航班信息、延误旅客人数, 配置适当人员进行处置工作, 当航班恢复时, 有助于增开应急值机柜台快速办理值机和行李托运手续。[1]机场指挥中心人员对航班的动态掌握尤其重要, 因为他们需要根据保障需求调整资源计划, 也就是根据飞机起飞顺序, 合理分配廊桥、登机口、机位等。[1]作为机场管理决策者, 需要相关信息来支持决策, 以便协助航空公司进行旅客食宿、交通、医疗等方面的安置, 合理安排好应急设备和物资储备, 做好保障工作。[1]这说明, 航班延误应对措施的基础是需要各项数据的实时共享, 使得不同客户都能及时得到相关数据信息, 以便做出及时、科学地决策, 合理配置资源, 维持民航运输工作的持续进行。然而, 这些有关航班、旅客和空域资源的数据信息是分散的。空域流量状况由空管部门收集信息, 航班运力计划由航空公司负责, 地面保障资源由机场负责。[1]空管部门主要负责对空中流量进行管控, 掌握航班流量和航班管制时间。[1]航空公司掌握着运力的安排和调配数据, 主要掌握航班计划、航班配载信息、机组人员信息等数据。航班延误后, 航空公司要及时调配运力、调整航班计划。[1]中航信的销售系统和离港系统, 掌握旅客信息。[1]而机场主要负责地面各项资源的调度, 掌握着行李信息、值机柜台、安检通道、登机口、廊桥、牵引车、旅客班车、配餐、机内清洁等资源信息, 机场也需要根据其他驻场单位提供的数据来分配资源。[1]现实中大量数据是分散在不同的责任主体单位, 没有实现数据共享。随着民航运输客流量和航班量快速增长, 需要更全面、及时的数据支撑业务、提供决策依据。所以, 目前从机场、航空公司、旅客、社会其他环节, 都对规划建设民航数据集成共享平台, 整合空管、航空公司、机场及外部单位的数据, 共享生产数据和资源, 从而为日常生产运营、应急指挥和经营管理决策提供有力的信息支持和保障提出了迫切需要。
2.2 民航信息集成共享系统构想
2.2.1架构的核心元素
信息源、信息流类:空管、航空公司、机场、航油、联检等信息服务对象类:直接:旅客、行邮货, 间接:公交、社会服务等。2.2.1.1核心元素的信息内容分析。空管:主要负责对空中流量进行管控, 掌握航班流量和航班管制时间。 (1) 当前状况信息。a.区域、航路、飞机 (区内全体、个体) 空中;b.气象实况 (全国、区域、本场等) 。 (2) 短期未来信息:a.区域、航路、飞机 (区内全体、个体) 空中;b.气象预报 (全国、区域、本场等) 。航空公司:掌握着运力的安排和调配数据, 主要掌握航班计划、航班配载信息、机组人员信息等数据。航班延误后, 航空公司要及时调配运力、调整航班计划。 (1) 当前状况信息:航班计划、航班配载、机组人员、已分配运力、备用运力。 (2) 短期未来信息:机组人员、已分配运力、备用运力。机场 (航油、联检) :主要负责地面各项资源的调度, 掌握着行邮货信息、值机柜台、安检通道、站坪、登机口、廊桥、牵引车、旅客巴士、配餐、机内清洁等资源信息, 机场也需要根据其他驻场单位提供的数据来分配资源。 (1) 当前状况信息:旅客状况 (当期累计、当期数、利用率%、可供资源) 、行邮货、值机柜台、安检通道、站坪、登机口、廊桥、牵引车、旅客巴士、配餐、机内清洁等资源信息 (已供油量、可供油能力, 已联检信息、可供使用资源量) 。 (2) 短期未来信息:行邮货信息、值机柜台、安检通道、旅客巴士 (按原始计划而不是动态计划分配、可能释放的资源) 。旅客 (行邮货) :按计划旅行 (随行行李, 快递货邮等) (1) 当前状况信息:正常全流程, 延误或变更 (未到机场、延误起飞、中途延误、延误变更等) 。 (2) 短期未来信息:除本人主动变更外, 其他均不确定。2.2.1.2核心元素的信息流图。为直观显示说明信息流的关系, 做了信息流图见图1。从前述的各核心元素信息内容解释加上图中各核心元素的控制、从属、反馈关系上进行梳理: (1) 旅客、航空公司、机场等信息源, 集中处理后提交给空管的是相对静态信息。 (2) 其后空管掌握着这些静态信息的动态演变过程。 (3) 航空公司、机场、旅客只能接收空管的指令执行, 并把结果 (空管相关部分) 反馈给空管。 (4) 空管再次发出下一步指令, 周而复始。 (5) 目前信息的相对不对称性 (空管掌握动态、静态信息源, 其他单位只接收到有限的、局部的信息) , 制约了最终旅客获得所需信息 (有效的、及时的、有用的) 。由此推论出:民航信息集成共享需求的核心点———空管。从空管这个核心元素中的核心源头出发, 建立民航信息集成共享系 ( (转转下下页页) ) 统, 将对全民航的服务水平的提高、运行效率的提高起到画龙点睛的作用。
3 架构实现的思考
3.1 组织领导。民航局统领, 空管局牵头, 各航空公司, 航信, 机场等部门共同参与建设和分享。
3.2 技术保障。
以空管或民航局为主, 建设安全网络 (冗余、虚拟化) 、安全信息中心 (行业云、灾备) , 各航空公司、航信、机场设节点 (虚拟网节点;链接行业云或兼有本地私有云) , 客户端 (虚拟客户端方式支持pc、平板、移动终端、手机等)
3.3 效益初探。
(1) 行业信息流完整性、业务逻辑合理性的大幅提高, 动态信息应用范围得以大幅扩展到下游和社会的方方面面, 极大提高和满足客户的信息服务需求; (2) 新架构具有超强数据集成、业务集成共享能力, 进一步扩展完善各层面业务模块、业务流程后, 可以延伸覆盖到各个航空公司、机场、社会团体, 也许最终会到达直接服务最终客户而逐步取消现有的专门服务部门, 其社会效益非常大。
4 展望
随着民航业的飞速发展, 勇于创新、谋求发展, 充分满足客户需求是民航业的重要课题。通过建设集成、统一的数据共享平台, 有效整合空管、航空公司、机场等单位的数据资源, 实现数据信息资源的高效利用, 提高民航业的运行效率, 保证给旅客提供优质服务, 进一步助力民航业快速健康的发展。
参考文献
通知指出,这主要是为便于各级政府和相关部门及时了解掌握全国校车、校车驾驶人、随车照管人员和校车运营企业的基本情况,满足校车安全管理工作需要,提高校车安全管理水平。
通知介绍,信息采集的对象是所有为义务教育学生和幼儿园幼儿服务的校车,包括专用校车和非专用校车、学校及幼儿园自备校车和校车服务提供者提供的校车。变化的信息应及时更新。省级和市级教育行政部门要加强对所辖县的督促检查,建立健全信息报送和督办机制,做到县不漏校(园),校(园)不漏车,车不漏人。
通知要求,地方各级教育行政部门、公安交管部门和交通运输部门应按照《校车安全管理条例》规定,建立健全校车安全管理信息共享机制。教育行政部门应当在系统中为公安交管部门和交通运输部门设立专门的用户账号,为查询相关信息提供方便,实现校车安全管理信息共享。
[相关链接]
枝车安全管理责任书范本发布要求“一车一档”
2月26日,据教育部消息,校车安全管理部际联席会议办公室近期发布了《校车安全管理责任书(范本)》供各地参考,以明确使用校车的学校和校车服务提供者的责任,确保校车安全。
责任书描述了使用校车的学校(甲方)、校车服务提供者(乙方)、校车及其驾驶人和随车照管人员的基本情况,明确了校车驾驶人和随车照管人员的指派单位,详尽约定了甲方和乙方的责任。
责任书约定的甲方责任有六项:一是指派专人参与校车安全管理,负责与乙方对接:二是会同乙方定期对随车照管人员进行安全教育;三是建立学生乘车安全管理制度,做好学生在学校校园内或校门附近上下车的组织管理工作:四是配合乙方共同做好校车交通事故的处置和处理工作;五是建立健全安全教育制度,.对教师、学生及其监护人进行交通安全教育:六是健全完善校车安全管理档案,实现一车一档。
乙方责任有八项:一是建立健全校车安全管理制度,加强安全技术条件检查,定期进行安全维护,保证校车处于良好技术状态:二是保证所有校车符合国家有关标准,配备校车标志灯和停车指示标志、有关安全设备和卫星定位装置:三是加强校车驾驶人管理,定期对校车驾驶人开展安全教育,保证校车驾驶人与校车标牌记载的驾驶人一致;四是保证提供服务的校车和校车驾驶人符合国家规定的条件;五是校车运载学生,应当按照校车标牌载明的线路行驶;六是及时处置校车接送学生期间发生的道路交通事故,安全转运学生,配合公安机关交管部门做好交通事故处理工作:七是严格按照有关规定使用校车标牌和校车标志灯;八是在校车因故不能接送学生时,调配其他符合国家标准的校车。
责任书约定,在责任书有效期内,乙方提供的校车或驾驶人出现不符合责任书规定的情况时,甲方有权向公安交管部门报告并终止乙方接送学生服务。
【内部控制信息系统建立】推荐阅读:
企业内部控制的建立与完善对策06-28
内部控制与信息披露11-23
电算化会计系统内部控制的研究10-30
内部信息系统10-10
国家统计局调查队系统财务管理内部控制规范01-07
ERP 管理系统在企业内部控制中的应用01-24
内部控制中的内部监督01-14
内部控制小论文05-26
内部控制制度流程09-27
银行内部控制总结10-15
