电子商务(E?DBusiness)是利用网络实现所有商务活动业务流程的电子化,不仅包括了电子商业的面向外部的业务流程,如网络营销。电子支付。物流配送等,还包括了企业内部的业务流程,如企业资源计划。管理信息系统。客户关系管理。供应链管理。人力资源管理。网上市论文网场调研。战略管理及财务管理等。这种新型商务模式,为企业提供了一个构建企业核心竞争力的全新机会和外部环境,对于企业降低成本。加强管理。扩大市场。获取商机。共享信息。增强竞争力有着十分显著的作用。
电子商务的出现不仅为企业和消费者带来了良好的发展前景和便利条件,也伴随着一定的风险,当我们关注其为企业带来巨大的管理提升和经济效益的同时,也必须充分认识到由于电子商务系统自身特点及运作环境所带来的风险。企业是电子商务的主体,研究和制定电子商务环境下企业的内部控制策略,对企业有效防范风险,安全成功实施电子商务具有十分重要的意义。
一。电子商务对企业内部控制的新挑战
1。业务流程的转变对企业内部控制的影响
电子商务要求企业各数字化管理系统集成,减少或合并流程中重复的。不增值的环节,以实现业务流程的优化,实现企业资源的系统配置和信息共享。在这个转变过程中,打破了凭证--帐薄--报表的传统业务流程,使会计帐簿体系这个主要甚至唯一的控制方式受到影响,原有的手工作业流程中有利于控制的重复环节将消失,这个变化必然对企业内部的整体控制体系的有效性产生负面影响。例如:电子商务系统通过整合从采购到付款。网上订单的获取到发票的开出等不同职能部门的业务,形成了集中。单一的数据库,简化和压缩了过去跨部门的审批流程。在这种情况下,手工环境中用于企业内部控制的许多审计线索在电子商务系统引入后消失了。且过去文件审批的内部控制机制,也无法适应电子商务流程的管理需要。这些变化在一定程度上减化了企业内部整体控制体系的有效性,这样一来内部控制风险体系必将呈现新的特征。
2。无纸化交易过程对企业内部控制的影响
在电子商务过程中,实现交易过程的无纸化,即完全数字化,缺乏交易处理痕迹。在电子商务系统中,不论处理网上定单,还是处理内部会计数据,或修改不正确的数据,都可以做到不留痕迹,这样其原有的重要控制特征彻底消失,给控制带来一定难度,使数据的真实性令人担忧。并且在系统运作过程中,往往为了增强系统的可用性,而添加部分撤销功能“,这种无痕迹的撤销,也不利于有效的实施内部控制,同时也削弱了数据的真实可靠性。另外,作为数字化的企业信息,其保存。修改。删除都可以不留痕迹,这都给内部控制带来了新的问题。
3。不完善的企业管理体系对企业内部控制的影响
从管理体系上看,内部控制是由董事会。经理层和其他员工共同实施的,是为营运效率。财务报告的可靠性和相关法规的遵守等目标的达成,而提供合理保证的过程。从公司治理层面看,该定义明确地强调了高层管理者(董事会。总经理)对内部控制制定与实施的作用。换句话说,内部控制的风险大小很大程度上取决于企业管理当局的态度。完善电子商务的运作思想认为:组织是一个协作的系统,在信息技术环境下,组织内外部人员之间能平等。动态的进行合作和沟通。在这种新型的组织结构中,内部控制方式发生了显著的变化。过去,企业内部等级呈金字塔式,自上而下非常明显,企业上层一般先将工作分解成过程,然后通过行政指令分配和控制。而在完善电子商务环境下,企业内部控制层次明显减少,管理扁平化成为可能,领导不再是组织等级的上层,而成为行动的核心,此时企业的内部控制不再是更多地权力的需要,而是信息的科学性和企业健康发展的需要。如果企业领导层不能很好地认识这种转变,将直接影响企业的内部控制。另外,由于电子商务网络系统的特点,信息的安全直接影响到企业电子商务成败,而目前,较多企业尚未把信息安全放到较高层次去认识,在企业中不设电子商务岗位。不设专门的信息和安全主管,以致于不能及时防范信息安全问题,在出现安全问题时不能及时。有效地解决。
4。技术水平与道德水准对企业内部控制的影响
电子商务系统的实施,需要员工有一定的技术水平。一方面,由于员工的技术水平不高,容易造成安全问题不能及时有效解决。另一方面,员工安全意识不强,将访问权限泄露或开放给不应该拥有访问权限的个人或团体,极大地提高了数据遭到破坏的风险,缺乏对这类用户权限的有效控制,会降低那些敏感交易的安全性。不道德的企业内部员工和外部人员(如黑客),对会计数据非授权的访问。篡改。泄密和破坏等,对内部控制造成影响。在完善的电子商务系统中,要求会计系统进一步开放与数据共享,而开放与共享的程度越深,操作人员和信息使用者通过公用通讯线路干预系统的机会就越大,系统面临的安全隐患也就越多。黑客那种有意图。有目的的攻击行为将给企业集团带来巨大的伤害,严重威胁着企业集团信息的机密性。完整性和可用性,从而增大了企业内部控制的风险。另外,传统纸质文档手工录入会计凭证的方式转变成电子文档自动录入的方式,弱化了凭证相互之间的证明性。勾稽性控制,使得手工环境下某些有效的相互制衡措施失效,给某些不法之徒无痕迹“篡改会计事项以可乘之机,大大加深了内部控制的难度和深度。
5。电子商务技术基础对企业内部控制的影响
电子商务技术基础主要包括计算机。网络硬件与软件两方面。硬件方面,相关硬件设备故障问题,特别是网络设备。存储设备故障,影响电子商务系统甚至使系统瘫痪,造成数据破坏或丢失,使内部控制程序失去作用。软件方面,首先是网络运行平台问题,选择不适用的。盗版的网络操作系统,使电子商务运行平台存在安全隐患;其次是电子商务应用系统问题,涉及软件功能与企业需求的切合度。系统的集成性。软件的成熟性和稳定性。对数据的支持程度等,给内部控制带来新的潜在的风险。同时,过分信赖系统的数字化集中存储方式,使企业内部控制的许多审计线索消失,导致信息系统本身比较脆弱,也给内部控制增加了难题。另外,内部控制对程序的依赖性增加了差错反复发生的可能性。实施电子商务后,企业的运作更加依赖于系统程序,很多内部控制功能包含在应用程序中,使这些程序化的内部控制的有效性取决于应用程序,若程序发生错误或不起作用。由于人们的依赖性以及程序运行的重复性,使得失效控制长期不被发现,从而使系统在特定方面发生错误或违规行为的可能性较大。
另外,互联网作为开放的平台,为电子商务提供基础服务,但却没有绝对的安全可言,这就使得电子商务活动处在不安全。不稳定的环境中,这对企业内部控制的影响是巨大的。
二。电子商务环境下加强企业内部控制的措施
1。转变管理观念,建立符合内部控制要求的企业管理制度
电子商务是对传统企业管理观念的根本变革,其成功实施的先决条件是正确的指导思想。合适的软件与有效的实施方法。企业最高决策层人员要深入了解完善的电子商务所包含的管理思想,充分认识本企业存在的问题,明确管理转变的思路,建立一支善于开拓思路。掌握计算机软硬件知识且有电子商务实施经验。了解系统实施规律的高素质实施队伍;企业普通员工要积极参与整个实施过程。只有如此,才能真正做到降低内部控制风险。
应设立CSO(首席安全官,ChiefSecurityOfficer),并确立其在企业中的重要地位,使其在病毒或攻击等不安定因素发生的情况下,发挥重要作用。在很多公司,CSO,也可以被称为CISO(首席信息安全官,ChiefInformationSecurityOfficer的缩写)或者ISO(信息安全官,InformationSecurityOfficer的缩写),这是有别于CIO(首席信息官,ChiefInformationOfficer的缩写)的独特之处。在电子商务企业中,CSO不仅要处理信息技术,而且要承担全部的安全职责,需要与执行团队进行有效的合作,来共同实现企业的商业目标。首席安全官需要具备熟练的交流。谈判以及领导技能,还应掌握信息技术和安全硬件等方面的技术知识。
2。建立企业安全网络系统,加强系统工作环境控制
根据COSO报告,传统企业的内部控制目标,主要是保证经营的效果和效率。财务报告的可靠性。相关法律法规的遵循。在电子商务环境下,电子商务安全关系企业的存亡,而上述传统控制目标的实现,取决于电子商务系统的安全性。因此,电子商务系统应增加并作为首位的控制目标是保证电子商务的安全性“。其具体表现为满足下列要求:第一,对电子商务的质量及安全要求,包括信息的机密性。完整性。可用性等;第二,对电子商务的经营性要求,包括系统运行的效果和效率。信息的可靠性和法令的遵循。为保证电子商务的有效开展,内部控制应贯穿于从规划和组织阶段。获得和建设阶段。交付和运营阶段,到监督阶段等电子商务系统建设全过程之中。为保证系统安全,企业应该实施一系列控制措施来保证网络安全,比如运行专用的网管软件进行网络监控。采用专用内容过滤技术阻止各种恶意内容的入侵,限制来路不明的软件在系统主机上安装等,最大程度地控制网络攻击和恶意软件带来的风险。
企业应加强从员工。部门。企业到Internet平台的多级信息安全控制,强化企业信息中心的地位和作用。员工的工作站,应安装GHOST或还原系统,实现备份与恢复系统,保证工作站的运行;企业局域网,应强化服务器管理,保证服务功能;互联网接入,应通过代理服务器,实现上网代理,并严格设置防火墙系统(Firewall)。入侵检测系统(IDS)。防病毒系统,以防止内外网络攻击及病毒破坏。同时,企业应建立信息中心,强化其地位和作用,负责企业数据的全面管理。
3。加强网内信息交流与网上交易管理,严格业务流程控制
企业应根据电子商务特点,从整体上采取更加有效的措施控制业务流程;通过风险评估手段确定企业关键的业务流程;确保整个流程中存在恰当的制衡点;设立敏感业务交易访问限制等,并定期对电子商务系统的关键业务流程的内部控制进行审核,确认是否存在足够的有效控制,以降低由于电子商务系统的使用而带来的业务风险。
在企业内部网信息交流方面,应强化信息的输入控制。处理控制。输出控制。由于具体数据的处理由系统事先设计的模块自动核算,一般来说只要软件运行正常就不会出现差错,所以控制重点是输入和输出的控制。输入是系统的主要信息入口,也是出错的主要环节。输入控制的重点在于对输入过程的控制,最重要的是完整性控制,可通过设置各种约束条件的检验来加以控制,如试算平衡控制,对每笔分录和借贷力进行平衡校验,防止输入金额出错。输出控制最重要的目标是保证各种输出结果的真实性。完整性和正确性,可以通过权限控制。记录登记操作等实现。
在网上交易信息管理方面,应重点审核网上订单等外来数据,及时分析订单的合法性与有效性,进行订单的筛拣,合法有效的及时审核通过,无效及恶意的及时废弃。
4。加强员工安全知识培训与教育,强化权限控制
电子商务系统的成功实施离不开企业全体员工的大力支持和积极参与。要加强员工的信息安全意识的培养,防止人为误操作风险。培养员工的信息安全观念,进行信息安全控制的再教育,使员工在进行业务处理时能依据企业集团的信息安全方针进行信息安全控制和风险防范,同时对硬件设备特别是关键设备进行定期检测,及时发现和解决问题。强化权限控制,防止未经授权的内部人员擅自动用系统的各种资源。信息系统环境下的权限控制始于系统初始设置阶段,即通过系统管理员或系统维护员对工作人员。工作范围等进行设置,输入相关的数据;每个岗位人员采用口令或密码按照所授子的权限对系统进行作业,不得超越权限接触系统。同时由于系统维护人员能直接接触会计数据库。会计软件和熟悉信息系统技术的关键人员,他们的有意作案或无意的误操作所造成的影响很难估量,所以必须用严格的制度约束他们。有系统管理员或工作人员调离本单位,应及时修改系统相关安全参数,设置新的系统口令或密码,以防恶意破坏或泄密。
三。简要总结
互联网是一把双刃剑,企业在享受电了商务给企业带来好处的同时,必须承担安全风险。因此,企业必须深刻地认识电子商务条件下内部控制的特点,尽可能地加以完善,并在实践中检验内部控制制度的合理性,依靠内部审计。注册会计师审计,以及信息的反馈机制和评价体系,对内部控制的实施加以不断的完善和改进,提高企业内部控制的水平,以最大限度地防范和化解电子商务给企业带来的安全风险,充分发挥电子商务的优势。
企业电子商务内部控制研究
企业电子商务内部控制研究【4874字】:http://www.youerw.com/kuaiji/lunwen_132035.html