一、引言
按COSO的定義①,企業(yè)內部控制是一種由企業(yè)董事會、管理層和其他員工執(zhí)行,為達到財務報告的可靠性、經營的效果和效率、符合適應的法律和法規(guī)的目標而提供合理保證的過程,并由控制環(huán)境、風險評估、控制活動、信息和溝通、監(jiān)控五個要素組成。
傳統(tǒng)上,企業(yè)大量的經營活動和信息處理活動的記錄主要由人工完成,經營過程的物流、資金流所形成的數(shù)據(jù)流被記載在紙介質上。會計與審計人員在這種應用背景下所形成的風險認識與控制觀點,一直左右著企業(yè)內部控制系統(tǒng)設計。阿妮塔。s.霍蘭德將其描述為:(1)大量使用硬拷貝文檔記錄、處理和維護交易的信息;(2)重視職責和責任分離;(3)會計數(shù)據(jù)重復記錄和重復數(shù)據(jù)的大量調整;(4)會計師的反映性要多于主動性,檢查性要多于預防性;(5)嚴重依賴年末對財務報表的檢查;(6)避開信息技術;(7)控制的結構基于符合性。
隨著經濟全球化及市場競爭力度的加劇,許多企業(yè)加快了信息化的步伐,以提升企業(yè)競爭力。信息技術在企業(yè)的廣泛應用,不僅改變了傳統(tǒng)手工數(shù)據(jù)處理方式,而且觸發(fā)了企業(yè)管理模式、生產方式、交易方式、作業(yè)流程的變革,人們的行為模式也隨著企業(yè)業(yè)務流程化、組織扁平化、作業(yè)信息化而發(fā)生變化。雖然信息技術沒有改變企業(yè)內部控制目標,但企業(yè)內部所發(fā)生的變革對傳統(tǒng)的內部控制觀點、控制方法產生很大的沖擊。因此,如何構建基于信息技術環(huán)境下的企業(yè)內部控制系統(tǒng)已成為目前亟待解決的問題。為此,文本試圖從信息技術對企業(yè)內部控制要素的影響著手,分析信息技術環(huán)境下企業(yè)內部控制呈現(xiàn)的新特點,探討內部控制系統(tǒng)設計策略,以期達到充分利用信息技術來提高內部控制質量的目的。
二、信息技術對企業(yè)內部控制要素的影響分析
1.改善企業(yè)控制環(huán)境
控制環(huán)境構成一個單位的控制氛圍,是所有控制方式和方法賴以存在的運行環(huán)境。它包括員工的誠實度和勝任能力、董事會或審計委員會、管理理念和經營方式、組織結構、授予權利和責任的方式、人力資源政策和實施。信息技術使企業(yè)內部控制環(huán)境發(fā)生以下的變化。
首先,企業(yè)組織結構趨于扁平化。由于計算機信息處理技術替代大量業(yè)務層和中間層的人工數(shù)據(jù)處理工作,數(shù)據(jù)以磁介質的方式存儲在數(shù)據(jù)庫中,并能通過網絡迅速傳輸?shù)狡髽I(yè)各個角落。信息技術減少信息在傳統(tǒng)組織的信道傳輸中延遲、失真以及噪音干擾,降低信息獲取成本,擴大信息發(fā)布范圍,增進組織各層次人員的信息傳遞與交流。原先多人分工協(xié)作的工作被信息技術重組后只需一個人就可以完成,大量的人工控制被信息系統(tǒng)的自動控制所取代。這種變化導致企業(yè)組織結構趨于扁平化,內部控制層次明顯減少,崗位更加精簡,責任更加明確,效率更加提高。
其次,提高員工地位和素質要求。隨著組織扁平化和業(yè)務流程化與信息化,企業(yè)決策層次向下移動,基層員工獲得更多的決策機會,同時對員工素質也提出了更高的要求。在新的信息技術平臺下,員工需要熟悉計算機信息系統(tǒng),持有實時、積極的控制觀點,認識業(yè)務發(fā)生時信息技術所能提供預防、檢查及糾正錯誤和識別舞弊的機會,充分應用信息技術與自己的專業(yè)知識控制企業(yè)的經營活動。企業(yè)人力資源管理將結合信息技術特點制定員工雇用、培訓、提升和獎勵政策。內部控制設計更強調以人為本、人機結合的原則,通過增強員工識別風險能力、發(fā)現(xiàn)問題與解決問題能力、與其他業(yè)務人員協(xié)同配合能力,利用信息技術的控制能力來提高企業(yè)內部控制質量。
再次,改善信息不對稱狀況,提高對“內部人” 的監(jiān)控水平?,F(xiàn)代企業(yè)由于所有權與經營權分離,真實的會計信息披露對公司治理起著重要的作用。信息技術集成了業(yè)務信息處理流程與會計信息處理過程,由于數(shù)據(jù)同源并在計算機內部連續(xù)處理,有效地提高了會計信息的實時性和準確性。而投資者經過合適權限的授權,通過計算機網絡就能隨時訪問企業(yè)數(shù)據(jù)庫的相關數(shù)據(jù), 在一定程度上改善了信息不對稱性狀況,增強信息的透明度以及對企業(yè)經營者的監(jiān)控能力,促使企業(yè)內部人提高誠信度與道德觀,規(guī)范企業(yè)經營行為。
2.擴大風險評估范圍
信息技術應用改變企業(yè)傳統(tǒng)營運模式,也帶來業(yè)務流程和信息系統(tǒng)的新風險。例如企業(yè)在信息技術平臺上運行ERP系統(tǒng)、電子商務、供應鏈管理系統(tǒng)、客戶關系管理系統(tǒng),通過企業(yè)之間、企業(yè)內部的信息傳遞實現(xiàn)協(xié)同合作、優(yōu)化資源配置。企業(yè)物流和資金流的流量、流速均由計算機精密排程,與聯(lián)盟企業(yè)、市場情況環(huán)環(huán)相扣,以求最低成本、最快速度、最好質量組織企業(yè)經營活動。因此,供應鏈的任何環(huán)節(jié)出現(xiàn)突發(fā)事件都會波及企業(yè)的正常運行,給企業(yè)帶來損失。此外,由于企業(yè)所有數(shù)據(jù)存放在數(shù)據(jù)庫服務器內,網絡開放性、數(shù)據(jù)共享性必將增加信息系統(tǒng)的風險,如數(shù)據(jù)可能被非授權人員拷貝、刪除、修改,破壞;計算機病毒感染、黑客入侵、使用人員違規(guī)操作也會造成計算機系統(tǒng)故障或信息系統(tǒng)崩潰。企業(yè)風險識別、評估與防范,不僅要考慮內外部環(huán)境,而且要考慮業(yè)務流程與信息流程的耦合度、協(xié)作企業(yè)的關聯(lián)度、信息系統(tǒng)的依賴度等因素,規(guī)避供應鏈作業(yè)流程和信息系統(tǒng)的新風險給企業(yè)帶來的危害。
3.業(yè)務流程控制與信息系統(tǒng)控制成為控制活動的一項重要內容
在信息技術平臺上,企業(yè)運行的ERP系統(tǒng)實行流程化管理。企業(yè)戰(zhàn)略遠景的實現(xiàn)、信息系統(tǒng)的導入、企業(yè)文化價值觀的具體呈現(xiàn),最終落實到企業(yè)的業(yè)務作業(yè)流程。
信息技術應用使傳統(tǒng)人工控制形式演變?yōu)槿藱C系統(tǒng)控制,控制重心將集中在作業(yè)流程的人機控制與信息系統(tǒng)控制。一些傳統(tǒng)的內部控制規(guī)則和程序在新的技術環(huán)境下失去存在的意義,新的控制規(guī)則和程序建立在充分利用信息技術、用最少的資源達到更佳控制目標的基礎上。
圍繞業(yè)務流程,企業(yè)會計、審計人員與業(yè)務人員將密切協(xié)作,共同分析信息技術環(huán)境下的企業(yè)訂單、采購、庫存、計劃、生產制造、質量控制、運輸、分銷、財務會計、人事管理等環(huán)節(jié)的作業(yè)過程、管理過程和信息過程的新特點,制定對應控制規(guī)則,設計企業(yè)預算控制、成本費用控制、資金控制、投資控制、信息記錄控制、計算機信息系統(tǒng)控制、業(yè)績評價等控制制度和控制程序,并將這些控制程序和控制參數(shù)輸入到計算機信息系統(tǒng)內部,形成完整、嚴密的面向流程的人機內部控制系統(tǒng)。這樣,企業(yè)員工可以根據(jù)信息系統(tǒng)反映的信息流及時監(jiān)控業(yè)務過程的物流、資金流、作業(yè)流,通過反饋信息與控制參數(shù)的比較,制定決策、預防風險、修正作業(yè)錯誤,防范業(yè)務舞弊。另外,在計算機信息系統(tǒng)內部建立嚴格的人員訪問授權、數(shù)據(jù)接觸控制、操作流程規(guī)則和職責體系,以避免信息系統(tǒng)故障,保留IT審計線索,杜絕利用信息技術進行貪污、舞弊的行為。
4.組織成員之間信息交流和溝通更加便利
信息與溝通是指企業(yè)在其經營過程中識別企業(yè)內、外部信息,并在組織內溝通,以便員工了解、執(zhí)行其職責。
信息技術應用改變企業(yè)信息孤島的狀況,大量的企業(yè)環(huán)境信息、政策信息、經營信息、財務會計信息、作業(yè)信息集中存儲在企業(yè)數(shù)據(jù)庫系統(tǒng)內,并不斷被實時更新。基于互聯(lián)網、企業(yè)網、數(shù)據(jù)庫技術的客戶/服務器(C/S)和瀏覽器/WEB服務器(B/S)混合結構的網絡平臺為企業(yè)成員提供了很好的溝通條件。在這個平臺上,員工可以十分便捷地從計算機數(shù)據(jù)庫中查閱有關的政策和法規(guī),獲取與其職責相關的控制信息,明確各自的權利與責任,了解自己的活動如何與他人的工作相關以及例外情況如何報告或處理的途徑。另外,企業(yè)在網絡平臺上構建與利益相關者聯(lián)系的機制,使組織的相關成員可以實時獲取經營信息與財務會計信息,及時進行溝通,達到最佳協(xié)同合作和利益共享。
5.監(jiān)控更注意更新信息系統(tǒng)內部設置的控制參數(shù)與控制程序
監(jiān)控是評價一段時間的內部控制質量過程,包括及時評估控制制度的設計和運行,以及在必要的時候采取的行動。在信息技術環(huán)境下,內部控制是基于一種人機結合的控制模式,許多控制程序、控制指標、控制方法被設置在計算機信息系統(tǒng)內部,。因此監(jiān)控的一項重要內容就是要及時了解原來設置在信息系統(tǒng)內的控制程序、控制參數(shù)是否過時,并針對企業(yè)經營環(huán)境變化情況,及時評估業(yè)務流程控制點的運行狀態(tài),重新調整或更改設置在信息系統(tǒng)的控制參數(shù)或程序。
三、基于信息技術的企業(yè)內部控制系統(tǒng)設計策略
針對上述分析,企業(yè)在進行內部控制系統(tǒng)設計時,應綜合考慮內部控制要素的新特點,從組織控制、流程控制、信息系統(tǒng)控制三方面制定對應設計策略。
1.組織控制設計策略
組織控制是為實現(xiàn)組織的目標而進行的組織結構設計、權責安排和制度設計。在信息技術環(huán)境下,流程決定企業(yè)組織結構。因此,組織結構設計應以產出為中心,結合企業(yè)流程特點、信息化程度、人員素質、風險類型與大小進行全盤考慮;圍繞產出目標,重新審視原先組織的職能界限與任務劃分,盡可能將跨越不同職能部門并由不同專業(yè)人員完成的工作環(huán)節(jié)集合起來,形成適應流程管理與控制的企業(yè)組織結構,使企業(yè)組織設計能保障決策點、控制點位于工作執(zhí)行地方,能將信息處理工作納入產生這些信息的實際工作中,并與員工信息的使用權、決策權相匹配,與切合流程職位的控制信息需求和成功運用這些信息相匹配。
組織控制設計的一項重要任務是權責分派與不相容職務分離。傳統(tǒng)設計方法建立在執(zhí)行者、監(jiān)控者、決策者分離的基礎上,并通過層層授權與審批手續(xù)來監(jiān)督員工作業(yè)。在信息技術應用條件下,企業(yè)組織的權責范圍遵循以流程為核心的原則。首先將企業(yè)主要業(yè)務分解為產品流程、質量流程、服務流程、物流流程等,并在這些流程層面上重新定義企業(yè)各部門在業(yè)務流程中的職責以及它們之間的協(xié)調關系。然后再進一步將這些流程分解為一系列相關作業(yè)集合,并結合業(yè)務的信息化程度來定義企業(yè)作業(yè)崗位以及對應的崗位責任制度。作業(yè)崗位權責分派應體現(xiàn)以人為本,崗位職責的授權、績效評估考核等控制設計應能最大限度地發(fā)揮每個員工的主觀能動性和潛能。不相容職務分離設計應結合重組后的業(yè)務特點和人機系統(tǒng)的控制功能,通過計算機應用軟件功能使用權限設置、應用軟件的作業(yè)流程邏輯順序的設置、業(yè)務控制參數(shù)的設置,充分發(fā)揮計算機系統(tǒng)內部監(jiān)控能力,實現(xiàn)信息化環(huán)境下業(yè)務流程不相容職務分離的制度安排。
組織控制的制度設計要充分考慮信息技術在公司治理中的作用。對內,信息系統(tǒng)應與企業(yè)的崗位職責、內部牽制以及責任中心控制、預算控制、企業(yè)財產管理控制、業(yè)績評價等控制制度融合為一體,保障資產安全、會計信息真實及效益提高。對外,建立企業(yè)門戶,采取推拉式服務來加強與外部利益相關者的聯(lián)系。通過信息在組織內外的傳遞,改善企業(yè)監(jiān)督體系與公司治理結構。
2.流程控制設計策略
以往企業(yè)內部控制主要側重于事后控制,即通過期末會計資料的檢查或審計來識別業(yè)務錯誤或舞弊。由于信息技術使企業(yè)業(yè)務流程與信息流程融合在一起,并與企業(yè)上下游建立了密切聯(lián)系,業(yè)務流程控制與信息流程控制成為企業(yè)內部控制系統(tǒng)設計的重要內容,控制重心也從適時控制向事前控制、實時控制轉移,控制的順序先是以預防為主,然后是檢查、糾正錯誤和舞弊。因此,在企業(yè)流程控制的設計中,專業(yè)人員的首要任務是熟悉企業(yè)業(yè)務過程和信息過程以及它們之間的聯(lián)系,并針對組織內部控制目標的要求,對業(yè)務流程和信息流程的各類風險進行評估,確定風險重要程度。其次為業(yè)務過程和信息過程制定規(guī)則和程序,作為控制策略的一部分。具體的規(guī)則依賴于企業(yè)的各種因素,如環(huán)境、組織規(guī)模、使用技術、員工素質等,并在此基礎上建立企業(yè)作業(yè)的預算制度、作業(yè)操作制度、業(yè)績評價制度、供應鏈績效評價制度。最后依據(jù)風險的重要程度確定業(yè)務流程與信息流程的關鍵控制點、建立控制模型,設定控制參數(shù)與控制程序,并將其嵌入到信息系統(tǒng)中, 形成人機結合、業(yè)務活動與信息處理集合的內部控制系統(tǒng)。這樣,在企業(yè)經營過程中,信息系統(tǒng)就能動態(tài)跟蹤業(yè)務活動的信息,自動監(jiān)控這些活動所產生的數(shù)據(jù)是否在控制范圍內,預測發(fā)展趨勢,實時輸出預警信號。組織成員也能依據(jù)這些作業(yè)點的反饋信號及時制定正確決策,有效控制企業(yè)的經營活動過程。
3.信息系統(tǒng)控制設計策略
信息系統(tǒng)控制包括信息系統(tǒng)建設的過程和使用過程的控制。對企業(yè)而言,由于信息系統(tǒng)的建設涉及大量的投資,而且信息系統(tǒng)的質量關系到企業(yè)經營活動的效益,信息系統(tǒng)的風險控制成為企業(yè)所有者與管理者日益關注的重要問題。因此,在信息系統(tǒng)建設過程中,為保證信息系統(tǒng)開發(fā)質量、規(guī)避信息系統(tǒng)建設風險,具體的控制設計策略應包括認真進行系統(tǒng)開發(fā)前期的可行性研究;加強對開發(fā)商的資質驗證;對其已開發(fā)的項目進行調查分析;通過公開招標、答辯等方式選擇適合企業(yè)營運環(huán)境的計算機信息系統(tǒng)軟、硬件與開發(fā)商。在項目實施過程中,應加強對IT項目管理,完善信息系統(tǒng)實施的組織工作,明確人員分工安排以及在項目實施各階段所承擔的責任,建立嚴密進度控制和質量控制機制、驗收程序及第三方監(jiān)理和審計的控制,保障信息系統(tǒng)質量。
信息系統(tǒng)使用過程控制設計包括操作權限與操作規(guī)程控制設計、信息安全與數(shù)據(jù)處理流程控制設計。操作權限控制是指作業(yè)崗位的人員只能按照所授予的權限進行計算機作業(yè)。設計策略主要包括通過對系統(tǒng)資源進行分類管理、員工作業(yè)權限程序化方式,在計算機系統(tǒng)定義用戶具體訪問對象,限制超越權限的非法接觸和訪問。
操作規(guī)程控制是指系統(tǒng)操作必須遵循一定的標準操作規(guī)程進行。主要通過制定軟硬件操作規(guī)程、作業(yè)運行規(guī)程,規(guī)范計算機用戶的操作行為。信息安全控制包括數(shù)據(jù)和程序安全控制、網絡安全控制,通過數(shù)據(jù)保密、訪問控制、身份識別、數(shù)據(jù)備份等措施保障計算機信息資源的安全。
數(shù)據(jù)處理流程控制設計包括數(shù)據(jù)輸入、處理、輸出的控制。例如在計算機系統(tǒng)的數(shù)據(jù)輸入窗口設置各類有效的檢測方法,最大限度地減少操作人員在數(shù)據(jù)輸入過程中出錯的可能性,保障未經批準的業(yè)務不能輸入計算機內;進行嚴格的系統(tǒng)測試,糾正隱含在軟件內的程序處理邏輯錯誤與計算錯誤;檢測計算機系統(tǒng)輸出的數(shù)據(jù)是否合理,能否符合勾稽關系等,以提高計算機數(shù)據(jù)處理質量。
注釋:
?、賲⒁奀OSO委員會1992年、1994年修訂的《內部控制一整體框架》(COSO)報告。
[參考文獻]
[1]朱榮恩。內部控制評價[M].北京:中國時代出版社,2002.
[2]閻達五,宋建波。雙元控制主體框架下現(xiàn)代企業(yè)會計控制新思考[J].會計研究,2002.
[3]王田英?;趦r值鏈的企業(yè)流程再造與信息集成[M].北京:清華大學出版社,2002.
[4]阿妮塔。S.霍蘭德。現(xiàn)代會計信息系統(tǒng)[M].北京:經濟科學出版社,1999.