[摘要]本文從內部控制框架的五個基本要素入手,闡述了信息技術條件下企業內部控制的新特點與新問題。信息技術的應用增加了企業內部控制的潛在風險,但信息流程和業務流程的有效整合也給提高企業內部控制效率、增強內部控制效果帶來了前所未有的機遇。文章主張把信息作為控制的關鍵資源,利用信息技術來構建與完善內部控制系統,并提出信息技術條件下我國企業構建內部控制框架的幾個關鍵步驟。
[關鍵詞]信息技術 內部控制 內部控制整體框架
一、引言
內部控制是組織為保護其資產安全,保證信息的完整和正確,促進經營管理政策得以有效實施,提高經營效率,控制經營風險,防止舞弊行為發生并進而實現組織目標的一項重要的管理制度與方法。信息技術的高速發展與廣泛應用改變著企業的管理環境與管理理念,拓寬了企業管理的范圍和內容,而這一切又必定影響并改變著企業內部控制要素的具體內容與表現特征,并給企業內部控制帶來了新的問題與挑戰。理論界也密切注意著信息技術環境下企業內部控制制度的變化。我們可以利用信息技術改善控制程序、增強控制手段,將信息技術有效地集成到業務和信息過程中,借助于信息技術來防范與控制經營風險[1]。也有的學者進一步探討了信息系統環境下企業內部控制制度的構建,試圖建立一種數據——系統——網絡的內部控制體系,以適應信息技術應用的特點[2]。這些研究推動了我國新經濟下內部控制制度的發展與創新,但是大部分研究停留在技術層面,尚未深入探討過信息時代內部控制框架的構成要素會發生怎樣的深刻變化。
內部控制的要素及其構成方式,決定著內部控制的內容與形式。所以,筆者認為,從構成內部控制框架的基本要素人手,分析企業在新環境下面臨的新問題與新要求,并據此設計與運行企業的內部控制系統,才具有更強的理論可取性和實踐可行性。本文將從內部控制框架的五個基本要素人手,分析信息技術環境對企業內部控制要素產生的影響,并提出信息技術條件下我國企業構建與發展內部控制系統的若干建議。
二、信息技術對企業內部控制要素的影響
內部控制理論與實務隨著社會、經濟和技術等環境的變化經歷了豐富多彩的發展歷程,大致可以區分為內部牽制、內部控制制度、內部控制結構與內部控制整體框架等幾個不同階段。其中,由美國注冊會計師協會(AICPA)、美國會計學會(AAA)、財務經理協會(FEl)、國際內部審計師協會(IIA)和管理會計師協會(1MA)共同組成的COSO)委員會,于1992年發表,并于1994年修訂的《內部控制——整體框架》報告,標志著內部控制理論與實踐進入了內部控制整體框架的新階段。該報告是迄今為止對內部控制最為全面的描述,是內部控制發展的又一新的里程碑。COSO報告指出內部控制是由企業董事會、經理階層和其他員工實施的,為實現提高業務活動的效果與效率、增強財務報告可靠性及有關法律法規的遵從性等目標所提供合理保證的一個過程。該定義強調了內部控制實施的主體和內部控制需要達到的目標。COSO報告還指出,內部控制是由控制環境(Control Environment)、風險評價(Risk Assessment)、控制活動(Control Activities)、信息與溝通(1nformationand Communication)、監控(Monitoring)等五個相互關聯的要素構成的。內部控制目標、內部控制要素及內部控制主體三者之間存在直接的關系,共同構成一個理想的內部控制整體框架。
在信息技術環境下,企業內部控制系統仍是由上述五個基本要素構成,框架體系并未發生實質性的改變。但是,每項基本要素的內部構成卻呈現出新的內容,表現出新的特征,也隨之帶來了內部控制中新的問題。下面,我們分別從這五個方面討論信息技術條件下企業內部控制要素所發生的有關變化。
1.控制環境。
控制環境是對企業內控系統的建立和實施有重大影響的各種因素的總稱。根據SAS N0.78的規定,影響控制環境的因素有管理哲學、組織結構、董事會或審計委員會、人力資源政策與實務、權責分派方式、品行與價值觀、勝任能力等。控制環境提供企業架構,塑造企業文化,并影響著組織成員的控制意識,是其他控制要素的基礎。在信息技術條件下,企業內部控制環境將發生以下主要變化,要求管理層樹立信息意識,更新控制觀念。
(1)管理結構扁平化,使得內部控制的組織結構發生改變。隨著企業的擴張,其管理層次和機構也在發展,其結果是組織結構越來越臃腫,管理流程越來越復雜,造成大量的冗員和官僚的作風。而當今的高速變化的市場,卻需要企業在第一時間對市場做出反應,滿足顧客的要求。信息技術的廣泛應用,使得企業組織結構趨向扁平化成為可能,使得決策者和執行者能夠快速溝通,真正做到向管理要效益。新經濟下,企業內部控制層次明顯地減少,但責任更加明確,效率更加提高[3]。
(2)內部控制的方式與管理觀念將發生改變。信息技術的應用產生了巨大的競爭力,增強了企業的靈活性,使得“在大公司里有著小公司的靈魂與速度”。在企業這種新型的扁平式組織結構之中,對等的信息使得無論信息處于何處,企業內外部人員都能夠容易地獲得,領導不再是組織等級的上層,而成為行動的中心。信息經濟要求并導引著企業組織從機械式向有機式并最終向虛擬組織發展演變,要求企業的領導階層學會在一個流動和動態的環境中發現內聚力和構造組織,既要有利于創造、革新、加快速度,又能在不斷磨合中加強內部控制和向心力。2.風險評價
每個企業都面臨著來自內部和外部的不同的風險,風險評估就是分析和辨認實現企業所定目標時可能發生的風險適時加以處理。信息技術手段的不斷應用,在給企業帶來風險的同時也帶來了控制風險的機會和工具。
(1)風險控制體系的變革,使內部控制的范圍加大。在信息技術環境下,雖然企業的整體目標沒有改變,但是經濟、產業及管理的外部環境與內部因素都發生了變化,自然,伴隨業務流程的改變,系統的開放性、信息的分散性、數據的共享性,極大的改變了以往封閉集中狀態下的運行環境,從而改變了傳統的風險控制內容和方法。例如強大的、復雜的計算機系統增加了企業潛在的風險,因為人們的主觀判斷被忽略,數據處理過于集中,存儲的數據可以被不留痕跡地改寫和刪除,數據的存放形式增加了數據再現的難度,數據處理過程無法觀測等等。這些新的風險點構成了內部控制的新內容。新的技術帶來了新的風險,我們應辨認已發生的改變,并采取必要的行動,擴大控制的范圍。
(2)有效利用信息技術,作為控制風險的工具。我們應該明確這樣一種認識:風險的存在不是我們把信息技術拒之門外的理由,我們應樹立信息意識,更新控制觀念,改變思維定式,有效利用信息技術為企業服務。如果我們把信息技術作為防范風險的工具,與業務活動有效結合起來,一個控制良好的電子數據處理系統具有更大的潛力來減少錯誤和舞弊的發生,保證企業業務處理活動嚴格按商業規則進行。所以,我們應該,也有可能把信息技術作為強化內部控制的一個有效工具。
3.控制活動
控制活動是企業為了保證指令得到實施而制定并執行的控制政策和程序,是針對實現組織目標所涉及的風險而采取的必要防范或減少損失的措施。SAS NO.78列舉的控制活動有績效評估、信息處理、實物控制和職責分工等。信息技術的廣泛應用,對控制手段也有一定的影響。
(1)信息技術的引入增強了控制手段的多樣性、靈活性、高效性,加強了內部控制的預防、檢查與糾正的功能。控制的重點由對人的控制為主轉變為對人、機共同控制為主,控制程序也應當與計算機處理相適應。
(2)信息技術的恰當應用,可以使企業擺脫人員與資源的限制,經濟有效的實現內部控制的目標。在新環境下應形成新的控制理念:好的內部控制不應僅依賴過多的審核人員或復雜的控制程序,而應該依賴信息時代的控制哲學和恰當適用的信息技術。
(3)同時應該看到,隨著計算機使用范圍的擴大,利用計算機進行的貪污、舞弊、詐騙等犯罪活動有所增加。如儲存在計算機磁性媒介上的數據容易被篡改;數據庫技術的提高使數據高度集中,未經授權的人員有可能通過計算機和網絡瀏覽全部數據文件,復制、偽造、銷毀企業重要的數據,使得計算機犯罪具有很大的隱蔽性和危害性,因此,也增加了信息技術環境下內部控制的難度與復雜性。
4.信息與溝通
企業在其經營與控制的過程中,需要按某種形式辨識并取得來自企業內部及外部的信息,并在組織內部進行溝通,以使員工清楚地獲取有關其控制責任的信息,履行其責任。與現代信息技術相結合的信息系統具有開放化、實時化、電子化的技術特點,在內部控制系統中層現出新的特點并發揮出新的作用。
(1)在新經濟時代,網絡銜接企業各職能部門,實現會計和業務的一體化處理,使會計核算從事后的靜態核算轉變為事中的動態核算,信息需求者可以獲取實時信息,“使得工作在空間和時間上的接近不再是至關重要的問題”[4],這樣,內部控制可以由順序化向并行化發展。通過這種方式,可以使企業的設計、制造、銷售、工業工程等人員并肩工作,共同控制企業的物流和信息流。 (2)開放的信息系統為內部員工、管理者以及顧客、供應商等外部團體提供了開放的溝通管道,有利于內部溝通與外部溝通的進行,使得組織內的員工清楚了解內部控制制度的規定,各自的責任;管理者隨時掌握內部控制制度的執行與生效情況,并可以從外部信息中獲悉關于本企業內部控制功能的重要信息。
(3)網絡開放的環境很難避免非法侵擾,會計信息系統很有可能遭受非法訪問甚至黑客或病毒的侵擾。同時,我們還應注意新環境下信息系統的信息品質。在網絡環境下,財務信息的傳遞借助于網絡完成,電子符號代替了會計數據,磁性介質代替了紙張,財務數據流動過程中簽字蓋章等傳統交易授權手段不再存在,從而使網絡信息的真實性受到質疑,這都給內部控制提出了新的問題。
5.監控
內部控制的程序化使得內部控制具有一定的依賴性并增加了差錯反復發生的可能性。信息技術的應用,使得內部控制具有人工控制與程序控制相結合的特點。這些程序化的內部控制的有效性取決于應用程序,如果程序發生差錯或不起作用,由于人們對計算機系統的依賴性、麻痹大意以及程序運行的重復性,使得失效控制長期不被發現,從而使系統“在特定方面發生錯誤或違規行為的可能性較大”。所以,在信息技術環境下,更應注意對內部控制的監督,由適當的人員,在適當的時候,及時評估控制的設計和運作情況。
由此可見,信息技術的應用使得內部控制框架的內部構成產生了新的變化,給提高企業內部控制效率、增強內部控制效果,帶來了新的機會,也產生了潛在的風險。信息系統下的內部控制制度與手工會計系統的內部控制制度相比較,是范圍擴大、控制程序靈活多樣的綜合性控制;是控制的重點為職能部門和計算數據處理部門并重的全面控制;是人工控制和計算機自動控制相結合的多方位控制。
三、信息技術條件下內部控制系統的構建與實施
傳統的內部控制制度是為防止舞弊和差錯而形成的以內部稽核和相互牽制為核心的工作制度。由于信息技術的更多應用,賦予了其新的內涵,發展成為以系統安全保障與稽核牽制制度相結合的控制體系。隨著信息時代的到來,我們應把信息看作為內部控制中可以利用的一項資源,內部控制系統可分為系統控制與管理控制兩大類。
(一)系統控制
系統控制是指與程序設計、運行維護、數據處理過程、硬件設備等相關的可靠性控制制度。根據信息技術應用下的企業內部控制中新的控制風險,企業應加強在這幾方面的控制力度。
它包括一般控制與應用控制。一般控制幫助管理階層確保系統能持續、適當的運轉,具體含有應用系統開發、建立和維護控制,系統軟件與操作控制,數據和程序控制,存取安全控制,網絡安全控制等。應用控制是對會計信息系統中具體的數據處理活動所進行的控制,包括應用軟件中的電算化步驟及相關的人工程序,劃分為輸入控制、計算機處理與數據文件控制和輸出控制。(二)管理控制
管理控制是運用現代管理學的組織規劃、資源使用限制等原理,制定諸如業務流程、工作程序、崗位設置、職責分工、授權批準等一系列內部管理制度。信息技術的引進以及現代社會經濟環境的嶄新變化,使我們要在以往內部控制形式上注入新的特色。下面也分別從構成內部控制框架的五個基本要素,談一談信息技術環境下構建內部控制系統應注意的幾個問題。
1.完善內部控制環境,培養企業整體的信息技術能力
企業為了適應控制環境的變化,需要從一個新的角度來看待信息技術,要重視公司進行網絡化管理的整體的IT能力,而不是簡單的建立諸如儲存系統、存貨控制系統等幾個孤立的IT系統。
(1)建立健全的組織結構與權責分派體系。企業應對原有的組織機構進行適當的調整,以適應信息系統的要求。企業可以按會計數據的不同形態,劃分為輸入組、數據處理組和會計信息分析組等;也可以按會計崗位和工作職責劃分為計算機會計主管、軟件操作、審核操作、審核記賬、電算維護、電算審查、數據分析等崗位。組織結構的設置必須適合企業的實際規模,符合企業總體經營目標,并且應按精簡、合理的原則對組織機構的設置進行成本效益分析。
(2)重新調整內部控制中的內在關系。網絡技術突破了信息傳遞和信息處理的瓶頸,管理的幅度增大,層次減少,高聳性的組織結構逐漸趨于扁平,隱藏在這一表征后面的實質是從根本上對組織的人員和職能之間的關系的重新界定。在新經濟時代,網絡使得內、外部人員平等地進行動態協調與溝通,企業中的每一個人都可以成為控制網絡上的一個決策點或節點,內部控制由命令與控制向集中與協調轉變。
(3)強調內部控制框架中的“軟控制”與人的重要性。內部控制由人來進行并受人的因素影響,保證組織內所有成員具有一定水準的誠信、道德觀和能力的人力資源方針與實踐是內部控制有效的關鍵因素之一。實踐表明,基于環境現狀構建內部控制機制是一種被動性的做法,故此,我們應越來越重視將道德規范、行為準則、能力素質的建設直接納入內部控制結構的內容,更加強調“軟控制”的作用[6]。在信息技術環境下,企業尤其應該注重培養組織中人員的信息觀念,理解企業信息化建設和管理改革、內部控制創新之間的關系,并重視和實現這個改革。
信息時代同樣是知識經濟的時代,企業發展將主要依靠科技、知識與人才。“人本主義”作為構建內部控制機制的信條已經越來越多地被企業接受,企業管理者應當重視對人員的選擇、使用和培養,這不再只是內部控制的環境因素,它也日益成為內部控制結構的有機組成部分。
2.評估與現行的業務過程和信息過程有關的風險,利用信息資源進行風險控制
(1)建立新型的風險控制體系,加強內部控制創新。新經濟是在高科技不斷創新的基礎上建立起來的,企業在新經濟環境下運行具有很大風險,企業的生產經營活動需要相應的內部控制制度創新做保證。因此借助于信息技術,利用信息資源,及時的將資本市場、產品市場、供求狀況、顧客信息、政策法規的信息進行收集和整理,通過計算機的多模型模擬,進行敏感度分析,及時調控經營風險,完善投資決策,是一個越來越被重視的領域。
(2)注意識別新環境下的新風險,制定相應的控制程序有效降低風險。對于內部控制的研究不可能脫離其賴以存在的環境及企業內外部各種風險因素。在IT高速發展的今天,信息的傳播、處理和反饋的速度都大大加快了,由此導致企業會常常同時改變業務和信息過程。在這個改變過程中,不能再盲目地采用傳統的控制政策和程序,而必須重新評價它,以適應新業務發展的需要。我們應把注意力集中在評估特定業務環境下的風險,并制定相應的控制程序,而不能拘泥于特定的控制程序,并進而限制了對技術的使用。
3.控制手段中應充分引入信息技術,增強內部控制
(1)增強內部控制系統的預防性功能,給企業帶來更大的價值。一個有效的內部控制制度需要預防性的、檢查性的和糾正性的控制。傳統的內部控制制度通常是根據已輸出的會計信息在年末檢查財務錯誤和舞弊,大部分的內部控制的預防功能被限制丁,這也同時影響丁企業的所有者和經營者對內部控制制度的理解與重視程度。在信息技術環境下,廣泛地使用信息技術為支持決策和改善業務與信息過程提供了戰略機會,也提供了預防、檢查和糾正錯誤或舞弊的機會。例如,我們今天的技術水平已能在計算機中加入芯片,隨時監控你的工作和運行程序,在你犯錯誤或程序出現問題時及時提示你該做什么,或與技術支持相聯系,向他們報告問題。因此,會計與審計人員在建立內部控制制度時,應充分考慮技術的能力,打破傳統上獨立的、反映的和檢查性的模式,而具備“實時”的控制思想:即利用信息技術將控制嵌入到會計信息系統中,在更廣泛的IT環境中來看待企業內部控制,針對關鍵控制點制定相應的控制手段,強調預防、業務操作和對規章制度的遵守情況,從傳統的發現問題、事后補救的做法,發展為做到事前預防和事中控制。
(2)利用信息技術,實現企業的一體化集成管理。企業應在新環境下,通過信息化的手段完成產、供、銷業務的連貫,實現財務處理與業務處理的一體化,建立一個實時有效的計劃和預算系統。在流程信息化的過程中,改革傳統的業務結構,提高運營效率,降低成本,加強企業內部基礎管理的規范性。
4.加強對會計信息系統的控制
隨著計算機在會計工作中的普遍應用,管理部門對由計算機產生的各種數據、報表等會計信息的依賴越來越大,這些會計信息的產生只有在嚴格的控制下,才能保證其可靠性和準確性。同時也只有在嚴格的控制下,才能預防和減少計算機犯罪的可能性。
信息技術為達到記錄、維護和產生精確、完整和及時的信息這一目標帶來了機遇。但是,當企業在系統的開發與應用時,應更加強調,在業務活動發生時,在有關數據進入企業數據庫之前,檢查這些數據的精確性、完整性和合法性。如果不恰當的數據出現在記錄和維護過程中,將會對公司造成某種程度的傷害。如果不精確、不完整、不合法的數據被記錄和維護,結果會影響以后的所有處理,包括錯誤的報告和信息利用的質量。
5.定期評估,重新設計規則
新的技術帶來了新的大部分人還沒有意識到的風險,內部控制系統必須經常評估和更新。沒有哪一套規則在環境發生變化時還能很好地適應,所以,對專業人員來說,評估內部控制的有效性是非常重要的。既然控制程序和企業具體環境相關,當新的業務和信息流程提出后,控制目標應當保持不變,但為達到該目標的具體控制措施必須改變以適應新的環境,不要讓內部控制程序限制能使企業運行更加有效的技術的使用。
四、結論
把信息作為控制的資源,利用信息技術來構建與完善內部控制系統是我們討論的一個實際的、及時的控制觀點。隨著計算機、網絡等信息技術在會計中的廣泛應用,一些傳統的核對、計算、存儲等內部會計控制方式都被計算機輕而易舉地替代。但任何先進手段都是被人所指揮、所掌握,一些傳統的企業內部會計控制制度如職務分離控制、業務程序控制等仍有自身生存和發展的土壤,仍將有效地發揮自己的積極作用。在采用新型內部控制手段時,要結合傳統有效的內部控制方式。畢竟,在信息時代,技術既不是救星,也不是惡魔。技術有時會分散我們的注意力并誤導我們,但是,新系統也可以幫助企業更加有效的應用信息,進行真正的變革與創新。
