一、引言
按COSO的定义①,企业内部控制是一种由企业董事会、管理层和其他员工执行,为达到财务报告的可靠性、经营的效果和效率、符合适应的法律和法规的目标而提供合理保证的过程,并由控制环境、风险评估、控制活动、信息和沟通、监控五个要素组成。
传统上,企业大量的经营活动和信息处理活动的记录主要由人工完成,经营过程的物流、资金流所形成的数据流被记载在纸介质上。会计与审计人员在这种应用背景下所形成的风险认识与控制观点,一直左右着企业内部控制系统设计。阿妮塔。s.霍兰德将其描述为:(1)大量使用硬拷贝文档记录、处理和维护交易的信息;(2)重视职责和责任分离;(3)会计数据重复记录和重复数据的大量调整;(4)会计师的反映性要多于主动性,检查性要多于预防性;(5)严重依赖年末对财务报表的检查;(6)避开信息技术;(7)控制的结构基于符合性。
随着经济全球化及市场竞争力度的加剧,许多企业加快了信息化的步伐,以提升企业竞争力。信息技术在企业的广泛应用,不仅改变了传统手工数据处理方式,而且触发了企业管理模式、生产方式、交易方式、作业流程的变革,人们的行为模式也随着企业业务流程化、组织扁平化、作业信息化而发生变化。虽然信息技术没有改变企业内部控制目标,但企业内部所发生的变革对传统的内部控制观点、控制方法产生很大的冲击。因此,如何构建基于信息技术环境下的企业内部控制系统已成为目前亟待解决的问题。为此,文本试图从信息技术对企业内部控制要素的影响着手,分析信息技术环境下企业内部控制呈现的新特点,探讨内部控制系统设计策略,以期达到充分利用信息技术来提高内部控制质量的目的。
二、信息技术对企业内部控制要素的影响分析
1.改善企业控制环境
控制环境构成一个单位的控制氛围,是所有控制方式和方法赖以存在的运行环境。它包括员工的诚实度和胜任能力、董事会或审计委员会、管理理念和经营方式、组织结构、授予权利和责任的方式、人力资源政策和实施。信息技术使企业内部控制环境发生以下的变化。
首先,企业组织结构趋于扁平化。由于计算机信息处理技术替代大量业务层和中间层的人工数据处理工作,数据以磁介质的方式存储在数据库中,并能通过网络迅速传输到企业各个角落。信息技术减少信息在传统组织的信道传输中延迟、失真以及噪音干扰,降低信息获取成本,扩大信息发布范围,增进组织各层次人员的信息传递与交流。原先多人分工协作的工作被信息技术重组后只需一个人就可以完成,大量的人工控制被信息系统的自动控制所取代。这种变化导致企业组织结构趋于扁平化,内部控制层次明显减少,岗位更加精简,责任更加明确,效率更加提高。
其次,提高员工地位和素质要求。随着组织扁平化和业务流程化与信息化,企业决策层次向下移动,基层员工获得更多的决策机会,同时对员工素质也提出了更高的要求。在新的信息技术平台下,员工需要熟悉计算机信息系统,持有实时、积极的控制观点,认识业务发生时信息技术所能提供预防、检查及纠正错误和识别舞弊的机会,充分应用信息技术与自己的专业知识控制企业的经营活动。企业人力资源管理将结合信息技术特点制定员工雇用、培训、提升和奖励政策。内部控制设计更强调以人为本、人机结合的原则,通过增强员工识别风险能力、发现问题与解决问题能力、与其他业务人员协同配合能力,利用信息技术的控制能力来提高企业内部控制质量。
再次,改善信息不对称状况,提高对“内部人” 的监控水平。现代企业由于所有权与经营权分离,真实的会计信息披露对公司治理起着重要的作用。信息技术集成了业务信息处理流程与会计信息处理过程,由于数据同源并在计算机内部连续处理,有效地提高了会计信息的实时性和准确性。而投资者经过合适权限的授权,通过计算机网络就能随时访问企业数据库的相关数据, 在一定程度上改善了信息不对称性状况,增强信息的透明度以及对企业经营者的监控能力,促使企业内部人提高诚信度与道德观,规范企业经营行为。
2.扩大风险评估范围
信息技术应用改变企业传统营运模式,也带来业务流程和信息系统的新风险。例如企业在信息技术平台上运行ERP系统、电子商务、供应链管理系统、客户关系管理系统,通过企业之间、企业内部的信息传递实现协同合作、优化资源配置。企业物流和资金流的流量、流速均由计算机精密排程,与联盟企业、市场情况环环相扣,以求最低成本、最快速度、最好质量组织企业经营活动。因此,供应链的任何环节出现突发事件都会波及企业的正常运行,给企业带来损失。此外,由于企业所有数据存放在数据库服务器内,网络开放性、数据共享性必将增加信息系统的风险,如数据可能被非授权人员拷贝、删除、修改,破坏;计算机病毒感染、黑客入侵、使用人员违规操作也会造成计算机系统故障或信息系统崩溃。企业风险识别、评估与防范,不仅要考虑内外部环境,而且要考虑业务流程与信息流程的耦合度、协作企业的关联度、信息系统的依赖度等因素,规避供应链作业流程和信息系统的新风险给企业带来的危害。
3.业务流程控制与信息系统控制成为控制活动的一项重要内容
在信息技术平台上,企业运行的ERP系统实行流程化管理。企业战略远景的实现、信息系统的导入、企业文化价值观的具体呈现,最终落实到企业的业务作业流程。
信息技术应用使传统人工控制形式演变为人机系统控制,控制重心将集中在作业流程的人机控制与信息系统控制。一些传统的内部控制规则和程序在新的技术环境下失去存在的意义,新的控制规则和程序建立在充分利用信息技术、用最少的资源达到更佳控制目标的基础上。
围绕业务流程,企业会计、审计人员与业务人员将密切协作,共同分析信息技术环境下的企业订单、采购、库存、计划、生产制造、质量控制、运输、分销、财务会计、人事管理等环节的作业过程、管理过程和信息过程的新特点,制定对应控制规则,设计企业预算控制、成本费用控制、资金控制、投资控制、信息记录控制、计算机信息系统控制、业绩评价等控制制度和控制程序,并将这些控制程序和控制参数输入到计算机信息系统内部,形成完整、严密的面向流程的人机内部控制系统。这样,企业员工可以根据信息系统反映的信息流及时监控业务过程的物流、资金流、作业流,通过反馈信息与控制参数的比较,制定决策、预防风险、修正作业错误,防范业务舞弊。另外,在计算机信息系统内部建立严格的人员访问授权、数据接触控制、操作流程规则和职责体系,以避免信息系统故障,保留IT审计线索,杜绝利用信息技术进行贪污、舞弊的行为。
4.组织成员之间信息交流和沟通更加便利
信息与沟通是指企业在其经营过程中识别企业内、外部信息,并在组织内沟通,以便员工了解、执行其职责。
信息技术应用改变企业信息孤岛的状况,大量的企业环境信息、政策信息、经营信息、财务会计信息、作业信息集中存储在企业数据库系统内,并不断被实时更新。基于互联网、企业网、数据库技术的客户/服务器(C/S)和浏览器/WEB服务器(B/S)混合结构的网络平台为企业成员提供了很好的沟通条件。在这个平台上,员工可以十分便捷地从计算机数据库中查阅有关的政策和法规,获取与其职责相关的控制信息,明确各自的权利与责任,了解自己的活动如何与他人的工作相关以及例外情况如何报告或处理的途径。另外,企业在网络平台上构建与利益相关者联系的机制,使组织的相关成员可以实时获取经营信息与财务会计信息,及时进行沟通,达到最佳协同合作和利益共享。
5.监控更注意更新信息系统内部设置的控制参数与控制程序
监控是评价一段时间的内部控制质量过程,包括及时评估控制制度的设计和运行,以及在必要的时候采取的行动。在信息技术环境下,内部控制是基于一种人机结合的控制模式,许多控制程序、控制指标、控制方法被设置在计算机信息系统内部,。因此监控的一项重要内容就是要及时了解原来设置在信息系统内的控制程序、控制参数是否过时,并针对企业经营环境变化情况,及时评估业务流程控制点的运行状态,重新调整或更改设置在信息系统的控制参数或程序。
三、基于信息技术的企业内部控制系统设计策略
针对上述分析,企业在进行内部控制系统设计时,应综合考虑内部控制要素的新特点,从组织控制、流程控制、信息系统控制三方面制定对应设计策略。
1.组织控制设计策略
组织控制是为实现组织的目标而进行的组织结构设计、权责安排和制度设计。在信息技术环境下,流程决定企业组织结构。因此,组织结构设计应以产出为中心,结合企业流程特点、信息化程度、人员素质、风险类型与大小进行全盘考虑;围绕产出目标,重新审视原先组织的职能界限与任务划分,尽可能将跨越不同职能部门并由不同专业人员完成的工作环节集合起来,形成适应流程管理与控制的企业组织结构,使企业组织设计能保障决策点、控制点位于工作执行地方,能将信息处理工作纳入产生这些信息的实际工作中,并与员工信息的使用权、决策权相匹配,与切合流程职位的控制信息需求和成功运用这些信息相匹配。
组织控制设计的一项重要任务是权责分派与不相容职务分离。传统设计方法建立在执行者、监控者、决策者分离的基础上,并通过层层授权与审批手续来监督员工作业。在信息技术应用条件下,企业组织的权责范围遵循以流程为核心的原则。首先将企业主要业务分解为产品流程、质量流程、服务流程、物流流程等,并在这些流程层面上重新定义企业各部门在业务流程中的职责以及它们之间的协调关系。然后再进一步将这些流程分解为一系列相关作业集合,并结合业务的信息化程度来定义企业作业岗位以及对应的岗位责任制度。作业岗位权责分派应体现以人为本,岗位职责的授权、绩效评估考核等控制设计应能最大限度地发挥每个员工的主观能动性和潜能。不相容职务分离设计应结合重组后的业务特点和人机系统的控制功能,通过计算机应用软件功能使用权限设置、应用软件的作业流程逻辑顺序的设置、业务控制参数的设置,充分发挥计算机系统内部监控能力,实现信息化环境下业务流程不相容职务分离的制度安排。
组织控制的制度设计要充分考虑信息技术在公司治理中的作用。对内,信息系统应与企业的岗位职责、内部牵制以及责任中心控制、预算控制、企业财产管理控制、业绩评价等控制制度融合为一体,保障资产安全、会计信息真实及效益提高。对外,建立企业门户,采取推拉式服务来加强与外部利益相关者的联系。通过信息在组织内外的传递,改善企业监督体系与公司治理结构。
2.流程控制设计策略
以往企业内部控制主要侧重于事后控制,即通过期末会计资料的检查或审计来识别业务错误或舞弊。由于信息技术使企业业务流程与信息流程融合在一起,并与企业上下游建立了密切联系,业务流程控制与信息流程控制成为企业内部控制系统设计的重要内容,控制重心也从适时控制向事前控制、实时控制转移,控制的顺序先是以预防为主,然后是检查、纠正错误和舞弊。因此,在企业流程控制的设计中,专业人员的首要任务是熟悉企业业务过程和信息过程以及它们之间的联系,并针对组织内部控制目标的要求,对业务流程和信息流程的各类风险进行评估,确定风险重要程度。其次为业务过程和信息过程制定规则和程序,作为控制策略的一部分。具体的规则依赖于企业的各种因素,如环境、组织规模、使用技术、员工素质等,并在此基础上建立企业作业的预算制度、作业操作制度、业绩评价制度、供应链绩效评价制度。最后依据风险的重要程度确定业务流程与信息流程的关键控制点、建立控制模型,设定控制参数与控制程序,并将其嵌入到信息系统中, 形成人机结合、业务活动与信息处理集合的内部控制系统。这样,在企业经营过程中,信息系统就能动态跟踪业务活动的信息,自动监控这些活动所产生的数据是否在控制范围内,预测发展趋势,实时输出预警信号。组织成员也能依据这些作业点的反馈信号及时制定正确决策,有效控制企业的经营活动过程。
3.信息系统控制设计策略
信息系统控制包括信息系统建设的过程和使用过程的控制。对企业而言,由于信息系统的建设涉及大量的投资,而且信息系统的质量关系到企业经营活动的效益,信息系统的风险控制成为企业所有者与管理者日益关注的重要问题。因此,在信息系统建设过程中,为保证信息系统开发质量、规避信息系统建设风险,具体的控制设计策略应包括认真进行系统开发前期的可行性研究;加强对开发商的资质验证;对其已开发的项目进行调查分析;通过公开招标、答辩等方式选择适合企业营运环境的计算机信息系统软、硬件与开发商。在项目实施过程中,应加强对IT项目管理,完善信息系统实施的组织工作,明确人员分工安排以及在项目实施各阶段所承担的责任,建立严密进度控制和质量控制机制、验收程序及第三方监理和审计的控制,保障信息系统质量。
信息系统使用过程控制设计包括操作权限与操作规程控制设计、信息安全与数据处理流程控制设计。操作权限控制是指作业岗位的人员只能按照所授予的权限进行计算机作业。设计策略主要包括通过对系统资源进行分类管理、员工作业权限程序化方式,在计算机系统定义用户具体访问对象,限制超越权限的非法接触和访问。
操作规程控制是指系统操作必须遵循一定的标准操作规程进行。主要通过制定软硬件操作规程、作业运行规程,规范计算机用户的操作行为。信息安全控制包括数据和程序安全控制、网络安全控制,通过数据保密、访问控制、身份识别、数据备份等措施保障计算机信息资源的安全。
数据处理流程控制设计包括数据输入、处理、输出的控制。例如在计算机系统的数据输入窗口设置各类有效的检测方法,最大限度地减少操作人员在数据输入过程中出错的可能性,保障未经批准的业务不能输入计算机内;进行严格的系统测试,纠正隐含在软件内的程序处理逻辑错误与计算错误;检测计算机系统输出的数据是否合理,能否符合勾稽关系等,以提高计算机数据处理质量。
注释:
①参见COSO委员会1992年、1994年修订的《内部控制一整体框架》(COSO)报告。
[参考文献]
[1]朱荣恩。内部控制评价[M].北京:中国时代出版社,2002.
[2]阎达五,宋建波。双元控制主体框架下现代企业会计控制新思考[J].会计研究,2002.
[3]王田英。基于价值链的企业流程再造与信息集成[M].北京:清华大学出版社,2002.
[4]阿妮塔。S.霍兰德。现代会计信息系统[M].北京:经济科学出版社,1999.