扫码下载APP
及时接收最新考试资讯及
备考信息
企业信息化已是大势所趋,如果把信息化环境比作公路,那么内部控制系统就是交通规则和监控系统,企业经营及其业务流程就是跑在高速公路上的汽车。如果没有“交通规则”和“监控系统”的规范与保障,即使有再好的高速公路,汽车也不能安全、高速地行驶。当前,由于信息系统已在我国企业中逐步普及,而且我国正处在建立内部控制标准、完善内部控制法规之际,因此探讨信息化环境下内部控制系统的优化就具有极其重要的意义。
一、信息化环境下内部控制系统优化的要点
信息化对企业内部控制系统的影响主要体现在:一是企业的业务流程部分甚至全部由信息系统驱动和承载;二是企业内部控制系统依赖于以信息技术为基础的控制;三是企业内部控制的建立依赖于信息系统生成的数据。参照COSO委员会的《内部控制—整体框架》,特别是《企业风险管理—整合框架》,笔者认为,信息化环境下的内部控制系统优化需要明确以下要点:
1.人的因素是信息化环境下内部控制系统优化的重要环境基础。在信息化环境下,企业组织结构在一定程度上趋于扁平化,企业内部控制层次有了一定程度的减少,信息的快速传递会在企业内部造成一个流动和动态的工作氛围,权限和职责的分配方式可以通过信息系统硬性设置为前馈控制,而每个员工作为信息输入/输出的主体直接影响到内部控制系统的运作,因此对于其素质、价值观、人力资源政策和实践等软环境因素就会提出更高的要求。由于信息通过系统平台实时传递、充分共享,每位员工的输入、输出信息都会在第一时间直接影响到其他相关职能部门人员的业务操作,甚至是管理者的决策,因此,具有恰当的价值观、整体全局观,明确责任归属,不断学习创新的知识型员工和管理者,会为整个控制系统的良性运转、自主优化做出贡献,并决定控制系统的成败。
2.风险管理是信息化环境下内部控制系统优化的主要驱动力。内部控制的真正价值在于能够帮助组织降低其所承受的风险。在信息化环境下,业务流程的改变、系统的开放性、信息的分散性和数据的共享性极大地扩展了内部控制的内容,而新的技术也带来了新的风险。优化内部控制系统,首先要熟悉业务并识别隐藏在业务之中的风险,然后才能有效利用信息技术作为控制风险的有效工具,为相应的业务处理过程以及信息过程制定相对正确有效的规则。
3.控制活动全方位贯穿于业务流程优化和保障信息系统安全过程中。在信息化环境下,信息在整个企业实现了充分共享,员工的业绩也能通过系统得到客观的计量,故而控制活动会通过控制系统的激励、引导,逐步实现自我控制。企业的控制活动客体发生了改变,主要是放在了更有可能引起风险的业务流程设计和系统安全控制上,而对下级人员的工作绩效的监督更多地是通过系统来完成。企业业务流程通过信息系统的实施得以再造,可以明确不同的作业环节、不同的个人和部门之间在执行作业过程中的先后顺序及其权责分工,从而使不同作业环节、部门和员工之间产生一种既相互协调又相互制约的关系。任何一个流程系统出现问题,都会从其他流程系统中实时得到反映,从而构成企业内部控制活动的重要机制。
4.信息与沟通是内部控制系统优化的重要保障。随着信息技术在企业的深入应用,信息与沟通会贯穿内部控制的所有环节、要素,并逐渐从内部控制内在的构成要素中凸现出来,成为内部控制系统构建的前提条件。而现代化管理要求管理过程化,因此,控制和信息是不可分的,任何信息的传递和处理都是过程控制和信息管理的两位一体。信息和沟通是内部控制的重要资源,是组织和控制过程的依据和手段,是各管理层次和工作环节互相沟通的神经和纽带,是决策的基础。信息是控制的依据和基础,控制离不开信息的交换和反馈,没有信息,控制也就失去了依据。
5.监控的内容和方式发生变化。信息化环境使内部控制系统具有了人工控制与程序控制相结合的特点。企业内部控制体系的程序化使内部控制在一定程度上具有了对信息系统的依赖性,同时还增加了由于差错得不到及时有效控制而反复发生的可能性。程序化内部控制系统的有效性取决于应用程序设计的质量,由于用计算机程序来进行的内部控制措施体系是需要被反复评估和优化的,若程序发生差错或不起作用,那么控制失效就有可能长期不被发现,从而使系统由于程序运行的重复性而反复发生相同的纰漏。所以,信息化环境下的内控系统更需要监督,且更多地侧重于人工和程序方面。伴随着信息技术与企业管理的结合,管理系统能够越来越低成本地产生信息,而监控不仅可以依靠会计信息展开,还可以根据诸多管理系统生成的业务信息展开。监控的范围也从最初的财务会计转变到了企业整体风险管理运作上,时效性有所提高,已从事后控制转变为事前控制和实时监督。
二、兼顾技术和管理的内部控制系统优化策略
1. 利用系统集成化优化内部控制系统。在信息化初始阶段,企业通常借助计算机去满足手工状态下内部控制和信息处理的要求,很少甚至基本没有顾及信息技术本身的特性,由此产生诸多“信息孤岛”,而某一控制所需要的信息可能部分来自于会计信息系统,也可能部分来自于其他不同的信息系统。这使得很多企业在管理现代化后并没有赢得任何控制的优势。而新系统的集成化是优化内部控制的必由之路。系统集成化是把企业的所有业务实现信息集成,通过物流、资金流和信息流的协同进行,从而实现对业务流程的控制。
一是整合事前预防、事中检查和事后纠正三种控制机制。在集成化的系统中,业务活动和信息处理相结合,以事前预防和事中检查为主、事后纠正为辅来控制业务流程和结果的风险。比如,企业通过预算管理体系,使得费用使用部门、审批、执行与预算等各相关部门的职责权限与流程在集成化的系统中得到统一的规范,任何超越权限、突破流程的作业都不可能发生,任何部门或个人的失职在系统中都被实时地记录和反映。这种事前预防和事中检查功能可对差错和舞弊进行及时有效的控制。
二是实现由会计控制向全面控制、自主控制转变。系统的集成化使得企业中的任何一员都可以在其授权的范围内进行控制,只要利用信息技术设计好严格的控制机制,就可以方便地实现从以会计控制为主向全面的内部控制转变,并由内部控制进一步朝自主控制的方向发展。
2. 创建良好的信息和沟通机制,优化内部控制系统。在信息化环境下,信息和沟通机制包括企业内部IT部门核心成员与相关业务人员的沟通以及与外部审计师之间的沟通。
系统的集成性为构建良好的内部信息和沟通机制创造了条件。由于在业务发生时及时收集的业务信息可实时传递到财务系统,因而实现了对物流、资金流、信息流的全面控制,企业中的任何经营决策过程及其影响的信息已经不再是实际掌握或执行该项经营决策的个人或部门的垄断信息,而是成为整个企业的共享信息。
与外部审计师的沟通则要抱着积极开放的态度,及时跟踪业内动态并与审计师一起讨论分析,增加相互信任,争取与外部审计师交换意见的机会,尊重审计师的建议和观点,及时纠正审计师发现的问题,争取尽早在有争议的问题上达成一致。
3. 重组业务流程,优化内部控制系统。通过有效执行设计合理的业务流程,能规范业务操作,变“人为控制”为“自动控制”,同时提高处理速度,变“滞后控制”为“实时控制”。内部控制以贯穿企业全部业务流程为主线覆盖整个企业,优化内部控制系统就要通过对业务流程进行优化和重组完善原有的内部控制。首先,由于业务流程重组涉及组织结构调整和人员、岗位、职能调整以及控制点的变化。因此,内部控制要结合新控制点制定控制措施。其次,要面向客户和供应商整合整个供应链业务流程,并尽可能实现企业与外部只有一个接触点,变局部控制为全程控制。再次,尽可能将控制点设在工作执行的地方,使组织结构扁平化,降低内部控制的成本。最后,针对企业的各种业务从政策法规、权限金额、标准流程、部门职责等方面进行规范,并将这些规定固化在软件程序中,迫使企业人员按照这种既定的规则进行操作,以提高内部控制的执行力度。
4. 利用信息技术优化内部控制系统。信息技术的确会给组织带来新的风险,但伴随新风险的产生,新的工具也产生了。只要使用得当,就能非常有效地降低这种风险对组织可能造成的损害直至最终合理保证内部控制的目标。另外,信息技术还提供了有效的电子审计线索,数据收集的触角可以延伸到原始业务发生的所有场所,我们可以从报表追查到相应的账簿,再从账簿追查到会计分录,然后从分录到原始凭证的路径追溯审计线索。
利用信息技术优化内部控制系统,需要实施以下七个步骤:一是项目组织和计划;二是内控业务流程分析;三是识别和设计IT 控制点;四是评估IT 内控设计的有效性;五是评估IT 内控执行的有效性;六是缺陷识别和改进建议;七是持续改进。其中,步骤二和步骤三是实施内部控制优化的重要环节。通过这两个步骤的分析设计过程,可以确定企业内部控制的范围,依据该范围再去评估整个内部控制的设计有效性和执行有效性。
上一篇:浅谈公司治理结构中的审计约束
Copyright © 2000 - www.fawtography.com All Rights Reserved. 北京正保会计科技有限公司 版权所有
京B2-20200959 京ICP备20012371号-7 出版物经营许可证 京公网安备 11010802044457号