信息化内部控制的发展-.doc
《信息化内部控制的发展-.doc》由会员分享,可在线阅读,更多相关《信息化内部控制的发展-.doc(9页珍藏版)》请在冰点文库上搜索。
企业内部控制的信息化发展
21世纪是信息大爆炸的时代,伴随着计算机、网络通信以及“云技术”的不断发展和应用,企业内部控制的信息化发展已经成为大势所趋,是企业提升自身竞争力,加强可持续发展的重要保障。
而信息化也在很大程度上改变着内部控制的传统职能、范围以及方法,甚至重新定义了内部控制。
我国颁布的《企业内部控制基本规范》中的《企业内部控制应用指引》第18号——信息系统,指出企业应当利用信息系统实施内部控制,应当重视信息系统在内部控制中的作用,这无疑对我国内部控制的信息化发展又注入了一针强心剂。
然而,现有对内部控制的研究,大多从属于会计审计的理论范畴;而且实务中对于内部控制的信息化的发展也较多停留在从“会计电算化”到“会计信息化”的浅层次的发展中。
因此,我们还没有真正的站在整个企业组织管理的角度去看待内部控制,也没有真正走出“信息化就是用计算机代替手工以及纸张”的理论误区。
本文旨在总结我国企业内部控制的信息化理论研究成果,探讨现有研究存在的缺憾之处,分析内控信息化目前存在的问题。
并提出在信息化条件下,内部控制的构建应当着眼于组织整体治理,从宏观理论的角度逐渐转变到重视具体的控制点上。
一、信息化进程对企业内部控制的影响
信息化的全面性、多元性、开放性对企业内部控制的影响已经深入到内部控制的方方面面;并且在企业信息化平台下,企业内部控制层次明显的减少、管理方式趋于扁平化(许永斌、俞淑仙,2004;刘志远、刘洁,2001;骆良彬、张白,2008),这些都对企业内部控制带来了较大影响。
对此前人也已做出了较为深刻、全面的研究,总结起来主要有对内部控制环境、形式、范围、内容、风险等方面的影响。
1、控制环境动态化、集中化、复杂化。
在信息化条件下,无论是企业内部的人员都可以容易的获得想要的信息,并且信息还处在不停的更新中。
企业内部各个部门可以及时的整合信息并将优化过的信息反馈,因此企业内部的交流沟通处于动态的变化之中(许永斌、俞淑仙,2004);由于计算机、网络技术的普及,企业可以将大量的信息进行集中化处理(赵青华,2007);信息化背景下,各个部门不再是单独的个体,而是高度沟通的复杂的整体,“信息孤岛”现象逐渐减少,内部控制因此需要满足日益复杂的环境。
2、控制形式多元化。
传统的内部控制主要针对员工和职务的牵制;在信息化条件下,事件的处理都是通过计算机软件来实现。
因此,内部控制形式开始转变为计算机程序控制和人工控制相互结合(艾文国、王亚鸣,2008)。
3、控制范围和内容的扩大化。
信息化条件下的企业内部控制在查错防弊以外,还涉及到企业的各个方面。
内部控制的重点也从职位牵制、审核等扩大到网络安全、原数据输入、会计信息的输出控制、人机交互处理的控制、计算机系统之间的连接控制等多个方面(赵青华,2007;王棣华、杜晋贤,2008)。
4、控制风险的升级化。
信息化条件下,信息资源的获取不再是难事,开放式的信息管理使得企业外部的人也可以较为便捷的得到想要的信息。
同时,企业的核心信息由传统的手工、纸质转变为电子介质,因此信息的安全问题使得内部控制风险升级(赵青华,2007;杨周南,2003)。
二、内部控制在信息化条件下存在的问题
企业的信息化进程对内部控制产生了根本性的影响,因此现有内部控制要不断适应信息化发展的需要,但是在实践的过程中无论是从宏观还是微观的角度去看,都依然存在着一些问题亟待解决。
(一)宏观角度:
企业将信息化进程片面化
1、信息化已经成为大多数企业的战略之一,但是企业组织在针对信息化制定的战略中却容易产生两个极端的错误:
其一,将信息化当成企业唯一的战略目标;其二,将信息化系统的建设独立于企业战略之外(申林,2003)。
一方面,将信息化当成企业唯一的战略目标会让企业的运营方向产生重大偏差,同时也会片面的追求信息化速度与规模;另一方面,企业容易将信息化建设看成是发展的标志性项目,但是却没有充分的将信息化建设与组织内部的管理、决策以及组织职能结构有机的结合,会导致信息化与组织的管理之间相互独立、不相往来。
2、正是由于企业在制定信息化战略时存在的问题,才会导致信息化与企业组织管理之间存在较大问题,主要集中与两个方面:
其一,信息化建设超然独立,与企业组织文化不相融合;其二,组织片面的追求信息化,乃至将管理信息化看成是片面的技术过程,在实际应用中重技术轻管理、重开发轻维护(申林,2003)。
正是由于企业将信息化进程片面化,才会在宏观层面导致内部控制无所适从,无法和信息化的发展协调进行,从而产生较多的问题。
(二)微观角度:
信息化条件下的内部控制问题
1、内部控制缺乏针对企业信息化的可行性研究。
内部控制应当对企业信息化建设进行可行性研究,包括企业组织投入到信息技术上的各项资源如资金、技术、人员等,并对其做出详细的投资预算,监督各项资源落实到位,才能保障信息化建设顺利进行(游文丽、王形,2003)。
2、内部控制过程尚未合理的嵌入企业业务流和信息流。
信息化的成果之一就是信息流广泛的应用于企业的各个部门沟通、各项事项处理之间,以及业务以业务流的形式进行处理。
但是由于内部控制还未摆脱传统的会计审计的束缚,尚未上升到整个组织的控制,因此还未合理的嵌入到企业业务流和信息流,在许多的关键控制点都存在欠缺(申林,2003)。
3、现有内部控制类型不适合处理功能集中、职责集中的企业信息化。
企业的管理、会计等系统信息化之后,大量的业务依靠信息系统完成,导致功能集中,部分人员职责集中。
而传统的内部控制还过多集中在证实相符以及岗位之间的牵制等方面,所以现有的内部控制类型无法适应功能、职责集中的企业信息化发展。
4、信息系统无法判断经济业务、运营事项的发生是否合理、是否合法以及是否真实。
信息系统可以直接处理大量的经济业务,而且处理的过程中人为无法参与进去,如果信息处理过程中产生错误,会直接影响信息的质量和管理决策。
所以这就给内部控制对企业经营活动的监督产生较大挑战。
虽然现在的信息系统软件带有一定的智能性,可以帮助企业做出部分管理和决策,但是始终无法代替人在企业活动中所起到的作用(王棣华、杜晋贤,2008)。
5、企业内部控制的部门缺乏高素质的信息技术队伍。
一般来说,企业现有的信息技术方面的人才会集中在信息系统开发的岗位上,相应的内部控制岗位上却鲜有懂得信息化技术的人员,由于牵扯到不相容职务分离等原因,所以在企业信息化的背景下,内部控制部门继续补充信息化方面的人才。
6、企业内部控制在维护信息系统的安全性方面有待加强。
传统的企业信息、记录全部是纸质材料。
而信息化条件下,企业的信息全部保存在磁质媒介上,而且还是集中存储在计算机系统中,因此内部控制要保护信息系统安全性,以确保交易信息的安全、防止系统故障、计算机病毒的攻击等。
此外,由于信息的集中存储,所以一旦系统被攻击或遭到破坏,其所造成的损失不可估量,所以在信息化背景下,内部控制除了确保信息系统安全外还应增加灾难恢复的职能。
三、企业内部控制在信息化条件下的完善
上文在前人的基础上,总结分析了信息化进程对企业内部控制的影响,以及内控在应对信息化时所存在的问题。
那么,内部控制应该如何进行自我完善,以适应信息化的发展呢?
COSO报告被认为是目前对内部控制理论阐述比较完善的,它认为内部控制由控制环境、风险评估、控制活动、信息与沟通、监控五个要素组成。
但是,信息化背景下的内部控制不可以简单的从这五个角度去分别完善。
因为信息化进程对内部控制的影响是根本性的,其所带来问题的集中性、复杂性以及后果的严重性都是传统内部控制路径所无法应对的。
对于内部控制在信息化条件下如何去完善,前人也做了大量的研究,总结下来大多集中于几个方面,如图1:
从图中可以看出,对内部控制环境的调整是最为重要的,它关系到内部控制未来的发展。
首先,内部控制的层次要提升,当前企业的内部控制正在受托责任观的基础上逐步将决策有用观转变,内部控制不仅仅要作用于会计财务领域,而是要上升到整个组织的管理角度;其次,内部控制的信息化调整要强调企业管理决策者的重视以及参与,管理者、决策者必须意识到企业的信息化建设过程是对企业运行方式、组织构架乃至企业文化的一场大变革,毫不夸张的说,管理层的高度参与是这场变革的起点与关键性的因素;再次,信息化的进程势必要导致企业职能部门的重大调整,由于信息化条件下的业务处理相对集中、接触的人员减少,同时组织呈现扁平化趋势,有了更大的管理幅度,灵活性也在增强,所以建立企业信息化的决策管理机构很有必要,需要这个机构全面协调规划企业的信息决策和信息管理;最后,不管企业如何发展,人才永远是核心,尤其是在企业信息化背景下,需要大量的信息系统技术、信息管理、信息统计分析等各个方面的人才,而且还需要让全体员工都充分认识到信息化多组织的重要性,因此人才的培养建设内控环境中较为重要的一环。
在环境调整之下,内部控制也应该加强自身制度建设。
首先是建立完善企业信息化工作规范,信息化建设会简化企业的业务操作,但同时也会带来新的风险,因此内部控制应站在组织管理的角度致力于完善信息化工作规范,将风险降低到可控程度;其次,要进一步制定员工的具体操作规范,员工包括管理层对于信息化变革要有适应的过程,因此需要有专门的信息化操作规范来指导企业员工的工作。
企业实现信息化后,日常业务以及管理的信息的传递以及存储将由计算机以及通信网络完成,在很大程度上将取代纸质文件传输,因此如何保障信息系统的安全将成为内部控制的当务之急。
要解决这一问题,需要做如下工作:
首先,强化内控的风险评估职能,传统的风险评估集中关注于组织内部牵制、财务舞弊等领域,信息化条件下,风险评估除了保持原有关注外还应将重心向信息系统的风险评估倾斜;其次,信息系统风险应当处于内部控制的动态监控中,传统的内部控制大多处于事后监督状态,但是信息化条件下,业务流程的速度明显加快,动态化、及时化监控将成为内部控制必须加强的方面;再次,内部牵制、不相容职务分离是内部控制的一贯做法,信息化条件下也不例外,由于大量的工作有计算机完成,人员的岗位职责也要发生变化,因此内部控制要重新规范企业员工的职责划分;最后,企业业务流程以及管理信息等档案将全部以电子数据的形式存储于计算机、网络乃至云终端,因此信息档案以及信息系统的安全将成为内部控制必须时刻关注的问题,因为信息的损失以及破坏对于企业的打击是致命的。
四、企业内部控制在信息化条件下的整体构架以及控制点
上文分别就内部控制在信息化条件下所受的影响、存在的问题、应对措施等三个方面,总结回顾了前人的研究,这些研究可谓由浅入深,循序渐进。
但是,我们同时也应该注意到,这些研究并未从实质上改变内部控制的现状,在解决信息化对内控的影响时,也只是从普通的理论层次对其进行解答,在实际操作时具体要做什么,有哪些重要控制点等并未进行说明。
笔者认为,在信息化条件下企业内部控制应该从两个角度去构建和发展:
一是,将内部控制作为组织管理、决策的手段,成为组织治理的工具;二是,在前人理论的基础上重新明确具体的控制点。
现行的内部控制理论大多来自于会计审计领域,以事后控制为主、以纠错防弊为主要目标,这些可以较好地满足会计信息的质量要求。
但是信息化组织的控制环境发生了重大改变,组织环境在动态变化、范围以及风险在扩大、组织运营方式在多元化,内部控制在原有的会计审计领域已经很难有所发展。
因此必须拓宽内部控制的管理口径,站在组织管理、决策的角度将内部控制打造成信息化组织的治理工具。
同时,内部控制理论应该在信息化组织中明确具体的控制点,即企业组织内部的所有事项流程有哪些关键控制点。
掌握好关键控制点才可以将组织内部的风险降低到可接受水平。
现代企业的组织架构大多是以股东大会为最高权力机构,董事会、监事会为治理层,然后是管理层和执行层(业务层)。
内部控制主要作用包括监事会、内部审计委员会的职责以及从管理层次的分析决策到执行层次的具体操作。
在信息化条件下,内部控制的作用范围也是如此。
如图2:
图2:
信息化内部控制框架
图2描述了在信息化条件下,内部控制的框架,该图共将内部控制的主要作用范围分为三部分(Ⅰ、Ⅱ、Ⅲ),其中字母A、B……M代表13个具体的控制点。
由于信息化进程对股都大会、董事会、监事会等治理层的影响主要停留在观念上,而对管理层、执行层的影响则是寄到了具体的操作,因此下文主要讨论后者。
Ⅰ表示的是管理层在信息化条件下通过企业内部外部信息进行决策的过程;Ⅱ表示管理层的决策下达到执行层次,业务层次具体的信息化操作,值得注意的是在Ⅱ的各个细分业务层中也包括类似于Ⅰ的信息决策过程;Ⅲ是Ⅰ和Ⅱ的结合,是一个完整的从决策到执行再到信息反馈的过程。
A管理层、B执行层和C信息管理决策机构是在组织层面的控制点,在实施内部控制时应注意三个方面:
一是,在信息化进程中,企业组织结构也要相应调整,在管理决策层面有必要增加以统筹企业信息系统为职能的信息管理决策机构;二是,信息化是一场大变革,其要求必须在企业上下贯彻到位,因此管理层必须高度重视以及亲自参与;三是,在各个层级上都需要加强人才培养,在人力资源角度充实岗位的信息化人才,以适应企业信息化发展。
C信息管理决策机构、D信息输入、E信息处理/可行性分析、F信息输出、G决策和H信息反馈这六点是企业决策系统信息流程的控制点,在实施内部控制时应对这个流程应注意三个方面:
一是,岗位分工和人员牵制,即信息由谁收集和整理,信息由谁反馈、信息由谁输入信息系统,信息分析结果由谁传递等;二是,信息处理、可行性分析的正确性,由于信息化条件下,信息的处理全部由计算机、网络乃至云终端去完成,没有人为参与,所以在保证信息运行的正确性方面内部控制必须做出较大努力;三是,决策过程要经过集体讨论,经过处理分析的信息必须有效的传递到每个参与决策的人员处,使得信息成为共同知识,而且重大决策必须经过集体讨论才能确定。
I信息档案的存储/维护是非常重要的控制点,内部控制应主要注意一下三点:
一是,信息档案存放在不同的位置,即企业完整的信息档案应当存放在2-3个较为安全的位置,以保证信息的完整性以及灾难恢复能力;二是,信息由谁负责保存、能否处于动态监管中;三是,企业现有网络信息系统(如防火墙、加密、防止黑客攻击等)是否能够满足信息安全的需要。
J员工信息化操作流程规范以及K企业信息化工作规范是制度层面的控制点,内部控制应注意两点:
一是,企业必须有完整的信息化工作规范以及可操作的员工信息化操作流程规范,这是首要的制度以及规范保障;二是,要让所有员工包括管理者在内,接受、熟悉并能够正确运用规范。
L风险评估/应对和M监督是企业整体运营层面的控制点,也是内部控制五要素的组成部分,在信息化条件下应注意X点:
一是,风险评估应跳出会计审计的局限,运用企业内部各方面以及外部的信息,充分识别企业面临的风险以及潜在的风险,并结合管理决策系统针对风险进行应对决策;二是,监督要站在企业整体角度进行,而且在信息化条件下要进行动态的、实时的监督。
五、结论和讨论
信息化作为现代企业发展的大趋势已经深深影响了企业的各个方面,从经营环境到组织架构、从运营方式到企业风险都将发生根本性变革,内部控制在这场信息化进程中所面临的挑战也是前所未有的。
《企业内部控制规范》将企业内部控制定义为由董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。
在信息化进程中,内部控制的控制环境、所以依赖的制度规范以及控制活动等都发生相应变革,所以对内部控制的信息化调整势在必行。
对此,很多学者都有过思考和探索,主要集中在揭示信息化对内部控制的影响,内控所面临的信息化问题,内部控制变革方向等。
但是这些研究大多只是从较为宏观的理论角度阐述内部控制在信息化进程中的问题,在决策、执行等操作方面缺少必要的分析。
笔者从具体控制点的角度对企业内部控制在信息化条件下的变更进行分析,从管理层的决策生成过程到执行层的操作流程,以及在企业整体层面的风险评估和监督等方面将内部控制标注出多个控制点,每个控制点再细分出应注意的内部控制事项。
但是,内部控制点的划分和细化还远远不够,企业的管理、决策信息系统需要将信息技术、计算机网络技术乃至于“云技术”充分融入,而内部控制也只有在这些具体的技术支持条件下才能真正把握企业信息化的脉络,成为组织治理的工具。
参考文献
杨雄胜.2006.内部控制理论面临的困境及其出路.会计研究,2:
53-59
杨雄胜.2005.内部控制理论研究新视野.会计研究,7:
49-54
杨周南.2005.价值链会计管理信息化的变革.会计研究,11:
36-40
石爱中.2006.从内部控制历史看内部控制发展——内部控制的信息化改造.审计研究,6:
3-7
刘志远、刘洁.2001.信息技术条件下的企业内部控制.会计研究,12:
32-36
申林.2003.走出信息化的陷阱.企业研究,1:
30-32
艾文国,王亚鸣.2008.企业会计信息化内部控制问题研究.中国管理信息化,15:
14-17
许永斌,俞淑仙.2004.企业信息化对企业内控的影响及对策研究.经济师,7:
145-146
游文丽,王形.2003.对我国企业信息化管理现状的思考.商业研究,2
骆良彬、张白.2008.企业信息化过程中内部控制问题研究.会计研究,5:
69-75
赵青华.2007.会计信息化环境下的企业内部控制探讨.中国管理信息化,2
杨周南.2003.论会计管理信息化的ISCA模型.会计研究,10:
30-32
王棣华、杜晋贤.2008.浅析会计信息化与企业内部控制.会计之友,12:
51-52
王文莲,李大玲.2006.会计信息化理论的学科基础.中国管理信息化.12:
24-25
曹立明.2011.论基于云计算的会计信息化.经济师,7:
171-172
陈志斌.2005.内部控制的嵌入与超越.会计研究,11:
56-60
9
升级会员 