一、信息化環境下內部控制系統優化的要點
信息化對企業內部控制系統的影響主要體現在:一是企業的業務流程部分甚至全部由信息系統驅動和承載;二是企業內部控制系統依賴于以信息技術為基礎的控制;三是企業內部控制的建立依賴于信息系統生成的數據。參照COSO委員會的《內部控制—整體框架》,特別是《企業風險管理—整合框架》,筆者認為,信息化環境下的內部控制系統優化需要明確以下要點:
1.人的因素是信息化環境下內部控制系統優化的重要環境基礎。在信息化環境下,企業組織結構在一定程度上趨于扁平化,企業內部控制層次有了一定程度的減少,信息的快速傳遞會在企業內部造成一個流動和動態的工作氛圍,權限和職責的分配方式可以通過信息系統硬性設置為前饋控制,而每個員工作為信息輸入/輸出的主體直接影響到內部控制系統的運作,因此對于其素質、價值觀、人力資源政策和實踐等軟環境因素就會提出更高的要求。由于信息通過系統平臺實時傳遞、充分共享,每位員工的輸入、輸出信息都會在第一時間直接影響到其他相關職能部門人員的業務操作,甚至是管理者的決策,因此,具有恰當的價值觀、整體全局觀,明確責任歸屬,不斷學習創新的知識型員工和管理者,會為整個控制系統的良性運轉、自主優化做出貢獻,并決定控制系統的成敗。
2.風險管理是信息化環境下內部控制系統優化的主要驅動力。內部控制的真正價值在于能夠幫助組織降低其所承受的風險。在信息化環境下,業務流程的改變、系統的開放性、信息的分散性和數據的共享性極大地擴展了內部控制的內容,而新的技術也帶來了新的風險。優化內部控制系統,首先要熟悉業務并識別隱藏在業務之中的風險,然后才能有效利用信息技術作為控制風險的有效工具,為相應的業務處理過程以及信息過程制定相對正確有效的規則。
3.控制活動全方位貫穿于業務流程優化和保障信息系統安全過程中。在信息化環境下,信息在整個企業實現了充分共享,員工的業績也能通過系統得到客觀的計量,故而控制活動會通過控制系統的激勵、引導,逐步實現自我控制。企業的控制活動客體發生了改變,主要是放在了更有可能引起風險的業務流程設計和系統安全控制上,而對下級人員的工作績效的監督更多地是通過系統來完成。企業業務流程通過信息系統的實施得以再造,可以明確不同的作業環節、不同的個人和部門之間在執行作業過程中的先后順序及其權責分工,從而使不同作業環節、部門和員工之間產生一種既相互協調又相互制約的關系。任何一個流程系統出現問題,都會從其他流程系統中實時得到反映,從而構成企業內部控制活動的重要機制。
4.信息與溝通是內部控制系統優化的重要保障。隨著信息技術在企業的深入應用,信息與溝通會貫穿內部控制的所有環節、要素,并逐漸從內部控制內在的構成要素中凸現出來,成為內部控制系統構建的前提條件。而現代化管理要求管理過程化,因此,控制和信息是不可分的,任何信息的傳遞和處理都是過程控制和信息管理的兩位一體。信息和溝通是內部控制的重要資源,是組織和控制過程的依據和手段,是各管理層次和工作環節互相溝通的神經和紐帶,是決策的基礎。信息是控制的依據和基礎,控制離不開信息的交換和反饋,沒有信息,控制也就失去了依據。
5.監控的內容和方式發生變化。信息化環境使內部控制系統具有了人工控制與程序控制相結合的特點。企業內部控制體系的程序化使內部控制在一定程度上具有了對信息系統的依賴性,同時還增加了由于差錯得不到及時有效控制而反復發生的可能性。程序化內部控制系統的有效性取決于應用程序設計的質量,由于用計算機程序來進行的內部控制措施體系是需要被反復評估和優化的,若程序發生差錯或不起作用,那么控制失效就有可能長期不被發現,從而使系統由于程序運行的重復性而反復發生相同的紕漏。所以,信息化環境下的內控系統更需要監督,且更多地側重于人工和程序方面。伴隨著信息技術與企業管理的結合,管理系統能夠越來越低成本地產生信息,而監控不僅可以依靠會計信息展開,還可以根據諸多管理系統生成的業務信息展開。監控的范圍也從最初的財務會計轉變到了企業整體風險管理運作上,時效性有所提高,已從事后控制轉變為事前控制和實時監督。
二、兼顧技術和管理的內部控制系統優化策略
1. 利用系統集成化優化內部控制系統。在信息化初始階段,企業通常借助計算機去滿足手工狀態下內部控制和信息處理的要求,很少甚至基本沒有顧及信息技術本身的特性,由此產生諸多“信息孤島”,而某一控制所需要的信息可能部分來自于會計信息系統,也可能部分來自于其他不同的信息系統。這使得很多企業在管理現代化后并沒有贏得任何控制的優勢。而新系統的集成化是優化內部控制的必由之路。系統集成化是把企業的所有業務實現信息集成,通過物流、資金流和信息流的協同進行,從而實現對業務流程的控制。
一是整合事前預防、事中檢查和事后糾正三種控制機制。在集成化的系統中,業務活動和信息處理相結合,以事前預防和事中檢查為主、事后糾正為輔來控制業務流程和結果的風險。比如,企業通過預算管理體系,使得費用使用部門、審批、執行與預算等各相關部門的職責權限與流程在集成化的系統中得到統一的規范,任何超越權限、突破流程的作業都不可能發生,任何部門或個人的失職在系統中都被實時地記錄和反映。這種事前預防和事中檢查功能可對差錯和舞弊進行及時有效的控制。
二是實現由會計控制向全面控制、自主控制轉變。系統的集成化使得企業中的任何一員都可以在其授權的范圍內進行控制,只要利用信息技術設計好嚴格的控制機制,就可以方便地實現從以會計控制為主向全面的內部控制轉變,并由內部控制進一步朝自主控制的方向發展。
2. 創建良好的信息和溝通機制,優化內部控制系統。在信息化環境下,信息和溝通機制包括企業內部IT部門核心成員與相關業務人員的溝通以及與外部審計師之間的溝通。
系統的集成性為構建良好的內部信息和溝通機制創造了條件。由于在業務發生時及時收集的業務信息可實時傳遞到財務系統,因而實現了對物流、資金流、信息流的全面控制,企業中的任何經營決策過程及其影響的信息已經不再是實際掌握或執行該項經營決策的個人或部門的壟斷信息,而是成為整個企業的共享信息。
與外部審計師的溝通則要抱著積極開放的態度,及時跟蹤業內動態并與審計師一起討論分析,增加相互信任,爭取與外部審計師交換意見的機會,尊重審計師的建議和觀點,及時糾正審計師發現的問題,爭取盡早在有爭議的問題上達成一致。
3. 重組業務流程,優化內部控制系統。通過有效執行設計合理的業務流程,能規范業務操作,變“人為控制”為“自動控制”,同時提高處理速度,變“滯后控制”為“實時控制”。內部控制以貫穿企業全部業務流程為主線覆蓋整個企業,優化內部控制系統就要通過對業務流程進行優化和重組完善原有的內部控制。首先,由于業務流程重組涉及組織結構調整和人員、崗位、職能調整以及控制點的變化。因此,內部控制要結合新控制點制定控制措施。其次,要面向客戶和供應商整合整個供應鏈業務流程,并盡可能實現企業與外部只有一個接觸點,變局部控制為全程控制。再次,盡可能將控制點設在工作執行的地方,使組織結構扁平化,降低內部控制的成本。最后,針對企業的各種業務從政策法規、權限金額、標準流程、部門職責等方面進行規范,并將這些規定固化在軟件程序中,迫使企業人員按照這種既定的規則進行操作,以提高內部控制的執行力度。
4. 利用信息技術優化內部控制系統。信息技術的確會給組織帶來新的風險,但伴隨新風險的產生,新的工具也產生了。只要使用得當,就能非常有效地降低這種風險對組織可能造成的損害直至最終合理保證內部控制的目標。另外,信息技術還提供了有效的電子審計線索,數據收集的觸角可以延伸到原始業務發生的所有場所,我們可以從報表追查到相應的賬簿,再從賬簿追查到會計分錄,然后從分錄到原始憑證的路徑追溯審計線索。
利用信息技術優化內部控制系統,需要實施以下七個步驟:一是項目組織和計劃;二是內控業務流程分析;三是識別和設計IT 控制點;四是評估IT 內控設計的有效性;五是評估IT 內控執行的有效性;六是缺陷識別和改進建議;七是持續改進。其中,步驟二和步驟三是實施內部控制優化的重要環節。通過這兩個步驟的分析設計過程,可以確定企業內部控制的范圍,依據該范圍再去評估整個內部控制的設計有效性和執行有效性。
