【摘要】實時經濟要求盡可能消除經濟活動中的時滯,這就使得“持續”這一概念在內部控制和審計領域得以產生。我國會計信息化要求企業實現內部控制信息化,國際上的權威規范制定機構也提出要對內部控制進行監督,并特別針對IT背景強調了持續監控的必要性。這使得內部控制持續監控成為實時經濟時代的必然。
【關鍵詞】實時經濟 內部控制 持續審計 持續監控
一、實時經濟催生“持續監控”
2002年2月2日,英國的《經濟學家》周刊提出了“實時經濟”的概念,其描述了通用電氣借助“數字儀表板”來對公司運作進行實時監控。“數字儀表板”上會用不同顏色的顯示燈來表示業務運行的狀態,一旦發現問題,系統就可以將問題通過電子郵件的方式發送給相關的管理人員,讓他們及時采取行動。專家們預測,許多公司不久將會利用信息技術使他們的公司變成“實時企業”,這是一種能夠對業務中的變化作出同步反應的組織。隨著企業自身連成一體,并同其他業務伙伴加強了聯系,它們使整個經濟日益呈現出一種“實時”的性質。
“理想的實時企業的情形就是公司的信息流動沒有障礙,業務流程被持續地進行監控,而且能夠觸發快速的響應,通常會根據內嵌的業務規則來自動化地進行。自動化的流程能夠很容易地跨越公司邊界、時區、媒體和系統。現時經濟是一種經濟學家理想中的瞬時的、無摩擦的經濟。現時經濟是由實時企業所構成的一個網絡,他們之間形成了一個虛擬供需鏈”(Fingar & Bellini,2004)。
的確,以電子計算機和通信技術為代表的信息技術(IT)已經發展了60余年,現在正處于加速發展期。IT日新月異,它們沖擊著社會中各個組織的各個角落,影響著企業的商業模式、組織結構和治理方式。Davenport(1998)形象地將這種現象稱為“將企業放入企業系統之中”。IT的發展,進一步催生出了敏捷信息系統,它能夠讓企業針對不斷的變化和不可預測的市場環境中的顧客需求,及時地通過復雜的通訊基礎設施來組裝其技術、員工和管理,從而作出從容、有效和協調的響應。敏捷信息系統的出現,使得企業具備了環境變化的適應能力和創新能力,這也是未來企業需要具備的核心能力之一。
物聯網正在掀起一場新的IT革命。關于“物聯網”概念,公認的是源于美國麻省理工學院(MIT)在1999年建立的自動識別中心(Auto-ID Labs)提出的網絡無線射頻識別(RFID)系統。對于“物聯網”概念的界定,國內學者提出了明晰的框架:“狹義的物聯網是指連接物品到物品的網絡,實現物品的智能轉化識別和管理;廣義的物聯網則是可以看做是信息空間與物理空間的融合,將一切事物數字化、網絡化,物品之間、物品與人之間、人與現實環境之間實現高效信息交互方式,并通過新的服務模式,使各種信息技術融入社會行為,是信息化在人類社會綜合應用達到更高境界”。物聯網通過智能標識、RFID、紅外感應器、全球定位系統、激光掃描器等信息傳感設備,可以把任何物品與互聯網連接起來,進行信息交換和通訊,以實現智能化識別、定位、跟蹤、監控和管理,將世界“一網打盡”。2010年3月5日,溫家寶總理在《政府工作報告》中就提出了要加快物聯網的研發應用,這將物聯網技術發展上升到國家戰略高度。
綜上可見,我們正在向“實時經濟”時代邁進。著名會計信息系統研究專家Vasarhelyi于2010年給澳大利亞特許會計師協會撰寫的《現時經濟中的連續認證》研究報告中,將“實時經濟”稱為“現時經濟”。現時經濟的本質在于減少“時滯”。
Vasarhelyi等(2010)認為,隨著IT的應用,有四種時滯可以得到改善:①流程內的時滯,這是一個流程執行(例如應收賬款處理)所需要的時間,這種延遲已經由越來越自動化的流程步驟來應對。②流程間的時滯,指的是在流程中傳遞數據所需的時間。這種時滯可由越來越多的采納在不同流程中傳遞信息的標準(例如XML、XBRL、XBRL GL)來應對。③決策時滯,指的是作出一個決策所需要的時間,當決策能夠用自動化和剛性的方法來執行的時候,該延遲可以縮減到毫微秒,不過絕大多數的決策都是非結構化的,或者說是柔性的,因此計算機還不能夠完全替代人工作出決策。例如,在審計中,我們可以開發出一些控制規則來自動化地檢測出一些例外事件,但這些例外事件的處理還是需要人工的介入。不過,自動化規則的應用,相比人工抽樣而言,顯著地減少了決策時滯。④決策實施的時滯,指的是需要基于流程的性質,以及相互關聯的流程的類型來作出某個決策所需的時間。例如,審計師對計算機自動檢測出來的例外事件進行處理時,需要對業務時間的前因后果關系進行分析,其可以通過計算機查詢、統計和其他自動化的分析手段來加速分析進程,進而減少決策實施的時滯。
在會計領域,實時報告、實時控制、實時審計等切合實時經濟潮流的新名詞已經被學者們“熱炒”。然而,在當前的IT應用背景下,要真正實現“實時”還存在一定的困難。所以,與當前IT處理節奏更契合的“持續”的概念更加讓研究者們感興趣。“持續”是相對于“周期”而言的,它的頻率可以由企業根據經營業務調整、經營環境變化、業務發展狀況、實際風險水平等自行確定,既可以與業務事件發生的頻率保持一致,也可以每天、每周或者每月進行一次。
當前對持續審計和持續監控的研究成為一股新的熱潮,這些概念已經逐漸從理論走向實踐。
2006年普華永道(PWC)的一次調查發現:“在所調查的392家企業中,81%的企業指出,他們要么已經具有一個持續審計或者監控流程,要么計劃開發相關的流程。”世界頂尖的審計與風險管理軟件公司ACL公司和國際內部審計師協會(IIA)于2006年進行的一個聯合調查也表明,公司對持續審計的興趣快速增長,36%的被調查單位指出,在他們所有的業務流程或者選擇的領域中,已經采納了連續認證方法,另外的39%也指出,在最近也計劃這么做。該調查指出:“無論什么原因,組織可能在過去已經忽視了持續審計,法規方面的需求、對實時財務報告方面的壓力,以及自動化資源的驅動,使得手工審計現在不得不對它們進行采納”。安永(EY)2008年的全球內部審計調查顯示,42%的被調查者已經實施了一個持續審計計劃,多數已經采用這種方式來識別控制缺陷,監控風險和識別潛在的舞弊活動。根據高能公司(Gartner)旗下的高級市場研究機構(AMR)于2009年進行的調查,60%的公司已經采用或者即將采用持續監控,在這些已經采用持續監控的公司中,有60%表示他們已經在某種程度上實現了對持續監控的自動化,這些被調查者認為,持續監控的價值在于實現成本的節約、舞弊的減少、流程的改善和政策的執行。
采用持續審計和持續監控的意義,在理論上(如信息經濟學、代理理論和交易費用經濟學)也得到了很好的支持(Cohen et al. ,2003)。
二、我國對內部控制信息化的關注
我國非常重視信息化工作,并且已經將信息化視為一項國家戰略。《2006 ~ 2020年國家信息化發展戰略》(中辦發[2006]11號)明確指出,信息化是充分利用信息技術,開發利用信息資源,促進信息交流和知識共享,提高經濟增長質量,推動經濟社會發展轉型的歷史進程。國家信息化發展的戰略重點包括:推進國民經濟和社會信息化、加強信息資源開發利用、推行電子政務、完善綜合信息基礎設施、提高國民經濟信息應用能力等。
在這個背景下,為了貫徹國家信息化發展戰略,全面推進我國會計信息化工作,促進會計事業實現更好的發展,財政部于2009年4月發布了《關于全面推進我國會計信息化工作的指導意見》,明確了推進會計信息化的意義、目標、任務、措施和要求等。當中明確指出:“未來5 ~ 10年要實現大型企事業單位會計信息化與經營管理信息化融合,同時要根據企事業單位內部控制規范的要求,將內部控制流程、關鍵控制點等固化在信息系統中,促進各單位內部控制規范制度的設計和運行更加有效,形成自我評價報告”。
作為我國內部控制的綱領性文件,《企業內部控制基本規范》要求:“企業應當運用信息技術加強內部控制,建立與經營管理相適應的信息系統,促進內部控制流程與信息系統的有機結合,實現對業務和事項的自動控制,減少或消除人為操縱因素”(第7條)。“企業應當結合風險評估結果,通過手工控制與自動控制、預防性控制與發現性控制相結合的方法,運用相應的控制措施,將風險控制在可承受度之內”(第21條)。“企業應當利用信息技術促進信息的集成與共享,充分發揮信息技術在信息與溝通中的作用。企業應當加強對信息系統開發與維護、訪問與變更、數據輸入與輸出、文件儲存與保管、網絡安全等方面的控制,保證信息系統安全穩定運行”(第41條)。
配套的《企業內部控制應用指引第18號——信息系統》要求:“企業開發信息系統,應當將生產經營管理業務流程、關鍵控制點和處理規則嵌入系統程序,實現手工環境下難以實現的控制功能”(第6條)。
從這些規定可以看出,借助信息技術加強內部控制,并實現兩者的有機結合,同時保障信息系統整個生命周期的控制,從而促進內部控制規范制度的設計和運行更加有效,已經是我國會計信息化工作必不可少的重要內容。同時,《企業內部控制基本規范》還要求:“企業應當加強對內部控制及其實施情況的監督檢查。監督檢查的方式主要包括持續性監督檢查和專項監督檢查等。持續性監督檢查和專項監督檢查應當有機結合”(第62條),“企業應當結合內部監督情況,定期對內部控制的有效性進行自我評價,出具內部控制自我評價報告”(第46條)。至于如何對信息系統中的內部控制進行監督檢查,或者進行自我評價,我國目前尚未出臺相關的指南,這正是我國會計信息化發展的方向之一。
三、持續監控概念的正式提出
1992年9月,COSO(美國虛假財務報告委員會下屬的發起人委員會)出臺的《內部控制整合框架》,充分運用了控制論、信息論和系統論的思想,將內部控制視為一個開放的系統,并強調內部控制是一個“動態過程”。內部控制是對企業的整個經營管理活動進行監督與控制的過程,企業的經營活動是永不停止的,企業的內部控制過程也因此不會停止。企業內部控制不是一項制度或一個機械的規定,企業經營管理環境的變化必然要求企業內部控制越來越趨于完善,內部控制是一個發現問題、解決問題、發現新問題、解決新問題的循環往復的過程。
在COSO內部控制框架的五個要素(控制環境、風險評估、控制活動、信息與溝通、監控)中,監控是內部控制系統中的一種反饋機制,它通過與其他要素的交互作用,保證內部控制持續有效運行。正是有了監控要素,內部控制系統中的各個組成要素才能夠根據企業內外部環境的變化進行適時調整,共同保持有效性,通過協同作用來支持內部控制目標,進而為具體的組織目標實現提供保證。這樣,內部控制方能成為一個“動態過程”。
監控要素雖然在理論上的地位非常重要,但在實踐中卻并沒有得到充分重視和利用。COSO在2009年2月專門發布了《內部控制系統監控指南》,因為其發現:“一些組織已經在某些領域進行了事實上的監控,但是沒有將監控的結果進行優化,以支持他們關于內部控制有效性的結論。相反,他們增加了冗余的、通常是不必要的測試控制的內部控制評價程序,因為管理層所實施的監控工作,已經能夠充分支持內部控制評價了。在其他一些情況下,組織沒有充分使用持續監控程序,或者總體上缺乏必要的監控程序,這促使他們在年底實施并不充分的評價,來支持他們的結論”。
該指南主要通過對兩個相互聯系的原則進行闡述,以提升人們對監控的理解:①持續監控(Ongoing Monitoring)和單獨評價(Separate Evaluations),能夠讓管理者決定內部控制的其他要素是否在持續地起作用;②內部控制缺陷能夠采用一種及時的方式進行識別,并且讓信息與相關責任方進行溝通,使之能夠采取糾正行動,在必要的時候,將信息報送給管理層和董事會。COSO發布監控指南的目的在于幫助組織設計、實施和評價監控程序,以使監控的兩大原則能夠有效實現。其目的在于強化和闡明,而不是增加或者改變,因為該指南中的相關概念,例如持續監控和單獨評價,都已經在1992年的COSO框架中進行了說明。
COSO建議組織考慮,在可用的信息特點滿足持續監控要求的時候,應該優先采用持續監控的方式。因為根據COSO的監控指南,最優的方案在于內部控制運行的直接信息,通過對最為相關、可靠和及時的直接信息進行監控,所得到的信息是最具說服力的。所以,實時的、動態的持續監控更加有效和客觀,監控了最有說服力的信息,這可能消除后續的對于某個具體控制來決定它是否運行的單獨評價的總的需求。從運行的效率來看,實時的持續監控使其能夠及早地在流程中識別錯誤和糾正錯誤,而且糾正起來更為簡單、成本更低。
COSO在該指南中,特別重視利用IT來進行監控,其指出:“組織可以利用IT(如控制監控工具和流程管理工具)來加強監控。隨著IT的發展,原來有多的稱為組織運營的一部分,對評估這些信息系統內部控制所需的監控工具的需求也隨之增加。自動化的控制監控工具用于執行日常測試,這能夠提高監控特定控制的效率、效果和及時性。一些控制監控工具被用來執行所謂的‘持續監控’。這些工具通過檢查出現某些特定異常情況的每筆交易或選定的交易,作為正常的交易流程作補充。這些工具的大部分更多的時候是應用在高效率的控制活動中。不管怎樣,如果它們具備足夠的精確度,在錯誤變得重要之前將其阻止或識別,它們就能提高整個內部控制系統或是接受監控的關鍵控制的效率和效果”。不過,COSO的監控指南著眼于普遍性的企業內部控制,而非專門針對信息系統內部控制,所以,該指南并未對信息系統內部控制的監控,特別是持續監控做進一步的深入討論。
作為專業的信息系統內部控制的研究機構,信息系統審計與控制協會(ISACA)在推動信息系統內部控制、信息系統審計和IT治理方面一直不遺余力。2010年10月,ISACA基于COSO的《內部控制系統監控指南》,專門發布了《內部控制系統和信息技術監控指南》。ISACA認為,控制的有效性是隨著時間的推移而不斷降低的,這導致了控制經常失敗。某些企業的內部控制并沒有根據設計來運行,其沒能夠跟上業務的變化,以及它們與戰略目標或者經營約束的變化,這可能是由于關鍵的控制遺漏,或者企業缺乏一個對這些控制進行設計、實施、執行、溝通或者修訂的流程。ISACA指出,盡管實現自動化的控制監控可以帶來明顯的效益,但企業依然面臨復雜的IT環境、難以識別的關鍵控制,以及難以對數據進行提取等問題,該指南就是提供幫助企業應對這些挑戰的途徑。
綜上所述,無論是基于實時經濟時代,還是基于我國會計信息化背景,信息系統內部控制研究已成為必然,而COSO和ISACA發布的兩個內部控制監控指南,使得對信息系統內部控制監控成為學界關注的焦點。同時,實時經濟的大環境,要求我們盡可能利用IT來實現監控的自動化,也就是持續監控。由于這是一個新興的研究領域,在具體的理論基礎和配套實施策略方面還有著極大的研究空間。
【注】本文系浙江省自然科學基金項目“上市公司IT 控制信息披露質量研究:量化評價、影響因素與價值效應”(編號:LQ13G020011)的階段性成果。
主要參考文獻
1. Fingar, P.,J. Bellini. The Real Time Enterprise. Tampa,2004, Florida:Meghan Kiffer Press
2. Davenport, T.H. Putting the enterprise into the enterprise system. Harvard Business Review,1998;76
3. Vasarhelyi M. A., Alles M., Williams K.T. Continuous Assurance for the Now Economy. Sydney:The Institute of Chartered Accountants in Australia,2010
4. COSO.Guidance on Monitoring Internal Control Systems. Durham, NC:COSO,2009
5. ISACA.Monitoring Internal Control Systems and IT.Rolling Meadows,IL:Information Systems Assurance and Control Association(ISACA),2010
【作 者】
應里孟
【作者單位】
(溫州大學城市學院 浙江溫州 325035)
