信息化内部控制的发展-.doc
《信息化内部控制的发展-.doc》由会员分享,可在线阅读,更多相关《信息化内部控制的发展-.doc(9页珍藏版)》请在冰豆网上搜索。
企业内部控制的信息化发展
21世纪是信息大爆炸的时代,伴随着计算机、网络通信以及“云技术”的不断发展和应用,企业内部控制的信息化发展已经成为大势所趋,是企业提升自身竞争力,加强可持续发展的重要保障。
而信息化也在很大程度上改变着内部控制的传统职能、范围以及方法,甚至重新定义了内部控制。
我国颁布的《企业内部控制基本规范》中的《企业内部控制应用指引》第18号——信息系统,指出企业应当利用信息系统实施内部控制,应当重视信息系统在内部控制中的作用,这无疑对我国内部控制的信息化发展又注入了一针强心剂。
然而,现有对内部控制的研究,大多从属于会计审计的理论范畴;而且实务中对于内部控制的信息化的发展也较多停留在从“会计电算化”到“会计信息化”的浅层次的发展中。
因此,我们还没有真正的站在整个企业组织管理的角度去看待内部控制,也没有真正走出“信息化就是用计算机代替手工以及纸张”的理论误区。
本文旨在总结我国企业内部控制的信息化理论研究成果,探讨现有研究存在的缺憾之处,分析内控信息化目前存在的问题。
并提出在信息化条件下,内部控制的构建应当着眼于组织整体治理,从宏观理论的角度逐渐转变到重视具体的控制点上。
一、信息化进程对企业内部控制的影响
信息化的全面性、多元性、开放性对企业内部控制的影响已经深入到内部控制的方方面面;并且在企业信息化平台下,企业内部控制层次明显的减少、管理方式趋于扁平化(许永斌、俞淑仙,2004;刘志远、刘洁,2001;骆良彬、张白,2008),这些都对企业内部控制带来了较大影响。
对此前人也已做出了较为深刻、全面的研究,总结起来主要有对内部控制环境、形式、范围、内容、风险等方面的影响。
1、控制环境动态化、集中化、复杂化。
在信息化条件下,无论是企业内部的人员都可以容易的获得想要的信息,并且信息还处在不停的更新中。
企业内部各个部门可以及时的整合信息并将优化过的信息反馈,因此企业内部的交流沟通处于动态的变化之中(许永斌、俞淑仙,2004);由于计算机、网络技术的普及,企业可以将大量的信息进行集中化处理(赵青华,2007);信息化背景下,各个部门不再是单独的个体,而是高度沟通的复杂的整体,“信息孤岛”现象逐渐减少,内部控制因此需要满足日益复杂的环境。
2、控制形式多元化。
传统的内部控制主要针对员工和职务的牵制;在信息化条件下,事件的处理都是通过计算机软件来实现。
因此,内部控制形式开始转变为计算机程序控制和人工控制相互结合(艾文国、王亚鸣,2008)。
3、控制范围和内容的扩大化。
信息化条件下的企业内部控制在查错防弊以外,还涉及到企业的各个方面。
内部控制的重点也从职位牵制、审核等扩大到网络安全、原数据输入、会计信息的输出控制、人机交互处理的控制、计算机系统之间的连接控制等多个方面(赵青华,2007;王棣华、杜晋贤,2008)。
4、控制风险的升级化。
信息化条件下,信息资源的获取不再是难事,开放式的信息管理使得企业外部的人也可以较为便捷的得到想要的信息。
同时,企业的核心信息由传统的手工、纸质转变为电子介质,因此信息的安全问题使得内部控制风险升级(赵青华,2007;杨周南,2003)。
二、内部控制在信息化条件下存在的问题
企业的信息化进程对内部控制产生了根本性的影响,因此现有内部控制要不断适应信息化发展的需要,但是在实践的过程中无论是从宏观还是微观的角度去看,都依然存在着一些问题亟待解决。
(一)宏观角度:
企业将信息化进程片面化
1、信息化已经成为大多数企业的战略之一,但是企业组织在针对信息化制定的战略中却容易产生两个极端的错误:
其一,将信息化当成企业唯一的战略目标;其二,将信息化系统的建设独立于企业战略之外(申林,2003)。
一方面,将信息化当成企业唯一的战略目标会让企业的运营方向产生重大偏差,同时也会片面的追求信息化速度与规模;另一方面,企业容易将信息化建设看成是发展的标志性项目,但是却没有充分的将信息化建设与组织内部的管理、决策以及组织职能结构有机的结合,会导致信息化与组织的管理之间相互独立、不相往来。
2、正是由于企业在制定信息化战略时存在的问题,才会导致信息化与企业组织管理之间存在较大问题,主要集中与两个方面:
其一,信息化建设超然独立,与企业组织文化不相融合;其二,组织片面的追求信息化,乃至将管理信息化看成是片面的技术过程,在实际应用中重技术轻管理、重开发轻维护(申林,2003)。
正是由于企业将信息化进程片面化,才会在宏观层面导致内部控制无所适从,无法和信息化的发展协调进行,从而产生较多的问题。
(二)微观角度:
信息化条件下的内部控制问题
1、内部控制缺乏针对企业信息化的可行性研究。
内部控制应当对企业信息化建设进行可行性研究,包括企业组织投入到信息技术上的各项资源如资金、技术、人员等,并对其做出详细的投资预算,监督各项资源落实到位,才能保障信息化建设顺利进行(游文丽、王形,2003)。
2、内部控制过程尚未合理的嵌入企业业务流和信息流。
信息化的成果之一就是信息流广泛的应用于企业的各个部门沟通、各项事项处理之间,以及业务以业务流的形式进行处理。
但是由于内部控制还未摆脱传统的会计审计的束缚,尚未上升到整个组织的控制,因此还未合理的嵌入到企业业务流和信息流,在许多的关键控制点都存在欠缺(申林,2003)。
3、现有内部控制类型不适合处理功能集中、职责集中的企业信息化。
企业的管理、会计等系统信息化之后,大量的业务依靠信息系统完成,导致功能集中,部分人员职责集中。
而传统的内部控制还过多集中在证实相符以及岗位之间的牵制等方面,所以现有的内部控制类型无法适应功能、职责集中的企业信息化发展。
4、信息系统无法判断经济业务、运营事项的发生是否合理、是否合法以及是否真实。
信息系统可以直接处理大量的经济业务,而且处理的过程中人为无法参与进去,如果信息处理过程中产生错误,会直接影响信息的质量和管理决策。
所以这就给内部控制对企业经营活动的监督产生较大挑战。
虽然现在的信息系统软件带有一定的智能性,可以帮助企业做出部分管理和决策,但是始终无法代替人在企业活动中所起到的作用(王棣华、杜晋贤,2008)。
5、企业内部控制的部门缺乏高素质的信息技术队伍。
一般来说,企业现有的信息技术方面的人才会集中在信息系统开发的岗位上,相应的内部控制岗位上却鲜有懂得信息化技术的人员,由于牵扯到不相容职务分离等原因,所以在企业信息化的背景下,内部控制部门继续补充信息化方面的人才。
6、企业内部控制在维护信息系统的安全性方面有待加强。
传统的企业信息、记录全部是纸质材料。
而信息化条件下,企业的信息全部保存在磁质媒介上,而且还是集中存储在计算机系统中,因此内部控制要保护信息系统安全性,以确保交易信息的安全、防止系统故障、计算机病毒的攻击等。
此外,由于信息的集中存储,所以一旦系统被攻击或遭到破坏,其所造成的损失不可估量,所以在信息化背景下,内部控制除了确保信息系统安全外还应增加灾难恢复的职能。
三、企业内部控制在信息化条件下的完善
上文在前人的基础上,总结分析了信息化进程对企业内部控制的影响,以及内控在应对信息化时所存在的问题。
那么,内部控制应该如何进行自我完善,以适应信息化的发展呢?
COSO报告被认为是目前对内部控制理论阐述比较完善的,它认为内部控制由控制环境、风险评估、控制活动、信息与沟通、监控五个要素组成。
但是,信息化背景下的内部控制不可以简单的从这五个角度去分别完善。
因为信息化进程对内部控制的影响是根本性的,其所带来问题的集中性、复杂性以及后果的严重性都是传统内部控制路径所无法应对的。
对于内部控制在信息化条件下如何去完善,前人也做了大量的研究,总结下来大多集中于几个方面,如图1:
从图中可以看出,对内部控制环境的调整是最为重要的,它关系到内部控制未来的发展。
首先,内部控制的层次要提升,当前企业的内部控制正在受托责任观的基础上逐步将决策有用观转变,内部控制不仅仅要作用于会计财务领域,而是要上升到整个组织的管理角度;其次,内部控制的信息化调整要强调企业管理决策者的重视以及参与,管理者、决策者必须意识到企业的信息化建设过程是对企业运行方式、组织构架乃至企业文化的一场大变革,毫不夸张的说,管理层的高度参与是这场变革的起点与关键性的因素;再次,信息化的进程势必要导致企业职能部门的重大调整,由于信息化条件下的业务处理相对集中、接触的人员减少,同时组织呈现扁平化趋势,有了更大的管理幅度,灵活性也在增强,所以建立企业信息化的决策管理机构很有必要,需要这个机构全面协调规划企业的信息决策和信息管理;最后,不管企业如何发展,人才永远是核心,尤其是在企业信息化背景下,需要大量的信息系统技术、信息管理、信息统计分析等各个方面的人才,而且还需要让全体员工都充分认识到信息化多组织的重要性,因此人才的培养建设内控环境中较为重要的一环。
在环境调整之下,内部控制也应该加强自身制度建设。
首先是建立完善企业信息化工作规范,信息化建设会简化企业的业务操作,但同时也会带来新的风险,因此内部控制应站在组织管理的角度致力于完善信息化工作规范,将风险降低到可控程度;其次,要进一步制定员工的具体操作规范,员工包括管理层对于信息化变革要有适应的过程,因此需要有专门的信息化操作规范来指导企业员工的工作。
企业实现信息化后,日常业务以及管理的信息的传递以及存储将由计算机以及通信网络完成,在很大程度上将取代纸质文件传输,因此如何保障信息系统的安全将成为内部控制的当务之急。
要解决这一问题,需要做如下工作:
首先,强化内控的风险评估职能,传统的风险评估集中关注于组织内部牵制、财务舞弊等领域,信息化条件下,风险评估除了保持原有关注外还应将重心向信息系统的风险评估倾斜;其次,信息系统风险应当处于内部控制的动态监控中,传统的内部控制大多处于事后监督状态,但是信息化条件下,业务流程的速度明显加快,动态化、及时化监控将成为内部控制必须加强的方面;再次,内部牵制、不相容职务分离是内部控制的一贯做法,信息化条件下也不例外,由于大量的工作有计算机完成,人员的岗位职责也要发生变化,因此内部控制要重新规范企业员工的职责划分;最后,企业业务流程以及管理信息等档案将全部以电子数据的形式存储于计算机、网络乃至云终端,因此信息档案以及信息系统的安全将成为内部控制必须时刻关注的问题,因为信息的损失以及破坏对于企业的打击是致命的。
四、企业内部控制在信息化条件下的整体构架以及控制点
上文分别就内部控制在信息化条件下所受的影响、存在的问题、应对措施等三个方面,总结回顾了前人的研究,这些研究可谓由浅入深,循序渐进。
但是,我们同时也应该注意到,这些研究并未从实质上改变内部控制的现状,在解决信息化对内控的影响时,也只是从普通的理论层次对其进行解答,在实际操作时具体要做什么,有哪些重要控制点等并未进行说明。
笔者认为,在信息化条件下企业内部控制应该从两个角度去构建和发展:
一是,将内部控制作为组织管理、决策的手段,成为组织治理的工具;二是,在前人理论的基础上重新明确具体的控制点。
现行的内部控制理论大多来自于会计审计领域,以事后控制为主、以纠错防弊为主要目标,这些可以较好地满足会计信息的质量要求。
但是信息化组织的控制环境发生了重大改变,组织环境在动态变化、范围以及风险在扩大、组织运营方式在多元化,内部控制在原有的会计审计领域已经很难有所发展。
因此必须拓宽内部控制的管理口径,站在组织管理、决策的角度将内部控制打造成信息化组织的治理工具。
同时,内部控制理论应该在信息化组织中明确具体的控制点,即企业组织内部的所有事项流程有哪些关键控制点。
掌握好关键控制点才可以将组织内部的风险降低到可接受水平。
现代企业的组织架构大多是以股东大会为最高权力机构,董事会、监事会为治理层,然后是管理层和执行层(业务层)。
内部控制主要作用包括监事会、内部审计委员会的职责以及从管理层次的分析决策到执行层次的具体操作。
在信息化条件下,内部控制的作用范围也是如此。
如图2:
图2:
信息化内部控制框架
图2描
升级会员 