信息化环境下的企业内部控制
来源:用户上传
作者: 张 涛 马亚红
内容提要:本文审视了信息化环境对企业内部控制的影响,根据目前我国信息化现状及未来可能的实践,提出建立和实施信息化环境下的内部控制系统。首先是建立一个事件驱动型的管理信息系统,将业务控制嵌入其中;同时为了确保信息系统安全有效地运作,必须建立健全信息系统内部控制制度;并且为了确保和审查内部控制制度的有效执行,必须展开对信息系统及其内部控制制度的审计,以最终实现企业建立安全、可靠和高效的内部控制系统。
关键词:信息化;信息化环境;内部控制
中图分类号:270.7文献标识码:A文章编号:1003-4161(2007)06-0117-03
1.引言
信息化环境主要是实现了信息化管理的一种环境,随着信息时代的到来与发展,计算机、网络、通讯等信息技术得到了快速发展,构筑起了数字化和网络化的活动环境。企业信息化主要是指信息技术在企业经济活动中被广泛采用,在技术层面的高度发展,在知识层面资源化。企业在生产、经营及其管理各项活动中充分利用现代信息技术和信息设备,辅以网络技术和网络设备以及自动控制技术和现代化通讯系统等手段对企业进行全方位、多角度、高效和安全的改造,信息资源的深入开发和广泛利用,实现企业生产过程的自动化、管理方式的网络化、决策支持的智能化、商务运营的电子化,不断提高生产、经营、管理、决策的效率和水平,进而提高企业经济效益和竞争力的过程[1]。
信息化改变了企业数据存取、保存、传递的方式和生产经营模式,提高了业务运转与管理的效率、业务流程的自动化以及信息的价值化。这也给在人类漫长历史中发挥巨大作用的内部控制带来了无限的机遇和巨大的挑战,在这样的环境下企业的内部控制重点和模式随之要发生相应的变化,如何构建信息化环境下的企业内部控制系统已成为目前亟待解决的问题。为此,本文试图从信息化环境对企业内部控制的影响着手,分析信息化环境下企业内部控制面临的机遇与挑战,探讨构建和实施信息化环境下的企业内部控制系统。
2.信息化环境下企业内部控制面临的机遇与挑战
2.1 信息技术的广泛应用提高了内部控制效率,增强了内部控制效果
信息流程和业务流程的有效整合,给提高企业内部控制效率,增强内部控制效果,带来了新的机会。信息系统下的内部控制与手工系统下的内部控制相比较,是范围扩大、控制程序灵活多样的综合性控制;是控制的重点职能部门和计算数据处理部门并重的全面控制;是人工控制和计算机自动控制相结合的多方位控制。
2.1.1 在信息化环境下,内部控制是基于一种人机结合的控制模式,许多控制程序,控制指标、控制方法被设置在计算机信息系统内部,大量的人工控制被信息系统的自动控制所取代,原先由多人分工协作的工作被信息技术重组后,只需要一个人就可以完成,这种变化导致企业组织、结构趋于扁平化,内部控制层次明显减少,岗位更加精简,责任更加明确,效率更加提高[2]。
2.1.2 信息技术的发展和广泛应用,有关经营决策的信息可以实现对经营决策过程及其影响的实时、充分、同步的反映,大大降低企业信息的不对称。信息与沟通已不再成为内部控制中难以解决的问题,此时,传统环境下企业所面临的风险可能依然存在但有所减少。
实施同步的信息反映,决定了信息化环境下的企业对经营决策过程的控制活动必然是一个实施同步的过程,这种同步控制活动在经营决策活动发生时就能有效地发现并纠正任何可能存在的问题。从控制角度看,事后定期的监督过程已经与控制活动融为一体,内部控制由单一控制变成了多层次、全方位的控制系统,从单纯的控制活动到控制的诸多要素(活动、环境、程序、风险、制度)的综合控制,从控制财务到企业整个资源的控制,从单纯硬性控制到硬性控制与软控制相结合,从控制现在到全过程控制[3]。
2.2 信息化环境下企业内部控制面临的挑战
信息化环境下企业将面临许多新的特殊风险,诸如信息系统规划建设的治理风险即IT治理风险、软件中内控机制的漏洞风险、系统运转的不稳定性风险、操作的人为风险等[4]。
信息化环境下企业内部控制具有人工控制与程序控制相结合的特点,这些程序化的内部控制的有效性取决于应用程序,如果程序发生差错或不起作用,由于人们对计算机信息系统的依赖性、麻痹大意以及程序运行的重复性,使得失效控制长期不被发现,从而使系统在特定方面发生错误或违规行为的可能性较大。另外任何信息系统都存在着由于操作失误,硬件、软件、网络本身出现故障导致系统数据丢失甚至瘫痪的风险。同时应该看到,随着计算机使用范围的扩大,利用计算机进行的贪污、舞弊、诈骗等犯罪活动有所增加,这也增加了信息化环境下企业内部控制的难度与复杂性[5]。
3.建立和实施信息化环境下的企业内部控制系统
针对上述分析,企业在构建信息化环境下的内部控制系统时,应综合考虑各方面的因素。一方面,要利用信息系统进行控制,将传统环境下成熟的内部控制方法、思想融入系统中,并利用信息技术实施一些在传统环境中无法实施的控制手段和方法;另一方面,针对信息化环境下企业面临的新风险,实施对信息系统的控制。因此,建立和实施信息化环境下的企业内部控制系统应由三部分组成:一是建立和实施信息化环境下的企业信息系统,这必须是一个事件驱动型的系统,将传统内部控制手段和方法嵌入其中;二是为信息系统安全有效的运作,必须建立健全的信息系统内部控制制度;三是为了确保和审查内部控制制度的有效执行,必须开展对信息系统及其内部控制制度的审计,以最终建立和实施安全、可靠、高效的内部控制系统。
3.1 建立和实施信息化环境下的企业信息系统
在信息化环境下,以计算机、网络、通讯等信息技术为基础的信息系统已成为企业不可缺少的基础设施。信息系统不仅仅是计算机、通讯、网络及相关软件等技术部件的集成,它是数据、应用系统、技术、设施和人员的总和。它涉及到系统工程、信息技术和管理科学等多个学科,信息技术的日新月异、经济全球化和社会的复杂性使信息系统的建设与应用遇到巨大挑战。对企业而言,由于信息系统的建设涉及大量的投资,而且信息系统的质量关系到企业经营活动的效益,信息系统的风险控制成为企业所有者与管理者日益关注的重要问题。因此,在信息系统建设过程当中,应保证信息系统开发质量,避免信息系统建设风险。
在信息化环境下,企业必须建立一个事件驱动型的信息系统,并且业务控制的内嵌是关键和核心,因为信息系统既是内部控制的对象更是内部控制的重要工具和手段。由于信息技术使企业业务流程与信息流程融合在一起,业务流程控制与信息流程控制成为企业内部控制系统设计的重要内容。在企业流程控制的设计中,专业人员的首要任务是熟悉企业业务过程和信息过程以及它们之间的联系,并针对组织内部控制目标的要求,对业务流程和信息流程的各类风险进行评估,确定风险重要程度;其次为业务过程和信息过程制定规则和程序,作为控制策略的一部分,具体的规则依赖于企业的各种因素,如环境、组织规模、使用技术、员工素质等,并在此基础上建立作业的预算制度、作业操作制度、业绩评价制度、供应链绩效评价制度;最后依据风险的重要程度确定业务流程与信息流程的关键控制点、建立控制模型,设定控制参数与控制程序,并将其嵌入到信息系统中,形成人机结合,业务活动与信息处理集合的内部控制系统。这样,在企业经营过程中,信息系统就能动态跟踪业务活动的信息,自动监控这些活动所产生的数据是否在控制范围内,预测发展趋势,实施输出预警信号[2]。
3.2 建立有效、健全的信息系统内部控制制度
信息化环境下企业内部控制与企业信息系统的内部控制是共生和融合的,信息化环境下企业内部控制的有效性很大程度上有赖于信息系统的可靠性和有效性,所以研究企业内部控制体系的重心应是关注信息系统的内控机制的建设。
3.2.1 借鉴欧美发达国家已有信息系统管理控制标准与规范,建立信息系统内部控制制度
欧美发达国家对信息系统控制研究与实践起步较早,这些国家从20世纪80年代中期到现在,走过了“技术管理时期”、“多样化管理时期”和“专业管理时期”,所谓专业管理,即使除技术管理外,信息系统的功能管理和应用管理要以按照符合要求的标准或规范运行,这些标准与规范包括COBIT、ISO9000、CMM、ISO/IECI7799和ITIL等。
COBIT(Control Objectives For Information and Related Technology),译为“信息及相关技术的控制目标”,是由国际信息系统审计与控制协会(ISACA)出版,最早在1996年发布,现已发布第3版,目前已成为国际上公认的最先进、最权威的信息技术控制标准。COBIT将IT过程、IT资源及信息与组织的策略与目标联系起来,形成一个三维的体系结构。其中,IT准则维集中反映了企业的战略目标,主要从质量、成本、时间、资源利用率、系统效率、保密性、有效性、可用性等方面来保证信息的安全性、可靠性、有效性;IT资源维主要包括人、应用系统、技术、设施及数据在内的信息相关的资源;IT过程维则在IT准则的指导下,对信息及相关资源进行规划与处理,从信息技术的规划与组织、采集与实施、交付与支持、监控等四个方面确定了34个信息技术处理过程[6]。COBIT覆盖整个信息系统的全部生命周期,涵盖了战略、战术与操作的所有层次,处于各个阶段的信息系统都可以参照应用,它所带来的益处是十分明显的,它使IT战略与组织战略紧密联系,在事业目标、信息系统、业务绩效目标之间维持平衡。它为IT过程提供管理控制结构化、模式化,为信息系统的安全、可靠、效用与效率达到预定目标提供了保障,并为信息系统的审计提供了指导和基础,使审计工作切实可行,审计结论更有说服力和影响力。
实践证明,企业应用这些标准与规范能极大地提高信息系统建设与应用水平,在我国尚未出台相应的信息系统控制标准与规范之前,COBIT对于我们建设信息系统的内部控制制度具有极大的指导作用。
3.2.2 加强管理层对建立有效的信息系统控制制度的重视
信息系统控制的有效性取决于管理层的重视程度,许多人认为信息系统控制是一个技术问题,应该由技术人员负责。事实上,信息系统控制以手工控制为主,需要企业的上下各级组织机构和各类员工的参与,需要制定并实施严格的规章制度。如果企业管理层不能够充分地认识信息技术的风险,不能给信息系统控制以足够的重视,那企业对信息系统控制的投资可能不足,而且不能动员所有员工来重视和参与信息系统控制,各种关于信息系统控制的规章制度的实行将会遇到极大的困难,进而影响信息系统控制的有效性。所以,进行有效的信息系统控制的首要前提是企业管理层的重视[7]。
3.3 对信息系统及其内部控制制度的审计
在企业对业务的传统控制活动逐渐被嵌入到信息系统后,业务控制的有效性依赖于信息系统的安全性、可靠性和有效性,而信息系统的安全性、可靠性和有效性取决于信息系统的控制及其执行是否健全有效。另外,在信息化环境下,许多控制程序、控制指标被设置在计算机信息系统内部,这就要求及时了解原来设置在信息系统内部的控制程序、控制参数是否过时,并针对企业经营环境变化情况,及时评估业务流程控制点的运行状态,重新调整或更改设置在信息系统的控制参数或程序。因此,信息化环境下企业除了需要建立健全信息系统控制之外,通过审计活动审查与评价信息系统的内部控制建设及其执行情况并提出审计建议也是确保信息系统安全、可靠、高效运行的重要措施。
根据审计主体的不同,信息系统审计可以分为内部审计和外部审计两类。内部审计是企业信息系统控制的重要组成部分,是指由企业内部审计机构执行的信息系统审计,是确保信息系统安全、可靠、有效的基本保证。外部审计是由独立的外部信息系统审计人员执行的信息系统审计。在企业建设信息系统的初期,外部审计可以帮助企业迅速提高信息系统的安全性,而在企业信息系统的稳定运行期,外部审计也可以及时发现一些看起来十分普通但实际上非常危险的问题。
在实施内部审计时,有必要引入在西方发达国家企业内部控制管理领域被广泛运用的内部控制自我评价这一新兴的审计技术和方法。内部控制自我评价,简单来说就是公司不定期或定期地对自己内部控制系统进行评价,评价内部控制的有效性及其实施的效率效果,以期能更好地实现内部控制的目标[8]。它是一种自发的自我评估运营程序,把传统的只由内部审计人员从事的内控评价转移由公司各部门参与作业的人员亲自评估,帮助他们认识到内部控制不只是内部审计工作的责任,也不仅是高级管理层应关心的问题,相反,应该把它看做是组织所有成员的事。研究表明,实施内部控制自我评价的方法对于一个企业改进内部控制程序、业务经营程序以及控制风险等都有着积极的作用。
4.结束语
本文分析了信息化环境下企业内部控制面临的机遇与挑战,并就如何构建相应的内部控制体系进行了探讨。本文认为信息化环境是知识经济社会企业所共处的环境,这种环境已经形成而且影响会越来越显著,如何完善信息化环境下企业内控机制应是内部控制研究和法规建设在新时期的重要使命。目前正值我国建立内部控制标准、完善内部控制法律法规之际,趁此大好时机,加强信息化环境下企业内部控制研究,促使我国内控法规和指南的建设借鉴发达国家的成功经验和先进标准,促使在我国尽快建设和完善与信息化环境相适应的内部控制规范框架,大有裨益。
参考文献:
[1]王众托.企业信息化与管理变革[M].北京:中国人民大学出版社,2001.
[2]杨琦.信息技术对企业内部控制影响分析与对策[J].审计与经济研究,2005,(1).
[3]姚友胜.基于网络的企业内部控制及其要素特征[J].审计与经济研究,2004,(11).
[4]陈志斌.信息化生态环境下企业内部控制框架研究[J].会计研究,2007,(1).
[5]刘志远,刘洁.信息技术条件下的企业内部控制[J].会计研究,2001,(12).
[6]章铁生.信息技术条件下的内部控制规范:国际实践与启示[J].会计研究,2007,(7).
[7]杨周南.论会计管理信息化的ISCA模型[J].会计研究,2003,(10).
[8]张谏忠,吴轶伦.内部控制自我评价在宝钢的运用[J].会计研究,2005,(2).
[作者简介]张涛(1962-),男,江苏省无锡市人。 研究方向:财务决策与系统分析。
马亚红(1982-),女,甘肃省陇南市人,兰州大学管理学院会计学硕士研究生。研究方向:财务决策与系统分析。
[收稿日期]2007-09-18(责任编辑:启方)
转载注明来源:https://www.xzbu.com/2/view-483170.htm