浅析信息化环境下公司内部控制的构建
时间:2022-10-01 06:41:46
[摘要] 人类社会已经跨入信息社会和知识经济时代,信息化改变了企业内部控制的基本环境,带来了潜在风险,但也为提高企业内部控制效率、增强内部控制效果带来了前所未有的机遇。本文通过信息化环境对企业内部控制环境、风险评估、控制活动、信息沟通及监督等方面的影响分析,提出了信息化条件下我国企业构建内部控制的几个关键步骤。
[关键词] 信息化环境 内部控制 控制环境 动态化内控制度 信息系统控制
人类社会已经跨入信息社会和知识经济时代,企业的生存和发展则更倚重于科学有效的管理。作为企业管理核心之一的内部控制也面临着时展的考验,因此在信息化环境下重新构建企业内部控制颇具意义。
一、引言
内部控制是组织为保护其资产安全、完整,保证信息客观、正确,促进经营管理政策得以有效实施,提高经营效率,控制经营风险,防止舞弊行为发生并进而实现组织目标的一项重要的管理制度与方法。
内部控制理论与实务随着社会、经济和技术等环境的变化经历了丰富多彩的发展历程,已历经内部牵制、内部控制制度、内部控制结构与内部控制整体框架、企业风险管理框架等几个不同阶段。大量的现实案例证明,对于企业生产和发展而言,内部控制具有重要意义。然而,内部控制作为执行企业战略、保证企业目标实施的重要系统,深受企业内外部环境发展变化的影响。由于内部控制实施的企业经营环境具有较大的不确定性和复杂性,因此,企业必须保持动态的内部控制观念,将内部控制的设置与环境发展保持同步和协调一致,才能最大程度地发挥其作用。信息化是社会、经济发展到一定程度的必然结果。企业信息化主要指企业生产过程信息化、管理决策信息化和商务活动信息化等几方面内容。在总书记十七大报告中,信息化思想贯穿全篇,赋予了我国信息化全新的历史使命。由于内部控制寓于企业经营活动的整个过程之中,信息化了的企业生产过程、管理决策和商务活动就要求与之相适应的企业内部控制制度来保证其目标的实现。
企业的内部控制活动处于企业的大环境之中。COSO报告《内部控制-整体框架》中指出,内部控制由控制环境(Control Environment)、风险评价(Risk Assessment)、控制活动(Control Activities)、信息与沟通(1nformationand Communication)、监控(Monitoring)等五个相互关联的要素构成。而COSO委员会在其最新报告《企业风险管理框架》中则在五要素的基础上进行了拓展,形成了八个要素,分别是内部环境、目标设定、事件识别、风险评估、风险回应、控制活动、信息和沟通、监督。
本文认为,上述对内部控制要素的分类并没有实质上的变化,其重心仍然是控制环境、风险评估、控制活动、信息和沟通、监督等方面,在信息化环境下,企业内部控制系统的框架体系也并未发生实质性的改变,只是每项基本要素的内部构成呈现出新的内容,表现出新的特征,随之也带来了内部控制中新的问题。下面本文对信息化环境对内部控制各要素的影响进行分析:
1.信息化对控制环境的影响:机遇与挑战并存
内部控制是通过一定的环境条件发生作用的,内部控制环境的变化将直接影响内部控制的有效性。COSO在其报告中将控制环境列入诸要素的首位,并且其在内控概念中阐述了这样的观点,即,内部控制环境是其他因素构建的基础,如果这个基础存在较大的缺陷,其他因素即使是构建得再完美,内控的建立和实施也无法实现其预期的目的。信息化时代环境的发展变化使企业的控制环境日益复杂,其给企业内部控制带来了新的挑战。企业如果能够充分利用信息技术改善内部控制程序、增强内部控制手段,将信息技术有效地集成到业务和信息处理过程中,借助于信息技术来完善内部控制措施,提高内部控制水平,防范与控制经营风险,将使企业信息化环境下的内部控制问题得到妥善处理。反之,则会给企业带来很大的隐患。
信息化对控制环境的影响主要有如下几个方面:
(1)信息传递的方式和速度构成了企业内部控制的基础环境变化。这一变化对内部控制的制定和实施的影响细微而本质。企业由于追求效率而摒弃了过时陈旧的信息传递和沟通方式,因此而突破了旧有的模式。企业如果不进行新的内控制度的构建,很容易被旧有的内控条款在所牵累或束缚,无法正常发挥其功能。
(2)信息化环境影响企业的组织结构。由于信息沟通的路线产生变化,企业往往形成扁平式组织结构,管理层次减少,领导不再是组织等级的上层,而成为行动的中心,信息更加容易获得。这要求企业的领导阶层学会在一个流动和动态的环境中发现内聚力和构造组织,既要有利于创造、革新、加快速度,又要在不断磨合中加强内部控制和向心力。
(3)信息化环境全方位影响着企业的治理机制。信息化环境对企业的信息系统要求更高,因为只有企业信息系统更加完善而有效,董事会、监事会才可以更及时全面地了解企业的信息,以便更好地进行战略制定、经理人员选择和绩效评价,并进行企业运营情况监控等等,形成更加合理的治理机制。
(4)信息化环境影响着企业管理者的领导方式。企业所面临的商务环境竞争加剧、变化加速,管理者所能获得的信息量倍增,信息技术和信息系统在企业中的作用日益重要,这些都要求管理者不但要有更强的把握信息、利用信息的能力,在运营管理企业中利用好信息资源,而且要站在更高的战略层面上,制定更加合理的企业战略和企业经营规划。
2.信息化对风险评价方面的影响:扩大了风险评估的范围
企业随时面临着来自内外部的各种风险,因此对影响企业目标实现的未来不确定因素进行风险评估是内控机制的另一个重要的方面。信息化的环境在给企业带来机遇的同时也带来了控制风险的难度。
(1)信息化环境使内部控制的范围加大,内容复杂化,因此内部控制目标实现的风险加大。在信息技术环境下,虽然企业的整体目标没有改变,但是经济、产业及管理的外部环境与内部因素都发生了变化,业务流程因此而改变,以往封闭集中的运行环境,变得开放,以往狭窄单一的信息流形成共享,从而改变了传统的风险控制内容和方法。例如计算机系统增加了企业潜在的风险,数据处理过于集中,存储的数据可以被不留痕迹地改写和删除,数据的存放形式增加了数据再现的难度,数据处理过程无法观测等等。这些新的风险点构成了内部控制的新内容。
(2)信息化使得风险评估获得了更多的信息支撑,这是信息化环境对风险控制有利的一面。随着控制风险的加大,更应该有效利用信息技术为内部控制服务。一个控制良好的电子数据处理系统具有更大的潜力来减少错误和舞弊的发生,保证企业业务处理活动严格按商业规则进行。所以,企业管理阶层应该也有可能把信息技术作为强化内部控制的一个有效工具,使之为高效实现内控目的而服务。
3.信息化对控制活动的影响
业务流程控制与信息系统控制是控制活动的重要内容。控制活动过程中会需要大量的信息传递活动,这些活动经过不同的信息传递路径,形成各种信息指令和反馈,从而有效控制企业的业务作业流程。因此控制活动必须根据企业业务流程的情况和具体的控制点进行设置。而信息技术应用使传统人工控制形式演变为人机系统控制,控制重心将集中在作业流程的人机控制与信息系统控制。一些传统的内部控制规则和程序在新的技术环境下失去存在的意义,新的控制规则和程序建立在充分利用信息技术、用最少的资源达到更佳控制目标的基础上。信息技术的引入增强了控制手段的多样性、灵活性、高效性,加强了内部控制的预防、检查与纠正的功能。
4.信息化对信息和沟通的影响:使得组织成员之间信息交流和沟通更加便利和有效率
信息化环境对内部控制的信息和沟通这一要素产生了有利的影响。由于大量的企业环境信息、政策信息、经营信息、财务会计信息、作业信息集中存储在企业数据库系统内,并不断被实时更新,在这个信息平台上,员工可以十分便捷地从计算机数据库中查阅有关的政策和法规,获取与其职责相关的控制信息,明确各自的权利与责任,了解自己的活动如何与他人的工作相关以及例外情况如何报告或处理的途径。在完善的企业信息系统的支持下,企业员工能够更好地取得他们在执行、管理和控制企业经营过程中所需的信息,使员工顺利履行其职责,提高效率。
另外,企业在网络平台上构建与利益相关者联系的机制,使组织的相关成员可以实时获取经营信息与财务会计信息,及时进行沟通,达到最佳协同合作和利益共享。
5.信息化环境对监督的影响
监控更注意更新信息系统内部设置的控制参数与控制程序,借助信息技术,可以使一部分的监控过程自动完成,并且可能实现实时监控,从而提高监控的效果和效率。应当注意的是,在信息技术环境下,内部控制是基于一种人机结合的控制模式,许多控制程序、控制指标、控制方法被设置在计算机信息系统内部。因此监控的一项重要内容就是要及时了解原来设置在信息系统内的控制程序、控制参数是否过时,并针对企业经营环境变化情况,及时评估业务流程控制点的运行状态,重新调整或更改设置在信息系统的控制参数或程序。
三、信息化环境下企业如何对内部控制进行重新构建
随着企业信息化的逐步实施,企业的内部控制面临新的挑战。保证内部控制有效运转的前提是要求信息传导和反馈的快捷和准确。通过信息化手段整合企业资源,以便提高内部控制效率和优化内部控制流程,企业应以推进企业信息化进程为契机,优化企业的内部控制制度。通过分析企业信息化后对内部控制的影响,笔者为现代企业设计内部控制制度提出以下应对策略:
1.建立健全的、与信息化环境相适应的组织结构与权责分派体系
企业应对传统环境下的组织机构进行适当的调整,以贴合信息化环境的特点,以适应信息系统的要求。控制的目的是要使一切都在管理人员的掌握之中,所有的生产经营活动都有条不紊地进行,要实现每一人和每一物在恰当的时候处在恰当的位置上。因此,组织结构的设置必须适合企业的实际规模,符合企业总体经营目标,并且应按精简、合理、高效的原则对组织机构的设置进行成本-效益分析,以保证按最佳线路最恰当的流程实现业务目标。
2.推行以人为本、制度管理与人性化并重的“柔性控制”
在信息化环境下,企业尤其应该注重培养组织中人员的信息观念,理解企业信息化建设和管理改革、内部控制创新之间的关系。信息时代,“以人为本”作为构建内部控制机制的信条已经越来越多地被企业接受,企业管理者应当重视对人员的选择、使用和培养。
3.应信息化环境特点的要求,动态化构建内部控制框架
在这一思想的指导下,进行内部控制构建必须事先预计到各种可能性,规定每一个岗位在所有可能的情况下应当履行的职责、程序和手续,并据此制定政策。一般来说,管理人员只能根据自己的历史经验和逻辑推理能力来预测各类事件发生的可能性,但随着企业信息化的进程,影响企业经营的环境不仅日益复杂,而且愈来愈不稳定,其变化不仅无法控制,而且难以预测。因此,未来的内部控制不应该只是一个固定的、一成不变的模式,它应该而且必须随着企业内外部环境的变化而变化,应变能力和学习能力是企业内部控制构建中应格外加以关注的重要内容。
4.完善信息系统控制
企业实现信息化,往往涉及到信息开放和共享,企业内部机密和关键数据的信息破坏和泄露的风险比以往大大增加。所以,对信息系统的有效控制是企业内部控制的前提。企业应加强系统安全、数据完整、信息保密等方面的控制。从信息系统控制的手段和特点可以看出,信息系统的控制需要企业的上下各级组织机构和各类员工的参与。企业管理阶层应制定有效的信息管理内控措施,构建实时的监控体系。同时还必须有严格的监督与管理手段,有效地防治危险因素对系统的侵袭。
5.建立健全内部控制风险评估体系和监控制度
在信息化环境中,毋庸置疑企业提高了运作效率和速度。但是,由于新技术的应用和信息系统的开放和共享,企业的风险进一步加大,具体的风险可表现为财务风险、经营风险、管理风险、环境风险等。针对这些风险,企业管理层应实施有效的风险评估制度,采取积极的措施来应对。实践表明,许多企业的内部控制失败,很大的原因是由于企业未实施风险评价制度。企业应该通过风险预警系统的设置来实施事前控制。针对信息化环境加大了的风险状况,企业更应注重对内部控制的监控,针对控制目标的多元化趋势,定期对内部控制的设计和执行情况进行检查和评价,协助管理当局监督其控制政策和程序的有效性,来促成有利于实现企业目标的控制环境的营造,减少实际与控制目标的偏差。
6.定期评估,实事求是调整规则和制度
技术的发展会带来新的风险。而大多数人对风险的意识是有一定滞后性的,同时由于没有哪一套规则在环境发生变化时还能很好地适应,因此应注意识别新环境下的新风险,除了制定相应的控制程序有效降低风险外,内部控制系统必须经常评估和更新。既然控制程序和企业具体环境相关,当新的业务和信息流程提出后,控制目标应当保持不变,但为达到该目标的具体控制措施必须改变以适应新的环境,不要让内部控制程序限制能使企业运行更加有效的程序和技术手段的使用。要通过定期评估增强内部控制系统的预防,更好地为实现企业目标服务。
参考文献:
[1]吴水澎:《公司董事会、监事会效率与内控机制研究》,中国财政经济出版社,2005年10月第一版
[2]张宇宁:《论信息化条件下企业内部控制环境的优化》,《企业经济》,2002年第八期
[3]王立勇:《杜绝内患――企业内部控制系统分析》,中国经济出版社,2004年第一版
