企业信息化已是大势所趋,如果把信息化环境比作公路,那么内部控制系统就是交通规则和监控系统,企业经营及其业务流程就是跑在高速公路上的汽车。如果没有“交通规则”和“监控系统”的规范与保障,即使有再好的高速公路,汽车也不能安全、高速地行驶。当前,由于信息系统已在我国企业中逐步普及,而且我国正处在建立内部控制标准、完善内部控制法规之际,因此探讨信息化环境下内部控制系统的优化就具有极其重要的意义。
一、信息化环境下内部控制系统优化的要点
信息化对企业内部控制系统的影响主要体现在:一是企业的业务流程部分甚至全部由信息系统驱动和承载;二是企业内部控制系统依赖于以信息技术为基础的控制;三是企业内部控制的建立依赖于信息系统生成的数据。参照COSO委员会的《内部控制—整体框架》,特别是《企业风险管理—整合框架》,笔者认为,信息化环境下的内部控制系统优化需要明确以下要点:
1.人的因素是信息化环境下内部控制系统优化的重要环境基础。在信息化环境下,企业组织结构在一定程度上趋于扁平化,企业内部控制层次有了一定程度的减少,信息的快速传递会在企业内部造成一个流动和动态的工作氛围,权限和职责的分配方式可以通过信息系统硬性设置为前馈控制,而每个员工作为信息输入/输出的主体直接影响到内部控制系统的运作,因此对于其素质、价值观、人力资源政策和实践等软环境因素就会提出更高的要求。由于信息通过系统平台实时传递、充分共享,每位员工的输入、输出信息都会在第一时间直接影响到其他相关职能部门人员的业务操作,甚至是管理者的决策,因此,具有恰当的价值观、整体全局观,明确责任归属,不断学习创新的知识型员工和管理者,会为整个控制系统的良性运转、自主优化做出贡献,并决定控制系统的成败。
2.风险管理是信息化环境下内部控制系统优化的主要驱动力。内部控制的真正价值在于能够帮助组织降低其所承受的风险。在信息化环境下,业务流程的改变、系统的开放性、信息的分散性和数据的共享性极大地扩展了内部控制的内容,而新的技术也带来了新的风险。优化内部控制系统,首先要熟悉业务并识别隐藏在业务之中的风险,然后才能有效利用信息技术作为控制风险的有效工具,为相应的业务处理过程以及信息过程制定相对正确有效的规则。
3.控制活动全方位贯穿于业务流程优化和保障信息系统安全过程中。在信息化环境下,信息在整个企业实现了充分共享,员工的业绩也能通过系统得到客观的计量,故而控制活动会通过控制系统的激励、引导,逐步实现自我控制。企业的控制活动客体发生了改变,主要是放在了更有可能引起风险的业务流程设计和系统安全控制上,而对下级人员的工作绩效的监督更多地是通过系统来完成。企业业务流程通过信息系统的实施得以再造,可以明确不同的作业环节、不同的个人和部门之间在执行作业过程中的先后顺序及其权责分工,从而使不同作业环节、部门和员工之间产生一种既相互协调又相互制约的关系。任何一个流程系统出现问题,都会从其他流程系统中实时得到反映,从而构成企业内部控制活动的重要机制。
4.信息与沟通是内部控制系统优化的重要保障。随着信息技术在企业的深入应用,信息与沟通会贯穿内部控制的所有环节、要素,并逐渐从内部控制内在的构成要素中凸现出来,成为内部控制系统构建的前提条件。而现代化管理要求管理过程化,因此,控制和信息是不可分的,任何信息的传递和处理都是过程控制和信息管理的两位一体。信息和沟通是内部控制的重要资源,是组织和控制过程的依据和手段,是各管理层次和工作环节互相沟通的神经和纽带,是决策的基础。信息是控制的依据和基础,控制离不开信息的交换和反馈,没有信息,控制也就失去了依据。
5.监控的内容和方式发生变化。信息化环境使内部控制系统具有了人工控制与程序控制相结合的特点。企业内部控制体系的程序化使内部控制在一定程度上具有了对信息系统的依赖性,同时还增加了由于差错得不到及时有效控制而反复发生的可能性。程序化内部控制系统的有效性取决于应用程序设计的质量,由于用计算机程序来进行的内部控制措施体系是需要被反复评估和优化的,若程序发生差错或不起作用,那么控制失效就有可能长期不被发现,从而使系统由于程序运行的重复性而反复发生相同的纰漏。所以,信息化环境下的内控系统更需要监督,且更多地侧重于人工和程序方面。伴随着信息技术与企业管理的结合,管理系统能够越来越低成本地产生信息,而监控不仅可以依靠会计信息展开,还可以根据诸多管理系统生成的业务信息展开。监控的范围也从最初的财务会计转变到了企业整体风险管理运作上,时效性有所提高,已从事后控制转变为事前控制和实时监督。
