一、文献综述
发达国家中小企业信息化建设日渐完善并取得了巨大成就,而且日益成为经济结构调整和经济发展的创新点。与此同时,人们开始意识到信息化给中小企业带来的潜在风险,尤其是信息化应用对企业内部控制的影响问题。随着中小企业信息化进程的加快,如何制定有效的安全对策,促使信息化应用与内部控制建设相融合,已经引起理论界和实务界的重视。
信息化的应用对企业内部控制的影响问题,国外的研究最早可追溯到信息系统的审计。20世纪60年代IBM公司首次提出了在电子数据处理环境下的内部控制和审计问题。1967年,国际信息系统审计与控制协会(ISACA)成立,在世界上100多个国家与地区设立了160多个分会,积极致力于制定和颁布内部控制和信息技术(IT)审计准则、实务指南,用于指导各类信息系统的安全与防范工作。1974年,美国注册会计师协会(AICPA)发表了《内部管理的调查与评价对EDP的影响》,确立了电子数据处理实施审计的标准; 1977年又发表了著名的《系统可审计性及规则的研究》(又称SAC报告),提出了信息系统的内部控制和审计方法。1996年, ISACA在综合多方面研究成果的基础上,公布了信息系统审计的框架体系标准,即信息及相关技术的控制目标(COBIT),目前已作为国际通用的、具有权威性的信息技术控制和审计标准。近些年来,国外围绕信息系统内部控制的理论与方法问题的研究仍不断取得新的成果,如Hardy(2006)等提出的有关COBIT最新标准;在管理控制方面, ITGI(2006)和IOFS(2008)等提出并研究IT治理问题。这些研究成果不仅在大型企业信息化应用中得到推广,而且其研究成果业已运用到中小企业信息化建设实践中。
在我国,作为市场经济主体的中小企业已成为国民经济发展的重要力量。2005年8月,国家发展和改革委员会、信息产业部、国务院信息化工作办公室三部委共同实施了“中小企业信息化推进工程”,从而掀开了中小企业信息化发展的研究序幕。2008年2月,三部委《中国中小企业信息化发展报告和调查报告》指出,随着信息化在中小企业的稳步推进,保证信息系统安全稳定运行已成为企业内部控制制度建设的重要内容(国家发展和改革委员会等,2008)。
然而,关于信息化对企业内部控制的影响研究,胡克瑾等(2002)深入研究了IT审计的实施过程、技术方法和审计标准,提出全面控制信息系统风险的相关对策;刘静(2005)等结合COSO报告对网络环境下内部控制的难题进行分析,并提出改善内部控制环境的对策;章铁生(2007)考察了有关国家企业内部控制规范对IT的考虑情况,提出我国在制定内部控制规范时应考虑对IT的嵌入问题;王海林(2008)通过分析IT对企业内部控制的影响,构建了由内部控制系统、内部控制系统的工程实施体系和内部控制系统的评价体系组成的IT环境下的内部控制模式。近年来,学者们在信息系统内部控制研究的基础上引入了IT治理的思想,试图从公司治理的视角来探讨信息化进程中企业内部控制的问题,如饶艳超(2003)、周常兰等(2008)、骆良彬等(2009),但是,上述诸多研究基本上是针对大型企业,而信息化对中小企业内部控制影响问题的关注则极为少见。
二、信息化对中小企业内部控制影响的机理分析
对于信息化如何影响中小企业的内部控制,本文认为,尽管中小企业有其独特性,但在内部控制的构成要素方面,COSO(1992)关于内部控制框架的五个要素(即控制环境、风险评估、控制活动、信息与沟通、监督)理论仍然适用,本文将通过分析信息化对五个要素的影响来阐释其影响内部控制的机理。
(一)信息化促进了控制环境的改变
控制环境是对企业内部控制系统建立和实施有着重大影响的各种要素的总称,是实施内部控制的基础,一般包括机构设置及权责分配、内部审计、人力资源政策、企业文化等。信息化一旦应用于中小企业中,必将促使控制环境的改变。首先,信息化必然导致信息技术渗透到企业经营管理活动的每一个环节,企业原来简单的组织结构,将进一步得到整合,与其对应的机构设置与权责分配随之而改变;其次,信息化可以很方便地使内部人员之间以及内部人员与外部人员之间平等、动态地进行协作与沟通,企业每个员工不再是被动地接受控制指令,而是成为实行自我控制、协同控制的单元;再次,信息化使企业员工都可以成为企业网络上的决策点或节点,提高了员工自我决策的意识;最后,信息化使得企业与企业之间、企业与客户之间以及企业与政府有关部门之间可以共享对方拥有的资源,企业内部控制的范围不再局限于企业内部,合作与协同控制理念进一步得到强化。可见,信息化必将改变中小企业的管理模式、组织结构、员工的价值观及其能力等一系列要素,并形成了一种网络化、开放化、自主化和现代化的企业环境。
(二)信息化拓展了风险评估的范围和方法
风险评估是企业及时、系统分析经营活动与实现内部控制目标相关的风险,合理确定风险应对策略的过程。信息化无疑提高了中小企业经营管理的效率,但同时也产生了新的企业风险。一方面,信息化必然要求企业业务流程与之相适应,使得企业经营管理活动处在一种开放性、信息分散和数据共享的环境之中,这极大地改变了以往封闭集中状态下的运行模式,从而扩大了风险控制内容,并且需要新的风险评估方法与之适应。如管理数据处理趋于集中化、适时化、自动化以及数据存储电子化,而且容易被无痕迹地改写和删除等,这些新的风险点构成了风险评估的新内容,并需要企业运用新的风险评估方法。另一方面,企业内联网的建立是信息化应用的必然要求,也是企业经营管理活动的硬件平台。运行在该平台上的企业内部各部门、员工之间的联系将更加密切。同时,做大、做强的动机加剧了企业与客户间的合作与交流,企业内联网必然向外联网拓展,使得企业的经营管理信息流动在互联网之中。这样,传统的、局部的差错与舞弊不再表现为企业内部控制的主要风险,而员工的自我保护的责任意识、正确行使其决策权以及不断提高自身知识和风险识别能力的风险大大增加了,从而使风险评估方法也由传统向现代拓展。
(三)信息化增加了控制活动的内容
控制活动是企业根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内。随着信息化的应用,中小企业风险评估结果将以新的形式出现,原有的控制措施及可承受度必然随之变化,控制活动的内容亦将随之增加。
第一,由于信息化改变了中小企业传统的业务流程,如传统的产、供、销活动可以通过企业内联网络和外联网进行,因此,对各个过程的控制活动必须结合信息化应用的特点和要求来完成;
第二,信息化的深度和广度是随着信息技术的发展而不断变化的,中小企业信息化建设本身就是一个不断完善的过程,基于信息化的业务流程也处在一个不断更替的过程中,要实现控制活动的目标,企业必须不断地更新控制点以获取信息系统中的数据和信息,从而改变控制活动的方式或进程;
第三,信息处理过程自身也需要控制,如确保企业管理信息系统能正常、持续运行的一般控制(包括对网络黑客的非法入侵),以及针对某项特殊活动进行特别处理的应用控制等。显然,信息化改变了中小企业的业务流程,带来了新的风险,也必然增加了中小企业控制活动的内容。
(四)信息化提高了信息与沟通的有效性。
信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息,确保信息在企业内部、外部之间进行有效沟通。信息化应用弥补了中小企业在信息与沟通方面存在的缺陷,提高了它的有效性。首先,信息化应用能有效地将企业各部门和员工连接起来,实现业务和财务的一体化处理,将员工身兼多职的特征进一步发挥出来;其次,信息化必然要求建立一个中心数据库,储存企业活动中各个环节的数据和信息,并实现数据共享,以发挥企业经营管理的效率;再次,网络平台为管理者、员工以及外部的顾客、供应商、有关团体提供了开放的信息交流渠道,不仅员工能清楚理解现行的政策和程序及相应的责任,管理者适时掌握业务的发生、发展与结果以及信息的相互传递,而且更便利了企业内部与外部的信息沟通。因此,信息化改善了中小企业信息与沟通的滞后状况,促进其向可靠性、及时性和开放性方面转变,提高了信息与沟通的有效性。
(五)信息化丰富了监督的方式和内容。
监督是企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进。信息化应用加快了中小企业业务与财务处理的一体化,完全依靠人工的监督模式难以适应这一变化。一方面,信息化可以将监督功能程序化,即要求在经济业务发生、发展及结果处理的过程中,运行监督程序,以达到实时、全过程的监督效果;另一方面,信息化大大提高了信息处理的速度,在实施程序化监督的同时,可以将监督的结果与预期的目标进行比较,适时评价内部控制的有效性,及时发现缺陷并加以改进,达到自我监督、自我评价的效果。当然,信息化应用过程自身也需要监督和评价,因此,传统方式下的人工监督仍必不可少,但这种监督主要体现为定期、及时地检查和了解计算机控制程序、指标以及控制参数是否发挥作用或过时,并针对企业经营环境变化情况,及时评估业务流程控制点的运行状态,重新调整或更改内部控制程序、控制方法、控制指标等。由此,必然要求更新传统的监督方式和内容。
三、中小企业信息化进程中内部控制的构建
由前文分析可知,信息化通过作用于中小企业内部控制的五个要素而影响其内部控制,实施或管理不当,其后果将适得其反。可见,当前的首要问题是如何促使信息化与内部控制有机融合。本文认为,解决这一问题的关键在于如何将中小企业内部控制框架的构建与信息化结合起来,以适应信息化进程的推进。
(一)内部控制框架构建的思路
显然,中小企业内部控制系统的完善,关键之处是如何辨识并控制企业经营管理中的风险。信息化应用一方面给中小企业内部控制带来了便利,提高了控制的效率和效果,另一方面也影响了其内部控制五要素,而这些影响必然给中小企业经营管理活动带来新的现象、新的问题,从而带来新的风险。因此,对中小企业业主及其员工来说,需要转变内部控制思想,掌握新的控制方法,以加强对风险的有效控制。为了防止中小企业在信息化进程中出现内部控制的弱化,避免出现“头痛医头、脚痛医脚”问题,本文认为,在信息化应用的初始阶段,就应该从整体上来规划和加强内部控制框架的建设,以适应信息化的发展进程。
中小企业内部控制框架构建的具体思路为:首先,以COSO内部控制整体框架理论为指导,分析内部控制五个要素的现状及运行情况;其次,结合信息化应用对五个要素作用机理的分析和企业不同时期经营管理活动的特点,发掘企业内部控制中存在的薄弱环节,分析和判断新风险产生的根源和节点;第三,引入IT治理思想,并将其融入到企业经营目标的制定和风险管理的要求之中,自上而下并自下而上地灌输和反馈信息化应用战略及其收益与风险的理念,使信息化应用与内部控制的关系深得人心;最后,对企业经营管理活动中信息化应用的范围和深度进行细化,分析并设定风险控制目标,制定并完善相应的内部控制制度,实施有效的控制措施,建立内部控制执行效果的反馈和改进机制。
(二)中小企业内部控制框架的构建与分析
基于上述思路,本文试图构建出中小企业信息化进程中的内部控制框架。如图1所示。
图1 中小企业信息化进程中的内部控制框架
该内部控制框架是以COSO内部控制五个要素的分析框架为基础,结合中小企业经营管理活动各个环节和信息化应用(表现为信息系统)的程度,来辨识和分析企业经营管理活动在信息化应用中以及信息系统自身所面临的风险(这种辨识和分析功能,除了运用人工手段之外,信息系统本身也提供了自动处理功能),并通过反馈通道传递到企业决策层(或企业业主)。企业决策层根据企业经营目标和风险管理要求,在IT治理思想的指导下,不断地完善内部控制制度和改进信息系统,使人工控制与程序化控制有机地结合起来,一方面对企业经营管理活动实施有效控制,另一方面确保企业经营管理活动有序进行,同时进一步辨识和分析新的风险。
可见,该内部控制框架是一个开放式闭环系统,即随着信息化应用进程的深入,信息化对内部控制五要素产生新的影响,形成新的风险,同时,由于风险辨识与分析以及反馈通道的作用,企业决策层及时识别风险并通过完善内部控制制度和控制手段,规避和控制风险,从而实现不断改进企业内部控制以适应信息化进程的目的,避免内部控制的滞后而产生风险问题。
四、结束语
当前,我国中小企业信息化水平相对较低,且应用层次差异比较大,信息化建设总体仍然处于初级阶段。发挥中小企业在经济发展中的作用,大力推进企业信息化势在必行。由于中小企业在人才、资金和技术方面存在先天的不足,必然导致其管理水平不高、内部控制不健全,而信息化应用又加剧了这一缺陷。因此,强化内部控制建设、完善内部控制制度是信息化进程中必不可少的环节。虽然要求中小企业从COSO内部控制五个要素方面来构建内部控制系统有一定的难度,但是,借鉴信息化应用对内部控制五要素作用的机理,并在此基础上构建信息化应用中的内部控制框架是必要的,它必将从整体上降低信息化应用中的风险,为进一步推动其信息化进程提供保障,从而实现中小企业健康可持续发展。
核心关注:拓步ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:信息化对中小企业的内部控制的影响研究