根据财政部等五部门《关于印发〈企业内部控制基本规范〉的通知》(财会【2008】7号)文件的精神,所谓内部控制,就是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。企业建立与实施有效的内部控制,应当包括5项要素:(1)内部环境;(2)风险评估;(3)控制活动;(4)信息与沟通;(5)内部监督。正式与美国COSO《内部控制——一体化框架》提出的内部控制要素接轨,被称为中国版的萨班斯法案,表明我国内部控制的理论研究和规范制定,逐渐与国际趋同。随着信息技术的不断发展,考虑让内部控制和IT技术有机结合,促进企业内部控制在IT环境下规范实施,有效地解决传统内部控制机制与手段的不足,提高内部控制的效率,成为当今理论界一项尤为迫切的研究课题。本文拟在IT环境下,就企业内部控制规范实施面临的问题加以分析,并对如何防范风险、完善内部控制等提出合理化建议。
一、IT环境下内部控制的特点
(一)IT环境的含义
IT技术,涵盖制造、流通、金融、咨询、医院、出版、影视、教育,甚至政府管理等几乎所有的领域。目前,以网络、通讯、信息处理、人工智能和多媒体为核心的IT技术,已然成为世界经济与科技发展的引擎。中国也不例外,迅猛发展的IT技术,对我国传统经营管理模式造成强烈冲击,并对各企业的外部经济环境和内部管理控制产生巨大影响。众所周知,所谓环境,是指周围的地方及其情况和条件。顾名思义,IT环境就是在IT技术迅猛发展下的现实处境和条件。处于这样的环境,企业内部控制与传统的内部控制比较,在实施目标、实施方法、实施条件、实施结果等方面,都有了一些明显的区别,体现了其独有的特点。
(二)IT环境下内部控制规范实施的目标
实现企业价值最大化,即利润的最大化,是企业内部控制的目标,更是作为内部控制的一种先进手段或者方式的内部控制规范实施的终极目标。这些目标主要表现在:
1.确保组织目标的有效实现,及时对那些构成组织的诸如财产、人力、知识、信息等资源进行合理的组织、整合和利用,致使这些资源的运营一直处于控制之下或在一定的控制之中。
2.服从组织自行制定的和社会通过政府制定的政策、程序、规则和法律法规,以营造公正和谐的生存环境。
3.经济有效地利用资源,努力用最低廉的成本取得最想要的结果,防止不必要的浪费。
4.确保信息的质量,保证信息的合法、真实和完整,利用相关、可靠和及时的信息控制组织的行为。
5.客观上,资源的稀缺性要求组织通过有效的内部控制系统保护各种有形与无形的资源,确保其安全和完整,做到:(1)这些资源不被损害和流失;(2)对资产进行合理使用和必要维护,杜绝信息的遗失、损坏和失窃,培养员工对组织的忠诚。
(三)IT环境下内部控制规范实施的前提条件
IT环境下内部控制的规范实施,应以人员、流程和信息为中心,利用系统的连结性和创造性,复用现有服务。在实施过程中,做好:
1.正确理解和分析各个不同层次的管理人员对未来信息系统的需求。
2.提供最理想的解决方案以配合未来的业务需求。
3.以是否能满足企业的业务需求为首要标准进行系统的选择。
4.选择能够实现企业管理转变的合适软件,并非仅指“先进的”软件。
5.配置应用系统模块、确定报表程式及集成接口程式。
6.系统成功迁移到正式投产的环境。
7.进行系统支援,包括一系列的微调和性能量度及支援。
8.不断完善系统模板方案并验证系统完善模板的准确性及可行性。
9.指导软、硬件的安装,并提供相应培训。
10.进行数据转移和系统测试,直至系统上线和验收。
(四)IT环境下内部控制规范实施的关键要素和实施程序
在IT环境下,内部控制规范实施的关键要素和传统条件下的内部控制规范实施基本吻合,主要包括:(1)企业架构团队;(2)实施路线图;(3)架构体系;(4)技能;(5)交付模型;(6)管理;(7)战略安排;(8)沟通;(9)高级管理层的支持;(10)持续进行重新设计。
在此基础上,结合上述内部控制的目标和实施方法,不难发现,内部控制的项目管理可按以下步骤实施:
1.项目开始,主要是评估项目需求,界定项目,完成可行性分析,作出项目总体安排,并进行项目授权。
2.项目选型,主要是筛选候选供应商,重点候选供应商的系统演示,决定系统评估和选型。
3.项目计划,主要是确定详细的项目范围,明确用户现状,定义递交的工作成果,评估实施时的主要风险,制订项目的时间计划,制订成本和预算计划,制订人力资源计划。
4.项目执行,这是内部控制规范实施历时最长的一个阶段,贯穿于项目的业务模拟测试、系统开发确认和系统转换运行3个程序之中,包括:按预定的实施计划开展日常工作,按实施的进度控制项目的时间和成本,对实施过程进行全面的文档记录和管理,及时汇报项目的进度,定期召开项目例会,编写例会的会议纪要。
5.项目评估及更新,通过实施阶段性评估,召开项目里程碑会议,建立质量保证体系等途径,完成项目评估及更新。
6.项目完成,实施行政验收、项目总结、经验交流等手段,将成熟的内部控制规范系统正式移交给使用单位。
(五)IT环境下内部控制规范实施的后果
1.IT环境下的内部控制规范实施,一改传统方式下原始数据获取靠员工肉眼观察、手工计数或使用仪器测量,以及用纸介质存储等手段,采用电缆、光缆、无线电波等以光速传递信息,利用传感设备全自动获取所需数据和信息。借助计算机的高速处理能力,使信息处理速度大为加快,效率大为提高,而且传递的信息量远非传统方式可比,为企业加强内部控制提供了基础。减少了会计记录和反映的时滞以及会计核算与会计控制的脱节,将会计流程和业务流程融为一体。但如果信息传递过程受到阻碍或破坏,就会给企业带来更大的损失。存储介质由纸变为磁盘或光盘,与纸介质存储相比,磁介质或光介质具有存储密度大、擦写没有痕迹的特点,可以集中保存数据和信息资源,但这种存储介质容易遭袭,一旦毁损或者被盗,抑或数据被篡改,很难恢复。还有,若不能及时对各期的数据信息进行备份,就极易导致大量数据信息丢失。总之,一方面,信息处理效率的提高有利于企业实施更复杂更有效的控制措施和控制方法,提高内部控制的效果和效率;另一方面,借助高速的信息处理能力,企业员工或管理当局造假的能力也得到提高。同时,过分信赖这种集中存储方式,使组织内部控制的许多审计线索或审计轨迹消失,呈现信息系统本身的脆弱性,给内部控制增加难题,并使系统在一定程度上丧失了人类所具有的对不合逻辑、不合理以及例外事件的理性判断和处理能力。如果程序设计不周或在系统的初始设置中设置不当,而在系统处理过程中又不能进行人工干预,就可能导致一些错误的、不合理的业务和数据游离于组织内部控制之外,不能被及时发现。2.IT环境下的内部控制规范实施,借助于网络,人与人之间的直接接触相应减少,网络世界的无形性和匿名性直接对人的心理造成一定的影响,使部分人误以为借助网络兴风作浪不容易被抓住,从而可能降低犯罪的心理阈值。网络的远程接入特性也给犯罪分子提供了方便,他们只要获得一个登录密码就可能通过网络侵入系统,窃取组织重要的信息资产,或使信息系统崩溃。有的组织由于电脑口令设置简单,“主管授权、审核”这些功能形同虚设,容易被破解,甚至被黑客远程入侵攻击。同时,大量会计信息通过网络传输,有可能被非法拦截、窃取、篡改;网络系统遭受病毒攻击的可能性也很大,计算机病毒复制和传播能力很强,破坏性也强,可以破坏计算机内存、硬盘、软盘上的程序和数据文件,进而影响信息的可靠性。
3.IT环境下的内部控制规范实施,借助于ERP,全面集成企业的所有资源,并为企业提供决策、计划、控制与经营业绩评价的全面化、整合化和动态化管理平台。就企业会计核算而言,很多数据的录入和生成工作已经前移至业务部门,在财务人员对后台配置相应会计科目后,业务部门的人员只需录入业务数据,由授权部门进行审核、确认、计量,并登录系统进行必要操作,系统就自动生成会计凭证,并在操作完成的同时,通过计算机网络集成到财务模块,自动完成财务账簿登记。但是,也正是因为这种会计系统将许多不相容职责相对集中,加大了舞弊风险;系统信息容易被修改、删除、隐匿或伪造,且不留痕迹。还有,由于系统运用了多项物资编码,搜集和定义了物料的属性,形成了较为准确的产品结构资料,提高了财务标准,并通过设置一套名称准确、内容完整的会计科目,规范了会计核算过程,保证了各类数据、财务信息的真实、完整,有效地杜绝了利用相关政策人为调节会计利润的现象。但是,鉴于ERP软件系统功能繁多的特点,就不可避免地存在某些功能不足或潜在缺陷,给组织带来新的风险。包括:内部职员或信息系统操作员、计算机程序编写人员、职能部门经理和会计人员、已离职员工,客户与供应商、市场竞争者、外界犯罪分子,都会成为信息系统正常运转潜在风险的主体。ERP系统的开放与共享程度越深,上述主体通过公用通讯线路干预系统的概率就越大,系统面临的安全隐患也就越多。
4.IT环境下的内部控制规范实施,在信息化条件下,数据处理的准确性、完全性依赖于原始数据输入的准确性,但是,由于系统一体化、数据逻辑化、信息生成自动化的特点,致使疏忽差错、故意性差错、非故意资产损毁、资产的失窃、防护程序失控、暴力或自然灾害,以及计算机硬件和与之相关的网络通信、电源等设备引起的外部诸如火灾、停电等不可抗拒的因素和操作失误等人为因素引起系统故障,导致数据丢失甚至系统瘫痪。特别地,信息资产的稀缺性,可能诱使掌握它的管理人员不惜犯罪将其卖给竞争对手,加上信息的无形性、可拷贝性,致使信息的泄密不易被发现,毕竟用不着像盗窃有形资产那样撬门开锁、翻墙入室、避开警卫等大动干戈。
5.IT环境下的内部控制规范实施,必然存在软件开发人员对内部控制理解不深,IT技术不熟练,或者考虑问题不周,导致IT产品与实际需求不相吻合。而操作人员只是应用软件的使用者,对软件编程等计算机专业知识掌握有限,很难及时发现设计错误,在专业人员查出漏洞前,内部控制信息系统只能按原设计多次重复同一错误,造成损失扩大。这种风险在传统内部控制中恰恰是最少出现的。同时,由于信息化与电子商务的法律环境滞后,包括我国在内的很多国家,目前还缺少有关电子商务交易责任与可靠性方面的法律规定,法律保护有限。
二、IT环境下内部控制规范实施应采取的措施
良好的信息技术治理有助于公司治理机制的完善,而公司治理机制的完善将为企业内部控制的完善提供良好的基础。面对IT环境下内部控制规范实施的特点,企业应制定与企业战略相融合的信息技术战略,并从战略投资、企业管理变革的角度,降低其信息技术风险,站在公司治理角度实施信息技术治理。
(一)以人为本,提高全员素质
IT环境下,对组织的每一个人都提出了很高的要求。内部控制规范实施信息系统本身就是人机共存的系统,也就是说仅有计算机和内部控制基础软件或应用软件是远远不够的,还要有能够熟练操作计算机并使用内部控制软件的人。内部控制的规范实施,对不同阶层的职员有不同的要求。包括:
1.对高层领导的要求。(1)在项目各个阶段,与组织成员就信息技术整体应用在企业中的角色和定位进行沟通;(2)评估组织信息系统应用状况、进展情况和整体信息技术应用的领先性;(3)确定组织未来信息技术应用的整体规划。
2.要求管理人员对信息技术知识的了解掌握。必须经过认识、认同和视为己任3个阶段,从接受培训、掌握基础知识到参与操作和了解系统,最后变为信息技术的带头人并培训他人。
3.对一般人员的要求。(1)在项目初期,积极了解项目信息,参加项目相关培训;(2)在方案设计阶段,提供业务现状及现存问题的信息,并提供改进建议,为设计工作献计献策;(3)在实施阶段,根据要求进行数据准备和整理,为系统上线做准备,尽量熟悉系统,多进行系统操作,协助进行最终用户培训;(4)在系统上线后,继续使用系统进行日常工作,及时发现系统存在的问题,并提出改进建议。所有这些要求的达成,都要做到以人为本,提高全员信息技术水平,大力培养优秀复合型人才。
(二)合理的职责分工
出于网络技术需要极强的逻辑判断和逻辑分析能力的考虑,并且通过网络信息的传输可以实现各种内部控制数据的共享,所以应尽量根据组织结构及职员的岗位责任,很细致地设置每个职员对系统的操作权限以及对信息的查询范围,以保证组织的各项经济活动均是由被批准或被授权的职员执行。信息系统硬件与软件管理由不同的职员负责,编程人员、维护人员以及系统操作人员之间分工协作,系统维护人员权责分离,建立不兼容职务相互分离控制、会计系统控制、预算控制、财产保全控制、风险控制、内部报告控制和职务轮换制度。同时,由于系统维护人员和熟悉信息系统技术的相关人员能直接接触各种数据库、各种软件,他们的有意作案或无意的错误操作所造成的影响很难估量,所以必须制定严格的制度予以约束。做到业务决策人员与经办人员权限设置全面分离制约,将业务授权(管理职能)、业务执行(保管职能)、业务记录(会计职能)、业绩检查(监督职能)很好地分离;重大事项的决策和执行很好地分离等。
(三)强化信息系统设施的维护和保养
合理控制信息系统的硬件设施,这个程序通常已由计算机硬件制造商设计并安装在计算机硬件设备上,如边界保护、双电路、奇偶校验、溢出校验及程序固化等;目的是为了使计算机有更高的可靠性,在环境出现一些细微干扰的时候不至于影响计算机的运行。强化访问控制、隔离控制、加密变换和口令控制等,能有效防止未经授权的人擅自动用系统的各种资源,包括硬件设备、软件程序、数据文件以及相关的档案资料。采用多层式(客户机/服务器)模式组建企业内部网,即利用中间代理服务器隔离客户与数据库服务器的联系,实现数据的一致性;采用较为成熟的大型网络数据库产品并合理定义应用子模式,子模式是全部数据资料中面向某一特定用户或应用项目的一个数据处理集,通过它可以分别定义面向用户操作的用户界面,做到特定数据面向特定用户开放,建立信息资源授权制度;采取定期的网络基础数据备份,制订紧急恢复及灾难补救计划。系统维护,包括软件修改、代码结构修改和计算机硬件与通讯设备的维修等,涉及系统功能的调整、扩充和完善,必须经过周密计划和严格记录,维护过程的每一环节都应设置必要的控制,维护的原因和性质必须有书面形式的报告,经批准后才能实施修改;特别是软件修改,网络系统操作员绝对不能参与,所有与系统维护有关的记录都应打印后存档。在病毒处理上,对不需要本地硬盘和软盘的工作站,尽量采用无盘工作站;采用基于服务器的网络杀毒软件进行实时监控、追踪病毒;在网络服务上采用防病毒卡或芯片等硬件,以有效防治病毒;财务软件可挂接或捆绑第三方反病毒软件,加强软件自身的防病毒能力;对外来软件和传输的数据必须经过病毒检查,在业务系统中严禁使用游戏软件;及时升级本系统的防病毒产品。
(四)不断提高组织文化建设的力度
组织文化是组织高层为保证组织的生存发展,根据组织内环境设计提出的,并为组织普遍接受的有关组织经营管理活动和员工行为的一整套价值体系。组织文化渗透到各个分支机构和经营部门的经营、管理中,贯穿于组织管理、质量、检测、销售、服务、资产重组、体制转换、跨国经营、科研、教育培训等领域之中,具体体现在组织经营策略和各种规范、规章制度的实践中。IT环境下,组织应当从物质文化、行为文化、精神文化、制度文化几个方面着手塑造组织文化,在继承和发扬本国优秀文化、教育传统,借鉴国外优秀文化的基础上,努力改造组织环境,优化组织素质,树立组织形象,增强组织活力,完善组织管理,促进文化与经济的有机结合,使组织文化真正发挥出整合功能、规范功能、导向功能、凝聚功能及激励功能等,为组织的繁荣昌盛服务。唯如此,组织才能在新经济时代立于不败之地,使组织文化和组织的内部控制在IT环境下得到很好的耦合。
三、结论
世界经济从工业时代,狂飙般进入文化创新时代。现代企业的经营环境复杂、经营内容广泛、地理分布辽阔、信息处理工作量非常大,也给传统的内部控制规范实施带来了前所未有的挑战。所以,嫁接IT技术,促进内部控制规范实施,是大势所趋,也是社会现实的需要。实施企业内部控制规范,可确保内部控制的恰当有效,保护资产和资源的安全,保证信息系统输出的信息准确、完整、及时,提高经营的效率和效果,促进企业对法律法规的遵守。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:IT环境下内部控制规范实施研究