当前企业信息化应用正逐步深入,财务管理软件、企业资源规划(ERP)、供应链管理(SCM)、客户关系管理(CRM)、电子商务(EC)等应用日益广泛。企业信息化建设促使企业的组织形式、管理体制、控制要点发生相应的改变,企业组织结构趋向扁平化,管理人员越来越依赖于管理信息平台经营和控制企业,电子商务也成为企业进行全球贸易经营的发展方向。与此同时,企业信息化也给企业的内部控制提出了新的挑战,本研究拟探讨信息化应用对内部控制产生的影响,为适应变化内部控制应进行的改变以及企业应该如何加强信息化环境下的内部控制。
1、企业信息化对内部控制提出挑战
内部控制是现代企业管理的重要内容,也是国家五部委对上市企业提出规范管理的明确要求。企业建立内部控制制度的目的在于:1)保障企业生产经营的效果与效率;2)保证财务报告的可靠性,以堵塞企业内部管理漏洞,确保企业生产、业务数据的真实性,制定合理的绩效考核指标及依据;3)使企业自觉遵循国家、地方相关法令、法规,预防、控制企业内部的舞弊行为。
按照国际权威美国COSO 委员会定义,企业内部控制包括5 个要素:
1)控制环境。影响企业员工内部控制意识,使内部控制得以贯彻执行,确保企业经营战略目标的实现。2)风险评估。在市场日趋激烈竞争中,企业内部控制必须分析、了解自身所面临的各种风险,并适时加以处理。3)控制活动。确保企业管理层的指令得以实现的政策和程序。控制活动主要包括:交易授权、职责分离、监管、业务记录、接触控制和独立稽核。4)信息和沟通。企业必须保证员工能够取得他们在执行、管理和控制企业经营过程中所需的信息,使员工顺利履行其职责。5)监督。整个内部控制的过程必须施以恰当的监督,并在必要时对其加以修正。
企业信息化增加了企业内部控制的潜在风险,在企业由传统管理向信息化管理转变过程中,构建系统、严密、完善的内部控制体系,不仅是现代企业必须遵循的基本管理法则,也是企业提高防范风险能力和经营管理水平的内在要求。
2、企业信息化对内部控制的影响
2.1 主要体现方面
1)企业信息化应用增加了企业决策者的管理幅度,使企业组织结构扁平化,优化、固化了业务流程,内控制度必须与之相适应;2)企业信息化改变了管理信息的采集、存储及整理方式,数据及时、准确、真实性大大提高,为实施更有效的内部控制打下了基础;3)企业信息化改变了管理信息的沟通、处理方式,提高了管理效率和信息的集成性,企业内部控制由传统控制转向实时控制。
实时控制主要体现在:1)控制目标,由“确保资产安全完整”变为“提高企业经营效率和效益,实现价值增值”;2)控制内容,由“资金或资本会计要素的单项变动控制”发展为“企业价值链系统及网络的多维控制”;3)控制方式,由“只限于经营活动过程中的适时控制”变为“实时控制”;4)控制信息,由“以货币价值量的控制”发展为“利用时间量、实物量和货币量的信息控制”;5)控制属性,由静态控制拓展为动态控制,由局部控制转向经营活动全过程的控制,以满足信息使用者任何时间、地点获取所需的信息。
2.2 对内部控制五要素的影响
1)对控制环境的影响。企业信息化使企业组织结构趋向扁平化,管理层次减少,对企业管理者的素质提出了更高的要求,有利于决策者全面、及时地掌握企业运营情况,为正确制定战略、资源分配和绩效评价等企业决策提供依据。
2)对风险评估的影响。企业信息化规范、固化了业务流程,系统控制降低了人员疏漏或舞弊的风险;同时信息存储高度集中,系统失灵、崩溃和数据窃取等风险增加,需建立良好的IT 治理机制,防范灾难和减少灾难发生时的损失。
3)对控制活动的影响。①控制活动是根据企业业务流程的节点控制进行设置,业务控制对象是企业生产经营过程,对业务控制由信息系统自动完成;②业务授权由信息系统完成,但授权过程不明显,控制的失效往往在发生损失后才被察觉。应关注、检查系统授权的正确性和完整性;③业务职责分离、监管及独立稽核仍是重要的控制措施,信息系统应建立规范的审批工作流程;④信息化环境下,业务记录不再是书面的签章、编码、交叉索引等,而是通过登录密码、操作日志等技术手段进行业务记录,其有效性受信息系统的正确性、完整性和安全性的影响;⑤信息化环境下,对于信息资产的接触控制,由于网络的远程接入性,应当通过防火墙、操作员权限设置、登录密码安全策略、信息系统审计等技术手段和管理措施加以实现。
4)对信息和沟通的影响。企业信息化有利于内部控制的信息和沟通,利用完善的企业信息系统,企业员工能够更好地取得他们在执行、管理和控制企业经营过程中所需的信息,顺利履行其职责。当然,也要警惕信息过量及借助高速信息处理能力造假的问题。
5)对监督的影响。借助信息系统,可以实现实时监督,从而提高监督效果和效率,对信息系统的开发、实施和维护过程所进行的监督,应当成为监督的重点。企业应运用CSA 做法,定期或不定期地对内部控制系统进行评估,评估其有效性及实施的效率效果,以期能更好地达到内部控制的目标。
3、加强内部控制的对策
3.1 建立与信息化建设相适应的内部控制制度
企业信息化应服从企业整体发展战略,要站在企业治理的高度,制定与企业发展战略相融合的信息化战略,从战略投资、企业管理变革的角度,降低企业信息化风险。帮助企业管理层建立以企业战略为导向,以外界环境为依据,以业务和信息化整合为中心,针对不同业务发展要求,整合信息资源,制定并执行推动企业发展的信息化战略。
3.2 加强信息系统控制及审计
在企业信息化环境下,对信息系统的有效控制是企业开展正常生产经营活动的前提和保障。内部审计机构是信息系统控制最重要的执行者之一,在信息系统的开发、实施、维护和操作过程中应当进行严格的独立审查和监督,保证信息系统的正确性、完整性和安全性。
信息系统审计主要包括以下方面:1)评价信息系统的管理、规划与组织方面的策略、政策、标准、程序和相关实务。2)评价企业在信息系统技术基础设施与操作实务的管理和实施方面的有效性及效率,以确保其充分支持企业的运营目标。3)对逻辑、环境与信息技术基础设施的安全性进行评价,确保其能支持企业保护信息资产的需要,防止信息资产在未经授权的情况下被使用、披露、修改、损坏或丢失。4)评价灾难恢复与业务持续计划,这些计划保证在发生灾难时,能够使企业持续处理业务。
5)对应用系统的开发、获得、实施与维护方面所采用的方法和流程进行评价,以确保其满足企业的业务目标。6)评估业务系统与处理流程,确保根据企业的业务目标对相应风险实施管理。
3.3 实施业务流程优化和固化
企业信息化系统,蕴含了先进管理思想,但其业务流程仍然保持手工环境下的状态,必然造成信息系统与业务流程之间的冲突,从而使企业生产经营管理出现低效率,而且会形成内部控制的弱点和许多问题。因此,企业信息化过程中实施业务流程优化、固化,具有十分重要的意义。
3.4 加强企业人力资源管理
企业管理要以人为本,人力资源管理是合理配置和开发企业的人力资源,以实现企业目标的管理活动。在信息化环境下,企业加强内部控制的一个重要方面就是加强对人力资源的管理。
对于内部控制而言,人力资源管理的目标主要是保证和提高员工的素质和品行。信息化环境对员工的素质提出了更高的要求,员工不但要熟悉业务,还要掌握软件系统的操作。企业应该通过完善的内控制度来约束企业员工行为,建立良好的绩效评价、激励机制,防止掌握企业重要信息资源的人才流失以及相应的信息资源损失。
3.5 重在执行
企业管理效率取决于管理流程的规范、业务流程的畅通以及信息上传下达的及时准确,企业内部控制、ISO9001、TQM 等管理体系,无不强调的是过程控制,一切由数据说话。企业信息化建设目标之一就是为管理者提供及时、准确、全面的管理数据。企业建立内部控制制度是规范管理、保证企业信息化系统有效运行的基础,而信息化系统是提高工作效率,保证管理信息及时、准确,量化考核做到公正、客观,制度得以真正落实下去的关键。因此,无论是内部控制,还是企业信息化应用,有效执行是关键。