壹、企業信息化對內部控制提出挑戰 內部控制是現代企業管理的重要內容,也是國家五部委對上市企業提出規範管理的明確要求。企業建立內部控制制度的目的在於: (1)保障企業生產經營的效果與效率; (2)保證財務報告的可靠性,以堵塞企業內部管理漏洞,確保企業生產、業務數據的真實性,制定合理的績效考核指標及依據; (3)使企業自覺遵循國家、地方相關法令、法規,預防、控制企業內部的舞弊行為。 按照國際權威美國COSO委員會定義,企業內部控制包括5個要素: (1)控制環境 影響企業員工內部控制意識,使內部控制得以貫徹執行,確保企業經營戰略目標的實現。 (2)風險評估 在市場日趨激烈競爭中,企業內部控制必須分析、了解自身所面臨的各種風險,並適時加以處理。 (3)控制活動 確保企業管理層的指令得以實現的政策和程序。控制活動主要包括:交易授權、職責分離、監管、業務記錄、接觸控制和獨立稽核。 (4)信息和溝通 企業必須保證員工能夠取得他們在執行、管理和控制企業經營過程中所需的信息,使員工順利履行其職責。 (5)監督 整個內部控制的過程必須施以恰當的監督,並在必要時對其加以修正。 企業信息化增加了企業內部控制的潛在風險,在企業由傳統管理向信息化管理轉變過程中,構建系統、嚴密、完善的內部控制體系,不僅是現代企業必須遵循的基本管理法則,也是企業提高防範風險能力和經營管理水平的內在要求。二、企業信息化對內部控制的影響 2.1 主要體現方面 壹企業信息化應用增加了企業決策者的管理幅度,使企業組織結構扁平化,優化、固化了業務流程,內控制度必須與之相適應; (1)企業信息化改變了管理信息的采集、存儲及整理方式,數據及時、準確、真實性大大提高,為實施更有效的內部控制打下了基礎; (2)企業信息化改變了管理信息的溝通、處理方式,提高了管理效率和信息的集成性,企業內部控制由傳統控制轉向實時控制。 實時控制主要體現在: (1)控制目標,由“確保資產安全完整”變為“提高企業經營效率和效益,實現價值增值”; (2)控制內容,由“資金或資本會計要素的單項變動控制”發展為“企業價值鏈系統及網絡的多維控制”; (3)控制方式,由“只限於經營活動過程中的適時控制”變為“實時控制”; (4)控制信息,由“以貨幣價值量的控制”發展為“利用時間量、實物量和貨幣量的信息控制”; (5)控制屬性,由靜態控制拓展為動態控制,由局部控制轉向經營活動全過程的控制,以滿足信息使用者任何時間、地點獲取所需的信息。
2.2 對內部控制五要素的影響 (1)對控制環境的影響 企業信息化使企業組織結構趨向扁平化,管理層次減少,對企業管理者的素質提出了更高的要求,有利於決策者全面、及時地掌握企業運營情況,為正確制定戰略、資源分配和績效評價等企業決策提供依據。 (2)對風險評估的影響 企業信息化規範、固化了業務流程,系統控制降低了人員疏漏或舞弊的風險;同時信息存儲高度集中,系統失靈、崩潰和數據竊取等風險增加,需建立良好的IT 治理機制,防範災難和減少災難發生時的損失。 (3)對控制活動的影響 ①控制活動是根據企業業務流程的節點控制進行設置,業務控制對象是企業生產經營過程,對業務控制由信息系統自動完成; ②業務授權由信息系統完成,但授權過程不明顯,控制的失效往往在發生損失後才被察覺。應關註、檢查系統授權的正確性和完整性; ③業務職責分離、監管及獨立稽核仍是重要的控制措施,信息系統應建立規範的審批工作流程; ④信息化環境下,業務記錄不再是書面的簽章、編碼、交叉索引等,而是通過登錄密碼、操作日誌等技術手段進行業務記錄,其有效性受信息系統的正確性、完整性和安全性的影響; ⑤信息化環境下,對於信息資產的接觸控制,由於網絡的遠程接入性,應當通過防火墻、操作員權限設置、登錄密碼安全策略、信息系統審計等技術手段和管理措施加以實現。 (4)對信息和溝通的影響 企業信息化有利於內部控制的信息和溝通,利用完善的企業信息系統,企業員工能夠更好地取得他們在執行、管理和控制企業經營過程中所需的信息,順利履行其職責。當然,也要警惕信息過量及借助高速信息處理能力造假的問題。 (5)對監督的影響 借助信息系統,可以實現實時監督,從而提高監督效果和效率,對信息系統的開發、實施和維護過程所進行的監督,應當成為監督的重點。企業應運用CSA做法,定期或不定期地對內部控制系統進行評估,評估其有效性及實施的效率效果,以期能更好地達到內部控制的目標。三、加強內部控制的對策 3.1 建立與信息化建設相適應的內部控制制度 企業信息化應服從企業整體發展戰略,要站在企業治理的高度,制定與企業發展戰略相融合的信息化戰略,從戰略投資、企業管理變革的角度,降低企業信息化風險。幫助企業管理層建立以企業戰略為導向,以外界環境為依據,以業務和信息化整合為中心,針對不同業務發展要求,整合信息資源,制定並執行推動企業發展的信息化戰略。 3.2 加強信息系統控制及審計 在企業信息化環境下,對信息系統的有效控制是企業開展正常生產經營活動的前提和保障。內部審計機構是信息系統控制最重要的執行者之壹,在信息系統的開發、實施、維護和操作過程中應當進行嚴格的獨立審查和監督,保證信息系統的正確性、完整性和安全性。 信息系統審計主要包括以下方面: (1)評價信息系統的管理、規劃與組織方面的策略、政策、標準、程序和相關實務。 (2)評價企業在信息系統技術基礎設施與操作實務的管理和實施方面的有效性及效率,以確保其充分支持企業的運營目標。 (3)對邏輯、環境與信息技術基礎設施的安全性進行評價,確保其能支持企業保護信息資產的需要,防止信息資產在未經授權的情況下被使用、披露、修改、損壞或丟失。 (4)評價災難恢復與業務持續計劃,這些計劃保證在發生災難時,能夠使企業持續處理業務。 (5)對應用系統的開發、獲得、實施與維護方面所采用的方法和流程進行評價,以確保其滿足企業的業務目標。 (6)評估業務系統與處理流程,確保根據企業的業務目標對相應風險實施管理。 3.3 實施業務流程優化和固化 企業信息化系統,蘊含了先進管理思想,但其業務流程仍然保持手工環境下的狀態,必然造成信息系統與業務流程之間的沖突,從而使企業生產經營管理出現低效率,而且會形成內部控制的弱點和許多問題。因此,企業信息化過程中實施業務流程優化、固化,具有十分重要的意義。 3.4 加強企業人力資源管理 企業管理要以人為本,人力資源管理是合理配置和開發企業的人力資源,以實現企業目標的管理活動。在信息化環境下,企業加強內部控制的壹個重要方面就是加強對人力資源的管理。 對於內部控制而言,人力資源管理的目標主要是保證和提高員工的素質和品行。信息化環境對員工的素質提出了更高的要求,員工不但要熟悉業務,還要掌握軟件系統的操作。企業應該通過完善的內控制度來約束企業員工行為,建立良好的績效評價、激勵機制,防止掌握企業重要信息資源的人才流失以及相應的信息資源損失。 3.5 重在執行 企業管理效率取決於管理流程的規範、業務流程的暢通以及信息上傳下達的及時準確,企業內部控制、ISO9001、TQM等管理體系,無不強調的是過程控制,壹切由數據說話。企業信息化建設目標之壹就是為管理者提供及時、準確、全面的管理數據。 企業建立內部控制制度是規範管理、保證企業信息化系統有效運行的基礎,而信息化系統是提高工作效率,保證管理信息及時、準確,量化考核做到公正、客觀,制度得以真正落實下去的關鍵。因此,無論是內部控制,還是企業信息化應用,有效執行是關鍵。