内部控制是指企业为合理保证单位经营活动的效益性、财务报告的可靠性和法律法规的遵循性,对企业经营管理及其活动过程进行检查、约束和调节的自律系统。内部控制贯穿于经营活动的全部过程,包括控制环境、风险评估、控制活动、信息与沟通、监督等要素。随着信息技术在企业的广泛应用,企业在管理模式、生产方式、交易方式、作业流程等方面的变革对传统的内部控制观点和控制方法产生很大的冲击,对企业内部控制体系也提出了更新的要求。企业只有对其内部控制系统进行全面地创新,才能趋利避害,借助信息化这趟列车飞速发展。
企业管理信息系统内部控制的重要性
信息管理的反馈控制理论认为,管理过程就是从信息输入到输出、经过反馈和修正、再形成新的信息输入的不断循环的过程,内部控制采取闭环控制方式,控制活动贯穿于公司的各个阶层和职能部门,包括审批、授权、验证、调节、业绩检查、保障资产安全及职责分工等,每次循环的延续时间就是管理周期,延续时间的长短则反映了管理工作效率的高低。因此有利于各种管理信息的反馈。通过内部控制中的信息反馈,管理目标的执行、差异的存在、应采取的措施等信息能够及时准确地报告给有关管理者,有助于企业各项计划、政策的贯彻、落实和执行。管理活动做得好,内部控制有效,企业就能够实现它的目标,企业就可以获得丰厚的利润,从而保证了企业的生存和发展能力。如果内部控制无效,企业的目标难以实现,企业将失去竞争能力,甚至危及企业的生存。可见,内部控制是企业管理的重要手段,也是管理信息系统中的重要环节,企业管理者应给予高度重视。
内部控制对管理信息化的作用
(一)对控制环境的影响。
一方面, 信息化将使企业组织结构趋向扁平化, 管理层次减少, 人员精简, 进而降低成本和提高效率。同时, 扁平化组织结构能够使物流和信息流更加顺畅, 有利于工作周期的缩短、工作质量的提高。随着扁平化组织结构的建立和信息系统的运行, 企业的权责分派体系也出现了变化, 主要包括岗位设置和交易授权。①岗位设置。信息化环境下, 工作岗位及其职责需要重新合并和划分。就会计岗位而言, 可以按照会计信息的不同形态划分为会计核算组、会计信息运行组、管理组。与此同时, 会计岗位的重心由传统的总账报表岗位转变为会计信息运行组岗位。这种工作岗位及其职责的变化更加强调员工之间的竞争与合作, 有利于团队的成长和发展。②交易授权。传统的交易授权大都采用签字和盖章等方式, 而在信息化环境下, 交易授权一般采用计算机口令和数字签名等手段。这种交易授权行为可以在人工介入很少的条件下, 通过计算机程序自动完成。它减少了工作量, 提高了工作效率, 但同时也出现了一个新的问题, 即交易轨迹消失, 这给内部控制的实施和评价带来了很多困难。另一方面, 信息化对企业管理者的素质提出了更高的要求。企业所面临的竞争加剧、变化加速, 管理者所能获得的信息量倍增, 信息技术和信息系统在企业中的作用日益凸显。这些都要求管理者不但要有更强的把握信息、利用信息的能力,在运营管理企业中利用好信息资源, 而且要有对信息、信息技术和信息系统重要性和风险的正确认识和理解, 制定正确的信息技术战略和信息技术规划。
(二)对风险评估的影响。
在建立信息系统之前,企业的内部控制制度往往是一堆文件和手册,执行过程也只能是定期地检查和评估。这使企业风险评估缓慢,企业不能及时规避风险。信息系统使得动态和实时控制成为可能,内部控制也由以事后的监督检查为主变为事前和事中控制模式,更好地体现出基于预测和预防的风险评估机制。在信息化环境下, 企业经营管理的外部环境与内部因素都发生了变化。伴随着业务流程的重组, 系统的开放性、信息的分散性、数据的共享性, 使信息系统从以往的封闭集中状态走向开放, 给企业带来的风险主要有: ①由于信息的开放性和保密性, 系统程序员、系统操作员、系统维护员等各类人员对其权限内的工作都设置一定的口令或密码, 但是一旦系统操作员不怀好意, 擅自改变他人的口令或密码, 改变他人的权限, 则势必造成系统管理混乱, 从而给企业带来风险。②内部控制计算机程序化, 可能导致同一错误反复发生。③在信息化环境下, 企业业务流程的自动化降低了业务处理过程中源于人员疏忽或舞弊的风险。但由于企业的运营管理越来越依赖于信息系统, 信息在企业中的作用日趋重要, 信息化环境促使信息存储高度集中、单位时间传递的信息量大为增加, 这些都增大了与信息资产和信息系统相关的风险。信息化环境下, 人们的主观判断被忽视, 数据处理过于集中, 存储的数据可以被不留痕迹地改写或删除, 数据的存放方式增加了数据再现的难度, 数据处理过程无法观测, 等等。这些新的风险构成了企业内部控制的新内容。
(三)对控制活动的影响。
信息化环境下的控制活动分为两部分: 自动化业务控制和信息系统控制。自动化业务控制的控制对象仍然是企业的生产经营过程, 但其形式和控制手段发生了很大变化。它以计算机程序的形式嵌入企业信息系统之中, 对业务的控制由计算机自动完成。信息系统控制是企业为了保证信息系统的正确性、完整性和安全性而采取的控制措施, 其控制对象是企业信息系统, 包括计算机软硬件资源、应用系统、数据和相关人员等信息系统的所有组成要素。随着网络技术和电子商务的发展, 信息系统控制还必须考虑网络安全和电子商务控制的问题。信息化环境下的交易授权可以由计算机程序自动完成,这使得授权过程不明显, 控制的失效往往在发生损失后才被察觉。因此, 管理者对交易授权的关注应该转移到对相关计算机程序的正确性和完整性的检查上。
(四)对信息沟通的影响。
在完善的信息系统的支持下, 企业员工能够较好地取得他们在执行、管理和控制企业经营活动过程中所需的信息, 使其职责能够顺利履行。当然, 也要警惕信息技术可能带来的信息过量的问题, 以及部分员工借助高速信息处理能力造假的。内部控制活动是否畅通直接影响企业对信息的获取和利用程度。成功的内部控制能使员工对称地获取企业内部信息,明确生产、管理目标,使每个员工都清楚地知道其承担的特定职责。同时内部控制为员工开辟了向上级部门沟通重要信息的渠道,避免职工与企业矛盾。同时,为员工对外界顾客、供应商、政府主管机关和股东等做有效的沟通提供了方法。具体表现在:(1)内部控制影响企业管理指令被贯彻执行。管理决策层的计划或指令能否及时、恰当地得到落实,很大程度上依赖于内部控制的监督和激励机制是否完善。内部控制如果建立有效的监督和激励机制,就会把员工的职责和利益有机地联系在一起,从而调动员工工作的积极性和主动性,发挥员工的主人翁精神,使管理层的决策得到顺利落实。(2)内部控制加强了企业和职工的信息沟通。内部控制系统保证信息在企业内部各层次中的畅通,使员工能够知悉其营业,清楚其所担负的特定任务,了解内部控制制度的各项规定、它们如何生效;员工在执行任务时,一旦有非预期的事项发生应采取什么行动,并预防再度发生。同时,员工拥有在组织中向上沟通重要信息的方法。这能使企业和职工之间的矛盾及时得到反映和解决。(3)内部控制把企业各部门整合在一起,使企业信息得到有效共享。企业中各部门之间既相互联系,又有一定的独立性。内部控制能把各部门有机地整合在一起,实现各部门信息共享,从而使管理层能及时掌握企业的产销、库存等情况,并适时调整生产计划。
(五)对监控的影响。
内部控制的程序化使得内部控制具有一定的依赖性并增加了差错发生的可能性。网络技术的应用使得内部控制具有人工控制与程序控制相结合的特点。这些程序化的内部控制的有效性取决于应用程序的有效性。如果程序发生差错或不起作用, 人们对计算机系统的依赖性、麻痹大意以及程序运行的重复性会使得失效控制长期难以被发现, 从而使系统在特定方面发生错误或违规行为的可能性加大。
(六)对信息的可靠性的影响
内部控制对信息存取安全的控制,影响会计数据的可靠性,对信息存取安全的控制,应注重对应用软件自身安全缺陷和设备自身安全性能低这两个方面实施控制,确保会计数据安全可靠。现有的会计应用软件系统在设计、开发阶段,普遍存在着系统需求中安全需求少、软件设计重功能轻安全的现象,软件设计选用的语言和资料库考虑安全性能少,以至软件投入运行后暴露诸多安全隐患,如信息存取时,不能保证数据完整性;数据易被窃取;数据溢出等安全问题。这类现象和问题目前尚未得到彻底的改变,同时,许多安全设施并未配置齐全,特别是硬件自身安全性能低。这些安全隐患增加了内部控制的难度,也体现了内部控制对信息存取安全的控制的必要性。
信息化条件下企业内部控制的创新
(一)实施业务流程重组,使业务流程与信息流程相协调。
信息技术使企业业务流程与信息流程融合在一起,如果企业的业务流程仍然保持手工环境下的状态,必然造成信息系统与业务流程之间存在许多冲突,从而使企业生产经营管理出现低效率,而且会形成内部控制的弱点,产生许多问题。因此,要提高企业内部控制的效果,首先必须从根本上重新考虑并彻底重建企业的业务流程,使企业能最大限度地适应以顾客、竞争、变化为特征的现代企业经营环境。业务流程控制与信息流程控制成为企业内部控制系统设计的重要内容。在企业流程控制中,企业业务流程必须与信息流程相协调,并针对组织内部控制目标的要求,对业务流程和信息流程的各类风险进行评估,确定风险重要程度。依据风险的重要程度确定业务流程与信息流程的关键控制点,建立控制模型,设定控制参数与控制程序,并将其嵌入到信息系统中,形成人机结合、业务活动与信息处理集合的内部控制系统,这样在企业经营过程中,信息系统就能动态跟踪业务活动的信息,自动监控这些活动所产生的数据是否在控制范围内,预测发展趋势,实时输出预警信号。组织成员也能依据这些作业点的反馈信号及时制定正确决策,有效控制企业的经营活动过程。
(二)强化风险意识,建立新型的风险控制体系。
在信息化条件下,任何信息系统失灵导致重要信息的遗失或泄漏,都将给企业造成不可估量的损失。这就要求企业强化风险意识,注意识别新环境下的新风险。同时还要建立相应的风险控制机制,做到有备无患。首先,应建立风险评估的信号和指标体系,针对可能出现的技术风险和管理风险等,建立起一套风险预警指标,这就相当于给信息系统安装了风险警报系统,可以及时发现和评价所出现的风险;其次,应健全风险控制的运行体系。收到预警信号后应及时采取措施,以防风险的发生。这是计算机信息系统运行的“防火墙”;再次,应该建立风险处理的快速反应部门,目的是帮助企业能迅速地对事故及故障做出反应,将事故及故障造成的损害降到最小,并通过对已发事件进行分析来防范此类事件再次发生,达到进一步防范风险的作用。
(三)监控与操作分离,强化系统内部的相互牵制。
职责分离是内部控制的一个重要组成部分。为了强化系统的内部控制,可以在系统内分设操作与监控两个岗位,对每一笔业务同时进行多方备份。一旦主管部门或审计人员对某些数据产生怀疑时,可以利用监控人员备份的原始记录进行分析调查、辩明真伪。系统分析、程序设计、计算机操作、数据输入、文件程序管理等职务应予以分离,系统操作人员、管理人员和维护人员这三种不相容职务相互分离,互不兼任。信息系统各岗位要明确职责分工,并对各类人员制定岗位责任制度,各岗位都要得到一定的授权,并用密码控制。对操作密码要严格管理,指定专人定期更换操作员的密码。通过设立一种相互稽核、相互监督和相互制约的机制来保障信息的真实可靠,减少发生错误和舞弊的可能性。
企业的内部控制是否健全有效,特别是对会计核算有何影响,需要在持续的控制之后,对此做出评价。在实际工作中,由于各种原因,在评价内部控制时,往往注重对业务处理控制的了解、测试和评价,忽视了对信息系统控制是否有效执行、是否健全的审查,从而导致由于信息系统控制的漏洞而有意无意地改变了信息系统中有关数据,这样就无法保障后续会计处理的会计信息的质量。企业不仅要建立信息系统控制,还必须对所建立的各项控制进行测试和评价,特别是要对会计信息系统控制是否健全、有效做出评价,以便及时发现问题,及时纠正。对会计信息系统及相关业务系统的控制测试包括控制设计测试和控制执行测试两个方面。控制设计测试是确定会计信息系统的控制设计是否合理、适当,也就是对会计信息系统控制的健全性进行测试。控制执行测试是确定现行会计信息系统控制是否存在并发挥作用,也就是对会计信息系统控制的有效性进行测试。由于信息系统控制既包括人工控制,又包括计算机程序控制,因此单纯依靠传统的控制测试方法是无法完成该项工作的,还必须采用计算机辅助审计技术,才能对信息系统控制进行全面测试。在实际工作中,应针对不同的控制形式,选择相应的控制测试技术。
在对会计信息系统控制进行测试之后,要对各项控制是否健全、有效做出评价。针对识别出的控制薄弱环节,进行深入研究与分析,提出完善会计信息系统控制的建议,及时改进。对于信息系统控制制度方面的问题,要从根本上解决。
(四)加强人力资源管理,保证员工业务素质和道德素养。
完善的管理控制系统必须和人融合在一起。在企业的管理活动中,人力是最主动、最关键的因素。要搞好一个企业,提高劳动生产率,增加经济效益,最重要的是调动人的积极性,进行人力资源的开发。人的资源潜力是很大的。有调查指出,职工每天只需发挥20%~30%的能力用于工作就能基本完成任务。如果能充分调动职工的积极性,他们的潜力可以发挥到80%~90%。另外,随着科学技术的进步,脑力劳动逐渐成为主要劳动形式,这更需要调动职工的积极性、主动性和创造性。我国企业必须根据企业管理信息化程度的不同,加强对员工的专业培训,以适应信息化管理岗位的新要求,形成良好的人力资源结构。引入竞争机制,根据市场竞争、优胜劣汰的原则,形成任人唯贤的用人机制,为企业的发展和壮大配置合格的人才。其次,管理者的素质在企业经营管理中起着非常重要的作用,管理者的素质不同,对企业发展产生的影响也不相同,进而影响到企业内部控制的效率和效果。企业管理者的素质不仅仅指知识与技能,还包括道德观、价值观、世界观等各方面。企业承受营业风险的种类、整个企业的管理方式、企业管理阶层对法规的反应、对企业财务的重视程度以及对人力资源的政策及看法等,都深深地影响着内部控制的成效。
在信息化条件下,加强人力资源的管理,是企业完善内部控制的基础。企业实施信息化后,对员工业务素质和道德素养提出了更高的要求。员工不但要熟悉更多的业务流程,而且还要熟悉信息系统的操作方法。因而人力资源管理的目标主要是通过相应的人事政策激励员工和制定良好的培训政策等提高员工的素质。同时,由于信息化条件下与信息资源相关的风险的存在,要求企业制定良好的绩效考评机制和激励约束机制。对员工进行道德素质教育,引导其形成良好、健康的心态,增强其组织归属感,信赖感;加大惩罚力度,如在职员发生偏离内部控制行为时,给予经济上的重罚,同时在内部媒体中进行披露;于严重的偏离行为还可以采取解聘、甚至寻求法律途径进行处罚,以防范内部人员的道德风险。
(五)建立安全管理控制制度,保证网络和信息系统的安全。
建章立制,强化企业内部制度,实行系统信息化管理以后,信息系统的正常、安全、有效运行的关键是操作使用。如果单位管理制度不健全或实施不力,都会给各种非法舞弊行为以可乘之机。因此,管理方式和对象的改变,也给内部控制下的制度赋予了新的内涵。应严格机构和人员的管理与控制,对各类人员制订岗位责任制度。应严格系统操作环境管理和控制系统。制订一套完整而严格的操作规定来控制操作程式。操作规程应明确职责、操作程式和注意事项。应建立健全档案管理制度。这就要求在技术上对企业信息系统包括通信平台、网络平台、操作系统平台、应用平台等在内的各个层次建立综合的多层次的安全控制体系。为了防范来自外部的非法访问,企业信息系统应建立访问控制措施,如防火墙技术、邮件系统控制、网上信息查询控制、漏洞扫描技术、入侵检测技术等;为了防止会计数据在通过公共网络传输过程中发生错误、丢失、泄密等事故,企业应采取数字签名技术和数据加密技术等,保证数据安全、完整;修改、删除数据时,随时留存操作日志,留下操作的痕迹以便日后检查;每次操作完成退出系统时,除进行数据备份等方法以外,为防止非法篡改,一些重要的数据库文件,可以定义为专用文件,采用专门技术定义为隐形文件,未经授权,难以动用;采取专门的管理制度,如专机专用,专室专用等措施,以保证数据的安全;高度重视计算机病毒的防范,通过服务器的网络杀毒软件进行实时监控、追踪病毒,同时可以挂接或捆绑防病毒软件,加强自身的防毒能力,对外来的软件和传输的数据必须经过病毒检查,及时升级防病毒软件。
综上所述,内部控制实质上是企业完善管理的内部问题,是企业运用控制理论,通过管理信息系统实现企业内部管理的合理性、经济性、效率性;加强企业在信息化环境下对会计工作的有效监管,维护资产和资源的安全和完整,提高经济效益的重要管理手段。我国的企业管理必须引入或加强内部控制,完善信息化环境下的内部控制制度,以增强企业的竞争能力和生存能力,保证企业可持续发展。