信息技術的應用增加了企業(yè)內(nèi)部控制的潛在風險,但同時,信息流程和業(yè)務流程的結合給企業(yè)內(nèi)部控制效率的增強也帶來了機遇。
傳統(tǒng)的內(nèi)部控制制度是為防止舞弊和差錯而形成的以內(nèi)部稽核和相互牽制為核心的工作制度。由于內(nèi)部控制理論的發(fā)展和信息技術的廣泛應用,賦予了其新的內(nèi)涵,發(fā)展成為以系統(tǒng)安全保障和管理控制相結合的控制體系。隨著信息時代的到來,內(nèi)部控制系統(tǒng)可以分為系統(tǒng)控制與管理控制兩大類。
一、系統(tǒng)控制
系統(tǒng)控制是指與程序設計、運行維護、數(shù)據(jù)處理過程、硬件設備等相關的可靠性控制制度。根據(jù)信息技術應用下的企業(yè)內(nèi)部控制中新的控制風險,企業(yè)應加強在這幾方面的控制力度。
它包括一般控制與應用控制。一般控制幫助管理階層確保系統(tǒng)能持續(xù)、適當?shù)剡\轉,具體含有應用系統(tǒng)開發(fā)、建立和維護控制,系統(tǒng)軟件與操作控制,數(shù)據(jù)和程序控制、存取安全控制、網(wǎng)絡安全控制等。應用控制是對會計信息系統(tǒng)中具體的數(shù)據(jù)處理活動所進行的控制,包括應用軟件中的電算化步驟及相關的人工程序,劃分為輸入控制、計算機處理與數(shù)據(jù)文件控制和輸出控制。
二、管理控制
管理控制是運用現(xiàn)代管理學的組織規(guī)劃、資源使用限制等原理,制定的諸如業(yè)務流程、工作程序、崗位設置、職責分工、授權批準等一系列內(nèi)部管理制度。信息技術的引進以及現(xiàn)代社會經(jīng)濟環(huán)境的嶄新變化,使我們要在以往內(nèi)部控制形式上注入新的特色。
1.完善內(nèi)部控制環(huán)境,培養(yǎng)企業(yè)整體的信息技術能力。
企業(yè)為了適應控制環(huán)境的變化,需要從一個新的角度來看待信息技術,要重視公司進行網(wǎng)絡化管理的整體的IT能力,而不是簡單的建立諸如儲存系統(tǒng)、存貨控制系統(tǒng)等幾個孤立的IT系統(tǒng)。
(1)建立健全組織結構與權責分派體系。
一般而言,內(nèi)部控制的建設體現(xiàn)在兩個方面:一是健全的結構,這是內(nèi)部控制機制產(chǎn)生作用的硬件要素;二是各個內(nèi)部機構間、各經(jīng)辦人員間的科學分工與牽制,這是內(nèi)部控制機制產(chǎn)生作用的軟件要素。網(wǎng)絡技術突破了信息傳遞和信息處理的瓶頸,管理的幅度增長,層次減少,高聳性的組織結構逐漸趨于扁平。隱藏在這一表征后面的實質是從根本上對組織的人員和職能之間的關系的重新界定。
(2)強調內(nèi)部控制框架中的“軟控制”與人的重要性。
內(nèi)部控制由人來進行并受人的因素影響,保證組織內(nèi)所有成員具有一定水準的誠信、道德觀和能力的人力資源方針與實踐是內(nèi)部控制有效的關鍵因素之一。實踐表明,基于環(huán)境現(xiàn)狀構建內(nèi)部控制機制是一種被動性的做法,故此,我們應越來越重視將道德規(guī)范、行為準則、能力素質的建設直接納入內(nèi)部控制結構的內(nèi)容,更加強調“軟控制”的作用。在信息技術環(huán)境下,企業(yè)尤其應該注重培養(yǎng)組織中人員的信息觀念,理解企業(yè)信息化建設和管理改革、內(nèi)部控制創(chuàng)新之間的關系,并重視和實現(xiàn)這個改革。
信息時代同樣是知識經(jīng)濟的時代,企業(yè)發(fā)展將主要依靠科技、知識與人才。“人本主義”作為構建內(nèi)部控制機制的信條已經(jīng)越來越多地被企業(yè)接受,企業(yè)管理者應當重視對人員的選擇、使用和培養(yǎng),這不再單純只是內(nèi)部控制的環(huán)境因素,它也日益成為內(nèi)部控制結構的有機組成部分。
2.評估與現(xiàn)行的業(yè)務過程和信息過程有關的風險,采用現(xiàn)代信息技術設計特定的控制程序。
對于內(nèi)部控制的研究不可能脫離其賴以存在的環(huán)境及企業(yè)內(nèi)外部各種風險因素,而必須從環(huán)境及其風險的分析入手。在內(nèi)部控制制度下,先識別內(nèi)部控制的目標,然后提出一系列相適應的控制政策和程序,某些風險需要特定的控制程序來控制。在IT高速發(fā)展的今天,信息的傳播、處理和反饋的速度都大大加快了,由此導致企業(yè)會常常同時改變業(yè)務和信息過程,在這個改變過程中,不能再盲目地采用傳統(tǒng)的控制政策和程序,而必須重新評價它,以適應新業(yè)務發(fā)展的需要。我們應把注意力集中在評估特定業(yè)務環(huán)境下的風險,而不是拘泥于特定的控制程序。
例如,職責分離是內(nèi)部控制的一個重要組成部分。傳統(tǒng)上,控制程序將不同的責任分派給不同的人員以期達到互相牽制。但隨著IT的發(fā)展,許多傳統(tǒng)上由人來做的工作可以由計算機來代替,自動控制處理代替了分離的人的角色,從而消除了一個人執(zhí)行兩項不相容的工作的風險。當然,計算機環(huán)境下也要有職責分離,例如,一旦某種軟件被安裝并用于執(zhí)行某項功能以后,它的編碼、運行和維護職責就必須相分離。應當說,職責分離仍然是形成內(nèi)部控制的重要程序,但在IT背景下,這個程序的適用方式發(fā)生了變化。
所以,信息技術環(huán)境下的企業(yè)需要分離新的職責,取消舊的職責,以反映用來設計和運行系統(tǒng)的手段的更新。由此可見,為了不斷改善內(nèi)部控制,使其保持高標準,應識別與更高過程相關的風險,并制定相應的控制程序以有效地降低風險。而不能讓特定的控制程序限制了對技術的使用,使用技術將會使業(yè)務運行的效率和準確率更高。
3.控制手段中應充分引入信息技術,增強內(nèi)部控制。
一個有效的內(nèi)部控制制度需要預防性的、檢查性的和糾正性的控制。企業(yè)一旦檢查出了錯誤和舞弊,應該糾正其影響;同時制定預防性控制措施以確保錯誤和舞弊不再發(fā)生。如果能事先預防錯誤和舞弊而不是事后檢查和糾正,這樣的內(nèi)部控制制度將給企業(yè)帶來更大的價值。傳統(tǒng)的內(nèi)部控制制度通常是根據(jù)已輸出的會計信息在年末檢查財務錯誤舞弊,大部分的內(nèi)部控制的預防功能被限制了,這也同時影響了企業(yè)的所有者和經(jīng)營者對內(nèi)部控制制度的理解和重視程度。在信息技術環(huán)境下,廣泛地使用信息技術為支持決策和改善業(yè)務與信息過程提供了戰(zhàn)略機會,也提供了預防、檢查和糾正錯誤或舞弊的機會。我們今天的技術水平已能在計算機中加入芯片,隨時監(jiān)控你的工作和運行程序,在你犯錯或程序出現(xiàn)問題時及時提示你該做什么,或與技術支持相聯(lián)系,向他們報告問題。因此,會計與審計人員在建立內(nèi)部控制制度時,應充分考慮技術的能力,打破傳統(tǒng)上獨產(chǎn)的、反映的和檢查性的模式,而具備“實時”的控制思想:即利用信息技術將控制嵌入到會計信息系統(tǒng)中,在更廣泛的IT環(huán)境中來看待企業(yè)內(nèi)部控制,針對關鍵控制點制定相應的控制手段,強調預防、業(yè)務操作和對規(guī)章制度的遵守情況,從傳統(tǒng)管理的發(fā)現(xiàn)問題事后補救的做法,發(fā)展為做到事前預防和事中控制。
4.加強對會計信息系統(tǒng)的控制。
隨著計算機在會計工作中的普遍應用,管理部門對由計算機產(chǎn)生的各種數(shù)據(jù)、報表等會計信息的依賴越來越大,這些會計信息的產(chǎn)生只有在嚴格的控制下,才能保證其可靠性和準確性。同時也只有在嚴格的控制下,才能預防和減少計算機犯罪的可能性。
信息技術為達到記錄、維護和產(chǎn)生精確、完整和及時的信息這一目標帶來了機遇。但是,當企業(yè)在系統(tǒng)的開發(fā)與應用時,應更加強調:在業(yè)務活動發(fā)生時,在有關數(shù)據(jù)進入企業(yè)數(shù)據(jù)庫之前,檢查這些數(shù)據(jù)的精確性、完整性和合法性。如果不恰當?shù)臄?shù)據(jù)出現(xiàn)在記錄和維護過程中,將會對公司造成某種程度的傷害。一句老生常談的話:垃圾進,垃圾出。如果不精確、不完整、不合法的數(shù)據(jù)被記錄和維護,結果會影響以后的所有處理,包括錯誤的報告和信息利用的質量。
5.定期評估,重新設計規(guī)則。
新的技術帶來了新的大部分人還沒有意識到的風險,內(nèi)部控制系統(tǒng)必須經(jīng)常評估和更新。
沒有哪一套規(guī)則在環(huán)境發(fā)生變化時還能很好的適應,所以,對專業(yè)人員來說,評估內(nèi)部控制的有效性是非常重要的。既然控制程序和企業(yè)具體環(huán)境相關,當新的業(yè)務和信息流程提出后,控制目標應當保持不變,但為達到該目標的具體控制措施必須改變以適應新的環(huán)境,不要讓內(nèi)部控制程序限制能使企業(yè)運行更加有效的技術的使用。
6.正確處理傳統(tǒng)內(nèi)部控制方式與新型內(nèi)部控制方式的關系。
隨著計算機、網(wǎng)絡等信息技術在會計中的廣泛應用,一些傳統(tǒng)的核對、計算、存儲等內(nèi)部會計控制方式都被計算機這個新型內(nèi)部控制方式輕而易舉地替代。但任何先進手段都是被人所指揮、所掌握,一些傳統(tǒng)的企業(yè)內(nèi)部會計控制制度如職務分離控制、業(yè)務程序控制等仍有自身生存和發(fā)展的土壤,仍將有效地發(fā)揮自己的積極作用。在采用新型內(nèi)部控制手段時,要結合堅持傳統(tǒng)有效的內(nèi)部控制方式。否則,已經(jīng)出現(xiàn)多起的利用高新技術和電腦舞弊犯罪之類的活動還會繼續(xù)在我們身邊發(fā)生。
新經(jīng)濟,新技術使企業(yè)的運行環(huán)境發(fā)生了根本性的變化,它給企業(yè)帶來風險的同時也帶來了控制風險的機會與工具。會計職業(yè)界應在傳統(tǒng)的控制觀念基礎上,充分利用信息技術,開展內(nèi)部控制的創(chuàng)新工作,建立與時代相適應的內(nèi)部控制制度,滿足企業(yè)管理的需要,為企業(yè)帶來更大的價值。