时间:2020-03-19 作者:韩晓梅 鲁静 (作者单位:南京理工大学经管学院)
[大]
[中]
[小]
摘要:
为了降低控制成本、提高控制效率,企业逐渐在内部控制中引入了信息技术。是信息化促进了内部控制的发展,还是内部控制的发展推动了信息化的深入?是大力推进信息化以带动内部控制的完善,还是应将流程重组和控制优化作为信息化的前提?这些问题逐渐受到企业的关注。本文试图分析企业信息化与内部控制之间的关系,并建立一个二者交互作用、共同发展的理论模型。
一、企业内部控制的理论基础:系统科学
(一)传统系统科学对内部控制的解释
系统科学理论最具代表性的理论是系统论、控制论和信息论,合称“老三论”。系统论要求把事物当作一个整体或系统来研究,并用数学模型去描述和确定系统的结构和行为。系统论认为有机体作为一个系统能够保持动态稳定是系统向环境充分开放,获得物质、信息、能量交换的结果。系统论强调整体与局部、局部与局部、系统本身与外部环境之间互为依存、相互影响和制约的关系。根据系统论,人们把企业内部控制看成一个复杂的系统,通过分析系统的结构、功能与目标,研究系统、要素、环境三者的相互关系和变动的规律性,极大地推动了内部控制理论与实务的相关研究。
控制论以调节与控制为中心,按信息输入的来源不同将控...
为了降低控制成本、提高控制效率,企业逐渐在内部控制中引入了信息技术。是信息化促进了内部控制的发展,还是内部控制的发展推动了信息化的深入?是大力推进信息化以带动内部控制的完善,还是应将流程重组和控制优化作为信息化的前提?这些问题逐渐受到企业的关注。本文试图分析企业信息化与内部控制之间的关系,并建立一个二者交互作用、共同发展的理论模型。
一、企业内部控制的理论基础:系统科学
(一)传统系统科学对内部控制的解释
系统科学理论最具代表性的理论是系统论、控制论和信息论,合称“老三论”。系统论要求把事物当作一个整体或系统来研究,并用数学模型去描述和确定系统的结构和行为。系统论认为有机体作为一个系统能够保持动态稳定是系统向环境充分开放,获得物质、信息、能量交换的结果。系统论强调整体与局部、局部与局部、系统本身与外部环境之间互为依存、相互影响和制约的关系。根据系统论,人们把企业内部控制看成一个复杂的系统,通过分析系统的结构、功能与目标,研究系统、要素、环境三者的相互关系和变动的规律性,极大地推动了内部控制理论与实务的相关研究。
控制论以调节与控制为中心,按信息输入的来源不同将控制分为前馈控制、反馈控制两种基本方式。内部控制也是建立在调节与控制的原理之上的。企业可以利用前馈控制和反馈控制的基本原理以及二者的有机结合来达到内部控制的目标。
信息论认为,系统正是通过获取、传递、加工与处理信息而实现其有目的的运动的。它针对传统内部控制理论过分强调权力制衡和制度安排而忽视信息化建设的不良倾向,强调企业管理层应当深刻认识到信息的重要性和信息获取的难度,重视开发和利用以信息系统为主的信息资源,保证内部控制体系能够获得高质量的信息。
(二)自组织理论对内部控制的解释
系统科学在20世纪70年代开始发展自组织理论,研究复杂自组织系统的形成和发展机制问题。自组织理论主要包括三个部分:耗散结构理论、协同学、突变论。
耗散结构理论指出,当一个远离平衡态的开放系统,由于许多复杂因素的影响而出现非对称的涨落现象,达到非线性区时,在不断与外界进行物质和能量交换的条件下,系统将可能发生突变,由原来的无序混沌状态自发地转变为一种在时空或功能上的有序结构。事物的这种在非平衡状态下新的稳定有序结构就称为耗散结构。根据耗散结构理论,内部控制系统符合耗散结构的四个基本条件,因而也是一种耗散结构。耗散结构理论为人们寻求内部控制系统的有序稳定结构提供了新的研究思路和方法。
协同学理论认为,在含有大量子系统的复杂系统中,各子系统既相互作用,又相互制约;它们的平衡结构,以及由旧的结构转变为新的结构,则有一定的规律。人们可以利用协同效应原理,对企业进行流程重组和内控改造,充分调动企业内部各个子系统之间的协同作用,使整个企业的内部控制系统达到有序运行的状态。
突变论认为,系统由一种稳定态演化到另一种不同质的稳定态,可以通过非连续的突变,也可以通过连续的渐变来实现,演化的方式取决于其条件。根据突变论,内部控制系统所处的状态有两种——稳定态和非稳定态,内部控制的发展就是两者交互运行的过程。内部控制系统的质变可以通过渐变和突变两种途径来实现,人们可以通过改变条件来影响控制要素的变动范围,以此得到所期望的内控系统演化路径。
二、环境、内部控制与信息化:交互发展的逻辑分析
(一)经营环境变化与内部控制发展
根据COSO报告的定义,内部控制是由企业的董事会、管理层和其他员工实施的,旨在为经营的效率和效果、财务报告的可靠性、遵循适用的法律法规等目标的达成而提供合理保证的过程。由此可知,企业内部控制是一个贯穿于企业各项活动之中的、连续的、动态的过程,并随着企业经营环境的变化而不断调整变化。企业内部控制的运动变化过程,有渐变,有突变,也有短暂之不变。渐变是内控系统的缓慢的、稳定状态下的、连续性的变化;突变是内控系统的、迅速的、失稳状态下的、不连续的变化。突变是内控总体变化的动力之源,是内控系统得以改进的推动因素;渐变是内控发展变化的过程中长期存在的变化方式,在维护控制系统稳定运行的同时保证内控系统不断改进。
2004年COSO在正式发布的《企业风险管理——整合框架》中指出,内部控制是企业风险管理的重要组成部分,风险管理是内部控制的基本功能。经营环境的不确定性是企业经营风险的来源,环境的变化使企业面临的风险随之改变。企业现有的内部控制系统是针对原有的企业经营风险状况而设计的,环境和风险的变化对内部控制系统的有效性可能产生影响。根据耗散结构的特点,企业内部控制系统具有较强的抗干扰能力。一般的波动会被系统本身所吸收,使波动衰减到零。如果企业经营环境的变化只对企业的组织结构和业务活动产生局部影响,企业的内部控制系统可以消化吸收这些影响,采用渐变的方式对内控系统进行调整。但如果来自企业外部或内部的、经济或政治的突变造成了巨大的波动,从而形成对内部控制系统的强烈冲击,就会冲破耗散结构的回归力限制作用,使原有的结构崩溃。在这种情况下,原有的内部控制系统功能严重衰退,远远不能满足企业发展和内外环境变化的要求。人们必须创造条件来促进系统的突变,从而在新的条件下形成另一种稳定的耗散结构。推动信息化建设,就是人们用来促进内控系统突变的重要手段。
(二)内控发展与信息化建设
企业信息化是在生产经营活动中应用信息技术的过程,其发展具有明显的阶段性。企业信息化从低级阶段到高级阶段的上升通常具有突变的性质。企业信息系统是企业实施内部控制的手段和载体,二者既相互融合、相互影响,又具有相对的独立性。企业信息系统与内部控制系统一样,是一个开放的复杂系统,具有整体性、相关性、动态性、层次性、目的性等特征。由于受到各种软硬件条件和技术手段的制约,信息系统的调整和更新通常需要经过严格的测试程序,由专门的技术人员实施。因此,与内控系统相比,企业信息系统的自我调整能力相对较低,很难根据内控需求的变化随时调整。如果内控系统的变化超出了信息系统的现有框架,技术和成本的因素可能会使企业无法改变现有的信息系统,从而成为企业适应环境变化而调整内控系统的制约因素。
环境的持续变化使内控发展的需要和信息系统之间的冲突不断加剧。当二者之间的冲突积累到一定程度时,企业必须对信息系统进行升级改造,以信息系统的突变来解决固化的信息系统严重滞后于企业内控和管理需要的问题。反映在实践中,就是企业信息系统在较长时期保持不变之后,突然在某一个时点投入大量人力、物力、财力对信息系统进行升级更新,从而使企业信息化的发展从一个阶段跨越到另一个阶段。
三、企业内部控制与信息化:交互发展的理论模型
根据以上分析,企业经营环境的变化引起了风险的变化,从而要求以管理和控制风险为主要目的的内部控制系统随之调整,进而要求对作为内控实现工具的信息系统进行修正。可以说,企业内外部经营环境的变化通过风险引起了内控系统和信息系统的连锁反应。内控系统具有较强的弹性和抗干扰能力,因而可以通过不断地自我修正和局部调整,消化吸收经营环境变化所引起的一般性波动。但当环境的剧烈变化对内控系统产生巨大冲击时,则会导致内控系统的突变,必须通过建立新的有序结构来解决环境与内控系统的协调问题。另一方面,企业信息系统在面临内控需求的变化时,由于技术和成本的制约而难以及时调整,这导致企业信息系统与内部控制系统的不协调日益加深,累积到临界点时会爆发信息系统的突变。内外部环境和经营风险的变化所引起的内部控制和信息系统的交互发展轨迹如图1所示。
在图1中,内部控制的发展轨迹是一条呈波浪式上升的曲线,表示企业内控系统是一个连续的动态过程。内部控制的发展曲线总体上比较平滑,表示内控系统的演进主要采用渐变的方式,在保持内控系统总体稳定的同时缓慢地、连续地变化。这一方面是因为内部控制系统本身能够吸收环境变化所引起的一般性波动,另一方面是由于内部控制贯穿于企业经营过程,内部控制系统如果频繁发生重大变化而长期处于不稳定状态,不利于企业生产经营的有序开展。但在两段相对平滑的曲线中间,往往是一段斜率较高的曲线。这表示在较长时期的稳定、缓慢变化之后,通常紧接着一次内部控制的重大变革。这既可能是因为受到环境因素重大变化的冲击,也可能是因为内部控制系统的局部调整所未能完全解决的内控与环境之间的冲突的累积影响,使得内部控制系统只能以突变的方式突破既有内控框架的限制,在更高层次上实现新的平衡。
图1中的信息系统发展轨迹是一条阶梯状的曲线。与横轴平行的部分表明信息系统的弹性很小,不能随时根据内部控制的需要而变化,因此必须在一段较长的时期内保持稳定。与纵轴平行的部分表示,当现有的信息系统远远滞后于内控的发展,完全不能满足管理和控制的需要时,企业必须通过信息系统的更新改造解决固定的信息系统对内控发展变化的限制问题。虽然企业信息系统和内部控制系统的发展变化都是渐变与突变的有机结合,但与内控曲线相比,信息系统曲线的渐变部分更平缓,突变部分斜率更高。这表明信息系统缺乏弹性,其发展的过程就是阶段性地投入大量人力、物力、财力,通过信息系统的升级换代,实现信息化从一个阶段到另一个阶段的跨越。
内控曲线与信息系统曲线的平滑部分重合度很高,表明这是内部控制与信息系统相互适应的时期。这一时期,虽然企业的内外部环境有所变化,但这些变化并没有对内部控制系统造成巨大的冲击,而是被内部控制系统通过自我调整加以吸收;同时信息系统与内部控制系统的配合程度并未受到内部控制系统微调的影响。在一段时间的适应期之后,内控曲线首先出现急剧上升,同时信息系统曲线仍然停留在原有水平。这表明企业经营环境的重大变化或未被内控系统吸收的一般变化的长期累积影响导致内部控制系统的突变;同时内控系统的突变使原有的信息系统不再符合管理的需要。信息系统曲线与内控曲线的分离反映了信息系统与内部控制的冲突。当冲突累积到一定程度时,必须对信息系统进行升级改造,即图1中信息系统曲线的垂直上升部分。信息系统更新换代时通常需要考虑内控的未来发展而预留出一定的发展空间,因此信息系统曲线急剧上升之后在一定时间内比内控曲线更高。但信息系统曲线的这部分预留空间很快由于内控的不断发展而投入使用。升级后的信息系统与改造后的内控系统经过一段磨合期后,在一定的条件下又会到达一个新的平衡状态。因此可以说,企业信息化和内部控制的交互发展,是一个“背离——磨合——适应——再背离——再磨合——再适应——……”的不断循环和进步的过程。
四、启示
在企业信息化与内部控制的关系中,内部控制是目的,信息化建设是手段。企业的信息系统应与内控系统有机结合,信息系统是企业实施内部控制的载体和工具。信息系统是内部控制的外在形式,内部控制是信息系统的实际内核。一方面,企业的信息化建设是企业自发的需求,产生于内部控制发展的需要。另一方面,信息化建设可以促进内控系统的突变,从而在新的条件下形成内部控制系统的新平衡。因此,企业的信息化建设首先必须与企业的发展阶段相适应,其动力源自内控系统发展的需要。其次,企业进行信息化建设必须根据环境的变化进行流程重组和控制优化,并在信息系统中融合和固定新的内部控制系统。第三,当经营环境的变化使原有的内部控制系统严重滞后于企业发展和内外环境变化的要求时,企业可以主动推进信息化,促进内部控制的突破与发展。第四,信息系统中内含的控制程序可能包含了内部控制的先进理念和措施,对企业的内控发展具有一定的指导和促进作用。■
[本文是教育部人文社会科学研究青年基金项目(项目批准号:10YJC63068)和国家自然科学基金青年项目(项目批准号:71002107)的阶段性成果]
责任编辑 刘莹
相关推荐