时间:2020-03-20 作者:陈潇怡 (作者单位:武汉大学经济与管理学院)
[大]
[中]
[小]
摘要:
我国企业内部控制信息化是伴随着会计信息化的发展和企业内部控制规范体系的建立而发展起来的,可以将其简单概述为:以信息技术为手段、以内部控制流程信息化为基础、依托企业信息系统实施内部控制的过程。信息化是当今世界发展的必然趋势,在信息化环境下,无论是会计准则还是内部控制规范制度,都需要与信息系统实现有机的结合、依靠信息系统来执行。本文从我国会计信息化和企业内部控制规范体系的发展历程来分析和总结企业内部控制信息化的发展进程和特点,并得出几点启示。
一、会计信息化与企业内部控制规范体系的发展
(一)会计电算化与企业内部会计控制规范
我国的会计信息化起步于20世纪70年代末,起初称之为会计电算化,解释为“用计算机代替人工进行记账、算账、报账,并能部分替代人脑完成会计信息分析和判断的过程”(王景新,1999)。会计电算化经历了从单项会计核算到部门级的会计信息系统发展阶段。在单项会计核算阶段,会计部门内相互独立运行单机会计核算软件,数据不能在会计部门内共享,还没有形成真正意义上的基于计算机的会计信息系统。部门级的会计信息系统是以会计部门为目标对象建立的,没有考虑与企业其他业务系统的联系,会...
我国企业内部控制信息化是伴随着会计信息化的发展和企业内部控制规范体系的建立而发展起来的,可以将其简单概述为:以信息技术为手段、以内部控制流程信息化为基础、依托企业信息系统实施内部控制的过程。信息化是当今世界发展的必然趋势,在信息化环境下,无论是会计准则还是内部控制规范制度,都需要与信息系统实现有机的结合、依靠信息系统来执行。本文从我国会计信息化和企业内部控制规范体系的发展历程来分析和总结企业内部控制信息化的发展进程和特点,并得出几点启示。
一、会计信息化与企业内部控制规范体系的发展
(一)会计电算化与企业内部会计控制规范
我国的会计信息化起步于20世纪70年代末,起初称之为会计电算化,解释为“用计算机代替人工进行记账、算账、报账,并能部分替代人脑完成会计信息分析和判断的过程”(王景新,1999)。会计电算化经历了从单项会计核算到部门级的会计信息系统发展阶段。在单项会计核算阶段,会计部门内相互独立运行单机会计核算软件,数据不能在会计部门内共享,还没有形成真正意义上的基于计算机的会计信息系统。部门级的会计信息系统是以会计部门为目标对象建立的,没有考虑与企业其他业务系统的联系,会计数据的采集要被动地等待其他业务系统的业务员传递业务单据,再通过会计人员手工输入记账凭证,生产的会计信息是滞后的,会计信息系统与其他业务系统之间形成相互独立的“信息孤岛”。
我国企业内部控制规范研究起步于20世纪80年代中后期,是从内部会计控制开始的。2001年6月,财政部发布《内部会计控制规范——基本规范(试行)》等7项规范,要求企业根据内部会计控制规范建立一套适用企业会计控制目标的制度体系。在手工会计环境下,主要由会计人员按制度进行控制,会计人员素质的高低是实现内部会计控制效果的关键。
(二)会计信息化与企业内部控制规范
进入21世纪,随着经济全球化发展和信息技术的广泛应用,企业面临的是全球化激烈的市场竞争,并且越来越依赖网络和信息系统进行企业的经营管理,部门级的会计信息系统已无法满足企业管理的需求。为适应形势的发展,我国制定了国家信息化战略,会计电算化也进入新的发展阶段,即会计信息化。
会计信息化可以定义或理解为:以信息资源开发利用为核心,以计算机、网络通信等信息技术手段为依托的会计信息资源开发、利用、创造价值的过程,以此推动经济发展和社会进步。在此期间,会计信息系统进入企业级的会计信息系统阶段。企业级的会计信息系统是企业信息系统的一个有机组成部分,会计处理与业务处理融为一体,在经济交易事项发生时能实时采集和处理会计数据,从而使企业的物流、资金流、信息流和业务流整合为一体,使会计信息系统不仅仅执行事后的核算和分析,还能够进行有效的事中控制,彻底消除信息滞后和“信息孤岛”的现象,实现整个企业的信息共享。同时,国外先进的企业管理信息系统(如ERP)引入我国,这些信息系统更重要的是体现了一种新的管理思想和管理模式的应用,管理系统打破了传统的组织结构和职能结构的限制,要求企业业务流程与会计业务流程按管理软件的管理模式进行改造或重构。
在此期间,我国企业内部控制规范与理论研究也取得了巨大进步和丰硕成果,2008年6月由财政部、证监会等五部委联合发布的《企业内部控制基本规范》及2010年4月发布的《企业内部控制应用指引》。《企业内部控制基本规范》第三条明确定义:“本规范所称内部控制,是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。”定义明确指出了企业内部控制是一个全员共同参与的管理和控制的过程,涵盖企业经营管理的各个层级、各个方面和各项业务活动的各个环节,拓展了企业内部控制的主体、对象、目标、范围等,是内部控制的一个新的发展阶段。同时,它为我国企业完善治理结构、有效构筑企业经营风险的“防火墙”、增强国际市场竞争力提供了制度保障,也为建立、实施和评价企业内部控制系统提供了标准。
二、企业内部控制信息化的主要特征
企业在建立信息系统时,可以将业务控制规则和会计控制规则置入计算机程序,代替人工在业务执行过程中自动对业务进行控制,这种刚性控制有利于防范经营风险。这种认识上的进步推进了企业内部控制信息化的发展,主要体现在两个方面:一是如何运用信息系统实施企业内部控制;二是如何对企业信息系统进行控制。
(一)运用信息系统实施企业内部控制的主要特征
关于如何运用信息系统实施企业内部控制,《企业内部控制基本规范》第七条和第四十一条给出了基本标准:企业要运用信息技术手段实施内部控制,首先要建立与企业经营管理相适应的信息系统,《企业内部控制应用指引第18号——信息系统》明确定义:“本指引所称信息系统,是指企业利用计算机和通信技术,对内部控制进行集成、转化和提升所形成的信息化管理平台。”由此可以归纳出运用信息系统实施企业内部控制的主要特征如下:
一是以信息技术为手段、企业信息系统为内部控制执行平台的人工与计算机程序相结合的控制方式。这种控制手段和平台可以实现内部控制制度执行的刚性化、标准化、自动化、常态化,减少或消除人为因素的影响,提高信息沟通的效率和效果,避免企业财务报告或业务报告编制的差错和人为调整;降低内部控制成本,提高内部控制绩效。
二是内部控制流程信息化。企业要根据《企业内部控制基本规范》的要求,对各个业务流程的关键风险点进行评估,将规范的内部控制制度、流程、关键控制点、控制措施等固化在信息系统中,促进内部控制规范制度的设计与运行更加有效,促进企业内部管理更加规范和健全,提高企业风险防范能力。
三是企业内部管理要科学、规范、健全。因为内部控制的基础就是规范的制度流程,只有内部管理规范健全的企业才能将内部控制制度、流程和措施固化在企业信息系统中,让员工按规范的制度、流程开展业务,并对经营过程中可能遇到的风险进行有效管控。
四是企业信息系统的管理软件必须具备并正确设置了满足企业内部控制需求的控制功能。由于每个企业的内部控制需求不同,无论是自行开发还是购买商品化管理软件,都需要弄清企业的内部控制需求,正确开发或启用(设置)软件的相关内部控制功能。
(二)对企业信息系统进行控制的特征
关于如何对企业信息系统进行控制,《企业内部控制基本规范》第四十一条以及《企业内部控制应用指引第18号——信息系统》专门针对信息系统的风险控制给出了具体标准。由于基于信息技术的企业内部控制执行系统对企业信息系统的依赖性,使企业面临与手工环境不同的新的内部控制风险,针对这些风险可以归纳出对企业信息系统进行控制的主要特征如下:
一是企业信息系统的开发控制是保障信息系统能有效实施控制的前提条件。企业信息系统的规划和开发是系统运行的前期任务,如果信息系统缺乏或规划不合理,将造成“信息孤岛”或重复建设。而系统开发不符合内部控制要求或软件有错误,将导致无法利用信息系统实施有效的控制。
二是控制的内容更加广泛并且要求更为严格。企业信息系统是由人、设备、数据库、规程等要素组成的。由于信息系统在运行维护过程中,受到技术因素、自然因素以及组织、管理、人员等各种环境因素的影响和威胁,可能导致各种新风险,因此需要严格的操作管理制度、组织控制措施以及现代科技手段进行控制,如果控制不严,将会造成比手工控制系统更大的危害。
三是信息系统安全控制成为新的控制重点。信息系统作为企业经营管理的运作平台,承担着业务处理、控制、报告及信息存储、共享、沟通和交流等多项“重任”,信息系统及其数据库的安全可靠直接影响企业的安危和发展。系统安全控制包括访问控制、数据资源控制、系统软硬件控制、网络安全控制等方面,同时,由于信息处理和存储高度集中于电子数据处理部门,因此,该部分也是控制的重点。
四是控制手段和实施方法依赖于现代科技与信息技术。对信息系统进行控制贯穿于系统规划、开发、运行维护整个生命周期,每个阶段都有对其进行控制的现代科技的方法和手段。如在系统规划和开发阶段,可以应用计算机软件工程的方法、工具和技术保障应用软件的开发质量进行控制;在运行维护阶段,可以运用对计算机加开机锁、上机人员分配不同的密码和权限、异地备份、软件隔离和病毒防杀等方法进行控制。
三、启示
通过对企业内部控制信息化的发展进程与特征的分析,可以得出以下几点启示:
(一)企业内部控制信息化需要转变思维模式和实施方式
内部控制作为企业防范风险的一套制度体系,本质上是“人控制人”的问题,一直属于社会科学研究的范畴。长期以来,我国企业主要采用的是基于权力制约和岗位分置的传统人工控制方式,“传统内部控制比较关注岗位分设、组织设计、管理程序与手续、监督检查方式等内容,并通过这些工作实现控制目标”(杨雄胜,2006)。人工控制的实施方式采用的是“手工作坊式”,即主要依靠设计与实施者个人的经验和技巧。采用手工作业的方式使内部控制制度的设计和执行都存在诸多人为操纵因素,也存在效率低下、质量没有保障等诸多弊端。现代科技和信息技术的发展为企业内部控制理论与实践的相互转化架起了新的桥梁。企业可以通过信息技术手段,在建立企业信息系统时,将控制理念和规则置入计算机程序,代替人工在业务执行过程中自动对业务和会计事项进行控制,将内部控制中“人控制人”的问题转化成将控制规则与企业信息系统集成的问题,以及员工在信息化管理平台上按规范的制度、流程开展业务,对可能遇到的风险进行有效管控。信息化已将社会科学与计算机应用融为一体,它为企业内部控制理论和制度创新提供了新的基石。我们需要改变传统的思维模式和实施方式以适应企业内部控制信息化发展的需要。
(二)企业内部控制信息化需要实施方法和技术的创新
企业内部控制信息化实施首先要将信息系统转化和提升为一个集成了企业内部控制需求的信息化管理平台,然后才能依赖这个平台施行控制。那么,如何构建信息化管理平台?用什么方法保证管理平台的质量?笔者认为,信息化管理平台的构建涉及企业的管理基础、内部控制制度建设、员工素质、信息技术应用基础等诸多因素,是一个复杂庞大的系统工程,如:需要用调查、归纳、总结等方法对企业的管理现状进行分析诊断,以便设计一套完整的、适应企业需求的内部控制制度体系;需要用计算机软件工程中的方法将企业会计准则、政策及企业内部控制规范等要求融入企业信息系统中,即通过管理软件开发或系统上线(即二次开发)来实施。计算机软件工程中的规范化实施方法,可以针对不同行业的各类企业相同的内部控制需求建立相应的分析和验证模型,以便快速有效地发现企业内部控制系统模型中存在的缺陷,以提高内部控制信息化实施的有效性和规范性。同时,验证过的内部控制系统模型便于移植,能降低实施成本,这也有助于内外审计部门对企业内部控制系统的有效性进行相关评价。
(三)企业内部控制信息化实施迫切需要复合型人才
将企业内部控制需求融入信息系统的过程,从管理软件开发与实施过程来看,就是将人们用自然语言表达的对企业内部控制系统的需求(规范制度条例),用计算机规范的方法和表达工具逐步地转化成用计算机程序实现的过程。而企业管理者是否正确地表达了需求(制度设计),以及应用的管理软件是否具有并按需求正确启用(设置)了相关内部控制的功能是提高企业内部控制系统施行有效性的关键。由于基于信息技术的内部控制执行系统既包含了对人、交易循环、资金、数据库、信息系统设备等人财物的控制,又包含了利用人、制度、规程、数据库文件、计算机程序等技术手段实施控制,这就需要既懂企业管理、内部控制又懂信息化的人才,而我国目前这类人才还比较稀缺,因此,迫切需要加快此类复合型人才的培养。■
责任编辑 刘黎静
相关推荐