三、基于信息技术的内部控制系统设计策略
针对上述,企业在进行内部控制系统设计时,应综合考虑内部控制要素的新特点,从组织控制、流程控制、信息系统控制三方面制定对应设计策略。
1.组织控制设计策略
组织控制是为实现组织的目标而进行的组织结构设计、权责安排和制度设计。在信息技术环境下,流程决定企业组织结构。因此,组织结构设计应以产出为中心,结合企业流程特点、信息化程度、人员素质、风险类型与大小进行全盘考虑;围绕产出目标,重新审视原先组织的职能界限与任务划分,尽可能将跨越不同职能部门并由不同专业人员完成的工作环节集合起来,形成适应流程管理与控制的企业组织结构,使企业组织设计能保障决策点、控制点位于工作执行地方,能将信息处理工作纳入产生这些信息的实际工作中,并与员工信息的使用权、决策权相匹配,与切合流程职位的控制信息需求和成功运用这些信息相匹配。
组织控制设计的一项重要任务是权责分派与不相容职务分离。传统设计建立在执行者、监控者、决策者分离的基础上,并通过层层授权与审批手续来监督员工作业。在信息技术条件下,企业组织的权责范围遵循以流程为核心的原则。首先将企业主要业务分解为产品流程、质量流程、服务流程、物流流程等,并在这些流程层面上重新定义企业各部门在业务流程中的职责以及它们之间的协调关系。然后再进一步将这些流程分解为一系列相关作业集合,并结合业务的信息化程度来定义企业作业岗位以及对应的岗位责任制度。作业岗位权责分派应体现以人为本,岗位职责的授权、绩效评估考核等控制设计应能最大限度地发挥每个员工的主观能动性和潜能。不相容职务分离设计应结合重组后的业务特点和人机系统的控制功能,通过机应用软件功能使用权限设置、应用软件的作业流程逻辑顺序的设置、业务控制参数的设置,充分发挥计算机系统内部监控能力,实现信息化环境下业务流程不相容职务分离的制度安排。
组织控制的制度设计要充分考虑信息技术在公司治理中的作用。对内,信息系统应与企业的岗位职责、内部牵制以及责任中心控制、预算控制、企业财产管理控制、业绩评价等控制制度融合为一体,保障资产安全、信息真实及效益提高。对外,建立企业门户,采取推拉式服务来加强与外部利益相关者的联系。通过信息在组织内外的传递,改善企业监督体系与公司治理结构。
2.流程控制设计策略
以往企业内部控制主要侧重于事后控制,即通过期末会计资料的检查或审计来识别业务错误或舞弊。由于信息技术使企业业务流程与信息流程融合在一起,并与企业上下游建立了密切联系,业务流程控制与信息流程控制成为企业内部控制系统设计的重要,控制重心也从适时控制向事前控制、实时控制转移,控制的顺序先是以预防为主,然后是检查、纠正错误和舞弊。因此,在企业流程控制的设计中,专业人员的首要任务是熟悉企业业务过程和信息过程以及它们之间的联系,并针对组织内部控制目标的要求,对业务流程和信息流程的各类风险进行评估,确定风险重要程度。其次为业务过程和信息过程制定规则和程序,作为控制策略的一部分。具体的规则依赖于企业的各种因素,如环境、组织规模、使用技术、员工素质等,并在此基础上建立企业作业的预算制度、作业操作制度、业绩评价制度、供应链绩效评价制度。最后依据风险的重要程度确定业务流程与信息流程的关键控制点、建立控制模型,设定控制参数与控制程序,并将其嵌入到信息系统中, 形成人机结合、业务活动与信息处理集合的内部控制系统。这样,在企业经营过程中,信息系统就能动态跟踪业务活动的信息,自动监控这些活动所产生的数据是否在控制范围内,预测趋势,实时输出预警信号。组织成员也能依据这些作业点的反馈信号及时制定正确决策,有效控制企业的经营活动过程。
3.信息系统控制设计策略
信息系统控制包括信息系统建设的过程和使用过程的控制。对企业而言,由于信息系统的建设涉及大量的投资,而且信息系统的质量关系到企业经营活动的效益,信息系统的风险控制成为企业所有者与管理者日益关注的重要。因此,在信息系统建设过程中,为保证信息系统开发质量、规避信息系统建设风险,具体的控制设计策略应包括认真进行系统开发前期的可行性;加强对开发商的资质验证;对其已开发的项目进行调查分析;通过公开招标、答辩等方式选择适合企业营运环境的计算机信息系统软、硬件与开发商。在项目实施过程中,应加强对IT项目管理,完善信息系统实施的组织工作,明确人员分工安排以及在项目实施各阶段所承担的责任,建立严密进度控制和质量控制机制、验收程序及第三方监理和审计的控制,保障信息系统质量。