按COSO的定义①,内部控制是一种由企业董事会、管理层和其他员工执行,为达到财务报告的可靠性、经营的效果和效率、符合适应的和法规的目标而提供合理保证的过程,并由控制环境、风险评估、控制活动、信息和沟通、监控五个要素组成。
传统上,企业大量的经营活动和信息处理活动的记录主要由人工完成,经营过程的物流、资金流所形成的数据流被记载在纸介质上。与审计人员在这种背景下所形成的风险认识与控制观点,一直左右着企业内部控制系统设计。阿妮塔。s.霍兰德将其描述为:(1)大量使用硬拷贝文档记录、处理和维护交易的信息;(2)重视职责和责任分离;(3)会计数据重复记录和重复数据的大量调整;(4)会计师的反映性要多于主动性,检查性要多于预防性;(5)严重依赖年末对财务报表的检查;(6)避开信息技术;(7)控制的结构基于符合性。
随着全球化及市场竞争力度的加剧,许多企业加快了信息化的步伐,以提升企业竞争力。信息技术在企业的广泛应用,不仅改变了传统手工数据处理方式,而且触发了企业管理模式、生产方式、交易方式、作业流程的变革,人们的行为模式也随着企业业务流程化、组织扁平化、作业信息化而发生变化。虽然信息技术没有改变企业内部控制目标,但企业内部所发生的变革对传统的内部控制观点、控制产生很大的冲击。因此,如何构建基于信息技术环境下的企业内部控制系统已成为亟待解决的。为此,文本试图从信息技术对企业内部控制要素的着手,信息技术环境下企业内部控制呈现的新特点,探讨内部控制系统设计策略,以期达到充分利用信息技术来提高内部控制质量的目的。
二、信息技术对企业内部控制要素的影响分析
1.改善企业控制环境
控制环境构成一个单位的控制氛围,是所有控制方式和方法赖以存在的运行环境。它包括员工的诚实度和胜任能力、董事会或审计委员会、管理理念和经营方式、组织结构、授予权利和责任的方式、人力资源政策和实施。信息技术使企业内部控制环境发生以下的变化。
首先,企业组织结构趋于扁平化。由于机信息处理技术替代大量业务层和中间层的人工数据处理工作,数据以磁介质的方式存储在数据库中,并能通过迅速传输到企业各个角落。信息技术减少信息在传统组织的信道传输中延迟、失真以及噪音干扰,降低信息获取成本,扩大信息发布范围,增进组织各层次人员的信息传递与交流。原先多人分工协作的工作被信息技术重组后只需一个人就可以完成,大量的人工控制被信息系统的自动控制所取代。这种变化导致企业组织结构趋于扁平化,内部控制层次明显减少,岗位更加精简,责任更加明确,效率更加提高。
其次,提高员工地位和素质要求。随着组织扁平化和业务流程化与信息化,企业决策层次向下移动,基层员工获得更多的决策机会,同时对员工素质也提出了更高的要求。在新的信息技术平台下,员工需要熟悉计算机信息系统,持有实时、积极的控制观点,认识业务发生时信息技术所能提供预防、检查及纠正错误和识别舞弊的机会,充分应用信息技术与自己的专业知识控制企业的经营活动。企业人力资源管理将结合信息技术特点制定员工雇用、培训、提升和奖励政策。内部控制设计更强调以人为本、人机结合的原则,通过增强员工识别风险能力、发现问题与解决问题能力、与其他业务人员协同配合能力,利用信息技术的控制能力来提高企业内部控制质量。
再次,改善信息不对称状况,提高对“内部人” 的监控水平。企业由于所有权与经营权分离,真实的会计信息披露对公司治理起着重要的作用。信息技术集成了业务信息处理流程与会计信息处理过程,由于数据同源并在计算机内部连续处理,有效地提高了会计信息的实时性和准确性。而投资者经过合适权限的授权,通过计算机网络就能随时访问企业数据库的相关数据, 在一定程度上改善了信息不对称性状况,增强信息的透明度以及对企业经营者的监控能力,促使企业内部人提高诚信度与道德观,规范企业经营行为。