一、文獻綜述
發(fā)達國家中小企業(yè)信息化建設日漸完善并取得了巨大成就,而且日益成為經(jīng)濟結構調(diào)整和經(jīng)濟發(fā)展的創(chuàng)新點。與此同時,人們開始意識到信息化給中小企業(yè)帶來的潛在風險,尤其是信息化應用對企業(yè)內(nèi)部控制的影響問題。隨著中小企業(yè)信息化進程的加快,如何制定有效的安全對策,促使信息化應用與內(nèi)部控制建設相融合,已經(jīng)引起理論界和實務界的重視。
信息化的應用對企業(yè)內(nèi)部控制的影響問題,國外的研究最早可追溯到信息系統(tǒng)的審計。20世紀60年代IBM公司首次提出了在電子數(shù)據(jù)處理環(huán)境下的內(nèi)部控制和審計問題。1967年,國際信息系統(tǒng)審計與控制協(xié)會(ISACA)成立,在世界上100多個國家與地區(qū)設立了160多個分會,積極致力于制定和頒布內(nèi)部控制和信息技術(IT)審計準則、實務指南,用于指導各類信息系統(tǒng)的安全與防范工作。1974年,美國注冊會計師協(xié)會(AICPA)發(fā)表了《內(nèi)部管理的調(diào)查與評價對EDP的影響》,確立了電子數(shù)據(jù)處理實施審計的標準; 1977年又發(fā)表了著名的《系統(tǒng)可審計性及規(guī)則的研究》(又稱SAC報告),提出了信息系統(tǒng)的內(nèi)部控制和審計方法。1996年, ISACA在綜合多方面研究成果的基礎上,公布了信息系統(tǒng)審計的框架體系標準,即信息及相關技術的控制目標(COBIT),目前已作為國際通用的、具有權威性的信息技術控制和審計標準。近些年來,國外圍繞信息系統(tǒng)內(nèi)部控制的理論與方法問題的研究仍不斷取得新的成果,如Hardy(2006)等提出的有關COBIT最新標準;在管理控制方面, ITGI(2006)和IOFS(2008)等提出并研究IT治理問題。這些研究成果不僅在大型企業(yè)信息化應用中得到推廣,而且其研究成果業(yè)已運用到中小企業(yè)信息化建設實踐中。
在我國,作為市場經(jīng)濟主體的中小企業(yè)已成為國民經(jīng)濟發(fā)展的重要力量。2005年8月,國家發(fā)展和改革委員會、信息產(chǎn)業(yè)部、國務院信息化工作辦公室三部委共同實施了“中小企業(yè)信息化推進工程”,從而掀開了中小企業(yè)信息化發(fā)展的研究序幕。2008年2月,三部委《中國中小企業(yè)信息化發(fā)展報告和調(diào)查報告》指出,隨著信息化在中小企業(yè)的穩(wěn)步推進,保證信息系統(tǒng)安全穩(wěn)定運行已成為企業(yè)內(nèi)部控制制度建設的重要內(nèi)容(國家發(fā)展和改革委員會等,2008)。
然而,關于信息化對企業(yè)內(nèi)部控制的影響研究,胡克瑾等(2002)深入研究了IT審計的實施過程、技術方法和審計標準,提出全面控制信息系統(tǒng)風險的相關對策;劉靜(2005)等結合COSO報告對網(wǎng)絡環(huán)境下內(nèi)部控制的難題進行分析,并提出改善內(nèi)部控制環(huán)境的對策;章鐵生(2007)考察了有關國家企業(yè)內(nèi)部控制規(guī)范對IT的考慮情況,提出我國在制定內(nèi)部控制規(guī)范時應考慮對IT的嵌入問題;王海林(2008)通過分析IT對企業(yè)內(nèi)部控制的影響,構建了由內(nèi)部控制系統(tǒng)、內(nèi)部控制系統(tǒng)的工程實施體系和內(nèi)部控制系統(tǒng)的評價體系組成的IT環(huán)境下的內(nèi)部控制模式。近年來,學者們在信息系統(tǒng)內(nèi)部控制研究的基礎上引入了IT治理的思想,試圖從公司治理的視角來探討信息化進程中企業(yè)內(nèi)部控制的問題,如饒艷超(2003)、周常蘭等(2008)、駱良彬等(2009),但是,上述諸多研究基本上是針對大型企業(yè),而信息化對中小企業(yè)內(nèi)部控制影響問題的關注則極為少見。
二、信息化對中小企業(yè)內(nèi)部控制影響的機理分析
對于信息化如何影響中小企業(yè)的內(nèi)部控制,本文認為,盡管中小企業(yè)有其獨特性,但在內(nèi)部控制的構成要素方面,COSO(1992)關于內(nèi)部控制框架的五個要素(即控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)督)理論仍然適用,本文將通過分析信息化對五個要素的影響來闡釋其影響內(nèi)部控制的機理。
(一)信息化促進了控制環(huán)境的改變
控制環(huán)境是對企業(yè)內(nèi)部控制系統(tǒng)建立和實施有著重大影響的各種要素的總稱,是實施內(nèi)部控制的基礎,一般包括機構設置及權責分配、內(nèi)部審計、人力資源政策、企業(yè)文化等。信息化一旦應用于中小企業(yè)中,必將促使控制環(huán)境的改變。首先,信息化必然導致信息技術滲透到企業(yè)經(jīng)營管理活動的每一個環(huán)節(jié),企業(yè)原來簡單的組織結構,將進一步得到整合,與其對應的機構設置與權責分配隨之而改變;其次,信息化可以很方便地使內(nèi)部人員之間以及內(nèi)部人員與外部人員之間平等、動態(tài)地進行協(xié)作與溝通,企業(yè)每個員工不再是被動地接受控制指令,而是成為實行自我控制、協(xié)同控制的單元;再次,信息化使企業(yè)員工都可以成為企業(yè)網(wǎng)絡上的決策點或節(jié)點,提高了員工自我決策的意識;最后,信息化使得企業(yè)與企業(yè)之間、企業(yè)與客戶之間以及企業(yè)與政府有關部門之間可以共享對方擁有的資源,企業(yè)內(nèi)部控制的范圍不再局限于企業(yè)內(nèi)部,合作與協(xié)同控制理念進一步得到強化。可見,信息化必將改變中小企業(yè)的管理模式、組織結構、員工的價值觀及其能力等一系列要素,并形成了一種網(wǎng)絡化、開放化、自主化和現(xiàn)代化的企業(yè)環(huán)境。
(二)信息化拓展了風險評估的范圍和方法
風險評估是企業(yè)及時、系統(tǒng)分析經(jīng)營活動與實現(xiàn)內(nèi)部控制目標相關的風險,合理確定風險應對策略的過程。信息化無疑提高了中小企業(yè)經(jīng)營管理的效率,但同時也產(chǎn)生了新的企業(yè)風險。一方面,信息化必然要求企業(yè)業(yè)務流程與之相適應,使得企業(yè)經(jīng)營管理活動處在一種開放性、信息分散和數(shù)據(jù)共享的環(huán)境之中,這極大地改變了以往封閉集中狀態(tài)下的運行模式,從而擴大了風險控制內(nèi)容,并且需要新的風險評估方法與之適應。如管理數(shù)據(jù)處理趨于集中化、適時化、自動化以及數(shù)據(jù)存儲電子化,而且容易被無痕跡地改寫和刪除等,這些新的風險點構成了風險評估的新內(nèi)容,并需要企業(yè)運用新的風險評估方法。另一方面,企業(yè)內(nèi)聯(lián)網(wǎng)的建立是信息化應用的必然要求,也是企業(yè)經(jīng)營管理活動的硬件平臺。運行在該平臺上的企業(yè)內(nèi)部各部門、員工之間的聯(lián)系將更加密切。同時,做大、做強的動機加劇了企業(yè)與客戶間的合作與交流,企業(yè)內(nèi)聯(lián)網(wǎng)必然向外聯(lián)網(wǎng)拓展,使得企業(yè)的經(jīng)營管理信息流動在互聯(lián)網(wǎng)之中。這樣,傳統(tǒng)的、局部的差錯與舞弊不再表現(xiàn)為企業(yè)內(nèi)部控制的主要風險,而員工的自我保護的責任意識、正確行使其決策權以及不斷提高自身知識和風險識別能力的風險大大增加了,從而使風險評估方法也由傳統(tǒng)向現(xiàn)代拓展。
(三)信息化增加了控制活動的內(nèi)容
控制活動是企業(yè)根據(jù)風險評估結果,采用相應的控制措施,將風險控制在可承受度之內(nèi)。隨著信息化的應用,中小企業(yè)風險評估結果將以新的形式出現(xiàn),原有的控制措施及可承受度必然隨之變化,控制活動的內(nèi)容亦將隨之增加。
第一,由于信息化改變了中小企業(yè)傳統(tǒng)的業(yè)務流程,如傳統(tǒng)的產(chǎn)、供、銷活動可以通過企業(yè)內(nèi)聯(lián)網(wǎng)絡和外聯(lián)網(wǎng)進行,因此,對各個過程的控制活動必須結合信息化應用的特點和要求來完成;
第二,信息化的深度和廣度是隨著信息技術的發(fā)展而不斷變化的,中小企業(yè)信息化建設本身就是一個不斷完善的過程,基于信息化的業(yè)務流程也處在一個不斷更替的過程中,要實現(xiàn)控制活動的目標,企業(yè)必須不斷地更新控制點以獲取信息系統(tǒng)中的數(shù)據(jù)和信息,從而改變控制活動的方式或進程;
第三,信息處理過程自身也需要控制,如確保企業(yè)管理信息系統(tǒng)能正常、持續(xù)運行的一般控制(包括對網(wǎng)絡黑客的非法入侵),以及針對某項特殊活動進行特別處理的應用控制等。顯然,信息化改變了中小企業(yè)的業(yè)務流程,帶來了新的風險,也必然增加了中小企業(yè)控制活動的內(nèi)容。
(四)信息化提高了信息與溝通的有效性。
信息與溝通是企業(yè)及時、準確地收集、傳遞與內(nèi)部控制相關的信息,確保信息在企業(yè)內(nèi)部、外部之間進行有效溝通。信息化應用彌補了中小企業(yè)在信息與溝通方面存在的缺陷,提高了它的有效性。首先,信息化應用能有效地將企業(yè)各部門和員工連接起來,實現(xiàn)業(yè)務和財務的一體化處理,將員工身兼多職的特征進一步發(fā)揮出來;其次,信息化必然要求建立一個中心數(shù)據(jù)庫,儲存企業(yè)活動中各個環(huán)節(jié)的數(shù)據(jù)和信息,并實現(xiàn)數(shù)據(jù)共享,以發(fā)揮企業(yè)經(jīng)營管理的效率;再次,網(wǎng)絡平臺為管理者、員工以及外部的顧客、供應商、有關團體提供了開放的信息交流渠道,不僅員工能清楚理解現(xiàn)行的政策和程序及相應的責任,管理者適時掌握業(yè)務的發(fā)生、發(fā)展與結果以及信息的相互傳遞,而且更便利了企業(yè)內(nèi)部與外部的信息溝通。因此,信息化改善了中小企業(yè)信息與溝通的滯后狀況,促進其向可靠性、及時性和開放性方面轉變,提高了信息與溝通的有效性。
(五)信息化豐富了監(jiān)督的方式和內(nèi)容。
監(jiān)督是企業(yè)對內(nèi)部控制建立與實施情況進行監(jiān)督檢查,評價內(nèi)部控制的有效性,發(fā)現(xiàn)內(nèi)部控制缺陷,應當及時加以改進。信息化應用加快了中小企業(yè)業(yè)務與財務處理的一體化,完全依靠人工的監(jiān)督模式難以適應這一變化。一方面,信息化可以將監(jiān)督功能程序化,即要求在經(jīng)濟業(yè)務發(fā)生、發(fā)展及結果處理的過程中,運行監(jiān)督程序,以達到實時、全過程的監(jiān)督效果;另一方面,信息化大大提高了信息處理的速度,在實施程序化監(jiān)督的同時,可以將監(jiān)督的結果與預期的目標進行比較,適時評價內(nèi)部控制的有效性,及時發(fā)現(xiàn)缺陷并加以改進,達到自我監(jiān)督、自我評價的效果。當然,信息化應用過程自身也需要監(jiān)督和評價,因此,傳統(tǒng)方式下的人工監(jiān)督仍必不可少,但這種監(jiān)督主要體現(xiàn)為定期、及時地檢查和了解計算機控制程序、指標以及控制參數(shù)是否發(fā)揮作用或過時,并針對企業(yè)經(jīng)營環(huán)境變化情況,及時評估業(yè)務流程控制點的運行狀態(tài),重新調(diào)整或更改內(nèi)部控制程序、控制方法、控制指標等。由此,必然要求更新傳統(tǒng)的監(jiān)督方式和內(nèi)容。
三、中小企業(yè)信息化進程中內(nèi)部控制的構建
由前文分析可知,信息化通過作用于中小企業(yè)內(nèi)部控制的五個要素而影響其內(nèi)部控制,實施或管理不當,其后果將適得其反。可見,當前的首要問題是如何促使信息化與內(nèi)部控制有機融合。本文認為,解決這一問題的關鍵在于如何將中小企業(yè)內(nèi)部控制框架的構建與信息化結合起來,以適應信息化進程的推進。
(一)內(nèi)部控制框架構建的思路
顯然,中小企業(yè)內(nèi)部控制系統(tǒng)的完善,關鍵之處是如何辨識并控制企業(yè)經(jīng)營管理中的風險。信息化應用一方面給中小企業(yè)內(nèi)部控制帶來了便利,提高了控制的效率和效果,另一方面也影響了其內(nèi)部控制五要素,而這些影響必然給中小企業(yè)經(jīng)營管理活動帶來新的現(xiàn)象、新的問題,從而帶來新的風險。因此,對中小企業(yè)業(yè)主及其員工來說,需要轉變內(nèi)部控制思想,掌握新的控制方法,以加強對風險的有效控制。為了防止中小企業(yè)在信息化進程中出現(xiàn)內(nèi)部控制的弱化,避免出現(xiàn)“頭痛醫(yī)頭、腳痛醫(yī)腳”問題,本文認為,在信息化應用的初始階段,就應該從整體上來規(guī)劃和加強內(nèi)部控制框架的建設,以適應信息化的發(fā)展進程。
中小企業(yè)內(nèi)部控制框架構建的具體思路為:首先,以COSO內(nèi)部控制整體框架理論為指導,分析內(nèi)部控制五個要素的現(xiàn)狀及運行情況;其次,結合信息化應用對五個要素作用機理的分析和企業(yè)不同時期經(jīng)營管理活動的特點,發(fā)掘企業(yè)內(nèi)部控制中存在的薄弱環(huán)節(jié),分析和判斷新風險產(chǎn)生的根源和節(jié)點;第三,引入IT治理思想,并將其融入到企業(yè)經(jīng)營目標的制定和風險管理的要求之中,自上而下并自下而上地灌輸和反饋信息化應用戰(zhàn)略及其收益與風險的理念,使信息化應用與內(nèi)部控制的關系深得人心;最后,對企業(yè)經(jīng)營管理活動中信息化應用的范圍和深度進行細化,分析并設定風險控制目標,制定并完善相應的內(nèi)部控制制度,實施有效的控制措施,建立內(nèi)部控制執(zhí)行效果的反饋和改進機制。
(二)中小企業(yè)內(nèi)部控制框架的構建與分析
基于上述思路,本文試圖構建出中小企業(yè)信息化進程中的內(nèi)部控制框架。如圖1所示。
圖1 中小企業(yè)信息化進程中的內(nèi)部控制框架
該內(nèi)部控制框架是以COSO內(nèi)部控制五個要素的分析框架為基礎,結合中小企業(yè)經(jīng)營管理活動各個環(huán)節(jié)和信息化應用(表現(xiàn)為信息系統(tǒng))的程度,來辨識和分析企業(yè)經(jīng)營管理活動在信息化應用中以及信息系統(tǒng)自身所面臨的風險(這種辨識和分析功能,除了運用人工手段之外,信息系統(tǒng)本身也提供了自動處理功能),并通過反饋通道傳遞到企業(yè)決策層(或企業(yè)業(yè)主)。企業(yè)決策層根據(jù)企業(yè)經(jīng)營目標和風險管理要求,在IT治理思想的指導下,不斷地完善內(nèi)部控制制度和改進信息系統(tǒng),使人工控制與程序化控制有機地結合起來,一方面對企業(yè)經(jīng)營管理活動實施有效控制,另一方面確保企業(yè)經(jīng)營管理活動有序進行,同時進一步辨識和分析新的風險。
可見,該內(nèi)部控制框架是一個開放式閉環(huán)系統(tǒng),即隨著信息化應用進程的深入,信息化對內(nèi)部控制五要素產(chǎn)生新的影響,形成新的風險,同時,由于風險辨識與分析以及反饋通道的作用,企業(yè)決策層及時識別風險并通過完善內(nèi)部控制制度和控制手段,規(guī)避和控制風險,從而實現(xiàn)不斷改進企業(yè)內(nèi)部控制以適應信息化進程的目的,避免內(nèi)部控制的滯后而產(chǎn)生風險問題。
四、結束語
當前,我國中小企業(yè)信息化水平相對較低,且應用層次差異比較大,信息化建設總體仍然處于初級階段。發(fā)揮中小企業(yè)在經(jīng)濟發(fā)展中的作用,大力推進企業(yè)信息化勢在必行。由于中小企業(yè)在人才、資金和技術方面存在先天的不足,必然導致其管理水平不高、內(nèi)部控制不健全,而信息化應用又加劇了這一缺陷。因此,強化內(nèi)部控制建設、完善內(nèi)部控制制度是信息化進程中必不可少的環(huán)節(jié)。雖然要求中小企業(yè)從COSO內(nèi)部控制五個要素方面來構建內(nèi)部控制系統(tǒng)有一定的難度,但是,借鑒信息化應用對內(nèi)部控制五要素作用的機理,并在此基礎上構建信息化應用中的內(nèi)部控制框架是必要的,它必將從整體上降低信息化應用中的風險,為進一步推動其信息化進程提供保障,從而實現(xiàn)中小企業(yè)健康可持續(xù)發(fā)展。
核心關注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理,全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域,是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/
本文標題:信息化對中小企業(yè)的內(nèi)部控制的影響研究
本文網(wǎng)址:http://www.guhuozai8.cn/html/support/1112154049.html