西安邮电大学经济与管理学院 李永红 韩 笑
【摘要】传统内部控制的重点是人,而IT 环境下内部控制的重点逐渐转变为对人、互联网和计算机的共同控制。企业内部控制面临新的挑战。本文分析了传统内部控制与IT 环境下企业内部控制的差异,并选择中国铁建集团为案例, 探索IT 环境下信息技术对企业内部控制的影响,以期为构建IT 环境下企业内部控制提供参考。【关键词】IT 环境 企业信息系统 内部控制
一、引言
全球化市场经济使得企业之间的竞争日益加剧,为了应对激烈的竞争要求,企业应构建科学的信息系统,为企业在激烈的市场竞争中立于不败之地提供技术支持。目前建筑业信息化进程较其他行业而言相对落后,信息化水平远低于其他行业,其传统的经营与管理方法,不能适应现代信息化环境下经营管理的需要,必须构建基于IT 环境下的内部控制管理模式,提高企业在信息化环境下的管理水平。本文以中国铁建集团为例对此进行研究。以期为IT 环境下企业内部控制建设提供参考。
二、基于IT 环境的企业内部控制比较分析
(一)IT 环境下企业内部控制概述
1.IT 内控目标。信息系统内部控制(简称IT 内控)是针对IT 风险制定一系列制度、程序和方法,实现事前防范、事中控制、事后监督和纠正的动态过程的机制。目标是合理合法地规划信息系统,避免造成信息孤岛或重复建设。利用信息技术实施有效控制,增强授权管理,减少人为操纵因素,提高企业现代化管理水平。增强信息系统的安全性、合理性和可靠性及其相关信息的保密性、完整性和可利用性的控制,为建立有效的信息与沟通机制提供技术保障。
2.IT 内控控制环境。意识到IT 会给企业带来新的风险;整合IT 组织与企业组织;注重员工IT 特殊能力的培养;IT 控制会涉及第三方,特别是在项目外包过程中;可能导致IT 控制的责任人不明确。
3.IT 内控风险评估。企业层面上由专门组织来定义IT 内部控制目标及对IT 风险进行识别;活动层面上要特别针对IT 运营服务、IT 资产管理、IT 项目, 以及在变更管理活动中进行风险评估。
4.IT 内控控制活动。对IT 系统环境、构成要素及IT基础设施相关的控制。普遍适用于所有IT 系统,为IT 系统的正常运行提供安全可靠的环境。IT 应用控制是指与运行业务流程相关的IT 系统的控制活动,应用控制是IT内部控制的最关键要素。
5.IT 内控信息与沟通。企业层面上需要设计和沟通组织机构策略、开发和沟通报告要求、财务信息的沟通;业务层面上需要设计和沟通策略目标、实现业务信息沟通、及时报告安全违例情况。
6.IT 内控监控活动。企业层面上需监控计算机的运行情况、监控信息安全情况、IT 内部审计审核;活动层面上需进行缺陷识别和管理、本地检测计算机运行或计算机安全、本地IT 人员的监督管理。
(二)传统内部控制与IT 环境下内部控制差异分析1. 控制环境的差异。传统内部控制指的是关注会计信息可靠性的内部会计控制,很少考虑与业务操作和规则遵守有关的内部控制。使得财务系统和业务系统相“隔离”,财务数据只能在业务发生之后采集并经过再加工成为可用的数据,财务信息的严重滞后与业务实时控制之间存在着不可调节的矛盾。IT 环境下企业信息处理和业务活动融为一体。在业务活动发生、有关数据进入数据库之前,就会对数据的准确性、完整性和合法性进行检查;其网络环境中的信息可以被有授权的人员检查,进行实时事中控制,原始业务的再现也由于环环相扣的链接关系变为可能,这种高度集成整合的信息系统是企业实现财务与业务一体化的有效保障。与传统内部控制相比,IT 环境下企业内部控制存在新的风险,例如信息系统规划与建设的管理风险、信息系统内控机制漏洞风险、信息系统运行的不稳定性风险、网络安全风险等等。例如现金管理软件如果不受人为约束生成、传递与传统条件下类似的支票、本票等现金收付文件,将会给企业带来灾难性的影响。
2. 风险评估的差异。与传统内部控制相比,企业应设立专门机构对IT 环境下企业内部控制重新定义,并对IT 风险进行识别。其信息一致性风险是指在内部信息资源整合或与外部信息资源整合过程中,由于信息或信息系统部匹配导致的系统能力降低等风险。具体还是要根据企业的业务来特别制定企业IT 风险评估。
3. 控制活动的差异。传统的控制活动形式一般体现为:业绩评价、信息处理、实物控制、职责分离等。IT环境下企业内部控制除包含这些外,特别强调对信息处理这方面的相关审计控制,其应用控制也是IT 内控的最关键要素。
4. 信息与沟通的差异。传统环境下企业部门与部门之间往往存在信息沟通不畅的问题,借助手工处理这些问题有时间差异,业务部门需要的资料要送达财务部门并经过相关数据处理再传送给其他部门,大大影响企业内部工作的效率和效果。有效的信息沟通需要企业信息的实时共享,企业信息化为其提供了可能,本企业信息系统与客户、供应商和商业伙伴信息系统之间的联系日益紧密,其数据及时传递和处理使企业管理者能够掌握企业内部和外部实时情况,及时控制企业面临的风险,优化企业内部控制。5. 监控活动的差异。在IT 环境下,监控活动就是评估企业信息系统内部控制系统在一定时期内运行质量的过程。包括监控计算机的运行情况、信息系统安全情况、IT 内部审计审核情况、进行缺陷识别和管理、本地IT 人员的监督管理等等,这是传统内部控制不具备的,需要企业专业IT 管理人才进行企业内部控制监控活动的实施。
三、基于IT 环境内部控制调查分析
(一)调查问卷设计
本文采用调查法进行数据收集,主要分为访谈和问卷调查两个阶段。为了得到更为有效的数据,首先对中国铁建集团项目部技术人员、财务人员进行实地访谈,初步了解对该问题的看法,根据访谈结果按照COSO 五要素设计了调查问卷。调查问卷采用了Likert 五分法,分为极不同意、不同意、说不清、同意、极力同意五个级别,问卷调查采取实地分发和邮件传送两种方式。本次共发放问卷100 份,收回83,其中剔除无效问卷2 份,最后得到有效问卷81 份,占总问卷数的81%。问卷中项目的设计均用数值表示调查对象对此项目的态度,设置了0、1、2、3、4 五档数值。
(二)调查结果分析
1. 控制环境。由表(2)可以看出,按公司隶属关系由高到低其评分整体趋势也是由高到低,即二级子公司总体和各项评分都最高,项目部则略低尤其是(1)、(4)、(5)这三项,项目部评分介于不同意和说不清之间,说明其整合IT 组织与企业组织效率低、第三方业务中应用信息系统处理业务量少,同时若信息系统发生与业务流程相关问题时,不能及时明确责任人。在对员工进行IT业务培训方面,各级子公司差距不大,都做得令人满意。见表(2)。
2. 风险评估。由表(3)可以看出,各子公司都明确制定了信息系统内部控制目标,甚至是出现了项目部得分大于二级子公司的情况,集团公司会下发相关文件为各级子公司指引,项目部IT 内控目标制定实施良好。各级子公司都明确了信息系统的经营风险,在系统维护和安全措施方面投入量很大,而在信息系统合规风险这一块,主要是项目部评分在不同意以下。见表(3)。
3. 控制活动。由表(4)可以看出,各项评分介于2.5-3.2之间,其信息系统控制活动整体接近同意这一评价标准。但评分随公司隶属关系由高到低分布,在实行全面控制方面二级子公司做的最好,接近于满点,可想而知安全控制影响之大使其资金投入量也加大;在职责分离、领导监督及数据有效输入控制方面项目部实施良好,与上级公司基本持平。见表(4)。
4. 信息与沟通。表(5)显示,各级子公司在企业各部门信息有效沟通共享和及时报告企业安全及违例情况上差距较大,尤其是项目部,其后两项的评分低于1 分,处于极不同意和不同意之间,应加强管理建设。而在财务报告和财务信息沟通方面公司格外注重,如2014 年初,根据集团公司的统一部署,中国铁建十五局二公司沪昆项目部停止使用浪潮财务管理系统,中国铁建财务共享服务平台取而代之,形成以协同办公、综合项目管理、企业邮件、财务共享服务为主,QQ 交流群、项目微信群为辅的“4+2”项目信息化综合管理体系,为改善企业的经营管理做出巨大贡献。见表(5)。
5. 监控活动。表(6)显示,各级子公司在实时监控计算机运行情况和进行信息系统内部审计方面实施情况比较好,评分近于同意。而在进行有效缺陷识别管理和实时有效的对IT 人员监督管理上明显三级子公司和项目部实施效果不好,这与项目部长期以来的工作环境和施工条件密切相关,同时信息化管理人才缺乏也是造成这一现状的重要原因。见表(6)。
四、IT 环境下企业内部控制建设对策(一)设定相关人员权限控制
在信息系统控制环境部分,由调查数据可知若企业信息系统发生与业务流程相关的问题(如相关业务权限控制),能明确责任人这一项评分较低,尤其是项目部。在出现问题及时明确相关责任人,才能最大程度发挥信息系统在企业经营管理中的积极作用,这就使得相关人员权限控制显得尤为重要。
(二)明确信息系统合规风险
通过风险评估评分表可知,信息系统合规风险相对目标设定和经营风险来说评分比较低。说明企业对风险评估中合规风险控制不到位,尤其是底层项目部。中国有句古话说“没有规矩,不成方圆。”意思是缺少了制度的约束,人的行为就会进入混乱。信息系统代替手工,使得审批流程简介方便,但是在这过程中也有合规风险出现,例如发票报销,不必像以前一样拿着发票找经理主管签字,有的甚至根本没有签字就可生成账单,如果对信息系统合规风险控制不当,则很容易给企业带来巨大损失。
(三)加强对软、硬件系统控制
硬件是实时信息系统的先决条件,而软件则是决定信息系统命脉的决定因素。在信息化时代,软硬件更新速度日新月异,只有紧跟时代潮流才能在信息化进程中找到适合企业发展和生存的契机,有效利用信息化改善企业经营管理。在中国铁建集团官网上查询可了解其财务软件更新过程,1992 年,初始实现电算化,还是当时还是账务单板机,不联网;2002 年,开始使用U8 系统做账;2005 年NC 的使用,才使得基层项目实现了网上做账;到2007 年,更新为浪潮GS3.5,并在其基础上进行二次开发,使其更加适合单位生产经营需要;2013 年底,又更换成中国铁建财务共享服务平台,真正实现了财务交流无障碍。
(四)增强信息沟通与共享
中国铁建集团子公司众多,遍布海内外,如果不能及时信息沟通有效共享,可能会错失很多项目,同时也会给公司预算、采购、人工上浪费很多资源。以尼泊尔马兰奇引水项目为例,在尼泊尔信息很落后,其网络很不稳定,通信也极不发达,公司安排专人定期和网络公司联系,督促检查网络信号,同时搭建内部信息平台,为每位员工配备了一张G 网和一张C 网手机卡,双卡互补,确保信息交流基本畅通。
(五)加强缺陷识别与管理
信息系统一直在更新换代,以不断适应企业业务需求和管理需要,在信息系统有缺陷时能及时识别和管理,会使企业信息系统实时修善,为企业经营管理提供更好的服务,提高公司运行效益和市场竞争力。
参考文献:
[1] 梁晟耀. 企业内部控制基本规范(第2 版)[M]. 北京: 电子工业出版社,2013.
[2] 财政部. 企业内部控制应用指引第18 号——信息系统[D].2010.
[3] 杨青峰. 业务高管信息化领导力的16 项修炼[M]. 北京: 电子工业出版社,2010.
[4] 李晓慧,何玉润. 内部控制与风险管理[M]. 北京: 中国人民大学出版社,2012.
[5] 柯新生. 企业信息资源规划理论与方法研究[M]. 北京: 电子工业出版社,2013.
[6] 戴欣. 企业信息化水平的系统动力理论[M]. 北京: 电子工业出版社,2010.
[7] 严小丽,吴清. 施工企业信息化绩效评价[M]. 北京: 中国建筑工业出版社,2013.
[8] 陈建斌.IT 能力与企业信息化[M]. 北京: 电子工业出版社,2010.
[9] 王宏,蒋占华,等. 中国上市公司内部控制指数研究[M]. 北京:人民出版社,2011.
[10] 周常发. 企业内部控制实施细则手册 [M]. 2 版. 人民邮电出版社,2012.
[11] 梁晟耀. 企业内部控制基本规范——合规职务指南[M]. 北京:电子工业出版社,2010.
[12] 张文贤,孙琳. 内部控制会计制度设计[M]. 上海:立信会计出版社,2004.
[13] 孙永尧. 内部控制案例分析[M]. 北京: 中国时代经济出版社,2007.
[14] 艾文国,唐思思. 信息化环境下基于风险管理的内部控制研究[J]. 哈尔滨商业大学学报(社会科学版),2009(1).
[15] 张小颖,马广奇. 基于COSO 报告的企业内部控制体系评述[J].陕西科技大学学报,2008(6).
[16] 谭志刚. 企业信息化环境下内部控制的思考[J]. 财会通讯,2004(1).
[17] 李忠辉,石双元. 企业信息系统中的内部控制模型及其应用[J].武汉理工大学学报,2004(10).
[18] 赵代强,钱振地. 铁路施工企业科研项目管理信息系统方案设计[J]. 铁道工程学报,2007(3).
[19] DAVI W S, YEN D C. The information system consultant’shandbook[M]. CRC Press, 1999.
[20] LANE R,BRENDAN T.O’Connell. The changing face ofregulators’ investigations into financial statement fraud[J]. 2009(2).
编辑:晓斌 秦思慧