信息化環(huán)境下企業(yè)內部控制框架設計

江蘇省電力公司連云港供電公司 張貴芹

一、企業(yè)內部控制現(xiàn)狀

較之西方發(fā)達國家，內控理論與實踐在我國發(fā)展的時間較晚。1995年以后，國內學術界與實務界才逐漸開始對內控以及風險管理進行研究，主要原因在于：首先，當時改革開放已經開展了一段時間，我國企業(yè)的運營規(guī)模不斷擴大，因此需要建立完善的內部管理體系；其次，政府不斷加大監(jiān)管力度，企業(yè)必須按照要求建立內控機制。但從大量文獻資料來看，目前我國企業(yè)在內部控制實施方面主要存在以下問題：

（一）沒有建立完善的內控體系 由于我國對內部控制的研究起步較晚，目前并沒有太多成功的案例可以借鑒，企業(yè)只能在實際工作中邊摸索邊學習，尚沒有建立起完善的內控體系。企業(yè)的內控管理存在很多盲點，而且對問題的控制都是事后的。我國大型企業(yè)集團有很多都有跨國經營業(yè)務，這些分支機構在海外需要接受當?shù)卣谋O(jiān)管，從而建立起了相對完善的內控體系，但這種完善也只是僅僅達到了當?shù)卣淖畹鸵蠖?，企業(yè)本身并沒有將提升內控體系的完善性作為一項重點工作來抓。另外，企業(yè)并不是基于發(fā)展戰(zhàn)略建立的內控體系，風險管控意識非常薄弱。按照內控監(jiān)管的運作原理，企業(yè)只有將內控體系與自身的管理體系有機融合在一起，才能全面提升自身的管理水平，進而提升內控的有效性。但研究表明，當前只有約27%的企業(yè)將內控體系與管理體系有效對接在一起，很多企業(yè)的內控體系都是獨立于管理體系之外的。

（二）沒有建立全員參與內控的氛圍 很多企業(yè)都認為內控是管理層的工作，沒有認識到基層員工參與內控的重要性，沒有建立起全員參與內控的氛圍。筆者調研發(fā)現(xiàn)，很多企業(yè)的管理層本身也不重視內控工作，在實際工作中沒有將內控作為一項工作要求，而只是將其作為工作指引與參考，這無疑會使基層員工忽視內控的重要性，從而降低其參與內控的積極性；另外，企業(yè)對內控管理的定位存在問題，認為內控只是為了滿足監(jiān)督機構的要求，對企業(yè)運營并沒有太大的幫助作用，因此，基層員工在工作過程中也只是應付性地完成企業(yè)下達的內控任務。

（三）沒有建立完善的治理結構 現(xiàn)代企業(yè)雖然按照公司法的要求設置了治理結構，但對結構中不同組織以及管理者的職能與權限并沒有進行明確的限定，導致很多管理崗位都是同一人兼任，而這些崗位本身可能存在一定的工作銜接性或者審批性，這無疑會導致嚴重的權力失衡，令企業(yè)的管理體系陷入癱瘓。對于內控而言，部分人員擁有了過大的權限，而且工作中也沒有有效的監(jiān)督機制，這為部分員工創(chuàng)造了舞弊與瀆職機會，不僅會大大降低企業(yè)的運營效率，還會嚴重浪費企業(yè)的資源，甚至損害企業(yè)的聲譽。

（四）沒有正確認識基于信息化環(huán)境的內控管理 一是沒有明確的指引。很多企業(yè)都了解信息技術對運營的重要幫助作用，也樂于在信息化改造方面投入資源，但卻由于沒有明確的指引而不知道具體的實施措施。實際上，很多企業(yè)的CIO都由于沒有相關的經驗而無法開展內控改革工作，盡管當前信息化內控的相關理論已經逐步完善，但發(fā)展的時間并不長，很多國內的企業(yè)管理者對其了解并不深刻，工作中采取的改造措施也就難免存在不合理之處。二是沒有強烈的信息化內控意識。很多企業(yè)的高管層都沒有強烈的信息化內控意識，認為這些應該是屬于IT部門或者CIO的工作，因此，在實際工作中也不會主動去了解與學習關于信息化內控的知識。有調查顯示：僅有約23%的企業(yè)高管層認識到了信息化內控的重要性，并對相關知識與理論有所了解。有些企業(yè)雖然基于信息化環(huán)境建立了內控體系，但卻只將其作為運營過程中的一個項目，體系建設完成之后就按照預先設定的標準運行，并沒有建立完善的后續(xù)跟蹤管理機制，導致體系無法及時更新，逐漸與企業(yè)的運營實際脫節(jié)，喪失了應有的作用。

二、基于信息化環(huán)境下的企業(yè)內部控制框架與流程設計

筆者結合相關理論與業(yè)內專家的內控管理研究成果，構建了基于信息化環(huán)境下的企業(yè)內控總框架，見圖1。

（一）確定內控目標 結合COSO內控框架，筆者整合了基于信息化環(huán)境下企業(yè)的內控目標：實現(xiàn)企業(yè)的運營目標。而企業(yè)的運營目標實際上就是戰(zhàn)略目標的分解與細化，因此，內控目標實際上是立足于發(fā)展戰(zhàn)略的。COBIT框架則認為信息化管理的目標是要保證企業(yè)業(yè)務的流暢性與效率性，同時將各項業(yè)務的風險控制在企業(yè)可以接受的水平。綜合以上分析，企業(yè)的內控目標可以描繪為圖2的形式。

（二）整合內控環(huán)境 企業(yè)在完成了信息化改造之后，就需要整合內控環(huán)境。傳統(tǒng)的辦公都是由人工手動完成的，而信息化環(huán)境下的辦公很多工作都是由信息系統(tǒng)自動完成的。COSO內控框架將信息的傳遞與反饋作為一項重要的內容，而這其實應納入內控環(huán)境的范圍之中。因此，建議企業(yè)做好以下幾方面工作：強化企業(yè)全體員工對信息化重要性的認識，并做好其對內控體系有效性的理解的培訓工作；完善企業(yè)的組織結構；完善企業(yè)的制度體系；建立內控管理責任制。

圖1 基于信息化環(huán)境下企業(yè)內控的總框架

圖2 企業(yè)的內控目標

（三）建立內控風險管理機制 無論是傳統(tǒng)的管理環(huán)境還是信息化管理環(huán)境，企業(yè)所面對的風險基本上是一致的，只是信息化管理環(huán)境下，企業(yè)還需要注意由管理系統(tǒng)導致的風險?？蓪L險管理機制劃分為四大塊：識別風險、評估風險、應對風險以及監(jiān)控風險。具體的內控風險管理機制結構如圖3。

（四）實施內控活動 結合企業(yè)實施內控活動的要求與原則，并基于信息化環(huán)境可將活動實施層面劃分為業(yè)務層面和信息系統(tǒng)層面。具體的關鍵控制點分布如圖4。

（五）建立信息傳遞與反饋機制 一是不斷優(yōu)化業(yè)務流程。企業(yè)想要提升信息傳遞與反饋的效率就必須不斷優(yōu)化業(yè)務流程，只有這樣才能提升各部門、各崗位員工工作的協(xié)調程度，進而提升運營效率。進行信息化改造的過程中，企業(yè)原有的工作流程會出現(xiàn)一些無效或者負效用環(huán)節(jié)，如果不將這些環(huán)節(jié)剔除將會嚴重降低整個流程的運行效率。需要說明的是，優(yōu)化業(yè)務流程并不是隨意進行的，而是由信息部與內審人員在分析企業(yè)原有流程的基礎上，共同制定優(yōu)化方案。二是做好信息搜集與處理工作。企業(yè)應做好信息的搜集與處理工作，從而保證信息傳遞與反饋的有效性。實際工作過程中，企業(yè)應多方面搜集關于市場競爭以及內部管理的各方面信息，并對這些信息進行科學的處理，將處理結果及時傳遞至相關的部門與崗位。另外，獲得信息的部門與崗位在完成了工作職責范圍內的業(yè)務操作之后，也需要及時將信息傳遞出去，只有這樣才能避免因為信息不對稱性而導致的決策與操作失誤。結合當前企業(yè)信息搜集與處理工作存在的問題，建議企業(yè)從以下兩方面改進：首先，建立科學的財務分析機制。企業(yè)作為營利組織運營的目的就是希望獲得最大的經濟利益，財務數(shù)據(jù)能夠直接反映企業(yè)實際經濟效益，只要準確分析并處理了這些信息，企業(yè)的管理者以及相關崗位責任人就能夠做出正確的決策；其次，信息部應保證信息傳遞與反饋的高效性。

（六）建立內控監(jiān)督體系 一是完善治理結構。企業(yè)應完善結構，從而在源頭上處理好內控體系各組成部分之間的協(xié)調性。建議企業(yè)從以下兩個方面入手：首先，實行獨立董事制，通過獨立董事監(jiān)督董事會各項決策以及管理工作的合理性與有效性，從而保證小股東的利益；其次，提升監(jiān)事會的權威性，借此增強企業(yè)內部的監(jiān)管力度。二是強化內審職能的發(fā)揮。（1）組建審計委員會。企業(yè)應組建審計委員會并將其直接劃歸到董事會的領導之下，全權負責整個企業(yè)的審計工作，向董事會匯報工作。審計委員會作為企業(yè)內審的最高管理機構，不但要貫徹并落實董事會下達的審計任務，還要做好對內審部門以及CIO的監(jiān)督工作。實際工作中，審計委員會作為董事會與內審部門之間的緩沖機構，起著承上啟下的作用。（2）組建專門的內審部門。企業(yè)需要了解內控體系運作的實際效率，因此，應組建專門的內審部門，由其評價各項內控工作的實際效果。內審工作的主要職能除了評價內控體系的有效性之外，還能及時發(fā)現(xiàn)當前企業(yè)內控體系中存在的問題，并進行相應的整改，從而不斷提升內控體系的完善程度，進而不斷提升企業(yè)的運營效率。當然，內審是一項非常專業(yè)而復雜的工作，要求內審人員不但要具有很高的專業(yè)素質，同時還要擁有良好的計算機操作能力，只有這樣才能保證其工作的客觀性與公平性。需要強調的是，由于內審工作是在企業(yè)內部進行的，負責內審的工作人員與被審計的人員之間往往存在這樣或那樣的聯(lián)系，特別是在審計較高層領導時，很有可能會受到來自多方面的壓力與阻力，因此，企業(yè)應注意保護內審部門工作的獨立性與權威性，即便是內審委員會也不能要求內審部門改變內審流程或者內審結果。而信息化環(huán)境下的審計則能夠有效避免內審工作受到過多的干擾，系統(tǒng)會自動處理內審數(shù)據(jù)，人為因素很難影響內審結果。三是借助信息化條件開展持續(xù)監(jiān)督工作。（1）企業(yè)董事會與高管層需要認識到對內控體系監(jiān)督的重要性，并借助信息化條件開展持續(xù)監(jiān)督工作。董事會與高管層是企業(yè)內控體系建設的主要負責人，因而承擔著主要的內控責任。實際工作中，企業(yè)應基于信息化環(huán)境設置內控持續(xù)監(jiān)督管理模塊，從而方便董事會成員以及高管層及時了解當前內控體系的運行情況，并對存在的問題進行及時整改。（2）實時監(jiān)督信息系統(tǒng)中數(shù)據(jù)的異常變化。企業(yè)應實時監(jiān)督內控信息管理系統(tǒng)中的各項數(shù)據(jù)變化，一旦出現(xiàn)異常提示就需要及時分析其原因，并進行相應的處理。實際工作中，建議企業(yè)組織內審部與IT部一起負責相關管理模塊的開發(fā)工作，根據(jù)企業(yè)的運營實際與業(yè)務特點設置相應的模塊功能并定期檢查模塊的有效性與實操性，如果模塊中存在與企業(yè)運營實際不符的地方，必須及時進行修正，從而不斷提升持續(xù)監(jiān)督機制的有效性。（3）實施ERP內審。ERP系統(tǒng)也是企業(yè)信息化建設的重要組成部分之一，ERP內審的主要工作包括信息系統(tǒng)審計和基于信息系統(tǒng)進行內審。既然是信息化環(huán)境下的內審，就必須將企業(yè)的業(yè)務集成到信息管理系統(tǒng)之中，并在系統(tǒng)內對相關業(yè)務數(shù)據(jù)進行審計。實際工作中，企業(yè)可以將信息系統(tǒng)作為內審工作的輔助工具，這樣能夠大幅提升內審工作的準確性與效率。如，內審人員可以通過信息系統(tǒng)審計整個業(yè)務流程中各項具體操作的合規(guī)性與合理性；判斷業(yè)務流程風險控制點選擇的合理性等?？傊珽RP內審的核心仍是企業(yè)的內控體系與業(yè)務數(shù)據(jù)，信息系統(tǒng)只是數(shù)據(jù)傳遞的媒介。

圖3 內控風險管理機制結構圖

圖4 信息化環(huán)境下內控框架的關鍵控制點分布圖

［1］李心合：《內部控制：從財務報告導向到價值創(chuàng)造導向》，《會計研究》2012年第4期。

［2］薛劍虹：《基于信息技術的會計信息系統(tǒng)內部控制問題研究》，《中國管理信息化》（會計版）2011年第8期。