論持續(xù)監(jiān)控研究的假設前提與約束條件

應里孟+周海燕

[摘 要]在信息系統(tǒng)環(huán)境下，內(nèi)部控制持續(xù)監(jiān)控研究有持續(xù)監(jiān)控主題、可持續(xù)監(jiān)控、經(jīng)理層盡職盡責和評價人員專業(yè)公正四個基本假設前提。持續(xù)監(jiān)控的實施程度受制于經(jīng)理層對風險認知的局限和可以使用的信息數(shù)量，這些形成了持續(xù)監(jiān)控能力的固有約束。

[關鍵詞]信息系統(tǒng)；內(nèi)部控制；持續(xù)監(jiān)控

[DOI]10.13939/j.cnki.zgsc.2016.12.047

在信息系統(tǒng)環(huán)境下，持續(xù)監(jiān)控研究起步伊始，應首先構建一個理論框架，作為后續(xù)研究證明和評判的基礎。該理論框架包括了持續(xù)監(jiān)控的假設前提和約束條件。

1 持續(xù)監(jiān)控的假設前提

持續(xù)監(jiān)控假設是基于持續(xù)監(jiān)控目標，從信息系統(tǒng)內(nèi)部控制環(huán)境中抽象出來的，其目的是通過假設對持續(xù)監(jiān)控系統(tǒng)的運行環(huán)境或運行條件提出要求，以保證系統(tǒng)按規(guī)定的目標運行，從而為持續(xù)監(jiān)控理論框架的構建掃除障礙。

1.1 持續(xù)監(jiān)控主體假設

本文界定的持續(xù)監(jiān)控主體是企業(yè)的信息系統(tǒng)，信息系統(tǒng)的邊界決定了持續(xù)監(jiān)控的邊界。在網(wǎng)絡化環(huán)境下，信息系統(tǒng)可以超越傳統(tǒng)企業(yè)的物理邊界和法律邊界，典型的如價值鏈中的企業(yè)聯(lián)合起來，構建價值鏈管理信息系統(tǒng)，若干企業(yè)依靠信息手段組成動態(tài)聯(lián)盟的虛擬企業(yè)，這些企業(yè)共用一個信息系統(tǒng)，相應的信息系統(tǒng)內(nèi)部控制也是共用的。在組織間形成的信息網(wǎng)絡中，通常有一個領袖企業(yè)，整個信息系統(tǒng)內(nèi)部控制系統(tǒng)的實施是由其主導的，因此，對信息系統(tǒng)內(nèi)部控制的持續(xù)監(jiān)控也是由該領袖企業(yè)來執(zhí)行，而其他企業(yè)對該信息系統(tǒng)只有使用權，而無控制權。所以，筆者將持續(xù)監(jiān)控的主體定義為企業(yè)能夠主導的信息系統(tǒng)內(nèi)部控制。

1.2 可持續(xù)監(jiān)控假設

要保證持續(xù)監(jiān)控能夠順利進行，信息系統(tǒng)需要有一整套健全的IT基礎設施，無處不在的信息網(wǎng)絡、標準化的數(shù)據(jù)接口和共用的數(shù)據(jù)倉庫，將組織中的信息孤島徹底打破，實現(xiàn)組織中不同層級、不同部門，甚至是不同企業(yè)之間的信息系統(tǒng)無縫結合，信息在信息系統(tǒng)內(nèi)部和信息系統(tǒng)之間能夠實時流動，組織成員之間的信息溝通順暢。在面臨災難性問題時，能夠迅速的恢復，保持業(yè)務的持續(xù)性。這些是一種理想的持續(xù)監(jiān)控環(huán)境，它保證了持續(xù)監(jiān)控所需信息的可獲得性和可用性，持續(xù)監(jiān)控的結果信息的實時傳遞。

1.3 經(jīng)理層盡職盡責假設

領導企業(yè)信息系統(tǒng)內(nèi)部控制的運行是企業(yè)經(jīng)理層的責任，這在相關規(guī)范中都有明確規(guī)定。COSO整合框架要求經(jīng)理層直接為包括內(nèi)部控制制度在內(nèi)的企業(yè)的全部行為負責，我國的《企業(yè)內(nèi)部控制基本規(guī)范》也要求經(jīng)理層負責組織領導企業(yè)內(nèi)部控制的日常運行。信息系統(tǒng)內(nèi)部控制作為一種管理的工具和手段，是經(jīng)理層盡職盡責履行其受托責任的必要條件，而不應被視為其進行機會主義行為，獲取個人私利的障礙。所以，經(jīng)理層會主動實施持續(xù)監(jiān)控來完善信息系統(tǒng)內(nèi)部控制，而不是想方設法規(guī)避或者阻礙持續(xù)監(jiān)控的實施。

1.4 評價人員專業(yè)公正假設

負責持續(xù)監(jiān)控的評價人員的專業(yè)性是持續(xù)監(jiān)控發(fā)揮作用的決定性因素。在持續(xù)監(jiān)控過程中，相關評價人員需要具備非常全面、系統(tǒng)的知識。第一，評價人員需要對信息技術、整個組織中信息系統(tǒng)的結構及功能有充分的了解；第二，評價人員需要對企業(yè)文化、管理風格、治理要求、企業(yè)內(nèi)外部的遵循性需求、內(nèi)部控制系統(tǒng)有深刻的把握；第三，評價人員需要對組織結構及組織的業(yè)務流程進行理解；第四，評價人員必須具備IT審計、IT控制和IT治理方面的知識。只有具備了這些方面的知識，評價人員才能夠有針對性的順利獲取相關信息，并執(zhí)行對這些信息的評價，進而得出評價結果和采取后續(xù)行動。評價人員的公正性是持續(xù)監(jiān)控發(fā)揮作用的保障性因素。公正性指的是評價人員被期望來執(zhí)行一個評價，而不會考慮到可能的個人后果，也不會通過信息的操縱來獲得個人利益或者自我保護。無疑，內(nèi)部審計師所具備的專業(yè)性和公正性，使之成為評價人員的首要之選。

2 持續(xù)監(jiān)控的約束條件

持續(xù)監(jiān)控的實施程度受制于經(jīng)理層對風險認知的局限和可以使用的信息數(shù)量。這些形成了持續(xù)監(jiān)控能力的固有約束。如圖1所示。

圖1 所定義的問題和可使用的信息之間的鴻溝

在圖1中，X軸代表持續(xù)監(jiān)控的程度，Y軸代表信息成本和信息價值。在O點，持續(xù)監(jiān)控尚未實施，因而信息系統(tǒng)內(nèi)部控制系統(tǒng)所面臨的風險最高。隨著持續(xù)監(jiān)控的深入，人們能夠定義的問題也越來越多，對風險的認知也日漸深入。不過，由于人們對風險認知始終存在局限性，使得我們不能定義出所有的持續(xù)監(jiān)控問題。而且，對于所定義的問題，我們所能夠使用的信息也是存在局限的，兩者之間存在著不可彌補的鴻溝，這就產(chǎn)生了信息不足所導致的監(jiān)控風險。

從成本效益原則出發(fā)，持續(xù)監(jiān)控程度并非越高越好，而是應該保持適度性。如果對某個控制點進行監(jiān)控所帶來的風險降低的收益，相比于不進行監(jiān)控所產(chǎn)生的風險成本，如果前者小于后者，那就是沒必要的。信息理論認為，一個信息策略應該著眼于最小化信息需求的數(shù)量，同時最大化的授予決策制定權。最佳的決策制定者，就是用最少的信息來作出最佳決策。由于信息的獲取需要成本，對信息的使用應該做到“成本有效”，即用最少的信息來實現(xiàn)決策能力的最大化。對信息的使用還要做到“成本高效”，即通過信息所進行的決策能夠達到最大效用。這就需要我們在持續(xù)監(jiān)控的程度和信息成本及信息價值之間進行權衡。

由于信息成本和信息價值的限制，所以持續(xù)監(jiān)控并非基于所認識的問題而定。在圖2中，隨著持續(xù)監(jiān)控程度的增加，所需的信息成本最開始是增加很慢的，這是因為對于一些可以易于和信息系統(tǒng)進行整合的持續(xù)監(jiān)控流程，所需信息能夠容易的自動化獲取，并且可以借助自動化的分析工具進行分析。但隨著持續(xù)監(jiān)控的深入所需成本增加越來越快，這是因為更深一步的持續(xù)監(jiān)控要求獲取額外的信息，這些信息的獲取可能需要對信息系統(tǒng)進行改造，或者還需要增加新的IT投資，一些信息還可能需要用人工的方式來獲取，而這些額外的信息所對應的價值到達b點后卻開始下降，這一方面是因為主要的內(nèi)部控制缺陷在b點之前已經(jīng)通過持續(xù)監(jiān)控揭示出來，另一方面是由于過多的信息可能會導致信息過載，而且用于這些信息分析的時間越多，信息及時性降低，這些信息對持續(xù)監(jiān)控的效用也隨之降低。所以，信息并非越多越好。持續(xù)監(jiān)控的最優(yōu)點應該是圖2中的a點，因為該點的信息成本最低，而信息價值最高。不過，為了實現(xiàn)最優(yōu)的持續(xù)監(jiān)控程度，使內(nèi)部控制風險最小化，在預算充足的情況下，可以將持續(xù)監(jiān)控程度移到b點。企業(yè)在開發(fā)持續(xù)監(jiān)控流程過程中，如果將決策點定在a點，那么這在經(jīng)濟上是最有效的，但不能有效地控制風險，b點的風險最小，但成本比a點要高，所以，持續(xù)監(jiān)控的程度需要在a點和b點之間進行權衡。

從持續(xù)監(jiān)控對行為的影響來看，過度的持續(xù)監(jiān)控會給被監(jiān)控者的行為帶來不利影響。例如，Hunton et al.（2008）發(fā)現(xiàn)，持續(xù)監(jiān)控下的管理者會傾向于保守和短視，Campbell et al.（2010）發(fā)現(xiàn)，過度的監(jiān)控不利于員工學習，這些會影響影響勞動生產(chǎn)率和經(jīng)濟效益的提高。

雖然在實踐中，企業(yè)很難確定持續(xù)監(jiān)控的費用與收益之比，也難以用定量的方式來指明持續(xù)監(jiān)控程度與被監(jiān)控者行為之間的關系。但這種分析告訴我們，過度的持續(xù)監(jiān)控并不總能帶來較高的收益，企業(yè)應根據(jù)活動的規(guī)模特點和復雜程度來確定持續(xù)監(jiān)控的范圍和頻度，建立有效的持續(xù)監(jiān)控系統(tǒng)。

參考文獻：

[1]Hunton J.E.，Libby D.，Libby J.，etc.Continuous Monitoring and The Status Quo Effect[J].International Journal of Accounting Information Systems，2010，11（3）：239-252.

[2]Campbell D，Epstein M J，Martinez-Jerez F A.The Learning Effects of Monitoring[J].The Accounting Review，2011，86（6）： 1909-1934.