【摘要】 随着计算机、网络技术的迅速发展和普遍应用,企业的信息化程度越来越高,在我国企业同步推进内部控制和信息化建设的背景下,探索两者的有机结合有着重要的意义。文章认为,加强信息化环境下的内部控制,提升企业利用信息技术管理的能力和水平,其关键是将管理的重心从"流程或程序"层面提升到"战略和文化"层面,结合战略目标进行风险管理,构建与"互联网+"时代相适应的内部控制体系,从而实现为企业创造价值的目标。 【关键词】 信息化;内部控制;风险管理 【中图分类号】 F239 【文献标识码】 A 【文章编号】 1002-5812(2019)14-0047-04 一、研究背景 信息技术已经成为现代社会进步、经济发展的主导力量,特别是21世纪以来,随着互联网、大数据、物联网、云计算、人工智能技术的飞速发展和广泛应用,人类正式跨入信息化的新时代。信息技术的蓬勃发展给企业带来新的动力,互联网将人与服务、设备与内容源进行连接,跨越时间和距离的限制实现互联互通,促进其优化业务流程。 近几年频发的用户信息泄露引发信任危机事件表明,目前企业的内部控制还不规范,内部控制环境不足以支撑和保障信息系统安全。在企业大力推行信息化建设和完善内部控制体系的同时,如何将两者有机结合,形成相互支持、相互促进的新局面,是当前管理者们面临的重要议题。《企业内部控制基本规范》《企业内部控制应用指引》等明确要求按照内部控制要求对信息系统建设进行总体规划、运营,充分利用信息技术,强化内部报告的集成和共享,更好地促成企业整合、传递和共享各类信息。但现实的情况是企业内控管理和信息化建设相互割裂,管理层没有充分考虑信息化环境的复杂程度,尚未充分利用现代信息技术将关键经济活动的控制环节嵌入信息系统,无法有效消除或减少控制风险。 二、信息化环境下企业内部控制面临的风险 (一)没有正确认识信息化环境对内部控制的影响 新的管理思想如战略规划、业务流程重组、供应链管理等理念兴起,为企业提供了新的管理方法和模式,企业管理逐渐向集成化模式转变和发展,而互联网将计算机互相联接在一起,实现不受空间、时间限制进行视频、图片、文字等信息的交换。很多企业认识到这种信息交换模式的成本更低、效率更高,能够获取更大的经济效益,开始投入大量资源用于信息化建设。但是,如何运用信息技术完善内部治理的理论正处于完善过程中,只有少数管理层认识到信息化环境对内部控制的影响,多数企业缺少基于互联网等信息技术的内部控制管理人才,无法开展互联网和信息系统环境下的内控改革工作。 (二)未建立起适应信息时代发展的内控体系 我国企业内部控制的研究和应用起步较晚,虽在实践中摸索学习,但是实际上内控体系尚不完善,缺少制衡和监督,内部管理存在"盲区"或"短板",而且以事后控制为主。企业高级管理层的风险控制意识有待提高,主要精力放在业务扩张和技术升级层面,未将完善内部控制体系作为战略目标,导致系统开发不符合内部控制要求,无法利用信息技术实行有效控制。只有将信息化建设与完善内部控制体系有机融合、相互推动,才能全面提升运营和风险管理水平,消除"木桶效应"。 (三)忽略互联网的风险放大效应 许多企业通过互联网平台从事经济活动,呈现出交易主体多、法律关系复杂、监管难度大等特点。互联网具有风险放大效应,它会将因内部控制缺陷导致的危机事件无限扩大,如滴滴对司机身份审核不严导致数件悲剧事件、共享单车企业无序投放自行车造成资源浪费等,造成了广泛的社会负面影响。高级管理层往往忽略了互联网的风险放大效应,未对内部控制缺陷足够重视,直至缺陷对企业造成重大影响。 三、信息技术对企业内部控制的影响及作用路径 (一)信息化对内部环境的影响 1.组织结构渐趋扁平化、网络化。信息化环境下企业的内部控制是基于网络化组织结构,建立内部信息资源共享共治的风险管理机制。随着"知识经济"时代的来临,全球信息化加速发展、经济环境瞬息万变,推動各行各业从要素驱动向创新驱动发展,对信息、科技、人才的争夺更为激烈。钱德勒在《战略与结构》中认为,外部环境改变企业战略,从而影响企业结构。为了适应环境变化和提升自身竞争能力,企业调整组织结构、业务流程、管理模式,以适应外部环境的转变。ERP系统等信息技术的运用使得信息的传递更加便捷、快速,组织内层级减少、管理幅度增大、生产成本降低、反应链条缩短,互联网环境对企业结构的变化、融合的产生、创新的发生提供机会和支持,促使越来越多的组织朝着扁平化、网状化的节能管理模式发展。企业由高度集中的决策领导中心变为分散的多中心决策领导组织,新型的网络化组织成为趋势,网络化组织形式也被视为最佳学习型组织结构,更重视信息资源在组织内的有序流动和传递。 2.人力资源政策偏向人性化、柔性化。企业环境的变化引发组织架构的变革,组织架构的变动又推动人力资源管理改革,对人力资源的内部控制方式向人性化、柔性化方式转化。人力资源的规划、引进、培养需要与企业信息化战略规划和信息化水平相适应,相比传统企业,信息化企业对人才的依赖性更强,特别是以专利、技术为核心竞争力的高新技术企业,更注重建立开放的人力资源政策,对员工进行适当的激励和约束,帮助专业技术人员提升专业能力,实现人才自由、有序流动。在复杂的信息化环境下,人性化的内部控制方式授予员工适当的自主权,使得员工可以在一定授权范围内迅速解决遇到的问题。但是如果内部控制存在缺陷,且人力资源约束政策失效,管理或技术人员可能利用系统漏洞从事非法活动;如果人力资源缺乏规划、开发机制不健全,可能导致企业信息化战略无法有效实现,人力资源激励制度不合理,可能导致人才严重流失、企业经营不善。在信息化环境下,如何基于员工行为动机保证人力资源政策的人性化,又能运用信息系统控制风险,是内部控制设计者需要充分考虑的问题。 3.企业文化朝着合作、共享的方向发展。信息化环境实现了对信息资源的大融合,资源、信息与内部控制相互交叉、融合,互联网突破了传统行业或产业边界,带来"互联网思维"和多元文化,善于学习的年轻人用互联网思维创新生活和工作方式。哈拉尔(1999)认为未来企业的发展将遵循共享资源、共同协调解决問题的规则。汪飞(2017)通过实证分析发现,信息化程度高的企业普遍更具有创新精神和活力,注重"团队文化"建设,在团队工作中注重合作意识和集体观念,强化员工对客户的服务意识。在该模式作用下,培育了以人为本、尊重人性、以用户为中心、注重共享合作精神的企业文化,这种变化有利于创新培育与国家"一带一路"以及"粤港澳大湾区"建设相适应的互融互通的经济新模式。 (二)信息化对风险评估的影响 计算机、通信、微电子和软件工程等现代信息技术在现代企业内部控制、经营管理等方面发挥重要作用,为企业开拓新领域的业务和市场创造条件,但信息技术的复杂性、信息平台的开放性、信息的易复制性给企业的经营管理带来新的挑战和更高要求。企业除了面临外部环境的政治、市场、政策等风险,也要面对战略、经营风险等内部风险,同时还要承担信息科技在应用过程中因自然因素、技术漏洞或管理缺陷而产生的法律和声誉等所有风险。信息系统承载企业所有电子数据和信息,互联网使得信息系统由封闭转向开放,将企业内部控制缺陷造成的负面影响放大,由此带来的损失更加巨大。信息化环境下,把握好风险评估这一关键环节显得尤其重要,如对企业当前面临或未来潜在的风险加以判断、分析和识别,根据自身风险承受能力,制定风险管理策略,并采取合理措施规避、降低、分担或承受风险。 (三)信息化对控制活动的影响 信息系统广泛运用为不相容职务分离、交易授权、业务记录、持续监督等控制活动嵌入到业务系统程序提供了契机,信息传递、数据分析、风险管理等业务活动均可依靠信息系统完成。内部控制对象由对人、物的控制转变为对人、物、信息系统共同控制,由手工控制为主变为以系统自动控制为主,由发现性控制为主转变为以预防性控制为主。交易授权等传统的控制活动发生变革,口令授权代替手工环节的印章,业务控制的有效性依赖于信息系统的完整性、安全性、有效性。存货管理、采购管理、销售管理等业务循环在信息系统中按照既定流程自动流转,电子化的业务记录有助于执行内部控制活动。在互联网环境下,信息系统的安全问题可能同时暴露在企业内部和外部环境中,若出现交易授权不合理、不相容岗位未分离等重大风险,会导致控制失效,作业通过IT整合完成,越权操作不容易被察觉,一旦网络遭到攻击,口令泄露或被破解,系统内的数据、信息都有可能被恶意更改或盗取,可能会对企业带来难以估量的损失。 (四)信息化对信息沟通的影响 在COSO内部控制框架下,信息与沟通是内部控制的重要组成部分。传统的控制环境下,信息传递的时间长、成本高,信息传播范围狭窄,口头形式的信息传播过程容易出现信息失真的情况,无法有效通过控制措施解决信息安全问题;信息模式只能单向传递,无法实现信息交互和共享,沟通的效率和效果具有局限性。互联网环境下,信息传递依靠通讯软件、电子邮件、网络平台等媒介,将文字、数据、图像、音频、视频等信息进行实时传输和交换,提高了沟通的准确性、及时性和效率性。企业需要及时整合数以亿计的零散信息、处理分析提取其中的有效信息、准确传达有价值的信息,而运载大量信息的传递过程容易受到噪音的影响,导致信息失真或无效。信息逐渐取代资本成为企业最核心的资源,主导着企业的发展状况,特别是对于掌握众多用户和交易信息的企业,信息资源成为内部控制的主要对象。 (五)信息化对内部监督的影响 互联网环境下,企业的业务系统会在较短时间内产生和归集海量的数据和信息,单纯的人工手段难以对数据和程序进行实时分析和监控。信息化的发展使得监督活动的方式发生了改变,企业可以通过两种方式对风险进行监控:持续监控和个别评估,控制活动和内部监督活动可以同步进行、实现融合。监督活动的重点也发生了改变,首要的目标是构建一个与网络化环境相适应的适时监控机制。信息系统的监控程序可以在一种程度上代替人工监督,实现对业务体系内重点领域、关键环节的风险控制点进行实时、动态、持续的监控,提高监管的效率和质量。但是内部监督离不开人,技术只是手段,它以内部环境为基础,是形成内部控制网络体系闭环的关键部分,与内部控制其他要素相互联系、相互补充,公司治理结构确定了内部监督的地位和独立性,对内部控制措施能否在组织中发挥效果起决定作用。 四、"互联网+"背景下企业内部控制优化策略 以COSO内部控制的视角来看,组织应该拥有足够的灵活度才能适应外部环境的变化,要顺利应对不确定、复杂多变的外部环境,就要确定符合互联网时代的企业战略目标、内部规则,要应对企业运营结果的不确定性,就要建立与新时代相契合的企业文化和社会责任感,重构风险评估和信息沟通机制,实施多元的安全控制活动,探索应用互联网和信息技术的监督方式,详见下图。 (一)营造与"互联网+"时代相融合的内部控制环境 1.树立战略观。《企业内部控制应当指引第18号——信息系统》强调"企业负责人对信息化建设工作负责",表达了组织内从上至下完善内部控制的战略理念。着眼于"互联网+"时代的全球环境,树立战略观、大局观、科学发展观对企业未来发展至关重要。有远见的管理者主动把握经济新常态,根据业务需求、流程变化,建立与"互联网+"相适应的内部控制体系,并将之上升到企业的战略高度,成立有IT专家一席之地的战略决策和管理委员会,制定明确、可行的IT发展战略,防止因发展战略不明确丧失发展机遇或盲目发展浪费资源导致经营失败。 2.塑造企业软实力。良好的企业文化为员工提供精神支柱,是完善内部控制的有效保障,也是企业的核心竞争力。互联网时代,应主动适应环境变化,创新运用互联网思维,创建培育既契合互联网环境、又传递时代感和正能量的企业软文化,培养员工的职业道德和操守,增强员工的凝聚力和对企业的认同感。注重利用互联网平台的开放性、共享性和互动性,发挥新媒体自发、快速的传播特点,促进企业文化和价值理念的广泛宣传,实现良性的自我营销。 3.加强社会责任感。企业发展趋势是否健康、良性,与企业的管理层和员工是否具备社会责任感息息相关。企业不能为了经济利益,放弃承担社会责任,应当注重从个体发展转向群体协同发展,从聚焦短期利益转向关注长远利益,将企业经济效益的目标转向经济、社会、环境效益协调发展的目标上来。把握各利益相关方的需求,积极履行社会职责和义务,主动遵守社会道德相关的法律法规,将社会责任思维贯穿在企业发展规划、战略决策、生产经营和管理过程中,同时利用好互联网的技术和手段,促进完善安全生产、产品质量、环境保护等内部控制,才能实现企业可持续健康发展。 (二)构建与"互联网+"时代相匹配的风险评估机制 建立与信息化水平相适应的风险识别和评估机制是在新时代背景下完善企业内部控制、提升治理水平的重要手段之一,尤其是在金融、银行领域。风险评估小组应当充分考虑外部政治经济环境的变化及影响,至少每年进行一次风险评估,重点关注企业的战略规划、管理层的管理要求,识别在哪些节点应该重点控制。应遵循重要性、科学性、可比性、全面性、适用性原则,采用定性指标与定量指标相结合,根据行业特定风险选取合适的险评估指标,重点关注安全风险、操作风险、信用风险、业务风险等一级风险指标,细化二级风险指标。充分利用信息系统构建风险预警机制,根据设定标准对记录的原始数据自动分析,如盈利能力分析、库存管理分析、供应商信用级别评价等,及时对风险进行预判和提示。 (三)实施与"互联网+"时代相适应的控制活动 参照ISO 27000信息安全管理体系和相关法规,建立控制活动,构建多道防线,打造信息安全体系,旨在为系统的正常运行提供良好的基础。首先,加强组织控制,即按照不相容岗位相分离的原则,合理分工,使得参与信息系统生命周期立项、开发、运营等环节的各个部门和岗位之间相互协调、相互制约。其次,加强系统文件控制,即在建立系统的各个阶段形成完整的系统文件和日志记录,并保证其安全性。以预防性控制为主,按层级建立预警系统,保证系统硬件、软件和数据文件的安全,及时觉察网络入侵情况,并尽早修正漏洞避免系统遭到破坏。再次,加强应用控制。为了保证原始数据和信息能准确、完整地在信息系统中传递,加强对数据的输入进行审核、合理性检查、错误更正控制、代码有效性检查、处理总数控制、对输出结果进行分析与检查等控制。 (四)创建与"互联网+"时代相连接的信息与沟通机制 信息化环境下,企业从内部和外部可以收集到大量计算机系统日志、数据,只有将原始数据转换为可作为管理层决策的信息才有价值,建议从三方面着手:一是提升提取、转换有价值数据的能力。需要从多渠道整合信息,分析、识别、提取有价值的信息,提高信息共享水平、网络安全预警和防范水平。二是加强数据治理,控制信息质量。在大数据时代的背景下,形成高质量的信息取决于数据治理,即对数据资产管理行使管理和控制的活动,保证信息质量和安全,避免未经授权访问和修改数据库。三是打破各部门信息不连接造成的"信息孤岛"壁垒。建立标准统一的数据接口,以大数据、云计算等现代信息技术为支撑,打造互联互通、信息共享的系统平台。 (五)加强与"互联网+"时代相关联的内部监督 在新时代背景下,要达到完善内部管理、控制风险的目标,不能仅依赖内部控制制度对员工的行为加以约束,更应该依靠信息技术将内部控制的"五大要素"加以联系、贯通,进一步探索互联网和信息系统进行实时监督的方式和方法,将内部控制活动和监督活动融合在一起,提高内部控制的效率和效果。对管理层而言,要关注高风险领域,将信息安全和网络安全纳入审计重点,组织开展信息系统审计,并加强对提供服务的第三方公司的监督力度。对内部审计和监督机构而言,建立与董事会、管理层顺畅的沟通机制是重要的起点,要及时获取高级管理层关注的风险领域范围,熟悉企业的战略目标,并对内部审计和监督计划做出相应的调整。信息化环境下应实施信息安全全面沟通计划,通过举行会议或培训活动、发送安全提示邮件、制定信息安全手册等方式,提升每位员工的风险防控意识和应对能力。Z 【主要参考文献】 [1] 张贵芹.信息化环境下企业内部控制框架设计[J].财会通讯,2015,(01). [2] 李彦锐.基于信息化的企业内部控制构建研究[D].东北林业大学,2012. [3] 李云龙.信息技术能力对企业内部控制的影响及作用路径研究[D].安徽工业大学,2015. [4] 楊全文.信息化环境下内部控制理论结构——基于信息观视角[D].南京大学,2010. [5] 汪飞.企业信息化管理对企业文化建设的影响与对策[D].对外经济贸易大学,2017. 补充 本刊2018年第16期《风险共担视角下我国农民专业合作社盈余分配研究》一文(作者:李祎)的基金项目为:安徽省教育厅重点课题"风险共担视角下我国农民专业合作社盈余分配研究"(项目编号:SK2018A0459)阶段性研究成果。