IT环境下风险导向型内部控制框架的探讨
[摘要]如今以网络、通讯、信息处理、人工智能和多媒体为核心的信息技术———IT已成为世界经济和科技发展的制高点。IT正在改变着企业的经营环境,冲击着企业的经营管理,给企业的内部控制带来新的挑战,并赋予它新的内涵和任务。IT环境下风险导向型内部控制是要达到有效控制风险,保证信息真实可靠,提高经营效率的目的。
[关键词]信息技术;风险;风险评估;风险预警;风险管理审计
一、IT环境下企业内部控制面临的问题
随着信息技术的发展,特别是网络信息的传递和财务软件的应用,传统的单机会计电算化系统正在向网络会计系统发展,这是会计领域的重大变革,极大的促进了会计工作效率的提高,同时给企业的内部控制带来新的问题和挑战,主要体现在:
(一)网络环境的开放性使企业的固有风险、财务风险加大
在网络时代,企业的信息都要在网络上公布,企业人员需要定期或不定期的进行信息交流,企业的各项数据都存储在处于联网状态的客户机的磁盘中,极易被篡改或恶意破坏,同时磁盘等软硬件也可能由于质量问题或病毒侵扰而发生故障,破坏企业的数据和各种信息,这就使会计数据的安全性受到威胁,安全系数下降,加剧了会计信息的失真。同时竞争对手也可以通过互联网登陆企业的网站,了解企业的信息,使企业数据信息的保密性难以保证。这就增大了企业的固有风险和财务风险。
(二)授权方式的改变,潜伏着更大的经营风险和控制风险
授权批准是传统内部控制的基本手段,通过严格控制相应环节的负责人员的权限,使每一个岗位上的负责人只在本岗位上有权处理数据,能加强各环节的内部牵制,有效的防止作弊。IT使权限分工成为口令形式,口令不像印章那样便于保管,一旦被偷看或窃取,就会给企业带来巨大损失。如果有人窃取口令,非法核销企业的卖出产品数量和应收账款,然后收买销售人员窃取到顾客订单密码开出假订单,就会骗取企业的产品,这就增大了企业的控制风险和经营风险。
(三)审计人员面临的审计风险加大
在IT环境下审计人员对本身具有不安全性的信息资料和数据进行审计,加大了做出错误判断的可能性,使审计的控制风险和检查风险增大。审计风险AR=IR CR DR(IR为固有风险,CR为控制风险,DR为检查风险),IR、CR、DR都增大了,相应的审计风险也就增大了,这对审计行业来讲是一个严峻的挑战。
二、IT环境下对风险导向型内部控制的理解
企业内部控制自产生以来经历了内部牵制、内部控制制度、内部控制结构和内部控制整体框架四个阶段。内部控制是由企业董事会、经理阶层和其他员工实施的,为营运的效率、效果,财务报告的可靠性,相关法令的遵循性等目标的达成而提供合理保证的过程。其构成要素有:控制环境、风险评估、控制活动、信息与沟通、监督。可以说这五个要素都是非常重要的,但在IT环境下各种不确定性因素急剧加大,使企业的风险更增强,这就突出了风险评估要素的重要性,如果企业对经营项目本身的风险评估不够恰当,错误决策,就会功亏一篑。风险导向型内部控制是伴随着IT的发展而发展起来的,是指在IT环境下企业的经营决策以风险评估为基础,综合分析企业经济活动的各因素的一种内部控制方式。风险导向型内部控制在风险较大的信息技术环境下既是出资者约束经理人的工具,也是经理人锁定职业风险的“防火墙”。同时,从契约经济学的角度去理解,企业是一系列有紧密联系的契约的组合,契约在风险性较大的IT环境中履行时,就需要在企业内部存在一个以风险评估为基础的控制机制,来弥补和纠正契约本身的不完备性,保证企业的正常运作和发展,于是风险导向型内部控制应运而生。
风险导向型内部控制的本质特征是以风险的评估为基础。在IT环境下企业面临的风险主要是信息被窃取、篡改后会使企业的财务风险、经营风险、控制风险和其他固有风险增大,以至于会使审计人员的审计风险也增大。因此,我们应该看到风险的危害确实是现实存在的,这就要求企业对所经营的项目进行风险的评价,评估出项目风险的种类、风险的级别,寻找风险产生的原因,并采取相应的风险防范或控制措施。高风险项目总是让人望而生畏,企业要权衡自己的实力和项目的风险程度,再决定是否运作。巨人集团如果建立起科学的风险评估机制,就会合理的、恰当的评估出生物工程的风险性水平,就不会倾巨人所有资金于生物工程而惨遭失败。当然也不能惧怕风险,只要能正确、合理的评价出风险,并有效的控制风险,管理当局就会运筹帷幄,既不去拼死冒险,也不要失去机会。
三、IT环境下风险导向型内部控制框架的构建设想
IT环境下风险导向型内部控制所要达到的目标是有效的控制企业的各种风险,保证财务报告的真实可靠,使企业合法经营,提高企业经营的效率、效果。
(一)完善公司治理结构,加强网络管理
IT环境下企业的内部控制应该从公司治理结构入手,整合组织结构、业务流程、资金运营和会计工作与审计体系。公司治理是股东、董事会、监事会、经理层之间形成的权责分配、激励与约束和权利制衡的关系。科学的公司治理结构包括民主、透明的决策程序和管理议事规则,高效、严谨的业务执行系统以及健全、有效的内部监督和反馈系统。实行公司治理的关键是实施相互制衡的共同治理,主要治理人有股东、董事会、监事会、经理和银行。各方治理人都应该在自己的职责、权限范围内严格执行公司的治理规定,不能容许个别治理人的越权治理,也不能容许个别治理人的缺位治理,从而进一步完善公司治理结构,为企业实施内部控制打下良好的基础。
1.严格网络系统的管理制度,加强安全控制。比如,明确操作权限,严格控制对会计数据的接触,定期对系统进行安全检查,提高系统性能,使系统在被破坏时,能够紧急响应,强制备份,快速重构和快速恢复。
2.实行网上公证,避免信息被修改或伪造。利用互联网实现原始交易凭证三方监控,如每家企业都在互联网上认证机构领取数字签名和私有密码,当交易发生时,交易双方将认可的单据或有关证明传到认证机构,由认证机构确认,进行数字签名并予以加密,然后转发给双方,这样就完成了一项双方都认可的且由互联网认证机构公证的交易。
这种情况下交易中的任何一方因为无法获得另一方的数字签名和密码,很难篡改或伪造交易凭证。
3.建立良好的信息沟通系统,提高控制效果。风险导向型内部控制应渗透到企业的各个业务过程、各个经营环节,覆盖企业所有的部门和岗位,不留任何“盲区”、“盲点”和“盲人”,使所有在岗人员充分利用网络进行及时、全面的横向和纵向信息沟通和交流,同时把竞争对手的相关信息提交分析决策部门,以便管理当局做出正确的决策。
4.对企业会计人员加强职业道德教育和能力培养,增强职业判断能力,使他们能够不断提高对IT环境下风险的识别、判断和评价能力。
(二)建立风险预警、评估和控制机制,实行风险管理
所谓风险管理是指对风险的识别、判断、评估和及时处理。要实行风险管理就要求企业内部存在风险的预警、评估和控制机制。
1.建立风险预警体系,完善风险预警系统
风险预警是通过对一系列指标的分析,检测是否有不正常反映并发出警戒信号的过程。风险预警系统应包括预警分析的组织机制、会计信息系统和财务信息收集、传递机制和风险分析机制,风险预警系统能够利用收集到的各种信息,运用预警分析方法对企业即将或风险做出预警分析。
2.建立风险评估机制,正确评价经济活动的风险水平
健全的风险评估机制应包括风险评估标准、风险评估规范、风险评估方法。
风险评估标准是企业自己设置的风险指标值,在设定时关键是确定好风险高低的分界点和分值范围。比如应收账款反映用户占用企业资金的情况,占用时间越长,收回的可能性越小,风险越大。
风险评估规范是企业自己制定的用来约束和评价风险评估人员的规章制度。
风险评估方法从总体上讲可以分为定性分析法和定量分析法。定性分析法有标准化调查法、“四阶段症状分析法”、“三个月资金周转表法”、流程图分析法和管理评分法等方法;定量分析法有单变量分析法和多变量分析法。
3.建立内部风险咨询管理机构,控制企业风险
企业可以在内部结构中成立一个风险咨询机构,专门负责企业内部的风险咨询业务,针对不同情况对风险采取不同的控制手段。可采取的控制手段有:风险分散制度,即通过风险的分散措施,如多方位、多元化经营来分散市场竞争的风险;风险转嫁制度,即企业可以通过合法的途径和手段把风险转嫁给其他单位承担,如签订远期合同,实行承包经营,购买保险等将风险转嫁出去;分类控制制度,根据风险产生的不同原因和类型,分门别类加以控制。
4.风险评估信息的披露
在IT环境下,由评估人员出据的评估报告在企业对外披露的信息中的地位不断加强,一方面由于代理授权的存在,为了加强股东对经营者的监督,弱化信息不对称造成的影响,风险评估信息应该披露;另一方面风险信息是投资者迫切需要的信息,他们关心企业的运营成果、风险及风险评估信息,以期改善企业的抗风险能力,提高投资的效率和效果,因此风险评估信息需要披露。企业在披露风险评估信息时,应该以外部评估机构的评估结果为主,以内部评估信息为补充信息,对存在风险的项目、风险的级别以及企业为防范和控制风险采取了哪些措施等重要信息进行披露。
(三)实行风险管理审计,进行内部控制的监督和再控制
风险管理审计是内部审计发展的必然趋势。风险管理审计是立足于企业内部的一项特殊的咨询和服务项目,它针对风险产生的原因和环节,评价和改进企业的风险管理,对企业的内部控制情况进行审查和再控制,提高企业经营的效率、效果,增加企业价值。实施风险管理审计,评价企业内部控制的模式有很多种,但在IT环境下我们可以将内部控制自评(CSA)和网络信息动态评估结合起来运用。
1.CSA方法要求内部审计人员和被审计部门管理人员组成一个小组,使当局管理人员在审计人员的帮助下,对本部门内部控制的恰当性和有效性进行评估,然后依据评估出据审计报告。CSA的主要优点是提供了一个评估并控制风险的工具,能使内部审计人员和管理人员共同控制风险,同时有助于企业各部门的合作和企业的整体发展;管理人员可以针对CSA反映出的管理控制中存在的问题,及时加以改进,还可以向企业评审机构展示他们对现存内部控制的态度,有利于风险导向型内部控制的完善。
2.网络动态评估法是指内部审计人员收集充分的信息和资料,然后创建数据库,利用风险评估指标再次测评企业面临的风险及风险产生的环节,从而评价内部控制的执行情况,同时提供风险防范、管理、控制的对策。内部审计人员通过访问数据库根据风险评估标准,就可以了解哪里存在风险,风险的水平,并可按重要性或风险高低排序, 了解总体情况,对企业的内部控制的执行情况进行监督。网络动态评估法的主要优点是只要第一次做好数据库,以后评估时就可以通过更新变更的资料更新数据库,然后直接测评,当然也要根据实际情况对风险评估标准作相应的调整。
3.风险导向型内部控制进行的风险管理审计应该将内部控制自评和网络动态评估法有机结合起来,在网络动态评估法的基础上加强内部控制自评,即在充分利用信息系统的基础上认真执行内部控制自评,来评价企业的内部控制、评估企业的风险。通过两者的优势互补,对内部控制进行综合评价,进一步完善企业的风险导向型内部控制,保证和促进新世纪的企业在IT环境下持续健康发展。
[参考文献]
[1]刘明辉,张宜霞。内部控制的经济学思考[J].会计研究,2002,(8)
[2]杨有红。内部控制框架———构建与运行[M].杭州:浙江人民出版社,2001-11
[3]阎达五,杨有红。内部控制框架的构建[J].会计研究,2001,(2)
[4]阎肃。IT环境下的企业内部控制制度变革[J].特区会计,2000,(8)
