信息化生态环境下企业内部控制框架

李　媛　任明聪

摘要：本文分析了信息化生态环境中的企业运转中面临的特殊风险, 并就如何构建相应的内控框架进行了探讨。本文认为信息化生态环境是知识经济社会企业所共处的生态环境, 这种环境已经形成而且影响会越来越显著, 如何完善信息化生态环境中企业内控机制应是内部控制研究和法规建设在新时期的重要使命。

关键词：信息化生态环境内部控制框架

企业经营管理必须认清运行中的可能风险, 掌握其变化趋势, 才能吹散迷雾更好地控制风险。处于经济转型期的我国企业面临经营风险及生态环境的变化, 内控体系应及时作出相应的调整, 构建适应信息化生态环境的企业内部控制框架。

一、企业内部控制生态环境

内部控制所处的环境是影响内控效果的一个非常重要的因素, 不管是在COSO报告的五要素还是《企业风险管理框架》的八要素中首要的就是内控环境这一要素。构建企业的内部控制体系关注其生态环境非常重要, 只有内控措施与其所处的生态环境相适应才能实现较理想的控制效果。

(一) 生态环境

从哲学上讲, 环境是一个相对于主体而言的客体, 它与其主体相互依存, 其内容随主体的不同而异。若以生物为主体, 环境就是一个以生物为主体的客体, 称之为生态环境。生态环境是对生物生长、发育、繁殖、行为和分布有影响的环境因子的综合。特别地, 若以人类为主体, 生态环境就是对人类生存和发展有影响的自然因子的综合。相应地, 若借以拟人手法, 以企业为主体, 对企业的生存、发展、盈利和增长有影响的环境因子的综合就可以称之为企业生态环境。企业生态环境不但包括诸如市场发达程度、经济体制的稳健性、法律制度保障、文化传统、信用体系、融资环境、技术环境、社会服务体系等自然环境和外部环境, 而且包括企业的价值观、经营理念、经营特征、管理模式、业务流程、考核机制、责任系统等等人造环境和企业内部环境。

(二) 信息化内部控制生态环境

企业内部控制生态环境属于企业生态环境的范畴,依照企业的生产技术、经营特征、管理模式、业务流程与电子信息系统、网络信息技术之间融合程度以及是否数字化等关系要件, 我们把企业内控生态环境分为传统型内部控制生态环境和信息化或商务智能型内部控制生态环境。信息化生态环境主要是实现了信息化管理的一种生态环境, 商务智能型生态环境是信息化生态环境的较高级阶段。信息化改变了企业数据存取、保存、传递的方式和生产经营模式, 提高了业务运转与管理的效率、业务流程的自动化以及信息的价值化。在这样的环境下企业的内部控制重点和模式随之要发生相应的变化。与之相对应的是传统内部控制生态环境, 传统型内控环境主要是指企业经营活动中没有充分运用现代信息系统, 或没有依赖现代信息技术的那样一种生态环境。

二、传统生态环境下企业内部控制的基本理念及其局限性

在传统内控生态环境中, 针对企业面临的种种风险构建风险防范导向的内部控制框架的基本理念是高度依靠员工的素质和诚信, 依赖牵制法则和监督与问责机制。最有效的控制措施就是雇佣诚实可靠高素质的员工。传统内控有效性很大程度上依赖于员工的素质和诚信。传统内控制度的核心是分权与制衡、民主与监督, 其基本假设是两人共同舞弊的概率低于单人舞弊的概率。通过职责与岗位分离、授权批准、程序控制、文件记录、内部与外部监督、严刑峻法的问责制, 而使内控得以有效的贯彻, 如果没有严格的问责制, 内部控制就可能流于形式。赫尔维茨研究发现如果一个为了达到某种目标而设计的机制无法自我实现, 就需要附加一种额外的实施机制——问责制。问责制就是在某项活动中针对相应的权力明确相应的责任, 有权力就应有对等的责任, 并对相应责任履行进行严格科学考核, 及时察觉失责, 依据相应的失责度量对当事人追究和惩罚, 靠“问”的“法规化”来保证“权责匹配”实现的一种机制。传统生态环境下企业的内部控制方法大都是按照内部控制的基本理念和思路选用的, 一般采用组织规划控制、实物控制、检查监督控制等方法。其基本理念以及由此决定的控制方法在信息化生态环境中可能表现为部分不适应或完全不能满足新环境中内控的需要。

三、信息化生态环境下的企业内部控制框架

信息化生态环境中企业内部控制的有效性很大程度上有赖于信息系统的可靠性和有效性。信息化生态环境中企业的内部控制一方面要研究对这种生态环境中的经营管理如何进行实时的甚至是智能的内部控制, 但更主要的或更重要的是对其中的信息系统实施内部控制和构建信息系统内部的内控机制。

1. 企业内部控制目标和标准的确定

内控目标与标准要素中应包括内部控制的目标包括通过内控应实现的目标、内控体系本身的建设目标、相应的内控标准等三个子要素。企业通过内控应实现的目标应该包括战略目标、资产安全目标、经营目标、报告目标和合规目标等, 作为内控的一个要素, 企业内控应关注根据这个总目标如何建立和建立怎样的目标体系, 同时应确定相配套的判断内控活动、措施和目标实现好坏的内控标准, 没有标准就没有控制。内控体系本身的建设目标在传统环境中主要是通过一系列方法形成牵制和制约, 是内控方法观的要求; 在信息化生态环境中企业的内部控制体系建设最关键的目标是在内控系统中着眼于过程使之形成学习型自组织控制机制, 是过程观甚至是风险观的要求, 这一机制的形成是信息化生态环境中内控系统建设最重要的目标, 也是保证内控应实现目标充分实现的重要前提。

2. 内控环境的营造

在信息化生态环境中信息系统是其重要的内控环境, 在传统生态环境中, 信息与沟通是内部控制的重要要素, 而在信息化生态环境中也可以把它作为内控框架的一个要素, 但我个人认为把它作为内控环境要素中的一个重要方面更为合适, 更能体现其重要性和基础性。所以, 信息化生态环境下企业的内控环境应包括企业价值观, 企业文化、理念和使命, 企业道德与诚信, 风险容量与容限, 信息、信息技术、信息系统、沟通机制与沟通系统, 公司治理, 组织机构, 人力资源, 知识与能力, 权力与权力制约等十个子要素。

3. 风险界定和评估

信息化生态环境中企业所面临的风险与传统生态环境中企业所面临的风险区别很大, 信息化生态环境下的内控除了要界定和评估企业内外部的战略、经营、安全、法规风险外, 更重要的是界定和评估由信息系统而引起的新风险。加强信息系统内部及因其导致的风险的界定和评估是影响信息化生态环境中企业内部控制成败的关键。所以, 风险界定和评估这一要素包括事项识别、风险评估、风险应对等三个子要素。

4. 内部控制活动

针对信息化生态环境的特点, 其内部控制活动应该包括以下五个层阶: IT系统的公司治理控制, IT战略决策与目标确定控制, 人员选择、管理组织机构、运营治理、作业与流程控制, 信息系统规划、建设与维修、运行与监管控制, 软件系统内部控制机制的内嵌、系统进出、操作等控制等。它的子要素包括政策, 程序(流程) , 权限、授权与批准, 活动与作业规范, 记录与文档等五个子要素。

作者单位：中央财经大学