应里孟+周海燕
[摘 要]在信息系统环境下,内部控制持续监控研究有持续监控主题、可持续监控、经理层尽职尽责和评价人员专业公正四个基本假设前提。持续监控的实施程度受制于经理层对风险认知的局限和可以使用的信息数量,这些形成了持续监控能力的固有约束。
[关键词]信息系统;内部控制;持续监控
[DOI]10.13939/j.cnki.zgsc.2016.12.047
在信息系统环境下,持续监控研究起步伊始,应首先构建一个理论框架,作为后续研究证明和评判的基础。该理论框架包括了持续监控的假设前提和约束条件。
1 持续监控的假设前提
持续监控假设是基于持续监控目标,从信息系统内部控制环境中抽象出来的,其目的是通过假设对持续监控系统的运行环境或运行条件提出要求,以保证系统按规定的目标运行,从而为持续监控理论框架的构建扫除障碍。
1.1 持续监控主体假设
本文界定的持续监控主体是企业的信息系统,信息系统的边界决定了持续监控的边界。在网络化环境下,信息系统可以超越传统企业的物理边界和法律边界,典型的如价值链中的企业联合起来,构建价值链管理信息系统,若干企业依靠信息手段组成动态联盟的虚拟企业,这些企业共用一个信息系统,相应的信息系统内部控制也是共用的。在组织间形成的信息网络中,通常有一个领袖企业,整个信息系统内部控制系统的实施是由其主导的,因此,对信息系统内部控制的持续监控也是由该领袖企业来执行,而其他企业对该信息系统只有使用权,而无控制权。所以,笔者将持续监控的主体定义为企业能够主导的信息系统内部控制。
1.2 可持续监控假设
要保证持续监控能够顺利进行,信息系统需要有一整套健全的IT基础设施,无处不在的信息网络、标准化的数据接口和共用的数据仓库,将组织中的信息孤岛彻底打破,实现组织中不同层级、不同部门,甚至是不同企业之间的信息系统无缝结合,信息在信息系统内部和信息系统之间能够实时流动,组织成员之间的信息沟通顺畅。在面临灾难性问题时,能够迅速的恢复,保持业务的持续性。这些是一种理想的持续监控环境,它保证了持续监控所需信息的可获得性和可用性,持续监控的结果信息的实时传递。
1.3 经理层尽职尽责假设
领导企业信息系统内部控制的运行是企业经理层的责任,这在相关规范中都有明确规定。COSO整合框架要求经理层直接为包括内部控制制度在内的企业的全部行为负责,我国的《企业内部控制基本规范》也要求经理层负责组织领导企业内部控制的日常运行。信息系统内部控制作为一种管理的工具和手段,是经理层尽职尽责履行其受托责任的必要条件,而不应被视为其进行机会主义行为,获取个人私利的障碍。所以,经理层会主动实施持续监控来完善信息系统内部控制,而不是想方设法规避或者阻碍持续监控的实施。
1.4 评价人员专业公正假设
负责持续监控的评价人员的专业性是持续监控发挥作用的决定性因素。在持续监控过程中,相关评价人员需要具备非常全面、系统的知识。第一,评价人员需要对信息技术、整个组织中信息系统的结构及功能有充分的了解;第二,评价人员需要对企业文化、管理风格、治理要求、企业内外部的遵循性需求、内部控制系统有深刻的把握;第三,评价人员需要对组织结构及组织的业务流程进行理解;第四,评价人员必须具备IT审计、IT控制和IT治理方面的知识。只有具备了这些方面的知识,评价人员才能够有针对性的顺利获取相关信息,并执行对这些信息的评价,进而得出评价结果和采取后续行动。评价人员的公正性是持续监控发挥作用的保障性因素。公正性指的是评价人员被期望来执行一个评价,而不会考虑到可能的个人后果,也不会通过信息的操纵来获得个人利益或者自我保护。无疑,内部审计师所具备的专业性和公正性,使之成为评价人员的首要之选。
2 持续监控的约束条件
持续监控的实施程度受制于经理层对风险认知的局限和可以使用的信息数量。这些形成了持续监控能力的固有约束。如图1所示。
图1 所定义的问题和可使用的信息之间的鸿沟
在图1中,X轴代表持续监控的程度,Y轴代表信息成本和信息价值。在O点,持续监控尚未实施,因而信息系统内部控制系统所面临的风险最高。随着持续监控的深入,人们能够定义的问题也越来越多,对风险的认知也日渐深入。不过,由于人们对风险认知始终存在局限性,使得我们不能定义出所有的持续监控问题。而且,对于所定义的问题,我们所能够使用的信息也是存在局限的,两者之间存在着不可弥补的鸿沟,这就产生了信息不足所导致的监控风险。
从成本效益原则出发,持续监控程度并非越高越好,而是应该保持适度性。如果对某个控制点进行监控所带来的风险降低的收益,相比于不进行监控所产生的风险成本,如果前者小于后者,那就是没必要的。信息理论认为,一个信息策略应该着眼于最小化信息需求的数量,同时最大化的授予决策制定权。最佳的决策制定者,就是用最少的信息来作出最佳决策。由于信息的获取需要成本,对信息的使用应该做到“成本有效”,即用最少的信息来实现决策能力的最大化。对信息的使用还要做到“成本高效”,即通过信息所进行的决策能够达到最大效用。这就需要我们在持续监控的程度和信息成本及信息价值之间进行权衡。
由于信息成本和信息价值的限制,所以持续监控并非基于所认识的问题而定。在图2中,随着持续监控程度的增加,所需的信息成本最开始是增加很慢的,这是因为对于一些可以易于和信息系统进行整合的持续监控流程,所需信息能够容易的自动化获取,并且可以借助自动化的分析工具进行分析。但随着持续监控的深入所需成本增加越来越快,这是因为更深一步的持续监控要求获取额外的信息,这些信息的获取可能需要对信息系统进行改造,或者还需要增加新的IT投资,一些信息还可能需要用人工的方式来获取,而这些额外的信息所对应的价值到达b点后却开始下降,这一方面是因为主要的内部控制缺陷在b点之前已经通过持续监控揭示出来,另一方面是由于过多的信息可能会导致信息过载,而且用于这些信息分析的时间越多,信息及时性降低,这些信息对持续监控的效用也随之降低。所以,信息并非越多越好。持续监控的最优点应该是图2中的a点,因为该点的信息成本最低,而信息价值最高。不过,为了实现最优的持续监控程度,使内部控制风险最小化,在预算充足的情况下,可以将持续监控程度移到b点。企业在开发持续监控流程过程中,如果将决策点定在a点,那么这在经济上是最有效的,但不能有效地控制风险,b点的风险最小,但成本比a点要高,所以,持续监控的程度需要在a点和b点之间进行权衡。
从持续监控对行为的影响来看,过度的持续监控会给被监控者的行为带来不利影响。例如,Hunton et al.(2008)发现,持续监控下的管理者会倾向于保守和短视,Campbell et al.(2010)发现,过度的监控不利于员工学习,这些会影响影响劳动生产率和经济效益的提高。
虽然在实践中,企业很难确定持续监控的费用与收益之比,也难以用定量的方式来指明持续监控程度与被监控者行为之间的关系。但这种分析告诉我们,过度的持续监控并不总能带来较高的收益,企业应根据活动的规模特点和复杂程度来确定持续监控的范围和频度,建立有效的持续监控系统。
参考文献:
[1]Hunton J.E.,Libby D.,Libby J.,etc.Continuous Monitoring and The Status Quo Effect[J].International Journal of Accounting Information Systems,2010,11(3):239-252.
[2]Campbell D,Epstein M J,Martinez-Jerez F A.The Learning Effects of Monitoring[J].The Accounting Review,2011,86(6): 1909-1934.