基于IT视角的我国财务报告内部控制研究
来源:用户上传
作者:
财务报告内部控制是对产生财务报告的会计信息系统所进行的控制,是企业内部控制按照目标分类的一个子集,是为了实现财务报告可靠性的目标,考虑环境变化对会计信息系统的影响以及会计信息系统本身的变化,识别并控制风险的一系列要素所组成的体系。信息技术(Information Technology,以下简称IT)在企业的运用,改变了传统的手工会计信息系统,同时也改变了系统环境,但目前国内对IT环境下财务报告内部控制进行的单独研究尚少。
一、财务报告内部控制(ICoFR)研究的意义
IT改变了传统的手工会计信息系统,同时也改变了系统环境,本文借鉴当前国内外的相关研究成果,试图构建我国IT环境下的ICoFR框架。本文之所以专注于IT环境下的ICoFR,基于以下六点原因:第一,投资者、银行、信用评级机构、监管者、员工以及其它利益相关者都不同程度地依赖财务报告信息进行重大决策,而人们逐渐认识到,要实现财务报告合理可靠的目标,就必须设计和维持“有效的”ICoFR。第二,财务报告可靠是资本市场稳定健康发展的基石,也是实现内部控制其它目标的基础。虽然战略层面和经营层面内部控制的缺失有可能导致企业经营不善,成为财务报告舞弊的诱因,但这种影响是间接的,报告控制仍是投资者关注的重点,同时也是评估内部控制有效性的重点,即内部控制主要还是对财务报告的可靠性提供合理保证的报告控制。第三,保证资产安全和会计信息真实是内部控制发展的主线,会计控制是企业内部控制的核心。第四,虽然内部控制的发展逐渐超出了会计职业界对财务报告目标的单纯追求和对传统内部会计控制的狭窄关注,但美国的SOX法案以及其它国家出台的相关法规都再一次强调了ICoFR对资本市场的重要性。尽管在现实中,内部控制是嵌入于企业的各种经营管理活动之中,难以专门提炼出与“财务报告”有关的控制,但若不进行界定,则难以落实和解除注册会计师(CPA)的审核责任,尤其是当CPA对管理层内部控制自评报告的审核成为法定要求时。况且,“ICoFR”概念的运用并不妨碍企业界对广义内部控制的认识,但目前我国的内部控制规范在形式上并未对企业ICoFR的建立、评价和审计单独做出具体的规定。第五,相对于其它控制目标来讲,虽然各企业情况不同,但ICoFR的要素却相对固定,在披露ICoFR时可以采取相对固定的格式。第六,IT的应用改变了企业信息不对称的程度同时也带来了新的风险,改变了传统ICoFR的方式。当前国内虽有对ICoFR的研究,但大都关注ICoFR的评价和披露;如何建立IT环境下的ICoFR(ICoFRinan IT environment,以下简称IT-ICoFR),至今研究尚少。
二、IT环境下ICoFR的主要变化
随着IT的发展及其在会计中的应用,IT在职责分工、信息系统安全与审计等方面给ICoFR带来了影响,审计界过去几十年的研究对此给予了应有的探索。然而,随着企业信息化程度的逐步提高,这种影响已超出了原有审计界的关注,IT不仅影响了内部控制活动的设计,而且对控制环境、信息与沟通、评价与监督等带来了广泛影响。
(一)IT对控制环境的影响
控制环境构成了一个单位的控制氛围,是所有控制方式和方法赖以存在的运行基础,IT使控制环境发生以下变化:首先,企业组织结构趋于扁平化。IT处理技术替代了大量业务层和中间层的人工数据处理工作,数据以磁介质的方式存储在数据库中,并能通过网络迅速传输到企业的每个角落。IT减少了信息在传统组织信道中传输的延迟、失真以及噪音干扰,降低了信息获取成本,扩大了信息发布范围,增进了组织各层次人员的信息传递与交流,原先多人分工协作的工作被IT重组后只需一人就可完成,大量的人工控制被信息系统的自动控制所取代,这种变化导致企业组织结构趋于扁平化,内部控制层次明显减少。其次,IT环境对员工地位和素质提出了要求。随着组织的扁平化和业务的流程化与信息化,企业决策层次向下移动,基层员工获得更多的决策机会,同时也对员工素质提出了更高的要求。在新的IT平台下,员工需要熟悉计算机信息系统,持有实时、积极的控制观点,认识业务发生时IT所能提供预防、检查及纠正错误和识别舞弊的机会,充分应用IT与自己的专业知识控制企业的经营活动。企业人力资源管理将结合IT的特点制定员工的雇用、培训、提升和奖励政策。内部控制设计更强调以人为本、人-机结合的原则,通过增强员工识别风险的能力、发现问题与解决问题的能力、与其它人员协同配合的能力,利用IT的控制能力来提高企业内部控制质量。再次,IT改善了信息不对称状况,提高了对“内部人”的监控水平。现代企业由于所有权与经营权分离,真实的会计信息披露对公司治理起重要作用。IT集成了业务信息处理流程和会计信息处理流程,由于数据同源并在信息系统内部连续处理,有效地提高了会计信息的实时性和准确性。而信息使用者经过合适的授权,通过计算机网络就能随时访问企业数据库的相关数据,这在一定程度上改善了信息不对称的状况,增强了信息的透明度以及对企业经营者的监控能力,促使企业内部人提高诚信度与道德观。
(二)内部控制活动的变化
1.IT的运用,扩展了内部控制的对象和范围。IT本身的安全问题在内部控制中至关重要,由于会计处理对IT的高度依赖,对信息系统的控制成为内部控制的重要组成部分。因此,在IT环境下,内部控制的对象既包括业务处理本身,也包括信息系统。从范围来看,由于会计信息系统往往是企业系统的一个组成部分,对会计信息系统的控制也仅是对企业系统控制的一个子集,而且更多的是具体控制,要实现IT对业务的支持,就需要对信息系统进行总体控制和审计。吴水澎(2005)专门论述了内部控制在信息化环境下的重构,并指出信息化环境下的企业内部控制措施,可以从对象、方法和范围三个维度加以分析、设计和实施。从对象维度,内部控制可分为业务处理控制和信息系统控制;从方法维度,内部控制可分为技术控制和制度控制;技术控制又进一步分为资产、人员、数据三个方面;从范围维度,内部控制可分为总体控制和具体控制。这三个维度之间相互有所重叠,方法维度和范围维度的分类主要侧重于信息系统控制。
2.IT的应用提供了手工环境下无法实施或难于实施的控制措施,丰富了控制的类型。ICoFR的对象是生产财务报告的信息加工厂“会计信息系统”,对其中的会计业务流程进行控制是一个重要组成部分。传统手工环境下的控制主要为制度控制,全部由人工完成;IT环境下的控制新增了为保证会计信息系统完整、安全、可靠和效率而采取的信息系统控制,包括为保证会计业务正常运行的一般控制和对具体会计业务的应用控制。传统的控制措施主要包括前馈控制和反馈控制,而在IT环境下,一些手工环境下难于实施的控制措施可以应用在会计业务流程控制中。
3.内部控制措施及其相对重要性发生变化。手工会计信息系统下的内部控制措施,其主要组成包括职责分离、权利和责任的明确授予、高质量员工的征募和培训、授权体系、充分的文档和记录、对资产和记录的物理控制、管理监督、对业绩的独立检查、会计记录和资产的定期比较等。在计算机环境下,这些控制措施仍将存在,但运用IT会在几个方面影响这些内部控制措施的实施,要么继续采纳,要么对其修正以适应IT环境。职责分离是一项关键的内部控制措施,尤其考虑ICoFR时,通常被认为是最难有时也是最耗费成本的一个措施。职责分离的目的是降低员工给企业带来的潜在危害,因此任何一个单独的员工都不能对企业交易的关键组合进行控制,只有通过共谋,才可实施欺诈。在手工系统中,不同的人员负责交易的发起、记录和资产的维护保管。作为一个最基本的控制,职责分离可以检查或防止错误和违规行为,从巴林银行的案例可以看出职责分离的重要性。然而在IT环境下,传统职责分离的概念未必仍旧适用,IT的应用需要企业分离出新的职责。传统内部控制措施重要性的降低存在很多原因。现代管理技术比如授权、全面质量管理、流程再造,对内部控制带来了实际的含义:比如规模缩小化,分权,中间管理层级的减少,权力下放、对多技能工作小组的运用,以及简化流程的倾向等。这些变化导致实施传统内部会计控制的可用资源(比如人员)减少,研究发现,有些控制活动,尤其是传统的会计控制(如交叉检查、监督和职责分离),在内部控制中的重要性在降低,而表现为控制环境(诚信和道德观、责任、人力资源政策等)的控制措施的重要性在上升。
4.内部控制措施嵌入系统之中,内部控制的效果发生变化。会计信息系统的建立不是单纯的信息采集、处理和输出的过程,而是集信息处理、控制、审计于一体的管理平台。信息系统不仅是被控制的对象,而且是企业实施控制的工具,其中典型的表现是嵌入系统的内部控制。会计信息系统是ERP系统的一个组成部分,ERP不仅是一个技术性的信息系统,更是管理理念和思想的体现,内部控制是ERP系统设计实施的基础和指导原则之一。企业实施ERP后,各种业务实现了统一平台上的操作和协调,通过在ERP系统内设置内部控制点,能够实现各项控制的程序化、规范化,使信息流在企业内部自上而下、自下而上、横向之间以及企业与外界进行有效的控制与传递,有效减少了业务部门分割运行时出现的执行偏差,提高了内部控制的效率和效果。对系统各模块业务操作人员进行角色设定、授权操作,设置业务人员的操作权限以及对信息的查询范围,有效禁止了超权限操作的情形,各岗位明确了自身的责任、权利和义务,使职责牵制的功能在软件中实现,可以有效防止舞弊行为的发生。ERP系统将内部控制点设置到软件系统中进行固化,借助于ERP系统加大在线控制的力度,业务处理的随意性被系统禁止,从而最大限度地减少了内部控制的风险。这些嵌入系统中的控制措施可以同时解决人员减少带来的问题,由系统自动执行控制。而且,网络环境下的数据库技术使得各部门之间的数据在传递和交换时,既能实现信息的共享又可以相互制约,信息能够充分及时的传递和交换,从而有效防止了各部门为满足自身需要而随意改变会计信息的企图;同时,会计报表的自动、实时生成,也减少了会计人员在会计信息“出炉”前进行粉饰的时间、机会和动机,从而从总体上提高了会计信息的可靠性,提高了ICoFR的效果。因此IT可降低内部控制成本,提高内部控制效率,将人为控制变为过程控制,并使控制变得灵活可靠,形成手工条件不可设置的控制,增强控制的功能,快速获取和传递信息,及时反馈信息,提高控制效果。
转载注明来源:https://www.xzbu.com/2/view-367413.htm