前言:中文期刊网精心挑选了内部控制环境研究范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
内部控制环境研究范文1
一、国外研究文献回顾
20世纪80年代,西方学者开始认识到内部控制必须考虑控制环境问题,1988年美国AICPA《审计准则公告第55号》指出控制环境与控制政策、会计系统并称为内部控制的“三要素”,自此控制环境理论开始进入广大学者研究的视野,并逐渐为人们所熟知。
最早对控制环境深入研究的是美国COSO 委员会,其在1992年提出的报告《内部控制――整体框架》指出内部控制环境是内部控制的五个要素之一,强调了控制环境是其他内部控制要素的基础。2004年COSO委员会的新《企业风险管理框架》,将“控制环境”定义为内部环境,认为内部环境是其他所有风险管理要素的基础,影响到企业控制活动的设计和执行。2006年COSO颁布《财务报告内部控制:小型公众公司指南》规定内部控制环境的七条原则:诚信与道德观、董事会、管理层经营风格、组织结构、权利与责任、人力资源、财务报告。2011年COSO委员会新颁布的《内部控制――整合框架》征求意见稿,其中构建原则导向 (principles-based)的框架中体现出对控制环境前所未有的重视。
国外学者对于内部控制环境的研究主要关注于,探究影响内部控制效率效果的控制环境因素,比较典型的有Doyle et al.(2007)通过对内部控制存在重大缺陷的799家公司进行分析,发现控制环境与缺陷存在紧密联系。Sun et al.(2012)以自愿披露内部控制审计报告的中国公司为样本进行研究,认为控制环境中内部董事与外部董事之间的信息不对称程度和独立董事的比例,会影响到公司是否自愿披露内部控制审计报告。Klamm et al.(2012)指出控制环境中的特定要素或内容会促使企业未来发生重大缺陷。
二、国内研究文献回顾
(一)国内文献统计分析
国内可查的文献开始于1990年,丁平通过探讨控制环境对审计业务的影响,评价了内部控制环境概念对于内部控制理论的贡献,由此拉开了我国理论界关于内部控制环境的研究帷幕。
在中国学术期刊网络出版总库中输入“内部控制环境”,精确查找可检索到相关记录1 728条,经过甄别,与内部控制环境直接相关的文献有600篇左右,按照研究时间整理(见下页图1),可发现我国学者对于内部控制环境的研究相对于国外稍晚些,从2000年之后才开始呈现快速递增的趋势。对内部控制环境的研究,不同的学者所关注的内容有所不同,主要集中于内部控制环境基础理论构建、控制环境建设、案例分析、控制环境评价这四个方面(见下页图2)。还有学者对内部控制环境的研究针对于不同的实体对象,经统计位于研究文献数最多的前五位分别是:上市公司、民营企业、商业银行、国有企业和高校(见下页图3)。
纵观国内外相关研究,从内部控制环境开始受到重视,到控制环境理论的提出、不断发展和完善,这是人们对控制环境认识不断深化的过程,也是控制环境在内部控制系统中地位越来越重要的表现,因此总结分析内部控制环境理论,积极构建相关理论支撑,对建立健全企业内部控制、降低控制风险意义重大。
(二)国内研究现状
国内学者的研究从2000年后开始逐渐增多,尤其是近五年研究成果层出不穷。本文从控制环境理论构建、控制环境建设、案例分析研究、控制环境评价和不同实体对象内部控制环境研究五个角度,对国内控制环境研究进行系统的回顾与总结。
1.内部控制环境理论构建研究。在内部控制环境基础理论方面,一些学者从内部控制环境本源出发,对内部控制环境的内容和构成要素进行剖析。王世定(2001)提出控制环境应包括管理理念和经营风格、组织结构与权责分配、董事会、管理方法和人力资源等。有学者从战略管理环境分析角度展开研究,刘治宇(2010)重构我国特色的内部控制环境因素框架。杨瑞平(2010)通过探讨控制环境因素的划分原则,提出内部控制环境应包括:发展战略、组织结构与权责分配、治理层责任、管理理念和风格、员工道德价值观与胜任能力。杨天泓(2013)指出在自组织机制的作用下,内部控制环境能在自身的基础功能之上形成衍生功能,即通过系统内的能量传递,成为内部控制优化的原动力。夏宁、孟焰(2013)从纵观演化角度、中观结构角度、微观要素角度,将内部控制环境划分为三个层次,并构建了理论框架进行内在检视。
我国学者还从改善会计信息质量的角度出发,得出内部控制环境是影响会计信息质量的重要因素。除此之外,还有学者从公司治理、人力资源、企业文化、控制环境规范等角度,研究分析内部控制环境。
2.内部控制环境建设研究。对于内部控制环境的建设,学者们从不同的角度出发,各抒己见。胡继荣、杜景来(2002)针对我国现状,提出应兼顾内外,注重人的因素来加强内部控制环境建设。刘静、李竹梅(2005)通过分析内部控制环境现状、成因,提出建设现代企业制度、激励约束机制,处理好内部控制点与面关系,加大处罚和依据网络技术特点等改善内部控制环境建设的五条措施。李小云(2009)、梁彩霞(2014)都从现代企业制度、组织结构与权责分配、内部审计和企业文化等方面,提出了优化内部控制环境的相应措施。沈烈等(2014)提出了内部控制的最佳“土壤”应为和谐内部控制环境,而和谐内部控制环境的核心应是以人为本的重要观点与结论。
3.内部控制环境案例分析研究。案例研究是用来揭示现象背后所隐藏的本质,在内部控制环境研究中,不少学者希望借助这种方法更加直观、深入地说明控制环境问题。如吴水澎等 ( 2000) 通过对“亚西亚”案例的分析,指出应从制度建设、审计监督等方面完善内部控制环境。丁瑞玲、王允平(2005)从巨人集团和海尔集团的经验探讨了内部控制环境所起的作用。姚晓蓉(2010)以中国联通,郑庆华、张迪(2012)以双汇瘦肉精事件,分析讨论了企业内部控制环境建设的有效途径。
4.内部控制环境评价研究。从图2可以看出,我国学者对内部控制环境评价的研究较少,有限的研究集中在评价指标体系的设计和评价方法的选择上。王志坚、谷粟(2008)从公司治理架构、公司文化、人力资源政策三个角度设计出了公司内部控制环境评价指标体系。任吉(2010)以同样的三个角度设计出了指标体系,并采用层次分析法进行评价举例。
在评价方法的选择上,刘开瑞、马锦(2010)认为可以采用模糊综合评价法来进行内控环境评价,敖世友(2010)建立了内部控制环境评价的管理熵模型,田金玉、赵鑫(2010)建立多元线性回归模型评价企业内部控制环境建设。
5.不同实体对象内部控制环境研究。从文献统计分析可以看出,关于上市公司内部控制环境的研究居于多数,如郑海英(2004)指出控股股东与公共股东权利不均对内部控制环境带来影响,并针对上市公司内部控制环境提出对策建议。还有许多学者如刘思含(2010)、贾讲用等(2012),均以上市公司为研究对象,针对上市公司内部控制环境缺失提出了相应对策。
关于民营企业内部控制环境研究,黄杨梅等(2008)通过案例分析,认为完善内部控制环境对民营企业的发展意义重大。于而立(2009)以浙江省近500家民营企业为样本,调查内部控制环境状况,并得出要加强“软”环境建设的结论。
还有一些学者聚焦于商业银行,梁晓娟(2005)指出商业银行通过调整所有权结构、优化制度建设、提高人力资源管理水平和培养内控文化,可以改善内控环境。欧阳昌永(2007)结合国有商业银行分支机构特点,对内部控制环境要素进行分析,并提出了优化措施。刘雪峰(2013)指出影响商业银行内部控制环境的因素有:管理制度、组织结构、领导层态度、企业文化和人力资源管理。
关于国有企业内部控制环境的研究,肖尧春(2007)对50家国有企业内部控制环境的进行调查,赵璐(2014)对河南省大中型国有企业内部控制环境进行调查,分析了内部控制环境的问题成因及提出完善对策。
王雪峰(2008)认为高校内部控制环境包括法人治理结构、文化和人三个方面因素,并对现状和成因进行分析,提出改进建议。阚淑媛、杨红艳(2012)指出高校内部控制环境文化建设滞后、组织结构不健全、激励约束机制和审计独立性缺乏问题,并提出优化建议。
三、启示与展望
我国学者对内部控制环境理论的研究,主要从公司治理结构、组织结构、企业文化和人力资源等控制环境组成要素出发来分析控制环境,或直接评价控制环境对于企业经营诸如公司治理、会计信息质量、成本费用等所造成的影响,以此来构建相关的控制环境理论。需要注意的是,关于内部控制环境组成要素理论界和实务界有着不同的看法,如何合理划分控制环境要素,对于提高内部控制有效性显得尤为重要。
分析企业内部控制环境的缺陷和优化对策,是国内外相关研究的主流趋势,学者们通过分析研究内部控制环境缺陷,提出相对应的优化措施。优化控制环境建设的对策建议集中于公司治理、企业文化建设、内外部监督约束等方面。如何将这些优化内控环境建设的对策建议结合不同性质企业的实际情况,或提出更具体、有针对性的措施,应该成为下一步应用性研究的方向。
内部控制环境案例研究,通过分析不同企业控制环境所引起的内部控制成功或失败的事实,能够起到反思现在、指导未来的作用。纵观相关的研究,案例分析研究所占的比重还非常小,下一步可考虑扩大案例研究比重,扩展案例研究的范围,如引用国外内部控制环境相关案例,为我国内部控制环境应用研究提出思路和指导。
内部控制环境的优劣,能否发挥应有的作用,需要进行相应的评价。从研究现状来看,我国学者已有评价指标设计、评价模型建立等研究,但是研究数量还非常少,研究也不够深入。对内部控制环境评价进行深入研究,形成公认的、综合性的评价指标体系,规范评价方法使其更加易于应用,对于建立内部控制环境科学的评价体系意义重大。J
参考文献:
[1]杨有红.论内部控制环境的主导与环境优化――基于内部控制系统构建与持续化视角[J].会计研究,2013,(5).
[2]Ye Sun,Yang Yi,and Bin Lin.Board Independence,Internal Information Enviroment and Voluntary Disclosure of Auditors’Reports on Internal Controls[J].China Journal of Accounting Research,2012,(5).
[3]Bonnie K.Klamm,Kevin W. Kobelsky,and Marcia Weidenmier Watson.Determinants of the Persistence of Internal Control Weaknesses[J].Accounting Horizons,2012,(2).
[4]杨瑞平.内部控制环境构成因素研究[J].商业研究,2010,(12).
[5]杨天泓.内部控制环境自组织形成基础研究[J].财经问题研究,2013,(11).
[6]夏宁,孟焰.内部控制环境的“三分法”:理论框架及内在检视[J].中央财经大学学报,2013,(4).
[7]沈烈,孙德芝,康均.论人本和谐的企业内部控制环境构建[J].审计研究,2014,(6).
[8]任吉.企业内部控制环境的指标体系及评价模型的研究[J].技术经济与管理研究,2010,(S1).
[9]刘开瑞,马锦.企业内部控制环境评价研究――从利益相关者角度构建[J].西北农林科技大学学报,2010,(2).
[10]敖世友.基于管理熵的企业内部控制环境系统定量评价模型[J].西南民族大学学报(人文社科版), 2010,(5).
[11]田金玉,赵鑫.基于多元线性回归法的内部控制环境评价研究[J].财会通讯,2010,(8).
[12]刘雪峰.城市商业银行内部控制环境问题及对策浅析[J].山东社会科学,2013,(S2).
[13]赵璐.河南省国有企业内部控制环境的现状及对策研究[J].商业会计,2014,(9).
[14]阚淑媛,杨红艳.高校内部控制环境优化浅析[J].财会通讯,2012,(2).
作者简介:
内部控制环境研究范文2
【关键词】 ERP; 内部控制; 企业管理; 博弈分析
一、引言
早在20世纪80年代中期,美国为了控制和防止虚假财务报告了《COSO内部控制框架》。随着改革开放的深入及市场经济的高速发展,我国经济社会已经迈入了一个新的时代。2001年我国加入世界贸易组织,全球化的经济参与与竞争成了当前我国企业面对的外部环境的重要特征。另一方面,随着信息技术的不断发展,最新的网络信息技术不断地应用于企业的日常经营与管理当中,以提高企业的经营与管理效率,ERP系统的使用就是信息技术在企业日常经营管理中得到应用的一个实例。在当前新的经济和技术环境下,如何借鉴美国等发达国家的经验,更好地促使企业合法合规运行成为了一个比较新的研究课题。
二、ERP环境下我国企业内部控制现状
ERP系统的投入与使用无疑对企业经营管理效率的提高产生了巨大的正面推动作用。同时,ERP我国企业的内部控制也产生了一定的影响。
(一)ERP从技术的角度促进了企业内部控制质量的提高
其主要表现为以下三个方面:
1.ERP对企业会计信息质量的影响。ERP系统是一套面对用户的数据集成系统,能够对企业内部的业务信息和财务信息进行系统的集成,但与传统相比,ERP具有向上和向下的钻取功能,因此,在ERP系统下,企业信息的记录和集成更加全面,从而显著地提升了企业会计信息的质量。ERP对于企业会计信息的影响不仅有量的改善,更有质的提高。ERP系统的管理方式属于集成管理,能够对企业所有的信息进行宏观掌控,企业的会计部门可以在ERP系统中获得所需的数据,及时进行相关事项的确认和处理,提高会计信息的及时性和有效性。
2.ERP对企业会计处理的影响。ERP的使用,对企业会计处理产生了以下影响:(1)进一步强化了会计电算化和自动化的功能。在ERP系统中,除与款项收、付相关的业务凭证外,企业其他相关会计凭证不由企业会计人员填制,系统会进行事前的设置,相关的业务部门在完成业务活动之后,根据ERP系统设置的要求,相关的业务人员自行填制与之相关的业务凭证后输入会计信息系统,企业会计人员只需在会计信息系统内对凭证上的信息进行审核,如凭证信息无错误,则系统会自动将凭证生成。(2)ERP强化了会计系统的过程控制。ERP环境下,企业内部信息沟通呈现出及时、双向的特点,各部门的业务信息均为实时采集、及时生成。会计信息系统在控制业务经济性、有效性的过程中发挥了很大的作用。(3)推动建立企业财务决策支持系统,提高企业财务决策能力。ERP具有面向顾客、用户、供应商的特点,这种向上向下的信息钻取功能保证了企业获得关于消费者、竞争对手、供应商、政府等利益相关者的大量信息,通过对这些信息的分析,可以进行有效的事前预测,将当前所有财务和业务信息进行整合,建立企业财务决策支持系统,从而提高企业财务决策能力。
3.ERP对企业会计信息输出的影响。ERP系统信息具有集成的特点,其最终信息用户也是多样化的,因此,在ERP环境下,企业会计信息输出具有形式多样化、内容多样化的特征,以使企业的会计信息能够满足不同用户的需求。
(二)我国内控制度不健全
尽管ERP在一定程度上提升了企业会计控制的有效性和及时性,能够积极推动企业内部控制的实施,但是,ERP不是万能的,在ERP环境下,企业的内部控制仍然存在着一些问题,比如,ERP业务复杂运营和维护成本高,规模较小的企业不太适合采用该技术等。当前我国企业内部控制制度仍然不太健全,从根本上分析,主要源于以下原因:1.企业内部控制执行力不够。尽管形式上几乎每个企业均有一套自身的内部控制制度,但完全按照内控制度实施企业内部控制的很少,大多数企业的内部控制均流于形式,无法将内部控制的关键环节落到实处,内部控制的绩效缺乏具体的量化指标,内部控制的反馈也无法及时获取,各部门之间、各岗位之间也缺乏有效的监督。2.企业内部控制制度设计不科学。企业内部执行力不够是内控制度不完善的外部原因,企业内部控制制度设计不科学则是内部原因,主要表现为三点:(1)内控制度与企业组织结构、组织资源等实际情况相脱节,这种脱节的情况导致内部控制的展开缺乏必要的组织支撑和资源支持,这势必影响内控制度的实行效果;(2)关键控制点的把握存在问题。企业内控制度建立的初衷是使企业的日常经营管理业务得到过程控制,保障企业的正常、高效运行,而事实上,当前企业的内控制度还是仅仅把焦点集中在事后控制上,这种控制点的把握也影响了企业内控的有效实施;(3)企业内部控制的控制面存在问题。完善的内控制度要求的是对企业的日常经营管理活动进行全面的控制,而当前企业的内部控制并非如此,仅仅是对重要业务流程进行的一种控制。3.企业管理层对于内部控制的认识程度不够。由于内控制度的建立需要投入一定的资源和成本,一套完善的内控制度从实施到出现明显的效果需要很长的一段时间,同时内控制度对于企业经营管理活动所起的推动作用无法直接从企业的账面价值得到反映,因而,企业管理层对于企业的内控制度的建立与完善不够重视,这从很大程度上限制了企业内控制度作用的发挥。4.企业的内部控制无法与时俱进,适应时代的发展。伴随着当前经济社会的发展出现了一系列的新事物,诸如ERP等信息技术手段开始出现在企业的经营管理过程之中,然而,企业内控进程无法与外部环境的发展相适应,内部控制从业人员素质不全面,新的技术手段在运用过程中出现实践操作问题、内部控制手段单一等问题、均限制了企业内部控制作用的发挥。
三、企业内部控制的博弈模型分析
为了更好地对企业内部控制进行分析,研究企业内部控制失效的原因,本文基于博弈模型,对企业内部控制过程中的参与者进行分析。
若企业在运行过程中内部控制失效,发生违法违规的情形,必然在企业内部存在舞弊行为。在企业内部舞弊行为中,具体的参与者包括:检查者、员工。
在企业运行过程中,在检查者与员工的博弈中,检查者的策略有两个:检查和不检查。而员工的策略有两种:舞弊和不舞弊。检查者和员工构成的支付矩阵如表1所示,该博弈实质上是不完全信息静态博弈。
其中,U>0;U表示员工通过舞弊行为所获的收益;F为员工舞弊被发现遭受处罚的损失;C表示检查者检查员工舞弊行为的成本。
根据该矩阵,分为以下四种情况。
1.(员工舞弊,检查者不检查),其结果为员工赚取不当所得,检查者也就是企业承担了额外损失,即企业为员工的舞弊行为买单。
2.(员工舞弊,检查者检查),其结果为员工除了损失潜在的不当所得,还要因舞弊行为遭受处罚,企业得到了其应有的利益但同时支付了一定的检查成本。
3.(员工不舞弊,检查者不检查),其结果为企业最大程度获益。
4.(员工不舞弊,检查者检查),其结果为企业支付一定的检查成本。
企业检查者选择检查的期望收益=P(U+F-C)+(U-C)(1-P)=PF+U-C;企业检查者选择不检查的期望收益=-UP+U(1-P)=-2UP+U;求PF+U-C=-2UP
+R的解,得P=C/(F+2U)。
另外,员工选择舞弊时的期望收益=-(U+F)Q+U(1-Q)=-2UQ-FQ+U;员工选择诚实不舞弊时的期望收益=-UQ+(-U)(1-Q)=-U;求-2UQ-FQ+U=-U的解,得Q=2U/(2U+F)。
因此,从检查者和员工之间的博弈过程来看,企业内部舞弊行为产生的原因主要包括以下两点。
第一,检查者检查成本较高。具体的检查成本包括三个方面:1.时间成本。如果对于检查者来说,检查员工是否舞弊的时间可以产出更大的价值,那么检查者就倾向于不检查。2.空间成本。检查者和员工工作场所在空间上相隔很远,检查者检查员工是否违约需要跨越很大的地理阻碍,由于地理空间的原因客观上减弱了检查者对员工的控制,那么检查者也倾向于不检查。3.其他成本。这些具体的检查成本共同作用,造成了检查者检查成本较高,因而增加了员工舞弊投机的发生概率。
第二,员工舞弊的处罚值较低。如果员工舞弊时,被检查到后所需承担的处罚成本较低,那么就会增加员工舞弊的概率。
四、ERP环境下的企业内部控制模式的优化策略
鉴于内部控制的重要性,必须结合当前的ERP环境解决企业内部控制过程中面对的问题,对企业内部控制进行优化。
(一)重新设计、合理优化企业内部控制结构
根据上文博弈模型的分析,企业内部控制失效,产生舞弊的原因主要包括检查者检查成本过高、员工舞弊行为处罚值较低两个原因。因此,企业必须根据这两大原因结合企业实际情况对企业内部控制制度和结构进行重新设计和优化,比如,以明文规定的形式适当加大对员工舞弊行为的处罚力度,对员工工作进行适当频度的抽查等,通过这些可行的举措,优化企业当前的内控模式,提升企业内部控制的有效性,切实发挥企业内部控制的防范作用。
(二)做好基础管理工作,为企业会计信息系统工作顺利开展提供保证
将基础的管理工作落到实处是企业内部控制的重要前提条件,基础管理工作主要包括企业组织结构的有效划分、相关岗位人员的分配、企业内部资源的配备、建立有效的激励奖惩制度等。基础管理工作的有效开展为会计信息系统提供了准确可靠的信息,可以大大减轻会计信息系统的压力,提高企业会计系统的效率,同时,基础管理工作的有序按规进行有效防止了相关内控问题的发生,从根源上解决了问题。
(三)提升企业内部从业人员素质
员工是企业的重要组成部分,是企业核心竞争力的具体承载者,员工素质的高低决定着企业内控行为是否能够有效的进行。相关从业人员的素质主要包括思想道德素质以及专业素质。从业人员较高的思想素质可以大大减少企业生产经营过程中舞弊行为的发生,提升企业内部从业人员的思想道德素质可以从两个方面展开,第一就是加强员工的宣传教育特别是德育教育,促使其遵守道德准则;另外在企业招聘员工时除了业务素养外要对员工进行多方面特别是道德情操方面的考察,确保录用员工的道德水准。从业人员的专业素质是其素质的重要组成部分,在ERP环境下,企业的内部控制的实施要求从业人员不但要具有一定的业务基础知识,还要掌握一定的计算机技术。提升企业内部人员的专业素质可以通过组织专门的培训等强化手段。
五、结论
完善的企业内部控制制度以及强有力的内部控制执行措施对于企业防范潜在风险、合法合规稳定运行、高效地取得经济效益发挥着举足轻重的作用。ERP系统的投入和使用对于提高企业经营管理效率也有着显著的促进作用。如何在新形势下将ERP环境与企业的内部控制做一个结合将是今后企业管理工作的重点。
企业应当认识到,一套完善的内部控制制度的重要性,排除万难,结合企业自身情况选择最佳的内部控制模式。
【参考文献】
[1] 杜国栋.试谈ERP系统条件下企业内部控制问题[J]. 会计之友,2012(6).
[2] 付丽.网络会计内部控制存在的问题及防范措施[J]. 商业会计,2008(7).
[3] 周辉,贾亚男.会计电算化与网络化工作在实践中的思考[J]. 会计之友,2007(1).
[4] 张小红.浅淡会计电算化安全问题[J]. 中国乡镇企业会计,2007(11).
内部控制环境研究范文3
【关键词】企业;COSO内部控制整合框架;内部控制环境
提到内部控制,就会让我们想起震惊世界的安然、世通等重大财务欺诈事件,如此庞大的企业在转瞬间面临破产,让我们不得不对企业内部所面临的问题而深思,同时内部控制作为防止舞弊、欺诈和管理不当等行为的重要措施而得到广泛的认可。内部控制在西方国家已有较长的发展历史,但在我国还没有形成较完善的制度体系,随着股份制公司制度逐渐成为现代企业的主要组织形式,推动了所有权与经营权的分离,故所有权拥有者与经营权拥有者逐步存在了利益的不同一,因此为了使公司的运营得到有效运转,完善的内部控制就显得尤为重要
一、COSO内部控制整合框架概述
内部控制是一个受到董事会、经理层和其他人员影响的过程,该过程的设计是为了提供实现以下三类目标的合理保证,即经营的效果和效率、财务报告的可靠性、法律法规的合规性。COSO报告规定了内部控制整合框架主要由五项要素构成,即控制环境、风险评估、控制活动、信息与沟通和监控。控制环境提供了员工实施控制活动和履行控制责任的氛围,是其它控制要素的基础。一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略。监控活动是企业根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内。信息与沟通是企业及时、准确的收集、传递与内部控制相关的信息,确保信息在企业内部、企业与外部之间进行有效沟通。内部监督是企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进。
下面我们将利用一个简单的模型来描述内控系统的运行体制。如图:各要素之间是一个相互作用的过程,对风险的评估不仅影响控制行为,还可能强调需要重新考虑信息和沟通,或重新考虑企业监控行为。因此,内部控制并非一项要素影响下一项要素的顺序过程。它是一个几乎任一要素都可以影响其他要素的多方向运作的过程。
但是,在内部控制五要素中内部控制环境好坏直接关系到内部控制的有效性,是资本市场健康发展的客观需要,是加强企业管理和防范控制弱化的迫切要求,是建立惩治和预防腐败体系的重要举措,是加强内部会计控制建设深入贯彻《会计法》的重要措施。因此本文将主要把控制环境作为研究目标,结合COSO内部控制整合框架基本理论阐述我国企业内部控制及其环境建设方面存在的问题,提出加强企业内部控制环境的对策建议,希望能对我国内部控制研究提供一点有用的启示。
二、我国企业内部控制环境存在的问题
我国企业内部控制环境理论中,影响企业内部控制有效性的环境分为内部环境和外部环境。内部环境主要包括公司治理结构、组织结构、组织文化和管理者的素质、偏好和态度。外部环境主要包括法律规范、政府行为和市场完善程度。从大量的文献资料和实地调查中我们发现影响我国企业内部控制有效性的内部控制环境存在下列几方面的问题:
1.注重内部会计控制,对企业内部控制作为整体框架缺乏足够的认识。系统性和整体性是现代内部控制的特征和要求,但有资料显示,企业对内部控制作为整体框架作用缺乏足够的认识,因此,对内部控制的建设一般也仅停留在各个管理流程、各个业务流程的控制上,现行法律法规体系同样没有体现出用于内部控制整体框架建设的指南或规范。
2.缺乏对内部控制环境系统研究。许多企业管理者对内部控制的理解局限在财务会计部门,没有充分意识到企业其它方针、政策、程序以及管理者的个人偏好、经营风格等内部控制环境对内部控制有效性的影响上。
3.在内部控制环境研究中,缺乏组织文化与内部控制的研究。组织文化是企业成员广泛接受的价值观念以及由这种价值观念所决定的行为准则和行为方式,如:中航油管理层在期货交易中,根本没有意识到风险,而是相信自己的判断:油价冲高后必然回落。而在事情完全败露后,陈久霖还认为:“只要再有一笔钱,就能挺过去,就能翻身”CEO如此看待风险,其独断专行之霸气,企业内部环境之恶劣可见一斑。
4.公司治理结构不完善。在我国现阶段,公司的法人治理结构形同虚设,尤其体现在董事会这一重要机构没有发挥应有的职能。如:领导班子既是经理层又进入董事会,董事会成员与经理成员高度重叠。
5.管理者本身的素质、行为、风险偏好等未成为内部控制环境研究的主要内容。管理者素质在企业经营管理中起绝对重要的作用,素质不同,对企业发展所产生的影响也完全不同。如:巨人集团到1996年底,巨人大厦修建所用的1.6亿资金,都是靠公司自有资金和卖楼所得收入提供的,这体现了巨人集团缺乏现代资本运营的理念及技术,缺乏长远的内部控制观念。
6.缺乏对企业内部控制整体建设起指导约束作用的法律规范。根据统计显示,真正对企业内部控制制度建立、健全起指导作用的法律法规是财政部颁布实施的《内部会计控制规范》,而这仅仅是满足了内部控制制度建设的一个方面——信息与沟通要素,而且仅仅局限在会计系统方面。
三、完善企业内部控制环境的对策
通过对我国企业内部环境方面存在的问题的研究,要完善企业的内部控制和提高企业内部控制有效性,除加强内部控制其它要素执行外,还应当加强内部控制环境建设。首先应当追踪国际上对内部控制理论的研究,关注最新内部控制理论发展,对内部控制环境进行系统分析。企业风险管理框架中的内部环境内容在COSO基础上引入风险偏好、风险文化,扩大了内部控制环境的内容,因此要是内部环境整体发挥基础性作用,必须重视对内部控制各要素整合、系统研究,不能偏重于对某一要素的单一研究。其次是加快内部控制规范的建设,应当通过法律法规形式,对企业内部控制制度的建立、健全提供较严格的指导和规范,有利于加强企业管理,提高经济效益。再次是完善公司治理结构,构建公司治理与内部控制的互动关系。如:通过会计与出纳的分工来保护现金资产的安全,通过高层管理人员之间的相互制约和不同层级管理人员之间的信息沟通等。最后是改造组织结构和业务流程,提高内部控制系统的运行效果。企业经营的目的在于实现其整体目标,一个企业的组织结构的功能在于提供规划、执行、控制和监督活动的框架。良好的组织必须以执行工作计划为使命,并具有清晰地职位层级,才能有效的协调运作。
企业内部控制是一个庞大的系统,要充分了解整个系统,仅仅通过有限的文献资料和个别的调查研究是远远不够的,本文也仅仅是初步的探讨。在COSO内部控制整合框架中作为基础因素的内部控制环境问题更是我们需要深入研究的课题,在我国不断完善内部控制体系的过程中还需要借鉴国际上的相关研究成果,才能充实我们的相关研究。
参考文献
[1]企业内部控制基本规范[S].2008:6.
[2]企业内部控制配套指引[S].2010:4.
[3]吕锦荃.浅谈企业内部控制建设[J].现代经济,2009.
[4]黄春华.加强内部会计控制 提高企业管理水平[J].经营管理者,2010.
[5]储稀梁.coso内部控制整体框架背景、内容、理论贡献与启示[J].金融会计,2004(06).
内部控制环境研究范文4
一、公司治理与内部控制的相关理论
(一)公司治理的相关概念。公司治理是一套程序、惯例、政策、法律及机构,影响着如何带领、管理及控制公司。对于公司治理的定义,本文认为,公司治理是一种对公司进行管理和控制的体系,用于保障所有权和经营权的有效分离,在股东、董事和经理层及其他利益关联人之间分配权力与职责,说明决策公司事务时所应遵循的规则和程序,用以实现公司目标和监控经营的制度和手段。
(二)内部控制的相关概念及理论基础。1、内部控制的相关概念。根据《中国注册会计师审计准则第1211号———了解被审计单位及其环境并评估重大错报风险》,内部控制是指被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守,由治理层、管理层和其他人员设计和执行的政策和程序。内部控制是为维护企业财产物资的安全性、完整性,确保会计资料及其他资料的正确性,保证各项财务收支的合理性、合法性而建立起来的业务分管责任制。2、内部控制的要素。(1)控制环境:作为其他内部控制因素的根基,是指构成一个单位的控制氛围。具体包括:①公司员工的诚信和道德观。这就要求公司管理层在企业中创造一种人人都非常重视自己声誉的价值观氛围,这样能够确保公司员工为了更高的收入和利益而尽最大努力,创造更好的公司市值。②用人唯才。在公司的任何岗位上的员工必须具有岗位职能相要求的技能。③董事会和审计委员会。如独立董事在董事会中所占的比例和审计委员会作用的发挥。④管理思想和经营风格。如管理者对于经营管理的态度。⑤组织结构。管理层下发的文件是否能尽快传递到公司中的每个员工。⑥责任的分配与授权。每个员工是否知道自己的职责。⑦人力资源政策与实务。关于招聘、入职培训、评估、激励和惩罚的政策。(2)风险评估:影响公司实现目标的内外部的有利和不利的因素。包括风险识别和风险分析。对风险评估有三大步骤:估计风险对公司的影响程度、预测风险发生的可能性、对于风险采取何种行动。(3)控制活动:有助于管理层行使职责、处理经营风险以保证实现企业目标的政策和程序。控制活动可分为三个类别:运营、财务报告及合规。常见的控制活动有:①组织控制。如组织活动划分若干部门,分工明确,授权合理。②职责划分。一个人不应控制一项交易或一个事件的所有关键方面。③调节和复核。如对公司中的各种数据进行分析和复核。④实物控制。如大楼内设立门禁系统。⑤授权和批准。必须根据公司中的雇员的职位对其权力进行限制。⑥计算和会计。对每项业务在会计系统中准确记录。⑦人员控制。对雇员进行培训,确保他们能有效地完成工作任务。⑧监督和管理控制。(4)信息与沟通:为了管理和控制风险,必须建立一密有效的沟通程序,以使信息高效的传递,并能及时地让需要该信息的人员所知晓。信息有内部和外部之分,内部消息包括企业的财务、生产、销售、技术等信息;外部倍息包括竞争对手、消费者、法律法规、经济形势等信息。沟通除了内部沟通外,还有外部沟通。主要是指企业对于客户、供应商要求的沟通以及对公司危机事件的媒体公关等。(5)监察:评估内部控制系统运行和表现的一个过程,包括持续性监控活动和个别评估。监察能保持内部控制有效的运作,不仅适用于企业内部的经营管理活动,也可以用于为企业服务的外部承销商。
二、公司治理环境下企业内部控制现状及原因分析
(一)基于公司治理视角的企业内部控制现状。1、内部控制评价与监督机制流于形式。从整体情况来看,我国很多企业缺少完善的内部控制评价机制,导致企业不论预算,还是评估都缺乏规范性和科学性。我国内部控制评价理论还很不成熟,有些方面还处于尝试阶段,没有形成完整规范的体系。未能完全建立起有效的内部控制评价机制,致使大部分内部控制制度流于形式,而且和财务报告审计中的内部控制评价并没有明显区分,使得内部控制评价效用大打折扣,缩小适用范围。2、内部人或控股股东侵权现象严重。COSO报告中说内部控制的辐射范围上至董事会,下至基层岗位,而董事会是内部控制的核心,但我国的控股股东操作上 市公司的股东大会、董事会和监事会,常常集执行权、控制权、监督权于一身,有较大的任意权力,董事会、监事会和股东大会的职责分工并不明确,内部人或控股股东为了自身利益有可能对进行盈余管理或者操纵财务报告,给外部信息使用者提供虚假信息来达到其经营的目的,从而使得原本有效的内部控制变得无效。有识之士指出,股权高度分散,并不会天然地杜绝“一股独大”,也不会必然地产生“内部人控制”,中国资本市场在提升公司治理质量方面还有很长的路要走。(3)内部控制信息披露不够严谨。证监会组织专门力量,抽查审阅了共520家上市公司2015年的年度报告,发现上市公司2014年的内部控制评价与审计报告中存在的主要问题主要为以下两点:1、内控评价范围披露不规范。上市公司披露内部控制评价范围,要求包括评价范围的主要业务、事项和需要重点关注的高风险领域,还有需要定量说明纳入内部控制评价范围的资产总额和营业收入金额,占合并报表中资产总额和营业收入金额的比例。2、内控缺陷及其整改情况披露不充分。上市公司应当分别披露报告期内部控制重大缺陷和重要缺陷的认定结果,以及缺陷的性质、影响、整改计划、整改情况等内容。年报分析发现,部分上市公司仅对发现的缺陷作了描述,但却没有明确说明是重大、重要还是一般缺陷;还有部分上市公司仅对认定的缺陷做了简单的描述,笼统说明已经整改,但是未披露缺陷的性质、影响、整改计划或整改情况等信息。
(二)成因分析。1、企业股权结构不合理。我们需要正视上市公司股权结构不合理的问题。为解决这个问题,中国股市于2005年进行了史无前例的股权分置改革。但这场改革没有从根本上解决上市公司股权结构不合理的问题。控股股东“一股独大”,大小非占比过高的问题依然存在。在新股上市之时有75%的股份不上市流通,这种情况下,不仅极大的推高了公司股票的估值水平,造成新股高价发行,以及公司股票上市时投机炒作,而且股市也因此变成了大小非的提款机,投资者每天都必须直面大小非源源不断的减持。这个问题如果不能得到有效解决,不排除它可能会成为压垮中国股市的最后一根稻草。2、缺乏风险意识和控制意识。前几年突如其来的金融危机使许多欧美国家实体经济受到影响,并且很多效应传导到中国,使我国企业面临一种前所未有的动荡,甚至很多企业都面临巨大的风险,像蒙牛以及南方的一些企业都措手不及。3、内部控制环境不完善。企业治理结构形同虚设,缺乏互相制约的法制环境。管理者和员工的素质问题,我国未形成一个职业经理人市场,经理人的选择大多数不是通过公开招聘、选拔和考核的方式录用,而是通过靠关系、靠政府任命等方式录用,管理人员业务素质较低,有些企业的管理者未曾受过高等教育。4、缺乏完善的内部控制评价机制。当前,我国还没有很好的建立起有效的内部控制评价和监督机制,大部分内控制度仅限于形式。即便近来证监会对小部分企业有所要求,国家审计署也将此作为一项测试内容,但由于我国企业的内审部门隶属于管理层,内部评价本应由企业内部审计机构来进行内部审计,我国没有严格的评价体系和制约机制,导致内部控制缺乏应有的独立性,约束性也不强,无法保证作出判断的公正性,无法进行有效的监督。
三、公司治理视角下完善企业内部控制的建议
(一)优化股权结构。在上市公司股权结构设置上,应提高社会公众股的持股比例,降低大小非的持股比例。基于《证券法》修改的过程漫长,可率先对沪深交易所的《上市规则》进行修改,将社会公众持股的比例提高到40%甚至更高水平,这样不仅可以避免中坚科技这种“乌龙事件”的发生,大小非套现带给股市的压力将会因此而减轻。我国上市公司大部分由国家或国有企业法人控股,股权过于集中,结构比较单一,再加上大股东侵权控制现象严重。股权结构的缺陷导致公司治理结构的缺陷,从而使得内部人在缺乏制约机制的情况下,自觉或不自觉凌驾于内部控制之上,造成上市公司内部控制失效。
(二)强化企业的风险管理文化。企业应对风险管理进行诊断和辨识,并将辨识出的风险进行定性和定量的分析,预估风险对企业的影响,把握企业当前的风险管理现状,把风险管理上升至企业文化层次,对多层级风险制定战略和建设规划。企业内部管理者不仅要强化自身对风险得意识,更要在组织内全面推行风险管理,建立风险管理的长效机制。全面实行风险管理简单来说就是识别风险、评估风险、应对风险的过程。
(三)建设内部控制软环境。应提高管理者及员工的素质,提高企业管理团队的素质。管理者素质在公司治理中起绝对重要的作用,素质不同,对企业发展所产生的影响也完全不同。对选择员工应通过公开招聘、科学选拔和考核的方式录用,人员被录用后也应注重员工的不定期继续教育培训,建立激励机制,着重激发员工的积极性和创造性。企业文化是自己公司特有的不同于其他公司的东西,企业文化和内部控制制度是相辅相成,互相补充的。
(四)建立健全内部控制系统。内部控制的实施范围慢慢扩大,我国在制定新的内部控制规范体系时,应该考虑将公司治理也作为对内部控制产生影响的一个重要因素,保证新的内部控制规范内容更详细、范围更广,并形成统一的标准体系。从公司治理方面,应提高内部控制规范的目标定位,制定完善的内部控制规范体系。我国内部控制的目标定位主要还是局限于保证业务活动的有效进行,保证会计资料的真实、合法与资产的安全和完整方面。综上所述,公司治理和内部控制这两大概念,既有区别,又相互联系。如今我国的许多企业内部控制出现问题,都是与公司治理结构不完善联系在一起的,倘若公司治理结构不健全,没有建立有效的监督和激励机制,公司的经营管理者会缺少建立和完善内部控制制度的积极性,企业就不能实现其预期的目标。为了实现经济的持续健康发展,我们必须要把健全公司治理结构和完善内部控制制度有机的结合起来。根据公司治理角度下企业内部控制的现状,找出内部控制机制不完善的原因,提出完善内部控制的建议并付诸实施。
作者:邓明 单位:辽宁师范大学海华学院
参考文献:
[1]王桂莲著.基于现代系统思考的企业内部控制创新研究[M].经济科学出版社,2011
内部控制环境研究范文5
【关键词】信息环境;企业内部控制;问题与对策
【中图分类号】F830 【文献标识码】B
一、信息环境对企业内部控制的影响
(一)控制目标
企业内部控制目标,是内部控制运行方式和方向的指南,也是认识内部控制理论体系的出发点和落脚点。在信息化环境下,企业内部控制的目标仍然是战略目标,运营的成效和效率,经济有效的利用保护组织资源,以及报告的可靠性,遵守相应的法律法规。企业在设立控制目标时,要充分考虑组织的内部环境和外部环境,以实现控制目标设立的最优化。企业运营的的成效应该在原有目标基础上适当的扩大,也应该把精力放在技术革新,商誉,文化等无形资产上;因为所有的组织都是在一个有限的环境中运行,能否充分地利用现有的资源,是实现控制目标的关键因素,设立内部控制必须根据能否保证以最少的成本取得最优资源并且防止在生产中产生不必要的浪费。企业需建立有效的政策和程序来提高运行的经济性和效率,并建立严格的标准来对运行过程进行监督。报告的可靠性十分重要,但还应当保证信息的质量和时效等因素,还有非报告形式的披露也应该适当关注。信息环境下的法律法规更加完善,所以企业监督的方式和手段要同步,更要遵守法律法规。
(二)内部控制要素
1.控制环境
控制环境是组织结构的基础,决定了组织的发展。控制环境是企业内各种因素综合作用的结果,并且在不同程度的影响内部控制措施的实施效果。信息环境下的控制环境改变了企业原有的组织结构,让企业从封闭向开放转变,使企业的运营模式发生很大变化。与此同时,信息技术也深深地影响着企业文化,经营目标,管理者的管理方法和经营风格,企业实施的权责制方法和相关的人事政策,以及员工的道德价值观念和个人能力等。
2.风险评估
任何组织都会面临来自内部和外部的风险,所以各个组织都要进行风险评估,用来辨别、分析、处理风险,为达到各个组织风险最小化的目标。信息技术的不断深入,不但增加了信息系统方面的风险,而且也增加了企业管理中的风险。如企业运营操作对信息系统依赖程度的不断加深,一旦信息系统出现了运行故障,则会导致企业的经营不能连续有效的运行,因此产生不利后果。这就要求企业建立一套有效健全的机制来应对这些由经营环境变化,改造和更换新的信息系统,新的员工,新技术应用等发生的风险。
3.控制活动
控制活动是为了确保管理者的指令能够得到有效执行的程序。而控制活动需要根据该企业业务运行的过程和情况,以及各组织具体的控制点进行设置。在信息技术条件下,企业的核准,授权,验证,调节和复核营业绩效等控制活动,都必然会受到信息技术的影响。
4.信息与沟通
信息与沟通系统是指员工从管理层取得他们在企业经营过程中所需要的有效的信息,并且准确及时地传达这些信息。而信息技术的应用最显著的改变是信息的获取、交换、储存的方式。在拥有健全的信息系统下,企业能够准确及时的获取,传递,加工等需要的信息,有明确有序的从管理层到执行层信息沟通的方法,有与客户,供货商,有关政府部门以及董事会主要股东的沟通途径和方式。健全完善的信息系统改变了企业信息沟通方式,提高了信息沟通速度和质量,加大了信息数量,对企业的内部控制目标实现提供了有利保障。但是由于信息化的广泛应用,也会相继发生信息失真,数据错误,系统瘫痪等问题,对内部控制造成不利影响。
5.监督
监督是指长期评价企业内部控制质量,必要时还需要采取有效措施的一个连续的过程。信息环境下,企业监督方式发生了改变,监督的范围变得更广泛,监督方法更加多样化,实现了实时连续的监督。企业可以通过日常有效的监督活动,执行内部审计和外部审计相结合的方法进行有效的监督。但有时因为信息环境下监督经验有限,使监督的准确性,连续性受到影响。
二、信息环境下内部控制面临的新问题
信息技术在企业中的应用在改变着企业传统运营模式的同时也给企业带来业务流程和信息系统的风险。况且我国企业信息化的起步较晚,许多大中型企业信息化程度不高,内部控制制度不够完善,控制环境薄弱,以及控制经验不足,风险意识淡薄。内部控制不仅要关注企业有形资产的安全准确,更加要关注企业信息资源的安全。
(一)人员素质及管理观念的滞后性
信息系统的应用,不仅要求员工掌握专业的技能,还要熟练掌握信息系统的操作流程。因此企业的员工面临着信息系统知识的欠缺,传统手工处理下流程简单,直观性强,掌握要求有限。而在信息系统运行下,操作流程半自动化,需要员工对信息系统有宏观的把握,明确每个业务流程环节和控制点,才能实现员工的操作技能,以适应企业信息化的发展。目前,虽然很多会计软件和ERP系统已经进入企业的运营中,但是很多企业的管理观念仍然很滞后。很多管理者的管理方法还是来源于传统的处理模式。缺乏与信息化相接轨的先进的管理理念。还有一些企业的组织机构仍然还是分工不明确,很多制度没有实际的约束力。在信息化环境下,更要明确岗位分工,确保每个流程环节没有漏洞。因此,制度应该起到应有的效力,并与信息环境相适应。
(二)风险增加,信息系统控制不完善
信息系统在企业中不断深入发展,风险发生的概率和未知性也不断增加,既包括了信息系统本身的风险,也包括外部因素导致信息系统发生风险。企业的大部分重要信息资源都经过信息系统的存储,处理,一旦系统受到破坏,给企业带来致命的打击。新风险主要包括在生成,传递,存储,输出这几个关键环节发生。还有在信息环境下,系统操作人员,信息管理人员,系统维护人员,都有可能获得其权限以外的数据权限,可以擅自篡改程序,会造成程序异常甚至系统崩溃的危险。所以,信息技术人员的权限控制问题十分重要。除此之外,会计人员,管理人员也可能在没哟授权的情况下修改数据,或者凭空交易,这些企业人员都会给企业信息系统的安全带来潜在风险。
现行市场上的信息软件并不是都很安全完善,如果企业信息系统安装了不正规的软件,很可能会遭受木马和黑客的袭击,给企业带来巨大的损失。由于我国企业的信息化起步较晚,针对一些恶意破坏或者系统损坏等故障,缺乏有效的解决措施。
(三)企业工作量加大,控制监督难度增大
信息化在中小企业的应用,使企业生成了更多的信息资源,信息的真伪及其重要相关性需要管理者去辨别,而且维护信息也是大量的工作。信息化后,很多企业业务都是通过计算机完成,很难被完整的保留。这给审计工作带来了很大的难度。而且审计工作随着企业信息化,其本身也发生了漏洞风险,不利于审计人员发挥其监督职能。
三、加强内部控制的对策
(一)提高工作人员素质和塑造企业文化
内部控制系统正常有序的运行,不仅要保证系统本身的安全性,还应考虑到操作人员的工作能力和整体素质。能够胜任该项工作是操作人员的基本工作能力,而操作人员的素质是保证系统运行符合规定的必要条件。企业应该加强对员工素质和技能的培训,保证员工的工作态度端正可靠,使员工都是可以信赖的。而企业的管理层在信息化条件下依然起着重要作用。结合本企业的实际情况,深度剖析本企业内部控制的优势和缺陷,并不断吸取其他企业内部控制的先进理念,以建立适应企业健康发展的内部控制制度。充分肯定内部控制的重要作用,积极促成员工完成内部控制工作。
如今,企业越来越重视软文化的作用,一个企业拥有良好的企业文化,不仅能增强员工的职业道德和自律能力,还会提高企业的知名度。良好的文化氛围引导员工和企业紧紧联系在一起,让员工有强烈的使命感和归属感,对强化员工的道德,行为有积极作用,从而减少了一些信息失真,泄露等负面影响。
(二)完善组织和管理机制
在信息环境下,保证信息系统的安全可靠与畅通是企业内部控制的首要任务。因此,企业需要对整个信息系统的各个层次制定切实可行的安全防范措施。对系统操作的用户身份和权限、操作时间、系统参数和系统敏感资源等要进行实时监控和记录。其次,要保证计算机系统能够准确,安全运行,有防止各种意外的有力措施。查询计算机重要资源时应明确每个用户的安全级别和身份,并分别把访问对象进行具体定义,来保证系统内部的有力牵制。在信息化环境下,人是操作的主体,对操作人员应该实施严格的权限作业,不得在没有授权情况下接触其他系统。企业还应在各个重要控制点上设置安全预警系统,实时保护信息系统,以免受到恶意破坏和不安全的数据流进入。实现漏洞检测和实时监测相结合的安全有效模式。
(三)建立健全网络安全管理
首先是系统软件的安全。主要的控制点应在系统软件的安装和修改方面,另外对系统软件进行定期检查,如果发生意外情况时,系统软件可以自动紧急响应、迅速备份,并且能够尽快恢复。其次,是硬件设备。主要包括计算机系统环境和设备的技术。企业需对设备制定一套严格周密的管理制度,岗位责任和规范操作流程,禁止无关人员接触系统,还应在计算机系统房间准备防潮,防火,防水等技术配备,以防止突发事件。还有对企业重要信息资源的严密保护。非对称密码体制对于信息安全管理使用广泛。在企业中对通信线路的数据流加密,数据库中的数据流加密,还有访问者的身份认证也应设置限制,除了输入密码外进行身份认证,还可以采用指纹识别和面容识别。最后,企业应高度重视计算机病毒的防范,针对每―种病毒都有相应的技术手段预防和消灭,实时监督,追踪病毒。
(四)进行全面的风险评估和处理
风险根据形成原因可以分为财务风险和经营风险。风险控制的目标是尽可能的防止和避免出现不利的结果,建立风险控制机制。还应建立风险评估的信号和指标体系,主要是针对设备的技术风险和一些管理风险等。风险防范机制可以迅速发现并对风险做出反应。设置信息系统的防火墙,健全风险控制运行体系,在接收到信号时,可以及时自动的采取措施,防止风险扩大。企业应重视风险发生频率和不利后果专门设置处理风险的部门,可以帮助企业对风险故障迅速的做出方案,把不利后果降到最小。并且,根绝已发生的事件进行分析总结,达到进一步加强防范的作用。企业基于信息化环境下,建立一套信息系统风险管理机制也是很有必要的。健全责任控制,强化信息化下的风险意识。
内部控制环境研究范文6
一、文献回顾及述评
近年来,随着经济的发展和企业自身的需求以及国家的重视,针对会计信息化与企业内部控制的相关理论研究,越来越受到理论与实务界的关注。刘志远(2001)从COSO报告内部控制框架的五个基本要素入手,阐述了信息技术条件下企业内部控制的新特点与新问题,认为应该把信息作为控制的关键资源,利用信息技术来构建与完善内部控制系统并提出了信息技术条件下我国企业构建内部控制框架的几个关键步骤。覃志刚(2004)在研究了企业信息化如何影响内部控制之后,分析得出企业信息化并不影响内部控制的目标,但是对内部控制的五要素即控制环境、风险评估、控制活动、信息和沟通以及监督均产生一定程度的影响,进而提出了在企业信息化环境下加强内部控制的建议。王振东(2006)认为,会计信息化使企业内部控制的内容、手段都发生了变化,企业必须从控制环境、风险评估、控制活动、信息和沟通、监督各方面入手,并着重从环境入手,加强会计信息化条件下企业的内部控制,以利用好会计信息化的便利,有效解决传统会计电算化系统内部控制机制和手段的不足,适应知识经济时代和社会的要求。王棣华(2009)认为,会计信息化过程势必会引起企业业务流程的重组,从而对传统的内部控制产生一系列的影响,导致原有的内部控制体系无法适应网络环境下会计信息系统的要求,并从授权、业务记录方式、职责分离、实物控制等方面来揭示会计信息化对内部控制产生的影响,从观念上和体系上提出了加强内部控制的对策。刘雪晶等(2012)认为,在会计信息化的条件下,企业面临着决策、信息安全等风险,给传统的内部控制体系带来严峻的挑战,在细化企业内部控制体系的目标的基础上,从内部控制的目标出发构建、改进内部控制系统,根据会计信息化的特点重新梳理内部控制体系的内容,通过建立基于信息化下的内部控制体系,进而降低借助会计信息系统舞弊的可能性,保证企业各项业务活动的有效运行,最终实现经营管理目标。张新平(2012)在分析ERP与内部控制的关系的基础上,阐述了ERP对内部控制的影响,进而探讨了ERP 环境下企业会计信息系统内部控制体系的构建,认为应该从管理基础工作、职责分离以及制度建设和人才培养等方面,构建适应ERP环境的内部控制体系。杨国莉(2012)探讨了信息技术对于财务报告内部控制的主要影响,即对控制环境产生的作用发生转化和内部控制活动的变化,并以此为基础提出信息技术条件下我国财务报告内部控制框架的设想。
从笔者目前掌握的文献可以看出,学术界对于会计信息化与内部控制的研究可以大体分为两个阶段,这个阶段的划分主要以我国财政部2009年颁布《企业内部控制基本规范》为大体的分水岭。在这之前,由于我国企业内部控制的建设还在探索阶段,主要停留在会计控制的领域,尚没有系统的企业内部控制规范,较好的企业内部控制实践开始尝试借鉴国外的理念和方法,因此,有关会计信息化与内部控制的研究主要利用国外成熟内部控制框架来研究其与信息化的相互关系,虽然仅仅是探讨从国外内部控制构成要素角度来分析会计信息化的影响,但却为今天的企业构建适应会计信息化条件的内部控制体系提供了理论基础。在这之后,尤其是2009年以来,随着我国企业内部控制建设的迅速发展,当前对企业内部控制的研究除了主要集中在有关内部控制的构建、评价及内部控制信息披露等方面外,相关的研究也开始重点关注会计信息化对我国企业内部控制规范在实施中的影响及对策,并做出了许多有意义的尝试和探索。但是,很多文献都主要集中在会计信息化对内部控制要素的影响分析上,还不完全符合我国会计信息化的实际状况,而且相关的研究还有待进一步的系统化。由此可以看出,在信息化时代,尤其是在我国企业内部控制规范开始大规模实施的背景下,结合我国现阶段及未来会计信息化的现状和发展趋势,积极探索和构建适应会计信息化的内部控制体系并有针对性的进行优化就显得尤为迫切。
二、会计信息化与企业内部控制关系
2010年4月召开的第九届全国会计信息化年会上,首次将信息化与内部控制的关系提上会议议程,多数与会者达成共识,认为二者相互渗透,相互影响,相辅相成,共同发展。二者的关系应从两方面分析,即会计信息化对内部控制的影响及内部控制对会计信息化的反作用。事实上,早在2009年财政部颁布的《企业内部控制基本规范》就明确规定,企业应当利用信息技术促进信息的集成与共享,充分发挥信息技术在信息与沟通中的作用,企业应当加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制,保证信息系统安全稳定运行。信息作为内部控制系统里的重要构成部分,在风险防范和日常企业管理中的重要性不言而喻。而2010年国家五部委联合颁布《企业内部控制应用指引》,其中专门针对信息系统的开发、运行和维护设立指引,并明确要求企业应当重视信息系统在内部控制中的作用,根据内部控制要求,结合组织架构、业务范围、地域分布、技术能力等因素,制定信息系统建设整体规划,加大投入力度,有序组织信息系统开发、运行与维护,优化管理流程,防范经营风险,全面提升企业现代化管理水平。由此可见,信息化在整个内部控制体系里起着神经中枢的作用,离开了科学的信息系统也就无法实现及时、有效的信息传递,更谈不上科学有效的管理,进一步凸显出信息化与内部控制的相互依存性和密切关系。
(一)会计信息化对内部控制的影响 会计信息化开放性、动态性、集成性、多元性等特征,对原有的内部控制体系带来了巨大冲击,主要表现在:一是增加了内部控制的内容。会计信息化在涵盖原有的手工财务会计基础上,还涉及到采购、销售、仓储、生产、人力资源等企业运营管理的各个环节,这一变化的同时也增加了内部控制的工作范围。此外,实现会计信息化后,企业新增了如系统管理员等工作岗位,企业组织机构及岗位分工的变化也带来了内部控制内容的革新。二是转变了内部控制的形式。实现会计信息化后,原有部分手工处理中的内部控制措施已丧失了其存在的必要性,如账账核对、账证核对、科目汇总表的编制等。还有部分内部控制措施转为在计算机内部依靠计算程序完成,如凭证的借贷平衡校验、凭证类别控制、余额表试算平衡等。会计信息化对数据处理的集中性、高效性使得传统的内部控制功能减弱,原有的内部控制措施逐步由相应的程序功能代替。内部控制形式由单一的制度控制转变为程序控制和制度控制并存,并不断倾向于程序控制。三是丰富了内部控制的环境。会计信息化的到来,改变了传统的会计环境,这主要体现在计算机和网络介入了会计核算。计算机的智能性、高速运算能力和网络的共享性、远程操作能力,使内部控制环境日益复杂。四是改变了内部控制的对象。会计信息化背景下,企业业务执行主体由传统的财务人员转变为人和计算机系统,相应的内部控制对象也演变为人—机系统。
(二)内部控制对会计信息化的反作用 会计信息化对内部控制的影响是全方位的,与此同时,企业内部控制的质量也会影响会计信息化的进程。这主要体现在高质量的内部控制可以保障会计信息系统数据的准确性、安全性和可靠性。企业会计信息系统的稳定运行依赖于对内部控制的不断优化和完善。
三、会计信息化环境下企业内部控制风险分析
(一)传统内部控制体系不适应会计信息化的需要 会计信息化是企业信息化中的重要环节,其到来对传统内部控制制度形成了巨大冲击,原有手工会计环境下的内部控制体系已无法适应企业信息化的需要。企业信息化的实现伴随着的是财务与业务一体化的过程,业务目标的实现、岗位权责的明确都需要确定新的稽核点和平衡点,这种情况下的内部控制实际是企业集约型管理的手段,对内部控制体系的构建、制度的完善都提出了新的挑战。
(二)信息化下会计岗位之间难以进行相互牵制 由于会计信息化下计算机数据处理的高度集成化和自动化,大量原来繁琐的、由多个岗位负责的数据处理工作由计算机统一完成,会计人员的职能由核算型向管理型发展。传统手工处理中各岗位间以签字盖章为形式、以记账规则为核心的控制体制,在会计信息化环境下已经难以发挥作用。因此,如不加强各岗位间的相互制约、相互监督和相互控制,出错和舞弊风险将大为增加。
(三)会计档案采用磁(光)介质存储存在安全隐患 手工会计处理中,会计资料以凭证、账本、报表等形式存储于纸张上,会计制度中明文规定严禁挖补、刮擦、涂抹和使用褪色药水更改,增加、删除、修改的会计凭证或账册都可以通过会计人员的笔迹和印章进行鉴别和控制。而会计信息化下有形记录较手工会计系统大为减少,各种会计资料存储在磁(光)介质上,增加、删除、修改和拷贝均不会留下任何痕迹,因此容易被篡改或盗取,导致会计信息失真或外泄。同时硬盘、光盘等软硬件也可能由于质量问题或病毒感染而发生故障,使企业的信息安全受到威胁。
(四)开放的网络环境加大了安全风险 会计信息化的一大特点就是将原来封闭的局域会计系统链接到了开放的互联网世界,这对财务系统的安全性带来了严峻的挑战。在网络环境下,企业的各项数据都存储在处于联网状态的服务器或客户机中,由于互联网的开放特性,给一些恶意访问者以可乘之机。同时,互联网上猖撅肆虐的计算机病毒也给会计信息系统带来巨大的风险。大量的会计信息通过开放的互联网传递,很难保证其真实性与完整性。过去以本地计算机为中心的安全措施己不适用,从而加大了会计信息系统安全控制的难度。
(五)控制舞弊难度加大 会计信息化下,不少软件提供了“取消结账”、“恢复到记账前状态(取消记账)”、“取消审核”、“取消出纳(或主管)签字”等功能。这些功能使用的结果是,在结账或记账后可以不留痕迹的修改凭证、账簿,随意伪造会计信息,这大大提高了舞弊控制的难度。此外,信息化中,各用户的授权控制主要是依靠权限分工和口令,而每个用户的口令都存储于计算机系统内。一旦口令外泄,可能会带来难以预测的损失。
(六)基于应用程序的控制会使错误重复发生并无限放大 信息化下的内部控制是人工控制与程序控制共同发挥作用,并逐渐向程序控制倾斜。而程序控制的效果取决于应用程序的正确性和有效性。如果应用程序出现问题,则可能会造成错误反复出现,而操作人员长期以来对系统运行的信任和依赖,会使得错误很难被发现。此外,由于信息化系统涵盖了企业多个部门的数据,即使是某一细微环节出错,也可能引起后续一系列环节的错误,并可能使错误的危害被无限放大。
(七)对信息化软件系统的依赖使企业面临巨大的系统风险
会计信息化环境下,责任高度集中于信息化软件系统,一旦程序数据被篡改或感染恶意病毒,就会影响系统运行的稳定性和安全性,严重的可能会导致系统的崩溃,给企业造成不可估量的损失。会计信息系统一般由会计软件客户端和后台数据库两大部分构成,各种数据均保存在数据库中。大多数软件中,对数据库的保护力度不足,造成了安全隐患。与此同时,软件设计中考虑不够完善,可能会留下一些安全漏洞;一些软件不按系统的安全要求进行模块化设计,从而使软件系统内部逻辑混乱。要防范这些系统风险,应设法增强会计系统的安全性和保密性。
四、会计信息化环境下企业内部控制优化对策
(一)以ERMF与COBIT4.1为框架构建信息化内部控制体系 从全球化视角看,在企业信息化的大环境下,企业风险管理的最新成果为COSO的ERMF框架与现代信息技术控制的COBIT框架。2004年,美国Treadway委员会(反财务舞弊委员会)颁布了一份新的COSO报告——《企业风险管理整合框架》(Enterprise Risk Management-IntegratedFramework)(简称ERMF)。ERMF总结了COSO报告十年来的成果,把内部控制从“过程观”提升到了“风险观”,将内部控制纳入到风险管理,成为企业经营管理过程的重要组成部分。《信息及相关技术控制目标》(Control Objectives for Information and related Technology) (简称COBIT) 由信息系统审计与控制协会在1996年公布,目前已经更新至4.1版。COBIT是国际上目前普遍采用的信息技术治理框架。它为企业信息化提供了一套权威的、国际通用的公认标准,其目的是规范并提高信息化治理水平、有效防范控制风险及增加管理层对控制的感知等。ERMF和COBIT都是以内部控制理论为基础建立起来的,是内部控制框架的自然延伸、发展和完善。二者均注重监督与评价企业内部控制活动,突出有效性、可靠性、相关法规的遵循性以及强调风险评估、人力资源管理的重要性等。以ERMF为代表的业务控制框架,主要是从受托责任方面来考虑一般控制的价值,是针对所有企业提出的内部控制新框架,缺少对信息化控制的阐述和说明;而COBIT4.1控制框架主要针对政府或企业范围内的信息系统的应用,侧重于对技术进行控制。ERMF的理论性较强,COBIT4.1的实践性和可操作性较突出。企业应结合自身实际情况,将二者有效融合,构建适应会计信息化的内部控制体系。
(二)基于角色进行人员岗位权限设置 在内部控制体系中,建立责权清晰的岗位分工体系可以实现各岗位相互牵制、相互制约、防止或减少舞弊及错误的发生。基于角色的权限控制方案是通过设置角色来完成用户权限的授予、修改和取消。首先系统管理人员根据需要定义各种角色,并设置功能权限,而后用户根据其权、责、利被指定为不同的角色,同一角色可对应多个用户,同一用户也可根据需要被定义多个角色。整个岗位权限控制过程分成两个部分,即功能权限与角色相关联,角色再与用户关联,从而实现了用户与功能权限的逻辑分离,使得权限分配和管理更加方便和有效。
(三)健全会计信息化档案管理制度 会计信息化下会计档案采用以磁(光)介质为主,纸介质为辅的存储方式。首先应对信息化档案管理制度加以完善,对档案的保管方式、保管条件以及保管人员的工作职责做出明确的规定,并严格按要求执行,形成有效的约束机制。要注意定期对会计档案进行备份,可制作两个以上备份,并尽量存于不同空间,可增加档案的安全性。如“911 ”事件中,摩根史坦利的金融财务数据就是因为每天传到100公里外的电信数据中心备份,所以事故后不久就能恢复业务。
(四)完善软件功能,强化网络安全控制 在软件方面,使用前必须进行严格的检查和测试,查看该软件是否具有容错能力、数据库是否具有安全保障能力等,以确定信息系统是否合法、合规、合格,是否安全。使用过程中要定期进行系统的维护和管理,包括检查系统文件的完整性,保证不被非法修改和删除;识别并纠正程序中的错误,改进系统性能;排除软件故障,提高系统的运行效率;定期进行系统数据代码的备份等。此外,网络安全也是信息化下内部控制要重点解决的问题。随着网络技术快速地发展,企业应在技术上加强对整个财务网络系统的各个层次的安全防范措施。如采用授权控制、认证控制、身份识别、数据加密等安全技术,制定完善的网络安全操作制度等,建立综合的多层次的网络安全体系。
(五)制定严格全面的管理制度 将信息化下财务工作的每个细节制度化,使企业财务工作有章可循、有制可依,将有效提高内部控制的质量。在信息化背景下,需制定的管理制度包括:系统专用电脑使用规定、系统操作员上机操作规定流程、电脑使用情况记录制度、机房管理制度、定期安全稽查制度等。并对相关人员进行制度培训,用管理制度对会计人员进行客观行为约束,从源头上杜绝会计信息系统出现安全隐患。
(六)加大内部监管力度 在信息化环境下,依据管理制度,对内部控制实施过程的监督和检查尤为重要,其中最普及的方法是内部审计监查。要想完善内部审计机制、确保内部控制制度的有效实施,应使内部审计人员独立于财务人员,并建立奖罚分明的激励机制,切实有效的加强内部监督、考核、控制。此外,会计信息化时代的到来,对企业内部审计的内容提出了新的要求。内部审计除原有传统审计范围外,还应包括:第一,财务工作的各个环节是否严格按照规章制度执行,是否存在安全漏洞;第二,纸质原始凭证与系统内电子账是否一致,有无错账、漏账情况;第三,系统运行是否正常,有无因程序原因造成的错误;第四,电子数据保存方式是否安全合法,有无非法修改系统内部数据的情况。通过对会计信息系统运行全过程的持续监控可有效预防舞弊的发生,提高会计信息质量。
[本文系山东省高等学校人文社会科学研究项目“基于ISCA模型的会计信息化与内部控制研究”(项目编号:J11WD75)和山东省软科学研究计划项目“信息技术条件下企业内部控制模式与方法研究”(项目编号:2011RKGA5018)阶段性研究成果]
参考文献:
[1]刘志远等:《信息技术条件下的企业内部控制》,《会计研究》2001年第12期。
[2]刘玉廷:《推广应用XBRL推进会计信息化建设》,《会计研究》2010第11期。
[3]骆良彬等:《企业信息化过程中内部控制问题研究》,《会计研究》2008第5期。
[4]覃志刚:《企业信息化环境下内部控制的思考》,《财会通讯》2004年第1期。
[5]王世杰:《基于关键点控制法的会计信息系统内部控制体系构建》,《财会通讯》2011第1期。
[6]张新平:《ERP环境下企业会计信息系统内部控制浅探》,《财会通讯》2012第1期。
