【作　　者】
应里孟

【作者单位】
（温州大学城市学院 浙江温州 325035）

【摘　　要】

      【摘要】实时经济要求尽可能消除经济活动中的时滞，这就使得“持续”这一概念在内部控制和审计领域得以产生。我国会计信息化要求企业实现内部控制信息化，国际上的权威规范制定机构也提出要对内部控制进行监督，并特别针对IT背景强调了持续监控的必要性。这使得内部控制持续监控成为实时经济时代的必然。
【关键词】实时经济   内部控制   持续审计   持续监控

一、实时经济催生“持续监控”
2002年2月2日，英国的《经济学家》周刊提出了“实时经济”的概念，其描述了通用电气借助“数字仪表板”来对公司运作进行实时监控。“数字仪表板”上会用不同颜色的显示灯来表示业务运行的状态，一旦发现问题，系统就可以将问题通过电子邮件的方式发送给相关的管理人员，让他们及时采取行动。专家们预测，许多公司不久将会利用信息技术使他们的公司变成“实时企业”，这是一种能够对业务中的变化作出同步反应的组织。随着企业自身连成一体，并同其他业务伙伴加强了联系，它们使整个经济日益呈现出一种“实时”的性质。
“理想的实时企业的情形就是公司的信息流动没有障碍，业务流程被持续地进行监控，而且能够触发快速的响应，通常会根据内嵌的业务规则来自动化地进行。自动化的流程能够很容易地跨越公司边界、时区、媒体和系统。现时经济是一种经济学家理想中的瞬时的、无摩擦的经济。现时经济是由实时企业所构成的一个网络，他们之间形成了一个虚拟供需链”（Fingar & Bellini，2004）。
的确，以电子计算机和通信技术为代表的信息技术（IT）已经发展了60余年，现在正处于加速发展期。IT日新月异，它们冲击着社会中各个组织的各个角落，影响着企业的商业模式、组织结构和治理方式。Davenport（1998）形象地将这种现象称为“将企业放入企业系统之中”。IT的发展，进一步催生出了敏捷信息系统，它能够让企业针对不断的变化和不可预测的市场环境中的顾客需求，及时地通过复杂的通讯基础设施来组装其技术、员工和管理，从而作出从容、有效和协调的响应。敏捷信息系统的出现，使得企业具备了环境变化的适应能力和创新能力，这也是未来企业需要具备的核心能力之一。
物联网正在掀起一场新的IT革命。关于“物联网”概念，公认的是源于美国麻省理工学院（MIT）在1999年建立的自动识别中心（Auto-ID Labs）提出的网络无线射频识别（RFID）系统。对于“物联网”概念的界定，国内学者提出了明晰的框架：“狭义的物联网是指连接物品到物品的网络，实现物品的智能转化识别和管理；广义的物联网则是可以看做是信息空间与物理空间的融合，将一切事物数字化、网络化，物品之间、物品与人之间、人与现实环境之间实现高效信息交互方式，并通过新的服务模式，使各种信息技术融入社会行为，是信息化在人类社会综合应用达到更高境界”。物联网通过智能标识、RFID、红外感应器、全球定位系统、激光扫描器等信息传感设备，可以把任何物品与互联网连接起来，进行信息交换和通讯，以实现智能化识别、定位、跟踪、监控和管理，将世界“一网打尽”。2010年3月5日，温家宝总理在《政府工作报告》中就提出了要加快物联网的研发应用，这将物联网技术发展上升到国家战略高度。
综上可见，我们正在向“实时经济”时代迈进。著名会计信息系统研究专家Vasarhelyi于2010年给澳大利亚特许会计师协会撰写的《现时经济中的连续认证》研究报告中，将“实时经济”称为“现时经济”。现时经济的本质在于减少“时滞”。
Vasarhelyi等（2010）认为，随着IT的应用，有四种时滞可以得到改善：①流程内的时滞，这是一个流程执行（例如应收账款处理）所需要的时间，这种延迟已经由越来越自动化的流程步骤来应对。②流程间的时滞，指的是在流程中传递数据所需的时间。这种时滞可由越来越多的采纳在不同流程中传递信息的标准（例如XML、XBRL、XBRL GL）来应对。③决策时滞，指的是作出一个决策所需要的时间，当决策能够用自动化和刚性的方法来执行的时候，该延迟可以缩减到毫微秒，不过绝大多数的决策都是非结构化的，或者说是柔性的，因此计算机还不能够完全替代人工作出决策。例如，在审计中，我们可以开发出一些控制规则来自动化地检测出一些例外事件，但这些例外事件的处理还是需要人工的介入。不过，自动化规则的应用，相比人工抽样而言，显著地减少了决策时滞。④决策实施的时滞，指的是需要基于流程的性质，以及相互关联的流程的类型来作出某个决策所需的时间。例如，审计师对计算机自动检测出来的例外事件进行处理时，需要对业务时间的前因后果关系进行分析，其可以通过计算机查询、统计和其他自动化的分析手段来加速分析进程，进而减少决策实施的时滞。
在会计领域，实时报告、实时控制、实时审计等切合实时经济潮流的新名词已经被学者们“热炒”。然而，在当前的IT应用背景下，要真正实现“实时”还存在一定的困难。所以，与当前IT处理节奏更契合的“持续”的概念更加让研究者们感兴趣。“持续”是相对于“周期”而言的，它的频率可以由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定，既可以与业务事件发生的频率保持一致，也可以每天、每周或者每月进行一次。
当前对持续审计和持续监控的研究成为一股新的热潮，这些概念已经逐渐从理论走向实践。
2006年普华永道（PWC）的一次调查发现：“在所调查的392家企业中，81%的企业指出，他们要么已经具有一个持续审计或者监控流程，要么计划开发相关的流程。”世界顶尖的审计与风险管理软件公司ACL公司和国际内部审计师协会（IIA）于2006年进行的一个联合调查也表明，公司对持续审计的兴趣快速增长，36%的被调查单位指出，在他们所有的业务流程或者选择的领域中，已经采纳了连续认证方法，另外的39%也指出，在最近也计划这么做。该调查指出：“无论什么原因，组织可能在过去已经忽视了持续审计，法规方面的需求、对实时财务报告方面的压力，以及自动化资源的驱动，使得手工审计现在不得不对它们进行采纳”。安永（EY）2008年的全球内部审计调查显示，42%的被调查者已经实施了一个持续审计计划，多数已经采用这种方式来识别控制缺陷，监控风险和识别潜在的舞弊活动。根据高能公司（Gartner）旗下的高级市场研究机构（AMR）于2009年进行的调查，60%的公司已经采用或者即将采用持续监控，在这些已经采用持续监控的公司中，有60%表示他们已经在某种程度上实现了对持续监控的自动化，这些被调查者认为，持续监控的价值在于实现成本的节约、舞弊的减少、流程的改善和政策的执行。
采用持续审计和持续监控的意义，在理论上（如信息经济学、代理理论和交易费用经济学）也得到了很好的支持（Cohen et al. ，2003）。
二、我国对内部控制信息化的关注
我国非常重视信息化工作，并且已经将信息化视为一项国家战略。《2006 ~ 2020年国家信息化发展战略》（中办发[2006]11号）明确指出，信息化是充分利用信息技术，开发利用信息资源，促进信息交流和知识共享，提高经济增长质量，推动经济社会发展转型的历史进程。国家信息化发展的战略重点包括：推进国民经济和社会信息化、加强信息资源开发利用、推行电子政务、完善综合信息基础设施、提高国民经济信息应用能力等。
在这个背景下，为了贯彻国家信息化发展战略，全面推进我国会计信息化工作，促进会计事业实现更好的发展，财政部于2009年4月发布了《关于全面推进我国会计信息化工作的指导意见》，明确了推进会计信息化的意义、目标、任务、措施和要求等。当中明确指出：“未来5 ~ 10年要实现大型企事业单位会计信息化与经营管理信息化融合，同时要根据企事业单位内部控制规范的要求，将内部控制流程、关键控制点等固化在信息系统中，促进各单位内部控制规范制度的设计和运行更加有效，形成自我评价报告”。
作为我国内部控制的纲领性文件，《企业内部控制基本规范》要求：“企业应当运用信息技术加强内部控制，建立与经营管理相适应的信息系统，促进内部控制流程与信息系统的有机结合，实现对业务和事项的自动控制，减少或消除人为操纵因素”（第7条）。“企业应当结合风险评估结果，通过手工控制与自动控制、预防性控制与发现性控制相结合的方法，运用相应的控制措施，将风险控制在可承受度之内”（第21条）。“企业应当利用信息技术促进信息的集成与共享，充分发挥信息技术在信息与沟通中的作用。企业应当加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制，保证信息系统安全稳定运行”（第41条）。
配套的《企业内部控制应用指引第18号——信息系统》要求：“企业开发信息系统，应当将生产经营管理业务流程、关键控制点和处理规则嵌入系统程序，实现手工环境下难以实现的控制功能”（第6条）。
从这些规定可以看出，借助信息技术加强内部控制，并实现两者的有机结合，同时保障信息系统整个生命周期的控制，从而促进内部控制规范制度的设计和运行更加有效，已经是我国会计信息化工作必不可少的重要内容。同时，《企业内部控制基本规范》还要求：“企业应当加强对内部控制及其实施情况的监督检查。监督检查的方式主要包括持续性监督检查和专项监督检查等。持续性监督检查和专项监督检查应当有机结合”（第62条），“企业应当结合内部监督情况，定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告”（第46条）。至于如何对信息系统中的内部控制进行监督检查，或者进行自我评价，我国目前尚未出台相关的指南，这正是我国会计信息化发展的方向之一。
三、持续监控概念的正式提出
1992年9月，COSO（美国虚假财务报告委员会下属的发起人委员会）出台的《内部控制整合框架》，充分运用了控制论、信息论和系统论的思想，将内部控制视为一个开放的系统，并强调内部控制是一个“动态过程”。内部控制是对企业的整个经营管理活动进行监督与控制的过程，企业的经营活动是永不停止的，企业的内部控制过程也因此不会停止。企业内部控制不是一项制度或一个机械的规定，企业经营管理环境的变化必然要求企业内部控制越来越趋于完善，内部控制是一个发现问题、解决问题、发现新问题、解决新问题的循环往复的过程。
在COSO内部控制框架的五个要素（控制环境、风险评估、控制活动、信息与沟通、监控）中，监控是内部控制系统中的一种反馈机制，它通过与其他要素的交互作用，保证内部控制持续有效运行。正是有了监控要素，内部控制系统中的各个组成要素才能够根据企业内外部环境的变化进行适时调整，共同保持有效性，通过协同作用来支持内部控制目标，进而为具体的组织目标实现提供保证。这样，内部控制方能成为一个“动态过程”。
监控要素虽然在理论上的地位非常重要，但在实践中却并没有得到充分重视和利用。COSO在2009年2月专门发布了《内部控制系统监控指南》，因为其发现：“一些组织已经在某些领域进行了事实上的监控，但是没有将监控的结果进行优化，以支持他们关于内部控制有效性的结论。相反，他们增加了冗余的、通常是不必要的测试控制的内部控制评价程序，因为管理层所实施的监控工作，已经能够充分支持内部控制评价了。在其他一些情况下，组织没有充分使用持续监控程序，或者总体上缺乏必要的监控程序，这促使他们在年底实施并不充分的评价，来支持他们的结论”。
该指南主要通过对两个相互联系的原则进行阐述，以提升人们对监控的理解：①持续监控（Ongoing Monitoring）和单独评价（Separate Evaluations），能够让管理者决定内部控制的其他要素是否在持续地起作用；②内部控制缺陷能够采用一种及时的方式进行识别，并且让信息与相关责任方进行沟通，使之能够采取纠正行动，在必要的时候，将信息报送给管理层和董事会。COSO发布监控指南的目的在于帮助组织设计、实施和评价监控程序，以使监控的两大原则能够有效实现。其目的在于强化和阐明，而不是增加或者改变，因为该指南中的相关概念，例如持续监控和单独评价，都已经在1992年的COSO框架中进行了说明。
COSO建议组织考虑，在可用的信息特点满足持续监控要求的时候，应该优先采用持续监控的方式。因为根据COSO的监控指南，最优的方案在于内部控制运行的直接信息，通过对最为相关、可靠和及时的直接信息进行监控，所得到的信息是最具说服力的。所以，实时的、动态的持续监控更加有效和客观，监控了最有说服力的信息，这可能消除后续的对于某个具体控制来决定它是否运行的单独评价的总的需求。从运行的效率来看，实时的持续监控使其能够及早地在流程中识别错误和纠正错误，而且纠正起来更为简单、成本更低。
COSO在该指南中，特别重视利用IT来进行监控，其指出：“组织可以利用IT（如控制监控工具和流程管理工具）来加强监控。随着IT的发展，原来有多的称为组织运营的一部分，对评估这些信息系统内部控制所需的监控工具的需求也随之增加。自动化的控制监控工具用于执行日常测试，这能够提高监控特定控制的效率、效果和及时性。一些控制监控工具被用来执行所谓的‘持续监控’。这些工具通过检查出现某些特定异常情况的每笔交易或选定的交易，作为正常的交易流程作补充。这些工具的大部分更多的时候是应用在高效率的控制活动中。不管怎样，如果它们具备足够的精确度，在错误变得重要之前将其阻止或识别，它们就能提高整个内部控制系统或是接受监控的关键控制的效率和效果”。不过，COSO的监控指南着眼于普遍性的企业内部控制，而非专门针对信息系统内部控制，所以，该指南并未对信息系统内部控制的监控，特别是持续监控做进一步的深入讨论。
作为专业的信息系统内部控制的研究机构，信息系统审计与控制协会（ISACA）在推动信息系统内部控制、信息系统审计和IT治理方面一直不遗余力。2010年10月，ISACA基于COSO的《内部控制系统监控指南》，专门发布了《内部控制系统和信息技术监控指南》。ISACA认为，控制的有效性是随着时间的推移而不断降低的，这导致了控制经常失败。某些企业的内部控制并没有根据设计来运行，其没能够跟上业务的变化，以及它们与战略目标或者经营约束的变化，这可能是由于关键的控制遗漏，或者企业缺乏一个对这些控制进行设计、实施、执行、沟通或者修订的流程。ISACA指出，尽管实现自动化的控制监控可以带来明显的效益，但企业依然面临复杂的IT环境、难以识别的关键控制，以及难以对数据进行提取等问题，该指南就是提供帮助企业应对这些挑战的途径。
综上所述，无论是基于实时经济时代，还是基于我国会计信息化背景，信息系统内部控制研究已成为必然，而COSO和ISACA发布的两个内部控制监控指南，使得对信息系统内部控制监控成为学界关注的焦点。同时，实时经济的大环境，要求我们尽可能利用IT来实现监控的自动化，也就是持续监控。由于这是一个新兴的研究领域，在具体的理论基础和配套实施策略方面还有着极大的研究空间。
【注】本文系浙江省自然科学基金项目“上市公司IT 控制信息披露质量研究：量化评价、影响因素与价值效应”（编号：LQ13G020011）的阶段性成果。
主要参考文献
     1. Fingar， P.，J. Bellini. The Real Time Enterprise. Tampa，2004， Florida：Meghan Kiffer Press
2. Davenport， T.H. Putting the enterprise into the enterprise system. Harvard Business Review，1998；76
3. Vasarhelyi M. A.， Alles M.， Williams K.T. Continuous Assurance for the Now Economy. Sydney：The Institute of Chartered Accountants in Australia，2010
4. COSO.Guidance on Monitoring Internal Control Systems. Durham， NC：COSO，2009
5. ISACA.Monitoring Internal Control Systems and IT.Rolling Meadows，IL：Information Systems Assurance and Control Association（ISACA），2010