2016年
财会月刊(19期)
学术交流
基于工程与信息化双重视角的内部控制实施探究

作  者
周卫华(博士)

作者单位
中国财政科学研究院,北京100142

摘  要

     【摘要】《内部控制基本规范》及配套指引在我国上市公司正式实施以来,如何提高内部控制建设和实施水平越来越受到大家的关注。本文基于内部控制具有的工程特质和信息化属性,对内部控制建设进行解读,探究内部控制的工程机理与信息化选择,总结分析我国上市公司内部控制实施的现状,并提出相应的实施策略。
【关键词】工程机理;信息化选择;内部控制
【中图分类号】F233           【文献标识码】A           【文章编号】1004-0994(2016)19-0003-4一、引言
2012年《内部控制基本规范》及配套指引全面实施以来,在一定程度上促进了我国企业的稳定健康发展。但是从目前内部控制实施效果来看,我国上市公司内部控制建设的整体水平仍然不高。深圳市迪博企业风险管理技术有限公司发布的《中国上市公司2015年内部控制白皮书》指出:虽然我国上市公司内部控制整体水平逐年上升,但是目前中国上市公司内部控制建设的整体水平仍然有待提高。
目前我国企业内部控制建设主要存在两类问题。其一是内控实施管理水平偏低,尽管内部控制规范和标准日臻成熟,但是内部控制的质量和效果却并不理想。其二是内控实施缺乏信息技术的有力支撑,尽管设计了较完整的内部控制制度,但是大多采用的是手工方式实施控制程序,而信息化的应用并不充分,导致内控制度经常流于形式。因此,《内部控制基本规范》在总则里明确规定内部控制实施应当适当运用信息技术。
笔者认为,内部控制是一个过程,内部控制本身具有工程特征,应从工程的视角探索内部控制创新组织和管理。信息化作为内部控制的重要手段,需要融入内部控制实践中。本文拟从工程和信息化的双重视角对内部控制建设进行解读,探究内部控制的工程机理与信息化选择,最后提出内部控制实施的工程路径和信息化策略。
二、文献回顾
(一)内部控制的工程特质
内部控制的工程特质是指内部控制在建设过程中需要运用大量的工程技术与方法,体现出工程性的特点。
国外学者早在20世纪七十年代已着手研究在内部控制中运用工程技术和方法。Cushing(1974)借鉴可靠性工程中的数学模型对内部控制进行了分析和设计。Bodnar(1975)在Cushing研究的基础上,基于可靠性工程方法构建内部控制的可靠性模型。进入21世纪以来,人工智能、系统工程等先进工程技术也逐步应用到内部控制实践中。Changchit(2001)利用专家系统将审计领域的内部控制评估知识转移到企业管理过程中,有助于企业管理当局评估内部控制运行的有效性,实验表明该应用对那些非会计审计领域出身的管理者来说效果尤其明显。Mock等(2009)基于Damper-Shafer(DS)证据理论提出风险导向的证据推理模型,用于评估财务报告内部控制的有效性。
近年来,我国学者对在内部控制中应用系统工程、软件工程等技术方法也展开相当多的研究。
韩传模、汪士果(2007)利用系统工程中的层次分析法(Analytical Hierarchy Process,AHP)建立了企业内部控制的递阶层次模型。钟玮、唐海秀(2010)借助系统动力学理论和相关方法对内部控制系统功能障碍进行了分析,研究内部控制系统要素功能耦合过程和结果,尝试构建了内部控制系统动力学模型,提出了促进系统动态演进与趋优的相关措施。王海林(2009)借鉴软件工程的CMM模型理论,提出了内部控制能力评价的IC-CMM模型,将内部控制能力评价定位于企业内部控制的实施过程,建立了企业内部控制实施过程评价体系。周卫华(2011)从系统工程视角对内部控制实施机制进行了初步研究,提出了内部控制系统观和内部控制工程观,构建了内部控制实施的三维工程结构。
我国著名会计信息化专家杨周南教授于2007年首次将内部控制与工程学相结合,提出内部控制工程(Internal Control Engineering)的概念,并将内部控制工程作为一门学科——内部控制工程学展开相应的研究。
内部控制工程学是在设计和实施内部控制系统时为了实现降低成本、提高经济效益、减少风险的既定目标,所运用运筹学、管理学、经济学、工程学、计量学、计算机科学等一系列学科技术的总称,是用工程学的方法使内部控制系统从理论到实践的相互转化的过程规范化与科学化,并由此形成的一门应用工程学科。
综上所述,内部控制具有明显的工程特质,应该将内部控制与工程紧密结合起来,促进内部控制实施水平的不断提升,确保内部控制的实际效果。
(二)内部控制的信息化属性
内部控制的信息化属性是指在信息化环境下内部控制需要融入信息技术手段,不断加强控制活动的信息化和自动化。目前,无论是政府监管部门、学术团体还是实务界普遍认为信息化是内部控制的必备条件。
从国外研究来看,Kim等(2009)通过扩展技术接受模型(Technology Accepted Model)研究内部审计师在专业领域对信息技术的接受程度发现,内部审计师在不同程度上已经接受了信息技术。Huang等(2008)基于萨奥法案对ERP系统环境下的内部控制元素进行了研究,建立了一个五维度和19节点的内部控制框架,提出ERP环境下内部控制实施的影响要素。Namiri等(2007)运用面向流程方法对业务流程中的内控合规系统进行了建模,并在JBOSS平台上开发和部署了一个原型系统。Chapman(2009)研究了通过信息系统集成(Information System Intergration)实现ERP等信息系统与管理控制系统的整合,实现业务信息流程与管理控制流程的衔接,达到内部控制和绩效目标。
从国内研究来看,杨雄胜(2011)认为随着计算机技术的广泛应用,计算机现在已不仅仅是一种应用手段,而是一个必需的生存环境。他认为在信息化背景下内部控制模式必将由“过去控制现在”变成“预期未来调控现在”,会针对更多不确定性做出相应控制,从而与风险管理自然融为一体。刘玉廷(2010)认为信息化环境下内部控制与信息化联系十分密切,充分利用信息技术实现企业内部控制的目标成为必然趋势。陈志斌(2007)提出了信息化内部控制生态环境的概念,认为在信息化生态环境下企业的业务运作越来越依赖信息系统,以至于利用信息系统控制以及对信息系统的控制成为企业内部控制的重要组成部分。章铁生(2007)认为信息技术对企业的整体内部控制能产生根本性的影响,企业传统的内部控制方式在IT影响下发生了根本性的变革,IT使得原来基于权力岗位制衡的内部控制逐步发展为以信息流为基础的IT内部控制。
笔者认为,将信息化技术应用于内部控制是一种必然趋势。但是内部控制并不是一个全部可以由信息技术实现的信息系统,而是由人工控制和自动控制组成的半自动控制系统。信息化应用于内部控制的程度在不同行业和不同企业表现出较大差异。信息化应用在内部控制中的边界和程度很难界定,目前在这方面亟需加强研究和探索。
三、内部控制的工程机理
(一)内部控制的工程解读
内部控制具有工程特质,将内部控制与工程相结合是全新的想法,于是内部控制工程的概念应运而生。杨周南、吴鑫(2007)将内部控制工程定义为:采用工程的概念、原理、技术和方法来建设内部控制系统,用规范化的方法和技术进行复杂内部控制系统的建设,以便经济地设计和实施高质量的内部控制系统并有效地维护。
结合工程哲学对工程的概念界定和内部控制工程的定义,笔者对内部控制的工程解读进行如下扩展和延伸:
1. 内部控制的工程实践论。内部控制的工程实践论从实践的角度将内部控制建设归类为以建造为核心的实践活动。李伯聪(2002)在工程哲学中提出了“科学”、“技术”和“工程”的三元论,认为工程是以建造为核心的实践活动。从实践的角度看,内部控制也是以建造为核心的实践活动,其对象就是内部控制系统。如何经济有效地建立内部控制系统并维护其运转是内部控制实施的主要目标。内部控制工程是在内部控制理论与内部控制系统之间建立一个桥梁,以保证内部控制理论更好地贯彻到内部控制系统中,充分有效地与企业管理实践相融合,并最终实现内部控制的目标。
2. 内部控制的工程知识论。内部控制的工程知识论是指从知识的角度看,内部控制建设是一个由大量知识集合而成的完整知识体系。知识本身是一个复杂概念,一般来讲,各种认识、认知和经验都可以视为知识。内部控制是一个由大量知识集合而成的知识体系,而且大部分由经验和实践而来。内部控制工程需要应用系统工程、信息工程、软件工程等相关工程领域的技术、方法和经验,是一门跨学科的创新概念。内部控制工程包含了规划、建模、设计、运行、维护、评价、运筹、管理等大量的知识,以及在实践中不断增加的创新理念和认识。
3. 内部控制的工程职业论。内部控制的工程职业论从职业的角度认为内部控制可以成为生活实践中满足社会需要的一种工作。职业是社会中的个人所从事的提供主要生活来源的工作。西方国家把成千上万种职业分为“普通职业”和“专门职业”两种。工程职业论是对工程实践的主体——人的需求的关注。内部控制需要建立并逐步推广“内部控制工程师”的职业概念,逐步建立专业技术职称评定、专业资格认证和注册、专业团体构建等专业化职业管理体系。“内部控制工程师”职业的建立是内部控制长期发展的人力资源保证。只有解决“人”的问题,内部控制才有实践的主体。
(二)内部控制的工程应用机理
内部控制的工程应用机理是指工程理论与方法体系在内部控制实践中的应用情况,包括应用的方法、应用的过程及实际应用效果等。借鉴内部控制工程框架结构(杨周南,2007),内部控制的工程应用主要包括工程参与者、工程模型、工程方法、管理过程、评价体系和支撑体系等内容,详见下表。

 

 

 

 

 

 

 

 

 

 

 

四、内部控制的信息化选择
(一)信息化的核心要点
信息化概念是从社会进化的角度提出的,综合目前的资料,公认“信息化”概念起源于日本。信息化的思想是1963年1月由日本社会学家梅倬忠夫在发表的《信息产业论》中首次提出的,但有关社会现象更早的时候就受到西方学者的重视和研究。杨周南教授(2005)认为,信息化是以信息资源开发利用为核心,以网络和通信等技术为依托的一种新技术的扩散过程。
笔者认为信息化有两方面的基本含义:一是信息——信息资源;二是现代信息技术化——应用、发展的过程或现象。从汉语的角度,信息化可理解为经上述过程到达的某种结果或状态。
对信息化的要点和核心意义从以下方面进行理解:
1. 整体性。整体性是指从全面的角度认识客观事物发展的过程。信息化与一般技术应用的区别,首先就在于它必须联系整体,从整体出发来理解和设计。
2. 变革与异化。变革与异化是指信息化引发的对原有体系或对象的否定、改造、重组和变化的过程,例如行业格局的改变、旧业务模式的抛弃、生活工作方式的根本变化等。变革可以仅仅是局部的改进和手段的更新,但我们应该研究和关注的是信息化过程,即信息技术的应用造成应用对象彻底改变的过程,这与流程优化(BPM)的思想符合。
3. 互动影响。在信息化过程中,信息技术也并非一个固定的、预先确定的因素,它不仅处于不断的变革和发展之中,其发展的方向还受到应用或信息化对象发展过程的影响。因此,信息技术的发展变化(包括应用理论与实践、产品与服务)与应用领域的发展变化(需求与结果),常常又是交互影响、互为因果的,这就是信息化过程中信息技术应用与信息化对象的互动影响效应。例如,现代的物联网、云计算等技术的发展带来了生活方式和工作方式的革新,同时人们对信息和网络的需求又反过来不断推动着信息技术的发展。
4. 复杂和不确定性。信息技术的不断发展、信息化带来的过程变革、信息化对象的不断演进相互交织在一起,使信息化过程变得复杂和充满不确定性。这种复杂性和不确定性导致了 “IT黑洞”、“信息悖论”等现象和概念的产生,这也体现了信息化应用的高风险性和不可预见性。信息化过程中要高度重视对复杂性和不确定性因素的应对措施。
5. “人”的主导因素。尽管存在着上述复杂性、不确定性因素,但是整个信息化进程是在人们对于变革结果的不断反思和反馈下进行的,总体上是一种提升、变革、演进的进化过程,本质上人的因素占主导地位,而不是信息技术。
五、内部控制现状分析与实施策略
(一)内部控制现状分析
1. 内控实施过程中工程应用过于单调,缺少创新实践。我国企业在内控实施过程中大多局限于审计领域的技术和方法,以查缺补漏为目标,将已有的管理制度与内部控制规范标准比对,在此过程中,通过发现和整改控制缺陷来逐步实施内部控制。
审计领域的穿行测试方法、抽样分析方法和实地查验方法等在我国内部控制实施过程中应用得最广泛。但是,内部控制已涵盖财务报告控制和非财务报告控制,其范围逐渐扩大到企业管理控制,以上审计领域的技术和方法很难适应全面内部控制设计和运行。尤其是在信息化应用于内部控制以后,其局限性尤为明显。
2. 内控实施过程中工程应用效果并不理想,缺乏最佳实践。我国上市公司在内部控制实践过程中,缺少工程应用的系统性和阶段性,应用过程比较盲目,缺乏理论指导和方法论支持。
从我国上市公司披露的数据来看,除了一些大型企业,例如中国人寿、中国石化、中国平安等,已经采用了一些符合自身要求的工程方法,大部分企业还没有有意识地应用工程理论和方法。
为了促进内控实施水平的提升,证监会在官方网站上开辟了内部控制试点专栏,并组织相关企业进行内部控制实施经验交流。目前亟需针对内部控制与工程、信息化的融合总规律和经验,发掘最佳实践案例,并将其推广,达到理论指导和经验共享的目的。
3. 信息化在内部控制应用中还处于较低水平。从我国上市公司目前披露的数据来看,信息技术在内部控制中的应用主要集中于控制活动和信息与沟通两个方面,在控制环境、风险评估和监督等方面的应用并不多见。即使是在控制活动和信息沟通层面,具体的实现过程是怎样的和应用程度如何等问题还很模糊,例如哪些控制点已经信息化、哪些控制点需要依赖人工控制以及自动控制、人工控制如何衔接等诸多问题并没有明确答案。
(二)内部控制实施策略
1. 在内部控制实践中贯彻工程化的理念和思想。虽然大多数企业在内部控制实践过程中都已部分应用了工程技术和方法,但是仍然缺乏从工程化理念出发管理内部控制实施过程的系统思维。本文认为政府、企业、中介机构在内部控制实施过程中应宣传和贯彻工程化理念和思想,让企业管理当局有意识地运用工程管理方法实施内部控制。尤其是在信息化应用后,鉴于信息化的内生风险,企业更应具备工程管理的素质和水平。
2. 以企业战略和系统集成为导向重新规划内部控制系统。如果要推动实现企业发展战略目标,内部控制实施过程应该自上而下,即从企业模型出发,以实现企业发展战略为导向进行总体规划,系统集成关键控制点,整合控制数据资源,制定企业内部控制标准体系。通过以上步骤,使得内部控制从业务控制逐步向管理控制和战略控制推进,最终实现企业的全域控制。
3. 充分运用企业现有资产设计内部控制系统。内部控制实施要充分考虑企业现有资产的情况,例如企业已有的制度体系、已上线的信息系统等。内部控制实施不能完全推翻现有的制度系统和信息系统,否则投入的工作量和资源太大,不仅增加企业的经济负担,而且也不符合成本效益原则。内部控制实施应充分考虑到企业现有资产情况,既要兼顾现有制度和信息系统的正常运行,也要实现控制点的嵌入和系统间的集成。
4. 对内部控制实施过程进行迭代式改进和优化。内部控制实施不是一次性的工作,需要每年不断地维护、更新和改进。在不同的时期和阶段,内部控制实施具有不同的特点,需要不断地改进和优化。信息化在内控实施中的应用不仅需要资金资源和人力资源的投入,而且还需要实施管理方法上的改进。
内部控制具有工程性特征,需要运用工程的技术和方法解决内部控制理论与实践相互转化过程中在实施、评价、反馈等环节所面临的技术、管理等相关风险。信息化作为一种重要控制手段,应用于内部控制是必然趋势,同时更需要工程理论与方法的支撑。信息化环境下的内部控制工程可以将内部控制、工程与信息化三者结合,形成理论、方法学和应用等多层次研究体系。理论是基础,方法学是核心,创新应用是关键,它们上下贯通、有机结合,最后再进行体系化组合,成为一个完整的研究体系。因此,推动内部控制工程的发展,特别是丰富内部控制工程的理论和方法,总结内部控制实施的成功案例,推广工程应用经验,对于提升我国内部控制建设与实施水平将起到至关重要的作用。

主要参考文献:
陈志斌.信息化生态环境下企业内部控制框架研究[J].会计研究,2007(1).
韩传模,汪士果.基于AHP的企业内部控制模糊综合评价[J].会计研究,2009(4).
刘玉廷.全面提升企业经营管理水平的重要举措——《企业内部控制配套指引》解读[J].会计研究,2010(5).
李伯聪. 工程哲学引论[M].郑州:大象出版社,2002.
杨周南等.会计信息系统——面向财务业务一体化[M].大连:东北财经出版社,2005.
杨周南,吴鑫. 内部控制工程学研究[J].会计研究,2007(3).
杨雄胜.内部控制范畴定义探索[J].会计研究,2011(8).
王海林.内部控制能力评价的IC-CMM模型研究[J].会计研究,2009(10).
钟玮,唐海秀.内部控制系统要素功能耦合与动态演进[J].审计研究,2010(4).
章铁生.信息技术条件下的内部控制规范: 国际实践与启示[J].会计研究,2007(7).
周卫华.内部控制实施机制研究——基于系统工程视角[J].财会月刊,2011(34).
Bodnar G.. Reliability Modeling of Internal Control Systems[J].The Accounting Review,1975(10).
Bin N. Srinidhi.Mathematical Formulation of the Task Segregation Problem in Internal Control System Design[J].Decision Sciences,1988(3).
Changchit C..The Construction of an Internet-Based Intelligent System for Internal Control Evaluation[J]. Expert Systems with Applications,2003(3).
Chapman C. S., Kihn L..Information System Integration, Enabling Control and Performance[J].Accounting, Organizations and Society,2009(2).
Cushing B. E..A Mathematical Approach to the Analysis and Design of Internal Control Systems[J].The Accounting Review,1974(1).