1、基于网络会计环境的企业内部控制探析一、引言 会计信息化是会计发展的必然趋势,网络会计身处前沿。2012 年起,企业内部控制规范体系的执行范围扩大到在上交所及深交所主板上市的公司,内部控制受到前所未有的重视。本文以大量文献资料为研究基础,结合财政部会计司 2012 年 3 月发布的我国企业内部控制规范体系实施情况的调查报告 ,指出网络会计的企业内部控制难以确定缺陷认定标准、欠缺主动利用优势的能力、管理层重视程度偏低、复合型人才缺口较大、组织机构设置粗糙等问题,力求从新的视角探讨网络会计环境下企业内部控制面临的突出问题,提出参与开发,逐步推广;培育积极企业文化;考评业绩,遵循风险效益原则;更新知识
2、结构,借助专业机构,推出资格认证;增设 IT 治理部门,充实内部审计等建议,并给出简略的缺陷认定决策表模型。 二、网络会计对内部控制影响 (一)网络会计对内部控制的积极影响 具体表现在:(1)网络会计提高了企业关注风险评估的程度。相对于以往内部控制流程较为显化、风险较易被观测的情况,企业在引入网络会计信息系统之后,控制流程更多体现在程序代码中,网络安全、系统软硬件的安全隐患隐藏较深,不易观测。鉴于此,企业倾向于给予风险评估更多的关注度,以期将风险降至可接受水平。 (2)网络会计提供了更有效的内控方法。首先,网络会计迫使企业进行业务流程重组,大量原先人工操作的控制制度转变为机器运行,许多容易带来
3、舞弊机会的节点转为由计算机自动完成,提高了内控的效率。其次,网络会计借助高效的信息传递模式,显著提升了信息沟通的速度与真实性,促进了管理层次的减少。原先庞大的中间管理层所拥有的信息优势大幅消退,内控方法由此变得更为灵活。 (3)网络会计促使企业提高内控水平。根据前文所述,企业给予风险评估更多的关注,而风险评估的结果是采取控制措施的依据。面对网络会计诱发的高风险水平,企业增强控制活动的积极性将会有所提高,这有助于企业实施更为有效的控制活动,营造更为稳固的内部环境,搭建及时准确的信息沟通平台,构造更为客观的内部监督机制。 (4)社会各界广泛参与营造良性环境。政府监管方面,近年集中印发了企业内部控制
4、基本规范等一系列规章制度,为企业提供了制定内控制度的依据,也为维护企业资产安全提供了法律保障。民间组织方面,COSO 委员会发布了新的企业内部控制整体框架 (征求意见稿) ,增加了反欺诈等内容;软件设计等行业也纷纷成立自律组织,社会责任意识有所增强。科研创新方面,网络会计乃至整个会计信息化领域的研究文献数量迅速增多,体现出理论界对相关问题日益重视与关注。 (二)网络会计对内部控制的消极影响 主要有:(1)网络会计使企业产生了对信息技术的依赖感。作为网络会计的技术基础,信息技术在内部控制中发挥着举足轻重的作用,传统内部控制可利用的层层审核制度,其实际意义被信息技术引发的自动处理机制削弱。在此基础
5、上,企业更多地寄希望于信息系统内部的控制程序来实现预期效果,同时对于人为手工控制的重视程度有所降低。 (2)网络会计使企业面临的风险类型增多。会计电算化环境下的企业风险主要来源于软硬件的固有风险以及操作人员的不当行为,然而会计信息化时代的网络会计则面临着全方位的挑战。在互联网环境下,企业不仅需要防范来自各个方面的风险,还要警惕由于信息不对称导致的战略失败。显然,在信息经济条件下,借助网络会计实现信息的及时准确足量获取,赢得竞争优势,是降低经营风险的新思路。 (3)网络会计增大了企业内控的难度。尽管企业的内控水平有所提高,但信息环境的复杂化,使得实现内控目标的难度不断增大。财务报告真实完整已不再
6、是企业内控的唯一目标,风险控制与公司治理扮演着越发重要的角色。原先的组织机构设置,风险意识培训、内部审计制度等亟需改进,企业迫切需要进一步强化风险防范能力。(4)不法分子可利用的违法形式增多。信息技术是一柄双刃剑,其迅猛发展在为内控带来更多思路的同时,也为不法分子提供了可乘之机。通常存在三种表现形式。一是不以获取经济利益为目的的黑客攻击,这种形式出现较为频繁,危害程度也较小,随意性较强。二是专业间谍的受托攻击,这种形式出现较少,但具有较强的破坏力,并且难以防范。三是竞争对手窃取商业机密的行为,这种形式在发生频率与破坏力上均属中等,需要企业重点防范。 三、网络会计环境下内部控制存在的问题 (一)
7、难以确定网络会计内控缺陷认定标准 确定内控缺陷的认定标准,是企业进行内控自我评价的重要方面,也是优化内控制度、防范风险的有力措施。对于传统财务缺陷的认定,企业往往通过定量的标准加以衡量,相对来说较为清楚明了。进入会计信息化时代,在初涉网络会计时,企业遭遇诸多陌生的问题,存在较多的控制盲点。其一,企业难以发现潜在的风险。其二,出现了错报或目标偏移之后,难以追溯其控制缺陷的来源。呈现防范难、纠错难的局面,影响了企业实施并完善内控的效率。 (二)欠缺主动利用网络会计优势意识与能力 一个普遍的现象是,企业对内控的理解存在偏差,即偏重于查错防弊,而弱化了创造优势以赢得机遇。对于控制风险、实现内部控制目标
8、来说,赢得优势与消除劣势同样重要。网络会计的推行,机遇与风险并存,只关注风险规避而忽视机会把握的倾向是值得商榷的,在识别风险的基础上主动利用其优势条件,提高经营效率,促进战略目标实现,才是更加符合内控目标的。 (三)管理层重视程度偏低 调查结果显示,内控规范实施后,企业更加关注管理层进行风险管理的积极性与认知度,以及管理层是否具备该能力。网络会计引发的新问题,并不同于企业以往在内控中面临的问题,而是一个融合多种因素、涉及多门学科,并将耗费大量人力财力的综合问题。管理层是否重视与之相关的风险管理,影响到员工进行自我约束的意识与积极性。管理层是否就该问题投入足够的资金,影响到内控的实施效果和应对突
9、发情况的能力。 (四)新型复合型人才缺口较大 知识更新的速度总是远远超过人才产生的速度。计划与制度没有人才吸收并执行,仅仅是一纸空文。网络会计环境下的内控问题所具有的属性,必然要以更高水平的人力资源作为保障。财务、法律、计算机、网络安全多重知识背景的人才,方能在复杂多变的新环境中帮助企业落实内控要求。事实上,企业缺乏的,不仅是该方面的人才,而且是吸收人才的依据和渠道。 (五)企业组织机构设置方法粗糙 以往企业的内控主要为财务报告内控,实施部门主要为财务部门,没有专门的内控机构。随着控制范围的扩大、内控概念的丰富、信息安全隐患的增多、市场竞争的风险加剧,单纯依靠财务部门实现内控目标是不切实际的。
10、其一,财务人员的出发点较为局限,并不能代表公司整体的目标导向,削弱了其独立性与客观性。其二,网络会计的内控需要扎实的网络安全知识基础,普通的财务人员难以胜任。四、网络会计环境下内部控制问题完善建议 (一)参与开发,逐步推广,借鉴经验 针对问题一,可以采取以下三项对策:第一,企业更多地参与网络会计信息系统的开发、测试,对系统成型的过程实施控制。此举能够提高企业对系统原理的熟悉程度,避免产生“黑箱效应” ,利于查找错漏根源。第二,在各环节或各部门分次逐步推行网络会计,同时注意经验总结与业务衔接。可效仿 MIS 的“自下而上”开发策略,先试点,再总结,后推广,避免直接切换法引发的巨大盲点与隐患。第三
11、,广泛借鉴国内外网络会计推行过程中的经验教训,结合企业实际,形成风险矩阵,最终制定出网络会计内控缺陷的认定标准。据此,本文提出了一个简略的缺陷认定决策表模型(如表1) ,可供参考。 (二)培育积极企业文化,重视信息获取运用 变被动内控为主动内控,在查漏补缺的同时积极获取差异化竞争优势,需要从改变观念开始。COCO 委员会认为,员工将以其对企业文化的理解为依据来执行任务。基于这样的认识,培育一种积极开拓、勇于创新的企业文化,有助于员工有意识地研究如何利用网络会计带来的信息高速传递、精确整合的特点,探索与之相契合的信息获取方式、渠道以及业务流程,而不是被动地跟随信息化的推进。在同行业未从思想上接受
12、新事物之前,就从行动上发挥出其蕴藏的优势,在竞争中抢占先机。企业应当通过编制网络会计内控手册 、开展经验交流讲座和案例研讨会等形式,将积极企业文化渗透到组织中去,引导整个网络会计内控的运行。 (三)转变观念,考评业绩,遵循风险效益原则 针对问题三,可以采取以下三项对策:第一,主观上,管理层应积极转变观念,以符合网络会计条件下的新要求。第二,客观上,参考内控评价结果,将保障网络会计信息系统稳定运行纳入管理层的业绩考评范围,并赋予合理权重,敦促其执行。第三,将成本效益原则深化为风险效益原则。成本效益原则的指导思想是权衡成本与预期效益的关系,然而企业往往由于预期效益的不可即得而高估成本低估效益,从而
13、降低投入导致风险增大。风险效益概念是成本效益的深化,其指导思想是权衡弥补风险损失与预期效益的关系,不局限于以财务指标度量的风险预防,有助于企业形成稳健的内控风格。 (四)更新知识结构,借助专业机构,推出资格认证 针对问题四,可以采取以下三项对策:第一,更新知识结构。人才来自教育,教育应着眼时代发展,人才也应当发挥主观能动性,有意识地增加知识储备。IT 从业者也应涉足财会、管理知识,跟上时代发展。企业应加强现有人力资源培训,选拔业务骨干进修相关课程。第二,在内部人员具备胜任能力之前,可聘请专业机构弥补空白,如会计师事务所、管理咨询公司。第三,在全国推出网络会计内控资格认证,开展认证考试与培训。
14、(五)增设 IT 治理部门,充实内部审计 针对问题二,可以采取以下两项对策:第一,增设 IT 治理部门。ISACA 下设的 ITGI 认为,IT 治理能够通过平衡信息技术与过程的风险,确保企业目标的实现。IT 治理部门可以设在审计委员会乃至董事会之下,至少应包括总经理、IT 管理部门的负责人、网络安全人员。定期与不定期结合地评估并消除风险,与财务报告内控形成合力。第二,充实内审机构。扩充内审机构的人员配备,增加与其责任相称的权限,提高其独立性。网络会计环境下,企业面临全方位的风险,仅仅实施涵盖财务报告层面的内控显得不合时宜。企业内部控制评价指引基于全口径评价,即涵盖财务报告内控与非财务报告内控
15、的评价思想,也体现了与之一致的内控发展思路。 五、结论 近年来,网络会计的信息安全受到广泛关注,会计信息化的不断推进促使企业内控成为经营管理的关键环节。针对网络会计环境下的企业内部控制,不仅需要研究具体的内控制度,而且有必要从宏观层面营造自觉内控的企业文化。社会各界应当发展企业网络会计内控的有效方法,为会计准则制定机构和有关监管部门提供政策借鉴,促进我国企业会计信息质量的提高与资本市场资源的优化配置。 参考文献: 1南京大学会计与财务研究院课题组:论中国企业内部控制评价制度的现实模式基于 112 个企业案例的研究 , 会计研究2010 年第 6 期。 2张颖、郑洪涛:我国企业内部控制有效性及其影响因素的调查与分析 , 审计研究2010 年第 1 期。 本文系安徽财经大学大学生科研创新基金项目“网络会计信息安全的内部控制制度研究” (编号:XSKY1217ZD) ;安徽财经大学重点科研项目“新形势下的企业财务品牌建设研究” (编号:ACKY1312ZDB)的阶段性研究成果 (编辑 向玉章)
