美章网 资料文库 信息化环境下内部控制工程研讨范文

信息化环境下内部控制工程研讨范文

本站小编为你精心准备了信息化环境下内部控制工程研讨参考范文,愿这些范文能点燃您思维的火花,激发您的写作灵感。欢迎深入阅读并收藏。

信息化环境下内部控制工程研讨

一、传统环境与信息化环境内部控制工程的区别

在传统环境下,内部控制的实施主要依靠控制制度的制定和执行,控制信息处理与传递主要通过纸和笔来完成。在信息化环境下,企业在生产、经营及其各项管理活动中广泛采用信息技术和信息设备,辅以网络技术和网络设备以及自动控制技术和现代化通讯系统等手段对企业进行全方位、多角度、高效和安全的改造,通过信息资源的深入开发和广泛利用,以实现企业生产过程的自动化、管理方式的网络化、决策支持的智能化、商务运营以及资金运转的电子化,不断提高生产、经营、管理、决策的效率和水平,进而提高企业经济效益和竞争力。

二、信息化环境下内部控制工程的内涵与特征

(一)信息化环境下内部控制工程的内涵信息化环境下内部控制工程是围绕内部控制目标而实施的动态管理机制,指企业应用信息化工程的概念、原理、技术和方法建设内部控制系统,以信息技术为依托,通过信息资源开发与利用,实现集成化的实时控制,形成人工控制和自动控制高度集成的一体化人机系统,从而能够有效地落实内部控制各项规范和标准,实现企业的发展战略。信息化环境下的内部控制工程借鉴系统工程、软件工程、信息工程相关工程学科的研究与发展经验,将信息化工程方法引入到内部控制的实践中,重点关注内部控制理论与实践的转换过程。根据内部控制工程的内涵,本文认为将内部控制和工程学结合是全新的想法和思路,对信息化环境下内部控制工程的概念做如下扩展和延伸:

1.内部控制工程实践论。内部控制工程实践论是指从实践的角度认为内部控制工程是以建造内部控制系统为核心的实践活动。从实践的角度,内部控制工程是以建造为核心的实践活动,其对象就是内部控制系统。如何经济有效地建立内部控制系统并维护其运转是内部控制工程的主要目标。内部控制工程是在内部控制理论与内部控制系统之间建立一个桥梁,以保证内部控制理论更好地贯彻到内部控制系统中,充分有效地与企业管理实践相融合,并最终实现内部控制的目标。

2.内部控制工程知识论。内部控制工程知识论是指从知识的角度认为内部控制工程是一个由许多知识集合而成的完整知识体系,内部控制工程包含许多知识集合而成的知识体系,而且大部分知识由经验和实践而来。内部控制工程需要应用系统工程、信息工程、软件工程等相关工程领域的技术、方法和经验,包含了规划、建模、设计、运行、维护、评价、运筹、管理等大量的知识,以及在实践中不断增加的创新理念和认识。

3.内部控制工程职业论。内部控制工程职业论是从职业的角度认为内部控制工程可以成为生活中满足社会需要的一种工作。内部控制工程需要建立和推动“内部控制工程师”的职业概念,逐步建立专业技术职称评定、专业资格认证和注册、专业团体构建等专业化职业管理体系。“内部控制工程师”职业的建立是内部控制长期发展的人力资源保证。只有解决了“人”的问题,内部控制才有了实践的主体。

(二)信息化环境下内部控制工程的特征

内部控制工程是关于如何设计、建设、维护内部控制系统的综合学科。与已有的内部控制组织、形态、管理或建设的理论和方法相比,具有以下特征:

1.具有工程学的全部特征,包括实验与测量手段、精确的设计语言和新的结构原理等。

2.从内部控制整体出发,集成内部控制各要素之间的联系,而不只是关注诸如资金控制、预算控制、账务控制等局部功能。

3.以信息技术为基础,不仅提供了构造内部控制系统的基本手段和方法,还提供了逻辑的、精确描绘内部控制系统模型的方法和工具。

4.从人的共性出发考虑人的因素,但不涉及到任何一个参与其中的具体的人。

5.不以静态的构造为目标,按照内部控制实施的要求,旨在建立具有高度目标与环境适应性的自组织系统。

三、信息化环境下内部控制工程的基本原则

(一)战略导向原则

战略导向是指在内部控制实践过程中要以实现企业发展战略为目标,而不是局限于防错纠弊。《内部控制——整体框架》(COSO报告)提出,企业实施内部控制的首要任务是实现战略目标,企业管理当局制定战略目标和选择战略,并在此基础上从上而下设定具体的目标,包括经营效率目标、财务报告可靠目标、经营合法目标等。我国的内控基本规范也将企业实现发展战略作为内部控制的最终目标予以明确。因此,内部控制的发展已经从以纠错防弊为导向向以实现企业发展战略为导向转变,内部控制不再仅仅是为了满足外部监管的要求而是要满足企业发展战略,最终融入到企业经营决策和运营管理中。信息化环境下内部控制工程的应用还需要符合企业的信息化战略或IT战略,而信息化战略服务于企业发展战略,因此无论是从信息化战略角度还是从内部控制建设角度,信息化环境下内部控制工程必须以企业战略为导向作为基本原则。另外,以战略为导向有利于内部控制适应动态调整,一旦企业根据环境变化实时调整战略目标和相关指标,内部控制也可以随之调整,保证内部控制适应企业的管理要求。

(二)系统集成原则

系统集成是指在内部控制系统实施过程中,要从整体出发,不能只局限于内控模块和控制点的实现,在构建内部控制系统之前要研究系统整体而不是研究系统局部。这一点与传统内部控制纠错防弊、查缺补漏的实施思路是完全不同的。内部控制工程以系统集成为原则,主要实现两类集成:一是内部控制系统内部各控制模块、控制关键点之间需要实现信息沟通,形成内部控制的合力,例如,预算控制模块需要与资金控制模块、销售控制模块、采购控制模块等集成,才能达到全面预算管理的目标;二是内部控制系统与企业系统的集成,将内部控制融合于企业内部管理之中,使企业在日常经营管理过程中自然地实现了内部控制,这是内部控制工程应用的理想状态。此外,信息化环境下内部控制系统在设计和实施上需要具备系统集成的技术和方法,从内部控制系统的本体研究、系统建模、系统实现到系统实施必须以系统集成为基本原则,既要实现人工控制和自动控制的集成,也要实现内部控制系统与企业系统的集成。

(三)实时控制原则

实时控制是指企业管理当局根据实时反馈的控制信息进行事中动态控制,是在信息技术条件下提出的全新控制观。在信息化环境下,企业管理当局利用信息技术手段对企业经营控制活动进行实时对比和分析,通过指导、调节、约束、促进等环节干预企业的经营业务,实现内部控制的目标。另外,当企业战略发生调整后,企业管理当局也可以使用内部控制系统的配置和管理功能,实时动态调整内部控制策略,以保证内部控制与企业战略一致。

(四)持续改进原则

信息技术的高速发展,使得内部控制模式和手段不断进步的同时也容易出现新的风险,如黑客的破坏、木马病毒的侵入等。持续改进就是针对内部控制系统运行的各个环节定期进行分析和诊断,不断发现和改进制约内部控制系统的各种因素,通过企业全员参与内部控制管理各环节的日常化、制度化的改进活动,提高内部控制系统的灵活性和应变性。如果内部控制系统不能得到持续改进,可能刚开始能够达到应有的效果,但是一旦出现新的风险,内部控制系统容易出现设计失效和功能失效,无法长期保证内部控制的目标实现。

四、信息化环境下内部控制工程的实施框架

在内部控制工程的理论指导下,本文把信息化环境下内部控制工程的实施框架分为基础层、架构层、实施层和评价层四个层次,将作为内部控制“软”环境的组织和文化开发和作为“硬”环境的信息技术开发贯穿于这四个基本层次中。

(一)基础层

基础层包括内部控制整合框架、内部控制基本规范及配套指引、内部控制相关标准等。虽然内部控制在各行各业中表现的重点和范围不尽相同,但是其设计和实施必须依据和遵守上述框架、标准和规范。它们构成了信息化环境下内部控制工程的基础和依据,确保内部控制系统符合内部控制的目标和要求。同时,与信息化相关的框架、标准和规范也应纳入到基础层中,如信息系统审计与控制协会(ISACA)的信息及相关技术的控制目标(COBIT)框架、英国政府的IT基础架构库(ITIL)、国际标准化组织(ISO)的信息安全管理国际标准ISO17799和ISO27001、卡内基梅隆大学软件工程研究院的IT项目过程控制框架软件能力成熟度(CMMI)模型等。

(二)架构层

架构层是信息化环境下内部控制工程的核心层,旨在解决内部控制系统的规划、设计和架构问题,构建内部控制信息化环境下内部控制工程实施框架统的蓝图。从信息化环境的视角,通过架构设计可以将内部控制的目标有效地落实到企业内部控制的各个层面,从而实现企业内部控制的总体战略目标。内部控制系统架构是信息化环境下内部控制工程的核心内容,在内部控制系统建设中起到承上启下的作用,不仅是连接内部控制规范和内部控制系统的桥梁,也是组织控制、流程控制、信息控制的基础。

(三)实施层

实施层是信息化环境下内部控制工程的实践层,旨在解决企业实施内部控制系统的生命周期管理,结合软件工程的瀑布模型、迭代模型、过程改进模型等工程模型,可以构建信息化环境下内部控制工程的实施模型。信息化环境下内部控制工程的实施层包括了内部控制系统实施的方法、工具和模型等各种要素,是从工程学的角度对内部控制实践的具体研究。

(四)评价层

评价层包括评价指标、评价方法以及评价步骤等,是信息化环境下内部控制工程的最高层,旨在解决企业实施内部控制系统后的效果评价,是对内部控制过程的再控制,确保内部控制实施达到预期的目标和效果。内部控制工程的评价包括两部分,一是对内部控制实施过程的评价,二是对内部控制实施结果的评价。

作者:周卫华杨周南单位:北方工业大学经济管理学院