企业内部控制信息化环境与实施方法探究
2014-09-18武汉大学经济与管理学院陈潇怡
武汉大学经济与管理学院 陈潇怡
2009年4月财政部发布《关于全面推进我国会计信息化工作的指导意见》,文中指明推进企事业单位会计信息化建设的任务包括:会计基础工作信息化,会计准则制度有效实施信息化,内部控制流程信息化等。即运用信息技术手段将会计准则制度、内部控制规范制度嵌入到企业管理信息系统中,通过信息系统执行。然而,内部控制是为保证企业经营的效率和效果、财务报告的真实可靠、法律法规的遵循,以及保护资产安全等目标的达成而提供的合理保证过程,也是治理者通过对内外环境、控制成本、可接受的风险水平等要素进行比较权衡后对制度的选择。因此,内部控制规范制度不可能做成一套标准的计算机程序,需要依据每个企业的控制环境、经营风险、控制目标、组织架构、业务流程等量身定制,其实施过程是一个非常复杂、涉及众多因素的庞大的系统工程,仅靠“手工作坊式”的实施方式很难保证质量。本文针对我国企业内部控制信息化实施的环境特征,从内控信息化实施方法和技术创新的视角,讨论基于IT的企业内部控制系统的设计与实施,以降低内部控制系统低效或失效的风险,为企业内部控制信息化探寻一种新的实施思路与规范的方法和技术。
一、企业内部控制信息化实施环境主要特征分析
(一)内部控制制度规范建立历程较短,尚处于起步阶段 自2001年财政部颁布《内部会计控制规范》后,我国企业才结束了没有内部控制标准的历史。此前,仅有《中华人民共和国会计法》(1999年修订)、《中华人民共和国公司法》(1993年)、《中华人民共和国证券法》(1998年)中涉及了很少的与企业内部控制相关的条文。随后,证监会于2002年1月颁布了《上市公司治理准则》,2006年6月上海证券交易所颁布了《上市公司内部控制指引》,以及国资委发布了《中央企业全面风险管理指引》等。2008年,财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》和17项具体规范,并且在2010年4月发布了《企业内部控制配套指引》,至此,适合我国企业的内部控制制度规范体系才基本建立。而内部控制作为企业防范风险、实现企业战略目标的一套制度体系在西方发达国家已经历了近一个世纪的发展历程,与国外发达国家内部控制发展的理论和实践相比,我国企业的内部控制建设和实施都处在起步阶段,至今还有不少企业的管理者和员工还不知道什么是内部控制规范。在企业的内部控制和风险防范体系不健全的现状下,要使企业内部控制规范发挥作用,必须采用强有力的实施机制,以及科学规范的实施方法和技术帮助企业实施。
(二)企业文化处于多元化状态 在我国传统文化中,孔子的儒家思想一直在官方的意识形态领域占据着正统地位,对我国企业文化产生着深刻的影响。孔子思想体系的核心主要体现在“礼”、“仁”、“和”、“义”等方面,注重人本的思想,也推行“上尊下卑”、“中庸之道”。除了传统文化的影响外,我国企业文化还受我国社会思潮的变迁和经济体制改革的影响,由此有了“现代企业文化”、“国有企业文化”、“家族式企业文化”、“领导者文化”,以及“嫁接的西方企业文化”等等。不同的企业文化具有鲜明的个性和差异性,是由企业的性质、成长经历、企业管理者的文化素质、性格特征以及处理事情的能力等因素决定的。由此,企业员工在西方思想的冲撞下会出现双重标准的行事方式。例如,在人之下时积极倡导自由平等的思想,在人之上时又遵循上尊下卑的儒家思想;自己人脉缺乏时要求别人公平竞争,自己人脉丰富时又信奉关系哲学;有的员工要求企业管理者治理企业要“法治”,等到自己管理企业时又极力推行儒家的“人治”,等等。至今,不少企业的企业文化仍然处于一种混沌朦胧的状态没有沉淀成自身特色。而企业内部控制制度的设计和实施与企业文化是紧密联系的,在我国企业文化传统与现代、中西方结合的多元化状态下,运用科学规范的实施方法和技术进行企业内部控制制度的设计与实施,可以排除不同文化氛围导致的控制偏差和人为因素的干扰,保证企业内部控制系统实施的有效性。
(三)企业管理基础薄弱,复合型人才缺乏 我国企业信息化建设起步发展于20世纪90年代末。2006年,中共中央办公厅和国务院办公厅发布了《2006-2020年国家信息化发展战略》文件;2007年10月党的十七大报告明确提出“信息化是我国加快实现工业化和现代化的必然选择,要将信息化与工业化相互融合发展”;2009年4月财政部发布了《关于全面推进我国会计信息化工作的指导意见》文件等等。此间,我国IT基础设施建设快速发展并不断完善,企业信息化进程不断加快,政府积极鼓励企业上线ERP(企业资源规划)系统,对国有企业上线ERP系统给出了贷款优惠政策,对拟上市发行股票的公司要求上线ERP系统等等。然而,政府对企业信息化的积极推进政策没有达到预期效果,企业ERP系统应用失败的案例比比皆是。因为从发达国家引入的ERP系统不仅仅是一种管理软件,更重要的是体现了一种先进的企业管理思想和管理模式的应用,要求企业的业务流程、会计流程、控制流程、工作流程按ERP软件的管理模式进行改造或重构;ERP系统将企业的业务系统与财务系统融为一体,使企业经营管理和内部控制的方式发生了根本性的改变。而我国企业信息化发展历程不长,企业管理基础工作还很薄弱(如标准化管理、统一信息编码、规范制度流程等),不少企业的管理者和员工还不知道ERP系统的核心作用是什么,也不知道什么是IT治理,更不知道如何将企业内部控制需求融入到企业管理信息系统中。而科学规范的实施方法和技术可以帮助企业提高基于IT的内部控制系统的实施效果。
二、企业内部控制信息化对实施方式和技术创新的需求
(一)改变人工控制的思维惯性和手工作坊式的实施方式 通过上文分析发现,尽管我国企业内部控制规范体系建设历程较短,但不同类型的企业为防范经营风险都有各自不同的制度设计和方式。例如,国有企业要按国资委颁布的文件设置监控、内审、纪检等风险防范岗位;家族企业或中小民营企业则更多的是依赖亲朋好友组织成企业内的裙带关系网,将亲友安排在重要的岗位;等等。无论是国有企业还是家族企业在实施内部控制时,主要是从组织结构、岗位设置、控制流程、监督和检查方式等方面进行,并通过这些工作实现控制目标,采用的是一种基于权力制约和岗位分设的传统的人工控制方式。这种人工控制方式主要是从社会科学的角度进行研究,长期以来形成了一定的思维惯性:即如何设计组织架构、岗位的权责利和相互牵制关系、控制流程和方法等。企业内控体系设计的好坏主要依靠设计与实施者个人的经验和技巧,内控制度的设计和执行都存在太多的人为操纵因素,也存在效率低下、质量缺乏保障等诸多弊端,是一种“手工作坊式”实施方式。而企业内部控制信息化是要通过信息技术手段将基于权力制约和岗位分置的传统的人工控制方式,转化成以信息流为基础的人工控制与IT控制相结合的控制方式;要针对不同企业的风险特征和控制目标设计不同的规范的控制制度和流程、关键控制点和控制措施,并且固化到信息系统中,依赖于企业信息系统施行控制,以实现内部控制制度执行的标准化、自动化、常态化。这是社会科学与计算机应用科学深度交叉结合的课题,传统的手工作坊式的思维模式和实施方式并不适应企业内控信息化发展。
(二)建立基于IT的内部控制执行机制 企业内部控制是一个全员共同参与的管理和控制的过程,它涉及到企业经营管理的各项业务活动的各个环节,控制方式最终直接体现的是“人控制人”的制度体系。而企业内部控制信息化可以通过IT技术手段,在建立企业信息系统时,将“人控制人”的规则,如业务控制规则、会计控制规则等置入计算机程序,代替人工在业务执行过程中自动对业务和会计事项进行控制,减少或消除人为操纵因素。这种基于IT的内控执行机制,将“人控制人”的问题转化成员工如何在集成了企业内控制度的信息化管理平台上按规范的制度、流程开展业务,并对经营过程中可能遇到的风险进行有效的管控,有利于降低内部控制成本,提高信息沟通的效率和效果;有利于排除不同企业文化产生的控制偏差。显然,如何将“人控制人”的制度条例转化成信息系统中规范的控制执行流程需要社会科学方法与计算机应用科学方法和技术的融合。信息化已将社会科学与计算机应用科学的研究融为一体,信息技术和管理创新相互交叉、相互促进,相互推动社会的进步。
(三)需要科学规范的实施方法和技术保障 企业要运用IT技术手段实施内部控制,首先要将企业信息系统转化和提升成一个集成了企业内部控制需求的信息化管理平台,再运用这个平台实施控制。这个平台的质量是否满足企业内部控制的需求直接影响企业内部控制施行的有效性。那么,如何构建这个信息化管理平台?涉及到哪些要素?用什么方法保证平台的质量呢?企业内控系统本质上说还是一个社会系统,平台的构建涉及到企业文化、员工素质、管理基础、IT应用基础等诸多因素,需要将社会科学和计算机软件工程的实施方法综合运用。例如,需要对不同企业的管理现状进行分析诊断,以便设计一套完整的适应企业需求的内部控制制度体系,这就要用到社会科学的调查分析等方法;而要将企业会计准则政策、企业内部控制规范制度等要求融入企业信息系统中则需要用计算机软件工程中的方法,具体来说,就是将满足企业内控需求的规范制度条例融入管理软件的功能模块中并进行系统初始设置。这是一个复杂庞大的系统工程,要保证平台的质量,除了人和制度体制因素外,需要科学规范的实施方法和技术构建、检测与评价信息化管理平台。
三、企业内部控制信息化实施的科学规范化方法
由于计算机应用的广泛深入发展,软件的概念也在不断扩展,计算机软件工程已发展成一门交叉性学科。它应用计算机科学、数学、管理科学的原理,目标是提高软件质量,降低开发成本,并且软件开发方法和工具不断推陈出新。例如,目前管理信息系统开发中比较流行的开发工具UML(统一建模语言),运用系统分析方法及半形式化方法部分解决了开发方法的理性统一化,以及用户、系统分析、系统设计和编程人员之间对系统需求的澄清与表达问题,为反复修改、采用迭代式系统开发过程和实现业务流程优化创造了条件,提高系统的适应性和可维护性。然而使用UML对领域建模后,系统设计是否满足了风险控制需求的证明以及系统设计与实施的严密映射证明却没有相关方法进行支撑。而领域分析和形式化方法则能弥补UML不能机器自动验证的缺陷,适合于对基于IT的企业内部控制这样复杂的系统进行分析建模,并且领域分析所建的企业内控系统描述模型便于转化成形式化规范模型,以便对所建模型的内控性质进行机器自动验证,以提高系统实施的可靠性和有效性。
(一)领域分析(Domain Analysis)领域分析是指运用领域分析方法和工具对IT环境下企业的内部控制体系和执行机制进行分析,确定企业内部控制系统的总目标;在此基础上对企业管理的各个层面、各类业务流程的各个内部控制子系统进行子领域分析和建模,得出能被各个利益相关者接受理解的领域描述模型;同时提炼出该领域中与内控风险防范紧密联系的实体(Entity,指在该领域中,本质静止不变的对象,在实体上可以定义若干关于实体的属性)、函数(Function,指建立在实体之上,实体输入后能按一定规律改变实体的某些属性产生输出)、事件(Event,指可以触发一系列行动序列的函数)、动作序列(Behavior,指事件的活动序列),提取出领域描述模型中共性特征并区别其中的可变特征、相关性质的核心部分,以便进行形式化规范描述和形式化验证。领域分析方法很多,本研究使用的是EFEB方法(BjornerD.,2006)。
(二)形式化方法(Formal Methods)形式化方法也是多种多样的,依据不同的数理逻辑基础,有不同的形式化语言(工具),常用的描述和分析工具主要分为代数规约描述(定理证明)和模型检测两类。形式化方法具有精确无二义性、简洁且机器可证明等优点,是一种对计算机软硬件系统进行规范、建模、开发和验证的方法。它目前主要应用于要求高安全性的系统开发中。由于基于IT的企业内控系统本质上说是一个社会系统,而社会系统具有的不确定性,可能存在“状态空间爆炸”的问题。因此本人依据企业内部控制系统分析设计的特点以及对工具的熟练程度,选择了基于代数公理方法为主,同时兼顾了状态空间转换描述的OTS/CafeOBJ方法来开展研究。具体有以下两个内容:(1)在领域分析的基础之上,给出内部控制系统的状态观测系统(OTS:Observational Transaction System)模型;(2)在内部控制系统的OTS模型基础上,使用CafeOBJ对其进行形式化描述,再通过CafeOBJ的自动证明系统实现机器自动推导证明,以便在企业内控系统设计初期找出与设计目标不符的设计,从而尽早尽快的发现系统缺陷和漏洞,找出修正方法。
(三)领域分析与形式化方法的主要作用
(1)用数理逻辑的方法检验ERP系统上线时企业内控措施嵌入正确与否。基于I T的内部控制执行机制是通过集成的企业信息系统来实现的,即企业业务与财务系统的集成;业务流程、会计工作流程、内部控制流程的集成;物流、资金流、信息流、控制流的集成。目前广泛使用的ERP系统就是集成的企业信息系统的代名词。企业上线ERP系统主要有二个途径:一是购买商品化的ERP软件系统,这类软件更多的考虑通用性功能,企业需要通过二次开发的过程将符合企业需求的内部控制制度流程、措施嵌入其中,即在各个业务板块或子系统初始化时正确设置IT内部控制功能,以便企业的内部控制制度和措施通过信息系统自动执行;二是自行开发或合作开发或委托开发满足企业需求的ERP软件系统。由于ERP系统是一个复杂庞大的管理系统,无论企业采用何种实施途径,对实施者的要求都非常高。他们不仅要熟悉整个ERP软件的内控功能,同时也要熟悉企业的内部控制制度体系、业务流程的主要风险和关键控制环节、控制措施等诸多业务知识,要他们不出错误是很困难的。而领域分析和形式化方法能帮助实施者理清头绪,按照企业内部控制的需求正确启用ERP系统中的内控功能模块和控制措施,并检验出企业内控制度设计或ERP软件中内控功能设计的缺陷漏洞。
(2)机器自动验证管理软件系统的设计中是否存在内控功能缺陷和漏洞。从技术层面来看,内控信息化实施首先是要开发一套整合业务处理流程和控制流程为一体的管理软件。领域分析和形式化方法运用的是基于数理逻辑的分析推理工具和技术,可以在管理软件开发阶段发现软件设计中是否存在内部控制功能的缺陷和漏洞,防止系统投入使用后的风险,尤其适用于有资金管控、成本管控等高可信管理软件开发需求的企业。
由于在先发货后开票的赊销模式的OTS/CafeOBJ模型中,没有对客户(customer)信用的描述,因此使用CafeOBJ定理证明器对上述性质进行推导证明时,定理证明器无法对customer找到确定状态,从而无法返回证明结果值。通过分步证明,并分析CafeOBJ定理证明器各步的返回信息后,可发现如果软件中增加监控标准文件(这里为客户信用档案的描述及判断),有助于对该风险的防范。因此在模型描述中增加了监控标准文件的类型描述,同时设定客户信用档案中信用评级规则。CafeOBJ定理证明器在加入引理(lemma)后可返回“真”值,说明该性质在有条件的情况下可证。进而说明现有内控系统模型按照引理提示进行修正后,发货初始流程所描述的风险,是可以通过基于I T的内控系统实施得到控制和规避的。当然,这种信用销售模式下,还需要配合动态信用管理方式等方法予以弥补,所以在给出模型修改建议的同时,应该详细说明引理成立的条件及存在的风险。
(3)将自然语言表达的内控模型转化成符号语言表达的计算机模型,便于移植与评价。基于I T的内部控制机制是一种内控制度设计与管理软件的内控功能设计和设置紧密联系的协同控制体系。内控系统既包含了对人、交易循环、资金、数据库、信息系统设备等人财物的控制,又包含了利用人、制度、规程、数据库文件、计算机程序等技术手段实施控制。领域分析和形式化方法能将设计者用自然语言表达的复杂庞大的内控系统需求,分离出哪些可以由计算机程序进行自动控制,哪些还必须由人工控制,哪些可以通过信息化手段在线完成内控工作,并将自然语言表达的内控模型逐步转化成用规范的符号语言表达的计算机能实施的模型,并对该模型的性质进行自动的机器推导,保证所设计实施的基于I T的内部控制系统有效运行和维护。可以针对各行业中同类企业的业务流程建立相应的内控需求的分析和验证模型,以提高内控信息化实施的规范性;验证过的内控模型便于移植,同时也可以作为内外审计部门对企业内控系统的有效性进行评价的依据。
(四)领域分析与形式化方法的应用框架 领域分析与形式化方法的应用可分为6个步骤:(1)根据企业内控环境、经营风险、控制目标与成本等设计内控制度与实施方案;(2)运用领域分析方法和工具建立内控领域描述模型;(3)运用形式化方法和工具将内控领域描述模型进行形式化建模;(4)运用形式化推导工具对内控领域形式化模型的性质进行机器自动验证;(5)对验证结果进行分析并给出风险防范措施;(6)将检验和修正后的模型应于实践。应用框架如图1所示。
图1 领域分析与形式化方法应用框架
[1]陈潇怡、欧阳电平:《企业内控信息化实施的规范化方法研究》,《会计研究》2013年第3期。
[2]杨雄胜:《内部控制理论面临的困境及其出路》,《会计研究》2006年第2期。
[3]杨周南、吴鑫:《内部控制工程学研究》,《会计研究》2007年第3期。
[4]财政部:《企业内部控制规范讲解》,经济科学出版社2010年版。
[5]D.B jorner,Software Engineering 1-Abstraction and Modelling,Springer 2006
[6]Kokichi Futatsugi et al. ,2005, Proof Scores in the OTS/CafeO B J Method,In Proceeding of the 6th IFIP WG6.1 International Conference on Formal Methods for Open Object-B ased Distributed Systems,L NCS 2884,Springer,p170-184