IT环境下内部控制的机遇和挑战
2015-03-27陈庆海
汤 岩,陈庆海
(集美大学 工商管理学院,福建 厦门 361021)
IT环境下内部控制的机遇和挑战
汤 岩,陈庆海
(集美大学 工商管理学院,福建 厦门 361021)
IT环境对内部控制的变革既带来了机遇,也带来了挑战。这些挑战主要存在于输入口控制、技术端防范和内部控制顶层规范等方面,相应的解决策略也应从这三个方面入手。虽然IT环境下内部控制还存在很多问题,但IT环境的冲击是促进内部控制理论成熟和发展的良好契机。
IT环境;内部控制;COSO报告
IT环境的应用是一个不可逆转的趋势,它虽然对传统的内部控制理论和实践提出了挑战,但也给内部控制理论的成熟和发展提供了非常好的契机。正如陈志斌指出的那样,“信息化生态环境是知识经济社会企业所共处的生态环境,如何完善信息化生态环境中企业内控机制应是内部控制研究和法规建设在新时期的重要使命”[1]。
一、 IT环境给内部控制带来的机遇
传统的内部控制数据缺少共享,特别是财务数据和业务数据的分离,容易造成财务人员的误判,如对于价格严重失真的材料采购发票,财务人员只能从财务的角度(如相应的单据是否齐全,有无相关领导签字,签字有无仿造和篡改的痕迹等)判断单据是否可以入账,由于没有业务环境的数据支持,所以财务人员很难了解各种材料不断变化的价格,尽管会有疑问,往往也是简单询问后就按发票付款和入账。网络环境出现后,很多企业通过ERP实现了财务和业务一体化,通过SCM实现了上下游厂商的信息实时沟通,这样各种数据就可以实时顺畅地反馈到财务人员那里,使以上问题得到解决。作为ERP 软件的顶级厂商,SAP公司的mysAP ERP软件充分发挥了财务业务一体化对内部控制的作用,它的功能模块几乎涵盖了管理业务的各个方面,财务模块和业务模块之间高度集成和关联,数据可以实现自动实时更新,从而避免了无效和垃圾数据的干扰,如 “物料发票接收”事件可自动触发供应商账户余额、费用或成本账户及相应成本中心的数据实时更新。
二、 IT环境给内部控制带来的挑战
(一)会计岗位合并带来的潜在风险
传统的会计内部控制的主要思想就是不相容业务职责分离,传统经济业务从发生到完成所经历的每一个环节都是由相应治理权限的人员签章后,方可办理。这种相互制约和相互监督的内部控制方式虽然效率不高,手续烦琐,数据冗余重复,但可有效地防止作弊。
然而,在网络会计中,由于计算机代替了大量的人工劳动,企业无须那么多会计人员,企业出于成本考虑,对会计岗位进行合并,从而造成一些传统的制衡手段流于形式,这就大大增加了内部控制的风险。
(二)会计信息易于被窃取、伪造和篡改
在传统的会计系统中,原始凭证是以纸张为载体的,多联复写具有相互牵制性。原始凭证上的笔迹具有可辨认性,很难非法修改。但在网络会计中,各种单据都以电子形式存在,这种电子数据通过各种手段被篡改或伪造时,一般不留任何痕迹,很难被发现,这给内部控制带来了新的难题。网络环境的开放性,也大大增加了黑客窃取、篡改和伪造数据的可能性。
三、 应对风险的措施
IT是把双刃剑,它在给我们带来便利的同时,也带来了风险。针对其风险,应结合IT自身的特点予以解决。
(一)从输入口端防范风险
以网络为代表的IT环境改变了手工会计的流程。计算机凭借其高效的运算和复制速度、高速的数据传输能力、基于既定规则的逻辑判断能力,改变了手工会计的流程,缓解了使用者的劳动强度。我们在享受计算机带来的便捷时,也要认识到计算机其实是没有智力的,对于错误的数据输入很难有较好的判断,充其量也就是停留在数据的完整性和基本逻辑判断上。所谓“垃圾进垃圾出”,就是指对垃圾数据处理得再完美,得到的还是垃圾信息。因此,对输入端的控制至关重要。当数据进入输入端后,都交由计算机进行处理,如果不是恶意的攻击和篡改,一般而言,如处理程序没有问题,数据的安全性和准确性是可以得到保障的。
为了保证输入端数据的正确性,一方面要从会计制度上进行管理,即单据录入人员和审核人员的权限职责要分开,不能由同一人担任;另一方面要利用计算机的逻辑判断能力,通过网络数据共享,在丰富数据的支持下,通过计算机程序对错误的单据进行判断和提示。程序化控制体现了实时控制的思想,阎达五、张瑞君充分肯定了这种思想。他们认为,会计实时控制观是体现信息时代特征的一种新的控制观,它不仅仅是会计控制内涵和外延的扩充,而且是对传统控制观的发展和创新。[2]在实践方面,比较著名的例子就是福特公司采用实时控制的思想,成功高效地实现了对采购、付款过程中的风险进行控制。我国的联想公司在员工报销流程中也成功应用了这种实时控制的思想。
这种思想的实现是以数据的集成和共享为前提的。很难想象,没有业务数据的支持,实时控制的思想能得以实现。《企业内部控制基本规范》明确指出集成的业务数据支持在内部控制中的重要性,其第七条规定:“企业应当运用信息技术加强内部控制,建立与经营管理相适应的信息系统,促进内部控制流程与信息系统的有机结合,实现对业务和事项的自动控制,减少或消除人为操纵因素。”[3]第四十一条规定:“企业应当利用信息技术促进信息的集成与共享,充分发挥信息技术在信息与沟通中的作用。”[3]目前,国产软件在这方面还存在不足。以用友软件为例,许多模块在数据的集成和共享上存在欠缺,内部控制流程无法与业务流程和会计处理流程集成在统一的软件平台上。另外,用友软件的设计思想以面向核算功能为主导,注重核算模块的功能实现。用户根据需要购买模块,即使一些用户购买所有的模块,但使用较少的模块也很难保证较好的数据维护,这就导致系统中的数据不能很好地集成,造成流程的中断和传递数据的滞后,部分内部控制难以实施,企业经常不得不采用手工方式进行内部控制,而前面提及的mysAP ERP软件财务业务一体化的高度集成则使实时控制的思想得到了很好的贯彻,正如霍兰德提出的那样,“如果高度集成的系统结构适当,并且内置正确的控制,其风险性可能更低”[4]。
(二) 从技术端防范内部控制风险
1. 权限的管理和控制
传统的不相容职责分离是内部控制的基本原则,这在IT环境下同样适用。在操作中,应规定每个用户的安全等级和身份验证的方式,明确每个操作人员的具体权限,如对数据库的查阅、修改、增加、删除等操作权限。各个岗位之间互相监督和牵制,并对授权的权限严格管理,确保不会出现权责不清的情况。为了更好地对操作人员的操作进行管理,应实时监控和记录运行系统的用户身份、操作时点,其操作和数据也被同步记录在镜像数据库中。当出现系统故障、错误操作、人为破坏和非法访问时,可以回滚(Rollback)为之前的状态,同时也可根据日志记录,追究相关人员的责任。一般的大型数据库从技术上均可以支持这种回滚功能和日志功能。
2. 网络方面的管理和控制
一方面,由于企业的数据库和外网连接,所以在网络接口处设置防火墙至关重要。一般可以安装应用网关防火墙,它具有包过滤防火墙和代理服务器防火墙两方面的优点,可以防止外部的非法访问和内部的非法攻击。另外,实时的杀毒软件监控也是保证数据安全所必备的。另一方面,网络带来的数据高速传送突破了时空的限制,但也使数据在传输途中存在泄密的风险,而多层加密技术和数据签名技术可以防范这种网络时代常见的风险。
(三)加强内部控制的顶层框架设计
除了实践中探索之外,顶层的框架设计更加重要。国外的COSO、COSO-ERM、CobiT虽然都对IT予以关注,但一般都是仅说明了“IT应该做到什么”,较少涉及具体操作。我国借鉴了COSO报告的五要素框架,在2008年发布了《企业内部控制基本规范》。该规范在形式上借鉴了COSO报告五要素框架,在内容上体现了风险管理八要素框架的实质。《企业内部控制基本规范》在风险评估、控制活动、信息与沟通三个部分都对IT有所涉及,但该规范仍是一个高度抽象的概念框架,多是原则性的表述。因此,实践上的探索是完善顶层框架设计所必需的,它有助于提高规范的可操作性,使理论思想得到验证,而规范的框架设计可以促使内部控制在实践上更严密和科学,两者应相互促进,相互配合。
[1]陈志斌.信息化生态环境下企业内部控制框架研究[J].会计研究,2007(1):30-33.
[2]阎达五,张瑞君.会计控制新论——会计实时控制研究[J].会计研究,2003(4):3-5.
[3]樊行健,肖光红.关于企业内部控制的本质与概念的理论反思[J].会计研究,2014(2):4-11,94.
[4]陶黎娟.IT环境下我国财务报告内部控制研究[D].厦门:厦门大学,2009.
Abstract:IT environment brings about opportunities as well as challenges for changes of internal control. These challenges mainly lie in the input port control, technical side guard and the top-level specification of internal control and so on, the corresponding solutions should be put forward from these three aspects. Although there are still a lot of problems of internal control under the IT environment, we should realize that the impact of the IT environment brings about very good opportunities to promote the internal control theory.
Key words:IT environment;internal control; COSO report
Opportunity and Challenge of Internal Control Under IT Environment
TANG Yan, CHEN Qinghai
(SchoolofBusinessandManagementofJimeiUniversity,Xiamen361000,China)
2015-09-08
福建省社会科学规划项目(2014B089),集美大学博士启动基金(C611007)
汤 岩(1974-),男,江苏淮安人,集美大学工商管理学院副教授,博士,研究方向为会计信息系统和计算机财务管理。
F275
A
1674-3318(2015)04-0022-02