浅议信息化工具下的企业内部控制评估,本文主要内容关键词为:内部控制论文,工具论文,企业论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
如今全球各主要资本市场均要求上市公司加强内部控制体系建设,同时要求披露外部审计上市公司的内控情况并进行评估已成为一种世界潮流;但由此也带来了高昂成本的付出,根据AMR Research①的调查,85%的在美国上市的公司为符合SOX(即美国的《萨班斯—奥克斯利法案》,简称SOX)的要求计划改造其IT系统,其中财富1 000强公司会支出25亿美元用于与SOX相关的工作上。SOX带来的高昂的公司治理成本,甚至导致了创新科技(Creative Technology)这样一家在纳斯达克(Nasdaq)上市11年的全球最大的声卡制造商,在2003年退出了纳斯达克②。那么,中国的上市公司是否能够用合理的成本达到市场和政府对企业内部控制的监管要求?显然是需要研究的问题。
通过信息化工具的高效率来抵御管理成本的上升,这是常见的一种解决思路。目前实施内控体系建设的企业急需有一种信息化工具,能够帮助企业较轻松地建立和维护内控手册、辅助企业高质量地实施内控评估、进行缺陷报告等功能。国外的一些大型软件商虽迅速提供有针对SOX的软件包,不过国内上市公司适用的法律规范和实际情况与在美国等上市的企业不尽相同(当然也有两地同时上市的公司),而国内目前专注于内控方面的软件企业并不多见。国内企业可否以不高的代价较快地获得一种适合国内企业运用的内控工作信息化工具,来帮助企业内控部门从成堆的表格、如山的文档中解脱出来呢?下面笔者抛砖引玉地提出自己的一点思路,希望对上市企业、软件开发商或者监管部门在实际工作中实现内控工作信息化有所帮助。
一、内控工作的内容和现状
目前内控工作所需要完成的工作内容大类上分有以下两项:第一项是内控手册的建立和维护。企业通过访谈调查、问题整改、制度修订等一系列工作之后编制完成内控手册。内控手册包括各业务流程的风险描述、控制目标、控制活动描述、相关制度、相关文档等要素,并根据日后实际工作情况进行手册维护。第二项是内控评估和报告。(1)依赖内控手册,企业设计出评估测试工作底稿,并组织内控评估测试,发现控制风险和控制缺陷。(2)整理评估结果,报告识别出来的控制风险,提出对降低控制风险的解决方案,并根据需要更正实际执行或修订制度或修订内控手册。
一些企业内控手册的编制、维护大都使用的是Word等文字处理软件,而内控评估程序和工作底稿的编制,普遍使用的是以Excel等电子表格软件,这些桌面办公软件虽然单独使用非常方便,但在作为企业内控信息化工具上仍有一些不足,造成工作效率难以提高,其问题列举如下:(1)文字处理软件编写的内控手册中的各种内部控制要素仅仅是文本,评估测试如果需要自动调用某个“元素”(比如某个控制活动)就比较难以做到;内控手册初步建立时,需要多个部门共同编写、频繁修订;或手册维护时,对于重复出现的内容需要修订或删除,这些工作文字处理软件可以完成但还可以寻求一种更为严谨的方式完成,比如数据库。(2)电子表格不适于呈现内容量极大的文件,呈现为超长超宽且页面繁多的表格,对使用者而言非常不“友好”,增添了查询、填写这些表格的困难。(3)受制于电子表格的数据存储方式,实现电子表格输入、存盘校验时会顾虑到是否会影响整个工作簿的保存,实际工作中仍然要依靠内控评估人员的人工检查来保证工作底稿填写的质量。人工检查工作底稿不仅费时、费力、容易疏漏,而且属于一种“事后控制”了。(4)单机版本电子表格没有“工作流”的概念,需要把表格根据工作分配依靠人工来进行分拆,再通过电子邮件从测试人到复核人再到汇总人之间进行传递,当参与内控评估的子公司层次较多、部门较多、人员较多,且在审核或汇总时发现问题又需要退回更改时,文件流转就显得较为纷乱,很难保证工作底稿数据的及时更新,最后工作底稿还需要手工合并汇总成缺陷汇总表,这也需要不少的工作量。(5)随着参与评估的单位、部门、工作人员的数量越多,出现不同版本的电子表格不兼容问题的可能性也越大。(6)测试文件的附件需要文件编号并予以标注等工作,由于附件数量巨大(往往几百甚至上千页),人工处理容易出错且耗时颇大,存储查阅也非常麻烦。
在没有特别的信息工具的情况下,内控评估前的培训不得不一再重复于表单填写、附件编号等方面的培训内容,使得内控评估相关的培训工作投入较大,实际操作比较费时费力,工作结果受人员变动的影响较大。
二、基于内控系统的软件系统
内控工作的信息化工具我们假设称其为内控系统,设想该系统包括如下功能:(1)手册要素的创建(维护)、删除、查询(显示);(2)评估测试程序的创建(维护);(3)各种评估测试表格的填写,表格附件的上传;(4)评估测试报告(缺陷汇总)的生成。
根据上述设计,内控系统可以分为“内控手册”和“内控评估”两大模块。
B/S模式(浏览器/服务器模式)的自动化表单软件系统(常见于企业OA系统中),可以通过表单图像设计模块,让用户基本不用编程就能通过简单易用的界面,迅速设计出规范统一、便于计算机处理的网页表单(如图1)。而配合上内置的工作流软件,设计出来的表单可以根据规定的流程经由各相关人员填写或审核。表单上的数据将存入后台的数据库系统,连接上报表系统后,数据库系统里的数据就能被分析生成报表和图表。由于基于自动化表单系统的开发较为快速,开发成本也较低。加上能很好地利用企业原有的OA系统平台,系统软硬件平台不需要重复投资。所以自动化表单系统作为内控系统的开发平台很合适。
图1 图形化设计表单
基于自动化表单系统开发的内控系统相应于前面谈到的电子表格有如下优点:
1.系统的发布、运行、维护都集中于一台网络服务器,避免了软件发布到个人电脑本地安装时出现不兼容的情况,减少了将来分散运行、维护的麻烦(如图2)。
图2 网页表单界面
2.建立数据库作为后台,用于数据存储,提供高效率的数据存储、查询服务。而在前台手册的建立、维护是按照数据库格式来实现的,很好地解决了数据冗余的情况(例如相同的控制活动被不同的控制目标行所引用,更新时容易忽略这类问题);表单输入界面通过严格的校验机制,控制表单填写的质量。
3.依靠工作流来解决大量表单分配、递交审核和汇总的问题。
4.所有表单按树状目录管理,便于查看、填写(如图3)。
5.方便的存储表单附件,建立于测试工作底稿之间的联系。便于对工作底稿的复核,以及其他工作对工作底稿的再次利用。
图3 树状目录
三、内控评估工作的标准化
目前使用电子表格作为内控评估测试工作底稿的载体,运行有效性测试表单的列数是随着测试问题的多少而变化的,行数是随抽样多少而变化的。如果以此模式建立内控系统,就需要为每一个测试程序编制一张运行有效性测试表单,一家上市公司及其控股子公司可能会有几千上万张测试工作底稿,创建这些测试底稿将耗时巨大,但更为麻烦的是,随着内控手册更新及评估侧重点等的变化,同一测试程序及附带的运行有效性测试表单均需要修改,维护这些测试程序和评估测试表单也将成为一个沉重的工作负担。
那么内控评估工作的标准化能否解决这些问题呢?我们举一个例子:
原运行有效性测试程序:(1)询问财务部相关人员并现场查看网银付款流程并确认;(2)网银付款须经过多级审批;(3)各级别电子口令卡由经授权的人员分开保管。
原运行有效性测试工作底稿的测试数据部分如下表1。
标准化之后的运行有效性测试工作底稿测试数据部分如下表3。
经过对比可以发现,标准化后的测试程序成为了一个“评估测试问题库”,于是几百张甚至上千张表单化为一个统一的界面。需要哪段测试程序则调用哪段测试程序,修改某个测试程序也仅仅是修改数据库中的字段,不需要去修改一张张表格来显示格式,创建一个测试工作底稿也变成了在“评估测试问题库”中输入文本,无需对每张工作底稿设计或维护表单界面,大大降低维护工作量。且每一个测试问题行在标准化的测试程序定义中被指定了问题回答值的类型:日期、数值、布朗值、文本,防止了问题回答时出现大的偏差。行列对换后,文字较多的“提问”部分可以充分地予以显示,显示布局也更为合理。
运行有效性测试程序的标准化,不仅对最终实现工作底稿的信息化显得极为重要,而且对于实际工作中内控人员的理解和填写也关系重大。在上述标准化的基础上,评估测试程序的设计人员应该把注意力集中到测试问题表述的标准化上来,这要求评估测试程序编写人员有一些“逻辑学”的基础。
这里我们可以试着简单地提出一些测试问题表述上的标准化要求:(1)要用较为严谨、没有歧义或明确定量的问句提出;(2)如果需要的答案是“是或否”,则问句中要含“是否”字样;(3)问句的设计尽量要让答案统一成“是”表示“有效”,“否”表示“无效”,以防最后汇总缺陷时出现误判。
对于第(1)点,如上面举例的原运行有效性测试程序就有歧义:“多”是一个模糊且有歧义的单词,“多级审批”含2级审批吗?还是一定要求3级及3级以上的审批。
第(3)点看上去有点复杂,举个日常生活中的例子。通常“点头”总是表示肯定的意思,“摇头”表示否定的意思,但你如果设问:“如果你不知道,请点头”这就比较别扭,也和你平时对其他问题的回应不甚统一。在运行有效性测试问题中,如果答案的“是”与“否”和控制有效与否的对应是不一定的,那就很容易误判。例如,针对某信息系统的测试问题是:“系统中是否存在非本公司员工的账户?”,控制有效的情况应该是系统中不存在其他非本公司员工的账户,如果企业的实际情况确实如此,但顺着举例中的问法就应该回答“否”,而一般设计的其他问题的回答中“否”都代表“无效”;这样,缺陷分析时要么错误地汇总了没有缺陷的“缺陷”,要么就相反,漏掉了应该发现的真正的缺陷(举例中如果企业实际情况相反,试想之)。所以这个测试问题更好的问法是“系统中是否只存在本公司员工的账户?”。这些工作将会成为未来推进智能化的工作底稿分析的基础。
当然,这里仅仅只是就一个问句的普遍情况进行了简单分析,其实测试问题与测试问题之间不会是没有逻辑关系的,对于测试问题之间的逻辑关系的组织是否有标准化的可能性也是值得研究的,据笔者观察,目前国内关于内控评估测试程序的标准化的研究还不多,需要更多的内控工作者的参与,在实际工作中归纳总结宝贵的经验。
四、内控工作与企业信息化建设的关系
按照以上的工作方向,我们可以建立一套内控系统,解决在当前发展阶段上市公司内控工作中维护内控手册和辅助内控评估等工作的紧迫需求。但评估测试需要对评估依据如公司制度、实际运作的单据、其他支撑性文件的掌握,如果要高效地收集这些信息,就需要企业拥有完善的管理信息系统,例如OA,ERP,文档管理系统。
加强企业信息化建设不仅仅只是为了解决“内控评估”这个“标”,而更是为了解决“有效控制”这个“本”。推动企业的信息化建设将切实提高企业的内控水平。内控工作者应该深入研究各种信息系统与实际工作流程的关系,推动企业合理使用各种系统,规避系统在权限、控制方面尚存的不足之处。
企业内控建设的总成本中,小部分是用于我们前面所谈的内控系统的建设,更大的一部分是用于增强企业的控制活动。盲目靠增加各种复杂流程、台账、人员的方式来实现增强控制活动的做法不仅效果有限,而且成本很高。企业只有通过增强信息化建设才能有利于企业实现高效、可靠的内部控制的可行方法。当然,信息化的管理也带来了不同于传统的控制点和控制方式,要求内控工作人员更多地运用信息技术的手段进行评估测试,这将是一个发展趋势。
企业的信息化建设不能孤立地看做仅仅需要企业自身的努力,国家在信息标准化方面的努力将会大大改善企业外部的信息环境,极大地提高企业对于常规经济业务的控制可靠性。
笔者充满期待地希望看到有一个国家层面的组织,能够在“订单至付款”这样的企业常规流程的信息标准化建设中发挥作用,让企业的询(报)价单、订单、进(出)货单、发票、银行对账单等都能借鉴国际标准,实现信息标准化。这一方面大大降低中国企业的交易成本,提高交易效率和准确率,同时也让中国企业的内控、审计工作中不至于花费很多精力在日常交易合规方面的评估、审计,将内控、审计的重心移向更为复杂的经济活动领域。
注释:
①AMR Research是全球著名的市场研究公司,AMR Research为全世界5 000多个供应链和技术主管人员提供独立的分析和可行性建议,帮助他们作出更好的业务投资决策——引自MBA经营管理百科。
②据新浪科技时代“创新科技退出纳斯达克成首家退市亚洲公司”报道。
标签:内控体系建设论文; 内控管理论文; 内部控制审计论文; 内部控制缺陷论文; 内部控制目标论文; 信息化管理论文; 标准化管理论文; 风险内控论文; 控制测试论文;