【摘要】基于系統論的觀點,本文將持續監控系統視為信息系統條件下內部控制系統的一個子系統,分為持續監控環境、持續監控標準設定、持續監控活動、信息與溝通和對持續監控的專項評價等五要素,并對各要素的內涵進行了分析。
【關鍵詞】持續監控 內部控制 會計信息系統
持續監控(簡稱CM,下同)是一種與企業經營管理有機結合的內部控制程序,其目標是為了確保內部的持續有效運行。CM因其能獲取內部控制運行最及時、相關與可靠的直接信息,可以實現對內部控制的實時、動態調整,使之成為內部控制監督的主要形式。信息系統應用環境為CM提供了理想的運行環境,其優勢得以充分發揮。系統論認為,任何系統是由若干要素組成的,這些要素以合理的結構安排來實現系統的耦合,協同運作實現系統的目標。基于此,我們認為CM也是一個系統,而且是信息系統環境下,內部控制系統的一個子系統。類似于內部控制系統的五要素劃分,我們也將CM系統劃分為CM環境、CM標準設定、CM活動、信息與溝通、專項評價等五要素,這五要素之間的關系如下圖所示:
上圖并沒有單獨標識出“信息與溝通”要素,是因為該要素在整個系統中是普遍存在的,而且信息系統本身就可視為一個信息與溝通系統,難以將它作為一個獨立的組成部分標識出來。
一、CM環境
CM環境是CM系統各個要素存在和效用發揮的基礎。在整個內部控制系統中,它是屬于控制環境的有機組成部分。不過,由于CM效用的充分發揮需依賴信息系統環境,因此,CM環境又有其新內容。具體而言,適合CM需求的高層基調和組織結構是CM環境的兩個必要組成部分。
1. 高層基調。企業要順利實施CM,需要借助強有力的高層基調來跨越兩個主要障礙。①董事會和管理層在推行CM時,需要向相關人員闡釋CM價值,并清晰地表明高層支持CM的堅定立場,以獲取員工的支持。②CM系統不是通用信息系統,它需要根據特定信息系統進行定制。這種系統的成本高昂,在具體實施過程中需要在專業人員方面有新的投入,加之企業實施這類系統,投資回報難以立竿見影,因而企業投資此類項目,更加需要有一個富有遠見的高層團隊的支持。
2. 組織結構。CM系統的運行,需要有相應的組織結構予以支持。具體而言,管理層負責CM系統的實施,董事會對管理層進行監督,并對CM負有最終責任。管理層在設計組織結構時,需要對CM相關崗位的角色進行定位,對崗位職責進行劃分。在崗位的人員配備上,要確保負責CM的評價人員的勝任能力和客觀性。其中,勝任能力要求評價人員具備內部控制和業務流程方面的知識;客觀性要求評價人員在CM時,能夠做到不偏不倚。從這兩個方面的要求來看,內部審計部門的信息系統審計師是CM的首要人選。
二、CM標準設定
根據ISACA的《內部控制系統和IT監控指南》,監控的設計首先是了解影響企業目標實現的相關風險及其特征,之后確定這些風險的輕重緩急,進而確定監控的類型、時間和范圍。目前,ISACA的《風險IT框架》及COBIT框架的信息標準可以幫助識別相關風險。CM作為內部控制系統的組成部分,它的標準設定工作需要和內部控制的風險評估相結合。因為風險評估是根據信息系統內部控制目標所面臨的來自內部和外部的風險,持續地對這些風險進行確認和處理的機制,風險評估的結果提供了控制活動的輸入,同時也形成了CM標準。
風險評估的目的就是為CM活動的執行提供一個衡量標準,即CM標準。CM標準有關鍵目標指標(KGI)和關鍵績效指標(KPI)兩類。CM標準設定可分為事前標準設定和事后標準設定。企業在設定CM標準的時候,可以考慮采用成熟度模型,來判定自己的內部控制成熟度水平、IT治理成熟度水平,對自己的現狀進行定位(初始級、可重復級、已定義級、已管理級、優化級),明確需要達到的成熟度水平,進而指明內部控制的改進空間。標準設定要適度,既要著眼于內部控制有效運行的需要,也要給內部控制留有持續改進的空間。
無論是事前標準設定,還是事后標準設定,所設定的標準都是靜態的,其有效性會隨著時間的推移逐漸降低。這是因為企業的運營環境是持續變化的,相應的風險也是動態的,企業的管理流程、業務流程和內部控制流程也會隨之發生變化。同時,管理層對內部控制及CM的認知也是逐步深入的,這必然產生對CM標準進行調整的需求。因而在CM軟件中,都會設計參數調整窗口,以滿足這種動態需求。
三、CM活動
CM活動就是以CM標準為依據,以適當的頻率對信息系統中的各類信息進行統計分析,借以發現某些關鍵控制偏離CM標準的例外情況,并通過“警報”的方式將監控結果發送給評價人員。CM活動與內部控制的控制活動要素功能也有重合之處:在控制活動缺失的環節,CM活動就可以視為一種彌補控制缺失的控制活動;在控制活動存在的地方,則是對現有控制活動的再控制。
從技術能力限制和成本效益原則出發,CM的對象是關鍵控制。COSO定義了關鍵控制的兩個特征:它們的失敗可能對實現一個組織目標的能力有重要影響,但是可能不會被其他控制及時檢測出來;它們的運行可能防止其他的控制失敗,或者在這種控制失敗可能對組織目標有機會產生重大影響之時,將它們檢測出來。
COSO進一步指出,監控的核心環節就是針對關鍵控制來設計和執行監控程序,以便將有限的資源分配給高價值或高風險的內部控制。一旦關鍵控制被識別出來,評價人員就需要識別能夠支持這些控制是否根據設計來實施和運行的信息。識別這種信息能夠知道控制失敗是如何發生的,以及哪些信息在決定控制系統是否合理運行方面是具有說服力的。
在信息系統環境下,針對關鍵控制的CM,ISACA的《內部控制系統和IT監控指南》列出了六個監控要點:如果關鍵控制實現了自動化,那么相關的IT一般控制也需要進行監控;如果關鍵控制是手工的,但依賴IT產生的信息,這時就需要對相關的IT一般控制進行監控;風險評估流程和電算化信息的可獲得性,驅動著更多的相關控制被納入監控范圍;直接從IT流程中獲取信息所進行的監控程序更加有效;對IT控制的監控和自動化的監控,通常可以同時用于實現多種監控目標;IT提升了監控流程的持續性。
信息系統環境下的監控,區別于傳統監控的顯著特點在于它可以以較低的成本在一個較高的頻率上得到執行,至于具體的頻率如何,則要視具體的關鍵控制特征而定。在定義某個關鍵控制點的CM頻率時,需要考慮到:①容易發生變化的關鍵控制需要更高頻率的監控。②那些對信息系統有高度影響的控制,其監控頻率要求更高。③關鍵控制點面臨的風險水平越高,其監控頻率要求就越高。④具有較低風險容忍度的企業,需要進行更高頻率的監控。⑤對自動化程度越高的業務流程,其監控頻率要求也就越高。⑥在報告方面,需要根據企業內部管理政策和外部的規范約定的要求,對CM頻率進行設置。
四、信息與溝通
該要素從屬于內部控制的信息與溝通要素,它要求將CM的政策、計劃及程序按照崗位的職責劃分,傳遞給相應的責任人,以明確各自在CM系統中的角色與責任。良好的信息與溝通,有助于消除信息傳遞的時滯,快速落實權責關系。
在CM實施前,應做好信息與溝通工作,這可以起到事前威懾作用,降低內部控制失敗的概率。在CM系統設計過程中,需要考慮兩個重要的信息與溝通機制:①警報和數字儀表板。警報是對CM過程中發現的異常情況和例外事件的一種反饋形式。警報內容的設計,通常應該包含以下幾個方面的內容:發現了什么問題(What),是什么時候發生的(When),何處發生了問題(Where),問題是如何發生的(How),問題可能發生的原因(系統智能判斷)(Why),應由誰負責(Who)。②數字儀表板是CM人員日常使用的一種人機互動界面。數字儀表板可以用各種圖表直觀展示CM的各項指標值,直觀檢測內部控制系統的運行情況,并對各種異常情況進行預警和挖掘分析,還可以給操作員賦予一些對數字儀表板上的參數進行調整的權限。
五、專項評價
CM策略并非固定不變,其有效性取決于是否能夠持續適應信息系統內部控制的內外部環境,環境的動態變化決定了CM策略和計劃需要進行定期或不定期的專項評價。評價的內容包括CM策略的相關性,企業風險容忍度的恰當性,標準的正確性,報告需求的變化,監控頻率是否需要進行調整。促使CM策略變化的因素可能包括信息系統內部控制缺陷長期存在但未被發現、企業核心任務或業務流程的改變等。
在內部控制的監控要素中,專項評價和CM是兩種互補的監控方式。ISACA的《內部控制系統和IT監控指南》認為,專項評價可以采用與CM相同的技術,但是專項評價用來對控制進行周期性的評價,且未嵌入企業日常經營活動之中。專項評價是由未參與業務流程運行或與被監控的控制無關的人員來執行的,所以它更客觀,評估結果也更可靠。對CM進行專項評價,一方面是用來確保CM能夠跟隨內部控制系統內外部環境的變化而及時進行調整,另一方面是對內部控制系統進行持續改進。
【注】本文系浙江省自然科學基金項目(編號:LQ13G020011)的階段性研究成果。
主要參考文獻
1. 陽杰,應里孟.論企業內部控制監督的本原性質.財會月刊,2011;28
2. 陽杰.信息系統內部控制不完備性解構——兼論內部控制監控必要性.財會月刊,2011;30
【作 者】
陽 杰 應里孟 周海燕
【作者單位】
(溫州大學城市學院 浙江溫州 325035)
