1. 利用系统集成化优化内部控制系统。在信息化初始阶段,企业通常借助计算机去满足手工状态下内部控制和信息处理的要求,很少甚至基本没有顾及信息技术本身的特性,由此产生诸多“信息孤岛”,而某一控制所需要的信息可能部分来自于会计信息系统,也可能部分来自于其他不同的信息系统。这使得很多企业在管理现代化后并没有赢得任何控制的优势。而新系统的集成化是优化内部控制的必由之路。系统集成化是把企业的所有业务实现信息集成,通过物流、资金流和信息流的协同进行,从而实现对业务流程的控制。
一是整合事前预防、事中检查和事后纠正三种控制机制。在集成化的系统中,业务活动和信息处理相结合,以事前预防和事中检查为主、事后纠正为辅来控制业务流程和结果的风险。比如,企业通过预算管理体系,使得费用使用部门、审批、执行与预算等各相关部门的职责权限与流程在集成化的系统中得到统一的规范,任何超越权限、突破流程的作业都不可能发生,任何部门或个人的失职在系统中都被实时地记录和反映。这种事前预防和事中检查功能可对差错和舞弊进行及时有效的控制。
二是实现由会计控制向全面控制、自主控制转变。系统的集成化使得企业中的任何一员都可以在其授权的范围内进行控制,只要利用信息技术设计好严格的控制机制,就可以方便地实现从以会计控制为主向全面的内部控制转变,并由内部控制进一步朝自主控制的方向发展。
2. 创建良好的信息和沟通机制,优化内部控制系统。在信息化环境下,信息和沟通机制包括企业内部IT部门核心成员与相关业务人员的沟通以及与外部审计师之间的沟通。
系统的集成性为构建良好的内部信息和沟通机制创造了条件。由于在业务发生时及时收集的业务信息可实时传递到财务系统,因而实现了对物流、资金流、信息流的全面控制,企业中的任何经营决策过程及其影响的信息已经不再是实际掌握或执行该项经营决策的个人或部门的垄断信息,而是成为整个企业的共享信息。
与外部审计师的沟通则要抱着积极开放的态度,及时跟踪业内动态并与审计师一起讨论分析,增加相互信任,争取与外部审计师交换意见的机会,尊重审计师的建议和观点,及时纠正审计师发现的问题,争取尽早在有争议的问题上达成一致。
3. 重组业务流程,优化内部控制系统。通过有效执行设计合理的业务流程,能规范业务操作,变“人为控制”为“自动控制”,同时提高处理速度,变“滞后控制”为“实时控制”。内部控制以贯穿企业全部业务流程为主线覆盖整个企业,优化内部控制系统就要通过对业务流程进行优化和重组完善原有的内部控制。首先,由于业务流程重组涉及组织结构调整和人员、岗位、职能调整以及控制点的变化。因此,内部控制要结合新控制点制定控制措施。其次,要面向客户和供应商整合整个供应链业务流程,并尽可能实现企业与外部只有一个接触点,变局部控制为全程控制。再次,尽可能将控制点设在工作执行的地方,使组织结构扁平化,降低内部控制的成本。最后,针对企业的各种业务从政策法规、权限金额、标准流程、部门职责等方面进行规范,并将这些规定固化在软件程序中,迫使企业人员按照这种既定的规则进行操作,以提高内部控制的执行力度。
4. 利用信息技术优化内部控制系统。信息技术的确会给组织带来新的风险,但伴随新风险的产生,新的工具也产生了。只要使用得当,就能非常有效地降低这种风险对组织可能造成的损害直至最终合理保证内部控制的目标。另外,信息技术还提供了有效的电子审计线索,数据收集的触角可以延伸到原始业务发生的所有场所,我们可以从报表追查到相应的账簿,再从账簿追查到会计分录,然后从分录到原始凭证的路径追溯审计线索。
利用信息技术优化内部控制系统,需要实施以下七个步骤:一是项目组织和计划;二是内控业务流程分析;三是识别和设计IT 控制点;四是评估IT 内控设计的有效性;五是评估IT 内控执行的有效性;六是缺陷识别和改进建议;七是持续改进。其中,步骤二和步骤三是实施内部控制优化的重要环节。通过这两个步骤的分析设计过程,可以确定企业内部控制的范围,依据该范围再去评估整个内部控制的设计有效性和执行有效性。
