基于电子商务环境的内部控制理念的创新研究
来源:中国管理信息化 更新时间:2012-04-14

   作者: 蔡立新 
20世纪90年代以来,以网络化、数字化和信息化为核心的信息技术革命,全方位地冲击着传统的组织结构、管理模式和商务观念,催生了一种新型商务模式——电子商务运营模式。由于这种商务运营模式不再依靠纸面文件以及单据的传送,而是借助于现代信息技术来全面实现电子化的交易和结算过程,因此,在电子商务环境下,企业的财务收支及其有关的经营管理活动的特点必然发生巨大的变化,各种业务趋于隐性化和数字化,导致舞弊行为更易发生;与此同时,利用传统手段已然无法对新环境下的内部控制进行科学、合理的评价。

面对电子商务环境,我们需要对内部控制的理念以及控制措施加以创新。本文运用COSO内部控制整体框架理论,着重讨论了传统内部控制理念中不适合电子商务新环境发展要求的部分,进而阐明适合电子商务环境发展要求的新型内部控制理念,并提出将现代信息技术完美渗透到内部控制系统之中的指导思想。

伴随着现代信息技术特别是网络技术日益渗透到社会经济和生活的方方面面,商业活动作为人类最基本、最广泛的活动方式,自然也面临着由传统模式向网络模式的转型发展,于是,电子商务便应运而生。所谓电子商务,就是指借助于互联网开展商业贸易活动。由于这种商业活动模式可以打破公司与顾客之间的时间限制,也可以打破相互之间的地理距离限制,因此,与传统的商业贸易运营模式或渠道相比,电子商务从理论上分析应该能给公司创造更多的商业机会;但与此同时,由于电子商务是建立在开放、分散的互联网之上的,所以,通过电子商务进行经济业务时除了内部容易发生舞弊之外,还要面对外部的各种威胁,如网络黑客的攻击、虚假的交易表示以及各种网络病毒的蓄意侵袭,也就是说电子商务环境下正常的交易行为可能经由网络会遭受任何意想不到的非法骚扰与破坏。由此可见,电子商务环境下,内部控制的控制目标、控制风险、控制政策与控制程序等均随控制环境发生了重大改变,亟待重新定位和调整。面对这一全新环境,我们需要对内部控制的理念以及控制措施加以创新。本文拟对此做一些粗浅的探讨以求起到抛砖引玉的作用。

一、理论分析工具

本文对电子商务环境下内部控制有关问题的探讨主要以COSO内部控制整体框架理论为基本分析工具。按照COSO定义,内部控制是由企业董事会、经理阶层和全体员工共同实施的,为财务报告的可靠性、营运的效率效果、相关法律法规的遵守等目标的达成而提供合理保证的过程。该定义揭示了内部控制的三大目标,即确保经济信息和财务报告的可靠性、企业经营活动的效率和效果以及相关法律法规的严格遵循。COSO进一步指出,内部控制整体框架由控制环境、风险评估、控制活动、信息与沟通、监督五大要素共同构成。笔者认为,内部控制不仅与资产管理有关,而且与行政、业务管理也密切相关,其控制内容应该超越会计和财务范围,渗透到经营的各个方面和管理的全过程,COSO所定义的内部控制三大目标应该理解为更广义的三大目标,即操作性目标、信息性目标和合规性目标。在这里,操作性目标不只针对经营活动,而且还包括其他各种活动;信息性目标既包括财务会计信息又包括管理信息,一个行之有效的内部控制制度应该能够实现财务和管理信息的可靠性、完整性和及时性。

按照COSO的观点,在内部控制的五要素中,控制环境决定了组织的基调,并影响到组织中人员的控制意识,内部控制的其他要素都基于控制环境而建立;风险评估则在于识别并分析与组织目标达成有关的风险,它是决定哪种风险需要控制以及采用哪种控制措施来对付风险的基础;控制活动则是组织的一系列政策和程序,以确保适时采取必要的行动来降低与组织目标相关的各种风险;信息与交流存在于所有经营管理活动中,使员工得以搜集和交换为开展经营、从事管理和进行控制等活动所需要的信息,包括管理者对员工的工作业绩的经常性评价;监督则是经营管理部门对内控的管理监督和内审监察部门对内部控制的再监督与再评价活动的总称,可以分为持续性的监控和问题性评估;可以由经营管理部门和内审监察部门分别单独进行,也可以由两者结合起来进行。总之,一个完整的、有效的、适时的内部控制体系是在组织中人的因素影响下上述五项要素与上述三大广义目标的有机结合。

二、滞后于电子商务环境的部分传统内部控制观念

今天的电子商务已经作为信息时代社会生产和社会消费之间的一次革命,不再仅仅是简单的买和卖的关系,而是在互联网支持下将企业与其消费者、供应商以及合作伙伴紧密结合在一起,实现从原材料的查询、采购、产品的展示、订购到出品、储运以及款项支付等一系列贸易活动在内的完整概念,电子商务使得反映企业价值链活动的有关合同、单据、发票等书面记录被电子载体记录所替代,从而实现交易无纸化、隐性化、直接化和电子化,这些特性向我们昭示着这样一个不容争辩的真理:在电子商务环境下,传统的会计语言和企业会计文化将发生质的变化,会计语言中的一些核心词汇,诸如记账凭证、账簿、报表等的作用已经在逐渐淡化,代替证、账、表的将是原始信息、操作信息、分析决策信息。

电子商务环境下,经营与管理、会计与财务已经被高度集成。一方面,会计人员不再像过去那样被淹没在各种原始单据的故纸堆中,他们可以充分共享企业其他部门所记录的交易数据(因为电子商务系统整合集成了经营活动和管理活动,比如通过电子商务系统可以实时查询销售部门的销售记录和发货记录、采购部门的采购记录和进货记录、财务部门的收款和付款记录等等)并借助自动分录直接生成会计凭证;另一方面,企业各级管理者和投资者也无需等待会计人员历尽艰辛所提供的滞后的、不全面的账表信息,他们可以随时随地、实时通过网络调阅财务报告信息、管理报告信息等企业共享性信息。然而,传统控制观念中的某些部分却在不同程度上制约和阻碍着电子商务的推行和演进,成为电子商务环境下已经滞后的控制观念,主要表现以下一些方面。

1.传统内控观念坚持大量使用纸张载体来记录、处理和维护历史信息,认为这种方法最保险、最具鉴证作用。应该承认的是,这种做法可以直接看到处理过程,是符合大多数人的习惯的。但同时,我们更应该看到大量的纸质记录与IT特性是格格不入的。我们一方面惊叹于IT的神奇信息处理能力,一方面仍在抱着与IT格格不入的习惯思维工作,其结果势必加大内控成本、增加交易费用,也必将导致内控的操作性目标以及信息性目标不能如愿实现。

2.传统内控观念习惯于用一个人的工作去检查另一个人的工作以此达到规避或控制风险的目的,以为只要业务活动和信息处理都由人来执行,那么这种分离职责和责任的方法就一定是唯一可行的。这种内控理念在电子商务环境下已经落后,因为这种内控观的根深蒂固,一方面会过分地相信人的因素,而降低对机器的信任程度,也就是说会存在排斥运用机器加强监控、运用IT改造控制活动的思想动机;另一方面,由于每道监控以及每项控制活动都依赖于人的执行,越复杂的监控和控制活动必然就需要越多的人来执行,如此势必导致内控成本的不合理增加。事实上,在有些已经开始实施电子商务发展战略的行业已经开始注意到了这种内控观点的不合理性,比如在银行实行的“柜员机”制度和在超市实行的POS系统就体现了这种变。

当然,我们不否认职责分离特别是不相兼容的职责分离原则仍应是内部控制的核心原则,但职责分离不应仅仅表现为人与人之间的职责分离,而是还应该表现在人与机器之间的职责分离。在电子商务环境下,能够用现代IT进行处理和控制的业务流程中的职责没有必要进行划分,而对于不能用现代IT进行处理和控制的业务流程,以及电子商务系统的研制开发、运行维护和日常操作等活动,还应该采用职责分离的控制措施。

3.在传统会计信息系统中,我们试图通过岗位分工来达到对业务记录和财务记录的复核性控制目的。殊不知,这样做的结果使得会计信息系统中充满了重复性数据。同时对会计数据的重复记录和重复数据的大量调整工作无形中加大了信息处理成本,也加大了复核性检查工作的难度和成本。体现在会计信息系统中的这种内控理念也与电子商务环境不太协调。实际上,企业通过实施电子商务战略应该在财务与会计运作上达到3种境界:唯一、实时和共享。所谓唯一是指数据来源要唯一,整个公司经营运作的数据来源只有销售订单和采购订单,订单上的原始数据成为公司信息流、物流和资金流的源头;

所谓实时就是指数据生成和传输是基于单个业务动作而不是针对成批业务处理,采购、生产、销售以及库存等环节的业务数据可自动生成会计凭证,实时转换成应收款和应付款等数据;所谓共享就是指通过在企业内部及其价值联盟体内,对业务流程予以规范和协调一致,实现经营管理的各项数据能够真正形成信息流,企业内部各部门、联盟体内各成员既是信息流上的一个环节,又是信息流的授权共享者,只要拥有权限就能“通透”共享电子商务环境下的信息。

4.传统内控观念一直强调会计师的角色的独立性、反映性和检查性,而对主动性和预防性认识不足,这与电子商务环境要求将内部控制重点放在预防商业性风险以及重点关注前馈控制和实时控制是不相一致的。商业风险是战略风险、决策风险、业务运行风险、信息风险以及财务风险的统称,商业风险中的任何一种风险都会给组织带来破坏。在电子商务环境下,会计师以及电子商务系统设计者尤其要注意识别业务运行风险和 信息风险并能够有针对性地提出相应的风险控制措施,这实际上涉及对电子商务环境的风险评估问题。

一方面,就消费者而言,这一全新的购物环境会带来与以前所不同的业务运行风险和信息风险,前者主要表现为电子商务具有隐性化特点,企业与消费者之间是完全陌生的,消费者很难确定电子商务企业会真正处理其订单并且提供其所需要的商品或服务,更难以确定企业对退货的处理程序及对售后服务保证的履行状况,退一步说,即使消费者对此不存在疑虑,他仍然希望确认企业具有能有效地确保交易完整性的交易控制程序以便能正确且完整地处理交易。因此,在电子商务环境下,对电子商务进行认证以及引入特殊的交易控制程序则有助于降低此种风险;后者主要表现为在电子商务交易中经由网络发送出去的私人资料是否安全,如信用卡资料可能被截取或盗用,储存在企业数据库中的客户个人机密资料可能被网络黑客入侵窃取等等。因此,当互联网正快速地取代以往需大量文件处理或人员参与的交易形态,消费者对交易资料安全的担心却成了推动这一新型交易方式的最大障碍。降低信息保护风险的主要控制措施就是尽可能采用保障隐私权工具,比如TRUSTe、BBBOnlinePrivacySeal和PrivacyPreferencesProject等。

另一方面,站在电子商务企业立场来看,原先几乎不作为内部审计重要内容的会计信息与数据安全性问题却成了制约电子商务应用的最大障碍,也因此成了内部审计的最重要问题之一。除此之外,电子商务内部审计还包括:网络访问控制审计、电子商务数据加密审计、电子商务披露事项的审计以及客户信息隐私保护审计等。这些内部审计的全新内容正是会计师面对电子商务新环境所应作出的角色转变的内在要求。

5.传统内控观念习惯于接受来自组织上层领导的控制指令而忽视对事先制定好的政策、规则以及法律、法规的遵守,如此导致内控制度有时候形同虚设,也导致不能事先将有些合理的控制程序嵌入到电子商务系统之中以实现对业务活动和信息活动的实时监控,更为糟糕的是,会计可以借口企业会计处理涉及商业秘密而拒绝接受最大范围内的会计信息使用者的同步合理性监督。

6.传统内控观念过分重视原始凭证形式上的有效性,而忽视了实质上的有效性。这种控制观念使得许多人认为,只要所出具的原始凭证在形式上是有效的就非常可能被会计人员认定为合格的原始凭证,这种控制观念为会计造假以及贪污腐败行为提供了舞弊的机会。在电子商务环境下,我们更应理性地对待原始凭证特别是原始电子凭证(也就是原始信息),将形式和实质做到高度的统一。值得庆幸的是IT为这种统一提供了技术上的可行性。

7.传统的内控观念过分重视控制目标而忽视了控制过程,实际工作的具体表现就是严重依赖期末或年末对财务报表的检查、强调内部控制甚于运行效率。事实上,内控本身是一种程序,它意味着向某一终点努力,但不是终点本身,内控是用来取得一种或多种互相区分而又紧密联系的目标。

8.保守的内控观使得会计成为阻碍像电子商务、网上理财、网上报税等网络信息时代新生事物发展的绊脚石。这种现象一方面与电子商务等新生事物本身目前所固有的较高风险有关,但同时也不排除会计人员有不思进取的心态存在。尽管会计率先大量使用计算机,使得会计处理实现了初步的自动化以及网络化,但显然在如何进一步更好地实现财务与业务协同方面,如何进一步推动业务创新以及管理创新方面,会计似乎应该可以做得更好。联想集团的例子就可以很好地说明这一点。联想在上ERP之前,每一笔业务基本上都用计算机开出销售小票,晚上把明细和金额导入财务的计算机中,财务以此记入当天收入,但由于采集数据的时点不同,导致财务、商务、库房的数据往往对不上,此时财务不得不把销售小票翻出来重新核对,财务根本谈不上对业务的监控和管理;联想实施ERP之后,财务不但能了解销售、采购、库房、生产的全部过程,而且伴随着它们的每一个作业,财务都有相应的反映,同时都有监控。正是这种信息的畅通、透明,才保障了成本的准确、实时核算成为可能,杜绝了“客观造假”的一个隐患。

以上笔者简要分析了与电子商务环境不相适应的部分传统内控观念,那么在电子商务环境下,内控观念应该具备哪些特质?或者换句话说,电子商务环境下内部控制理念应该从哪些方面加以创新?笔者将在下面的部分对此做详细分析。

三、电子商务环境下内部控制创新理念

1.创新理念之一:会计师应首先注重预防商业风险,然后才是检查、纠正错误和舞弊。前面已经提及,商业风险主要包括战略风险、决策风险、业务运行风险、信息风险以及财务风险等,这些风险都有可能给企业组织带来损害甚至是巨大的破坏。电子商务环境下,企业所面临的外部环境的不确定性在增加,商业风险也在加大,特别是业务运行风险和信息风险几乎成为制约电子商务推广应用的重大障碍,企业会计师在建立电子商务环境下的内部控制制度时,需要打破原先那种独立的、反映式的和检查性的控制模式,在更广泛的环境中来看待业务,强调预防、业务操作和对规章制度的遵守情况,适时引入电子商务内部审计。

2.创新理念之二:通过评估风险以及设计应对风险的控制程序等工作,使用IT来记录、维护和输出信息,借此保证信息交流与沟通的准确性、完整性和及时性。内控的真正目标和价值在于能够帮助组织降低其所承受的风险。要做到这点,首先需要熟悉业务并识别隐藏在业务之中的风险,然后再为相应的业务处理过程以及信息过程制定相对正确有效的规则。这种理念与传统的理念是有很大区别的,后者是先识别出内部控制的目标,然后根据目标再提出一系列与传统的会计制度相适应的控制政策和程序。比如在手工处理中,职责(保管、记录和授权)的分离是非常有用的,其目的主要在于防止雇员在正常工作中发生错误和舞弊并将其隐藏起来,识别到这个控制目标,自然而然就会想到采用职责分离的特定控制程序,将组织活动划分成一定的结构并分派给不同的人来执行。随着适当应用了先进的信息技术之后,这种职责分离的控制程序的重要性程度在降低,在IT应用的许多场合,自动控制处理代替了分离人的做法,消除了一个人执行两项不相容的活动的原有风险。3.创新理念之三:应该正确把握IT的作用及其潜在的风险,并注意在实际工作中适当运用IT以便更加有效地实现所有的控制目标。IT的作用在于如果运用得当可以起到改善业务过程和信息过程以及支持企业决策的作用,这一点,似乎大家更容易认识到,而对于IT潜在的风险,许多会计和审计专业人员的认识是不到位的。笔者以为,IT的潜在的风险主要表现在以下4个方面:

(1)大量的会计信息是以电子数据压缩的形式存储在电磁介质上,而这种介质具有易复制、易被修改且不易被发觉的特点,因此,势必增加会计信息被窃取、删改甚至破坏的风险;

(2)如果不对集中存储的会计数据库在访问权限上加以限制,则极易导致滥用企业的会计信息从而给企业带来不必要的风险;

(3)联网的方式使得对会计信息的共享突破了时空的限制,但同时为异地财务犯罪提供了作案的可能;

(4)IT处理可以将事先规定好的控制程序嵌入到信息系统中,从而实现运用自动控制来代替人员职责分离的控制做法,但同时也意味着这样的信息系统在控制环境和控制活动等控制要素方面变动的弹性也更小了,一旦企业的实际控制环境和控制活动发生很大变动的时候,往往意味着要修改或者置换信息系统,否则原来的信息系统会失效。

认识了IT上述各种潜在风险之后,我们应该在电子商务系统及其关联系统中针对这些可能发生的风险设计适当的控制程序以充分保证这些系统能够安全可靠运行。换句话说,信息技术的确会给组织带来新的风险,但伴随新风险的产生,新的工具也产生了,只要我们使用得当,将非常有效地降低这种风险对组织可能造成的损害直至最终合理保证内部控制的目标。会计人员应该清醒地认识到,要想在设计、使用和评价企业信息系统时有所作为,就一定要充分了解现代信息技术的能力和潜在的风险,并能够熟练地识别、提出、实施和评估组织中的控制。

4.创新理念之四:一体化程度高的复杂系统较之有些广泛使用纸张输出和纸张输入并保留中间处理过程的可见记录的所谓简单系统,其风险并不见得就高。如果高度集成的系统结构适当,并且内置了正确的控制程序,其风险可能会更低。适当地合理运用IT将极大地简化组织的业务过程和信息过程,同时还可以降低组织风险。

5.创新理念之五:电子审计线索和纸质审计线索一样,甚至有时比后者更为有效。如果我们在信息系统中更加重视审计线索的提供的话,就会发现这种电子审计线索将会比纸质审计线索在追溯起来显得更为方便,我们可以从报表查到相应的账簿,再从账簿追查到会计分录,然后从分录追溯到原始凭证。这也提醒我们,试图建立一个便于审计鉴证作用发挥的信息系统,仅从记账凭证处理开始是远远不够的。我们应该将数据收集的触角延伸到原始业务发生的场所,但这势必加大系统的数据采集工作量,因此仅依靠财会部门独立完成是根本不可能的,也是没有必要的。电子商务提供了解决这一问题的根本途径。

6.创新理念之六:会计和审计人员应该适时介入信息系统设计和开发阶段工作,以便在新系统中将保护和增强组织的运行规则和程序在系统的设计和开发阶段就嵌入到系统中。要想实现IT对组织的增值作用,始终必须坚持组织予以“实时”控制的思想,把必要的控制措施嵌入到信息系统中去,这样就可以在每项业务活动之中实时控制活动。通过将控制程序嵌入到信息系统中,可以使企业拥有强有力的内部控制制度,并通过IT来监控业务过程和信息过程。这一点对于小型企业来说,就显得更为重要。传统的职责分离理论认为,小型企业由于人力和资源所限,很难建立有效的内部控制制度。然而在电子商务环境下,小型企业可以摆脱内控上的尴尬局面,前提是必须持有积极的、实时的控制观点,努力促进IT在企业经营管理中的渗透,只要适当地使用IT,即使对于小型企业,也可以用很小的代价来大大改善内部控制制度的执行效果。

贯穿上述六大理念的核心指导思想应该是:坚持将IT渗透到底,即实现现代信息技术与内部控制理念的完美融合。我们要善于把握电子商务的能力并且规避其潜在的风险,乐于运用信息技术工具帮助企业强化其内控制度,并通过运用信息技术来监控业务过程和信息过程,通过实施电子商务技术,最终实现既可以持续改善业务过程和信息过程,又有助于组织更积极地预防、检查和纠正错误和舞弊。

总之,在电子商务环境下,会计和审计专业人员要持有积极的、实时的控制观点,要善于运用现代信息技术来构建强健有力、控制有效及时的内部控制系统,应着重强调增强组织的有效性,将现代IT与控制理念完美融合起来并渗透到组织决策过程、业务开展过程、信息处理过程以及预防风险、检查错误和舞弊等各项组织活动中。