【内部控制持续监控系统研究的理论框架】 内部控制核心理论框架

　　针对信息化环境的特点，应构建针对信息系统中的内部控制进行监控的持续监控(CM)系统的基本目标、约束条件、构成要素和质量特征。CM系统的基本目标就是如实提供关于信息系统中的内部控制设计和运行有效性的信息，为内部控制评价人员对内部控制进行补充、修改或废止等决策提供信息支持。CM系统的构成要素包括监控环境、标准设定、监控活动、信息与沟通、专项评价。CM系统的质量特征包括有用性和易用性，每个特征又进一步分为若干次级质量特征。
　　[关键词]内部控制；持续监控；信息系统
　　[中图分类号]F275.2　[文献标识码]A　[文章编号]1004－518X(2012)05－0232－04
　　阳杰(1981－)，男，温州大学城市学院讲师，会计学博士，主要研究方向为会计信息系统与计算机审计；(浙江温州　325035)
　　庄明来(1949－)，男，厦门大学会计系教授、博士生导师，主要研究方向为会计信息系统与计算机审计。(福建厦门　361005)
　　本文系福建省教育厅项目(项目编号：JA11051S)、浙江省教育厅项目(项目编号：Y201120987)的阶段性成果。
　　内部控制的监控有持续监控(CM)和专项评价两种形式，两者技术方法相同，但执行频率有别。CM嵌于企业日常运营活动之中，得以获取及时、可靠且相关的信息，因而能够及时发现内部控制缺陷，并实时、动态地进行调整。所以，企业在可用信息的特点满足CM要求时，应该优先采用CM的方式。CM既是一种新的内部控制技术，也是一门新兴的研究领域。当前，学界对CM的研究还很少。国外新近的一些研究着眼于CM的实施效果以及对相关人员的行为影响方面，而对于立足信息系统的CM系统相关的基础理论，例如，系统的约束条件、构成要素和质量特征，并未予以关注，以至于该领域的研究缺乏一个应有的理论起点。本文拟就这几个基础理论问题进行初步的探索。
　　一、CM系统的约束条件
　　CM系统的基本目标就是如实提供关于信息系统中的内部控制设计和运行有效性的相关信息，为内部控制评价人员对有关内部控制进行补充、修改或废止等决策提供信息支持。
　　根据契约理论和技术二重性原理，信息系统中的内部控制具有内在不完备性。同理，CM系统也是不完备的，CM系统还受三个方面的约束。
　　(一)管理层对风险的认知局限与可用信息的数量
　　人类对事物的认知是一个渐进的过程。CM系统的完备性水平取决于企业管理层对企业风险环境的认知程度。根据内部控制监控的组织学习观，监控是内部控制系统的一种自我学习机制，通过在内部控制运行过程中不断发现问题，然后解决问题，来促使内部控制系统不断趋于完善，监控要素本身也得以不断强化。不过，由于人们对风险认知始终存在局限性，使我们不能定义出需要CM的所有问题。而且，对于所定义的问题，我们能用的信息也存在局限，两者之间存在不可弥合的鸿沟，由此导致了因信息不足而产生的风险。
　　(二)成本效益原则
　　信息理论认为，一个信息策略应该着眼于最小化信息需求的数量，同时最大化地授予决策制定权。最佳的决策制定者，就是用最少的信息作出最佳决策。由于信息获取需要成本，对信息的使用应该做到成本有效，即用最少的信息来实现决策能力的最大化。对信息的使用还要做到成本高效，即通过信息所进行的决策能够达到最大效用。这就需要我们在CM程度、信息成本与信息价值之间进行权衡。随着CM程度的逐渐加深，信息成本最初是缓慢增加的，这是因为对那些易于和信息系统进行整合的CM流程，容易获取所需的信息，并可借助高级数据分析工具进行分析。但随着CM的深入，信息成本增加会越来越快，这是因为更深层次的CM要求获取更多的增量信息，要获取这些信息可能需要对信息系统进行改造，或新增IT投资，某些信息或许只能通过人工途径来获取。同时，这些增量信息所对应的价值到达某个点之后会开始下降，这一方面是因为在该点之前主要的内部控制缺陷已通过CM揭示出来；另一方面，过多的信息可能会导致信息过载，而且用于这些信息分析的时间越多，信息的及时性降低，这些信息对CM的效用也随之下降。所以，信息并非越多越好，CM程度的最优点应该是信息成本最低且信息价值最高的点。不过，为使内部控制风险最小化，在预算充足的情况下，可以考虑提升CM水平，进一步降低风险，但这并非基于成本效益原则，而是基于风险来考虑的。
　　(三)监控带来的负面效应
　　研究发现，过度的CM也会带来一些负面效应，例如，CM下的管理者在重大投资决策前会倾向于保守和短视，过度的CM还不利于员工学习，进而影响劳动生产率和经济效益的提升。
　　二、CM系统的构成要素
　　从系统论的观点出发，CM作为信息系统中的内部控制的一个子系统，是对内部控制的一种再控制，因而也具备类似于内部控制系统的五要素。
　　(一)监控环境
　　监控环境从属于内部控制系统的控制环境，它是CM系统各要素发挥作用的基础。一个良好的监控环境需要有一个良好的高层管理和组织结构来支持。监控在以下两种情况下作为有效：管理层和董事会对于监控的角色和责任安排恰当且进行清晰的阐述，在正确的位置安排了恰当的评价人员。管理层对企业的内部控制系统负主要责任，董事会对决定管理层是否已经实施了有效的内部控制负最终责任。管理层应建立监控系统，并确保它的持续有效运行。在高级管理层之下开展的控制可由下级管理人员或他们所指派的人员来监控。但由高级管理层所执行的控制不能由下级管理人员或他们所指派的人员进行监控，可由其他高级管理层来执行，或交由董事会下属的审计委员会成员和内部审计部门来共同完成。
　　(二)标准设定
　　CM标准有两种：一种是确保内部控制按照设计运行而设置的基准，另一种是作为内部控制设计持续改进的标杆。基准是一种静态的控制观，它是根据管理层对本企业内部控制的现有认知程度和企业能力的约束，所订立的内部控制需达到的基本要求。标杆是一种动态的控制观，它是根据行业内标杆企业的做法所订立的标准，用于衡量企业当前的内部控制和标杆企业之间的差距，着眼于内部控制系统的持续改进。基准和标杆通常不会重合，这类似于一个企业的当前目标和远景目标之间的关系。在具体的标准设置时，标准值设定可以根据企业风险容忍度的范围，在基准和标杆所处的区间内进行取值。在本文中，两者统称为标准。标准可分为两类：结果指标和绩效指标。结果指标即关键目标指标，用于指明目标是否已达成，仅在活动结束后测评，因此也称事后指标。绩效指标即关键绩效指标，用于指明目标的预期实现程度，可以在活动结束之前进行测评，因此也称前导指标。CM作为内部控制系统的组成部分，其标准设定工作需要与内部控制的风险评估相结合，因为风险评估是根据信息系统中的内部控制目标所面临的来自内部和外部的风险，持续地对这些风险进行确认和处理的机制，风险评估的结果提供了控制活动的输入，同时也形成了CM标准。随着CM程度的深入，管理层会对基于CM的结果来扩展对标准的理解来对标准进行动态调整。