谁应对企业内控管理负责?
张玉 编译
谁应对企业内控管理负责? 对这一个问题可能会有许多不同的回答。多年的经验表明很难恰当地定义和解释内部控制的责任。
存在一种约定成俗的说法,内部控制的最终责任归属于最高管理层。然而,在一个组织内部的较低层级,内部控制的责任势必是不完全的。在管理交易处理和手工记账阶段,内部控制倾向于是特定单位直线管理部门的责任。用户被视为有责任在某个应用系统内建立控制措施。信息技术管理部门典型地是负责设计、执行和管理计算机应用系统的自动化阶段的控制措施,并控制管理信息科技活动的其它方面。在许多情形中,在这二个领域的控制措施反映出会计和财务报告的控制目标。不幸地是,在整个业务系统和与之相关控制目标的前后关系中,控制措施时常被建立用来满足未被评估过的手工和计算机处理各种不同阶段的需要。
信息技术系统设计师们时常只是泛泛地了解整个系统的运行的需要。他们经常更多地偏向技术导向而不是控制导向,他们执行计划表的压力时常妨碍对内部控制进行全面适当的评价,特别是那些不直接与信息技术相关的控制措施、交易处理和记账业务。相反,用户和会计师通常能很好地理解总体财务控制的目标,可是他们又不熟悉对计算机应用系统程序和相关的控制措施。其结果是,与计算机应用系统相关的内部控制措施经常是支离破碎的,在整个计算机应用系统需求的前后关系中没有进行过评价。在各种不同地点的多重控制措施可能经常被指定用于实现一个共同的目标。
内部审计师应该参与评价与计算机应用系统相关的内部控制措施。在审查用户区域中以及信息技术内部的内部控制措施方面,内部审计的参与会产生一种相对独立的看法。虽然,内部审计师可能提出控制的建议,但是,内部控制的责任应当适当地归属于信息技术部门和负责编制和处理交易、记账和产生管理报告的业务小组。审计师的作用是判断控制措施的适当性,并提出改进控制措施的建议。执行和保持适当控制措施的责任应归属于信息技术职能和业务单位。
从哲学观点看,内部控制的主要责任应归属于那些负责某一业务系统的组织单位。虽然,他们可能期待信息技术管理部门推荐和维护特定的控制措施, 但是,信息技术部门实际上是一个服务机构。因此,作为记录和相关管理报告的正确性和完整性的责任应归属于那些管理层已经指定其职能的信息系统责任(例如, 工资表、应付账款、存货控制)的组织单位。在实际中,信息技术部门时常承担着对管理信息和相关控制措施准确性的重要责任。这出于二个理由。首先,由于信息系统已经自动化了,在小组使用信息技术方面,管理层已经假定那些系统的各个方面是信息技术部门的责任。原因之一是最高管理层已经不适当地把执行这些系统的主要责任放置给信息技术部门,这很容易把用户降低到执行流程中的次要角色。另一个因素是用户心甘情愿地让信息技术部门接受这种责任。其次, 用户团体时常缺乏信息技术的经验,缺乏评估控制的替代方案和选择适当控制技术所需的知识。他们已经期待信息技术部门在与计算机应用系统相关的各个方面提供指导。这些倾向已经把以计算机为基础的信息系统的准确性和完整性的责任界限弄得模糊不清。
了解这一个概念是很重要的,因为许多组织在自动化的业务系统中缺少控制文本记录。最近的调查表明,首席财务官 (CFOs) 把责任推给信息技术部门。尽管他们必须分担某些责任,但主要的责任应归属于对业务系统负有责任的经营单位。
让我们看一个非商务类推法的例子有助于了解这一个概念。该类推法是:谁对一个孩子的教育负责。许多父母认为这是学校教育系统的责任。然而,对孩子的教育负有最后责任的人是他们的父母。他们需要在孩子进入学校之前与孩子合作,在学校期间与孩子合作,保证孩子正在学校中得到适当的教育, 如果不是,则应采取措施提出不足之处。父母对一个孩子教育是经久不变的,学校会把孩子从这个老师移交给另一个老师,并且从一个学校转到另一个学校,但是,父母提供孩子教育所必需的持续性。
以计算机为基础的信息系统控制的主要责任属于那个系统的用户。用户们必须界他们系统的控制需求,然后与信息技术人员合作,以确保系统的设计能适用于满足控制的需求和审计特征。因此,适当的系统设计将包括由信息技术部门代表用户运行的控制措施。但是,用户必须监督该系统,以确保控制措施正在运行和有效的。
最高管理层负有对内部控制系统的组织责任。董事会有监督责任。外部审计师和内部审计师都具有审核内部控制措施适当性的责任。 (见下图)
职能业务单位对业务系统和该系统交易处理控制措施适当性负有责任。例如,工资部门的经理对工资系统和由该系统处理的工资交易事项的控制措施适当性负有责任。
要注意,按照先前所描述的,如果缺乏一个有助于建立、监督和评估控制措施适当性的强有力的控制环境,业务系统控制措施通常不会有效运行。环境的控制措施必须是强有力的,以便业务系统控制措施和交易处理的控制措施能得到支持。
资料来源:国际内部控制协会
《国际注册内部控制师通用知识体系指南》2007年版权第7.1版
