新岳乱合集目录500伦_在教室里被强h_幸福的一家1—6小说_美女mm131爽爽爽作爱

【摘要】基于系統(tǒng)論的觀點，本文將持續(xù)監(jiān)控系統(tǒng)視為信息系統(tǒng)條件下內(nèi)部控制系統(tǒng)的一個子系統(tǒng)，分為持續(xù)監(jiān)控環(huán)境、持續(xù)監(jiān)控標準設(shè)定、持續(xù)監(jiān)控活動、信息與溝通和對持續(xù)監(jiān)控的專項評價等五要素，并對各要素的內(nèi)涵進行了分析。
【關(guān)鍵詞】持續(xù)監(jiān)控 內(nèi)部控制 會計信息系統(tǒng)

持續(xù)監(jiān)控（簡稱CM，下同）是一種與企業(yè)經(jīng)營管理有機結(jié)合的內(nèi)部控制程序，其目標是為了確保內(nèi)部的持續(xù)有效運行。CM因其能獲取內(nèi)部控制運行最及時、相關(guān)與可靠的直接信息，可以實現(xiàn)對內(nèi)部控制的實時、動態(tài)調(diào)整，使之成為內(nèi)部控制監(jiān)督的主要形式。信息系統(tǒng)應(yīng)用環(huán)境為CM提供了理想的運行環(huán)境，其優(yōu)勢得以充分發(fā)揮。系統(tǒng)論認為，任何系統(tǒng)是由若干要素組成的，這些要素以合理的結(jié)構(gòu)安排來實現(xiàn)系統(tǒng)的耦合，協(xié)同運作實現(xiàn)系統(tǒng)的目標?；诖?，我們認為CM也是一個系統(tǒng)，而且是信息系統(tǒng)環(huán)境下，內(nèi)部控制系統(tǒng)的一個子系統(tǒng)。類似于內(nèi)部控制系統(tǒng)的五要素劃分，我們也將CM系統(tǒng)劃分為CM環(huán)境、CM標準設(shè)定、CM活動、信息與溝通、專項評價等五要素,這五要素之間的關(guān)系如下圖所示：








上圖并沒有單獨標識出“信息與溝通”要素，是因為該要素在整個系統(tǒng)中是普遍存在的，而且信息系統(tǒng)本身就可視為一個信息與溝通系統(tǒng)，難以將它作為一個獨立的組成部分標識出來。
一、CM環(huán)境
CM環(huán)境是CM系統(tǒng)各個要素存在和效用發(fā)揮的基礎(chǔ)。在整個內(nèi)部控制系統(tǒng)中，它是屬于控制環(huán)境的有機組成部分。不過，由于CM效用的充分發(fā)揮需依賴信息系統(tǒng)環(huán)境，因此，CM環(huán)境又有其新內(nèi)容。具體而言，適合CM需求的高層基調(diào)和組織結(jié)構(gòu)是CM環(huán)境的兩個必要組成部分。
1. 高層基調(diào)。企業(yè)要順利實施CM，需要借助強有力的高層基調(diào)來跨越兩個主要障礙。①董事會和管理層在推行CM時，需要向相關(guān)人員闡釋CM價值，并清晰地表明高層支持CM的堅定立場，以獲取員工的支持。②CM系統(tǒng)不是通用信息系統(tǒng)，它需要根據(jù)特定信息系統(tǒng)進行定制。這種系統(tǒng)的成本高昂，在具體實施過程中需要在專業(yè)人員方面有新的投入，加之企業(yè)實施這類系統(tǒng)，投資回報難以立竿見影，因而企業(yè)投資此類項目，更加需要有一個富有遠見的高層團隊的支持。
2. 組織結(jié)構(gòu)。CM系統(tǒng)的運行，需要有相應(yīng)的組織結(jié)構(gòu)予以支持。具體而言，管理層負責CM系統(tǒng)的實施，董事會對管理層進行監(jiān)督，并對CM負有最終責任。管理層在設(shè)計組織結(jié)構(gòu)時，需要對CM相關(guān)崗位的角色進行定位，對崗位職責進行劃分。在崗位的人員配備上，要確保負責CM的評價人員的勝任能力和客觀性。其中，勝任能力要求評價人員具備內(nèi)部控制和業(yè)務(wù)流程方面的知識；客觀性要求評價人員在CM時，能夠做到不偏不倚。從這兩個方面的要求來看，內(nèi)部審計部門的信息系統(tǒng)審計師是CM的首要人選。
二、CM標準設(shè)定
根據(jù)ISACA的《內(nèi)部控制系統(tǒng)和IT監(jiān)控指南》，監(jiān)控的設(shè)計首先是了解影響企業(yè)目標實現(xiàn)的相關(guān)風險及其特征，之后確定這些風險的輕重緩急，進而確定監(jiān)控的類型、時間和范圍。目前，ISACA的《風險IT框架》及COBIT框架的信息標準可以幫助識別相關(guān)風險。CM作為內(nèi)部控制系統(tǒng)的組成部分，它的標準設(shè)定工作需要和內(nèi)部控制的風險評估相結(jié)合。因為風險評估是根據(jù)信息系統(tǒng)內(nèi)部控制目標所面臨的來自內(nèi)部和外部的風險，持續(xù)地對這些風險進行確認和處理的機制，風險評估的結(jié)果提供了控制活動的輸入，同時也形成了CM標準。
風險評估的目的就是為CM活動的執(zhí)行提供一個衡量標準，即CM標準。CM標準有關(guān)鍵目標指標（KGI）和關(guān)鍵績效指標（KPI）兩類。CM標準設(shè)定可分為事前標準設(shè)定和事后標準設(shè)定。企業(yè)在設(shè)定CM標準的時候，可以考慮采用成熟度模型，來判定自己的內(nèi)部控制成熟度水平、IT治理成熟度水平，對自己的現(xiàn)狀進行定位（初始級、可重復(fù)級、已定義級、已管理級、優(yōu)化級），明確需要達到的成熟度水平，進而指明內(nèi)部控制的改進空間。標準設(shè)定要適度，既要著眼于內(nèi)部控制有效運行的需要，也要給內(nèi)部控制留有持續(xù)改進的空間。
無論是事前標準設(shè)定，還是事后標準設(shè)定，所設(shè)定的標準都是靜態(tài)的，其有效性會隨著時間的推移逐漸降低。這是因為企業(yè)的運營環(huán)境是持續(xù)變化的，相應(yīng)的風險也是動態(tài)的，企業(yè)的管理流程、業(yè)務(wù)流程和內(nèi)部控制流程也會隨之發(fā)生變化。同時，管理層對內(nèi)部控制及CM的認知也是逐步深入的，這必然產(chǎn)生對CM標準進行調(diào)整的需求。因而在CM軟件中，都會設(shè)計參數(shù)調(diào)整窗口，以滿足這種動態(tài)需求。
三、CM活動
CM活動就是以CM標準為依據(jù)，以適當?shù)念l率對信息系統(tǒng)中的各類信息進行統(tǒng)計分析，借以發(fā)現(xiàn)某些關(guān)鍵控制偏離CM標準的例外情況，并通過“警報”的方式將監(jiān)控結(jié)果發(fā)送給評價人員。CM活動與內(nèi)部控制的控制活動要素功能也有重合之處：在控制活動缺失的環(huán)節(jié)，CM活動就可以視為一種彌補控制缺失的控制活動；在控制活動存在的地方，則是對現(xiàn)有控制活動的再控制。
從技術(shù)能力限制和成本效益原則出發(fā)，CM的對象是關(guān)鍵控制。COSO定義了關(guān)鍵控制的兩個特征：它們的失敗可能對實現(xiàn)一個組織目標的能力有重要影響，但是可能不會被其他控制及時檢測出來；它們的運行可能防止其他的控制失敗，或者在這種控制失敗可能對組織目標有機會產(chǎn)生重大影響之時，將它們檢測出來。
COSO進一步指出，監(jiān)控的核心環(huán)節(jié)就是針對關(guān)鍵控制來設(shè)計和執(zhí)行監(jiān)控程序，以便將有限的資源分配給高價值或高風險的內(nèi)部控制。一旦關(guān)鍵控制被識別出來，評價人員就需要識別能夠支持這些控制是否根據(jù)設(shè)計來實施和運行的信息。識別這種信息能夠知道控制失敗是如何發(fā)生的，以及哪些信息在決定控制系統(tǒng)是否合理運行方面是具有說服力的。
在信息系統(tǒng)環(huán)境下，針對關(guān)鍵控制的CM，ISACA的《內(nèi)部控制系統(tǒng)和IT監(jiān)控指南》列出了六個監(jiān)控要點：如果關(guān)鍵控制實現(xiàn)了自動化，那么相關(guān)的IT一般控制也需要進行監(jiān)控；如果關(guān)鍵控制是手工的，但依賴IT產(chǎn)生的信息，這時就需要對相關(guān)的IT一般控制進行監(jiān)控；風險評估流程和電算化信息的可獲得性，驅(qū)動著更多的相關(guān)控制被納入監(jiān)控范圍；直接從IT流程中獲取信息所進行的監(jiān)控程序更加有效；對IT控制的監(jiān)控和自動化的監(jiān)控，通常可以同時用于實現(xiàn)多種監(jiān)控目標；IT提升了監(jiān)控流程的持續(xù)性。
信息系統(tǒng)環(huán)境下的監(jiān)控，區(qū)別于傳統(tǒng)監(jiān)控的顯著特點在于它可以以較低的成本在一個較高的頻率上得到執(zhí)行，至于具體的頻率如何，則要視具體的關(guān)鍵控制特征而定。在定義某個關(guān)鍵控制點的CM頻率時，需要考慮到：①容易發(fā)生變化的關(guān)鍵控制需要更高頻率的監(jiān)控。②那些對信息系統(tǒng)有高度影響的控制，其監(jiān)控頻率要求更高。③關(guān)鍵控制點面臨的風險水平越高，其監(jiān)控頻率要求就越高。④具有較低風險容忍度的企業(yè)，需要進行更高頻率的監(jiān)控。⑤對自動化程度越高的業(yè)務(wù)流程，其監(jiān)控頻率要求也就越高。⑥在報告方面，需要根據(jù)企業(yè)內(nèi)部管理政策和外部的規(guī)范約定的要求，對CM頻率進行設(shè)置。
四、信息與溝通
該要素從屬于內(nèi)部控制的信息與溝通要素，它要求將CM的政策、計劃及程序按照崗位的職責劃分，傳遞給相應(yīng)的責任人，以明確各自在CM系統(tǒng)中的角色與責任。良好的信息與溝通，有助于消除信息傳遞的時滯，快速落實權(quán)責關(guān)系。
在CM實施前，應(yīng)做好信息與溝通工作，這可以起到事前威懾作用，降低內(nèi)部控制失敗的概率。在CM系統(tǒng)設(shè)計過程中，需要考慮兩個重要的信息與溝通機制：①警報和數(shù)字儀表板。警報是對CM過程中發(fā)現(xiàn)的異常情況和例外事件的一種反饋形式。警報內(nèi)容的設(shè)計，通常應(yīng)該包含以下幾個方面的內(nèi)容：發(fā)現(xiàn)了什么問題（What），是什么時候發(fā)生的（When），何處發(fā)生了問題（Where），問題是如何發(fā)生的（How），問題可能發(fā)生的原因（系統(tǒng)智能判斷）（Why），應(yīng)由誰負責（Who）。②數(shù)字儀表板是CM人員日常使用的一種人機互動界面。數(shù)字儀表板可以用各種圖表直觀展示CM的各項指標值，直觀檢測內(nèi)部控制系統(tǒng)的運行情況，并對各種異常情況進行預(yù)警和挖掘分析，還可以給操作員賦予一些對數(shù)字儀表板上的參數(shù)進行調(diào)整的權(quán)限。
五、專項評價
CM策略并非固定不變，其有效性取決于是否能夠持續(xù)適應(yīng)信息系統(tǒng)內(nèi)部控制的內(nèi)外部環(huán)境，環(huán)境的動態(tài)變化決定了CM策略和計劃需要進行定期或不定期的專項評價。評價的內(nèi)容包括CM策略的相關(guān)性，企業(yè)風險容忍度的恰當性，標準的正確性，報告需求的變化，監(jiān)控頻率是否需要進行調(diào)整。促使CM策略變化的因素可能包括信息系統(tǒng)內(nèi)部控制缺陷長期存在但未被發(fā)現(xiàn)、企業(yè)核心任務(wù)或業(yè)務(wù)流程的改變等。
在內(nèi)部控制的監(jiān)控要素中，專項評價和CM是兩種互補的監(jiān)控方式。ISACA的《內(nèi)部控制系統(tǒng)和IT監(jiān)控指南》認為，專項評價可以采用與CM相同的技術(shù)，但是專項評價用來對控制進行周期性的評價，且未嵌入企業(yè)日常經(jīng)營活動之中。專項評價是由未參與業(yè)務(wù)流程運行或與被監(jiān)控的控制無關(guān)的人員來執(zhí)行的，所以它更客觀，評估結(jié)果也更可靠。對CM進行專項評價，一方面是用來確保CM能夠跟隨內(nèi)部控制系統(tǒng)內(nèi)外部環(huán)境的變化而及時進行調(diào)整，另一方面是對內(nèi)部控制系統(tǒng)進行持續(xù)改進。
【注】本文系浙江省自然科學基金項目（編號：LQ13G020011）的階段性研究成果。
主要參考文獻
1. 陽杰，應(yīng)里孟.論企業(yè)內(nèi)部控制監(jiān)督的本原性質(zhì).財會月刊，2011；28
2. 陽杰.信息系統(tǒng)內(nèi)部控制不完備性解構(gòu)——兼論內(nèi)部控制監(jiān)控必要性.財會月刊，2011；30

【作　　者】
陽 杰 應(yīng)里孟 周海燕

【作者單位】
（溫州大學城市學院 浙江溫州 325035）