基于IT的內(nèi)控挑戰(zhàn)

來源：泛普軟件

2010年4月26日，財政部、證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會五部門聯(lián)合發(fā)布《企業(yè)內(nèi)部控制配套指引》，規(guī)定將把上市公司的內(nèi)部控制建設(shè)情況納入上市公司日常監(jiān)管的范圍，并制定了實施時間表：自2011年1月1日起企業(yè)內(nèi)部控制首先在境內(nèi)外同時上市的公司實施，自2012年1月1日起擴(kuò)大到上交所、深交所主板上市的公司。指引的發(fā)布也意味著被稱為“中國薩班斯法案”的企業(yè)內(nèi)控法開始進(jìn)入實質(zhì)運行階段，如何做好企業(yè)內(nèi)控成為擺在各家上市公司面前的一道嚴(yán)峻課題。

處于信息時代的企業(yè)，業(yè)務(wù)經(jīng)營活動、各種數(shù)據(jù)傳遞以及財務(wù)報告的產(chǎn)生與傳遞越來越多地開始依賴IT系統(tǒng)的自動化處理。自動化過程給企業(yè)帶來效率的同時也帶來控制風(fēng)險。為了防范這些風(fēng)險，現(xiàn)代企業(yè)的內(nèi)部控制體系亟需包含基于IT系統(tǒng)的內(nèi)部控制政策與程序。因而，該法案中還規(guī)定了企業(yè)必須建立一個IT基礎(chǔ)設(shè)施，以確保所有的記錄和數(shù)據(jù)不會被毀滅、丟失、未經(jīng)授權(quán)的變更以及錯誤的使用。實施企業(yè)內(nèi)控，就必須進(jìn)行IT內(nèi)控，IT內(nèi)控是企業(yè)內(nèi)控不可或缺的重要部分。

國內(nèi)企業(yè)信息化建設(shè)速度越來越快，信息化水平越來越高，業(yè)務(wù)與財務(wù)報告流程對IT的依賴程度也隨之越來越高。對大多數(shù)企業(yè)而言，運用整合的 erp系統(tǒng)，或綜合運用各種經(jīng)營管理、財務(wù)管理方面的軟件，已經(jīng)成為財務(wù)報告系統(tǒng)強(qiáng)有力的支持。目前企業(yè)IT系統(tǒng)需要解決的問題有：

1.內(nèi)部信息不對稱。缺乏統(tǒng)一的風(fēng)險控制規(guī)范定義和模型建立平臺,主要解決內(nèi)部知識和信息不對稱的問題，懂IT的人不懂風(fēng)險控制，懂風(fēng)險控制的人不懂IT。

法規(guī)中要求IT專業(yè)人士應(yīng)該對其負(fù)責(zé)的IT系統(tǒng)所產(chǎn)生的信息質(zhì)量及完整性負(fù)責(zé)，但問題在于，大多數(shù)IT專業(yè)人士對復(fù)雜的內(nèi)部控制并不了解或精通。盡管不能說IT人員沒有參與風(fēng)險管理，但至少IT管理層沒有按照管理層或?qū)徲嫀熕蟮男问竭M(jìn)行正式的、規(guī)范化的風(fēng)險管理。反之，審計師對IT系統(tǒng)的了解也是如此。

2.流程斷裂。風(fēng)險內(nèi)控及內(nèi)審系統(tǒng)多止步于OA系統(tǒng)建設(shè)和手工測試控制，缺乏自動化控制手段對后臺ERP、CRM等應(yīng)用系統(tǒng)進(jìn)行自動化、連續(xù)性的監(jiān)控，造成風(fēng)險事件發(fā)現(xiàn)與報告不及時，內(nèi)部控制隱患的處置效率較低、內(nèi)部審計團(tuán)隊工作量太大。

每個企業(yè)或多或少都有一些控制制度，但我們更需要的是“識別問題、分析問題、解決問題、系統(tǒng)化解決方案”的基于PDCA循環(huán)的持續(xù)改進(jìn)體系。同時鑒于前一點原因，這些制度基本是由技術(shù)管理者制定，他們?nèi)狈σ?guī)范化風(fēng)險管理的經(jīng)驗，這些IT控制制度可能不太規(guī)范且不成體系，控制程序也不夠完善。IT控制制度一般存在于系統(tǒng)安全和變更管理等一般控制領(lǐng)域，缺乏從公司透明度角度出發(fā)、結(jié)合支持業(yè)務(wù)戰(zhàn)略和業(yè)務(wù)流程的完整內(nèi)部控制體系。

對于ERP、CRM等業(yè)務(wù)系統(tǒng)，出于業(yè)務(wù)數(shù)據(jù)敏感性和安全的角度，一般也不允許開放接口，更加重了對相關(guān)業(yè)務(wù)活動的監(jiān)控乏力。更嚴(yán)重的是，由于業(yè)務(wù)發(fā)生的頻率非常高，傳統(tǒng)的審計手段和方法需要通過增加審計人員的方式來實現(xiàn)審計的有效性。但這樣做并不具有現(xiàn)實性。

所以某種意義上，我們的很多業(yè)務(wù)活動不具有傳統(tǒng)意義上的“可審計性”。要實現(xiàn)可審計性的話，必須要用集成的IT手段來解決。

3.報警提示。缺乏統(tǒng)一的風(fēng)險管控平臺與自動化風(fēng)險預(yù)警機(jī)制，風(fēng)險預(yù)警的報告和應(yīng)對多采用人工方式進(jìn)行分散管理。

基于前一點，由于業(yè)務(wù)活動的實時性和頻繁性，積累成海量的業(yè)務(wù)數(shù)據(jù)，因此，集成的審計系統(tǒng)需要能夠基于事實給出報告、趨勢和可疑的業(yè)務(wù)活動，一旦發(fā)現(xiàn)，及時通過Portal 、郵件系統(tǒng)等分發(fā)到對應(yīng)人員。同時這個過程也需要有嚴(yán)格的痕跡保留和文檔記錄。

因此，我們構(gòu)建IT控制系統(tǒng)時必須從全局著眼，借鑒國際內(nèi)部控制框架及國際最佳實踐經(jīng)驗，構(gòu)建一套系統(tǒng)化、標(biāo)準(zhǔn)化、可審計、可持續(xù)改進(jìn)的IT控制體系。

我們建議完整的基于IT的控制體系由下述四個主要部分組成：

1、內(nèi)控制度的知識管理平臺。將內(nèi)控手冊電子化，規(guī)范普及，解決內(nèi)部的學(xué)習(xí)和知識積累、知識轉(zhuǎn)移問題；

2、內(nèi)控過程制度的管理納入流程，我們稱之為“內(nèi)控流程的流程”；

3、將企業(yè)內(nèi)控規(guī)范與日常業(yè)務(wù)運作系統(tǒng)（ERP、CRM等）結(jié)合，并實現(xiàn)實時監(jiān)控；

4、報表系統(tǒng)和信息傳送基礎(chǔ)設(shè)施。

內(nèi)控制度的知識管理平臺

針對一個管理對象，如果我們無法描述，就無法度量，繼而無法管理，所以首先建立是描述體系。對流程建模的過程，就是我們業(yè)務(wù)規(guī)則梳理的過程，管理控制點的梳理過程。

根據(jù)我們的經(jīng)驗，企業(yè)首先要建立基于完整的企業(yè)運作業(yè)務(wù)框架的流程體系。在此基礎(chǔ)上建立流程的管理和控制體系，并達(dá)到文檔化、電子化。譬如，審批權(quán)限的分級分類。用戶在表單中的下拉選擇項，都會在流程描述和建模的過程中逐步細(xì)化，并文檔化、系統(tǒng)化地記錄下來。

在文檔化的過程中，一定要定義到非常細(xì)節(jié)的地步?？刂频念w粒度和我們描述的顆粒度是在一個水平級。反之亦然，如同測量儀器的精度決定了我們測量的精度級別。

內(nèi)控過程的管理流程

在流程建模中，嵌入流程內(nèi)審點之后，我們還需要建立流程審核過程、流程測試等相關(guān)流程。譬如我們在財務(wù)費用報銷流程之后，列出了審核點和審核要求。那么我們在審核財務(wù)費用報銷流程的時候，就需要有一個控制程序來說明我們收集了哪些信息，發(fā)現(xiàn)了哪些問題，這些問題從發(fā)現(xiàn)到關(guān)閉的過程的處理記錄。

連接ERP、CRM系統(tǒng)實現(xiàn)實時監(jiān)控

由于流程在運行過程中數(shù)據(jù)量巨大，我們需要建立和ERP、CRM等專業(yè)系統(tǒng)的連接，以保持對業(yè)務(wù)活動（風(fēng)險）的實時監(jiān)控。

報表和及時分發(fā)

業(yè)務(wù)活動達(dá)到及時監(jiān)控之后，我們還需要讓異常信息在恰當(dāng)?shù)臅r間提供給合適的人。

基于集成業(yè)務(wù)活動監(jiān)控之后，我們就可以形成報表體系。

綜上所述，內(nèi)控與外部監(jiān)控兩者結(jié)合來保證企業(yè)的運作，符合社會對企業(yè)的要求，但保證的基礎(chǔ)是流程，假如你根本不知道事情是怎么做（描述），是無法進(jìn)行風(fēng)險監(jiān)控（管理）的，程管理是合規(guī)管理的基礎(chǔ)。

當(dāng)信息化已經(jīng)成為大多數(shù)企業(yè)管理手段的重要組成部分，利用IT固化內(nèi)控流程可以簡化企業(yè)的內(nèi)控過程，降低內(nèi)控成本，優(yōu)化內(nèi)控項目的成本效益比，并幫助企業(yè)達(dá)到內(nèi)控效力持續(xù)性的要求。

發(fā)布：2007-04-29 10:19 編輯：泛普軟件 · xiaona [打印此頁] [關(guān)閉]

相關(guān)欄目：