基于IT的內(nèi)控挑戰(zhàn)

來(lái)源：泛普軟件

2010年4月26日，財(cái)政部、證監(jiān)會(huì)、審計(jì)署、銀監(jiān)會(huì)、保監(jiān)會(huì)五部門聯(lián)合發(fā)布《企業(yè)內(nèi)部控制配套指引》，規(guī)定將把上市公司的內(nèi)部控制建設(shè)情況納入上市公司日常監(jiān)管的范圍，并制定了實(shí)施時(shí)間表：自2011年1月1日起企業(yè)內(nèi)部控制首先在境內(nèi)外同時(shí)上市的公司實(shí)施，自2012年1月1日起擴(kuò)大到上交所、深交所主板上市的公司。指引的發(fā)布也意味著被稱為“中國(guó)薩班斯法案”的企業(yè)內(nèi)控法開始進(jìn)入實(shí)質(zhì)運(yùn)行階段，如何做好企業(yè)內(nèi)控成為擺在各家上市公司面前的一道嚴(yán)峻課題。

處于信息時(shí)代的企業(yè)，業(yè)務(wù)經(jīng)營(yíng)活動(dòng)、各種數(shù)據(jù)傳遞以及財(cái)務(wù)報(bào)告的產(chǎn)生與傳遞越來(lái)越多地開始依賴IT系統(tǒng)的自動(dòng)化處理。自動(dòng)化過(guò)程給企業(yè)帶來(lái)效率的同時(shí)也帶來(lái)控制風(fēng)險(xiǎn)。為了防范這些風(fēng)險(xiǎn)，現(xiàn)代企業(yè)的內(nèi)部控制體系亟需包含基于IT系統(tǒng)的內(nèi)部控制政策與程序。因而，該法案中還規(guī)定了企業(yè)必須建立一個(gè)IT基礎(chǔ)設(shè)施，以確保所有的記錄和數(shù)據(jù)不會(huì)被毀滅、丟失、未經(jīng)授權(quán)的變更以及錯(cuò)誤的使用。實(shí)施企業(yè)內(nèi)控，就必須進(jìn)行IT內(nèi)控，IT內(nèi)控是企業(yè)內(nèi)控不可或缺的重要部分。

國(guó)內(nèi)企業(yè)信息化建設(shè)速度越來(lái)越快，信息化水平越來(lái)越高，業(yè)務(wù)與財(cái)務(wù)報(bào)告流程對(duì)IT的依賴程度也隨之越來(lái)越高。對(duì)大多數(shù)企業(yè)而言，運(yùn)用整合的 erp系統(tǒng)，或綜合運(yùn)用各種經(jīng)營(yíng)管理、財(cái)務(wù)管理方面的軟件，已經(jīng)成為財(cái)務(wù)報(bào)告系統(tǒng)強(qiáng)有力的支持。目前企業(yè)IT系統(tǒng)需要解決的問(wèn)題有：

1.內(nèi)部信息不對(duì)稱。缺乏統(tǒng)一的風(fēng)險(xiǎn)控制規(guī)范定義和模型建立平臺(tái),主要解決內(nèi)部知識(shí)和信息不對(duì)稱的問(wèn)題，懂IT的人不懂風(fēng)險(xiǎn)控制，懂風(fēng)險(xiǎn)控制的人不懂IT。

法規(guī)中要求IT專業(yè)人士應(yīng)該對(duì)其負(fù)責(zé)的IT系統(tǒng)所產(chǎn)生的信息質(zhì)量及完整性負(fù)責(zé)，但問(wèn)題在于，大多數(shù)IT專業(yè)人士對(duì)復(fù)雜的內(nèi)部控制并不了解或精通。盡管不能說(shuō)IT人員沒(méi)有參與風(fēng)險(xiǎn)管理，但至少IT管理層沒(méi)有按照管理層或?qū)徲?jì)師所要求的形式進(jìn)行正式的、規(guī)范化的風(fēng)險(xiǎn)管理。反之，審計(jì)師對(duì)IT系統(tǒng)的了解也是如此。

2.流程斷裂。風(fēng)險(xiǎn)內(nèi)控及內(nèi)審系統(tǒng)多止步于OA系統(tǒng)建設(shè)和手工測(cè)試控制，缺乏自動(dòng)化控制手段對(duì)后臺(tái)ERP、CRM等應(yīng)用系統(tǒng)進(jìn)行自動(dòng)化、連續(xù)性的監(jiān)控，造成風(fēng)險(xiǎn)事件發(fā)現(xiàn)與報(bào)告不及時(shí)，內(nèi)部控制隱患的處置效率較低、內(nèi)部審計(jì)團(tuán)隊(duì)工作量太大。

每個(gè)企業(yè)或多或少都有一些控制制度，但我們更需要的是“識(shí)別問(wèn)題、分析問(wèn)題、解決問(wèn)題、系統(tǒng)化解決方案”的基于PDCA循環(huán)的持續(xù)改進(jìn)體系。同時(shí)鑒于前一點(diǎn)原因，這些制度基本是由技術(shù)管理者制定，他們?nèi)狈σ?guī)范化風(fēng)險(xiǎn)管理的經(jīng)驗(yàn)，這些IT控制制度可能不太規(guī)范且不成體系，控制程序也不夠完善。IT控制制度一般存在于系統(tǒng)安全和變更管理等一般控制領(lǐng)域，缺乏從公司透明度角度出發(fā)、結(jié)合支持業(yè)務(wù)戰(zhàn)略和業(yè)務(wù)流程的完整內(nèi)部控制體系。

對(duì)于ERP、CRM等業(yè)務(wù)系統(tǒng)，出于業(yè)務(wù)數(shù)據(jù)敏感性和安全的角度，一般也不允許開放接口，更加重了對(duì)相關(guān)業(yè)務(wù)活動(dòng)的監(jiān)控乏力。更嚴(yán)重的是，由于業(yè)務(wù)發(fā)生的頻率非常高，傳統(tǒng)的審計(jì)手段和方法需要通過(guò)增加審計(jì)人員的方式來(lái)實(shí)現(xiàn)審計(jì)的有效性。但這樣做并不具有現(xiàn)實(shí)性。

所以某種意義上，我們的很多業(yè)務(wù)活動(dòng)不具有傳統(tǒng)意義上的“可審計(jì)性”。要實(shí)現(xiàn)可審計(jì)性的話，必須要用集成的IT手段來(lái)解決。

3.報(bào)警提示。缺乏統(tǒng)一的風(fēng)險(xiǎn)管控平臺(tái)與自動(dòng)化風(fēng)險(xiǎn)預(yù)警機(jī)制，風(fēng)險(xiǎn)預(yù)警的報(bào)告和應(yīng)對(duì)多采用人工方式進(jìn)行分散管理。

基于前一點(diǎn)，由于業(yè)務(wù)活動(dòng)的實(shí)時(shí)性和頻繁性，積累成海量的業(yè)務(wù)數(shù)據(jù)，因此，集成的審計(jì)系統(tǒng)需要能夠基于事實(shí)給出報(bào)告、趨勢(shì)和可疑的業(yè)務(wù)活動(dòng)，一旦發(fā)現(xiàn)，及時(shí)通過(guò)Portal 、郵件系統(tǒng)等分發(fā)到對(duì)應(yīng)人員。同時(shí)這個(gè)過(guò)程也需要有嚴(yán)格的痕跡保留和文檔記錄。

因此，我們構(gòu)建IT控制系統(tǒng)時(shí)必須從全局著眼，借鑒國(guó)際內(nèi)部控制框架及國(guó)際最佳實(shí)踐經(jīng)驗(yàn)，構(gòu)建一套系統(tǒng)化、標(biāo)準(zhǔn)化、可審計(jì)、可持續(xù)改進(jìn)的IT控制體系。

我們建議完整的基于IT的控制體系由下述四個(gè)主要部分組成：

1、內(nèi)控制度的知識(shí)管理平臺(tái)。將內(nèi)控手冊(cè)電子化，規(guī)范普及，解決內(nèi)部的學(xué)習(xí)和知識(shí)積累、知識(shí)轉(zhuǎn)移問(wèn)題；

2、內(nèi)控過(guò)程制度的管理納入流程，我們稱之為“內(nèi)控流程的流程”；

3、將企業(yè)內(nèi)控規(guī)范與日常業(yè)務(wù)運(yùn)作系統(tǒng)（ERP、CRM等）結(jié)合，并實(shí)現(xiàn)實(shí)時(shí)監(jiān)控；

4、報(bào)表系統(tǒng)和信息傳送基礎(chǔ)設(shè)施。

內(nèi)控制度的知識(shí)管理平臺(tái)

針對(duì)一個(gè)管理對(duì)象，如果我們無(wú)法描述，就無(wú)法度量，繼而無(wú)法管理，所以首先建立是描述體系。對(duì)流程建模的過(guò)程，就是我們業(yè)務(wù)規(guī)則梳理的過(guò)程，管理控制點(diǎn)的梳理過(guò)程。

根據(jù)我們的經(jīng)驗(yàn)，企業(yè)首先要建立基于完整的企業(yè)運(yùn)作業(yè)務(wù)框架的流程體系。在此基礎(chǔ)上建立流程的管理和控制體系，并達(dá)到文檔化、電子化。譬如，審批權(quán)限的分級(jí)分類。用戶在表單中的下拉選擇項(xiàng)，都會(huì)在流程描述和建模的過(guò)程中逐步細(xì)化，并文檔化、系統(tǒng)化地記錄下來(lái)。

在文檔化的過(guò)程中，一定要定義到非常細(xì)節(jié)的地步?？刂频念w粒度和我們描述的顆粒度是在一個(gè)水平級(jí)。反之亦然，如同測(cè)量?jī)x器的精度決定了我們測(cè)量的精度級(jí)別。

內(nèi)控過(guò)程的管理流程

在流程建模中，嵌入流程內(nèi)審點(diǎn)之后，我們還需要建立流程審核過(guò)程、流程測(cè)試等相關(guān)流程。譬如我們?cè)谪?cái)務(wù)費(fèi)用報(bào)銷流程之后，列出了審核點(diǎn)和審核要求。那么我們?cè)趯徍素?cái)務(wù)費(fèi)用報(bào)銷流程的時(shí)候，就需要有一個(gè)控制程序來(lái)說(shuō)明我們收集了哪些信息，發(fā)現(xiàn)了哪些問(wèn)題，這些問(wèn)題從發(fā)現(xiàn)到關(guān)閉的過(guò)程的處理記錄。

連接ERP、CRM系統(tǒng)實(shí)現(xiàn)實(shí)時(shí)監(jiān)控

由于流程在運(yùn)行過(guò)程中數(shù)據(jù)量巨大，我們需要建立和ERP、CRM等專業(yè)系統(tǒng)的連接，以保持對(duì)業(yè)務(wù)活動(dòng)（風(fēng)險(xiǎn)）的實(shí)時(shí)監(jiān)控。

報(bào)表和及時(shí)分發(fā)

業(yè)務(wù)活動(dòng)達(dá)到及時(shí)監(jiān)控之后，我們還需要讓異常信息在恰當(dāng)?shù)臅r(shí)間提供給合適的人。

基于集成業(yè)務(wù)活動(dòng)監(jiān)控之后，我們就可以形成報(bào)表體系。

綜上所述，內(nèi)控與外部監(jiān)控兩者結(jié)合來(lái)保證企業(yè)的運(yùn)作，符合社會(huì)對(duì)企業(yè)的要求，但保證的基礎(chǔ)是流程，假如你根本不知道事情是怎么做（描述），是無(wú)法進(jìn)行風(fēng)險(xiǎn)監(jiān)控（管理）的，程管理是合規(guī)管理的基礎(chǔ)。

當(dāng)信息化已經(jīng)成為大多數(shù)企業(yè)管理手段的重要組成部分，利用IT固化內(nèi)控流程可以簡(jiǎn)化企業(yè)的內(nèi)控過(guò)程，降低內(nèi)控成本，優(yōu)化內(nèi)控項(xiàng)目的成本效益比，并幫助企業(yè)達(dá)到內(nèi)控效力持續(xù)性的要求。

發(fā)布：2007-04-29 10:19 編輯：泛普軟件 · xiaona [打印此頁(yè)] [關(guān)閉]

相關(guān)欄目：