基于IT的内控挑战

来源:畅享网  作者:AMT万涛
2010/12/29 8:58:10
畅享网:企业首先要建立基于完整的企业运作业务框架的流程体系。在此基础上建立流程的管理和控制体系,并达到文档化、电子化。

2010年4月26日,财政部、证监会、审计署、银监会、保监会五部门联合发布《企业内部控制配套指引》,规定将把上市公司的内部控制建设情况纳入上市公司日常监管的范围,并制定了实施时间表:自2011年1月1日起企业内部控制首先在境内外同时上市的公司实施,自2012年1月1日起扩大到上交所、深交所主板上市的公司。指引的发布也意味着被称为“中国萨班斯法案”的企业内控法开始进入实质运行阶段,如何做好企业内控成为摆在各家上市公司面前的一道严峻课题。

处于信息时代的企业,业务经营活动、各种数据传递以及财务报告的产生与传递越来越多地开始依赖IT系统的自动化处理。自动化过程给企业带来效率的同时也带来控制风险。为了防范这些风险,现代企业的内部控制体系亟需包含基于IT系统的内部控制政策与程序。因而,该法案中还规定了企业必须建立一个IT基础设施,以确保所有的记录和数据不会被毁灭、丢失、未经授权的变更以及错误的使用。实施企业内控,就必须进行IT内控,IT内控是企业内控不可或缺的重要部分。

国内企业信息化建设速度越来越快,信息化水平越来越高,业务与财务报告流程对IT的依赖程度也随之越来越高。对大多数企业而言,运用整合的ERP系统,或综合运用各种经营管理、财务管理方面的软件,已经成为财务报告系统强有力的支持。目前企业IT系统需要解决的问题有:

1.内部信息不对称。缺乏统一的风险控制规范定义和模型建立平台,主要解决内部知识和信息不对称的问题,懂IT的人不懂风险控制,懂风险控制的人不懂IT。

法规中要求IT专业人士应该对其负责的IT系统所产生的信息质量及完整性负责,但问题在于,大多数IT专业人士对复杂的内部控制并不了解或精通。尽管不能说IT人员没有参与风险管理,但至少IT管理层没有按照管理层或审计师所要求的形式进行正式的、规范化的风险管理。反之,审计师对IT系统的了解也是如此。

2.流程断裂。风险内控及内审系统多止步于OA系统建设和手工测试控制,缺乏自动化控制手段对后台ERP、CRM等应用系统进行自动化、连续性的监控,造成风险事件发现与报告不及时,内部控制隐患的处置效率较低、内部审计团队工作量太大。

每个企业或多或少都有一些控制制度,但我们更需要的是“识别问题、分析问题、解决问题、系统化解决方案”的基于PDCA循环的持续改进体系。同时鉴于前一点原因,这些制度基本是由技术管理者制定,他们缺乏规范化风险管理的经验,这些IT控制制度可能不太规范且不成体系,控制程序也不够完善。IT控制制度一般存在于系统安全和变更管理等一般控制领域,缺乏从公司透明度角度出发、结合支持业务战略和业务流程的完整内部控制体系。

对于ERP、CRM等业务系统,出于业务数据敏感性和安全的角度,一般也不允许开放接口,更加重了对相关业务活动的监控乏力。更严重的是,由于业务发生的频率非常高,传统的审计手段和方法需要通过增加审计人员的方式来实现审计的有效性。但这样做并不具有现实性。

所以某种意义上,我们的很多业务活动不具有传统意义上的“可审计性”。要实现可审计性的话,必须要用集成的IT手段来解决。

3.报警提示。缺乏统一的风险管控平台与自动化风险预警机制,风险预警的报告和应对多采用人工方式进行分散管理。

基于前一点,由于业务活动的实时性和频繁性,积累成海量的业务数据,因此,集成的审计系统需要能够基于事实给出报告、趋势和可疑的业务活动,一旦发现,及时通过Portal 、邮件系统等分发到对应人员。同时这个过程也需要有严格的痕迹保留和文档记录。

因此,我们构建IT控制系统时必须从全局着眼,借鉴国际内部控制框架及国际最佳实践经验,构建一套系统化、标准化、可审计、可持续改进的IT控制体系。

我们建议完整的基于IT的控制体系由下述四个主要部分组成:

1、 内控制度的知识管理平台。将内控手册电子化,规范普及,解决内部的学习和知识积累、知识转移问题;

2、 内控过程制度的管理纳入流程,我们称之为“内控流程的流程”;

3、 将企业内控规范与日常业务运作系统(ERP、CRM等)结合,并实现实时监控;

4、 报表系统和信息传送基础设施。

内控制度的知识管理平台

针对一个管理对象,如果我们无法描述,就无法度量,继而无法管理,所以首先建立是描述体系。对流程建模的过程,就是我们业务规则梳理的过程,管理控制点的梳理过程。

根据我们的经验,企业首先要建立基于完整的企业运作业务框架的流程体系。在此基础上建立流程的管理和控制体系,并达到文档化、电子化。譬如,审批权限的分级分类。用户在表单中的下拉选择项,都会在流程描述和建模的过程中逐步细化,并文档化、系统化地记录下来。

在文档化的过程中,一定要定义到非常细节的地步。控制的颗粒度和我们描述的颗粒度是在一个水平级。反之亦然,如同测量仪器的精度决定了我们测量的精度级别。

内控过程的管理流程

在流程建模中,嵌入流程内审点之后,我们还需要建立流程审核过程、流程测试等相关流程。譬如我们在财务费用报销流程之后,列出了审核点和审核要求。那么我们在审核财务费用报销流程的时候,就需要有一个控制程序来说明我们收集了哪些信息,发现了哪些问题,这些问题从发现到关闭的过程的处理记录。

连接ERP、CRM系统实现实时监控

由于流程在运行过程中数据量巨大,我们需要建立和ERP、CRM等专业系统的连接,以保持对业务活动(风险)的实时监控。

报表和及时分发

业务活动达到及时监控之后,我们还需要让异常信息在恰当的时间提供给合适的人。

基于集成业务活动监控之后,我们就可以形成报表体系。

综上所述,内控与外部监控两者结合来保证企业的运作,符合社会对企业的要求,但保证的基础是流程,假如你根本不知道事情是怎么做(描述),是无法进行风险监控(管理)的,程管理是合规管理的基础。

当信息化已经成为大多数企业管理手段的重要组成部分,利用IT固化内控流程可以简化企业的内控过程,降低内控成本,优化内控项目的成本效益比,并帮助企业达到内控效力持续性的要求。

 

 

责编:穆琳琳
vsharing微信扫一扫实时了解行业动态
portalart微信扫一扫分享本文给好友

畅享
首页
返回
顶部
×
    信息化规划
    IT总包
    供应商选型
    IT监理
    开发维护外包
    评估维权
客服电话
400-698-9918