當前位置:工程項目OA系統(tǒng) > 行業(yè)ERP > 外貿ERP
基于IT的內控挑戰(zhàn)
2010年4月26日,財政部、證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會五部門聯(lián)合發(fā)布《企業(yè)內部控制配套指引》,規(guī)定將把上市公司的內部控制建設情況納入上市公司日常監(jiān)管的范圍,并制定了實施時間表:自2011年1月1日起企業(yè)內部控制首先在境內外同時上市的公司實施,自2012年1月1日起擴大到上交所、深交所主板上市的公司。指引的發(fā)布也意味著被稱為“中國薩班斯法案”的企業(yè)內控法開始進入實質運行階段,如何做好企業(yè)內控成為擺在各家上市公司面前的一道嚴峻課題。
處于信息時代的企業(yè),業(yè)務經營活動、各種數(shù)據(jù)傳遞以及財務報告的產生與傳遞越來越多地開始依賴IT系統(tǒng)的自動化處理。自動化過程給企業(yè)帶來效率的同時也帶來控制風險。為了防范這些風險,現(xiàn)代企業(yè)的內部控制體系亟需包含基于IT系統(tǒng)的內部控制政策與程序。因而,該法案中還規(guī)定了企業(yè)必須建立一個IT基礎設施,以確保所有的記錄和數(shù)據(jù)不會被毀滅、丟失、未經授權的變更以及錯誤的使用。實施企業(yè)內控,就必須進行IT內控,IT內控是企業(yè)內控不可或缺的重要部分。
國內企業(yè)信息化建設速度越來越快,信息化水平越來越高,業(yè)務與財務報告流程對IT的依賴程度也隨之越來越高。對大多數(shù)企業(yè)而言,運用整合的erp系統(tǒng),或綜合運用各種經營管理、財務管理方面的軟件,已經成為財務報告系統(tǒng)強有力的支持。目前企業(yè)IT系統(tǒng)需要解決的問題有:
1.內部信息不對稱。缺乏統(tǒng)一的風險控制規(guī)范定義和模型建立平臺,主要解決內部知識和信息不對稱的問題,懂IT的人不懂風險控制,懂風險控制的人不懂IT。
法規(guī)中要求IT專業(yè)人士應該對其負責的IT系統(tǒng)所產生的信息質量及完整性負責,但問題在于,大多數(shù)IT專業(yè)人士對復雜的內部控制并不了解或精通。盡管不能說IT人員沒有參與風險管理,但至少IT管理層沒有按照管理層或審計師所要求的形式進行正式的、規(guī)范化的風險管理。反之,審計師對IT系統(tǒng)的了解也是如此。
2.流程斷裂。風險內控及內審系統(tǒng)多止步于OA系統(tǒng)建設和手工測試控制,缺乏自動化控制手段對后臺ERP、CRM等應用系統(tǒng)進行自動化、連續(xù)性的監(jiān)控,造成風險事件發(fā)現(xiàn)與報告不及時,內部控制隱患的處置效率較低、內部審計團隊工作量太大。
每個企業(yè)或多或少都有一些控制制度,但我們更需要的是“識別問題、分析問題、解決問題、系統(tǒng)化解決方案”的基于PDCA循環(huán)的持續(xù)改進體系。同時鑒于前一點原因,這些制度基本是由技術管理者制定,他們缺乏規(guī)范化風險管理的經驗,這些IT控制制度可能不太規(guī)范且不成體系,控制程序也不夠完善。IT控制制度一般存在于系統(tǒng)安全和變更管理等一般控制領域,缺乏從公司透明度角度出發(fā)、結合支持業(yè)務戰(zhàn)略和業(yè)務流程的完整內部控制體系。
對于ERP、CRM等業(yè)務系統(tǒng),出于業(yè)務數(shù)據(jù)敏感性和安全的角度,一般也不允許開放接口,更加重了對相關業(yè)務活動的監(jiān)控乏力。更嚴重的是,由于業(yè)務發(fā)生的頻率非常高,傳統(tǒng)的審計手段和方法需要通過增加審計人員的方式來實現(xiàn)審計的有效性。但這樣做并不具有現(xiàn)實性。
所以某種意義上,我們的很多業(yè)務活動不具有傳統(tǒng)意義上的“可審計性”。要實現(xiàn)可審計性的話,必須要用集成的IT手段來解決。
3.報警提示。缺乏統(tǒng)一的風險管控平臺與自動化風險預警機制,風險預警的報告和應對多采用人工方式進行分散管理。
基于前一點,由于業(yè)務活動的實時性和頻繁性,積累成海量的業(yè)務數(shù)據(jù),因此,集成的審計系統(tǒng)需要能夠基于事實給出報告、趨勢和可疑的業(yè)務活動,一旦發(fā)現(xiàn),及時通過Portal 、郵件系統(tǒng)等分發(fā)到對應人員。同時這個過程也需要有嚴格的痕跡保留和文檔記錄。
因此,我們構建IT控制系統(tǒng)時必須從全局著眼,借鑒國際內部控制框架及國際最佳實踐經驗,構建一套系統(tǒng)化、標準化、可審計、可持續(xù)改進的IT控制體系。
我們建議完整的基于IT的控制體系由下述四個主要部分組成:
1、 內控制度的知識管理平臺。將內控手冊電子化,規(guī)范普及,解決內部的學習和知識積累、知識轉移問題;
2、 內控過程制度的管理納入流程,我們稱之為“內控流程的流程”;
3、 將企業(yè)內控規(guī)范與日常業(yè)務運作系統(tǒng)(ERP、CRM等)結合,并實現(xiàn)實時監(jiān)控;
4、 報表系統(tǒng)和信息傳送基礎設施。
內控制度的知識管理平臺
針對一個管理對象,如果我們無法描述,就無法度量,繼而無法管理,所以首先建立是描述體系。對流程建模的過程,就是我們業(yè)務規(guī)則梳理的過程,管理控制點的梳理過程。
根據(jù)我們的經驗,企業(yè)首先要建立基于完整的企業(yè)運作業(yè)務框架的流程體系。在此基礎上建立流程的管理和控制體系,并達到文檔化、電子化。譬如,審批權限的分級分類。用戶在表單中的下拉選擇項,都會在流程描述和建模的過程中逐步細化,并文檔化、系統(tǒng)化地記錄下來。
在文檔化的過程中,一定要定義到非常細節(jié)的地步??刂频念w粒度和我們描述的顆粒度是在一個水平級。反之亦然,如同測量儀器的精度決定了我們測量的精度級別。
內控過程的管理流程
在流程建模中,嵌入流程內審點之后,我們還需要建立流程審核過程、流程測試等相關流程。譬如我們在財務費用報銷流程之后,列出了審核點和審核要求。那么我們在審核財務費用報銷流程的時候,就需要有一個控制程序來說明我們收集了哪些信息,發(fā)現(xiàn)了哪些問題,這些問題從發(fā)現(xiàn)到關閉的過程的處理記錄。
連接ERP、CRM系統(tǒng)實現(xiàn)實時監(jiān)控
由于流程在運行過程中數(shù)據(jù)量巨大,我們需要建立和ERP、CRM等專業(yè)系統(tǒng)的連接,以保持對業(yè)務活動(風險)的實時監(jiān)控。
報表和及時分發(fā)
業(yè)務活動達到及時監(jiān)控之后,我們還需要讓異常信息在恰當?shù)臅r間提供給合適的人。
基于集成業(yè)務活動監(jiān)控之后,我們就可以形成報表體系。
綜上所述,內控與外部監(jiān)控兩者結合來保證企業(yè)的運作,符合社會對企業(yè)的要求,但保證的基礎是流程,假如你根本不知道事情是怎么做(描述),是無法進行風險監(jiān)控(管理)的,程管理是合規(guī)管理的基礎。
當信息化已經成為大多數(shù)企業(yè)管理手段的重要組成部分,利用IT固化內控流程可以簡化企業(yè)的內控過程,降低內控成本,優(yōu)化內控項目的成本效益比,并幫助企業(yè)達到內控效力持續(xù)性的要求。
- 1外貿型erp流程
- 2物流優(yōu)化提高企業(yè)運作效能
- 3外貿erp源碼
- 4穿越虛擬化 構建云計算時代高可性集群應用
- 5erp外貿軟件
- 6泛普軟件易飛外貿erp一般分銷行業(yè)的解決方案
- 7泛普軟件外貿erp電子行業(yè)解決方案
- 8外貿行業(yè)ERP軟件哪個好
- 9管理信息化行業(yè)內的云計算
- 10奇正為企業(yè)資源管理建設的基本解決方案
- 11Epicor供應鏈管理解決方案
- 12為什么要將CRM同后端系統(tǒng)集成
- 13外貿軟件erp
- 14Oracle汽車供應商解決方案
- 15如何實現(xiàn)項目物流信息化系統(tǒng)的低成本定制
- 16建立適應公司戰(zhàn)略管理的財務職能
- 17企業(yè)應當如何編制信息安全策略
- 18遠光燃料管理信息化解決方案--計劃調運管理
- 19SaaS模式下ERP實施問題分析
- 20外貿erp系統(tǒng)需求分析與總體目標
- 21加快我國電子政務發(fā)展的對策研究
- 22ERP應用的成功率是全球普遍的問題嗎?
- 23印刷行業(yè)外貿erp采購管理系統(tǒng)的構建
- 24IFS批量制造解決方案
- 25桌面電話將死?統(tǒng)一通信改變溝通方式
- 26外貿erp系統(tǒng)規(guī)避ERP風險,提高成功率
- 27麗晶行業(yè)基本解決方案品牌運營商
- 28外貿erp開發(fā)工具
- 29推動制造業(yè)管理信息發(fā)展博軟外貿erp應用方案
- 30外貿ERP系統(tǒng)的價格受什么影響
成都公司:成都市成華區(qū)建設南路160號1層9號
重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務大廈18樓