外貿ERP

基于IT的內控挑戰(zhàn)

來源：泛普軟件

2010年4月26日，財政部、證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會五部門聯(lián)合發(fā)布《企業(yè)內部控制配套指引》，規(guī)定將把上市公司的內部控制建設情況納入上市公司日常監(jiān)管的范圍，并制定了實施時間表：自2011年1月1日起企業(yè)內部控制首先在境內外同時上市的公司實施，自2012年1月1日起擴大到上交所、深交所主板上市的公司。指引的發(fā)布也意味著被稱為“中國薩班斯法案”的企業(yè)內控法開始進入實質運行階段，如何做好企業(yè)內控成為擺在各家上市公司面前的一道嚴峻課題。

處于信息時代的企業(yè)，業(yè)務經營活動、各種數(shù)據(jù)傳遞以及財務報告的產生與傳遞越來越多地開始依賴IT系統(tǒng)的自動化處理。自動化過程給企業(yè)帶來效率的同時也帶來控制風險。為了防范這些風險，現(xiàn)代企業(yè)的內部控制體系亟需包含基于IT系統(tǒng)的內部控制政策與程序。因而，該法案中還規(guī)定了企業(yè)必須建立一個IT基礎設施，以確保所有的記錄和數(shù)據(jù)不會被毀滅、丟失、未經授權的變更以及錯誤的使用。實施企業(yè)內控，就必須進行IT內控，IT內控是企業(yè)內控不可或缺的重要部分。

國內企業(yè)信息化建設速度越來越快，信息化水平越來越高，業(yè)務與財務報告流程對IT的依賴程度也隨之越來越高。對大多數(shù)企業(yè)而言，運用整合的 erp系統(tǒng)，或綜合運用各種經營管理、財務管理方面的軟件，已經成為財務報告系統(tǒng)強有力的支持。目前企業(yè)IT系統(tǒng)需要解決的問題有：

1.內部信息不對稱。缺乏統(tǒng)一的風險控制規(guī)范定義和模型建立平臺,主要解決內部知識和信息不對稱的問題，懂IT的人不懂風險控制，懂風險控制的人不懂IT。

法規(guī)中要求IT專業(yè)人士應該對其負責的IT系統(tǒng)所產生的信息質量及完整性負責，但問題在于，大多數(shù)IT專業(yè)人士對復雜的內部控制并不了解或精通。盡管不能說IT人員沒有參與風險管理，但至少IT管理層沒有按照管理層或審計師所要求的形式進行正式的、規(guī)范化的風險管理。反之，審計師對IT系統(tǒng)的了解也是如此。

2.流程斷裂。風險內控及內審系統(tǒng)多止步于OA系統(tǒng)建設和手工測試控制，缺乏自動化控制手段對后臺ERP、CRM等應用系統(tǒng)進行自動化、連續(xù)性的監(jiān)控，造成風險事件發(fā)現(xiàn)與報告不及時，內部控制隱患的處置效率較低、內部審計團隊工作量太大。

每個企業(yè)或多或少都有一些控制制度，但我們更需要的是“識別問題、分析問題、解決問題、系統(tǒng)化解決方案”的基于PDCA循環(huán)的持續(xù)改進體系。同時鑒于前一點原因，這些制度基本是由技術管理者制定，他們缺乏規(guī)范化風險管理的經驗，這些IT控制制度可能不太規(guī)范且不成體系，控制程序也不夠完善。IT控制制度一般存在于系統(tǒng)安全和變更管理等一般控制領域，缺乏從公司透明度角度出發(fā)、結合支持業(yè)務戰(zhàn)略和業(yè)務流程的完整內部控制體系。

對于ERP、CRM等業(yè)務系統(tǒng)，出于業(yè)務數(shù)據(jù)敏感性和安全的角度，一般也不允許開放接口，更加重了對相關業(yè)務活動的監(jiān)控乏力。更嚴重的是，由于業(yè)務發(fā)生的頻率非常高，傳統(tǒng)的審計手段和方法需要通過增加審計人員的方式來實現(xiàn)審計的有效性。但這樣做并不具有現(xiàn)實性。

所以某種意義上，我們的很多業(yè)務活動不具有傳統(tǒng)意義上的“可審計性”。要實現(xiàn)可審計性的話，必須要用集成的IT手段來解決。

3.報警提示。缺乏統(tǒng)一的風險管控平臺與自動化風險預警機制，風險預警的報告和應對多采用人工方式進行分散管理。

基于前一點，由于業(yè)務活動的實時性和頻繁性，積累成海量的業(yè)務數(shù)據(jù)，因此，集成的審計系統(tǒng)需要能夠基于事實給出報告、趨勢和可疑的業(yè)務活動，一旦發(fā)現(xiàn)，及時通過Portal 、郵件系統(tǒng)等分發(fā)到對應人員。同時這個過程也需要有嚴格的痕跡保留和文檔記錄。

因此，我們構建IT控制系統(tǒng)時必須從全局著眼，借鑒國際內部控制框架及國際最佳實踐經驗，構建一套系統(tǒng)化、標準化、可審計、可持續(xù)改進的IT控制體系。

我們建議完整的基于IT的控制體系由下述四個主要部分組成：

1、內控制度的知識管理平臺。將內控手冊電子化，規(guī)范普及，解決內部的學習和知識積累、知識轉移問題；

2、內控過程制度的管理納入流程，我們稱之為“內控流程的流程”；

3、將企業(yè)內控規(guī)范與日常業(yè)務運作系統(tǒng)（ERP、CRM等）結合，并實現(xiàn)實時監(jiān)控；

4、報表系統(tǒng)和信息傳送基礎設施。

內控制度的知識管理平臺

針對一個管理對象，如果我們無法描述，就無法度量，繼而無法管理，所以首先建立是描述體系。對流程建模的過程，就是我們業(yè)務規(guī)則梳理的過程，管理控制點的梳理過程。

根據(jù)我們的經驗，企業(yè)首先要建立基于完整的企業(yè)運作業(yè)務框架的流程體系。在此基礎上建立流程的管理和控制體系，并達到文檔化、電子化。譬如，審批權限的分級分類。用戶在表單中的下拉選擇項，都會在流程描述和建模的過程中逐步細化，并文檔化、系統(tǒng)化地記錄下來。

在文檔化的過程中，一定要定義到非常細節(jié)的地步?？刂频念w粒度和我們描述的顆粒度是在一個水平級。反之亦然，如同測量儀器的精度決定了我們測量的精度級別。

內控過程的管理流程

在流程建模中，嵌入流程內審點之后，我們還需要建立流程審核過程、流程測試等相關流程。譬如我們在財務費用報銷流程之后，列出了審核點和審核要求。那么我們在審核財務費用報銷流程的時候，就需要有一個控制程序來說明我們收集了哪些信息，發(fā)現(xiàn)了哪些問題，這些問題從發(fā)現(xiàn)到關閉的過程的處理記錄。

連接ERP、CRM系統(tǒng)實現(xiàn)實時監(jiān)控

由于流程在運行過程中數(shù)據(jù)量巨大，我們需要建立和ERP、CRM等專業(yè)系統(tǒng)的連接，以保持對業(yè)務活動（風險）的實時監(jiān)控。

報表和及時分發(fā)

業(yè)務活動達到及時監(jiān)控之后，我們還需要讓異常信息在恰當?shù)臅r間提供給合適的人。

基于集成業(yè)務活動監(jiān)控之后，我們就可以形成報表體系。

綜上所述，內控與外部監(jiān)控兩者結合來保證企業(yè)的運作，符合社會對企業(yè)的要求，但保證的基礎是流程，假如你根本不知道事情是怎么做（描述），是無法進行風險監(jiān)控（管理）的，程管理是合規(guī)管理的基礎。

當信息化已經成為大多數(shù)企業(yè)管理手段的重要組成部分，利用IT固化內控流程可以簡化企業(yè)的內控過程，降低內控成本，優(yōu)化內控項目的成本效益比，并幫助企業(yè)達到內控效力持續(xù)性的要求。

發(fā)布：2007-04-29 10:19 編輯：泛普軟件 · xiaona [打印此頁] [關閉]

相關欄目：