企業(yè)研究論文-試論企業(yè)內控管理的ＩＴ應用要點.doc

企業(yè)研究論文-試論企業(yè)內控管理的應用要點內容摘要：企業(yè)內部控制基本規(guī)范作為現(xiàn)代企業(yè)管理的重要依照標準，于2009年7月在上市公司中實施。本文提出了推進企業(yè)內控管理建設的三個階段性目標、內控規(guī)范需求對應的IT應用和實施原則，以及對應基本規(guī)范提出的控制活動的軟件應用方案。關鍵詞：內控管理IT應用內控和風險管理必須以IT技術為基礎內控和風險管理是企業(yè)發(fā)展戰(zhàn)略、戰(zhàn)略執(zhí)行的一個核心組成部分。很多大的企業(yè)由于內控和風險管理缺陷，出現(xiàn)了很多問題。因此，從企業(yè)內部自身來講，需要一個系統(tǒng)性規(guī)范來建立企業(yè)內部的風險管理體系。我國的財政部聯(lián)合五部委于2008年5月發(fā)布了企業(yè)內部控制基本規(guī)范（以下簡稱“基本規(guī)范”），并于2009年7月在上市公司實施。本次出臺“基本規(guī)范”的意義在于：將內控和風險管理界定為一個長期管理的規(guī)劃。而這個規(guī)劃的實施不能一蹴而就，必須從企業(yè)整體發(fā)展的角度加以設計和實施；“基本規(guī)范”所界定的管理是全員參與的過程，它不是一個部門或一個管理領域體系所能夠單獨來完成的；“基本規(guī)范”是一個完整的系統(tǒng)，其中的各個部分一定是可操作、可運行的體系機構；“基本規(guī)范”一定是可計量、可定型的過程；“基本規(guī)范”是一個企業(yè)管理思想和技術手段結合的系統(tǒng)。總之，“基本規(guī)范”是將從企業(yè)內部管控開始，逐步在企業(yè)實現(xiàn)由內部控制管理向全面風險管理轉化，最終建立能使企業(yè)平穩(wěn)運行的管理機制和企業(yè)文化。企業(yè)內部控制是由五個要素組成的，即控制環(huán)境、風險評估、控制活動、信息與溝通和監(jiān)控。五要素中，各個要素有其不同的功能，內部控制并非五個要素的簡單相加，而是由這些相互聯(lián)系、相互制約、相輔相成的集合，按照一定的結構組成的完整的、能對變化的環(huán)境做出反應的系統(tǒng)。在這樣一個意義非凡的管理系統(tǒng)整體建設中，應該如何構建內控管理體系，使其真正能夠建有成效？有關方面的人士認為：內部控制的五大要素中，控制環(huán)境是基礎，控制活動是重點，最重要的是在基層的實施。因此，內部控制的關鍵在于企業(yè)基層的業(yè)務活動中構建控制環(huán)境，并在業(yè)務活動中有效執(zhí)行控制活動。眾所周知，基于IT技術的企業(yè)信息化管理平臺是現(xiàn)代企業(yè)管理主要運行環(huán)境，所以，控制環(huán)境必須依此平臺來構建。內控和風險管理必須分步建設企業(yè)在內控和風險管理實施過程中，不僅是一個硬件環(huán)境和運行環(huán)境建設的過程，更多的是理念和工作習慣的改變過程，從內控管理體系構建的終極目標來看，必須從基礎開始細致而扎實地開展分階段的建設。依據(jù)信息化建設的經(jīng)驗，筆者認為內控管理體系的建設應該分三個階段進行：第一階段為監(jiān)督管理階段，本階段的目標是建立面向內外部合規(guī)要求，信息化、透明化的風險管理，實現(xiàn)對關鍵風險監(jiān)督；第二階段為內控融入業(yè)務管理階段，本階段目標是建立面向運營過程的，日?；?、體系化的風險管理，實現(xiàn)關鍵過程控制；第三階段為全面風險管理階段，目標是建立以戰(zhàn)略為核心、以內控為基礎、以集團管控為手段的全面風險管理體系，實現(xiàn)穩(wěn)健運營的風險管理。目前對于廣大企業(yè)來講，第一步首先做到的是合規(guī)，在合規(guī)的過程當中，意味著企業(yè)的內控部門，內控管理者要對自己企業(yè)的經(jīng)營管理信息做到心中有數(shù)，這是一個信息平臺的建立和透明化的過程。第二個階段是把控制過程融入業(yè)務管理過程的階段，就是將內部控制點與企業(yè)的業(yè)務系統(tǒng)完美地整合在一起。第三個階段是為企業(yè)的戰(zhàn)略發(fā)展而提供支持，在IT建設層面，以戰(zhàn)略和發(fā)展為導向的績效管理、預算管理與風險控制結合起來，從根本上控制可能遭遇的經(jīng)營風險。滿足內控和風險管理需要的IT實施原則實施符合“基本規(guī)范”的內控和風險管理需要IT提供應用和技術的保障，使其能夠幫助企業(yè)讓內控和風險管理理念、規(guī)則具體進行管理的實施。換言之，IT技術僅僅能為內控和風險管理提供基本的手段，能否有效實行內部控制和風險管理，一定要有具體的應用方案實施標準。目前有許多管理軟件應用于企業(yè)管理的各個環(huán)節(jié)之中，但如何才能達到“基本規(guī)范”中的內控和風險控制的要求。因此，基于IT的管理系統(tǒng)必須依照以下兩類原則來構建符合“基本規(guī)范”的內控環(huán)境，以及在此之上開展融入業(yè)務活動中的內控活動。滿足“基本規(guī)范”應用要求的原則?？尚行裕簩瓤匾睾完P鍵控制點與業(yè)務流程管理整合，在執(zhí)行業(yè)務活動中實現(xiàn)內控；可控性：實現(xiàn)內控體系與預算、集團管控體系整合；可視性：內控執(zhí)行過程和效果可查詢、可評價。滿足“基本規(guī)范”技術要求的原則。能夠安全、穩(wěn)定、運行可靠；能夠進行工作流和權限控制；能過集成、擴展、并滿足個性化應用需求；能夠支持分步建設；能夠進行多維數(shù)據(jù)智能分析，并可作為信息門戶。在管理軟件中構建內控管理環(huán)境的要點本著IT保證的可行、可控和可視的構建原則。目前，控制的基本方式，也是最有效的方式，是在業(yè)務執(zhí)行過程中的風險控制。不同于傳統(tǒng)的風險控制方式，IT管理系統(tǒng)的基本模式是將風險控制在執(zhí)行過程之前，特別是在執(zhí)行過程中，避免不合規(guī)的操作。這是IT系統(tǒng)最主要的任務。以IT基礎平臺的管理系統(tǒng)與內控風險管理的職能結合，是基于IT技術的管理系統(tǒng)必須的功能。與業(yè)務管理過程融合的控制措施一般包括：不相容職務分離控制、授權審批控制、會計系統(tǒng)控制、財產(chǎn)保護控制、預算控制、運營分析控制和績效考評控制等。以用友NC最新版本的管理系統(tǒng)分析，“基本規(guī)范”中規(guī)定的控制措施對應的解決方案有如下幾點：（一）針對“基本規(guī)范”第二十九條針對“基本規(guī)范”第二十九條“不相容職務分離控制要求企業(yè)全面系統(tǒng)地分析、梳理業(yè)務流程中所涉及的不相容職務，實施相應的分離措施，形成各司其職、各負其責、相互制約的工作機制?！钡囊?，要求IT系統(tǒng)提供自動檢查業(yè)務流程中不出現(xiàn)重復的崗位和用戶，審批流程中不出現(xiàn)重復的崗位和用戶的功能。（二）針對“基本規(guī)范”第三十條針對“基本規(guī)范”第三十條的“企業(yè)應當編制常規(guī)授權的權限指引，規(guī)范特別授權的范圍、權限、程序和責任，嚴格控制特別授權。常規(guī)授權是指企業(yè)在日常經(jīng)營管理活動中按照既定的職責和程序進行的授權。特別授權是指企業(yè)在特殊情況、特定條件下進行的授權。企業(yè)各級管理人員應當在授權范圍內行使職權和承擔責任。企業(yè)對于重大的業(yè)務和事項，應當實行集體決策審批或者聯(lián)簽制度，任何個人不得單獨進行決策或者擅自改變集體決策”的規(guī)定，要求IT系統(tǒng)提供崗位授權管理，在提供崗位授權管理的同時，根據(jù)不同業(yè)務和事項建立不同的審批權限和流程，并提供處理特定條件下的審批流程，其中包括替代、聯(lián)簽審批方式，強制控制執(zhí)行等必要的審批方式。（三）針對“基本規(guī)范”第三十二條針對“基本規(guī)范”第三十二條“財產(chǎn)保護控制要求企業(yè)建立財產(chǎn)日常管理制度和定期清查制度，采取財產(chǎn)記錄、實物保管、定期盤點、賬實核對等措施，確保財產(chǎn)安全。企業(yè)應當嚴格限制未經(jīng)授權的人員接觸和處置財產(chǎn)”的要求，要求IT系統(tǒng)提供財產(chǎn)記錄與盤點記錄的自動或手動核對功能，并具備后續(xù)財產(chǎn)處理、記錄及查詢功能。（四）針對“基本規(guī)范”第三十三條針對“基本規(guī)范”第三十三條“預算控制要求企業(yè)實施全面預算管理制度，明確各責任單位在預算管理中的職責權限，規(guī)范預算的編制、審定、下達和執(zhí)行程序，強化預算約束”的規(guī)定，要求IT系統(tǒng)提供各個預算責任主體的信息，可以通過審批權限對合同、發(fā)貨、采購、付款、財產(chǎn)處理等關鍵環(huán)節(jié)的數(shù)量和金額加以限定，實現(xiàn)對預算的執(zhí)行控制。（五）針對“基本規(guī)范”第三十四條針對“基本規(guī)范”第