企業(yè)內(nèi)控信息系統(tǒng)在內(nèi)控管理中的作用

1、企業(yè)內(nèi)控信息系統(tǒng)在內(nèi)控管理中的作用 企業(yè)內(nèi)部控制信息系統(tǒng)的應(yīng)用主要來自于兩方面力量的推動。首先是外部需求特別是SOX法案頒布后加強企業(yè)內(nèi)控對外報告需求的推動；其次是內(nèi)部需求特別是企業(yè)加強風險管理、提高內(nèi)控管理與整體流程管理水平需求的推動。 內(nèi)部控制信息系統(tǒng)的外部需求及其作用 根據(jù)IDSScheer對從2002年SOX法案頒布四年來的在美上市公司的SOX法案遵從調(diào)查結(jié)果表明，大部分公司都經(jīng)歷了如下的過程： 1、法規(guī)準備-2、完善內(nèi)控體系-3、無IT系統(tǒng)支撐的內(nèi)控測試與報告-4、實施IT系統(tǒng)支持的內(nèi)控測試與報告-5、整合內(nèi)部控制相關(guān)的IT系統(tǒng)并進行流程優(yōu)化 以下對該過程進行具體說明： 1、法規(guī)準備

2、： 美國薩班斯法案對上市公司加強信息披露及內(nèi)部控制的要求，使得無論上市企業(yè)是否愿意，都必須去按照SOX法案的相關(guān)規(guī)定，定期的對外披露與報告公司內(nèi)部控制執(zhí)行情況，且公司的主要領(lǐng)導(CEO、CFO)要對該報告進行簽署，以證明公司管理層按照法律要求履行了加強公司內(nèi)部控制監(jiān)管的責任。上市公司的主要領(lǐng)導因為要對內(nèi)控報告對外簽署，因此承擔著巨大的法律責任與合規(guī)風險。作為上市公司組織機構(gòu)往往規(guī)模龐大，甚至存在跨國經(jīng)營。 如何有效地管理簽署風險，如何將簽署責任有效地分解到各級下屬公司責任人，如何將內(nèi)部控制的理念通過責任落實與分解轉(zhuǎn)變成企業(yè)的核心競爭力，都是上市公司管理層必須思考與決策的。 SOX法案的目標：

3、恢復投資者對在美上市公司的財務(wù)報告及披露的信心 SOX法案的對上市公司的要求： (1)改進內(nèi)控系統(tǒng) (2)提高文檔化水平 (3)加強財務(wù)披露 (4)提高管理層誠信 (5)提高業(yè)務(wù)流程的透明度 (6)提高財務(wù)報告質(zhì)量 (7)防止公司治理失敗造成的財務(wù)災(zāi)難 (8)防止公司的業(yè)務(wù)及財務(wù)欺詐 2、完善內(nèi)控體系： 在SOX法案遵從過程第一年中，通常企業(yè)必須投入大量的人力與成本去完善與補充公司的內(nèi)部控制體系文件及相關(guān)內(nèi)部控制測試程序及制度。根據(jù)SOX法案及COSO框架要求，企業(yè)需要從控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)督五個層面去完善內(nèi)控體系文件。這其中涉及到大量的流程文檔、風險控制矩陣、流程-科

4、目關(guān)系文檔、信息系統(tǒng)控制風險矩陣等等。很多公司花費了一年甚至幾年的時間才將這些文檔梳理完畢。但是，由于內(nèi)控文檔覆蓋范圍之大(涵蓋了幾乎企業(yè)所有的業(yè)務(wù)流程)，使得文檔的更新與維護變得異常復雜而且難以操作。 因此，盡管在體系完善過程中實現(xiàn)了文檔電子化，可是在電子化之后卻又出現(xiàn)了新的文檔維護更新的巨大挑戰(zhàn)。如何有效地管理內(nèi)控體系文件，保證內(nèi)控管理的持續(xù)有效性。如何將純粹的內(nèi)控文件管理工作變成更具全局意義的企業(yè)流程管理，使內(nèi)控管理不僅局限于流程內(nèi)控點的維護，更關(guān)注企業(yè)業(yè)務(wù)流程(包括內(nèi)控管理業(yè)務(wù)流程)的改進與提高。這些都是企業(yè)內(nèi)控管理部門在經(jīng)過第一年的SOX法案遵從過程后所不斷思考、總結(jié)與關(guān)注的問題。

5、3、無IT系統(tǒng)支撐的內(nèi)控測試與報告： SOX法案對上市公司最為嚴格的一項要求是定期的對外披露并簽署內(nèi)部控制執(zhí)行情況，還須經(jīng)過外部審計師的鑒證。該條款充分體現(xiàn)了美國證券監(jiān)管機構(gòu)及司法機構(gòu)的管理智慧，即證據(jù)保留，責任連帶的原則。因為英美法系遵循的是無罪假設(shè)，有罪舉證的原則，通過SOX法案要求上市公司把所有證據(jù)保留下來并經(jīng)過鑒證與對外披露，使得在美上市公司一旦被查出財務(wù)丑聞，管理層就無法逃避其法律責任，即或者因為簽署的內(nèi)控報告隱瞞了真實情況而承擔欺詐的罪名，或者就是因為沒有按照SOX法律規(guī)定簽署內(nèi)控報告而承擔規(guī)避上市監(jiān)管法規(guī)的責任。 同樣，會計師事務(wù)所也因為必須按照SOX法案鑒證企業(yè)披露的內(nèi)控報告，

6、而不得不承擔連帶的獨立中介是否誠免盡職的責任。于是，無論上市公司還是會計師事務(wù)所在第一年中都投入了大量的人力與財力對企業(yè)內(nèi)部控制的測試執(zhí)行情況進行記錄與報告。為此，企業(yè)的審計成本與合規(guī)成本都成倍增長，大量的測試組織、記錄、報告工作都需要手工完成。 這其中由于測試記錄流程的非自動化又造成了很多重復工作及錯漏現(xiàn)象的發(fā)生，同時，企業(yè)內(nèi)控管理部門被如潮水般涌現(xiàn)出的控制缺陷報告搞得疲于應(yīng)付，無法集中精力去關(guān)注企業(yè)整體流程及相關(guān)內(nèi)控措施、風險設(shè)置的合理有效性，無法集中精力優(yōu)化內(nèi)控體系與業(yè)務(wù)流程以降低總體合規(guī)成本。這時候，很多企業(yè)開始考慮是否有合適的IT系統(tǒng)以支撐以后年度的內(nèi)控測試報告、缺陷管理、簽署管理、

7、以及流程管理等工作。 4、實施IT系統(tǒng)支持的內(nèi)控測試與報告：根據(jù)IDS Scheer公司的SOX系統(tǒng)實施經(jīng)驗表明，大部分海外在美上市公司從第二年或者第三年開始采用了IT系統(tǒng)以支持SOX測試審計。這其中，最常見的應(yīng)用是對測試記錄的流程自動化，但隨著IT系統(tǒng)使用的逐漸增多，眾多公司發(fā)現(xiàn)如何有效地管理缺陷上報流程、責任簽署流程、以及支持匿名檢舉及自我評估等機制的建立，才是真正提升企業(yè)內(nèi)控管理水平、促進內(nèi)控管理由被動的遵從轉(zhuǎn)變成下屬公司自我約束文化的建立，直至最終形成企業(yè)內(nèi)控管理核心競爭力的關(guān)鍵所在。如西門子(中國)公司的缺陷管理流程、英飛凌(全球)公司的責任簽署機制及缺陷上報流程的設(shè)計、三菱、日立、

8、ING等等，IDS Scheer結(jié)合客戶的需求與上述眾多知名企業(yè)共同設(shè)計形成了支持SOX測試審計的內(nèi)部控制信息系統(tǒng)應(yīng)用最佳實踐。為了更好的實現(xiàn)IT系統(tǒng)對企業(yè)內(nèi)控管理的支持，企業(yè)往往需要與軟件原廠商一起共同就特殊管理需求進行合作開發(fā)(如AXA、西門子、英飛凌等都以自己公司的名字為開頭為IDS Scheer的SOX系統(tǒng)解決方案命名，并承諾與IDS Scheer共同開發(fā)該解決方案)，只有這樣，才能始終保證IT系統(tǒng)與企業(yè)管理需求的一致性，同時，也使得軟件廠商的解決方案不斷的到改進與優(yōu)化，并為更多的客戶服務(wù)。企業(yè)與軟件原廠商之間是合作共贏的關(guān)系，而不是一次性的交易。5、整合內(nèi)部控制相關(guān)的IT系統(tǒng)并進行流

9、程優(yōu)化：經(jīng)過將近四年的SOX法案遵從過程，企業(yè)開始考慮如何將各種與內(nèi)部控制相關(guān)的IT系統(tǒng)進行整合，而整合的關(guān)鍵仍然是流程的整合。因為絕大多數(shù)的企業(yè)級IT應(yīng)用系統(tǒng)均是基于流程的需求而開發(fā)，但是每套IT系統(tǒng)所對應(yīng)的業(yè)務(wù)流程由于當初系統(tǒng)實施的各自為戰(zhàn)，缺乏良好的接口整合與描述標準化。企業(yè)內(nèi)控管理部門為了更好的管理眾多的基于流程的風險與控制，必須尋找一個統(tǒng)一的平臺實現(xiàn)與各個IT系統(tǒng)所對應(yīng)流程描述的銜接。同時，如何在發(fā)現(xiàn)風險控制缺陷的基礎(chǔ)上進行業(yè)務(wù)流程改進，如何監(jiān)控新建IT系統(tǒng)的流程合規(guī)與流程績效，如何滿足企業(yè)日益增長的流程優(yōu)化需要，都需要企業(yè)管理層在統(tǒng)一流程平臺層面進行規(guī)劃與管理。內(nèi)部控制信息系統(tǒng)的內(nèi)

10、部需求及其作用內(nèi)部控制概念本身并不是有了SOX法案才開始出現(xiàn)，而是早已有之。從外部投資人及監(jiān)管機構(gòu)的角度稱作企業(yè)內(nèi)部控制，而從企業(yè)管理者的角度則實際上就是企業(yè)的管理控制。企業(yè)管理控制的主要目的在于規(guī)范運作，防止發(fā)生經(jīng)營風險、合規(guī)風險及財務(wù)報告風險。傳統(tǒng)認為內(nèi)部控制更多關(guān)注防范財務(wù)報告風險，實際企業(yè)中更多的管理控制還存在于防范經(jīng)營風險、如授權(quán)、審批、合同、價格、安全生產(chǎn)等等日常經(jīng)營業(yè)務(wù)流程中的風險控制。以及合規(guī)風險、如滿足法律、審計、稅收、環(huán)保等外部強制性管理流程的要求。隨著企業(yè)管理幅度與深度的不斷加深，以及企業(yè)流程自動化水平的不斷提高，內(nèi)部控制已經(jīng)與流程管理緊密地結(jié)合在一起。以往的手工流程逐漸

11、被自動化設(shè)備、信息系統(tǒng)所取代，傳統(tǒng)的通過組織會議、定期報告了解業(yè)務(wù)流程運作情況及管理控制情況的方式已經(jīng)不再適合；大量的業(yè)務(wù)流程被自動化運轉(zhuǎn)的機器設(shè)備、信息系統(tǒng)所執(zhí)行，不再像過去那樣一個資深的業(yè)務(wù)人員就能夠很好的描述企業(yè)實際運作的各個流程。如何將被系統(tǒng)固化的業(yè)務(wù)流程重新展現(xiàn)出來，如何全盤的了解企業(yè)各業(yè)務(wù)流程中的風險控制系統(tǒng)執(zhí)行情況。這些問題都是現(xiàn)代企業(yè)內(nèi)控管理者所關(guān)心的問題。與此同時，以流程描述為代表的各種管理咨詢項目應(yīng)運而生?；蛘呤菫槠髽I(yè)勾畫質(zhì)量管理體系所要求的業(yè)務(wù)流程(程序文件)，以達到ISO認證的要求；或者是為企業(yè)描述內(nèi)控相關(guān)的業(yè)務(wù)流程，以達到SOX法案流程透明的要求；或者是為企業(yè)描述現(xiàn)狀

12、業(yè)務(wù)流程及目標流程藍圖，以實現(xiàn)ERP系統(tǒng)的上線；或者是幫助企業(yè)描述業(yè)務(wù)流程進行業(yè)務(wù)流程再造(BPR)。然而，從沒有流程描述到流程描述遍地開花的情景都不是企業(yè)管理真正希望達到的目標。企業(yè)的業(yè)務(wù)流程管理平臺應(yīng)該是統(tǒng)一的并且是唯一的，各種類型的流程管理項目(如質(zhì)量管理、內(nèi)控管理、流程自動化、BPR)所依據(jù)的流程描述都應(yīng)該是一致的，而不能各自為政相互割裂。因此，只有在統(tǒng)一業(yè)務(wù)流程管理基礎(chǔ)上的內(nèi)控管理才能夠最大化的發(fā)揮其管理效力。同時，統(tǒng)一的業(yè)務(wù)流程管理平臺可以支撐企業(yè)流程的不斷更新與自動化。如通過流程管理平臺實現(xiàn)與ERP系統(tǒng)的流程描述同步，通過流程管理平臺實現(xiàn)對IT系統(tǒng)支撐的業(yè)務(wù)流程進行流程績效評估，通過流程管理平臺實現(xiàn)內(nèi)控測試人員任務(wù)分派的可視化管