大云網新技術電動汽車正文

企業內控信息系統在內控管理中的作用

2014-11-08 20:43:07 大云網　點擊量：評論 (0)

企業內部控制信息系統的應用主要來自于兩方面力量的推動。首先是外部需求特別是SOX法案頒布后加強企業內控對外報告需求的推動；其次是內部需求特別是企業加強風險管理、提高內控管理與整體流程管理水平需求的推

企業內部控制信息系統的應用主要來自于兩方面力量的推動。首先是外部需求特別是SOX法案頒布后加強企業內控對外報告需求的推動；其次是內部需求特別是企業加強風險管理、提高內控管理與整體流程管理水平需求的推動。

內部控制信息系統的外部需求及其作用

根據IDS Scheer對從2002年SOX法案頒布四年來的在美上市公司的SOX法案遵從調查結果表明，大部分公司都經歷了如下的過程：

1、法規準備-〉2、完善內控體系-〉3、無IT系統支撐的內控測試與報告-〉4、實施IT系統支持的內控測試與報告-〉5、整合內部控制相關的IT系統并進行流程優化

以下對該過程進行具體說明：

1、法規準備：

美國薩班斯法案對上市公司加強信息披露及內部控制的要求，使得無論上市企業是否愿意，都必須去按照SOX法案的相關規定，定期的對外披露與報告公司內部控制執行情況，且公司的主要領導(CEO、CFO)要對該報告進行簽署，以證明公司管理層按照法律要求履行了加強公司內部控制監管的責任。上市公司的主要領導因為要對內控報告對外簽署，因此承擔著巨大的法律責任與合規風險。作為上市公司組織機構往往規模龐大，甚至存在跨國經營。

如何有效地管理簽署風險，如何將簽署責任有效地分解到各級下屬公司責任人，如何將內部控制的理念通過責任落實與分解轉變成企業的核心競爭力，都是上市公司管理層必須思考與決策的。

SOX法案的目標：

恢復投資者對在美上市公司的財務報告及披露的信心．

SOX法案的對上市公司的要求：

(1)改進內控系統

(2)提高文檔化水平

(3)加強財務披露

(4)提高管理層誠信

(5)提高業務流程的透明度

(6)提高財務報告質量

(7)防止公司治理失敗造成的財務災難

(8)防止公司的業務及財務欺詐

2、完善內控體系：

在SOX法案遵從過程第一年中，通常企業必須投入大量的人力與成本去完善與補充公司的內部控制體系文件及相關內部控制測試程序及制度。根據SOX法案及COSO框架要求，企業需要從控制環境、風險評估、控制活動、信息與溝通、監督五個層面去完善內控體系文件。這其中涉及到大量的流程文檔、風險控制矩陣、流程-科目關系文檔、信息系統控制風險矩陣等等。很多公司花費了一年甚至幾年的時間才將這些文檔梳理完畢。但是，由于內控文檔覆蓋范圍之大(涵蓋了幾乎企業所有的業務流程)，使得文檔的更新與維護變得異常復雜而且難以操作。

因此，盡管在體系完善過程中實現了文檔電子化，可是在電子化之后卻又出現了新的文檔維護更新的巨大挑戰。如何有效地管理內控體系文件，保證內控管理的持續有效性。如何將純粹的內控文件管理工作變成更具全局意義的企業流程管理，使內控管理不僅局限于流程內控點的維護，更關注企業業務流程(包括內控管理業務流程)的改進與提高。這些都是企業內控管理部門在經過第一年的SOX法案遵從過程后所不斷思考、總結與關注的問題。

3、無IT系統支撐的內控測試與報告：

SOX法案對上市公司最為嚴格的一項要求是定期的對外披露并簽署內部控制執行情況，還須經過外部審計師的鑒證。該條款充分體現了美國證券監管機構及司法機構的管理智慧，即證據保留，責任連帶的原則。因為英美法系遵循的是無罪假設，有罪舉證的原則，通過SOX法案要求上市公司把所有證據保留下來并經過鑒證與對外披露，使得在美上市公司一旦被查出財務丑聞，管理層就無法逃避其法律責任，即或者因為簽署的內控報告隱瞞了真實情況而承擔欺詐的罪名，或者就是因為沒有按照SOX法律規定簽署內控報告而承擔規避上市監管法規的責任。

同樣，會計師事務所也因為必須按照SOX法案鑒證企業披露的內控報告，而不得不承擔連帶的獨立中介是否誠免盡職的責任。于是，無論上市公司還是會計師事務所在第一年中都投入了大量的人力與財力對企業內部控制的測試執行情況進行記錄與報告。為此，企業的審計成本與合規成本都成倍增長，大量的測試組織、記錄、報告工作都需要手工完成。

這其中由于測試記錄流程的非自動化又造成了很多重復工作及錯漏現象的發生，同時，企業內控管理部門被如潮水般涌現出的控制缺陷報告搞得疲于應付，無法集中精力去關注企業整體流程及相關內控措施、風險設置的合理有效性，無法集中精力優化內控體系與業務流程以降低總體合規成本。這時候，很多企業開始考慮是否有合適的IT系統以支撐以后年度的內控測試報告、缺陷管理、簽署管理、以及流程管理等工作。

4、實施IT系統支持的內控測試與報告：

根據IDS Scheer公司的SOX系統實施經驗表明，大部分海外在美上市公司從第二年或者第三年開始采用了IT系統以支持SOX測試審計。這其中，最常見的應用是對測試記錄的流程自動化，但隨著IT系統使用的逐漸增多，眾多公司發現如何有效地管理缺陷上報流程、責任簽署流程、以及支持匿名檢舉及自我評估等機制的建立，才是真正提升企業內控管理水平、促進內控管理由被動的遵從轉變成下屬公司自我約束文化的建立，直至最終形成企業內控管理核心競爭力的關鍵所在。

如西門子(中國)公司的缺陷管理流程、英飛凌(全球)公司的責任簽署機制及缺陷上報流程的設計、三菱、日立、ING等等，IDS Scheer結合客戶的需求與上述眾多知名企業共同設計形成了支持SOX測試審計的內部控制信息系統應用最佳實踐。

為了更好的實現IT系統對企業內控管理的支持，企業往往需要與軟件原廠商一起共同就特殊管理需求進行合作開發(如AXA、西門子、英飛凌等都以自己公司的名字為開頭為IDS Scheer的SOX系統解決方案命名，并承諾與IDS Scheer共同開發該解決方案)，只有這樣，才能始終保證IT系統與企業管理需求的一致性，同時，也使得軟件廠商的解決方案不斷的到改進與優化，并為更多的客戶服務。企業與軟件原廠商之間是合作共贏的關系，而不是一次性的交易。

5、整合內部控制相關的IT系統并進行流程優化：

經過將近四年的SOX法案遵從過程，企業開始考慮如何將各種與內部控制相關的IT系統進行整合，而整合的關鍵仍然是流程的整合。因為絕大多數的企業級IT應用系統均是基于流程的需求而開發，但是每套IT系統所對應的業務流程由于當初系統實施的各自為戰，缺乏良好的接口整合與描述標準化。企業內控管理部門為了更好的管理眾多的基于流程的風險與控制，必須尋找一個統一的平臺實現與各個IT系統所對應流程描述的銜接。

同時，如何在發現風險控制缺陷的基礎上進行業務流程改進，如何監控新建IT系統的流程合規與流程績效，如何滿足企業日益增長的流程優化需要，都需要企業管理層在統一流程平臺層面進行規劃與管理。

內部控制信息系統的內部需求及其作用

內部控制概念本身并不是有了SOX法案才開始出現，而是早已有之。

從外部投資人及監管機構的角度稱作企業內部控制，而從企業管理者的角度則實際上就是企業的管理控制。企業管理控制的主要目的在于規范運作，防止發生經營風險、合規風險及財務報告風險。傳統認為內部控制更多關注防范財務報告風險，實際企業中更多的管理控制還存在于防范經營風險、如授權、審批、合同、價格、安全生產等等日常經營業務流程中的風險控制。以及合規風險、如滿足法律、審計、稅收、環保等外部強制性管理流程的要求。

隨著企業管理幅度與深度的不斷加深，以及企業流程自動化水平的不斷提高，內部控制已經與流程管理緊密地結合在一起。以往的手工流程逐漸被自動化設備、信息系統所取代，傳統的通過組織會議、定期報告了解業務流程運作情況及管理控制情況的方式已經不再適合；大量的業務流程被自動化運轉的機器設備、信息系統所執行，不再像過去那樣一個資深的業務人員就能夠很好的描述企業實際運作的各個流程。

如何將被系統固化的業務流程重新展現出來，如何全盤的了解企業各業務流程中的風險控制系統執行情況。這些問題都是現代企業內控管理者所關心的問題。與此同時，以流程描述為代表的各種管理咨詢項目應運而生。或者是為企業勾畫質量管理體系所要求的業務流程(程序文件)，以達到ISO認證的要求；或者是為企業描述內控相關的業務流程，以達到SOX法案流程透明的要求；或者是為企業描述現狀業務流程及目標流程藍圖，以實現ERP系統的上線；或者是幫助企業描述業務流程進行業務流程再造(BPR)。

然而，從沒有流程描述到流程描述遍地開花的情景都不是企業管理真正希望達到的目標。企業的業務流程管理平臺應該是統一的并且是唯一的，各種類型的流程管理項目(如質量管理、內控管理、流程自動化、BPR)所依據的流程描述都應該是一致的，而不能各自為政相互割裂。因此，只有在統一業務流程管理基礎上的內控管理才能夠最大化的發揮其管理效力。

同時，統一的業務流程管理平臺可以支撐企業流程的不斷更新與自動化。如通過流程管理平臺實現與ERP系統的流程描述同步，通過流程管理平臺實現對IT系統支撐的業務流程進行流程績效評估，通過流程管理平臺實現內控測試人員任務分派的可視化管理，通過流程管理平臺實現流程描述的實時網絡發布與在線查詢，通過流程管理平臺實現《內控手冊》、《質量管理手冊》等的動態生成等諸多功能。企業內控管理也因此可以脫離對原有的靜態文檔的跟蹤管理，轉變成對業務流程的動態跟蹤管理。

總之，通過以上由企業內外部需求對內部控制信息系統要求的分析，使得我們可以更加清晰的了解內部控制信息系統應該在哪些方面為企業管理帶來提升與價值。