IT控制体系助力企业高效信息化运作2011.2.1

IT控制体系助力企业高效信息化运作

地域：     信息类别：     行业类别：
作者：     发布人：     发布时间：2011-02-01 08:19:29.0

    2010年4月26日，财政部、证监会、审计署、银监会、保监会五部门联合发布了《企业内部控制配套指引》。该文件把上市公司的内部控制建设情况纳入到上市公司日常监管的范围，并制定了实施时间表：自2011年1月1日起企业内部控制首先在境内外同时上市的公司内实施，自2012年1月1日起扩大到上交所、深交所主板上市的公司。该文件的发布意味着被称为“中国萨班斯法案”的企业内控法开始进入实质运行阶段，如何做好企业内控成为摆在各家上市公司面前的一个严峻课题。

    处于信息时代的企业，其业务经营活动、各种数据和财务报告的产生与传递开始越来越多地依赖IT系统的自动化处理。但是，自动化过程给企业带来效率的同时也带来了控制风险。为了防范这些风险，现代企业的内部控制体系亟须包含基于IT系统的内部控制政策与程序。因此，该法案中还规定企业必须建立一个IT基础设施，以确保所有的记录和数据不会被毁灭、丢失、未经授权地变更和错误地使用。实施企业内控，就必须进行IT内控，IT内控是企业内控不可或缺的重要组成部分。

    企业面临的IT控制挑战

    国内企业信息化建设速度越来越快，信息化水平越来越高，业务与财务报告流程对IT的依赖程度也随之越来越高。对大多数企业而言，运用整合的ERP系统，或综合运用各种经营管理、财务管理方面的软件，已经成为财务报告系统强有力的支持。随之而来的企业IT系统管理也存在着一些缺陷和不足，须解决的主要问题如下：    

    第一，内部信息不对称。企业缺乏统一的风险控制规范定义和模型建立平台，懂IT的人不懂风险控制，懂风险控制的人不懂IT。

    法规中要求IT专业人士应该对其负责的IT系统所产生的信息质量和完整性负责。但问题在于，大多数IT专业人士对复杂的内部控制并不了解或精通。尽管不能说IT人员没有参与风险管理，但至少IT管理层没有按照管理层或审计师所要求的形式进行正式的、规范化的风险管理。反之，审计师对IT系统的了解也是如此。

    第二，流程断裂。风险内控和内审系统多止步于OA系统建设和手工测试控制，缺乏自动化控制手段对后台ERP、CRM等应用系统进行自动化、连续性的监控，造成风险事件发现与报告不及时，内部控制隐患的处置效率较低，内部审计团队工作量太大。

    每个企业或多或少都有一些IT控制制度，但我们更需要的是“识别问题、分析问题、解决问题、系统化解决方案”的基于PDCA循环的持续改进体系。企业的IT控制制度基本是由技术管理者制定的，他们缺乏规范化风险管理的经验，这些IT控制制度可能不太规范且不成体系，控制程序也不够完善。这些IT控制制度一般存在于系统安全和变更管理等一般控制领域，缺乏从公司透明度出发、支持业务战略和业务流程的完整内部控制体系。

    对于ERP、CRM等业务系统来说，出于对业务数据敏感性和安全性的考虑，一般也不允许开放接口，更加重了对相关业务活动的监控乏力。更严重的是，由于业务发生的频率非常高，传统的审计手段和方法须通过增加审计人员的方式来实现审计的有效性，但这样做并不具有现实性。因此，在某种意义上说，企业的很多业务活动不具有传统意义上的可审计性。要实现可审计性的话，必须要用集成的IT手段来解决。

    第三，缺乏报警提示。缺乏统一的风险管控平台和自动化风险预警机制，风险预警的报告和应对多采用人工方式进行分散管理。

    业务活动的实时性和频繁性，积累成海量的业务数据。因此，集成的审计系统须能够基于事实给出报告、趋势，一旦发现可疑的业务活动，及时通过Portal、邮件系统等分发到对应人员。同时这个过程也需要有严格的痕迹保留和文档记录。

    构建完整的IT控制体系

    我们构建IT控制系统时必须从全局着眼，借鉴国际内部控制框架和国际最佳实践经验，构建一套系统化、标准化、可审计、可持续改进的IT控制体系。建议完整的基于IT的控制体系应由下述四个主要部分组成：

    第一，内控制度的知识管理平台。将内控手册电子化，并规范普及，解决内部的学习和知识积累、知识转移问题。针对一个管理对象，如果我们无法描述，就无法度量，继而无法管理，所以应建立描述体系。对流程建模的过程，就是我们业务规则梳理的过程，也是管理控制点的梳理过程。

    根据经验，企业首先要建立基于完整的企业运作业务框架的流程体系，然后在此基础上建立流程的管理和控制体系，并实现文档化、电子化。譬如，审批权限的分级分类。用户在表单中的下拉选择项，都会在流程描述和建模的过程中逐步细化，并被文档化、系统化地记录下来。

    在文档化的过程中，一定要定义到非常细节的地步，控制的颗粒度和描述的颗粒度是在一个水平级，如同测量仪器的精度决定了我们测量的精度级别。

    第二，将内控过程制度的管理纳入流程，这被称之为“内控流程的流程”。在流程建模中，嵌入流程内审点之后，还须建立流程审核、流程测试等相关流程。譬如我们在财务费用报销流程之后，列出了审核点和审核要求。那么我们在审核财务费用报销流程的时候，就需要有一个控制程序来说明我们收集了哪些信息，发现了哪些问题，以及这些问题从发现到关闭过程的处理记录。

    第三，将企业内控规范与日常业务运作系统（ERP、CRM等）结合，并实现实时监控。由于流程在运行过程中数据量巨大，我们须建立与ERP、CRM等专业系统的连接，以保持对业务活动（风险）的实时监控。

    第四，报表系统和信息传送基础设施的建立。业务活动实现及时监控之后，还须把异常信息在恰当的时间提供给合适的人。基于集成业务活动监控，可以形成报表体系，并可实现及时分发信息。

    综上所述，通过内控与外部监控两者结合来保证企业的运作，符合社会对企业的要求，但保证的基础是流程，假如企业根本不知道事情是怎么做（描述），是无法进行风险监控（管理）的，过程管理是合规管理的基础。

    当信息化已经成为大多数企业管理手段的重要组成部分时，利用IT固化内控流程可以简化企业的内控过程，降低内控成本，优化内控项目的成本效益比，并帮助企业达到内控效力持续性的目的。 （2011年1月29日中国冶金报）

本文来源：https://www.2haoxitong.net/k/doc/a2fb741a650e52ea551898c5.html