大云網新技術電動汽車正文

企業(yè)內控信息系統(tǒng)在內控管理中的作用

2014-11-08 20:43:07 大云網　點擊量：評論 (0)

企業(yè)內部控制信息系統(tǒng)的應用主要來自于兩方面力量的推動。首先是外部需求特別是SOX法案頒布后加強企業(yè)內控對外報告需求的推動；其次是內部需求特別是企業(yè)加強風險管理、提高內控管理與整體流程管理水平需求的推

企業(yè)內部控制信息系統(tǒng)的應用主要來自于兩方面力量的推動。首先是外部需求特別是SOX法案頒布后加強企業(yè)內控對外報告需求的推動；其次是內部需求特別是企業(yè)加強風險管理、提高內控管理與整體流程管理水平需求的推動。

內部控制信息系統(tǒng)的外部需求及其作用

根據IDS Scheer對從2002年SOX法案頒布四年來的在美上市公司的SOX法案遵從調查結果表明，大部分公司都經歷了如下的過程：

1、法規(guī)準備-〉2、完善內控體系-〉3、無IT系統(tǒng)支撐的內控測試與報告-〉4、實施IT系統(tǒng)支持的內控測試與報告-〉5、整合內部控制相關的IT系統(tǒng)并進行流程優(yōu)化

以下對該過程進行具體說明：

1、法規(guī)準備：

美國薩班斯法案對上市公司加強信息披露及內部控制的要求，使得無論上市企業(yè)是否愿意，都必須去按照SOX法案的相關規(guī)定，定期的對外披露與報告公司內部控制執(zhí)行情況，且公司的主要領導(CEO、CFO)要對該報告進行簽署，以證明公司管理層按照法律要求履行了加強公司內部控制監(jiān)管的責任。上市公司的主要領導因為要對內控報告對外簽署，因此承擔著巨大的法律責任與合規(guī)風險。作為上市公司組織機構往往規(guī)模龐大，甚至存在跨國經營。

如何有效地管理簽署風險，如何將簽署責任有效地分解到各級下屬公司責任人，如何將內部控制的理念通過責任落實與分解轉變成企業(yè)的核心競爭力，都是上市公司管理層必須思考與決策的。

SOX法案的目標：

恢復投資者對在美上市公司的財務報告及披露的信心．

SOX法案的對上市公司的要求：

(1)改進內控系統(tǒng)

(2)提高文檔化水平

(3)加強財務披露

(4)提高管理層誠信

(5)提高業(yè)務流程的透明度

(6)提高財務報告質量

(7)防止公司治理失敗造成的財務災難

(8)防止公司的業(yè)務及財務欺詐

2、完善內控體系：

在SOX法案遵從過程第一年中，通常企業(yè)必須投入大量的人力與成本去完善與補充公司的內部控制體系文件及相關內部控制測試程序及制度。根據SOX法案及COSO框架要求，企業(yè)需要從控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)督五個層面去完善內控體系文件。這其中涉及到大量的流程文檔、風險控制矩陣、流程-科目關系文檔、信息系統(tǒng)控制風險矩陣等等。很多公司花費了一年甚至幾年的時間才將這些文檔梳理完畢。但是，由于內控文檔覆蓋范圍之大(涵蓋了幾乎企業(yè)所有的業(yè)務流程)，使得文檔的更新與維護變得異常復雜而且難以操作。

因此，盡管在體系完善過程中實現了文檔電子化，可是在電子化之后卻又出現了新的文檔維護更新的巨大挑戰(zhàn)。如何有效地管理內控體系文件，保證內控管理的持續(xù)有效性。如何將純粹的內控文件管理工作變成更具全局意義的企業(yè)流程管理，使內控管理不僅局限于流程內控點的維護，更關注企業(yè)業(yè)務流程(包括內控管理業(yè)務流程)的改進與提高。這些都是企業(yè)內控管理部門在經過第一年的SOX法案遵從過程后所不斷思考、總結與關注的問題。

3、無IT系統(tǒng)支撐的內控測試與報告：

SOX法案對上市公司最為嚴格的一項要求是定期的對外披露并簽署內部控制執(zhí)行情況，還須經過外部審計師的鑒證。該條款充分體現了美國證券監(jiān)管機構及司法機構的管理智慧，即證據保留，責任連帶的原則。因為英美法系遵循的是無罪假設，有罪舉證的原則，通過SOX法案要求上市公司把所有證據保留下來并經過鑒證與對外披露，使得在美上市公司一旦被查出財務丑聞，管理層就無法逃避其法律責任，即或者因為簽署的內控報告隱瞞了真實情況而承擔欺詐的罪名，或者就是因為沒有按照SOX法律規(guī)定簽署內控報告而承擔規(guī)避上市監(jiān)管法規(guī)的責任。

同樣，會計師事務所也因為必須按照SOX法案鑒證企業(yè)披露的內控報告，而不得不承擔連帶的獨立中介是否誠免盡職的責任。于是，無論上市公司還是會計師事務所在第一年中都投入了大量的人力與財力對企業(yè)內部控制的測試執(zhí)行情況進行記錄與報告。為此，企業(yè)的審計成本與合規(guī)成本都成倍增長，大量的測試組織、記錄、報告工作都需要手工完成。

這其中由于測試記錄流程的非自動化又造成了很多重復工作及錯漏現象的發(fā)生，同時，企業(yè)內控管理部門被如潮水般涌現出的控制缺陷報告搞得疲于應付，無法集中精力去關注企業(yè)整體流程及相關內控措施、風險設置的合理有效性，無法集中精力優(yōu)化內控體系與業(yè)務流程以降低總體合規(guī)成本。這時候，很多企業(yè)開始考慮是否有合適的IT系統(tǒng)以支撐以后年度的內控測試報告、缺陷管理、簽署管理、以及流程管理等工作。

4、實施IT系統(tǒng)支持的內控測試與報告：

根據IDS Scheer公司的SOX系統(tǒng)實施經驗表明，大部分海外在美上市公司從第二年或者第三年開始采用了IT系統(tǒng)以支持SOX測試審計。這其中，最常見的應用是對測試記錄的流程自動化，但隨著IT系統(tǒng)使用的逐漸增多，眾多公司發(fā)現如何有效地管理缺陷上報流程、責任簽署流程、以及支持匿名檢舉及自我評估等機制的建立，才是真正提升企業(yè)內控管理水平、促進內控管理由被動的遵從轉變成下屬公司自我約束文化的建立，直至最終形成企業(yè)內控管理核心競爭力的關鍵所在。

如西門子(中國)公司的缺陷管理流程、英飛凌(全球)公司的責任簽署機制及缺陷上報流程的設計、三菱、日立、ING等等，IDS Scheer結合客戶的需求與上述眾多知名企業(yè)共同設計形成了支持SOX測試審計的內部控制信息系統(tǒng)應用最佳實踐。

為了更好的實現IT系統(tǒng)對企業(yè)內控管理的支持，企業(yè)往往需要與軟件原廠商一起共同就特殊管理需求進行合作開發(fā)(如AXA、西門子、英飛凌等都以自己公司的名字為開頭為IDS Scheer的SOX系統(tǒng)解決方案命名，并承諾與IDS Scheer共同開發(fā)該解決方案)，只有這樣，才能始終保證IT系統(tǒng)與企業(yè)管理需求的一致性，同時，也使得軟件廠商的解決方案不斷的到改進與優(yōu)化，并為更多的客戶服務。企業(yè)與軟件原廠商之間是合作共贏的關系，而不是一次性的交易。

5、整合內部控制相關的IT系統(tǒng)并進行流程優(yōu)化：

經過將近四年的SOX法案遵從過程，企業(yè)開始考慮如何將各種與內部控制相關的IT系統(tǒng)進行整合，而整合的關鍵仍然是流程的整合。因為絕大多數的企業(yè)級IT應用系統(tǒng)均是基于流程的需求而開發(fā)，但是每套IT系統(tǒng)所對應的業(yè)務流程由于當初系統(tǒng)實施的各自為戰(zhàn)，缺乏良好的接口整合與描述標準化。企業(yè)內控管理部門為了更好的管理眾多的基于流程的風險與控制，必須尋找一個統(tǒng)一的平臺實現與各個IT系統(tǒng)所對應流程描述的銜接。

同時，如何在發(fā)現風險控制缺陷的基礎上進行業(yè)務流程改進，如何監(jiān)控新建IT系統(tǒng)的流程合規(guī)與流程績效，如何滿足企業(yè)日益增長的流程優(yōu)化需要，都需要企業(yè)管理層在統(tǒng)一流程平臺層面進行規(guī)劃與管理。

內部控制信息系統(tǒng)的內部需求及其作用

內部控制概念本身并不是有了SOX法案才開始出現，而是早已有之。

從外部投資人及監(jiān)管機構的角度稱作企業(yè)內部控制，而從企業(yè)管理者的角度則實際上就是企業(yè)的管理控制。企業(yè)管理控制的主要目的在于規(guī)范運作，防止發(fā)生經營風險、合規(guī)風險及財務報告風險。傳統(tǒng)認為內部控制更多關注防范財務報告風險，實際企業(yè)中更多的管理控制還存在于防范經營風險、如授權、審批、合同、價格、安全生產等等日常經營業(yè)務流程中的風險控制。以及合規(guī)風險、如滿足法律、審計、稅收、環(huán)保等外部強制性管理流程的要求。

隨著企業(yè)管理幅度與深度的不斷加深，以及企業(yè)流程自動化水平的不斷提高，內部控制已經與流程管理緊密地結合在一起。以往的手工流程逐漸被自動化設備、信息系統(tǒng)所取代，傳統(tǒng)的通過組織會議、定期報告了解業(yè)務流程運作情況及管理控制情況的方式已經不再適合；大量的業(yè)務流程被自動化運轉的機器設備、信息系統(tǒng)所執(zhí)行，不再像過去那樣一個資深的業(yè)務人員就能夠很好的描述企業(yè)實際運作的各個流程。

如何將被系統(tǒng)固化的業(yè)務流程重新展現出來，如何全盤的了解企業(yè)各業(yè)務流程中的風險控制系統(tǒng)執(zhí)行情況。這些問題都是現代企業(yè)內控管理者所關心的問題。與此同時，以流程描述為代表的各種管理咨詢項目應運而生?；蛘呤菫槠髽I(yè)勾畫質量管理體系所要求的業(yè)務流程(程序文件)，以達到ISO認證的要求；或者是為企業(yè)描述內控相關的業(yè)務流程，以達到SOX法案流程透明的要求；或者是為企業(yè)描述現狀業(yè)務流程及目標流程藍圖，以實現ERP系統(tǒng)的上線；或者是幫助企業(yè)描述業(yè)務流程進行業(yè)務流程再造(BPR)。

然而，從沒有流程描述到流程描述遍地開花的情景都不是企業(yè)管理真正希望達到的目標。企業(yè)的業(yè)務流程管理平臺應該是統(tǒng)一的并且是唯一的，各種類型的流程管理項目(如質量管理、內控管理、流程自動化、BPR)所依據的流程描述都應該是一致的，而不能各自為政相互割裂。因此，只有在統(tǒng)一業(yè)務流程管理基礎上的內控管理才能夠最大化的發(fā)揮其管理效力。

同時，統(tǒng)一的業(yè)務流程管理平臺可以支撐企業(yè)流程的不斷更新與自動化。如通過流程管理平臺實現與ERP系統(tǒng)的流程描述同步，通過流程管理平臺實現對IT系統(tǒng)支撐的業(yè)務流程進行流程績效評估，通過流程管理平臺實現內控測試人員任務分派的可視化管理，通過流程管理平臺實現流程描述的實時網絡發(fā)布與在線查詢，通過流程管理平臺實現《內控手冊》、《質量管理手冊》等的動態(tài)生成等諸多功能。企業(yè)內控管理也因此可以脫離對原有的靜態(tài)文檔的跟蹤管理，轉變成對業(yè)務流程的動態(tài)跟蹤管理。

總之，通過以上由企業(yè)內外部需求對內部控制信息系統(tǒng)要求的分析，使得我們可以更加清晰的了解內部控制信息系統(tǒng)應該在哪些方面為企業(yè)管理帶來提升與價值。