企業(yè)內(nèi)控信息系統(tǒng)在內(nèi)控管理中的作用

1、企業(yè)內(nèi)控信息系統(tǒng)在內(nèi)控管理中的作用企業(yè)內(nèi)部控制信息系統(tǒng)的應(yīng)用主要來(lái)自于兩方面力量的推動(dòng)。首先是 外部需求特別是 SOX法案頒布后加強(qiáng)企業(yè)內(nèi)控對(duì)外報(bào)告需求的推動(dòng)；其次是內(nèi) 部需求特別是企業(yè)加強(qiáng)風(fēng)險(xiǎn)管理、提高內(nèi)控管理與整體流程管理水平需求的推 動(dòng)。內(nèi)部控制信息系統(tǒng)的外部需求及其作用根據(jù) IDS Scheer 對(duì)從 2002年 SOX法案頒布四年來(lái)的在美上市公司的 SOX法案 遵從調(diào)查結(jié)果表明，大部分公司都經(jīng)歷了如下的過(guò)程：1、法規(guī)準(zhǔn)備 - 2、完善內(nèi)控體系 -3、無(wú) IT 系統(tǒng)支撐的內(nèi)控測(cè)試與報(bào)告 - 4、實(shí)施 IT 系統(tǒng)支持的內(nèi)控測(cè)試與報(bào)告 - 5、整合內(nèi)部控制相關(guān)的 IT 系統(tǒng)并進(jìn) 行流程優(yōu)化

2、以下對(duì)該過(guò)程進(jìn)行具體說(shuō)明：1、法規(guī)準(zhǔn)備： 美國(guó)薩班斯法案對(duì)上市公司加強(qiáng)信息披露及內(nèi)部控制的要求，使得無(wú)論上市企 業(yè)是否愿意，都必須去按照 SOX法案的相關(guān)規(guī)定，定期的對(duì)外披露與報(bào)告公司 內(nèi)部控制執(zhí)行情況，且公司的主要領(lǐng)導(dǎo) (CEO、 CFO)要對(duì)該報(bào)告進(jìn)行簽署，以證 明公司管理層按照法律要求履行了加強(qiáng)公司內(nèi)部控制監(jiān)管的責(zé)任。上市公司的 主要領(lǐng)導(dǎo)因?yàn)橐獙?duì)內(nèi)控報(bào)告對(duì)外簽署，因此承擔(dān)著巨大的法律責(zé)任與合規(guī)風(fēng) 險(xiǎn)。作為上市公司組織機(jī)構(gòu)往往規(guī)模龐大，甚至存在跨國(guó)經(jīng)營(yíng)。 如何有效地管理簽署風(fēng)險(xiǎn)，如何將簽署責(zé)任有效地分解到各級(jí)下屬公司責(zé)任 人，如何將內(nèi)部控制的理念通過(guò)責(zé)任落實(shí)與分解轉(zhuǎn)變成企業(yè)的核心競(jìng)爭(zhēng)力，都

3、 是上市公司管理層必須思考與決策的。SOX法案的目標(biāo)： 恢復(fù)投資者對(duì)在美上市公司的財(cái)務(wù)報(bào)告及披露的信心 SOX法案的對(duì)上市公司的要求：(1) 改進(jìn)內(nèi)控系統(tǒng)(2) 提高文檔化水平(3) 加強(qiáng)財(cái)務(wù)披露(4) 提高管理層誠(chéng)信(5) 提高業(yè)務(wù)流程的透明度(6) 提高財(cái)務(wù)報(bào)告質(zhì)量(7) 防止公司治理失敗造成的財(cái)務(wù)災(zāi)難(8) 防止公司的業(yè)務(wù)及財(cái)務(wù)欺詐2、完善內(nèi)控體系：在 SOX法案遵從過(guò)程第一年中，通常企業(yè)必須投入大量的人力與成本去完善與 補(bǔ)充公司的內(nèi)部控制體系文件及相關(guān)內(nèi)部控制測(cè)試程序及制度。根據(jù)SOX法案及 COSO框架要求，企業(yè)需要從控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息與溝通、 監(jiān)督五個(gè)層面去完善內(nèi)控

4、體系文件。這其中涉及到大量的流程文檔、風(fēng)險(xiǎn)控制 矩陣、流程 - 科目關(guān)系文檔、信息系統(tǒng)控制風(fēng)險(xiǎn)矩陣等等。很多公司花費(fèi)了一年 甚至幾年的時(shí)間才將這些文檔梳理完畢。但是，由于內(nèi)控文檔覆蓋范圍之大 ( 涵 蓋了幾乎企業(yè)所有的業(yè)務(wù)流程 ) ，使得文檔的更新與維護(hù)變得異常復(fù)雜而且難以 操作。因此，盡管在體系完善過(guò)程中實(shí)現(xiàn)了文檔電子化，可是在電子化之后卻又出現(xiàn) 了新的文檔維護(hù)更新的巨大挑戰(zhàn)。如何有效地管理內(nèi)控體系文件，保證內(nèi)控管 理的持續(xù)有效性。如何將純粹的內(nèi)控文件管理工作變成更具全局意義的企業(yè)流 程管理，使內(nèi)控管理不僅局限于流程內(nèi)控點(diǎn)的維護(hù)，更關(guān)注企業(yè)業(yè)務(wù)流程（ 包括內(nèi)控管理業(yè)務(wù)流程 ） 的改進(jìn)與提高。

5、這些都是企業(yè)內(nèi)控管理部門在經(jīng)過(guò)第一年的 SOX法案遵從過(guò)程后所不斷思考、總結(jié)與關(guān)注的問(wèn)題。3、無(wú) IT 系統(tǒng)支撐的內(nèi)控測(cè)試與報(bào)告：SOX法案對(duì)上市公司最為嚴(yán)格的一項(xiàng)要求是定期的對(duì)外披露并簽署內(nèi)部控制執(zhí) 行情況，還須經(jīng)過(guò)外部審計(jì)師的鑒證。該條款充分體現(xiàn)了美國(guó)證券監(jiān)管機(jī)構(gòu)及 司法機(jī)構(gòu)的管理智慧，即證據(jù)保留，責(zé)任連帶的原則。因?yàn)橛⒚婪ㄏ底裱氖?無(wú)罪假設(shè)，有罪舉證的原則，通過(guò) SOX法案要求上市公司把所有證據(jù)保留下來(lái) 并經(jīng)過(guò)鑒證與對(duì)外披露，使得在美上市公司一旦被查出財(cái)務(wù)丑聞，管理層就無(wú) 法逃避其法律責(zé)任，即或者因?yàn)楹炇鸬膬?nèi)控報(bào)告隱瞞了真實(shí)情況而承擔(dān)欺詐的 罪名，或者就是因?yàn)闆]有按照 SOX法律規(guī)定簽

6、署內(nèi)控報(bào)告而承擔(dān)規(guī)避上市監(jiān)管 法規(guī)的責(zé)任。同樣，會(huì)計(jì)師事務(wù)所也因?yàn)楸仨毎凑?SOX法案鑒證企業(yè)披露的內(nèi)控報(bào)告，而不 得不承擔(dān)連帶的獨(dú)立中介是否誠(chéng)免盡職的責(zé)任。于是，無(wú)論上市公司還是會(huì)計(jì) 師事務(wù)所在第一年中都投入了大量的人力與財(cái)力對(duì)企業(yè)內(nèi)部控制的測(cè)試執(zhí)行情 況進(jìn)行記錄與報(bào)告。為此，企業(yè)的審計(jì)成本與合規(guī)成本都成倍增長(zhǎng)，大量的測(cè) 試組織、記錄、報(bào)告工作都需要手工完成。這其中由于測(cè)試記錄流程的非自動(dòng)化又造成了很多重復(fù)工作及錯(cuò)漏現(xiàn)象的發(fā) 生，同時(shí)，企業(yè)內(nèi)控管理部門被如潮水般涌現(xiàn)出的控制缺陷報(bào)告搞得疲于應(yīng) 付，無(wú)法集中精力去關(guān)注企業(yè)整體流程及相關(guān)內(nèi)控措施、風(fēng)險(xiǎn)設(shè)置的合理有效 性，無(wú)法集中精力優(yōu)化內(nèi)控體系與

7、業(yè)務(wù)流程以降低總體合規(guī)成本。這時(shí)候，很 多企業(yè)開始考慮是否有合適的 IT 系統(tǒng)以支撐以后年度的內(nèi)控測(cè)試報(bào)告、缺陷管 理、簽署管理、以及流程管理等工作。4、實(shí)施 IT 系統(tǒng)支持的內(nèi)控測(cè)試與報(bào)告： 根據(jù)IDS Scheer 公司的 SOX系統(tǒng)實(shí)施經(jīng)驗(yàn)表明，大部分海外在美上市公司從第 二年或者第三年開始采用了 IT 系統(tǒng)以支持 SOX測(cè)試審計(jì)。這其中，最常見的應(yīng) 用是對(duì)測(cè)試記錄的流程自動(dòng)化，但隨著 IT 系統(tǒng)使用的逐漸增多，眾多公司發(fā)現(xiàn) 如何有效地管理缺陷上報(bào)流程、責(zé)任簽署流程、以及支持匿名檢舉及自我評(píng)估 等機(jī)制的建立，才是真正提升企業(yè)內(nèi)控管理水平、促進(jìn)內(nèi)控管理由被動(dòng)的遵從 轉(zhuǎn)變成下屬公司自我約束文

8、化的建立，直至最終形成企業(yè)內(nèi)控管理核心競(jìng)爭(zhēng)力 的關(guān)鍵所在。如西門子 （中國(guó)） 公司的缺陷管理流程、英飛凌 （全球）公司的責(zé)任簽署機(jī)制及缺 陷上報(bào)流程的設(shè)計(jì)、三菱、日立、 ING等等， IDS Scheer 結(jié)合客戶的需求與上 述眾多知名企業(yè)共同設(shè)計(jì)形成了支持 SOX測(cè)試審計(jì)的內(nèi)部控制信息系統(tǒng)應(yīng)用最 佳實(shí)踐。為了更好的實(shí)現(xiàn) IT 系統(tǒng)對(duì)企業(yè)內(nèi)控管理的支持，企業(yè)往往需要與軟件原廠商一 起共同就特殊管理需求進(jìn)行合作開發(fā) （如 AXA、西門子、英飛凌等都以自己公司 的名字為開頭為 IDS Scheer 的 SOX系統(tǒng)解決方案命名，并承諾與 IDS Scheer 共同開發(fā)該解決方案 ） ，只有這樣，才能

9、始終保證 IT 系統(tǒng)與企業(yè)管理需求的一 致性，同時(shí)，也使得軟件廠商的解決方案不斷的到改進(jìn)與優(yōu)化，并為更多的客 戶服務(wù)。企業(yè)與軟件原廠商之間是合作共贏的關(guān)系，而不是一次性的交易。5、整合內(nèi)部控制相關(guān)的 IT 系統(tǒng)并進(jìn)行流程優(yōu)化： 經(jīng)過(guò)將近四年的 SOX法案遵從過(guò)程，企業(yè)開始考慮如何將各種與內(nèi)部控制相關(guān) 的 IT 系統(tǒng)進(jìn)行整合，而整合的關(guān)鍵仍然是流程的整合。因?yàn)榻^大多數(shù)的企業(yè)級(jí) IT 應(yīng)用系統(tǒng)均是基于流程的需求而開發(fā)，但是每套 IT 系統(tǒng)所對(duì)應(yīng)的業(yè)務(wù)流程 由于當(dāng)初系統(tǒng)實(shí)施的各自為戰(zhàn)，缺乏良好的接口整合與描述標(biāo)準(zhǔn)化。企業(yè)內(nèi)控 管理部門為了更好的管理眾多的基于流程的風(fēng)險(xiǎn)與控制，必須尋找一個(gè)統(tǒng)一的 平臺(tái)

10、實(shí)現(xiàn)與各個(gè) IT 系統(tǒng)所對(duì)應(yīng)流程描述的銜接。同時(shí)，如何在發(fā)現(xiàn)風(fēng)險(xiǎn)控制缺陷的基礎(chǔ)上進(jìn)行業(yè)務(wù)流程改進(jìn)，如何監(jiān)控新建 IT 系統(tǒng)的流程合規(guī)與流程績(jī)效，如何滿足企業(yè)日益增長(zhǎng)的流程優(yōu)化需要，都需要 企業(yè)管理層在統(tǒng)一流程平臺(tái)層面進(jìn)行規(guī)劃與管理。內(nèi)部控制信息系統(tǒng)的內(nèi)部需求及其作用內(nèi)部控制概念本身并不是有了 SOX法案才開始出現(xiàn)，而是早已有之。 從外部投資人及監(jiān)管機(jī)構(gòu)的角度稱作企業(yè)內(nèi)部控制，而從企業(yè)管理者的角度則 實(shí)際上就是企業(yè)的管理控制。企業(yè)管理控制的主要目的在于規(guī)范運(yùn)作，防止發(fā) 生經(jīng)營(yíng)風(fēng)險(xiǎn)、合規(guī)風(fēng)險(xiǎn)及財(cái)務(wù)報(bào)告風(fēng)險(xiǎn)。傳統(tǒng)認(rèn)為內(nèi)部控制更多關(guān)注防范財(cái)務(wù) 報(bào)告風(fēng)險(xiǎn)，實(shí)際企業(yè)中更多的管理控制還存在于防范經(jīng)營(yíng)風(fēng)險(xiǎn)、如

11、授權(quán)、審 批、合同、價(jià)格、安全生產(chǎn)等等日常經(jīng)營(yíng)業(yè)務(wù)流程中的風(fēng)險(xiǎn)控制。以及合規(guī)風(fēng) 險(xiǎn)、如滿足法律、審計(jì)、稅收、環(huán)保等外部強(qiáng)制性管理流程的要求。 隨著企業(yè)管理幅度與深度的不斷加深，以及企業(yè)流程自動(dòng)化水平的不斷提高， 內(nèi)部控制已經(jīng)與流程管理緊密地結(jié)合在一起。以往的手工流程逐漸被自動(dòng)化設(shè) 備、信息系統(tǒng)所取代，傳統(tǒng)的通過(guò)組織會(huì)議、定期報(bào)告了解業(yè)務(wù)流程運(yùn)作情況 及管理控制情況的方式已經(jīng)不再適合；大量的業(yè)務(wù)流程被自動(dòng)化運(yùn)轉(zhuǎn)的機(jī)器設(shè) 備、信息系統(tǒng)所執(zhí)行，不再像過(guò)去那樣一個(gè)資深的業(yè)務(wù)人員就能夠很好的描述 企業(yè)實(shí)際運(yùn)作的各個(gè)流程。如何將被系統(tǒng)固化的業(yè)務(wù)流程重新展現(xiàn)出來(lái)，如何全盤的了解企業(yè)各業(yè)務(wù)流程 中的風(fēng)險(xiǎn)控制系

12、統(tǒng)執(zhí)行情況。這些問(wèn)題都是現(xiàn)代企業(yè)內(nèi)控管理者所關(guān)心的問(wèn) 題。與此同時(shí)，以流程描述為代表的各種管理咨詢項(xiàng)目應(yīng)運(yùn)而生。或者是為企 業(yè)勾畫質(zhì)量管理體系所要求的業(yè)務(wù)流程 （程序文件 ），以達(dá)到 ISO認(rèn)證的要求； 或者是為企業(yè)描述內(nèi)控相關(guān)的業(yè)務(wù)流程，以達(dá)到 SOX法案流程透明的要求；或 者是為企業(yè)描述現(xiàn)狀業(yè)務(wù)流程及目標(biāo)流程藍(lán)圖，以實(shí)現(xiàn) ERP系統(tǒng)的上線；或者 是幫助企業(yè)描述業(yè)務(wù)流程進(jìn)行業(yè)務(wù)流程再造 （BPR）。然而，從沒有流程描述到流程描述遍地開花的情景都不是企業(yè)管理真正希望達(dá) 到的目標(biāo)。企業(yè)的業(yè)務(wù)流程管理平臺(tái)應(yīng)該是統(tǒng)一的并且是唯一的，各種類型的 流程管理項(xiàng)目 （ 如質(zhì)量管理、內(nèi)控管理、流程自動(dòng)化、 BPR）所依據(jù)的流程描述都 應(yīng)該是一致的，而不能各自為政相互割裂。因此，只有在統(tǒng)一業(yè)務(wù)流程管理基 礎(chǔ)上的內(nèi)控管理才能夠最大化的發(fā)揮其管理效力。同時(shí)，統(tǒng)一的業(yè)務(wù)流程管理平臺(tái)可以支撐企業(yè)流程的不斷更新與自動(dòng)化。如通 過(guò)流程管理平臺(tái)實(shí)現(xiàn)與 ERP系統(tǒng)的流程描述同步，通過(guò)流程管理平臺(tái)實(shí)現(xiàn)對(duì) IT 系統(tǒng)支撐的業(yè)務(wù)流程進(jìn)行流程績(jī)效評(píng)估，通過(guò)流程管理平臺(tái)實(shí)