抽象;目前,企業信息化的應用正在逐步深入,財務管理軟件、企業資源計劃(ERP)、供應鏈管理(SCM)、客戶關系管理(CRM)、電子商務(EC)等應用日益廣泛。
關鍵詞;內部控制;實現信息化
目前,如何利用日新月異的信息技術固化內部控制,降低控制成本,提高控制效率,已經受到企業界的廣泛關註。財政部等五部委聯合發布的《企業內部控制基本規範》要求內部控制與信息系統相結合:“企業應當運用信息技術強化內部控制,建立適合經營管理的信息系統,促進內部控制流程與信息系統的有機結合,實現業務和事項的自動控制,減少或者消除人為操縱因素”。《企業內部控制應用指引第18號——信息系統》進壹步明確了促進企業有效實施內部控制、提高企業現代化管理水平、減少人為因素的主要目的和具體內容。可見,內部控制信息化的目標是借助信息技術手段實施內部控制,減少人為因素造成的失誤,提高內部控制的執行力和效率。筆者根據日常工作實踐,就如何落實內部控制信息化要求,處理好內部控制與信息技術的關系進行了相關分析和探索。
壹、企業信息化對內部控制的挑戰及應註意的問題
在實現內部控制信息化的過程中,相當壹部分企業選擇了ERP(企業資源計劃)系統進行相關的信息處理。這是因為ERP系統是基於對企業資源(包括采購、銷售、項目、財務和人員)的有效整合,統壹調度、合理分配和控制,可以最大限度地發揮企業的能力,提高企業的核心競爭力。在這個過程中,每個模塊都有嚴格的自動控制,比如無預留(計劃)不能創建采購訂單,無采購訂單不能辦理入庫,入庫後立即自動生成財務憑證等等。但同時,ERP系統滿足了企業在日常業務審批和專業管理方面的內控要求;由於系統資源的不足,維修計劃的審批、設備狀態管理、壹般物資采購供應商的選擇、客戶信用額度的確定,僅僅依靠ERP系統是不夠的。因此,企業往往需要與ERP系統進行對接,如辦公自動化系統、電子商務系統、客戶關系管理系統等,這些也是實現內控信息化的重要組成部分。
扮演著非常重要的角色。
如何實現企業自身內部控制的信息化,關鍵應處理好以下幾個問題:
(壹)正確理解信息系統的作用
從管理的角度來看,信息化的自動化效應使得大多數管理者非常重視信息化建設,但往往只把信息化作為壹種技術,而忽視了信息系統與管理思想的有機融合。
從操作的角度來看,更常見的是業務沒有及時錄入系統而是事後添加,只把系統當成賬本,或者忽略甚至回避系統的自動控制(比如為了方便把錄入系統的用戶名和密碼交換)。這些都嚴重影響了內控信息化的效果,無疑也影響了系統應用的效果,造成了企業資源的浪費,影響了投入產出的比例。
(二)正確處理標準化問題
標準化是信息化的基礎。沒有標準化,就意味著壹個現代化的工廠沒有統壹的零件就無法進行自動化生產。對於內控信息化的采用,標準化的內容壹般包括:組織架構、業務流程及相關表格、崗位職責及管理權限、職責分離、各類主數據的定義及編號(壹般指ERP系統,包括物料和資產名稱)等。實現了這些方面的標準化,抓住了內控信息化的核心,信息系統上線的標準模板就有了堅實的基礎。需要註意的是,標準化的過程是最困難的,也是內控信息化最需要付出努力的,尤其是子公司眾多的超大型集團企業,需要管理層的堅定決心和運營層的全力投入。
(三)正確處理各種信息系統之間的關系
如上所述,整合企業各種信息系統,似乎不是內控信息化的問題。但企業可以利用內控信息化的契機,梳理哪些信息系統是必須的,哪些業務審批可以利用現有的其他信息系統實現,以及如何形成以ERP系統為核心的管理體系,進壹步集中系統控制,完善系統設置,最大限度地利用系統資源,降低企業成本。
二、實現內部控制信息化的有效途徑
實現高效內部控制信息化的途徑,其具體工作主要包括以下幾個方面:
(壹)建立良好的信息環境
領導的重視和正確認識是信息化的前提。首先,管理者要將管理思想與信息化有機結合起來,在提出管理需求之初就考慮是否與選定的信息系統管理思想壹致,如何更好地依靠技術手段實現,最大限度地減少人為因素的影響。其次,在信息化的過程中,要充分重視和支持信息化帶來的管理變革,盡可能改變現狀以適應制度,而不是讓制度“湊合”而聽之任之。只有這樣,內控信息化才能發揮應有的作用。再次,管理者要帶頭操作系統,服從系統控制,不要隨便違反系統控制的規則。(二)利用風險機制推進標準化工作。
風險機制包括風險識別、分析、評估和識別。在這個過程中,我們必須充分調查實際業務,收集業務信息,並模擬執行。具體來說,我們應該在以下幾個方面做好標準化工作:
1.組織結構的標準化。企業應結合管理模式(集中管理或分散管理),運用風險機制,為企業采購、銷售等核心業務尋找更合理的組織架構,明確各級權責劃分。這些將直接決定控制效果,直接影響業務流程的具體組成路徑,是統壹業務流程、規範崗位職責的前提。
2.業務流程和工作職責的標準化。業務流程標準化需要召集壹線管理人員,充分征求意見,運用風險機制分析優化業務流程,擬定關鍵控制點,明確各崗位的職責和管理權限以及不相容職責的劃分標準。其中,優化過程是最關鍵的環節。如果考慮不周全,會造成系統反復上線,浪費人力物力。對於關鍵控制點,要逐壹梳理,記錄哪些可以固化在系統中,哪些無法實現或者成本較高。對於系統中可以固化的業務流程和控制點,要確定系統標準模板,壹般由標準的業務流程、管理權限、不相容的職責或參數來設置。需要註意的是,由於內部控制信息化是在壹定條件下和壹定範圍內的信息化,對於外部控制的措施(如人工審計等。)應明確允許,以提高對系統自動控制成本較高的業務環節的控制效率。
1.形式標準化。在優化流程的基礎上,因為梳理了業務申請部門(人)、業務審核部門(人)、審批人、不兼容部門等控制環節,使得相關審批表格標準化成為可能。
2.ERP系統主數據的標準化。客戶、供應商、物料等主數據是ERP系統的組成細胞,沒有標準化就無法實現內控信息化,因此這些主數據的定義和編碼必須標準化。
(三)建立系統的持續監督機制
利用信息系統進行持續監督是實現有效和高效內部監督的重要途徑。coso委員會2009年發布的《內部控制體系監管指引》總結了四種利用信息技術進行持續監管的方式,基本可以反映當前技術條件下的信息監管模式。具體包括:有利於錯誤管理的工具(記錄錯誤、跟蹤和處理分析)、監控應用變更的工具(變更認證、溝通和適當的評估)、評估系統狀態的工具(包括內置參數、可容忍級別、不兼容的責任分離和管理權限)和評估流程完整性的工具(包括標準和協作、數據匯總和文檔完整性)。前兩種工具主要用於直接監控系統的日常運行,如零售商檢查系統信息是否有無效訂單標識,是否將所有零售數據傳輸到數據中心進行處理等。,適用於專業管理人員監督日常業務總結;後兩項主要通過內控部門專門開發的檢查工具進行監督。具體方法是規範關鍵控制點對應的業務流程、管理權限、不相容職責和參數,建立信息系統標準模板,開發標準模板的檢查工具,通過定期運行檢查工具,對比與標準模板的差異,逐步建立持續監控機制。
具體來說,通過檢查ERP系統的管理權限,根據不相容職責標準,檢查工具可以指出系統中哪些角色或用戶同時存在不相容事務,系統權限與角色或用戶的崗位職責是否壹致;結合風險分類,定義業務缺地的標準(幾個不合格的風險可以定義為壹個缺陷標準),固化在系統中,實現異常業務預警。對於報警業務,總部可以及時追查,必要時也可以組織相關專家進行現場檢查。同時,對於確定為工具監管的系統自動控制業務,可以減少檢查的頻率。對於系統外手動控制的業務,以現場檢查為主,對於系統內“自動+手動”控制的業務,兩者可以結合。
(四)建立內部控制系統管理平臺
內部控制制度的管理包括根據內外部環境(市場、法律等)的變化及時調整制度。)、與子公司的信息傳遞(包括國家相關法律法規、內部控制通知、企業內部控制評價信息和內部控制報告)、相關業務流程和理論的討論交流等。利用信息系統建立系統管理平臺,可以大大提高辦公效率,促進上下級的融合。
(五)培養內部控制信息人才
要實現內控信息化,人才培養也是關鍵環節之壹。培養壹大批既懂內控又懂信息系統,既懂應用控制又懂壹般控制,既懂業務流程又懂關鍵控制的人才。我們還應積極探索和借鑒國際先進的內部控制理念和方法,不斷完善具有中國特色的內部控制體系,從而推動我國企業內部控制信息化的實施和發展。