關鍵詞;內部控制;實現信息化當前如何利用日新月異的信息技術固化內部控制、減少控制成本、提高控制效率,受到了企業界的廣泛關註。財政部等五部委聯合出臺的《企業內部控制基本規範》對企業內部控制與信息系統的結合提出了要求:“企業應當運用信息技術加強內部控制,建立與經營管理相適應的信息系統,促進內部控制流程與信息系統的有機結合,實現對業務和事項的自動控制,減少或消除人為操縱因素”。 《企業內部控制應用指引第18號壹壹信息系統》又進壹步明確了促進企業有效實施內部控制,提高企業現代化管理水平,減少人為因素的主旨和各項具體內容。可見,利用信息技術手段實施內部控制,減少人為因素造成的錯弊,提高內部控制的執行力和效率,是內部控制信息化的目標。筆者現根據日常工作實踐就如何落實內控信息化的要求、處理好內部控制與信息技術的關系,作出相關的分析和探索。壹、企業信息化對內部控制提出挑戰及應註意的問題在實現內控信息化的過程中,有相當部分的企業選擇了 ERP(企業資源計劃)系統進行相關的信息處理。這是因為 ERP系統立足於有效整合企業資源(包括采購、銷售、項目、財務和人員),統壹調度、合理配置和管控,可以最大限度地發揮企業能力,提高核心競爭力。在此過程中,每壹個模塊都有嚴格的自動控制,例如沒有預留(計劃)就不能創建采購訂單,沒有采購訂單就不能辦理入庫,入庫立即自動生成財務憑證,等等。但同時ERP系統在滿足企業內部控制要求的日常業務審批及專業管理方面;由於系統資源的限制還略顯不足,導致修理費維修計劃的審批、設備狀態管理、壹般物資采購供應商的選擇、客戶信用額度的確定等,僅僅依靠 ERP系統是不夠的。因此,企業往往還需要諸如辦公自動化系統、電子商務系統、客戶關系管理系統等與ERP系統進行對接,這些系統也是實現內控信息化的重要組成部分,發揮著非常重要的作用。(壹)正確認識信息系統的作用從管理層角度看,信息化的自動化效應使得管理層大多都很重視信息化建設,但也往往將信息化僅看作壹項技術,而忽視信息系統與管理思想的有機融合。期刊文章分類查詢,盡在期刊圖書館從操作層面看,業務不及時錄入系統而事後補錄,把系統僅當做是壹個臺賬,或者忽視甚至設法回避系統自動控制(例如為了操作方便,互相交換進入系統的用戶名和密碼)的現象較為常見。這些都嚴重影響了內控信息化的效果,也毫無疑問影響了系統應用的效果,造成企業資源的浪費,影響了投入產出的比例。(二)正確處理標準化問題標準化是實現信息化的基礎,沒有標準化就相當於壹個現代化的工廠沒有統壹的零部件,無法進行自動化生產。對於內控信息化采說,標準化的內容壹般包括:組織架構、業務流程及相關表單、崗位職責和管理權限、職責分離、各種主數據(壹般指ERP系統,包括物料、資產名稱)的定義和編號等。實現了這些方面的標準化,也就把握了內控信息化的核心,信息系統上線的標準模板就有了紮實的基礎。應該說明的是,標準化的歷程是內控信息化難度最大且最需要下功夫的,尤其是對於特大型且擁有眾多分(子)公司的集團企業,這需要管理層堅定的決心和操作層充分的精力投入。(三)正確處理各種信息系統的關系二、實現內控信息化有效途徑實現高效的內控信息化的途徑,其具體的工作主要有以下幾方面:(壹)建立良好的信息化環境領導重視且正確認識是信息化得以實現的前提。首先,管理者應將管理思想與信息化有機結合,在提出管理要求伊始就考慮其與所選擇的信息系統管理思想是否吻合,且怎樣更好地依賴技術手段加以實現,盡可能地減少人為因素的影響。其次,在信息化實現的過程中,應充分重視和支持信息化所帶來的管理變革,盡可能改變現狀以適應系統,而不是讓系統“將就”,原狀,只有這樣,內控信息化才能起到應有的作用。再次,管理者應該帶頭操作系統並服從系統控制,不隨便破壞系統控制的規定。(二)利用風險機制,紮實推進標準化工作風險機制包括對風險的識別、分析、評估和認定。在這個過程中,必須充分調研實際業務,收集業務信息,模擬執行情況,具體而言,應做好以下幾方面的標準化工作:1.組織架構標準化。企業應結合管理模式(集中管理或分散管理),利用風險機制,對企業采購、銷售等核心業務找出較為合理的組織架構,明確各層級的權責劃分,這些會直接決定控制的效果,也直接影響業務流程的具體構成路徑,是業務流程統壹和崗位職責標準化的前提。2.業務流程及崗位職責標準化。業務流程標準化需要召集壹線管理人員,充分征求意見,利用風險機制分析、優化業務流程,擬定關鍵控制點,界定各崗位職責和管理權限以及不相容職責的劃分標準。這其中,優化流程是最關鍵的環節,如果考慮不周全,將造成系統上線反復進行,浪費人力物力資源。對於關鍵控制點,應逐項梳理後記錄下哪些能夠固化在系統中、哪些不能實現或實現成本較高。對能夠固化在系統中的業務流程和控制點,應確定系統標準模板,系統標準模板概括起來,壹般由標準業務流程、管理權限、不相容職責配置或參數設定。應說明的是,由於內控信息化是在壹定條件、壹定範圍內的信息化,對於實現系統自動控制成本較高的業務環節,應明確允許系統外控制(如人工稽核等)的措施以提高控制效率。1. 表單標準化。在優化流程的基礎上,由於梳理了業務申請部門(人)、業務審核部門(人)及審批人、不相容部門等控制環節,相關審批表單的標準化也成為可能。2. ERP系統主數據標準化。客戶、供應商、物料等主數據是 ERP系統的構成細胞,不實現標準化就無法實現內控信息化,因此必須對這些主數據的定義和編碼予以標準化。(三)建立利用系統進行持續性監督的機制利用信息系統進行持續性的監督是實現有效、高效內部監督的重要方式,coso委員會 2009年出版的《內部控制體系監督指南》對利用信息技術持續性監督概括了四種方式,基本上能夠反映目前技術條件下的信息化監督方式,具體包括:利於誤差管理的工具(記錄誤差的日誌、後續跟進、處理情況分析)、監督應用程序變更的工真(變更認證、溝通、適當評價)、評價系統狀況的工具(包括內置參數、可容忍水平、不相容職責分離、管理權限)及評價過程完整性的工具(包括標準及協同、數據加總、文擋完整性)。前兩項工具主要是對系統日常操作的直接監控,如零售商檢查系統信息有無無效的訂單標識、零售數據是否全部傳輸到數據中心處理等,適合於專業管理在日常業務匯總時進行監督;後兩項則主要由內部控制部門專門開發檢查工具進行監督,具體方法是通過對關鍵控制點所對應的業務流程、管理權限、不相容職責和參數予以標準化,建立信息系統標準模板,並針對標準模板開發檢查工具,通過定期運行檢查工具、對比與標準模板的差異,逐步建立持續性監控的機制。具體而言,通過對ERP系統管理權限進行檢查,按照不相容職責標準,檢查工具可以指出系統中哪些角色或用戶同時擁有不相容事務,系統權限與角色或用戶的崗位職責是否吻合;結合風險分級定義各項業務缺陸標準(可以將幾個不符合要求的風險定義為壹個缺陷標準)並固化在系統中,實現異常業務預警。對於報警的業務,總部可及時追查,如有必要,也可組織有關專家到現場檢查。同時,對於確定了利用工具進行監督的系統自動控制業務,可以減少檢查的頻率,對於系統外手工控制的業務應作為檢查重點,進行現場檢查,對系統“自動+手工”控制的業務,可以兩者結合進行檢查。(四)建立內控制度管理平臺內控制度管理包括根據內外部環境(市場、法律等)變化及時調整制度,與分(子)公司之間資料(包括國家有關法律法規、內控通知、內控考核信息、企業內控報告)和信息(包括企業實際執行中存在問題建議)的傳遞,相關業務流程和理論的探討交流等具體內容,通過利用信息系統建立制度管理平臺,可以極大提高辦公效率,促進上下壹體、公開公平、***同提高的良好制度環境的形成。(五)培養內控信息化人才要實現內控信息化,人才培養也是關鍵環節之壹。培養壹大批既懂內控、又懂信息系統,既了解熟悉應用控制、又了解熟悉壹般控制,既熟悉業務流程、又清楚關鍵控制的人才。還應積極探索和借鑒國際上先進的內部控制理念與方法來不斷完善有中國特色的內部控制體系,以促進我國企業內部控制信息化的實施與發展。
上一篇:與企業損益無關的稅金有哪些(會計考試內容)下一篇:請問什麽是正規的國家壹級美術師證書?能發個圖嗎?