基于IT的内控挑战

来源：畅享网作者：AMT万涛

2010/12/29 8:58:10

畅享网：企业首先要建立基于完整的企业运作业务框架的流程体系。在此基础上建立流程的管理和控制体系，并达到文档化、电子化。

2010年4月26日，财政部、证监会、审计署、银监会、保监会五部门联合发布《企业内部控制配套指引》，规定将把上市公司的内部控制建设情况纳入上市公司日常监管的范围，并制定了实施时间表：自2011年1月1日起企业内部控制首先在境内外同时上市的公司实施，自2012年1月1日起扩大到上交所、深交所主板上市的公司。指引的发布也意味着被称为“中国萨班斯法案”的企业内控法开始进入实质运行阶段，如何做好企业内控成为摆在各家上市公司面前的一道严峻课题。

处于信息时代的企业，业务经营活动、各种数据传递以及财务报告的产生与传递越来越多地开始依赖IT系统的自动化处理。自动化过程给企业带来效率的同时也带来控制风险。为了防范这些风险，现代企业的内部控制体系亟需包含基于IT系统的内部控制政策与程序。因而，该法案中还规定了企业必须建立一个IT基础设施，以确保所有的记录和数据不会被毁灭、丢失、未经授权的变更以及错误的使用。实施企业内控，就必须进行IT内控，IT内控是企业内控不可或缺的重要部分。

国内企业信息化建设速度越来越快，信息化水平越来越高，业务与财务报告流程对IT的依赖程度也随之越来越高。对大多数企业而言，运用整合的ERP系统，或综合运用各种经营管理、财务管理方面的软件，已经成为财务报告系统强有力的支持。目前企业IT系统需要解决的问题有：

1.内部信息不对称。缺乏统一的风险控制规范定义和模型建立平台,主要解决内部知识和信息不对称的问题，懂IT的人不懂风险控制，懂风险控制的人不懂IT。

法规中要求IT专业人士应该对其负责的IT系统所产生的信息质量及完整性负责，但问题在于，大多数IT专业人士对复杂的内部控制并不了解或精通。尽管不能说IT人员没有参与风险管理，但至少IT管理层没有按照管理层或审计师所要求的形式进行正式的、规范化的风险管理。反之，审计师对IT系统的了解也是如此。

2.流程断裂。风险内控及内审系统多止步于OA系统建设和手工测试控制，缺乏自动化控制手段对后台ERP、CRM等应用系统进行自动化、连续性的监控，造成风险事件发现与报告不及时，内部控制隐患的处置效率较低、内部审计团队工作量太大。

每个企业或多或少都有一些控制制度，但我们更需要的是“识别问题、分析问题、解决问题、系统化解决方案”的基于PDCA循环的持续改进体系。同时鉴于前一点原因，这些制度基本是由技术管理者制定，他们缺乏规范化风险管理的经验，这些IT控制制度可能不太规范且不成体系，控制程序也不够完善。IT控制制度一般存在于系统安全和变更管理等一般控制领域，缺乏从公司透明度角度出发、结合支持业务战略和业务流程的完整内部控制体系。

对于ERP、CRM等业务系统，出于业务数据敏感性和安全的角度，一般也不允许开放接口，更加重了对相关业务活动的监控乏力。更严重的是，由于业务发生的频率非常高，传统的审计手段和方法需要通过增加审计人员的方式来实现审计的有效性。但这样做并不具有现实性。

所以某种意义上，我们的很多业务活动不具有传统意义上的“可审计性”。要实现可审计性的话，必须要用集成的IT手段来解决。

3.报警提示。缺乏统一的风险管控平台与自动化风险预警机制，风险预警的报告和应对多采用人工方式进行分散管理。

基于前一点，由于业务活动的实时性和频繁性，积累成海量的业务数据，因此，集成的审计系统需要能够基于事实给出报告、趋势和可疑的业务活动，一旦发现，及时通过Portal 、邮件系统等分发到对应人员。同时这个过程也需要有严格的痕迹保留和文档记录。

因此，我们构建IT控制系统时必须从全局着眼，借鉴国际内部控制框架及国际最佳实践经验，构建一套系统化、标准化、可审计、可持续改进的IT控制体系。

我们建议完整的基于IT的控制体系由下述四个主要部分组成：

1、内控制度的知识管理平台。将内控手册电子化，规范普及，解决内部的学习和知识积累、知识转移问题；

2、内控过程制度的管理纳入流程，我们称之为“内控流程的流程”；

3、将企业内控规范与日常业务运作系统（ERP、CRM等）结合，并实现实时监控；

4、报表系统和信息传送基础设施。

内控制度的知识管理平台

针对一个管理对象，如果我们无法描述，就无法度量，继而无法管理，所以首先建立是描述体系。对流程建模的过程，就是我们业务规则梳理的过程，管理控制点的梳理过程。