內(nèi)部控制信息系統(tǒng)的外部需求及其作用

    根據(jù)IDS Scheer對(duì)從2002年SOX法案頒布四年來的在美上市公司的SOX法案遵從調(diào)查結(jié)果表明，大部分公司都經(jīng)歷了如下的過程：

    1、法規(guī)準(zhǔn)備-〉2、完善內(nèi)控體系-〉3、無IT系統(tǒng)支撐的內(nèi)控測試與報(bào)告-〉4、實(shí)施IT系統(tǒng)支持的內(nèi)控測試與報(bào)告-〉5、整合內(nèi)部控制相關(guān)的IT系統(tǒng)并進(jìn)行流程優(yōu)化

    以下對(duì)該過程進(jìn)行具體說明：

   1、法規(guī)準(zhǔn)備：

    美國薩班斯法案對(duì)上市公司加強(qiáng)信息披露及內(nèi)部控制的要求，使得無論上市企業(yè)是否愿意，都必須去按照SOX法案的相關(guān)規(guī)定，定期的對(duì)外披露與報(bào)告公司內(nèi)部控制執(zhí)行情況，且公司的主要領(lǐng)導(dǎo)(CEO、CFO)要對(duì)該報(bào)告進(jìn)行簽署，以證明公司管理層按照法律要求履行了加強(qiáng)公司內(nèi)部控制監(jiān)管的責(zé)任。上市公司的主要領(lǐng)導(dǎo)因?yàn)橐獙?duì)內(nèi)控報(bào)告對(duì)外簽署，因此承擔(dān)著巨大的法律責(zé)任與合規(guī)風(fēng)險(xiǎn)。作為上市公司組織機(jī)構(gòu)往往規(guī)模龐大，甚至存在跨國經(jīng)營。

    如何有效地管理簽署風(fēng)險(xiǎn)，如何將簽署責(zé)任有效地分解到各級(jí)下屬公司責(zé)任人，如何將內(nèi)部控制的理念通過責(zé)任落實(shí)與分解轉(zhuǎn)變成企業(yè)的核心競爭力，都是上市公司管理層必須思考與決策的。

    SOX法案的目標(biāo)：

    恢復(fù)投資者對(duì)在美上市公司的財(cái)務(wù)報(bào)告及披露的信心．

    SOX法案的對(duì)上市公司的要求：

    (1)改進(jìn)內(nèi)控系統(tǒng)

    (2)提高文檔化水平

    (3)加強(qiáng)財(cái)務(wù)披露

    (4)提高管理層誠信

    (5)提高業(yè)務(wù)流程的透明度

  

    (6)提高財(cái)務(wù)報(bào)告質(zhì)量

    (7)防止公司治理失敗造成的財(cái)務(wù)災(zāi)難

    (8)防止公司的業(yè)務(wù)及財(cái)務(wù)欺詐

    2、完善內(nèi)控體系：

    在SOX法案遵從過程第一年中，通常企業(yè)必須投入大量的人力與成本去完善與補(bǔ)充公司的內(nèi)部控制體系文件及相關(guān)內(nèi)部控制測試程序及制度。根據(jù)SOX法案及COSO框架要求，企業(yè)需要從控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息與溝通、監(jiān)督五個(gè)層面去完善內(nèi)控體系文件。這其中涉及到大量的流程文檔、風(fēng)險(xiǎn)控制矩陣、流程-科目關(guān)系文檔、信息系統(tǒng)控制風(fēng)險(xiǎn)矩陣等等。很多公司花費(fèi)了一年甚至幾年的時(shí)間才將這些文檔梳理完畢。但是，由于內(nèi)控文檔覆蓋范圍之大(涵蓋了幾乎企業(yè)所有的業(yè)務(wù)流程)，使得文檔的更新與維護(hù)變得異常復(fù)雜而且難以操作。

    因此，盡管在體系完善過程中實(shí)現(xiàn)了文檔電子化，可是在電子化之后卻又出現(xiàn)了新的文檔維護(hù)更新的巨大挑戰(zhàn)。如何有效地管理內(nèi)控體系文件，保證內(nèi)控管理的持續(xù)有效性。如何將純粹的內(nèi)控文件管理工作變成更具全局意義的企業(yè)流程管理，使內(nèi)控管理不僅局限于流程內(nèi)控點(diǎn)的維護(hù)，更關(guān)注企業(yè)業(yè)務(wù)流程(包括內(nèi)控管理業(yè)務(wù)流程)的改進(jìn)與提高。這些都是企業(yè)內(nèi)控管理部門在經(jīng)過第一年的SOX法案遵從過程后所不斷思考、總結(jié)與關(guān)注的問題。

    3、無IT系統(tǒng)支撐的內(nèi)控測試與報(bào)告：

    SOX法案對(duì)上市公司最為嚴(yán)格的一項(xiàng)要求是定期的對(duì)外披露并簽署內(nèi)部控制執(zhí)行情況，還須經(jīng)過外部審計(jì)師的鑒證。該條款充分體現(xiàn)了美國證券監(jiān)管機(jī)構(gòu)及司法機(jī)構(gòu)的管理智慧，即證據(jù)保留，責(zé)任連帶的原則。因?yàn)橛⒚婪ㄏ底裱氖菬o罪假設(shè)，有罪舉證的原則，通過SOX法案要求上市公司把所有證據(jù)保留下來并經(jīng)過鑒證與對(duì)外披露，使得在美上市公司一旦被查出財(cái)務(wù)丑聞，管理層就無法逃避其法律責(zé)任，即或者因?yàn)楹炇鸬膬?nèi)控報(bào)告隱瞞了真實(shí)情況而承擔(dān)欺詐的罪名，或者就是因?yàn)闆]有按照SOX法律規(guī)定簽署內(nèi)控報(bào)告而承擔(dān)規(guī)避上市監(jiān)管法規(guī)的責(zé)任。

    同樣，會(huì)計(jì)師事務(wù)所也因?yàn)楸仨毎凑誗OX法案鑒證企業(yè)披露的內(nèi)控報(bào)告，而不得不承擔(dān)連帶的獨(dú)立中介是否誠免盡職的責(zé)任。于是，無論上市公司還是會(huì)計(jì)師事務(wù)所在第一年中都投入了大量的人力與財(cái)力對(duì)企業(yè)內(nèi)部控制的測試執(zhí)行情況進(jìn)行記錄與報(bào)告。為此，企業(yè)的審計(jì)成本與合規(guī)成本都成倍增長，大量的測試組織、記錄、報(bào)告工作都需要手工完成。

    這其中由于測試記錄流程的非自動(dòng)化又造成了很多重復(fù)工作及錯(cuò)漏現(xiàn)象的發(fā)生，同時(shí)，企業(yè)內(nèi)控管理部門被如潮水般涌現(xiàn)出的控制缺陷報(bào)告搞得疲于應(yīng)付，無法集中精力去關(guān)注企業(yè)整體流程及相關(guān)內(nèi)控措施、風(fēng)險(xiǎn)設(shè)置的合理有效性，無法集中精力優(yōu)化內(nèi)控體系與業(yè)務(wù)流程以降低總體合規(guī)成本。這時(shí)候，很多企業(yè)開始考慮是否有合適的IT系統(tǒng)以支撐以后年度的內(nèi)控測試報(bào)告、缺陷管理、簽署管理、以及流程管理等工作。

    4、實(shí)施IT系統(tǒng)支持的內(nèi)控測試與報(bào)告：

    根據(jù)IDS Scheer公司的SOX系統(tǒng)實(shí)施經(jīng)驗(yàn)表明，大部分海外在美上市公司從第二年或者第三年開始采用了IT系統(tǒng)以支持SOX測試審計(jì)。這其中，最常見的應(yīng)用是對(duì)測試記錄的流程自動(dòng)化，但隨著IT系統(tǒng)使用的逐漸增多，眾多公司發(fā)現(xiàn)如何有效地管理缺陷上報(bào)流程、責(zé)任簽署流程、以及支持匿名檢舉及自我評(píng)估等機(jī)制的建立，才是真正提升企業(yè)內(nèi)控管理水平、促進(jìn)內(nèi)控管理由被動(dòng)的遵從轉(zhuǎn)變成下屬公司自我約束文化的建立，直至最終形成企業(yè)內(nèi)控管理核心競爭力的關(guān)鍵所在。

    如西門子(中國)公司的缺陷管理流程、英飛凌(全球)公司的責(zé)任簽署機(jī)制及缺陷上報(bào)流程的設(shè)計(jì)、三菱、日立、ING等等，IDS Scheer結(jié)合客戶的需求與上述眾多知名企業(yè)共同設(shè)計(jì)形成了支持SOX測試審計(jì)的內(nèi)部控制信息系統(tǒng)應(yīng)用最佳實(shí)踐。

    為了更好的實(shí)現(xiàn)IT系統(tǒng)對(duì)企業(yè)內(nèi)控管理的支持，企業(yè)往往需要與軟件原廠商一起共同就特殊管理需求進(jìn)行合作開發(fā)(如AXA、西門子、英飛凌等都以自己公司的名字為開頭為IDS Scheer的SOX系統(tǒng)解決方案命名，并承諾與IDS Scheer共同開發(fā)該解決方案)，只有這樣，才能始終保證IT系統(tǒng)與企業(yè)管理需求的一致性，同時(shí)，也使得軟件廠商的解決方案不斷的到改進(jìn)與優(yōu)化，并為更多的客戶服務(wù)。企業(yè)與軟件原廠商之間是合作共贏的關(guān)系，而不是一次性的交易。

    5、整合內(nèi)部控制相關(guān)的IT系統(tǒng)并進(jìn)行流程優(yōu)化：

    經(jīng)過將近四年的SOX法案遵從過程，企業(yè)開始考慮如何將各種與內(nèi)部控制相關(guān)的IT系統(tǒng)進(jìn)行整合，而整合的關(guān)鍵仍然是流程的整合。因?yàn)榻^大多數(shù)的企業(yè)級(jí)IT應(yīng)用系統(tǒng)均是基于流程的需求而開發(fā)，但是每套IT系統(tǒng)所對(duì)應(yīng)的業(yè)務(wù)流程由于當(dāng)初系統(tǒng)實(shí)施的各自為戰(zhàn)，缺乏良好的接口整合與描述標(biāo)準(zhǔn)化。企業(yè)內(nèi)控管理部門為了更好的管理眾多的基于流程的風(fēng)險(xiǎn)與控制，必須尋找一個(gè)統(tǒng)一的平臺(tái)實(shí)現(xiàn)與各個(gè)IT系統(tǒng)所對(duì)應(yīng)流程描述的銜接。

    同時(shí)，如何在發(fā)現(xiàn)風(fēng)險(xiǎn)控制缺陷的基礎(chǔ)上進(jìn)行業(yè)務(wù)流程改進(jìn)，如何監(jiān)控新建IT系統(tǒng)的流程合規(guī)與流程績效，如何滿足企業(yè)日益增長的流程優(yōu)化需要，都需要企業(yè)管理層在統(tǒng)一流程平臺(tái)層面進(jìn)行規(guī)劃與管理。

    內(nèi)部控制信息系統(tǒng)的內(nèi)部需求及其作用

    內(nèi)部控制概念本身并不是有了SOX法案才開始出現(xiàn)，而是早已有之。

    從外部投資人及監(jiān)管機(jī)構(gòu)的角度稱作企業(yè)內(nèi)部控制，而從企業(yè)管理者的角度則實(shí)際上就是企業(yè)的管理控制。企業(yè)管理控制的主要目的在于規(guī)范運(yùn)作，防止發(fā)生經(jīng)營風(fēng)險(xiǎn)、合規(guī)風(fēng)險(xiǎn)及財(cái)務(wù)報(bào)告風(fēng)險(xiǎn)。傳統(tǒng)認(rèn)為內(nèi)部控制更多關(guān)注防范財(cái)務(wù)報(bào)告風(fēng)險(xiǎn)，實(shí)際企業(yè)中更多的管理控制還存在于防范經(jīng)營風(fēng)險(xiǎn)、如授權(quán)、審批、合同、價(jià)格、安全生產(chǎn)等等日常經(jīng)營業(yè)務(wù)流程中的風(fēng)險(xiǎn)控制。以及合規(guī)風(fēng)險(xiǎn)、如滿足法律、審計(jì)、稅收、環(huán)保等外部強(qiáng)制性管理流程的要求。

    隨著企業(yè)管理幅度與深度的不斷加深，以及企業(yè)流程自動(dòng)化水平的不斷提高，內(nèi)部控制已經(jīng)與流程管理緊密地結(jié)合在一起。以往的手工流程逐漸被自動(dòng)化設(shè)備、信息系統(tǒng)所取代，傳統(tǒng)的通過組織會(huì)議、定期報(bào)告了解業(yè)務(wù)流程運(yùn)作情況及管理控制情況的方式已經(jīng)不再適合；大量的業(yè)務(wù)流程被自動(dòng)化運(yùn)轉(zhuǎn)的機(jī)器設(shè)備、信息系統(tǒng)所執(zhí)行，不再像過去那樣一個(gè)資深的業(yè)務(wù)人員就能夠很好的描述企業(yè)實(shí)際運(yùn)作的各個(gè)流程。

    如何將被系統(tǒng)固化的業(yè)務(wù)流程重新展現(xiàn)出來，如何全盤的了解企業(yè)各業(yè)務(wù)流程中的風(fēng)險(xiǎn)控制系統(tǒng)執(zhí)行情況。這些問題都是現(xiàn)代企業(yè)內(nèi)控管理者所關(guān)心的問題。與此同時(shí)，以流程描述為代表的各種管理咨詢項(xiàng)目應(yīng)運(yùn)而生。或者是為企業(yè)勾畫質(zhì)量管理體系所要求的業(yè)務(wù)流程(程序文件)，以達(dá)到ISO認(rèn)證的要求；或者是為企業(yè)描述內(nèi)控相關(guān)的業(yè)務(wù)流程，以達(dá)到SOX法案流程透明的要求；或者是為企業(yè)描述現(xiàn)狀業(yè)務(wù)流程及目標(biāo)流程藍(lán)圖，以實(shí)現(xiàn)ERP系統(tǒng)的上線；或者是幫助企業(yè)描述業(yè)務(wù)流程進(jìn)行業(yè)務(wù)流程再造(BPR)。

    然而，從沒有流程描述到流程描述遍地開花的情景都不是企業(yè)管理真正希望達(dá)到的目標(biāo)。企業(yè)的業(yè)務(wù)流程管理平臺(tái)應(yīng)該是統(tǒng)一的并且是唯一的，各種類型的流程管理項(xiàng)目(如質(zhì)量管理、內(nèi)控管理、流程自動(dòng)化、BPR)所依據(jù)的流程描述都應(yīng)該是一致的，而不能各自為政相互割裂。因此，只有在統(tǒng)一業(yè)務(wù)流程管理基礎(chǔ)上的內(nèi)控管理才能夠最大化的發(fā)揮其管理效力。

    同時(shí)，統(tǒng)一的業(yè)務(wù)流程管理平臺(tái)可以支撐企業(yè)流程的不斷更新與自動(dòng)化。如通過流程管理平臺(tái)實(shí)現(xiàn)與ERP系統(tǒng)的流程描述同步，通過流程管理平臺(tái)實(shí)現(xiàn)對(duì)IT系統(tǒng)支撐的業(yè)務(wù)流程進(jìn)行流程績效評(píng)估，通過流程管理平臺(tái)實(shí)現(xiàn)內(nèi)控測試人員任務(wù)分派的可視化管理，通過流程管理平臺(tái)實(shí)現(xiàn)流程描述的實(shí)時(shí)網(wǎng)絡(luò)發(fā)布與在線查詢，通過流程管理平臺(tái)實(shí)現(xiàn)《內(nèi)控手冊》、《質(zhì)量管理手冊》等的動(dòng)態(tài)生成等諸多功能。企業(yè)內(nèi)控管理也因此可以脫離對(duì)原有的靜態(tài)文檔的跟蹤管理，轉(zhuǎn)變成對(duì)業(yè)務(wù)流程的動(dòng)態(tài)跟蹤管理。

    總之，通過以上由企業(yè)內(nèi)外部需求對(duì)內(nèi)部控制信息系統(tǒng)要求的分析，使得我們可以更加清晰的了解內(nèi)部控制信息系統(tǒng)應(yīng)該在哪些方面為企業(yè)管理帶來提升與價(jià)值。