試論企業內控管理的IT應用要點

2014-11-08 22:20:11 大云網　點擊量：評論 (0)

內控和風險管理必須以IT技術為基礎　　內控和風險管理是企業發展戰略、戰略執行的一個核心組成部分。很多大的企業由于內控和風險管理缺陷，出現了很多問題。因此，從企業內部自身來講，需要一個系統性規范來建立

內控和風險管理必須以IT技術為基礎

　　內控和風險管理是企業發展戰略、戰略執行的一個核心組成部分。很多大的企業由于內控和風險管理缺陷，出現了很多問題。因此，從企業內部自身來講，需要一個系統性規范來建立企業內部的風險管理體系。我國的財政部聯合五部委于2008年5月發布了《企業內部控制基本規范》(以下簡稱“基本規范”)，并于2009年7月在上市公司實施。

　　本次出臺“基本規范”的意義在于：將內控和風險管理界定為一個長期管理的規劃。而這個規劃的實施不能一蹴而就，必須從企業整體發展的角度加以設計和實施；“基本規范”所界定的管理是全員參與的過程。它不是一個部門或一個管理領域體系所能夠單獨來完成的；“基本規范”是一個完整的系統，其中的各個部分一定是可操作、可運行的體系機構；“基本規范”一定是可計量、可定型的過程；“基本規范”是一個企業管理思想和技術手段結合的系統。

　　總之，“基本規范”是將從企業內部管控開始，逐步在企業實現由內部控制管理向全面風險管理轉化。最終建立能使企業平穩運行的管理機制和企業文化。

　　企業內部控制是由五個要素組成的，即控制環境、風險評估、控制活動、信息與溝通和監控。五要素中，各個要素有其不同的功能，內部控制并非五個要素的簡單相加，而是由這些相互聯系、相互制約、相輔相成的集合，按照一定的結構組成的完整的、能對變化的環境做出反應的系統。

　　在這樣一個意義非凡的管理系統整體建設中，應該如何構建內控管理體系。使其真正能夠建有成效?有關方面的人士認為：內部控制的五大要素中，控制環境是基礎，控制活動是重點，最重要的是在基層的實施。因此．內部控制的關鍵在于企業基層的業務活動中構建控制環境。并在業務活動中有效執行控制活動。眾所周知。基于IT技術的企業信息化管理平臺是現代企業管理主要運行環境，所以，控制環境必須依此平臺來構建。

　　內控和風險管理必須分步建設

　　企業在內控和風險管理實施過程中，不僅是一個硬件環境和運行環境建設的過程，更多的是理念和工作習慣的改變過程，從內控管理體系構建的終極目標來看。必須從基礎開始細致而扎實地開展分階段的建設。依據信息化建設的經驗，筆者認為內控管理體系的建設應該分三個階段進行：

　　第一階段為監督管理階段，本階段的目標是建立面向內外部合規要求，信息化、透明化的風險管理，實現對關鍵風險監督；

　　第二階段為內控融入業務管理階段。本階段目標是建立面向運營過程的，日常化、體系化的風險管理，實現關鍵過程控制；

　　第三階段為全面風險管理階段，目標是建立以戰略為核心、以內控為基礎、以集團管控為手段的全面風險管理體系，實現穩健運營的風險管理。

　　目前對于廣大企業來講，第一步首先做到的是合規，在合規的過程當中，意味著企業的內控部門，內控管理者要對自己企業的經營管理信息做到心中有數，這是一個信息平臺的建立和透明化的過程。第二個階段是把控制過程融入業務管理過程的階段，就是將內部控制點與企業的業務系統完美地整合在一起。第三個階段是為企業的戰略發展而提供支持，在IT建設層面，以戰略和發展為導向的績效管理、預算管理與風險控制結合起來，從根本上控制可能遭遇的經營風險。

　　滿足內控和風險管理需要的IT實施原則

　　實施符合“基本規范”的內控和風險管理需要IT提供應用和技術的保障，使其能夠幫助企業讓內控和風險管理理念、規則具體進行管理的實施。換言之。IT技術僅僅能為內控和風險管理提供基本的手段，能否有效實行內部控制和風險管理。一定要有具體的應用方案實施標準。目前有許多管理軟件應用于企業管理的各個環節之中，但如何才能達到“基本規范”中的內控和風險控制的要求。因此，基于IT的管理系統必須依照以下兩類原則來構建符合“基本規范”的內控環境，以及在此之上開展融入業務活動中的內控活動。

　　滿足“基本規范”應用要求的原則。可行性：將內控要素和關鍵控制點與業務流程管理整合，在執行業務活動中實現內控；可控性：實現內控體系與預算、集團管控體系整合；可視性：內控執行過程和效果可查詢、可評價。

　　滿足“基本規范”技術要求的原則。能夠安全、穩定、運行可靠；能夠進行工作流和權限控制；能過集成、擴展、并滿足個性化應用需求；能夠支持分步建設；能夠進行多維數據智能分析，并可作為信息。

　　在管理軟件中構建內控管理環境的要點

　　本著IT保證的可行、可控和可視的構建原則。目前，控制的基本方式，也是最有效的方式，是在業務執行過程中的風險控制。不同于傳統的風險控制方式，IT管理系統的基本模式是將風險控制在執行過程之前，特別是在執行過程中，避免不合規的操作。這是IT系統最主要的任務。以IT基礎平臺的管理系統與內控風險管理的職能結合，是基于IT技術的管理系統必須的功能。

　　與業務管理過程融合的控制措施一般包括：不相容職務分離控制、授權審批控制、會計系統控制、財產保護控制、預算控制、運營分析控制和績效考評控制等。以用友NC最新版本的管理系統分析，“基本規范”中規定的控制措施對應的解決方案有如下幾點：

　　(一)針對“基本規范”第二十九條

　　針對“基本規范”第二十九條“不相容職務分離控制要求企業全面系統地分析、梳理業務流程中所涉及的不相容職務，實施相應的分離措施，形成各司其職、各負其責、相互制約的工作機制。”的要求，要求IT系統提供自動檢查業務流程中不出現重復的崗位和用戶，審批流程中不出現重復的崗位和用戶的功能。

　　(二)針對“基本規范”第三十條

　　針對“基本規范”第三十條的“企業應當編制常規授權的權限指引，規范特別授權的范圍、權限、程序和責任，嚴格控制特別授權。常規授權是指企業在日常經營管理活動中按照既定的職責和程序進行的授權。特別授權是指企業在特殊情況、特定條件下進行的授權。企業各級管理人員應當在授權范圍內行使職權和承擔責任。企業對于重大的業務和事項，應當實行集體決策審批或者聯簽制度，任何個人不得單獨進行決策或者擅自改變集體決策”的規定，要求IT系統提供崗位授權管理，在提供崗位授權管理的同時，根據不同業務和事項建立不同的審批權限和流程，并提供處理特定條件下的審批流程，其中包括替代、聯簽審批方式，強制控制執行等必要的審批方式。

　　(三)針對“基本規范”第三十二條

　　針對“基本規范”第三十二條“財產保護控制要求企業建立財產日常管理制度和定期清查制度，采取財產記錄、實物保管、定期盤點、賬實核對等措施，確保財產安全。企業應當嚴格限制未經授權的人員接觸和處置財產”的要求，要求IT系統提供財產記錄與盤點記錄的自動或手動核對功能。并具備后續財產處理、記錄及查詢功能。

　　(四)針對“基本規范”第三十三條

　　針對“基本規范”第三十三條“預算控制要求企業實施全面預算管理制度，明確各責任單位在預算管理中的職責權限。規范預算的編制、審定、下達和執行程序。強化預算約束”的規定，要求IT系統提供各個預算責任主體的信息，可以通過審批權限對合同、發貨、采購、付款、財產處理等關鍵環節的數量和金額加以限定，實現對預算的執行控制。

　　(五)針對“基本規范”第三十四條

　　針對“基本規范”第三十四條“運營分析控制要求企業建立運營情況分析制度，經理層應當綜合運用生產、購銷、投資、籌資、財務等方面的信息，通過因素分析、對比分析、趨勢分析等方法，定期開展運營情況分析，發現存在的問題，及時查明原因并加以改進”的規定，要求IT系統應提供各個業務領域真實交易數據的分析功能，并提供因素、對比、趨勢等常規分析模型。

　　(六)針對“基本規范”第三十七條

　　針對“基本規范”第三十七條“企業應當建立重大風險預警機制和突發事件應急處理機制，明確風險預警標準，對可能發生的重大風險或突發事件，制定應急預案、明確責任人員、規范處置程序，確保突發事件得到及時妥善處理”的規定，要求IT系統提供對風險事件的預警，并能及時通過各種通訊方式通知相關崗位人員。

　　結論

　　總之，企業內控管理不僅僅是一個相關制度和觀念的建立問題。更重要的是在IT基礎管理平臺上，將管理概念和制度具體落實到日常的業務活動中。根據“基本規范”的相關規定，目前的IT技術完全可以支持構建控制環境和控制活動與日常活動融合的需求。