新用戶掃碼下載
掃碼下載APP
及時接收最新考試資訊及
備考信息
內控與信息化能否水乳交融
“我們在研究中發現,不少企業正嘗試將內部控制嵌入企業信息系統,從而實現內部控制落地。
但這一過程是十分復雜的。”中國會計學會會計信息化專業委員會委員、安徽工業大學會計系教授汪家常提醒說。
那么,內控與信息化怎樣才能很好地結合起來呢?
內控落地離不開信息化
據了解,中國企業現有信息系統總體運行呈不均衡狀態,部分大企業如中石油、中石化等,其內部經營活動已反映到信息系統,并實現了聯網運行。這些企業主要是在美國上市的公司,它們在2006年6月30日之前就完成了按內控要求升級改造的工作,執行的是科索(COSO)“內部控制一體化框架”。
“但大部分企業卻僅僅實現了部分業務的電算化,如會計核算與財務管理等,沒有建立起針對所有業務的信息系統。”南京審計學院副院長時現一針見血地指出。
“即便是已經執行過內控的在美上市公司,也需要結合企業內控基本規范及相關配套指引的要求,對內控及信息化系統進行本地化。”立信大華會計師事務所信息部經理馬強對記者表示。
財政部會計司司長劉玉廷日前就曾在中國會計學會資深會員論壇上指出,信息化是手段,要對現有信息系統進行改造和升級,使它符合企業內控基本規范及相關配套指引的要求,使它能夠形成自我評價報告,而這項工程還是比較大的。
在互動中“升級換代”
“如果企業的信息系統要升級換代的話,那么,我建議先梳理或修訂內部控制流程,并設計內部控制框架。要按照這樣的框架,改造現有的信息系統,并關注信息系統內部控制和安全保障問題。”時現簡明扼要地亮出了自己的觀點。
這樣的改造,還要一步一步來。
“首先必須弄清楚企業目前的管理水平和信息系統水平以及通過信息化實現內部控制的基本過程,要搞清楚哪些內部控制目標通過信息化是可以達成的、哪些是不能達成的、哪些是隨著IT技術的不斷進步在將來可以達成的。”汪家常曾參與過一家大型鋼鐵企業的信息系統設計,對此顯然有著切身的感受,“從目前IT技術和企業信息化水平來看,其對業務流程層面的風險控制最為有效,而對企業決策層面的風險控制能力較弱。”汪家常介紹說,目前,通過企業信息化實現有效內部控制的主流做法,是通過專門的治理、風險管理及合規控制系統(GRC),實現對企業管理系統(ERP、CRM)等的業務執行過程的風險控制。如通過專門的流程控制系統,建立相應的流程控制環境,識別和監控各個流程的關鍵風險控制點,并且通過流程控制系統,實現文檔記錄、流程測試、修復和監控,產生自評估報告。再如,通過專門的風險控制系統,將不同層面的風險,采用關鍵風險標識(KRI),進行企業風險識 別、風險分析、風險預測、風險監控和風險報告,形成風險視圖,實現對風險的有效監控。
反過來,信息系統的升級改造對內控體系建設也會產生一定的影響。“第一,影響業務流程;第二,影響關鍵控制點,如從流程環節的控制轉向原始數據控制等;第三,影響內部控制測試與評價標準,這更多地涉及信息系統技術性內容的測試與評價;第四,對內部控制執行者的專業勝任能力有更高的要求。”時現指出,企業要把握這一“互動”,在“升級換代”中更好地完善內控體系。
繞不開的成本問題
信息系統的升級改造肯定會有成本,那么,該如何權衡其成本與效益?時現認為,升級改造的一次性投入成本會比較大,它涉及三個主要部分:第一,內部控制制度設計、測試和評價的成本與費用(一般外包完成,主要指外包費用);第二,信息系統改造與研發的成本和費用(一般外包完成,主要指外包費用);第三,對企業各層人員的培訓、管理及相關軟硬條件的改造成本和費用。
“對于大型企業來說,由于其業務活動復雜,企業規模比較大,這種一次性成本投入還是有必要的,它會幫助企業提高效率,帶來可持續收益,具有一勞永逸的效果。”時現表示,而對于小企業來說,暫時沒有必要全面升級換代,選擇主要業務和內容進行局部完善即可。
對此,汪家常表示認可:“成本效益原則還是必須要堅持的,如果徹底推翻現行的信息系統,企業將付出巨大的代價。”有些企業可能會選擇自建內控信息系統,汪家常表示:“一般來說,企業自行開發GRC產品從效益上來看也是不現實的,但特別有條件或有自身需求的企業可選擇自建。”
IT技術不是靈丹妙藥
“為了減少內控實施成本,很多企業求助于IT技術,但IT技術對于企業實施內部控制來說并不是靈丹妙藥。”汪家常告誡當前的一些企業。
在汪家常看來,“如果企業目前的管理水平和信息化水平較低,那么,提高企業現行的管理水平、優化業務流程并逐步使管理系統對業務流程有一定的控制能力,才是當務之急。此后再利用信息系統,內部控制方才有實施基礎,否則將會事倍功半。”對于大型集團企業來說,還要高度關注內部控制的標準化。汪家常解釋說,由于大型集團企業地域、組織、系統分散,甚至出現企業文化和價值的不統一,在利用IT技術解決內部控制問題時,必須使集團的管理系統、內部控制流程、關鍵風險標識、系統權限控制、內部控制評價和報告盡可能統一和標準化,“否則,建立統一的集團內部控制平臺將是不可能的。”“還有一點很重要。利用IT技術實施內部控制,應由易到難,分步進行。一般認為,提供基本合規性和風險控制及報告功能是必需的,只有在該部分系統運行正常后,再考慮其他功能產品。”汪家常最后說。
【我要糾錯】 責任編輯:zoe
上一篇:撰寫審計日記的作用和注意事項
下一篇:原始憑證造假的常見形式及錯弊特點
學員討論(0)
實務學習指南
距6月報稅結束還有天
新用戶掃碼下載
京公網安備 11010802044457號