IT内部控制体系研究
在IT环境下,企业的业务运作越来越依赖于信息系统。计算机网络和通讯技术的大力发展改变了企业数据获得、存取、保存、传递的方式和生产经营模式。企业内部控制的重点与模式也随之发生相应变化,对信息系统的控制和利用成为企业内部控制的重要组成部分。我国《企业内部控制基本规范》规定,“企业应当运用信息技术加强内部控制,建立与经营管理相适应的信息系统,促进内部控制流程与信息系统的有机结合,实现对业务和事项的自动控制,减少或消除人为操纵因素”。
一、IT内部控制发展现状
(一)我国企业内部控制发展水平 深圳市迪博企业风险管理技术有限公司撰写的《中国上市公司2012年内部控制白皮书》显示,我国上市公司内部控制整体水平偏低。该研究涵盖沪深证券交易所在2012年4月30日前A股上市公司中已披露2011年年报的2340家公司,其中主板上市公司1395家,中小板上市公司653家,创业板上市公司292家。报告指出,在2340家样本中,内部控制整体水平较高的仅占样本总数的24.96%,为584家;内部控制整体水平中等的占44.40%,为1039家;内部控制整体水平偏低的占30.64%,为717家,总体来看,目前中国上市公司内部控制建设的整体水平尚处于中下游水平。《中国上市公司2011年内部控制白皮书》指出“内部控制水平与上市时间显著负相关,即上市时间越短,内部控制水平越好”,该结论来源于对选取的样本公司中的1578家进行内部控制影响因素的多元回归分析,YEAR表明公司到2008年的上市时间长度,分析结果如表1:
这一方面得益于近年来证监会对首次公开发行股票的公司的内部控制审查的加强,促使大部分新上市公司的内部控制更加规范化;另一方面,新上市的公司其内部控制体系在不同程度上融进了IT技术和系统,体现了企业内部控制趋于信息化的发展趋势,因而提升我国企业对于将IT技术嵌入到企业内部控制中的认知,对提升我国企业整体内部控制水平有着积极的推动作用。
2012年财政部、证监会、审计署、银监会和保监会发布了《我国境内外同时上市公司2011年执行企业内部控制规范体系情况分析报告》。报告显示在67家境内外同时上市公司中,有49家公司存内部控制缺陷,信息系统控制方面的控制缺陷是披露的内部控制五大缺陷之一。IT内部控制体系的设计与实施成为我国企业内部控制的发展重点。
(二)我国企业IT内部控制应用现状 在信息化技术高度发达的今天,中国企业将IT技术应用到内部控制等企业管理流程已经成为公认的趋势,但如何将IT技术与内部控制有效融合仍然是大多数管理层难以解决的问题。用友集团和工信部电子一所发布的《2010年中国企业信息化指数调研报告》显示,“2010年中国企业信息化综合指数为48.06,中国企业信息化的整体信息化成熟度基本达到中等水平”。在IT技术高度与时代发展耦合的今天,中国企业信息化的水平还有很大的待完善空间。数字背后体现出来的是中国企业现今普遍的冲劲有余、后劲不足的亚健康状态。该份报告还将企业信息化程度分为基础应用、关键应用、扩展整合及优化升级、战略应用四个阶段。报告还表明,我国企业约有34. 3%处在基础应用阶段,24.5%处在关键应用阶段,扩展整合及优化升级阶段占39.2%。但战略应用阶段的企业只有20%。一半以上企业仍处在信息化建设的第一和第二阶段,大多数中国企业信息技术应用还未达成与企业战略融合发展的目标,这也表明目前中国企业信息化水平的提升仍需关注信息技术应用范围的扩大。本次调研数据还显示,我国企业信息化建设目前存在诸多不足,如不同规模、不同行业企业不均衡的信息化发展,IT 治理结构缺陷的存在,对信息技术认知度偏低等,而信息化技术应用的发展制约了IT内部控制的发展和应用。
二、IT内部控制存在的问题
(一)缺乏可执行的IT内部控制体系 实施IT内部控制不是盲目堆砌先进软硬件的过程,运用信息技术加强内部控制,实现企业信息的集成和共享才是企业内部控制应关注的主要问题。目前,我国关于内部控制的规范依然是基于权责分离和权力制约的理论,关于IT对内部控制的影响基本停留在COSO报告层面,尚未形成完整的、可执行的IT内部控制体系。企业即使提出有关IT控制规范基本上也是在信息孤岛状态下提出的,企业内部控制规范并没有对IT控制的目标和相关控制活动做出明确规定。现行信息系统缺乏或规划不合理,导致企业经营管理效率低下;系统开发不符合内部控制要求,导致无法利用信息技术实施有效控制。企业不重视信息资源的开发应用,尽管各业务流程节点的IT集成让企业感受到了集成化的优势,但各业务流程采用的信息系统还未得到足够的统一,信息共享程度未开发到应有的水平,缺乏体系化运作和管理方法,严重制约了IT内部控制的有效执行。
(二)IT治理与企业IT内部控制难以有效融合 IT治理、信息系统与内部控制的有效融合能够固化企业管理机制,实现对业务和事项的自动控制,防止人为要素变化导致内部控制方式的变化,确保内部控制制度固化、优化、“e”化并长期执行下去,加速信息的传递与沟通,降低运营成本。目前我国多数企业只是将IT部门作为IT管理活动的主要职能部门,为业务部门提供技术基础设施,制定管理制度,IT部门缺少规范化风险管理意识;且IT控制制度多存在于系统变更和安全管理等领域,缺乏从公司透明度角度出发且结合支持完整业务流程的内部控制制度,技术部门和业务部门相互独立,不对IT资源和业务流程脱节负责,IT内部控制孤立存在。利益相关者未能完全有效的参与到整个IT管理活动中去,使得IT资源难以真正融合为企业运行的内在组件,IT和业务两张皮致使企业IT资源失去其应有的效用。各标准体系间交叉或冲突导致IT标准体系的兼容性和互补性大打折扣,难以有效支撑业务流程高效运转,导致无法利用信息技术实施有效控制。
(三)IT内部控制流于形式 目前,每个企业或多或少按照信息系统的要求设立了IT内部控制制度,大多数企业误以为这些制度与IT内部控制体系是对等的。随着经济技术进步和企业运行模式的发展变化,一方面企业设立的IT控制制度日渐无法满足实际业务需求,另一方面我国企业内部控制“重设计轻执行”的思想导致IT内部控制是否执行、执行是否有效等问题往往被忽略,甚至流于形式,IT内部控制同企业发展战略脱节,IT内部控制设计和执行一劳永逸。企业高层领导缺乏对于IT的充分重视,IT内部控制往往无法实现其预期的效果,渐渐流于形式。该情况可能导致内部控制执行者不执行规范,违反流程;实物处理与信息处理顺序颠倒;信息录入完整性及准确性的缺失;人为建立垃圾数据等。长此而往,企业会慢慢发现自己处在一个下降的螺旋中,内部控制执行偏离设计目标,效率低下。在内部控制发展史上,理论往往跟不上实践发展的需要和步伐,目前我国企业整体缺乏对于IT内部控制影响的关注度。企业现行的IT内部控制体系和相关软件公司开发建立的IT内部控制系统往往可操作性较差,相应解决问题的建议和措施成为空中楼阁,制约了IT内部控制的建立和发展。 三、IT内部控制体系构建
(一) 我国企业IT内部控制体系的整体框架 基于我国企业IT内部控制发展水平和存在的主要问题,本文构建的IT内部控制体系整体结构图如图1:
如图1所示,企业IT内部控制体系分为五个层级。第一层为内部控制指引层,包括企业内部控制基本规范和内部控制18项应用指引,这是所有企业遵循的共性原则和最低标准;第二层为内部控制管理咨询成果,企业依赖外部审计师、咨询师的力量,梳理现有内部控制流程,实施业务流程重组,以内部控制指引层为标准建立符合自身实际的IT内部控制体系和制度;第三层为咨询成果的落地,要求企业根据自身的资源状况,明确具体的IT内部控制实现方案,包括各类信息系统和人工系统实施方案;第四层为内部控制信息平台,通过内部控制信息化平台的搭建,实现企业内部控制和信息化的有效整合;第五层为内部控制实施层,依托内部控制信息平台,确定具体的IT 内部控制实施活动和范围。
(二)我国企业IT内部控制体系的搭建流程 无论是自主研发还是外购,必须明确的重要问题是IT内部控制的构建思路,IT内部控制流程搭建一般分为横向整合和纵向整合两种方式。实施横向整合即为分业务流程逐个上线,一般制造型企业的四大业务流程主要为采购到付款、生产、销售到收款、财务核算四个流程,企业可按照重要程度或业务需求紧迫程度对各个业务流程实施分步骤、分模块上线。实施纵向整合相当于进行一次彻底的流程再造,通过完整的项目实施生命周期,完成全业务流程的同步整合,从而实现企业内部控制全面信息化。我国企业IT内部控制体系整体框架的搭建流程如图2所示:
(1)公司层。企业在实施IT内部控制全面固化和优化的过程中,需要针对IT内部控制体系的构建召开IT内部控制整改大会,对公司IT内部控制体系的构建提出解决方案,最后得出符合企业自身发展需要的IT治理架构以及相关结论。该阶段的成果即为内部控制管理咨询成果,具体包括如下四部分内容:
IT治理架构构建。企业需要整合管理思想、公司战略,综合考虑和分析企业内外部环境、行业特色、企业市场地位、内部管理缺陷和应该提高的问题等。IT治理架构构建是将企业的战略重新审视和调整的过程。需要用战略分析模型对外部环境和内部环境进行全面分析,提出企业内部控制的提升需求,以此构建合理的IT治理架构,同时明确企业的决策机制以及IT基本实施策略。
信息与沟通。在公司层面,企业需要首先明确IT制度发布的方式,具体的IT管理制度和沟通机制,建立服务台与事件管理程序,及时传达企业内部层级之间和与企业外部相关的信息。关注过程跟踪,进行IT 制度的全生命周期管理。
风险评估与应对。企业需要具备很强的风险识别和防范意识,针对自身特点建立一套合理有效且能迅速反应的风险评估流程及其应对机制;建立风险管理知识库,将所有可识别的风险及已提出的解决方案归入库中,以期为风险评估和管理提供依据;建立风险评估流程和IT风险矩阵,包括信息资产评估程序,流程风险评估程序。
持续性监控与检查。在公司层面,首先需建立自上而下的IT技术监控措施;其次从企业管理制度健全的角度考虑,内部审计工作是必不可少的;最后公司高层应制定定期的管理评审制度和专项检查措施。
(2)流程与应用层。流程和应用层在公司组织架构中处于执行层地位,本文对于IT内部控制框架的构建为自上而下式。流程和应用层作为公司IT内部控制框架搭建的一个中间衔接点,向上衔接公司层所制定的内部控制管理框架,按照公司层制定的指导思想和实施方向对流程进行IT化实现,向下提出对于资源层的控制要求。在IT内部控制框架体系中,在流程和应用层需要实现的是咨询成果落地,内部控制信息化平台的搭建、企业日常经营管理活动的畅通等目标。本文从项目管理思想出发,将企业IT内部控制在流程和应用层的工作通过项目的实施方法展开,具体如图3:
IT内部控制建设需求分析阶段。需求分析阶段的工作主要是贯彻公司层对于IT内部控制框架构建的整体指导思想和管理理念,将公司战略层制定和构建的IT内部控制框架细化为各业务流程和应用层面的具体目标。该阶段实质上就是知识管理和知识转移的过程,该阶段顺利进行的前提是公司层已搭建好脉络清晰、目标明确、且符合公司发展现状的IT内部控制框架体系。
IT内部控制方案设计阶段。在企业进行IT内部控制框架的构建过程中,方案设计阶段是整个项目最为重要的阶段,决定项目的最终效果,该阶段分为两个子阶段。一是调研阶段。该阶段主要任务是对照COBIT框架和企业内部控制应用指引18号——信息系统的要求,结合组织架构、业务范围、地域分布、技术能力等因素,梳理企业现有业务流程,找出企业现有流程信息化和标准化的主要模块,了解企业信息系统内部控制的现状,制定信息系统建设总体规划,确定实施IT内部的关键点,确定信息系统规划、开发、维护等方面存在的主要问题,发布企业IT内部控制实施指南。根据公司的业务现状,未来的发展方向以及需求阶段得出具体IT内部控制实现目标。二是方案设计阶段。结合调研的情况,考虑成本效益原则、适用性原则、可用经费等多个因素,制定出企业IT内部控制框架构建的具体方案。明确企业实施IT内部控制过程中IT化的范围、时间和投入成本。在该阶段,企业首先需要明确的是自主研发内部控制系统,还是外购。若选择外购软件,还需按照企业业务需求明确对软件的标准化程度的要求、实施周期、成本、后续维护服务的提供以及系统可升级性等问题。
IT内部控制实现阶段。系统实现阶段的主要目的是将内部控制解决方案在IT环境中得以实现,最终能够提供一套完整的业务系统原型,供关键用户、业务人员进行测试,以确保内部控制解决方案的可操作性并检验IT控制环境对于预期目标的实现程度。该阶段是不断调试和修改方案的过程,在进行测试环境的搭建和数据测试过程中,应对所涉及的流程进行全面测试,保证所有的方案设计在流程和应用层是可实施的。在IT内部控制实现过程中,很多东西都是未知的,要把握这种不确定性,唯有把这种不确定性深深嵌入到IT内部控制风险评估中才可能得到有效的控制。风险评估可使上市公司更加清晰地认识到,意外事件的发生将如何限制业务目标的达成。风险评估的目的是要辨别IT合规性的潜藏内在风险与残存风险,从风险判断标准、风险发生的可能性、风险发生的危险度、风险预防措施、风险消除措施等几个方面进行评估。在此过程中,对于不能实现的业务功能,应及时找出解决方案,若为购买的套装软件,对于标准功能无法实现的业务需求应及时客户化开发,以保证IT控制目标的顺利实现。 IT内部控制系统上线阶段。通过系统实现阶段的测试和数据收集,确保IT内部控制系统能够良好运转之后,项目进入到上线阶段。在该阶段企业需要关注的工作重点分为两部分:第一部分是动态数据的搜集和录入,在该阶段,数据的准确性和完整性校验非常重要,若关键业务数据缺失或录入错误,会给企业IT内部控制的后续实施带来很大阻碍,严重的会导致上线失败。第二部分是人员培训,对于所有IT化牵涉到的业务流程岗位上的员工都需要进行系统性的操作培训,以保证在系统正式运行后能够良性运转,如果员工缺乏培训,不仅不能保证企业正常的业务流程顺利进行,甚至可能对系统造成毁灭性的破坏。
日常运营维护阶段。该阶段为企业构建IT内部控制体系的末期阶段。该阶段的主要目的是保证企业IT内部控制环境的正常运转。对于新上线的IT系统,第一个月的月结为系统上线成功与否的第一个标志,通过新系统运行结果与实际手工系统的核对,找出问题以及存在的风险,对系统进行进一步的优化。运行维护阶段主要是资源管理的阶段,在企业的IT内部控制系统上线之后,其后续运行维护实际是将构建的IT内部控制框架与企业的人、财、物、信息等多方资源相互整合的过程。
IT内部控制框架构建支撑流程。构建健全的IT内部控制体系需要如下基础支撑方法:项目管理(PM)、质量管理(QM)、技术管理(SM)以及项目管理工作平台(PWB)。以上四个管理方法贯穿于IT内部控制体系构建的全流程,在每一个阶段都应该实时监控项目进度、进行项目执行质量检验以及技术支撑。以上四个方法在IT内部控制框架构建中的作用相当于价值链中的职能部门,他们为主流任务的完成提供后台支撑,虽然不是流程中的一部分,但在整个IT内部控制体系的搭建过程中不可缺失。
(3)资源层。公司层对IT内部控制框架搭建的贡献在于确立目标,流程和业务层的贡献在于将目标付诸实践,而资源层的控制体现在分析企业业务运作过程中所依赖的各类资源在IT内部控制中的作用以及风险,建立风险控制措施。对于企业经营过程中涉及的资源,主要分为以下四个大类:
人力资源。企业内部控制管理的核心问题是企业中的人及其活动。在企业IT内部控制框架的构建过程中,人力资源的管理应注重知识管理。知识管理分为经验型知识管理和技能型知识管理。经验型知识管理偏重于战略制定、风险预防层面,可通过构建知识库来保证企业的优秀管理理念和经验不因高层管理者的人事变动而流失。技能型知识管理偏重于IT系统的操作知识管理,企业应在新构建的IT管理系统上线前后按需求定期组织员工培训,以保证系统上线后业务流程能够顺利运转。除此之外,还应制定相应的考核机制和员工激励机制,以鼓励员工积极适应新的管理环境并投入足够热情到工作中。
技术资源。企业需要有高素质的IT技术人才协同业务人员实施信息系统的开发到上线及日常维护的全流程。在企业日常经营过程中,技术资源提供系统后台技术支撑和维护。除此之外,企业应高度关注信息安全,构建信息防火墙,实时进行漏洞扫描、入侵检测等技术安全策略,防止来自网络的攻击和非法入侵。
信息资源。对于信息资源的管理应关注内部信息资源和外部信息资源两部分。企业应建立信息沟通与协调机制,加强企业信息资源的组织协调和统筹规划、增加企业对信息资源开发利用的投入、进行信息资源的开发和服务,制定信息资源开发利用标准体系、营造利用信息资源的良好环境、建立和加强信息安全保障体系,注重信息资源的共享等。
物力资源。物力资源在IT内部控制框架体系的构建过程中体现在企业的相关资金和物力环境,良好的资金和实物运营机制是企业构建IT内部控制的基础,企业应该建立对物力资源的占有、使用、管理与配置效果的评价机制,发挥物力资源的激励和支撑作用,整合不同物力资源,实现企业管理的协同效应。
四、IT内部控制实施的关键点
(一)固化IT内部控制:实施业务流程重组 企业必须注重流程管理对信息系统内部控制的促进作用,以IT控制目标为中心实施业务流程重组,建立广泛、高效的信息沟通与交流系统。从根本上重新考虑逐步或彻底重建企业的业务流程,以达到在成本、质量、速度和服务等方面取得显著改善的目的,让企业能适应以顾客需求为导向、竞争为驱动、变化为特征的现代企业经营环境。具体包括观念筹建、组织重建、流程重建。企业通过重构组织文化、调整组织结构为业务流程重组提供制度保证,对原有的企业业务流程进行合理的诊断和设计,选择适当的重组方式和重组环节,建立可靠合理的标杆和绩效评价指标体系,运用IT技术进行持续的业务流程改进,实现IT 治理和企业业务流程的有效融合,合理固化IT内部控制。
(二)优化IT内部控制:实施IT审计 有效的IT内部控制体系是制度、管理、业务与技术相结合的体系,高层管理者需要高度关注并监控其顺利有效的实施。因而必须利用内部审计机构,建立自评估机制,确定企业IT控制有效性的各种等级,进行基于全生命周期的IT审计。
IT审计主要包括以下几个方面:评价IT战略和公司总体战略的匹配程度;评价IT制度与流程手册的完整性;评价企业在信息系统技术基础设施与操作实务的管理和实施方面的有效性及效率;评价逻辑、物理环境与信息技术基础设施的安全性;评价灾难恢复与业务持续计划的可靠性;评价应用系统的开发、获得、实施与维护方面所采用的方法和流程的合理性;评估业务系统、处理流程与企业业务目标的一致性,完善IT控制体系的设计与提高IT运行维护的质量,以确保其有效性;在IT内部控制审计完成后,应该立即形成正式的书面审计结论,并向管理层报告情况,以方便管理层及时调整和调配IT内部控制的资源和策略,保持IT与业务目标一致,确保企业总体战略目标的实现,促使企业IT内部控制体系更加完善和健全。
(三)“e”化IT内部控制:实施IT治理 如何通过IT内部控制体系与合规管理来防范和降低上市公司的财务违规风险,是企业高层领导和CIO目前最迫切需要解决的难题。目前国内大部分上市公司对合规的IT内部控制体系的重视程度严重不足,IT内部管控措施经常执行不到位,使得许多上市公司很容易陷入违规的财务操作风险危机之中。IT治理从公司治理的角度帮助企业构建相应的IT治理组织,规范企业IT治理流程和治理机制,使IT治理流程透明化。将IT治理融入到企业战略制定中,实行IT治理与业务的匹配融合。帮助管理层制定切实可行的企业战略和发展规划,深刻理解信息系统的重要性和风险,建立重大风险预警机制和突发事件应急处理机制。促进管理创新,合理管控信息化过程的风险,建立信息化可持续发展的长效监督和激励机制。加快企业IT内部控制的实施进程,“e”化企业IT 内部控制,提升企业核心IT能力水平。
(四)标准化IT内部控制:实施内部控制标准化 内部控制标准化建设是IT内部控制的重要基础,标准化建设能够推动企业IT内部控制的进程。XBRL作为一种标准化商业语言能够较好地实现财务系统与单位内部管理系统数据交换,财务报告与内部控制的融合,及时快速准确地分析判断运营状况以及内部管理中的薄弱环节,并不断加以改进,有助于管理者大幅度提升现代化管理效能,从而在微观层面实现现代化管理。促使内部控制信息化建设相互融合,呈现螺旋上升状态。
我国需制定发布基于企业内部控制规范的通用分类标准,基于XBRL 的会计信息系统内部控制准则,以指导企业的XBRL内部控制及风险管理实务。企事业单位与政府监管部门、中介机构、软件开发商、投资者、债权人等信息使用者共同作用完成做好XBRL实例文档的生成、报送和利用。各企事业单位在贯彻实施内部控制规范制度并与全面信息化相结合的过程中,重点做好信息沟通的基础工作,建立健全会计及相关信息的报告负责制度,使企业内部员工及时取得和交换在执行、管理和控制企业经营过程中所需的信息,以此为基础生成标准化内部控制评价报告,满足不同信息使用者的需要。
参考文献:
[1]财政部等:《企业内部控制基本规范及配套指引》,2008 -05-22。
[2]《中国上市公司2012年内部控制白皮书》,《上海证券报》2010-09-02。
[3]《中国上市公司2011年内部控制白皮书》,《上海证券报》2010-09-02。
[4]工信部电子一所、用友软件股份有限公司:《2010 年中国企业信息化指数调研报告》,《中国制造业信息化》2011年第2期。
[5]覃志刚:《企业信息化环境下内部控制的思考》,《财会通讯》(学术版)2004年第2期。 (编辑 熊年春)
来源:中国论文网
