淺議如何實現(xiàn)企業(yè)內(nèi)部控制信息化(2)
時間:
若木1由 分享
二、實現(xiàn)內(nèi)控信息化有效途徑
實現(xiàn)高效的內(nèi)控信息化的途徑,其具體的工作主要有以下幾方面:
(一)建立良好的信息化環(huán)境
領(lǐng)導(dǎo)重視且正確認識是信息化得以實現(xiàn)的前提。首先,管理者應(yīng)將管理思想與信息化有機結(jié)合,在提出管理要求伊始就考慮其與所選擇的信息系統(tǒng)管理思想是否吻合,且怎樣更好地依賴技術(shù)手段加以實現(xiàn),盡可能地減少人為因素的影響。其次,在信息化實現(xiàn)的過程中,應(yīng)充分重視和支持信息化所帶來的管理變革,盡可能改變現(xiàn)狀以適應(yīng)系統(tǒng),而不是讓系統(tǒng)“將就”,原狀,只有這樣,內(nèi)控信息化才能起到應(yīng)有的作用。再次,管理者應(yīng)該帶頭操作系統(tǒng)并服從系統(tǒng)控制,不隨便破壞系統(tǒng)控制的規(guī)定。
(二)利用風(fēng)險機制,扎實推進標(biāo)準(zhǔn)化工作
風(fēng)險機制包括對風(fēng)險的識別、分析、評估和認定。在這個過程中,必須充分調(diào)研實際業(yè)務(wù),收集業(yè)務(wù)信息,模擬執(zhí)行情況,具體而言,應(yīng)做好以下幾方面的標(biāo)準(zhǔn)化工作:
1.組織架構(gòu)標(biāo)準(zhǔn)化。企業(yè)應(yīng)結(jié)合管理模式(集中管理或分散管理),利用風(fēng)險機制,對企業(yè)采購、銷售等核心業(yè)務(wù)找出較為合理的組織架構(gòu),明確各層級的權(quán)責(zé)劃分,這些會直接決定控制的效果,也直接影響業(yè)務(wù)流程的具體構(gòu)成路徑,是業(yè)務(wù)流程統(tǒng)一和崗位職責(zé)標(biāo)準(zhǔn)化的前提。
2.業(yè)務(wù)流程及崗位職責(zé)標(biāo)準(zhǔn)化。業(yè)務(wù)流程標(biāo)準(zhǔn)化需要召集一線管理人員,充分征求意見,利用風(fēng)險機制分析、優(yōu)化業(yè)務(wù)流程,擬定關(guān)鍵控制點,界定各崗位職責(zé)和管理權(quán)限以及不相容職責(zé)的劃分標(biāo)準(zhǔn)。這其中,優(yōu)化流程是最關(guān)鍵的環(huán)節(jié),如果考慮不周全,將造成系統(tǒng)上線反復(fù)進行,浪費人力物力資源。對于關(guān)鍵控制點,應(yīng)逐項梳理后記錄下哪些能夠固化在系統(tǒng)中、哪些不能實現(xiàn)或?qū)崿F(xiàn)成本較高。對能夠固化在系統(tǒng)中的業(yè)務(wù)流程和控制點,應(yīng)確定系統(tǒng)標(biāo)準(zhǔn)模板,系統(tǒng)標(biāo)準(zhǔn)模板概括起來,一般由標(biāo)準(zhǔn)業(yè)務(wù)流程、管理權(quán)限、不相容職責(zé)配置或參數(shù)設(shè)定。應(yīng)說明的是,由于內(nèi)控信息化是在一定條件、一定范圍內(nèi)的信息化,對于實現(xiàn)系統(tǒng)自動控制成本較高的業(yè)務(wù)環(huán)節(jié),應(yīng)明確允許系統(tǒng)外控制(如人工稽核等)的措施以提高控制效率。
1. 表單標(biāo)準(zhǔn)化。在優(yōu)化流程的基礎(chǔ)上,由于梳理了業(yè)務(wù)申請部門(人)、業(yè)務(wù)審核部門(人)及審批人、不相容部門等控制環(huán)節(jié),相關(guān)審批表單的標(biāo)準(zhǔn)化也成為可能。
2. ERP系統(tǒng)主數(shù)據(jù)標(biāo)準(zhǔn)化??蛻?、供應(yīng)商、物料等主數(shù)據(jù)是 ERP系統(tǒng)的構(gòu)成細胞,不實現(xiàn)標(biāo)準(zhǔn)化就無法實現(xiàn)內(nèi)控信息化,因此必須對這些主數(shù)據(jù)的定義和編碼予以標(biāo)準(zhǔn)化。
(三)建立利用系統(tǒng)進行持續(xù)性監(jiān)督的機制
利用信息系統(tǒng)進行持續(xù)性的監(jiān)督是實現(xiàn)有效、高效內(nèi)部監(jiān)督的重要方式,coso委員會 2009年出版的《內(nèi)部控制體系監(jiān)督指南》對利用信息技術(shù)持續(xù)性監(jiān)督概括了四種方式,基本上能夠反映目前技術(shù)條件下的信息化監(jiān)督方式,具體包括:利于誤差管理的工具(記錄誤差的日志、后續(xù)跟進、處理情況分析)、監(jiān)督應(yīng)用程序變更的工真(變更認證、溝通、適當(dāng)評價)、評價系統(tǒng)狀況的工具(包括內(nèi)置參數(shù)、可容忍水平、不相容職責(zé)分離、管理權(quán)限)及評價過程完整性的工具(包括標(biāo)準(zhǔn)及協(xié)同、數(shù)據(jù)加總、文擋完整性)。前兩項工具主要是對系統(tǒng)日常操作的直接監(jiān)控,如零售商檢查系統(tǒng)信息有無無效的訂單標(biāo)識、零售數(shù)據(jù)是否全部傳輸?shù)綌?shù)據(jù)中心處理等,適合于專業(yè)管理在日常業(yè)務(wù)匯總時進行監(jiān)督;后兩項則主要由內(nèi)部控制部門專門開發(fā)檢查工具進行監(jiān)督,具體方法是通過對關(guān)鍵控制點所對應(yīng)的業(yè)務(wù)流程、管理權(quán)限、不相容職責(zé)和參數(shù)予以標(biāo)準(zhǔn)化,建立信息系統(tǒng)標(biāo)準(zhǔn)模板,并針對標(biāo)準(zhǔn)模板開發(fā)檢查工具,通過定期運行檢查工具、對比與標(biāo)準(zhǔn)模板的差異,逐步建立持續(xù)性監(jiān)控的機制。
具體而言,通過對ERP系統(tǒng)管理權(quán)限進行檢查,按照不相容職責(zé)標(biāo)準(zhǔn),檢查工具可以指出系統(tǒng)中哪些角色或用戶同時擁有不相容事務(wù),系統(tǒng)權(quán)限與角色或用戶的崗位職責(zé)是否吻合;結(jié)合風(fēng)險分級定義各項業(yè)務(wù)缺陸標(biāo)準(zhǔn)(可以將幾個不符合要求的風(fēng)險定義為一個缺陷標(biāo)準(zhǔn))并固化在系統(tǒng)中,實現(xiàn)異常業(yè)務(wù)預(yù)警。對于報警的業(yè)務(wù),總部可及時追查,如有必要,也可組織有關(guān)專家到現(xiàn)場檢查。同時,對于確定了利用工具進行監(jiān)督的系統(tǒng)自動控制業(yè)務(wù),可以減少檢查的頻率,對于系統(tǒng)外手工控制的業(yè)務(wù)應(yīng)作為檢查重點,進行現(xiàn)場檢查,對系統(tǒng)“自動+手工”控制的業(yè)務(wù),可以兩者結(jié)合進行檢查。
(四)建立內(nèi)控制度管理平臺
內(nèi)控制度管理包括根據(jù)內(nèi)外部環(huán)境(市場、法律等)變化及時調(diào)整制度,與分(子)公司之間資料(包括國家有關(guān)法律法規(guī)、內(nèi)控通知、內(nèi)控考核信息、企業(yè)內(nèi)控報告)和信息(包括企業(yè)實際執(zhí)行中存在問題建議)的傳遞,相關(guān)業(yè)務(wù)流程和理論的探討交流等具體內(nèi)容,通過利用信息系統(tǒng)建立制度管理平臺,可以極大提高辦公效率,促進上下一體、公開公平、共同提高的良好制度環(huán)境的形成。
(五)培養(yǎng)內(nèi)控信息化人才
要實現(xiàn)內(nèi)控信息化,人才培養(yǎng)也是關(guān)鍵環(huán)節(jié)之一。培養(yǎng)一大批既懂內(nèi)控、又懂信息系統(tǒng),既了解熟悉應(yīng)用控制、又了解熟悉一般控制,既熟悉業(yè)務(wù)流程、又清楚關(guān)鍵控制的人才。還應(yīng)積極探索和借鑒國際上先進的內(nèi)部控制理念與方法來不斷完善有中國特色的內(nèi)部控制體系,以促進我國企業(yè)內(nèi)部控制信息化的實施與發(fā)展。