“我们在研究中发现,不少企业正尝试将内部控制嵌入企业信息系统,从而实现内部控制落地。
但这一过程是十分复杂的。”中国会计学会会计信息化专业委员会委员、安徽工业大学会计系教授汪家常提醒说。
那么,内控与信息化怎样才能很好地结合起来呢?
内控落地离不开信息化
据了解,中国企业现有信息系统总体运行呈不均衡状态,部分大企业如中石油、中石化等,其内部经营活动已反映到信息系统,并实现了联网运行。这些企业主要是在美国上市的公司,它们在2006年6月30日之前就完成了按内控要求升级改造的工作,执行的是科索(COSO)“内部控制一体化框架”。
“但大部分企业却仅仅实现了部分业务的电算化,如会计核算与财务管理等,没有建立起针对所有业务的信息系统。”南京审计学院副院长时现一针见血地指出。
“即便是已经执行过内控的在美上市公司,也需要结合企业内控基本规范及相关配套指引的要求,对内控及信息化系统进行本地化。”立信大华会计师事务所信息部经理马强对记者表示。
财政部会计司司长刘玉廷日前就曾在中国会计学会资深会员论坛上指出,信息化是手段,要对现有信息系统进行改造和升级,使它符合企业内控基本规范及相关配套指引的要求,使它能够形成自我评价报告,而这项工程还是比较大的。
在互动中“升级换代”
“如果企业的信息系统要升级换代的话,那么,我建议先梳理或修订内部控制流程,并设计内部控制框架。要按照这样的框架,改造现有的信息系统,并关注信息系统内部控制和安全保障问题。”时现简明扼要地亮出了自己的观点。
这样的改造,还要一步一步来。
“首先必须弄清楚企业目前的管理水平和信息系统水平以及通过信息化实现内部控制的基本过程,要搞清楚哪些内部控制目标通过信息化是可以达成的、哪些是不能达成的、哪些是随着IT技术的不断进步在将来可以达成的。”汪家常曾参与过一家大型钢铁企业的信息系统设计,对此显然有着切身的感受,“从目前IT技术和企业信息化水平来看,其对业务流程层面的风险控制最为有效,而对企业决策层面的风险控制能力较弱。”汪家常介绍说,目前,通过企业信息化实现有效内部控制的主流做法,是通过专门的治理、风险管理及合规控制系统(GRC),实现对企业管理系统(ERP、CRM)等的业务执行过程的风险控制。如通过专门的流程控制系统,建立相应的流程控制环境,识别和监控各个流程的关键风险控制点,并且通过流程控制系统,实现文档记录、流程测试、修复和监控,产生自评估报告。再如,通过专门的风险控制系统,将不同层面的风险,采用关键风险标识(KRI),进行企业风险识 别、风险分析、风险预测、风险监控和风险报告,形成风险视图,实现对风险的有效监控。
反过来,信息系统的升级改造对内控体系建设也会产生一定的影响。“第一,影响业务流程;第二,影响关键控制点,如从流程环节的控制转向原始数据控制等;第三,影响内部控制测试与评价标准,这更多地涉及信息系统技术性内容的测试与评价;第四,对内部控制执行者的专业胜任能力有更高的要求。”时现指出,企业要把握这一“互动”,在“升级换代”中更好地完善内控体系。
绕不开的成本问题
信息系统的升级改造肯定会有成本,那么,该如何权衡其成本与效益?时现认为,升级改造的一次性投入成本会比较大,它涉及三个主要部分:第一,内部控制制度设计、测试和评价的成本与费用(一般外包完成,主要指外包费用);第二,信息系统改造与研发的成本和费用(一般外包完成,主要指外包费用);第三,对企业各层人员的培训、管理及相关软硬条件的改造成本和费用。
“对于大型企业来说,由于其业务活动复杂,企业规模比较大,这种一次性成本投入还是有必要的,它会帮助企业提高效率,带来可持续收益,具有一劳永逸的效果。”时现表示,而对于小企业来说,暂时没有必要全面升级换代,选择主要业务和内容进行局部完善即可。
对此,汪家常表示认可:“成本效益原则还是必须要坚持的,如果彻底推翻现行的信息系统,企业将付出巨大的代价。”有些企业可能会选择自建内控信息系统,汪家常表示:“一般来说,企业自行开发GRC产品从效益上来看也是不现实的,但特别有条件或有自身需求的企业可选择自建。”
IT技术不是灵丹妙药
“为了减少内控实施成本,很多企业求助于IT技术,但IT技术对于企业实施内部控制来说并不是灵丹妙药。”汪家常告诫当前的一些企业。
在汪家常看来,“如果企业目前的管理水平和信息化水平较低,那么,提高企业现行的管理水平、优化业务流程并逐步使管理系统对业务流程有一定的控制能力,才是当务之急。此后再利用信息系统,内部控制方才有实施基础,否则将会事倍功半。”对于大型集团企业来说,还要高度关注内部控制的标准化。汪家常解释说,由于大型集团企业地域、组织、系统分散,甚至出现企业文化和价值的不统一,在利用IT技术解决内部控制问题时,必须使集团的管理系统、内部控制流程、关键风险标识、系统权限控制、内部控制评价和报告尽可能统一和标准化,“否则,建立统一的集团内部控制平台将是不可能的。”“还有一点很重要。利用IT技术实施内部控制,应由易到难,分步进行。一般认为,提供基本合规性和风险控制及报告功能是必需的,只有在该部分系统运行正常后,再考虑其他功能产品。”汪家常最后说。