企业内控信息系统在内控管理中的作用

企业 内部控制信息系统的 应用 主要来自于两方面力量的推动。首先是外部需求特别是SOX法案颁布后加强企业内控对外报告需求的推动；其次是内部需求特别是企业加强风险管理、提高内控管理与整体流程管理水平需求的推动。

内部控制信息系统的外部需求及其作用

根据IDS Scheer对从2002年SOX法案颁布四年来的在美上市公司的SOX法案遵从调查结果表明，大部分公司都经历了如下的过程：

1、法规准备-〉

2、完善内控体系-〉

3、无IT系统支撑的内控测试与报告-〉

4、实施IT系统支持的内控测试与报告-〉

5、整合内部控制相关的IT系统并进行流程优化

以下对该过程进行具体说明：

1、法规准备：

美国萨班斯法案对上市公司加强信息披露及内部控制的要求，使得无论上市企业是否愿意，都必须去按照SOX法案的相关规定，定期的对外披露与报告公司内部控制执行情况，且公司的主要领导(CEO、CFO)要对该报告进行签署，以证明公司管理层按照 法律 要求履行了加强公司内部控制监管的责任。上市公司的主要领导因为要对内控报告对外签署，因此承担着巨大的法律责任与合规风险。作为上市公司组织机构往往规模庞大，甚至存在跨国经营。

如何有效地管理签署风险，如何将签署责任有效地分解到各级下属公司责任人，如何将内部控制的理念通过责任落实与分解转变成企业的核心竞争力，都是上市公司管理层必须思考与决策的。

SOX法案的目标：

恢复投资者对在美上市公司的财务报告及披露的信心．

SOX法案的对上市公司的要求：

(1)改进内控系统

(2)提高文档化水平

(3)加强财务披露

(4)提高管理层诚信

(5)提高业务流程的透明度

(6)提高财务报告质量

(7)防止公司治理失败造成的财务灾难

(8)防止公司的业务及财务欺诈

2、完善内控体系：

在SOX法案遵从过程第一年中，通常企业必须投入大量的人力与成本去完善与补充公司的内部控制体系文件及相关内部控制测试程序及制度。根据SOX法案及COSO框架要求，企业需要从控制环境、风险评估、控制活动、信息与沟通、监督五个层面去完善内控体系文件。这其中涉及到大量的流程文档、风险控制矩阵、流程-科目关系文档、信息系统控制风险矩阵等等。很多公司花费了一年甚至几年的时间才将这些文档梳理完毕。但是，由于内控文档覆盖范围之大(涵盖了几乎企业所有的业务流程)，使得文档的更新与维护变得异常复杂而且难以操作。

因此，尽管在体系完善过程中实现了文档 电子 化，可是在电子化之后却又出现了新的文档维护更新的巨大挑战。如何有效地管理内控体系文件，保证内控管理的持续有效性。如何将纯粹的内控文件管理工作变成更具全局意义的企业流程管理，使内控管理不仅局限于流程内控点的维护，更关注企业业务流程(包括内控管理业务流程)的改进与提高。这些都是企业内控管理部门在经过第一年的SOX法案遵从过程后所不断思考、 总结 与关注的 问题 。

3、无IT系统支撑的内控测试与报告：

SOX法案对上市公司最为严格的一项要求是定期的对外披露并签署内部控制执行情况，还须经过外部审计师的鉴证。该条款充分体现了美国证券监管机构及司法机构的管理智慧，即证据保留，责任连带的原则。因为英美法系遵循的是无罪假设，有罪举证的原则，通过SOX法案要求上市公司把所有证据保留下来并经过鉴证与对外披露，使得在美上市公司一旦被查出财务丑闻，管理层就无法逃避其法律责任，即或者因为签署的内控报告隐瞒了真实情况而承担欺诈的罪名，或者就是因为没有按照SOX法律规定签署内控报告而承担规避上市监管法规的责任。

同样， 会计 师事务所也因为必须按照SOX法案鉴证企业披露的内控报告，而不得不承担连带的独立中介是否诚免尽职的责任。于是，无论上市公司还是会计师事务所在第一年中都投入了大量的人力与财力对企业内部控制的测试执行情况进行记录与报告。为此，企业的审计成本与合规成本都成倍增长，大量的测试组织、记录、报告工作都需要手工完成。

这其中由于测试记录流程的非自动化又造成了很多重复工作及错漏现象的发生，同时，企业内控管理部门被如潮水般涌现出的控制缺陷报告搞得疲于应付，无法集中精力去关注企业整体流程及相关内控措施、风险设置的合理有效性，无法集中精力优化内控体系与业务流程以降低总体合规成本。这时候，很多企业开始考虑是否有合适的IT系统以支撑以后年度的内控测试报告、缺陷管理、签署管理、以及流程管理等工作。

4、实施IT系统支持的内控测试与报告：

根据IDS Scheer公司的SOX系统实施经验表明，大部分海外在美上市公司从第二年或者第三年开始采用了IT系统以支持SOX测试审计。这其中，最常见的 应用 是对测试记录的流程自动化，但随着IT系统使用的逐渐增多，众多公司发现如何有效地管理缺陷上报流程、责任签署流程、以及支持匿名检举及自我评估等机制的建立，才是真正提升 企业 内控管理水平、促进内控管理由被动的遵从转变成下属公司自我约束文化的建立，直至最终形成企业内控管理核心竞争力的关键所在。

如西门子( 中国 )公司的缺陷管理流程、英飞凌(全球)公司的责任签署机制及缺陷上报流程的设计、三菱、日立、ING等等，IDS Scheer结合客户的需求与上述众多知名企业共同设计形成了支持SOX测试审计的内部控制信息系统应用最佳实践。

为了更好的实现IT系统对企业内控管理的支持，企业往往需要与软件原厂商一起共同就特殊管理需求进行合作开发(如AXA、西门子、英飞凌等都以自己公司的名字为开头为IDS Scheer的SOX系统解决方案命名，并承诺与IDS Scheer共同开发该解决方案)，只有这样，才能始终保证IT系统与企业管理需求的一致性，同时，也使得软件厂商的解决方案不断的到改进与优化，并为更多的客户服务。企业与软件原厂商之间是合作共赢的关系，而不是一次性的交易。

5、整合内部控制相关的IT系统并进行流程优化：

经过将近四年的SOX法案遵从过程，企业开始考虑如何将各种与内部控制相关的IT系统进行整合，而整合的关键仍然是流程的整合。因为绝大多数的企业级IT应用系统均是基于流程的需求而开发，但是每套IT系统所对应的业务流程由于当初系统实施的各自为战，缺乏良好的接口整合与描述标准化。企业内控管理部门为了更好的管理众多的基于流程的风险与控制，必须寻找一个统一的平台实现与各个IT系统所对应流程描述的衔接。

同时，如何在发现风险控制缺陷的基础上进行业务流程改进，如何监控新建IT系统的流程合规与流程绩效，如何满足企业日益增长的流程优化需要，都需要企业管理层在统一流程平台层面进行规划与管理。

内部控制信息系统的内部需求及其作用

内部控制概念本身并不是有了SOX法案才开始出现，而是早已有之。

从外部投资人及监管机构的角度称作企业内部控制，而从企业管理者的角度则实际上就是企业的管理控制。企业管理控制的主要目的在于规范运作，防止发生经营风险、合规风险及财务报告风险。传统认为内部控制更多关注防范财务报告风险，实际企业中更多的管理控制还存在于防范经营风险、如授权、审批、合同、价格、安全生产等等日常经营业务流程中的风险控制。以及合规风险、如满足 法律 、审计、税收、环保等外部强制性管理流程的要求。

随着企业管理幅度与深度的不断加深，以及企业流程自动化水平的不断提高，内部控制已经与流程管理紧密地结合在一起。以往的手工流程逐渐被自动化设备、信息系统所取代，传统的通过组织会议、定期报告了解业务流程运作情况及管理控制情况的方式已经不再适合；大量的业务流程被自动化运转的机器设备、信息系统所执行，不再像过去那样一个资深的业务人员就能够很好的描述企业实际运作的各个流程。

如何将被系统固化的业务流程重新展现出来，如何全盘的了解企业各业务流程中的风险控制系统执行情况。这些 问题 都是 现代 企业内控管理者所关心的问题。与此同时，以流程描述为代表的各种管理咨询项目应运而生。或者是为企业勾画质量管理体系所要求的业务流程(程序文件)，以达到ISO认证的要求；或者是为企业描述内控相关的业务流程，以达到SOX法案流程透明的要求；或者是为企业描述现状业务流程及目标流程蓝图，以实现ERP系统的上线；或者是帮助企业描述业务流程进行业务流程再造(BPR)。

然而，从没有流程描述到流程描述遍地开花的情景都不是企业管理真正希望达到的目标。企业的业务流程管理平台应该是统一的并且是唯一的，各种类型的流程管理项目(如质量管理、内控管理、流程自动化、BPR)所依据的流程描述都应该是一致的，而不能各自为政相互割裂。因此，只有在统一业务流程管理基础上的内控管理才能够最大化的发挥其管理效力。

同时，统一的业务流程管理平台可以支撑企业流程的不断更新与自动化。如通过流程管理平台实现与ERP系统的流程描述同步，通过流程管理平台实现对IT系统支撑的业务流程进行流程绩效评估，通过流程管理平台实现内控测试人员任务分派的可视化管理，通过流程管理平台实现流程描述的实时 网络 发布与在线查询，通过流程管理平台实现《内控手册》、《质量管理手册》等的动态生成等诸多功能。企业内控管理也因此可以脱离对原有的静态文档的跟踪管理，转变成对业务流程的动态跟踪管理。

总之，通过以上由企业内外部需求对内部控制信息系统要求的 分析 ，使得我们可以更加清晰的了解内部控制信息系统应该在哪些方面为企业管理带来提升与价值。