随着市场经济的迅速推进,信息系统成为不少被企业内部管理与控制的关键工具。而同时,现阶段的《企业内部控制基本规范》以下简称内控已经开始正式实施,它将给CIO建设基于内控环境的信息系统带来新的机遇和挑战。有观点称,未来几年中,内控大大推动企业核心竞争力的现象也将逐步出现,或许这将帮助企业内控更好的落地,开始新一轮发展的过程中发挥出无法估量的作用。
信息系统面临的风险分析
内控中曾指出,要以信息系统来辅助整内控的执行和落地,那么企业内部控制信息系统的应用主要来源哪些方面的推动? 业内著名的内控专家曾指出:“企业内部控制信息系统的应用主要来自于两方面力量的推动。首先是外部需求特别是SOX法案颁布后加强企业内控对外报告需求的推动;其次是内部需求特别是企业加强风险管理、提高内控管理与整体流程管理水平需求的推动。” 现阶段,国内现阶段基于内控背景下的信息系统不是很成熟,同时,因信息系统审计在国内起步比较晚,造成信息系统中企业存在许多的不足。主要分为:
1、主观不足
我们知道信息系统分按应用来划分分为两种类型一种关注企业的生产如MES,PDM等, 另外一种如CRM等管理型的系统,信息系统最主要的功能是实现自动化,帮助管理者提高企业的效率,因此在人员方面,是信息系统存在的主要风险。如从信息部门的角度来看,数据库管理人员因操作把企业的数据丢失,企业CIO因失误导致信息系统崩溃等等一系列的因素,造成信息系统存在主观上的风险。内控的的主要根本是风险管控,而风险管控又侧重于人的管理,信息系统又起到管理监督的重要工具, 因此,如果管理层于信息系统不是很重视,那么对于CIO来讲做内控将非常困难,同时,因人为的阻碍将使信息系统的利用率降到最低。
2、客观不足
在企业中CIO购买的软件或者硬件,任何产品都有它的缺点,这就造成企业无时无刻的存在着来自于IT方面的风险,比如企业的ERP系统、OA系统,因对于管理理解的不同,许多的ERP开发者更多的体现只是为了完成软件的的某种功能去开发, 而没有完全去考虑软件设计开发的结构,这样导致整个产品存在着设计上漏洞,使企业的核心数据遭受具大的损失。除了在软件应用层方面,其它涉及到硬件、网络方面同样也存在安合隐患。 这些客观的风险必然要需要CIO及外部人员加强对于信息系统的审计。
内控环境下加强信息系统审计的必要性
内控是为了提升企业的管理、效益、控制企业风险的重要规范指引。很多的企业认为,做内控给企业增加了负担、加大了企业 开支,从短期的利益来看,做内控需要投入一定的成本,但是从长期的角度来析做企业内控是为了企业更有利更加健康的发展。换个角度来看, 如果没有内控美国的安然事件、中国的安然事件将会再次上演,对于整个发展环境也会形成恶劣的影响,使企业在未来的运营中不能一个稳定、良好的环境。 企业做内控是为了规范自己的风险管理,正如人的健康一样。 如果“人”就是企业,那么内控就是“医生”,“医生”是帮助“人”检查身体, 而不是去谋害“人”, 而检查身体的一个重要工具——就是信息系统 。“医生”只有借助工具,才能更好的查出病因。
内控信息化的真实性、可靠性, 保证信息的真实性可靠性是对信息系统内部控制的质量要求,信息系统是企业各种信息的载体,是信息循环运转的一个有机整体,离开这个系统,信息只是单个的符号,不能把信息所反映的真实内容整体性地呈现在信息使用者的面前。只有把一个个的信息符号真实完整的放进企业信息系统的这个循环环境,保证信息的连续性和可靠性,信息系统才有其存在的必要性。同样以这样的信息系统建立起来的信息系统内部控制才能反过来控制信息的真实性和可靠性,才能为信息使用者所接受。
企业做内控,如果没有工具的支撑,首先在流程无法进行优化。内控的一个重要指标是对于企业不规范的流程变为优化的流程,但优化流程的过程当中需要信息系统来支撑,没有信息系统,强大的流程得不到有效的监督和管理,每走一步流程都很困难,甚至有可能要中断。 因此,没有信息系统的内控在企业中很难做,同时也不符合内控的规定。
CIO如何做好信息系统的审计
信息系统审计是一个通过收集和评价审计证据,对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面作出判断的过程。从该定义可以看出,其审计内容及方法是通过对系统内部控制的审计,来判断和评价系统的安全性、完整性、效果和效率等方面。那么在内控背景下CIO应该如何做好基于内控的信息系统呢?
1、明确信息系统的审计目标
做内控不是CIO一个人的事情,但信息系统的建设还需要CIO来落实,那么企业的CIO如何来做好信息系统的审计呢?在内控的背景下一定要确定信息系统的审计目标,要达到什么样的效果,怎么来做,信息化前期要有一个总体的规划蓝图,遵照内功的要求结合企业自身的特点,制定出一套符合内控要求及企业自身战略的目标体系,只有明确了信息系统要做的目标,做出的内控信息系统符合标准。
2、根据目标选择重点区域及确定信息系统审计的具体范围;
当信息系统的目标建立以后,CIO所要做的工作就是分解目标,选择企业目前最为关注的区域 如企业的业务流程管理,做内控的根本目上的之一就是优化企业的流程管理,而IT的入手点,将从流程管理入手更为切实。那么, CIO的重点在流程控制系统上下“功夫”,做出一套符合内控要求的业务流程管理系统 。
3、借鉴跨国公司经验,遵循COBIT,加强信息系统优化;
CIO在做信息系统时,可多参照跨国公司信息系统建设的经验,同时也可以参考国内的上市企业,参观并学习他们的基于内控的信息系统是如何来做的,同时,在做信息系统时也要参照国际上的COBIT,从信息系统的建立初期如是规划、实施、治理等方面做好,将IT过程,IT资源与企业的策略与目标(准则)联系起来,形成一个三维的体系结构。用以把信息系统更好的在企业内控中发挥作用。
4、整合内部控制相关的IT系统并进行流程优化。
经过近几年企业对于法规的认知,企业开始考虑如何将各种与内部控制相关的IT系统进行整合,而整合的关键仍然是流程的整合。绝大多数的企业级IT应用系统均是基于流程的需求而开发,但是每套IT系统所对应的业务流程由于当初系统实施的各自为战,缺乏良好的接口整合与描述标准化。企业内控管理部门为了更好的管理众多的基于流程的风险与控制,必须寻找一个统一的平台实现与各个IT系统所对应流程描述的衔接。因此,信息系统的设计阶段一定要符合企业的业务流程。
同时,如何在发现风险控制缺陷的基础上进行业务流程改进,如何监控新建IT系统的流程合规与流程绩效,如何满足企业日益增长的流程优化需要,都需要企业管理层在统一的信息系统管理流程平台层面进行规划与管理。
通过实践我们发现建立基于内控要求的信息系统,为企业高管层(CEO、CFO)、内控管理者、内控测试人员、审计人员、其他业务人员提供一个简单易用的内部控制活动管理平台。系统不仅能够在现阶段使公司在萨班斯法案及国内内控法规遵从过程中更好地达到对内部控制、记录、测试、整改、报告、披露和归档等方面的要求,减少手工操作,提高工作效率和工作质量,同时使各项工作有机地联系起来,在公司长期战略上改进内部控制和风险管理。