梁晟,科索路咨詢高級經(jīng)理,曾負責(zé)某電信信息數(shù)據(jù)管理體系設(shè)計與規(guī)劃,梳理數(shù)據(jù)信息管理體系和接口,確保信息規(guī)劃質(zhì)量。
2006年6月5日,上海證券交易所(下文簡稱上證所)率先發(fā)布了《上海證券交易所上市公司內(nèi)部控制指引》(下文簡稱《指引》),對上市公司建立健全和有效實施內(nèi)部控制制度提供了原則性指導(dǎo),明確了公司董事會對公司內(nèi)控制度所負的責(zé)任,并要求上市公司從2006年年度報告起披露內(nèi)部控制自我評估報告和會計師事務(wù)所對自我評估報告的核實評價意見。
IT是內(nèi)控的一部分
IT內(nèi)控是公司內(nèi)部控制的一部分,是審計的對象。《指引》第十條款規(guī)定了“公司使用計算機信息系統(tǒng)的,還應(yīng)制定信息管理的內(nèi)控制度”,并且列出信息管理的內(nèi)控制度至少應(yīng)涵蓋的內(nèi)容:
(一)信息處理部門與使用部門權(quán)責(zé)的劃分。
分析:無論公司的信息處理部門組織結(jié)構(gòu)如何,都必須與使用部門進行明確的權(quán)責(zé)劃分,并且成文定義。明確定義的權(quán)責(zé)將加強信息處理部門與使用部門間的溝通和相互理解,避免推諉和責(zé)任不清造成的管理漏洞和效率低下。
(二)信息處理部門的功能及職責(zé)劃分。
分析:由于信息系統(tǒng)的特性,信息處理部門本身的功能和職責(zé)劃分是復(fù)雜的。因為功能和職責(zé)的復(fù)雜性增加了IT服務(wù)和運營的風(fēng)險,所以必須建立相應(yīng)機制加以管理。信息處理部門管理者首先必須明確本部門在整個公司中起到的作用和承擔(dān)的角色,明確提供的服務(wù)和相應(yīng)的責(zé)任,并且成文定義。
(三)系統(tǒng)開發(fā)及程序修改的控制。
分析:系統(tǒng)開發(fā)和程序修改主要包括兩部分:新應(yīng)用軟件的開發(fā)和實施、現(xiàn)有應(yīng)用軟件的變更和維護。新應(yīng)用軟件獲得和實施失敗風(fēng)險很高。為了降低這種風(fēng)險,企業(yè)應(yīng)該建立成體系的軟件開發(fā)質(zhì)量控制方法,比如標(biāo)準(zhǔn)軟件開發(fā)工具和IT構(gòu)件的選用。
(四)程序及資料的存取、數(shù)據(jù)處理的控制。
分析:程序和數(shù)據(jù)存取訪問控制需要技術(shù)和管理兩方面的共同保障。首先,信息和系統(tǒng)安全技術(shù)是防止非法訪問的有效方法,比如各類密碼保護、防火墻、數(shù)據(jù)加密存儲、密鑰技術(shù)等。其次,需要從管理和流程上保證程序和數(shù)據(jù)的訪問安全,最重要的就是建立完善的系統(tǒng)用戶管理制度。
(五)檔案、設(shè)備、信息的安全控制。
分析:由于信息技術(shù)的廣泛使用,信息安全一直是得到信息處理部門和信息使用部門極大關(guān)注的一個問題。信息資產(chǎn)安全的漏洞可能造成機密信息外泄、病毒入侵等問題,嚴(yán)重的信息安全問題可能危及整個公司的運營,造成財務(wù)和聲譽上的重大損失。
(六)在網(wǎng)站上進行公開信息披露活動的控制。
分析:在網(wǎng)站上進行公開信息披露活動,需要信息處理部門與公司執(zhí)行層和內(nèi)部控制體系其他部門的緊密聯(lián)系。為了保證信息披露的正確性和及時性,公司應(yīng)該制定一套流程進行信息披露活動的管理,包括網(wǎng)站上的信息披露。
IT是內(nèi)控的重要輔助
計算機應(yīng)用系統(tǒng)不僅是整個企業(yè)業(yè)務(wù)的重要支撐,也是對公司運營活動進行控制的重要輔助手段。以具體運營流程為基礎(chǔ)展開的IT控制,直接關(guān)系運營活動的實施。這類IT控制包括應(yīng)用控制,即針對特定業(yè)務(wù)流程,以軟件應(yīng)用方案為依托進行控制活動。如對財務(wù)報表的編制和匯報進行控制,就需要對財務(wù)模塊進行有效的控制。
以IT為基礎(chǔ)和手段的控制方法,效率要明顯高于傳統(tǒng)手工或基于紙張的控制方式;利用IT固化內(nèi)控流程可以簡化企業(yè)的內(nèi)控過程,降低內(nèi)控成本,優(yōu)化內(nèi)控項目的成本效益比,并幫助企業(yè)達到內(nèi)控效力持續(xù)性的要求。IT的規(guī)范化操作程序以及信息系統(tǒng)的信息備份功能,能夠降低內(nèi)控審計的難度。
IT管理者應(yīng)該清晰地認(rèn)識到IT在公司建立內(nèi)部控制中的優(yōu)勢和承擔(dān)的責(zé)任。由于信息技術(shù)的復(fù)雜性,IT部門有責(zé)任幫助和配合公司其他部門建立合適的“應(yīng)用控制”。這不僅能幫助公司達到內(nèi)部控制的要求,也有利于提升IT在公司中的價值。
IT內(nèi)部控制不可孤立
IT內(nèi)部控制應(yīng)該滿足第六條款所描述的“目標(biāo)設(shè)定,內(nèi)部環(huán)境,風(fēng)險確認(rèn),風(fēng)險評估,風(fēng)險管理策略選擇,控制活動,信息溝通,檢查監(jiān)督”這八個要素的要求。IT內(nèi)部控制并不是孤立的,而是公司以業(yè)務(wù)目標(biāo)為主導(dǎo)的整體內(nèi)部控制項目的一部分。
簡單來說,企業(yè)必須首先確定公司的主要經(jīng)營活動以及與這些經(jīng)營活動相關(guān)的業(yè)務(wù)流程和活動,劃分內(nèi)部控制的工作范圍。其次,企業(yè)在工作范圍內(nèi)定義具體的控制對象。再次,針對控制對象,進行風(fēng)險分析、評估,決定每項風(fēng)險的管理策略,制定企業(yè)具體的控制程序、控制目標(biāo)以及審計標(biāo)準(zhǔn)。然后,對現(xiàn)行的運作,實施變革以達到預(yù)定目標(biāo)。最后,評價控制措施的實施后果,加以鞏固或改進。
IT的內(nèi)部控制必須遵循公司的內(nèi)部控制機制策略,確保IT控制符合公司內(nèi)部控制的基調(diào)。此外,IT控制還擔(dān)當(dāng)支持企業(yè)高層管理活動的責(zé)任,在企業(yè)內(nèi)設(shè)定業(yè)務(wù)目標(biāo),確立企業(yè)政策,在組織資源配置及管理決策時,IT負責(zé)輔助企業(yè)制定政策方針并在組織內(nèi)部傳達交流。
通過上述三方面的分析上海證券交易所上市公司內(nèi)部控制指引,我們可以發(fā)現(xiàn),IT控制可以歸納為三個層次:公司控制、應(yīng)用控制和基礎(chǔ)控制。公司層面的控制決定了IT內(nèi)部控制的基調(diào);應(yīng)用層面的控制與業(yè)務(wù)流程相結(jié)合,體現(xiàn)在應(yīng)用系統(tǒng)中,比如ERP和MRP;基礎(chǔ)層面的控制則體現(xiàn)在IT服務(wù)過程中。
在現(xiàn)實中,由于IT運行環(huán)境和IT應(yīng)用水平迥異,不同的公司在建立IT內(nèi)部控制過程中的控制重點各不相同,復(fù)雜的局面可能會使許多企業(yè)一時無所適從。《指引》作為上證所發(fā)布的一份規(guī)范性文件,雖然給出了內(nèi)部控制的框架上海證券交易所上市公司內(nèi)部控制指引,但是仍無法像管理手冊或者行動指南那樣說明IT如何才能達到《指引》所要求的水平。
面對已經(jīng)到來的內(nèi)控要求,上市公司急需一套普遍適用的IT內(nèi)部控制方法論來彌補《指引》的這一缺憾:必須滿足《指引》的要求,可以協(xié)助IT建立合適的內(nèi)部控制機制;以IT控制為主要任務(wù),考慮全面并被廣泛認(rèn)可;提供可操作的行動指南和評價體系,指導(dǎo)企業(yè)在進行IT控制的同時,方便審計機構(gòu)制訂評估標(biāo)準(zhǔn),并利于雙方就審計細節(jié)達成一致。
鏈接:為什么不能照搬美國薩班斯法案
首先,薩班斯法案關(guān)于內(nèi)部控制的規(guī)定的操作成本太高,對規(guī)模較小的中國企業(yè)來說操作難度太大。大型美國公司僅在第一年建立內(nèi)部控制系統(tǒng)的平均成本就高達430萬美元,這對規(guī)模偏小的中國上市企業(yè)來說是不現(xiàn)實的……
其次,公司治理方面與國際或者美國的企業(yè)有差距,不能一蹴而就,如果照搬薩班斯法案,可能會帶來水土不服;
第三,很多中國上市公司的 基礎(chǔ)還比較差,要達到薩班斯法案那樣對 的要求太難。
更多財稅咨詢、上市輔導(dǎo)、財務(wù)培訓(xùn)請關(guān)注理臣咨詢官網(wǎng) 素材來源:部分文字/圖片來自互聯(lián)網(wǎng),無法核實真實出處。由理臣咨詢整理發(fā)布,如有侵權(quán)請聯(lián)系刪除處理。