而在企业内控中,“信息化或者IT体现出了加强企业内控中的作用,所以企业控制风险管理,迅速落脚点还是要在我们信息系统当中,信息化是重要的保障。首先要建设我们风险管理系统,内控体系是要以信息化作为基础。第二,我们信息化建设现在信息化应该越来越多体现内控风险管理要求,以往CIO在建设信息系统时候,建设基础设施、应用系统,可能并许多过多的考虑内控和风险管理要求。一旦意识到了风险管理对企业重要性以后,信息建设要充分考虑这些因素,从业务、管理、决策层面都要考虑这些因素。”某内控与信息化论坛上著名的内控与信息化专家指出。由此,我们可以看出信息化在企业内控不可替代,那么,作为信息化的负责人CIO在帮助企业做内控管理时会遇到哪些难题?而临的挑战和困惑又有些哪些?本文为CIO解开答案,让我们先了解内控在国内企业的发展情况。
企业内部控制建设历程
从70年代就是改革开放以后,特别是第一部会计法的实施,这是一个标准性阶段。在满足社会不同需要,出现过满足核算制度等等。
80年代初期,提出岗位分离。
90年代,会计法实施的时候财政部96年发布会计规范,规范要求各单位进一步建立健全包括内部控制先进内部会计管理制度,会计法明确要求各单位建立内部管理,这是内部管理的法律依据。
2001年6月22日,财政部依据会计法规定又制定了企业内部会计控制规范。
2002年7月30日《萨班斯-奥克斯利法案》(“萨奥法案”)的颁布,标志着世界上最发达资本市场的监管者已经将内部控制体系的建立、维护、评价和报告看作是经营者的重要责任。
2006年,中国公布了《新会计准则》,同时新《公司法》、《证券法》和《物权法》等重要法律的修改。所有这些外部环境的变化,都要求公司强化法人治理结构,高度关注企业风险,加强内部控制。从法人治理结构层面的内控环境营造到公司各级规章制度中的内控功能都需要进一步加强和完善,规范公司的经营行为。
2008年5月,财政部会同证监会、审计署、银监会、保监会等五部委推出《企业内部控制基本规范》。
2009年7月原定于1号实施的《企业内部控制基本规范》及其配套指引延期至2010年1月1日。
企业内部控制基本规范的框架体系分为“一个基本规范、三个指引”,一个是基本规范即《企业内部控制基本规范》,三个指引指《企业内部控制应用指引》、《企业内部控制审计指引》和《企业内部控制评价指引》。
内控建设CIO面临的挑战和困惑
根据笔者对于采访的CIO中发现,现阶段CIO在帮助企业做内控实施时而临着许多的困惑和挑战,分析原因有以处几点:
一、领导内控意识比较薄弱;
自从美国的安然事件发生以后,国外的的萨班斯法案在不断的完善过程当中,企业的管理层对于内控的认识相对来讲比较高一些。但并不是所有的管理层能意识到内控的重要性。而在国内, 在看待内控的问题,企业的管理层更多的时候认为是在给企业“找事儿”做,对于内控的看法也是处于不是很积极的状态,同时,因CIO在企业中的位置还没有得到显著的提升, 这就造成CIO在做内控的时候,得到领导的支持不是很多,虽然内控是由企业的领导牵头,但在具体最终的落实过程中需要涉及到很多的问题,对于内控,信息系统的投入也占据了很大一部分,当CIO申请信息系统的资金时,也许会得不到管理层的支持,造成CIO无法帮助企业顺利的执行内控的基本要求。
二、内控人才缺乏;
内控兴起不久,企业对于内控人才的培养也处于初级阶段,在加上人才本身管理水平的有限,对于内控的理解和看法都存在着不足, 因此,全面复合型人才现在急剧缺少,CIO虽然懂IT,但对于企业的业务、审计都了解毕竟还是缺少一定的专业知识。 因此,CIO在帮助企业落实内控时缺少有力的人才支持,如何培养复合型的人才已经成为内控实施的关健。
三、实施的成本比较高;
内控的最终落点是需要IT系统的支撑,从IT的角度来看,要想做好内控,必然要有新的IT投入, 而IT投入对于企业来看无疑是增加企业成本的,尤其是金融危机刚过的后危机时代,企业处于一个缓气的阶段,如果在进行IT投入对于企业是一笔不销的开销。
四、业务流程管理水平很低,增加了内控管理的难度
内控是为了加强企业的经营管理与风险管理,如果是经营管理必然要改变现有的企业不合理的业务流程,而目前的现阶段的现状是,部分企业的业务流程管理水平很低,对于流流程的梳理非常困难, 同时又需要IT的环境实现流程的梳理,给企业的CIO造成了很大的困难,同时也给企业的内控管理带来了难度。
五、内控体系改革的中心、编制审核等很难适应业务的变化
因企业的组织是在不断调整、业务流程是不断变化的、信息系统建设是逐步推进,每次企业做变革都需要企业重新审计文件,企业内部体系文件难以根据外部环境变化进行及时调整。企业的信息系统同时也无法及时的做出调整,使CIO无法及时的运用信息系统来支撑企业的业务。
六、内控难以监督
在内控实施方面,内控体系文件要求内控体系设计与执行的一致性,同时在实施过程当中保留一些审计检查,这样做将存在几方面的问题:一、缺乏有效的发布实施平台,内控文件怎么能够让企业内部从高层到基层管理都知道。二、企业控制点较多,如果全部用人工进行控制,控制成本会很高。
在整个体系监督和改进方面,要对体系设计合理性,实施彻底性监督并且定期出一些评价。“但是内控体系监督本身工作量很大,协调的难度也很高,这样导致合规的成本是很高的。第二就是我们需要和一些企业定期每季度,每年度要做监督测试的工作,这些工作资料实际上对我们整个体系持续优化是很重要。但是我们多企业做完以后,发现资料量太大,我将来不会再利用,达不到我们持续优化的目的。”某国内著名内控专家强调。
CIO如何帮助企业做好内控
信息化在内控方面是非常重要,信息化可以在很多方面可以发挥作用但并不是解决所有问题。据调查的资料显示,98%被调查公司认同内部控制要与风险管理相结合,也承认对风险管理的方法论了解不多有限,需要学习更多的经验和国外的经验。
内控看起来离CIO比较远,它和国家制定政策、当企业经营者,管理者制定体系相关。所有内控工作的最后落脚点是CIO、是企业的信息系统,所以信息化在企业内控建设中特别有意义,那么作为CIO如何帮助企业做好内控?
1.以《内控》为师
过去,企业在做内控或者风险管控的时候,没有一个参考的规范或者样本,对于内控CIO不知道如何入手?该怎么做?更多的时候是处于“瞎子摸象”的阶段,2008年5月份出台的《企业内部控制基本规范》就如一位老师,帮助企业在做内控时给了一个确定的参考,规范,用以帮助企业CIO更好做好内控及IT本身的控制。
2.做好合现的内控体系建设
CIO做内控首先要设计符合企业内部业务特点的管理体系,并且这个管理体系要能够根据公司业务比如组织架构调整进行及时调整。同时要把它体系形成文件,作为我们执行和审计的依据,作为监督改变的依据。
3.先做原型 不断的持续化
在上市公司或者国有大中型企业当中,做内控建设的经验是先做一个原型或者模型,然后逐步的填充,内控和信息化是一样,没有边界,因此, 要先搭建内控的的框架,然后在框架中不断增加、修改,最后做到持续的优化。
4. 参考同行内控应用标准
内控在国内应用的时间不是很久,早在2000年的时候有些企业就开始关注,企业在在做内控可以参考其它企业的内控是如何来做的,从信息化的角度来看,虽然不同的行业, 不同的企业性质都不相同,CIO可关注他们支持内控系统是如何来做的?参照已经实施企业内控的企业做本企业的内控无疑是一个非常好的办法。内部控制是企业现代化管理必然产物,良好企业内控管理是成功企业必备条件。企业建立有效的内控控制体系已经成为企业可持续发展的关键。
关于内控
《企业内部控制基本规范内控规范》被称为中国的“萨班斯法案”,2008年6月28日,由财政部、证监会、审计署、银监会、保监会联合发布,目的在于加强和规范企业内部控制,提高企业经营管理水平和风险防范能力,促进企业可持续发展。
根据规范,执行基本规范的上市公司,应当对本公司内部控制的有效性进行自我评价,披露年度自我评价报告,并可聘请具有证券、期货业务资格的中介机构对内部控制的有效性进行审计。 规范原定于去年7月1日起实施,但由于企业培训等准备工作没有做完等原因,这一规范的实施范围当时被缩小至境外上市的企业,境内上市企业的实行时间则推迟到了2010年1月1日。