浅议如何实现企业内部控制信息化

　       (二)利用风险机制，扎实推进标准化工作
　       风险机制包括对风险的识别、分析、评估和认定。在这个过程中，必须充分调研实际业务，收集业务信息，模拟执行情况，具体而言，应做好以下几方面的标准化工作:
　　       1.组织架构标准化。企业应结合管理模式(集中管理或分散管理)，利用风险机制，对企业采购、销售等核心业务找出较为合理的组织架构，明确各层级的权责划分，这些会直接决定控制的效果，也直接影响业务流程的具体构成路径，是业务流程统一和岗位职责标准化的前提。 
　　       2.业务流程及岗位职责标准化。业务流程标准化需要召集一线管理人员，充分征求意见，利用风险机制分析、优化业务流程，拟定关键控制点，界定各岗位职责和管理权限以及不相容职责的划分标准。这其中，优化流程是最关键的环节，如果考虑不周全，将造成系统上线反复进行，浪费人力物力资源。对于关键控制点，应逐项梳理后记录下哪些能够固化在系统中、哪些不能实现或实现成本较高。对能够固化在系统中的业务流程和控制点，应确定系统标准模板，系统标准模板概括起来，一般由标准业务流程、管理权限、不相容职责配置或参数设定。应说明的是，由于内控信息化是在一定条件、一定范围内的信息化，对于实现系统自动控制成本较高的业务环节，应明确允许系统外控制(如人工稽核等)的措施以提高控制效率。 
　       1. 表单标准化。在优化流程的基础上，由于梳理了业务申请部门(人)、业务审核部门(人)及审批人、不相容部门等控制环节，相关审批表单的标准化也成为可能。 
　       2. ERP系统主数据标准化。客户、供应商、物料等主数据是 ERP系统的构成细胞，不实现标准化就无法实现内控信息化，因此必须对这些主数据的定义和编码予以标准化。
　       (三)建立利用系统进行持续性监督的机制
　       利用信息系统进行持续性的监督是实现有效、高效内部监督的重要方式，coso委员会 2009年出版的《内部控制体系监督指南》对利用信息技术持续性监督概括了四种方式，基本上能够反映目前技术条件下的信息化监督方式，具体包括:利于误差管理的工具(记录误差的日志、后续跟进、处理情况分析)、监督应用程序变更的工真(变更认证、沟通、适当评价)、评价系统状况的工具(包括内置参数、可容忍水平、不相容职责分离、管理权限)及评价过程完整性的工具(包括标准及协同、数据加总、文挡完整性)。前两项工具主要是对系统日常操作的直接监控，如零售商检查系统信息有无无效的订单标识、零售数据是否全部传输到数据中心处理等，适合于专业管理在日常业务汇总时进行监督;后两项则主要由内部控制部门专门开发检查工具进行监督，具体方法是通过对关键控制点所对应的业务流程、管理权限、不相容职责和参数予以标准化，建立信息系统标准模板，并针对标准模板开发检查工具，通过定期运行检查工具、对比与标准模板的差异，逐步建立持续性监控的机制。
　       具体而言，通过对ERP系统管理权限进行检查，按照不相容职责标准，检查工具可以指出系统中哪些角色或用户同时拥有不相容事务，系统权限与角色或用户的岗位职责是否吻合;结合风险分级定义各项业务缺陆标准(可以将几个不符合要求的风险定义为一个缺陷标准)并固化在系统中，实现异常业务预警。对于报警的业务，总部可及时追查，如有必要，也可组织有关专家到现场检查。同时，对于确定了利用工具进行监督的系统自动控制业务，可以减少检查的频率，对于系统外手工控制的业务应作为检查重点，进行现场检查，对系统“自动+手工”控制的业务，可以两者结合进行检查。
　       (四)建立内控制度管理平台
　       内控制度管理包括根据内外部环境(市场、法律等)变化及时调整制度，与分(子)公司之间资料(包括国家有关法律法规、内控通知、内控考核信息、企业内控报告)和信息(包括企业实际执行中存在问题建议)的传递，相关业务流程和理论的探讨交流等具体内容，通过利用信息系统建立制度管理平台，可以极大提高办公效率，促进上下一体、公开公平、共同提高的良好制度环境的形成。
　       (五)培养内控信息化人才
　       要实现内控信息化，人才培养也是关键环节之一。培养一大批既懂内控、又懂信息系统，既了解熟悉应用控制、又了解熟悉一般控制，既熟悉业务流程、又清楚关键控制的人才。还应积极探索和借鉴国际上先进的内部控制理念与方法来不断完善有中国特色的内部控制体系，以促进我国企业内部控制信息化的实施与发展。