站内搜索
 
  网站会员
用户登陆
用户中心
学员须知
专家视点
案例分析
 
HOME论坛信息 >> 2011年中天恒内部控制评价软件论坛 之 论坛观潮
  2011年中天恒内部控制评价软件论坛 之 论坛观潮
[来源:中天恒] [作者:信息中心] [日期:12-08-20] [热度:]

 

 

                                                                                      目        录

                                                         一、在内部控制与内部审计2011秋季高峰论坛上的致辞
                                                                     ——中国内部审计协会副会长兼秘书长鲍国明

                                                         二、扎实做好内部控制评价,推动企业内部控制提升
                                                                 ——中国证监会首席会计师 贾文勤

                                                         三、内部控制信息化与信息系统审计
                                                                 ——审计署审计科研所所长崔振龙

                                                         四、以内控评价信息化为切入点推进内部控制信息化
                                                                 ——智远天恒信息技术有限公司董事长、中天恒管理咨询有限公司总咨询师徐荣才

                                                         五、在内部控制与内部审计2011秋季高峰论坛上的致谢
                                                                 ——中天恒会计师事务所董事长高雅青
 

 

内控评价信息化 ——内部控制与内部审计2011秋季高峰论坛
 
      11月1日,由中国内部审计协会主办,中天恒会计师事务所协办的《内部控制信息化——内部控制与内部审计2011秋季高峰论坛》在北京召开,中国证监会会计部主任兼首席会计师贾文勤、审计署科研所所长崔振龙、北京智远天恒信息技术有限公司董事长徐荣才等嘉宾应邀做了主题演讲,吸引了来自全国各地的120余名企事业单位代表与业内专家参加。
 
 
一、在内部控制与内部审计2011秋季高峰论坛上的致辞
        ——中国内部审计协会副会长兼秘书长鲍国明
 
 
 
 

      尊敬的各位来宾、各位朋友,大家早上好!

      在这金秋送爽的美好季节,我们迎来了2011年内部控制与内部审计高峰论坛的召开。在此,我谨代表中国内部审计协会向与会的各位嘉宾表示热烈的欢迎和诚挚的谢意!对中天恒会计师事务所为此次高峰论坛的顺利举行所作出的努力和给予的支持表示衷心的感谢!

      今天论坛的主题是探讨实践中内部审计如何利用信息化手段有效地开展内部控制评价工作,以保证企业内部控制持续有效运行。2010年4月,财政部、审计署等五部委联合发布了《企业内部控制配套指引》,连同此前发布的《企业内部控制基本规范》,标志着适应我国企业实际情况、融合国际先进经验的中国企业内部控制规范体系的基本建成。规范要求,上市公司和非上市大中型企业,应当对本企业内部控制的有效性进行自我评价,披露年度自我评价报告。同时,《企业内部控制评价指引》第12条明确规定,企业可以授权内部审计部门或专门机构负责内部控制评价的具体组织实施工作,这就为企业内部审计部门开展内部控制评价工作提供了法律支持,拓展了内部审计发挥作用的空间,提升了内部审计在企业中的地位。内部审计部门应该主动地与企业融为一体,充分利用良好的外部环境和发展机遇,发挥独特的优势,主动迎接挑战,积极参与企业内部控制体系建设,将内部控制评价作为业务发展的重点,通过深入分析企业内部控制存在的问题和缺陷,提出改进意见、建议和措施,促使企业不断完善内部控制,进而实现内部审计自身价值的提升和凸显。

      信息化的发展,正深刻地改变着企业的经营方式和管理方式。内部审计部门利用信息化手段开展内部控制评价既是现实的要求,也是未来发展的趋势。首先,从内部审计环境的变化来看,随着企业信息化建设的快速发展,电子商务的兴起和无纸化办公的普及使得内部审计环境发生了很大变化,传统审计方式将越来越不能够适应内部审计发展的需要,应用IT技术成为内部控制评价工作的必然趋势。其次,内部控制评价离不开定性与定量的分析,运用信息化手段在一定程度上可以使内部审计部门及时、充分地获取被审计对象的海量数据,进行自动运算和系统分析,运用先进的数据模型和评价方法进行定量分析,更大程度地保证评价结果的客观性。这样既大大提高了效率和效果,同时也降低了审计风险。第三,内部控制活动是一个动态的过程,通过信息化手段开展持续的内控评价,可以帮助企业切实防范风险,不断完善内部控制体系,使其进入良性循环,是提升企业全面风险管理水平的重要举措。

      在此,我们还应清醒的看到,信息化在带给企业巨大发展机遇的同时,也存在着风险,信息系统设计或运行的不合理或技术问题都有可能加大审计风险。因此,企业在进行内部控制评价信息化建设的同时,也要做好信息化系统平台的风险评估和监控,将企业内部IT风险控制纳入日常监管范围,建立良好的IT治理机制,从而保证企业内部审计部门通过信息化手段开展内部控制评价工作的顺利进行。

      总之,面对政府监管的要求和市场竞争的压力,企业开始越来越重视内部控制体系建设,内部审计在完善公司治理、健全内部控制机制,加强风险管理中的职能作用也日益凸显。在良好的发展机遇和发展空间面前,内部审计部门有条件也有能力做好企业的内部控制评价工作。内部审计信息化是今后内部审计工作发展的必然趋势,内部审计部门应该认识到信息化手段在内部控制评价中的重要作用,把内控评价信息化建设自觉纳入企业信息化建设的总体战略规划中。逐步开发应用内部控制评价信息化系统,为内部审计在内控评价工作中进一步发挥重要作用提供强大技术支持和保障。通过信息化推动内部审计工作的创新与发展,为内部审计发挥“免疫系统”功能,促进企业可持续发展作出更大的贡献。

      各位嘉宾,这次高峰论坛我们邀请了科研院所、中介机构以及企事业单位的领导、专家及实务人员汇聚一堂,从理论与实务结合的角度深入探讨和交流目前企业内部审计面临的机遇和挑战,从不同的视角提供内控评价信息化的思路,为促进我国企业内部控制体系建设和内部控制评价技术手段的提升和发展提供理论指导和经验支持。我真诚的希望今天与会的各位嘉宾能够积极参与研讨,进行广泛的交流,为深入开展内部控制评价工作起到很好的推动作用。最后,预祝本次高峰论坛取得圆满成功!

      谢谢大家!
 
 
 
 
二、扎实做好内部控制评价,推动企业内部控制提升
        ——中国证监会首席会计师 贾文勤
 
 
 

      大家早上好!

      非常高兴有机会来参加中国内审协会组织的企业“内部控制评价信息化——内部控制与内部审计”高峰论坛。
 
内部审计职能在企业内部控制体系建设中具有特殊的地位和作用:一方面,内部审计本身就是企业内部控制的一个重要组成部分,按照理论界常用的“三道防线”的说法,内部审计是企业风险管控的第三道防线;另一方面,内部审计职能在内控建设中也扮演着非常重要的角色。内部控制评价是内部控制体系建设当中一个重要的环节,在实践中,这项任务通常会由内部审计部门承担,因为内审人员所具有的专业技能、风险意识以及独立于运营管理的地位,可以有效地保证评价工作的客观性。从这一点来讲,内部控制规范体系的实施是企业内部审计部门全面提升内审工作价值和内部审计工作影响力的良好契机。中国内审协会作为我国内审行业自律管理的全国性组织,在这个时候组织这次以内部控制评价信息化为主题的高峰论坛,可以说是非常及时的,无论是对于促进内部控制规范体系有效实施来说,还是对于推动和促进我国内部审计事业的发展来说,都具有非常重要和现实的意义。 

      考虑到内部审计职能对企业实施内部控制规范体系过程中特别是在监督和评价环节上将要起到的重要作用,我想借今天这个机会,结合这几年来上市公司内部控制建设的情况,特别是今年内部控制规范体系实施和试点的情况,重点跟大家交流和探讨一下以下几个方面的情况和问题:一是上市公司内部控制评价与披露相关工作的情况;二是正确认识内部控制自我评价及信息披露对于上市公司和资本市场的意义;三是上市公司内部控制自我评价以及相关信息披露方面需要注意的几个问题;四是对内部控制评价工作组织与实施的几点建议;五是内部控制规范体系正式实施后,从监管的角度,我们对企业内部控制建设和信息披露监管工作的考虑。

     ( 一)、上市公司内部控制评价与披露相关工作的情况

      证监会非常重视上市公司的内部控制建设,继2005年国务院批准的证监会《关于提高上市公司质量的意见》中明确要求上市公司建立健全内部控制制度之后,证监会不断在技术层面和执行层面从信息披露角度发布措施,强化公司内部控制。2006年,上交所和深交所先后制定并发布了《上市公司内部控制指引》,推动上市公司建设和完善内部控制,要求上市公司开展内部控制自我评价工作,并在公布年报时同时披露内部控制自我评价报告; 2007年证监会修订的《公开发行证券的公司信息披露内容与格式准则第2号<年度报告的内容与格式>》要求,“公司应说明生产经营控制、财务管理控制、信息披露控制等内部控制制度的建立和健全情况,包括内部控制制度建立健全的工作计划及其实施情况、内部控制检查监督部门的设置情况、董事会对内部控制有关工作的安排、与财务核算相关的内部控制制度的完善情况。同时鼓励央企控股的、金融类及其它有条件的上市公司披露董事会出具的、经审计机构核实评价的公司内部控制自我评估报告”。 从2008年开始,上交所进一步明确要求“公司治理板块、境外上市和金融类”三类上市公司必须在披露年报的同时披露内部控制报告,并鼓励聘请会计师事务所对公司的内部控制进行审计。

      从实际执行情况上看,2007年开始,上交所一部分公司和深交所的全部上市公司开始按照交易所的要求,在披露年报的同时,披露内部控制自我评价报告和会计师事务所出具的鉴证报告。从2007年到2010年,两地交易所披露内部控制自我评价报告的公司数量逐年上升。2010年沪深证券交易所主板1378家上市公司中,共有891家年了内部控制自我评价报告,占比64.6%,其中305家披露了内部控制鉴证报告,占披露评价报告总数的34.2%。从监管的结果来看,有关上市公司内部控制自我评价报告和会计师事务所鉴证报告的披露要求对相关上市公司内部控制水平的提高有着明显的促进作用。

      2008年5月22日,财政部、证监会等五部委联合下发了《企业内部控制基本规范》,2010年4月26日,又下发了配套的18个应用指引以及评价指引和审计指引,并要求从2011年1月1日开始,率先在境内外同时上市的公司范围内实施,从2012年1月1日开始,在所有主板市场上市公司实施。内部控制基本规范和相关配套指引一起构成了我们国家的内部控制规范体系的主体,这一体系的建成和实施也标志着我们国家企业内部控制开始进入一个新的阶段。

     作为联合颁布企业内部控制规范体系的五部委之一和率先试点实施内部控制规范体系的上市公司的监管者,证监会在去年基本规范配套指引印发之后,根据五部委对于内部控制规范体系实施工作的整体安排,充分考虑资本市场的具体情况,经过认真研究并与财政部等部委协商后,提出了“坚决导入、稳步实施、步步深入、逐年提高”的内控规范实施原则,以财务报告内部控制为切入点,分步骤、分阶段在上市公司实施内部控制规范体系。除69家境内外同时上市公司外,证监会在公司自愿与各辖区监管机构推荐相结合的原则下,又选择确定了211家主板上市公司作为2011年内部控制规范体系实施的试点单位,这些实施和试点单位,涵盖了不同行业、不同地域、不同规模的上市公司,同时,为积累和总结监管经验,为明年主板上市公司全面实施做好监管准备,我们还选择监管基础较好的深圳辖区进行全辖区试点。从前不久各地上报的材料看,尽管工作中遇到了一些困难和问题,但内控规范体系实施和试点工作整体进展还是比较顺利的。

     ( 二)、正确认识内部控制自我评价及信息披露对于上市公司和资本市场的意义

从公司来说,健全有效的内部控制可以提高上市公司财务报告的有效性;可以保障公司资产安全,减少舞弊事件发生,堵塞漏洞,有效提高风险防范能力,降低公司风险;可以提高公司经营效益及效率,提升上市公司质量,从而保证资本市场的健康稳定发展。对内部控制自我评价及信息披露的相关要求对于督促公司建立和实施有效内部控制有着重要的推动性作用。

      从资本市场来说,随着资本市场的发展和投资者的日趋成熟,投资者在选择投资对象和买卖时点时考虑的因素更加全面,上市公司内部控制和风险管理水平已成为投资者的关注点之一,但普通投资者不可能深入每一个被投资企业去了解其内部控制的设计和执行情况,因为这样做既不经济也不可行。投资者了解企业内部控制情况的一个重要渠道就是企业对外披露的年报中对内部控制建设与实施的描述、内部控制的自我评价报告和会计师事务所出具的鉴证报告。对内部控制自我评价及信息披露的相关要求有利于资本市场透明度的提高和对广大投资者的保护。

      但从前几年沪、深交易所上市公司披露的内部控制自我评价报告来看,在披露信息的充分性和客观性方面还存在一定的问题:一是部分企业没有真实、客观地披露内部控制存在的问题,个别公司甚至在由于内部控制失效造成虚假信息披露,多次被监管机构处罚的情况下,都没有在自我评价报告中披露相关的控制缺陷;二是内部控制评价报告在内容格式和详略程度上差异较大,篇幅最长的达数万字,篇幅短的只有草草几百字。由于信息披露的不客观、不完整以及内容格式的不统一,使得内部控制自评报告及其信息披露对投资者的参考价值,大打折扣。

      产生上述问题的原因是多方面的,其中一个重要的原因是一些上市公司在内部控制评价报告的披露问题上存在着一些认识上的问题(担心),担心如果内部控制评价中发现了控制缺陷并进行了披露,会对公司产生负面的影响,比如股价下跌、市值下降,进而会不会影响到公司的形象以及未来的再融资等;对于国有企业的负责人来说,可能还有一些对于绩效考评方面的顾虑,担心是否会追究领导责任,是否会影响到个人的职业发展等。对于这样的担忧,是可以理解的。但是,如果我们从投资者的角度来想一想,投资者最担心的是什么?是上市公司的信息不透明,不知道上市公司的管理水平到底如何,不知道上市公司未来会发生什么事情。通过披露内部控制评价报告,恰恰可以消除投资者对这方面的担心。即便公司披露的内部控制存在缺陷,投资者可以从企业同时披露的对于缺陷的评价以及整改的具体思路和措施,了解这个企业是如何运作和管理的,使投资者可以对公司的未来作出合理的预期,从而增强对公司的信心。对于国有企业,国资管理部门也是希望下属的企业能够不断提高风险管控能力,提升企业管理水平,而内部控制评价报告所反映出的内部控制的不断优化和完善正是这种提升的一个重要表现。

      此外,我们还可以从美国《萨班斯法案》实施的情况来分析,在实施的前几年,也有相当数量的公司在内部控制自我评价报告和审计报告中披露了公司存在的一些重大内部控制缺陷,这其中不乏排名在福布斯500强和财富2000强的优秀企业。这些内部控制缺陷信息的披露并没有对他们的股价或者公司的价值产生负面的影响。监管者和投资者更关注披露的信息是否客观、充分,对于存在的重大内部控制缺陷上市公司是否采取了有效的纠正措施。

      当然,在这方面,作为市场监管部门的证监会,也会做好对于投资者的宣传教育工作,帮助广大投资者正确理解上市公司披露的内部控制信息,对上市公司信息披露的客观性和真实性作出理性的判断,进而作出正确的投资决策。同时,我们也会加强对内部控制信息披露的监管,加大对虚假披露、故意隐瞒内部控制存在的重大缺陷等行为查处和处罚的力度。

      (三)、上市公司内部控制自我评价以及相关信息披露方面需要注意的几个问题

      一是关于内部控制评价的主体。与美国的《萨班斯法案》要求首席执行官和首席财务官在自我评价报告上签字不同,我们国家的内部控制规范体系中,把内部控制自我评价的责任赋予了公司的治理层及董事会,而不是管理层。因此,企业开展内部控制自我评价工作,要非常清楚评价的主体是公司的董事会而不是管理层,更不是具体实施评价工作的某个部门如内审部。

      董事会承担内部控制自我评价的责任,并不是说所有的评价工作都要有董事会亲自来完成,董事会可以根据情况授权管理层以及指定的部门来协助开展自我评价。从企业的实践来看,相当一部分企业的内审部门成为内部控制自我评价工作的执行部门。客观来讲,内审部门承担内部控制自我评价的具体工作具有一定的优势和好处。内部审计本来就是企业内部控制的重要一环,内审的日常工作就包括了对内部控制有效性的评价和监督,因此内部审计部门承担自我评价的组织实施,可以在很大程度上提高评价工作的效率,降低评价工作的成本,同时内审人员对于风险控制的理解以及独立客观的职业素养也有利于评价工作的有效开展。

      需要提醒大家注意的是,在部分企业中内审部门可能同时还承担了内部控制建设工作的推进任务,这就要特别注意评价工作的独立性问题;还有一点需要强调的是内部控制评价的责任在董事会,评价工作的执行部门只是通过自己的工作为董事会最终作出评价结论提供依据,执行部门不能代替董事会作出内部控制是否有效的判断。

      二是关于内部控制评价的范围。在内部控制自我评价的范围问题上,各个国家的要求也不尽相同。美国的《萨班斯法案》只要求对公司财务报告内部控制的有效性进行评价,而英国的内部控制指南则规定,内部控制的评价不仅是对财务报告的内部控制评价,而且包括了所有的内部控制。

      我们国家的《内部控制评价指引》对内部控制自我评价范围的要求是:按照内部控制基本规范和配套指引的要求,结合企业的内部控制制度,从内控环境、风险评估、控制活动、信息与沟通、监督等五个要素确定评价的具体内容。这一要求实际上是一个“大内控”的概念,要求覆盖的范围包括了与企业战略、运营效率与效果、合规、财务报告和资产安全等目标的所有的内部控制领域。

      考虑到我国企业内部控制的实际状况,证监会在年初制定2011年上市公司内部控制规范体系实施方案时提出了以财务报告内部控制为切入点的指导思想,即上市公司在实施内部控制规范体系时,不要求一开始就把面铺的太宽,而是首先从财务报告内部控制入手,以满足财务报告真实准确完整目标为基本要求,在这一目标达成的基础上,再逐步扩展到企业战略、运营等其他几个目标领域。因此在内部控制自我评价范围的确定上,在实施的初期,上市公司也可以首先以财务报告内部控制为基本的评价范围,然后随着内控体系的不断完善,再逐步扩展评价范围,最终实现对企业内部控制体系的全面覆盖。

      三是关于内部控制评价的标准和方法。内部控制评价的一大难点和挑战就是评价的标准,也就是内部控制缺陷的认定和内部控制有效性的认定这两个问题。在缺陷认定标准上,由于公司所处行业、经营规模、发展阶段、和风险偏好等存在着差异,无论是美国还是其他国家,监管机构都没有制定统一的标准,而是要求公司根据相关规范,结合公司实际,从定量和定性的角度综合考虑,研究确定适合本公司的内部控制重大缺陷、重要缺陷和一般缺陷的具体认定标准,但这一标准需要在评价报告中加以披露。就财务报告内部控制领域,目前注册会计师业界在开展内部控制审计时,基本形成了一套相对统一的评价标准,企业在开展内部控制自我评价时,可以和审计师就此标准问题进行充分的沟通并达成共识。

      基于财务报告内部控制的评价方法对不同的公司可能有不同的考虑,评价主体不同也会导致目的和需求各有差异,因此各个企业对内部控制评价的具体内容和方法也不可能完全一样。但无论如何,董事会对内部控制的评价必须包括对内部控制设计合理性和执行有效性两个方面的评价。当然,为提高上市公司内部控制评价的可操作性和不同上市公司内部控制水平的可比性,也需要对内部控制的评价逐步建立一套相对统一的标准和方法。证监会将会同财政部等部委,及时总结内部控制评价实践中的经验,并借鉴国际上的领先实践,逐步探索为公司提供相对统一的内部控制评价标准和评价方法,对内部控制评价与报告提供实践指导。

     (四)、对开展和实施内部控制自我评价工作提出几点建议

      首先,是要充分认识到内控评价工作的难度。要努力争取公司董事会和管理层对内控评价工作的支持,包括在舆论上和资源上的支持。要切实做好评价工作的组织、协调和配合工作。尤其是在第一年开展内控评价工作时,大家都没有什么经验,加上评价工作通常都是时间紧、任务重,要高质量完成评价工作,对于承担评价工作的部门来说是一个巨大考验和挑战。其次,在评价过程中,对存在的缺陷问题要做到不遮掩、不隐瞒,要跳出专业限制,从公司高度思考问题,从流程角度来解决评价中发现的问题,做好与相关业务部门的沟通、协调。第三,对评价中发现的问题要及时进行整改。评价本身并不是目的,通过评价发现工作中存在的漏洞和缺陷,尽快对差距和漏洞进行弥补,这是内部控制评价的最终目的。第四,要认识到内部控制体系建设一项长期的工作,需要持之以恒的决心和坚持,从而不断提高公司的风险控制水平和整体管理水平。

      (五)、证监会对上市公司内部控制建设和信息披露监管工作的考虑

      就2011年上市公司内部控制信息披露工作,证监会在3月份的时候曾经专门下发了一份监管问答,对此做了明确的说明。有关的具体内容我这里就不详细展开来讲,只是简单强调几点,一是信息披露的范围界定在财务报告内部控制领域;二是除了在年报中披露相关内部控制建设及运行状况的信息外,还必须披露董事会的内部控制自我评价报告以及注册会计师的内部控制审计报告。需要注意的是注册会计师的审计报告不是对董事会自我评价报告的鉴证,而是对公司财务报告内部控制本身的审计报告。三是要注意评价报告的内容宜简不宜繁,突出重点,保证评价报告的可读性。

      证监会及各辖区派出机构将进一步加强对上市公司内部控制建设和信息披露的日常监管工作。目前证监会企业内部控制实施工作小组正在制定一套内部控制实施和评价工作的监管规程,来指导监管人员的日常监管工作,提高监管工作的效率和质量。我们也在和有关部门一起研究对于在内部控制信息披露中造假、故意隐藏内控缺陷等行为的惩罚措施。包括必要的行政处罚措施。

      同志们,实施企业内部控制规范体系,加强上市公司内控建设,提升上市公司质量,对于建立和完善多层次的资本市场意义重大而任重道远。内部控制规范体系的实施需要公司自身、监管机构以及内审协会这样的行业自律管理机构的多方参与和共同努力,上市公司是中国经济运行中具有发展优势的群体,是资本市场投资价值的源泉。我们希望,通过企业内部控制规范体系的实施,能够促进上市公司内部管理和财务报告信息质量的进一步提升,并在此基础上提升我国资本市场的国际竞争力、促进我国资本市场的持续健康发展。同时也通过资本市场的实践和探索为我国企业内部控制规范体系的全面实施积累经验,为国民经济发展做出更大的贡献!

      感谢中国内审协会以及大家对于中国资本市场发展所作出的努力。谢谢大家,祝大家身体健康、工作愉快!
 
 
 
 
三、内部控制信息化与信息系统审计
        ——审计署审计科研所所长崔振龙
 
 
 

      背景(一)
 
 
 
背景(二)

 企业信息化整体水平在不断提升

      据国家信息化测评中心对2008年度中国企业信息化500强的调查(以下简称调查)结果显示,我国信息化500强企业整体信息化水平进步明显,其中34.5%达到中等发达国家水平,6.4%居于国际领先水平。入选信息化500强的企业中,有12家是世界500强企业,174家企业是中国500强企业,信息化500强覆盖了国民经济的骨干成分。

背景(三)
  企业信息化处于由基本设施建设向深化应用的转型期
      我国企业信息化开始由重技术应用向重企业能力、重商业价值的方向发展。调查显示,75.2%的企业软件与服务占企业信息化投资比例超过30%,45%的企业超过50%。这表明大部分企业信息化基础设施建设基本完成,开始以信息系统应用为重点。80%的企业信息系统已经覆盖了人力资源管理、财务管理、资产管理,其中财务管理更是达到了100%。信息系统覆盖监察审计、风险管理、战略管理的企业的比例均超过40%。这说明,企业更加关注如何通过信息化构建企业能力。

背景(四)
     
      风险管理和安全保障成为企业信息化建设的关注点

      随着我国企业信息化建设的进一步深入,金融、电信等行业的IT基础设施建设、核心应用系统建设已基本完成,IT运维服务管理成为企业信息化的重点关注领域之一。在萨班斯法案影响下,开展IT审计,加强企业内部控制管理的企业逐渐增多,信息安全正成为企业信息化的关注问题,而如何把握信息化的风险依然是企业信息化建设的重要问题。

业务控制和 IT 控制
      企业的内部控制系统在以下三个层次上影响 IT:

在管理层面:
      设定企业目标、制定政策、作出关于如何部署和管理企业资源以执行企业战略的决策。董事会确定治理和控制的整体方式并在企业范围内贯彻。IT 控制环境亦受到这些高层目标和政策的控制。
 
在业务流程层面:
      控制具体的业务活动。许多业务流程是自动化的并与IT 应用系统进行了整合,导致这个层面的许多控制也是自动化的,这些控制被称为应用控制。然而,业务流程中的部分控制仍保留了手工操作,如:交易授权、职责分离和手工核对,因此,业务流程层面的控制是业务人员手工控制与自动化应用控制相结合,虽然应用控制需要IT 职能予以支持进行设计和开发,但两种控制的建立和管理都是业务部门的职责。

技术支持层面:
      为支持业务流程,IT 通常采用共享服务的方式为许多业务流程提供IT 服务,因为许多的IT 开发和操作流程需提供给整个企业,并且大多数的IT 基础设施是公用的(如,网络、数据库、操作系统和存储)。

IT 一般控制和应用控制
 
一般控制是指那些嵌入到 IT 流程和服务中的控制,例如:
      系统开发;
      变更管理;
      安全;
      系统日常运营。
嵌入到业务流程应用系统的控制通常称为应用控制。例如:
      完整性;
      准确性;
      有效性;
      授权;
      职责分离

流程控制(一)
 PC1 流程目标
   为每个 IT 流程的有效运行制定并传达具体的、可衡量的、可操作的、可实现的、面向结果的和及时的流程目标,确保这些目标与业务目标相关联并采用恰当的衡量指标。
 PC2 流程所有关系
   为每个 IT 流程指定所有者并明确其角色和职责。例如可包括:流程设计职责、与其它流程的交互、对最终结果负责、流程绩效测评和识别改进机遇等。

流程控制(二)
 PC3 流程复用性
   设计并建立每一个关键 IT 流程使之能复用并始终产生一致的预期结果,制定一个合乎逻辑但灵活、可伸缩的流程步骤以达到期望结果,并能快速处理例外情况和紧急事件。尽量使用一致的流程,仅在必要时对流程进行裁剪。
 PC4 角色和职责
    确定关键活动和流程所产生的最终结果,分配并传达明确的角色与职责,以有效果、高效率地执行关键活动并进行记录,同时对流程结果负责。

流程控制(三)
 PC5 政策、计划和程序
    制定并贯彻运行 IT 流程相关的所有政策、计划、程序是如何记录、检查、维护、审批、保存、传达和用于培训的。为每一项活动分配职责并在适当的时间检查其执行是否正确。确保政策、计划和程序是可获取的、正确的、可理解的和最新的。
 PC6 流程绩效改进
    制定一系列衡量指标来监控流程结果和绩效,设立能反映流程目标和绩效的目标值以实现流程目标。确定如何获取数据,比较实际结果与目标值并在必要时纠正偏差,使衡量指标、目标和方法与IT 整体绩效监控方法保持一致。

应用控制目标(一)
 AC1 源数据准备和授权
    确保由经过授权的和合格的人员遵照既定流程准备源文件,并充分考虑文件创建与审批的职责分离;良好设计的输入格式可减少错误和疏忽;检查输入错误和例外,报告并加以纠正。
 AC2 源数据收集和录入
   确保经过由授权的合格人员及时录入数据;输入错误数据后的纠正和再次提交应不违背原始交易的授权等级;为能够重建把原始文件保留一段恰当的时间。

应用控制目标(二)
 AC3 准确性、完全性和真实性检查
   确保交易是准确、完全和有效的,尽可能在靠近数据源的位置验证所输入、编辑或返回纠正的数据的有效性。
 AC4 处理的完整性和有效性
   在整个处理周期保持数据的完整性和有效性,在不中断合法交易的处理过程中检查错误交易。

应用控制目标(三)
 AC5 输出的检查、核对和错误处理
   建立控制程序和制定相应的职责来确保输出的处理是经过授权的,传送给适当的接收人,在传输时提供保护;验证、检查和纠正输出的准确性;并运用所输出的信息。
 AC6 交易真实性和完整性
    在内部应用系统和业务/运行功能(企业内部或外部)之间传递交易数据之前,检查并适当落实数据源的真实性和内容的完整性,在传输或迁移过程中保持真实性和完整性。
信息系统审计的内容

(一)会计信息可信性审计
(二)企业信息系统绩效性审计
(三)企业信息系统安全性审计

      会计信息可信性审计的内容

      1.关键业务流程的确定。通常关注企业核心业务,或根据财务报表分析结果,选择对财务报表具有重大影响的各类交易或业务,或占用企业最多资源的活动。 
      2.对业务流程的审计。主要包括:评估业务流程中相关IT控制的有效性,检查是否存在薄弱环节和风险点;评估信息系统数据与业务流程的吻合情况。

      企业信息系统绩效性审计

    (1)业务和IT的契合度。
    (2)项目管理。
    (3)IT项目方案准备。
    (4)组织和流程再造管理。
    (5)后期实施。

     企业信息系统安全性审计

 ( 1 )信息系统风险管理审计
 ( 2 ) 信息系统安全风险审计
 ( 3 ) 信息系统外包服务审计
 ( 4 )网络和信息传输审计
 ( 5 )业务持续性审计

    我国企业信息化建设存在的问题

 信息系统缺乏或规划不合理,造成信息孤岛或重复建设,导致企业经营管理效率低下;
 系统开发不符合内部控制要求,授权管理不当,可能导致无法利用信息技术实施有效控制;
 系统运行维护和安全措施不到位,可能导致信息泄漏或毁损,系统无法正常运行,其中最主要的问题是信息技术与企业策略之间的脱节。
 企业信息化建设的效益不是很高,信息化能力不强,信息化与工业化融合、信息技术与管理的融合、信息化战略与企业战略的融合以及信息化模式与企业商业模式的融合等层次不高,在引领产业变革、转变经济结构、提高国家竞争优势的能力方面仍有很大差距。
 
 
 
 
 
四、以内控评价信息化为切入点推进内部控制信息化
        ——智远天恒信息技术有限公司董事长、中天恒管理咨询有限公司总咨询师徐荣才
 
 
 

〈一〉信息化是内部控制发展的不二选择

      企业内部控制的三大“难”

      基本规范及其配套指引的颁实施,标志着内部控制建设成为一种强制性要求,为满足监管要求,更为提升企业的管理水平,许多企业都在大力推进内部控制体系建设。但实践中,内部控制体系建设面临三大难:

      (一)建设难。如何才能建成既能有效防范和控制风险,又能保证业务的高效运行的内部控制体系;如何才能解决内部控制的落地问题;如何实现内部控制与各种管理体系的融合;如何保证以较低成本完成内控体系的建设。

      (二)执行难。如何保证内部控制得到有效的落实,而不是流于形式。
  
      (三)考核难。如何将内部控制与考核挂钩,以确保内部控制体系得到有效实施,并不断得到完善。

      内部控制,为什么那么“难”?

      (一)内部控制本身的复杂性(特定的逻辑、方法和工具等);

      (二)企业业务和管理千差万别;

      (三)企业相关人员缺乏内控方面的专业培训;

      (四)受职业道德水平、趋利动机等的影响,存在有意规避或逾越内部控制的情形。

      信息化——破解内部控制难题的一把钥匙

      (一)信息化有利于提高内控的标准化;

      (二)信息化有利于提高内控建设、执行和监督的效率;
 
      (三)信息化有利于降低内控的实施成本;

      (四)信息化有利于解决内控执行受人为因素的影响问题;

      (五)信息化有利于解决风险监控和预警的实时性和动态化。

〈二〉内控信息化的整体框架
 
       内控建设信息化:

      (一)对于企业而言,内控建设往往具有一次性的特点,因而内控建设信息化不具经济性;

      (二)对于咨询机构来说,内控建设信息化具有降低成本、提高效率的效果,但由于内控建设的复杂性和不可复制性,造成内控建设标准化较为困难,因而内控建设信息化难度甚大。

      流程管控信息化:
      对于企业而言,流程管控的信息化已经成为必然趋势,也是内控信息化的核心所在。
      这是目前许多企业正在做的和下一步努力做的。
      内控管理信息化:
 
   
系统架构
用户访问层
功能模块
体系架构模块
防火墙
风险辨识评估模块
核心功能逻辑层
风险应对模块
基础服务层
内控流程模块
数据库
内控评估与考核模块
底层应用
监控预警模块
 
综合报告模块
 
风险管理诊断模块

 

 

内控评价和审计信息化:

      (一)解决内控评价和审计人员对于内控评价如何操作的问题;
      (二)提高内控评价与审计的质量问题;
      (三)提高内控评价与审计的效率,降低评价与审计的成本。   
  
内控评价信息化——内控信息化的切入点

      (一)法定的现实需求
      (二)企业管理的内在需求
      (三)内控评价中的现实难题       

〈三〉内控评价的现实难题与信息化解决方案

      内控评价主体

      (一)内控主管部门
                内部审计部门
                内控部或风险管理部
                财务部
                其他综合管理部门

      (二)内控实施部门
               企业内部各部门

      内控评价中的现实难题

      由于目前大多数企业并没有完成内控系统设计工作,因而大多数内控评价人员,无论是内控主管部门还是其他部门人员,都面临着如下三个难题:
      (一)内控评价到底应当评价什么?
      (二)内控评价到底如何评?
      (三)内控报告如何编写?

      目前相关软件的缺陷

      目前在市场上已经出现了几款内控评价软件,这些评价软件存在着如下两个方面的通病:
      (一)评价软件过于复杂,学习和操作困难;
      (二)只是把内控评价流程软件化,没有解决评价人员普通关心的现实困难。

      内控评价信息化的三大原则

      (一)标准先行原则。即信息系统必须提供内控标准,从而为内控评价奠定基础。
      (二)以评促建原则。即以评价促进内控体系建设的原则,内控评价必须与缺陷整改、内控考核挂钩。
      (三)简明实用原则。根据内控评价人员对信息化普遍不是很精通的特点,要求内控评价软件必须易学易用,不能过于复杂。

      内控评价信息化的逻辑思路:

      (一)首先明确评什么
      内控要素选择(五要素)——业务流程选择——控制点和控制措施——评价点

      (二)其次明确如何评
      内控评价方法有两种:
           一种是就事论是式评价;
           二是综合评价。

      (三)最后确定评价报告如何写
           如何编写内部控制评价报告。

      (四)如何实现内控的完善
           如何对缺陷进行整改,如何跟踪缺陷整改的效果。
 

〈四〉内控信息化的基本架构

      内控评价信息系统的核心内容应当由三部分构成,即评价作业、评价报告和缺陷追踪:

      (一)评价作业,应当包括任务的构建、评价测试和评价汇总三个部分,其中,任务构建主要是明确评什么、如何分工、何时完成等;评价测试关注对评价点如何进行测试、评分;评价汇总关注评价结果如何进行汇总。
      (二)评价报告,主要解决如何起草内部控制评价报告。
      (三)缺陷追踪关注对于发现的内控缺陷如何进行分析,评价,如何安排整改计划,如何检查整改落实情况等。

      3C内控评价软件简介

      3C内部控制软件是基于中天恒管理咨询公司八年内部控制咨询经验,在系统整理一百四十多家企业内部控制设计与评价咨询成果的基础上开发而成的,它   
      解决了内控评价的三大难题:

      (一)内控评价到底评什么;
      (二)如何针对每一个评价点进行具体的测试与评价;
      (三)如何采用综合评分的方法对不同单位的内控进行横向比较。

     现已完成:单机通用版
     下一步拓展:

     (一)定制服务
     (二)集团版
     (三)3C内控审计软件
 
 
 
 
五、在内部控制与内部审计2011秋季高峰论坛上的致谢
         ——中天恒会计师事务所董事长高雅青
 
 

      各位领导、各位来宾,同仁们:
      在这里,请让我首先感谢审计署、证监会和中国内审协会领导给予本次峰会的高度重视和关怀。

      感谢中国证监会首席会计师贾文勤女士在大会中作的重要讲话。

      感谢审计署科研所所长崔振龙先生为我们作了一个生动的专题报告。

      感谢中天恒管理咨询公司总咨询师、智远天恒董事长徐荣才先生为我们带来了思想革命的盛宴。

      今天来参加峰会的有国家机关、企事业单位主管内部审计工作的领导,有长期从事内审、财务、风控部门的负责同志。还有长期以来给予中国内审协会、中天恒事业发展巨大支持的广大客户。对于你们的到来我仅代表中国内审协会、中天恒全体员工表示中心的感谢!

      中国内审协会和中天恒举办的高峰论谈至今已经举办了10多次了,其目的就是用实际行动报答社会,回报一直以来支持我们工作的各级领导和我们的同行们。

      “内控评价信息化——内部控制与内部审计”2011高峰论坛,在中国内审协会、审计署和中国证监会的亲切关怀下,在与会同仁们的共同努力下,取得了可喜的成果。

      举办这次峰会是我们内审工作者解读十二五规划,勇于创新,吹响广大内审工作者率先实现内控评价信息化的启蒙号角!

      当前企业内控评价信息化已经进入改革的攻坚阶段,能否率先实现信息化建设,面对机遇和挑战,与会领导和专家们提出了新的要求和殷切的希望。他们的讲话和发言,给予了我们极大的鼓舞和鞭策。
 
      此时此刻,我想起了乔布斯的那句名言人活着就是为了改变世界。

      同仁们,我们即将进入一个关键的历史发展时期,回顾过去,令人鼓舞;展望未来,令人振奋!我们的使命艰巨而光荣,我们任重而道远。

      谢谢大家!
 

 

技术支持:博洛建站 | 中天恒版权所有 Copyright © 2010 ALL rights reserved
员工天地 友情链接 企业邮局 联系我们