做好计算机系统总体控制

 

        内控流程最终要嵌入计算机系统，第一要务就是搭建计算机系统总体控制平台。

 

        天职国际会计师事务所管理咨询部高级项目经理朱耿斌告诉《中国会计报》记者，在搭建计算机总体控制平台时，可以分如下步骤来开展。

 

        在充分地了解企业计算机整体环境，包括信息化规划、组织架构、各类信息化管理制度、职责分工、人力资源等基础上，首先分析企业所处的风险，特别是IT风险，然后结合当前IT风险管理的标准，制定企业的IT风险管理框架及详细建设方案。

 

        结合识别的IT风险，建立一系列控制措施。可以从以下几个方面考虑：从信息化的基础环境着手，包括企业是否制定了完善的信息化规范和制度、是否有合理、清晰的组织架构以及是否对相关人员的职责进行明确定位。在考察和分析的过程中，要求企业建立信息化管理制度、系统运行维护制度、信息化安全制度等。

 

        信息系统升级对企业来说或许是家常便饭，部分企业习惯到网上下载程序或补丁，这可能给企业带来风险。朱耿斌强调，内控就是要防范风险，因此，企业信息化部门要做好系统变更的准备，确认变更需求是否由相关需求部门提出，是否得到用户部门的认可和测试。

 

        很多时候企业将面临新的业务规划，要重新进行业务层面的规划，这时需要信息系统支持，信息化部门就要致力于分析项目流程和信息化控制是否匹配，根据成本效益原则判断投资预算是否合理。在整个项目建设过程中，要符合内控的要求，做一份UAT报告（用户接受测试报告）就显得非常必要。

 

        另外，确保计算机系统正常、不间断的运行是信息化部门的首要职责。建立一套合适的运维规程很有必要，比如对相关数据的备份、故障处理应急预案，以及灾难恢复计划等。

 

        当整个企业的内控都交给计算机系统，安全问题就成了计算机系统总体控制的核心。

 

        “企业在推进内控的信息化建设时，应确保整体环境的安全，特别是应用系统、操作系统、网络和数据库这四个层面的安全可靠。”朱耿斌说。

 

        朱耿斌反复强调，信息安全控制是重中之重。当系统更新或者项目更新后，需要进行上线测试。在体系运行过程中，与具体控制实施人员进行沟通，结合众多的反馈意见，对信息化系统进行不断地优化，以更加适应内控乃至管理的需要。

 

        两部门合力打造内控流程

 

        内控信息化需要把内控要求和控制方法转移到信息系统中去，信息化部门和内控部门这两个部门必须一起合作，才能打造适合企业需要的内控流程。

 

        在实际工作中，经常出现两条线：内控部门关注如何建立企业的内控体系，在不同的业务流程中增加控制措施；而信息化部门执着于如何将计算机系统建设得更加完善、业务功能更加丰富，很少关注内控方面的要求。

 

        一位业内人士认为，信息化部门不能盲目根据软件的标准管理系统设计控制流程了事，要有可操作性、让信息化管理人性化，就需要内控部门对内控流程的梳理越细越好。

 

        在梳理内控流程时，由内控牵头部门组织可以走两条路径：一条路径是自上而下地梳理。内控是为了企业管理服务，企业管理层从管理视角梳理风险控制点；另一条路径是自下而上地梳理。根据内控自评机制，企业可以激励员工充分暴露业务流程中的问题，并对业务流程的风险控制点提出修改意见或者对流程再设计。

 

        在对业务流程进行梳理时，内控部门和信息化部门都应明确内控的目标，并结合实际需求对业务流程进行细化。

 

        如对采购业务的价格管理，如果企业采取比价采购，保持2家-3家的供应商，那么，内控部门应该向信息化部门清楚地表达内控要求，如给价格管理机构授权，控制采购量，在采购付款方面要求比例付款的话，要设置在上旬、中旬、下旬付款时的不同付款比例，将相关的制度和流程通过信息化系统来进行控制和体现。