内控流程设计是企业内控体系建设中的难点。在企业信息化环境下,如何设计企业信息化内部控制流程将是一个值得探讨的问题。
做好计算机系统总体控制
内控流程最终要嵌入计算机系统,第一要务就是搭建计算机系统总体控制平台。
天职国际会计师事务所管理咨询部高级项目经理朱耿斌告诉《中国会计报》记者,在搭建计算机总体控制平台时,可以分如下步骤来开展。
在充分地了解企业计算机整体环境,包括信息化规划、组织架构、各类信息化管理制度、职责分工、人力资源等基础上,首先分析企业所处的风险,特别是IT风险,然后结合当前IT风险管理的标准,制定企业的IT风险管理框架及详细建设方案。
结合识别的IT风险,建立一系列控制措施。可以从以下几个方面考虑:从信息化的基础环境着手,包括企业是否制定了完善的信息化规范和制度、是否有合理、清晰的组织架构以及是否对相关人员的职责进行明确定位。在考察和分析的过程中,要求企业建立信息化管理制度、系统运行维护制度、信息化安全制度等。
信息系统升级对企业来说或许是家常便饭,部分企业习惯到网上下载程序或补丁,这可能给企业带来风险。朱耿斌强调,内控就是要防范风险,因此,企业信息化部门要做好系统变更的准备,确认变更需求是否由相关需求部门提出,是否得到用户部门的认可和测试。
很多时候企业将面临新的业务规划,要重新进行业务层面的规划,这时需要信息系统支持,信息化部门就要致力于分析项目流程和信息化控制是否匹配,根据成本效益原则判断投资预算是否合理。在整个项目建设过程中,要符合内控的要求,做一份UAT报告(用户接受测试报告)就显得非常必要。
另外,确保计算机系统正常、不间断的运行是信息化部门的首要职责。建立一套合适的运维规程很有必要,比如对相关数据的备份、故障处理应急预案,以及灾难恢复计划等。
当整个企业的内控都交给计算机系统,安全问题就成了计算机系统总体控制的核心。
“企业在推进内控的信息化建设时,应确保整体环境的安全,特别是应用系统、操作系统、网络和数据库这四个层面的安全可靠。”朱耿斌说。
朱耿斌反复强调,信息安全控制是重中之重。当系统更新或者项目更新后,需要进行上线测试。在体系运行过程中,与具体控制实施人员进行沟通,结合众多的反馈意见,对信息化系统进行不断地优化,以更加适应内控乃至管理的需要。
两部门合力打造内控流程
内控信息化需要把内控要求和控制方法转移到信息系统中去,信息化部门和内控部门这两个部门必须一起合作,才能打造适合企业需要的内控流程。
在实际工作中,经常出现两条线:内控部门关注如何建立企业的内控体系,在不同的业务流程中增加控制措施;而信息化部门执着于如何将计算机系统建设得更加完善、业务功能更加丰富,很少关注内控方面的要求。
一位业内人士认为,信息化部门不能盲目根据软件的标准管理系统设计控制流程了事,要有可操作性、让信息化管理人性化,就需要内控部门对内控流程的梳理越细越好。
在梳理内控流程时,由内控牵头部门组织可以走两条路径:一条路径是自上而下地梳理。内控是为了企业管理服务,企业管理层从管理视角梳理风险控制点;另一条路径是自下而上地梳理。根据内控自评机制,企业可以激励员工充分暴露业务流程中的问题,并对业务流程的风险控制点提出修改意见或者对流程再设计。
在对业务流程进行梳理时,内控部门和信息化部门都应明确内控的目标,并结合实际需求对业务流程进行细化。
如对采购业务的价格管理,如果企业采取比价采购,保持2家-3家的供应商,那么,内控部门应该向信息化部门清楚地表达内控要求,如给价格管理机构授权,控制采购量,在采购付款方面要求比例付款的话,要设置在上旬、中旬、下旬付款时的不同付款比例,将相关的制度和流程通过信息化系统来进行控制和体现。