试论企业内控管理的ＩＴ应用要点.docVIP

试论企业内控管理的ＩＴ应用要点 　　内容摘要：《 企业 内部控制基本规范》作为 现代 企业管理的重要依照标准，于2009年7月在上市公司中实施。本文提出了推进企业内控管理建设的三个阶段性目标、内控规范需求对应的IT应用和实施原则，以及对应基本规范提出的控制活动的软件应用方案。 　　关键词：内控管理 IT应用 　　 　　内控和风险管理必须以IT技术为基础 　　 　　内控和风险管理是企业 发展 战略、战略执行的一个核心组成部分。很多大的企业由于内控和风险管理缺陷，出现了很多问题。因此，从企业内部自身来讲，需要一个系统性规范来建立企业内部的风险管理体系。我国的财政部联合五部委于2008年 5月发布了《企业内部控制基本规范》（以下简称“基本规范”），并于2009年7月在上市公司实施。 　　本次出台“基本规范”的意义在于：将内控和风险管理界定为一个长期管理的规划。而这个规划的实施不能一蹴而就，必须从企业整体发展的角度加以设计和实施；“基本规范”所界定的管理是全员参与的过程，它不是一个部门或一个管理领域体系所能够单独来完成的；“基本规范”是一个完整的系统，其中的各个部分一定是可操作、可运行的体系机构；“基本规范”一定是可计量、可定型的过程；“基本规范”是一个企业管理思想和技术手段结合的系统。 　　总之，“基本规范”是将从企业内部管控开始，逐步在企业实现由内部控制管理向全面风险管理转化，最终建立能使企业平稳运行的管理机制和企业文化。 　　企业内部控制是由五个要素组成的，即控制环境、风险评估、控制活动、信息与沟通和监控。五要素中，各个要素有其不同的功能，内部控制并非五个要素的简单相加，而是由这些相互联系、相互制约、相辅相成的集合，按照一定的结构组成的完整的、能对变化的环境做出反应的系统。 　　在这样一个意义非凡的管理系统整体建设中，应该如何构建内控管理体系，使其真正能够建有成效？有关方面的人士认为：内部控制的五大要素中，控制环境是基础，控制活动是重点，最重要的是在基层的实施。因此，内部控制的关键在于企业基层的业务活动中构建控制环境，并在业务活动中有效执行控制活动。众所周知，基于IT技术的企业信息化管理平台是现代企业管理主要运行环境，所以，控制环境必须依此平台来构建。 　　 　　内控和风险管理必须分步建设 　　 　　企业在内控和风险管理实施过程中，不仅是一个硬件环境和运行环境建设的过程，更多的是理念和工作习惯的改变过程，从内控管理体系构建的终极目标来看，必须从基础开始细致而扎实地开展分阶段的建设。依据信息化建设的经验，笔者认为内控管理体系的建设应该分三个阶段进行： 　　第一阶段为监督管理阶段，本阶段的目标是建立面向内外部合规要求，信息化、透明化的风险管理，实现对关键风险监督；第二阶段为内控融入业务管理阶段，本阶段目标是建立面向运营过程的，日常化、体系化的风险管理，实现关键过程控制；第三阶段为全面风险管理阶段，目标是建立以战略为核心、以内控为基础、以集团管控为手段的全面风险管理体系，实现稳健运营的风险管理。 　　目前对于广大企业来讲，第一步首先做到的是合规，在合规的过程当中，意味着企业的内控部门，内控管理者要对自己企业的经营管理信息做到心中有数，这是一个信息平台的建立和透明化的过程。第二个阶段是把控制过程融入业务管理过程的阶段，就是将内部控制点与企业的业务系统完美地整合在一起。第三个阶段是为企业的战略发展而提供支持，在IT建设层面，以战略和发展为导向的绩效管理、预算管理与风险控制结合起来，从根本上控制可能遭遇的经营风险。 　　 　　满足内控和风险管理需要的IT实施原则 　　 　　实施符合“基本规范”的内控和风险管理需要IT提供应用和技术的保障，使其能够帮助企业让内控和风险管理理念、规则具体进行管理的实施。换言之，IT技术仅仅能为内控和风险管理提供基本的手段，能否有效实行内部控制和风险管理，一定要有具体的应用方案实施标准。目前有许多管理软件应用于企业管理的各个环节之中，但如何才能达到“基本规范”中的内控和风险控制的要求。因此，基于IT的管理系统必须依照以下两类原则来构建符合“基本规范”的内控环境，以及在此之上开展融入业务活动中的内控活动。 　　满足“基本规范”应用要求的原则。可行性：将内控要素和关键控制点与业务流程管理整合，在执行业务活动中实现内控；可控性：实现内控体系与预算、集团管控体系整合；可视性：内控执行过程和效果可查询、可评价。 　　满足“基本规范”技术要求的原则。能够安全、稳定、运行可靠；能够进行工作流和权限控制；能过集成、扩展、并满足个性化应用需求；能够支持分步建设；能够进行多维数据智能分析，并可作为信息门户。 　　在管理软件中构建内控管理环境的要点 　　 　　本着IT保证