信息化环境下企内部控制框架研究2015.pptVIP

理论基础 战略管理理论 信息化管理理论 COSO COBIT 一、株钻公司信息化现状 公司在2001年设立初始便选择上线了BAAN系列的ERP系统，整合了生产、库存、销售和后勤模块，财务模块单独使用的是用友系统，模块之间未进行整合，未实现生产、库存、销售、后勤数据的整合和共享，在生产和企业日常运营过程不能自动生成财务数据。 因此从建厂期初的ERP系统分为两个部分，一部分为BAAN系列的ERP系统，另一部分为财务方面的用友公司的ERP系统。 ——以株钻公司为例 内部控制信息化战略 COBIT 5治理和管理 的关键领域 评估 治理 管理 计划 构建 运营 监控 管理反馈 指导 监控 COBIT是 ISACA（信息系统审计和控制联合会）制订的面向过程的信息系统审计和评价的标准。是一个基于IT治理概念的、面向IT建设过程的IT治理实现指南和审计标准。 发展概况 公司拥有当今世界先进的生产工艺技术，拥有一支强大的科研开发队伍，具有世界一流的刀具生产线，并成立了集科研、应用研究为一体的研发中心。目前处于我国刀具产业的龙头地位，自主研发并掌握国内刀具行业所有的先进专利技术。 株钻公司隶属关系 中国五矿股份有限公司 湖南有色金属控股集团有限公司 株洲硬质合金集团有限公司 株洲钻石切削刀具股份有限公司 公司于2007年6月上线了SAP A1 ERP和WEB网站、刀具生产工艺质量系统、刀片生产工艺质量系统、模具管理和BI系统；全部系统以SAP ERP为核心引擎进行集成，形成覆盖企业信息化三级、四级和五级的完整系统。 通过系统的实施，企业打通了采购、生产、销售的整个业务过程，实现了业务与财务的集成； 保证企业可以更快的把握市场需求，加快整个供应链的反映速度，不仅降低了成本还精简了冗余的操作。 株钻的信息管理系统已经覆盖了企业的所有流程，管理的范围基本上已经涉及企业的所有供需环节，实现了供应链的全面管理。 （一）不重视内部控制环境 对于信息化建设应当着重对信息化的理解，应将对信息技术的期望提升到企业整体战略的高度，信息技术已经逐步融入到企业的日常经营、战略制定、日常办公等企业场景当中。 而在株钻公司中，只在日常经营和日常办公中利用了信息技术，只是利用信息技术达到了“延长”人的手臂，并且做到信息化所带来的“扩展”人的大脑。 而在企业文化方面，企业文化相对薄弱，实际载体建设缺乏。由于企业成立时间较短，文化积淀较少，加上企业最近十年处于高速发展阶段，企业文化方面的建设力度不够。 尤其是企业的内部控制文化。 二、株钻公司内部控制现状及问题 （二）没有有效的风险控制体系 1、公司风险意识薄弱 没有成立风险管理专门机构。虽然株钻现已是集研发、生产、销售于一体的综合切削工具供应商和基地，在国内同行业中稳居龙头，但是其所面临的国内外的竞争也是激烈的。虽然公司管理曾意识到风险的存在，并极力开拓市场来减少系统风险，但并没有建立一套科学合理的风险评估体系来识别、评估、归避风险。 2、没有建立有效的信息系统风险应急机制 株钻公司目前的日常经营都是依托SAP系统进行的，因此一旦系统中一个环节出现了问题，就会给企业的运营带来不便。 比如说株钻公司在进行CRM系统试运行时，由于两者数据在一些方面还无法兼容，在CRM系统中向SAP传送数据时，导致了SAP系统的瘫痪，公司在两天内无法进入系统，所有业务回到了纸质时代。 （三）控制活动未针对信息化环境进行改变 1、信息系统控制管理不健全 一是系统的高度集成，如果这个数据库的安全性能不高的话，那有心之人可以很轻易的获取企业的经营数据。 二是株钻公司没有专业的IT审计人员根据株钻公司的信息化环境的实际情况对信息化建设中内控机制的有效性和信息系统的安全性进行评价，缺乏从企业信息化的视角提高组织内部控制的自我意识。 2、控制活动容易出现漏洞 公司在进行信息化建设之前，没有对各部门进行需求分析，根据信息化环境对其流程进行更新，也没有深入研究如何进行流程重构，而由于在信息化条件下，企业的许多流程发生了变化。 比如在财务模块中，手工环境下，公司把税务、财务报表、企业资产分别由不同的人员进行分管，他们也就其责任范围内的业务手工记录书面凭证并由人工检查正确性，而在信息化环境下，由专职人员直接输入系统，无需操作员检查，这就造成了在这方面的内部控制的盲点。 （四）未做到对信息的“物尽其用” 公司利用SAP系统和设置专门人员搜集与企业战略目标有关的信息，但缺乏有效的数据处理，使信息仍处在初级阶段，而庞杂的信息量使决策者都无所适从，使其有可能错过了对企