企业内部控制体系信息化建设的几点思考

2012.6

82

中国内部审计我国近年来频繁发生企业重大危机或损失、失败事件，如三九集团、华源股份、中航油、国储铜、中信泰富、三鹿集团等。整体来看，企业在资金链管理、生产运营、下属公司管控、供应链管理等领域存在较大的经营和财务风险。因此，提升管理水平、加强风险控制纷纷提上大型国有企业的日程，建立健全内部

控制体系已经被很多企业所接受，但内部控制体系成果的使用、固化和持续优化成为很多企业头疼的问题，而且目前市场上内部控制体系信息化成型软件不多，建立适合企业自身管理需要的内部控制体系信息化系统迫在眉睫。

一、企业内部控制体系信息化建设的必要性

１．确保内部控制体系建设成果在企业得到应用。审计署总审计师孙宝厚说过，有的企业虽然建立了内部控制，甚至还比较健全完善，但只是写在纸上、说在嘴上、挂在墙上的花架子。这说明内部控制体系建设成果在很多企业没有得到很好的应用。通过内部控制体系信息化建设与应用，对内部控制进行集成、转化和提升，并形成较为完善的内部控制信息化系统，将生产经营管理业务流程、关键控制点和处理规则嵌入系统程序，达到手工环境下难企业内部控制体系信息化建设的几点思考

◆ 谢茂生

以实现的控制功能，解决内部控制的职责不明晰、流程不系统、标准不统一、风险未量化、制度不执行等问题，固化建设成果，提升内部控制执

行力，真正发挥内部控制应有作用。２．确保内部控制体系建设的持续优化得以实施。内部控制是为企业战略服务的，内部控制体系建设不是一次性的，随着企业的发展，外

部环境的变化等，需要进行持续优化。而传统的内部控制体系建设成果是通过Ｗｏｒｄ、Ｅｘｃｅｌ、Ｖｉｓｉｏ等工具进行描述，通过印刷形成手册。当企业完善内部控制体系时，需要同时修改各个文档，修改量极大。据内部控制咨询人士介绍，完善内部控制体系修改相关文档所花费的时间比重新建设一套完整的内部控制体系花费的时间还要多。通过内部控制体系信息化建设和应用，可以方便修改内部控制体系建设的持续优化成果，并得到很好的实施。３．确保内部控制系统与业务系统的互通互动。内部控制体系建设

的主要成果有梳理流程并进行优化、风险控制矩阵、内部控制评价方法等。通过内部控制体系信息化建设，将流程绘制在系统中，将岗位职责、业务风险、规范标准、管理制度、业绩考核等与流程进行关联，并且将流程与业务系统实现互通，保证将

优化的流程与业务系统进行关联，并进行互通互动，实现流程落地，提

升企业的执行力。

二、企业内部控制体系信息化

建设应解决的问题

１．自动实现流程可视化。很多企业使用先进的管理工具及方法，如ＥＲＰ，质量管理、风险管理与内部

控制等应用都离不开“流程”这一核心载体，流程是内部控制体系建设的基础，以内部控制为契机，全面梳理公司重要业务流程，以业务流程为纽带，整合相关信息，实现集中存储、统一维护，将梳理优化的流程固化到信息化系统，可以方便修改和浏览，实现图形化、分层级的直观信息展示，并提供便捷的信息查询，解决业务流程及其关联要素没有统一共享、沟通平台的问题，实现可视化。将岗位职责、风险评估、规范标准、管理制度、业绩考核与流程进行关联，解决业务流程及其相关要素分散存储，描述定义不一致，难以达到标准化的问题。自动生成岗位说

明书、

流程操作手册、制度评析报告等，给员工提供一份翔实的业务清

单。将业务流程按照从上到下的顺序逐级展示，同时实现各个流程之间的交互关系，形成企业流程网络。通过完善流程和制度，监控流程执行指标和基于执行结果的制度评析

及流程优化报告，

形成事前有监控、

83

2012.6中国内部审计

事后有评估的管理模式，为企业发展保驾护航。

２．系统实现风险评估，自动出具风险评估报告。风险管理，是指企业依据总体目标，确定风险偏好和风险承受度，通过识别潜在风险、评估风险，针对重大风险拟定风险管理策略并在企业管理的各个环节和经营过程中落实规范化的风险防控要求，从而将风险控制在企业风险承受度范围以内的过程和方法。风险评估是风险管理的基础。企业应

定期分析所处的内外部风险环境，围绕自身的管理活动和经营目标，对可能存在的风险因素进行识别和评价。根据《企业内部控制基本规范》的要求，企业应当根据设定的控制目标，全面系统持续地收集相关信息，结合实际情况，及时进行风险评估。在风险评估过程中，应采用定性和定量相结合的方法，根据其发生的可能性及影响程度，对识别的风险进行分析和排序，确定分析应对策略。企业内部控制体系信息系统建设需要考虑以上内容，实现风险评估任务的下达，风险评估工作的执行及审核，并可根据风险评估的结果出具分析评估报告。

３．系统实现内部控制评价，自动出具内部控制评价报告。根据《企业内部控制评价指引》的要求，执行内部控制配套指引的企业需要开展内部控制评价工作。内部控制评价是对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。内部控制评价过程中，需要对被评价单位进行现场测试，可以运用访谈、问卷调查、穿行测试、实地查验、抽样和比较分析等方法，收集其内部控制设计和运行是否有效的证据，形成工作底稿，详细记录企业执行评价工作的内容。通过信息化

系统可以实现内部控制测试计划的下达，执行内部控制测试，审批、复

核内部控制测试结果等功能，实现内部控制测试底稿的保存，并且出具内部控制评价报告供企业参考。

４．自动实现流程与业务系统的关联，实现流程落地。成功的业务流程管理是在流程战略的基础上，进行流程设计、流程实施（在信息系统中“落地”）和流程监控。流程管理取得成效是有条件的，如，需要将其贯彻到企业的组织结构中，贯彻到

专业高效的管理流程中。企业梳理并优化的流程，如果不通过业务系统进行固化和执行，难以提升执行力。可以通过内部控制体系信息化中的流程管理平台自动实现与业务

系统的关联，将优化后的流程自动

传入业务系统（如ＳＡＰ系统、ＯＲＡＣＬＥ系统等），实现流程落地。三、企业内部控制体系信息化建设需注意的问题

１．企业内部控制体系信息化建设是一把手工程。企业内部控制体系信息化建设与使用涉及公司各个部门及下属各个企业，工程浩大，规划长远。企业内部控制体系信息系

统实现了岗位全覆盖，职责明晰化，流程系统化，标准统一化，制度可ｅ化，做到以流程图为中心，将岗位、制度、标准、风险和绩效各要素全部

囊括，功能强大，规范了企业管理，极大提升企业执行力，没有一把手的大力支持和推动，项目完成的成功率不大。

２．内部控制体系信息化建设应以创新的内部控制体系建设实施方案为基础。内部控制体系信息化只是一个工具，其目的主要是为固化内部控制体系建设的成果，并将内

部控制体系建设的成果进行落地。没有一个优异的内部控制体系建设成果，内部控制体系信息化建设再好，也没有管理的对象。内部控制体系建设的有效开展需要正确的实施方案指导，只有在正确的方针指导下，才能使内部控制既符合法律法规的要求又贴合并融入公司的管理实践。为此，组建一个独立团队，对公司发展面临的机遇和挑战、内部管理的优势和劣势进行深入分析，并广泛借鉴其他公司内部控制建设的经验，认真研究，做好内部控制体系建设实施方案的顶层设计，为内部控制体系信息化建设工作打下坚实基础。

３．内部控制体系信息化建设应分段实施，持续优化。内部控制体系信息化建设工作至少要分两个阶段分步实施，第一阶段解决流程可视

化及自动实现风险评估、内部控制评价工作；第二阶段解决自动实现

流程与业务系统的关联，实现流程

落地。第一阶段是夯实基础，第二阶段是管理提升。内部控制体系信息化建设根据管理需要，持续优化系统功能，使其成为提升企业管理的有效工具。

４．选择有能力而且能够提供良好服务的供应商和开发团队。企业

内部控制体系信息化建设是一项艰难而复杂的工作，需要集成企业各方面的信息资源，必须依赖供应商和开发团队，供应商和开发团队不

能提供及时、到位的服务或没有能

力提供及时、

到位服务，是导致项目失败的重要原因之一。总之，企业内部控制体系信息

化是企业管理提效率、保质量、防风险的有效工具，真正能够提升企业管理水平。

（作者单位：大唐国际发电股份有限公司，邮政编码：１０００３３，电子

邮箱：ｘｉｅｍａｏｓｈｅｎｇ＠ｄｔｐｏｗｅｒ．ｃｏｍ）