“我們在研究中發(fā)現(xiàn)，不少企業(yè)正嘗試將內(nèi)部控制嵌入企業(yè)信息系統(tǒng)，從而實現(xiàn)內(nèi)部控制落地。

    但這一過程是十分復(fù)雜的。”中國會計學會會計信息化專業(yè)委員會委員、安徽工業(yè)大學會計系教授汪家常提醒說。

    那么，內(nèi)控與信息化怎樣才能很好地結(jié)合起來呢？

    內(nèi)控落地離不開信息化

    據(jù)了解，中國企業(yè)現(xiàn)有信息系統(tǒng)總體運行呈不均衡狀態(tài)，部分大企業(yè)如中石油、中石化等，其內(nèi)部經(jīng)營活動已反映到信息系統(tǒng)，并實現(xiàn)了聯(lián)網(wǎng)運行。這些企業(yè)主要是在美國上市的公司，它們在2006年6月30日之前就完成了按內(nèi)控要求升級改造的工作，執(zhí)行的是科索（COSO）“內(nèi)部控制一體化框架”。

    “但大部分企業(yè)卻僅僅實現(xiàn)了部分業(yè)務(wù)的電算化，如會計核算與財務(wù)管理等，沒有建立起針對所有業(yè)務(wù)的信息系統(tǒng)。”南京審計學院副院長時現(xiàn)一針見血地指出。

    “即便是已經(jīng)執(zhí)行過內(nèi)控的在美上市公司，也需要結(jié)合企業(yè)內(nèi)控基本規(guī)范及相關(guān)配套指引的要求，對內(nèi)控及信息化系統(tǒng)進行本地化。”立信大華會計師事務(wù)所信息部經(jīng)理馬強對記者表示。

    財政部會計司司長劉玉廷日前就曾在中國會計學會資深會員論壇上指出，信息化是手段，要對現(xiàn)有信息系統(tǒng)進行改造和升級，使它符合企業(yè)內(nèi)控基本規(guī)范及相關(guān)配套指引的要求，使它能夠形成自我評價報告，而這項工程還是比較大的。

    在互動中“升級換代”

    “如果企業(yè)的信息系統(tǒng)要升級換代的話，那么，我建議先梳理或修訂內(nèi)部控制流程，并設(shè)計內(nèi)部控制框架。要按照這樣的框架，改造現(xiàn)有的信息系統(tǒng)，并關(guān)注信息系統(tǒng)內(nèi)部控制和安全保障問題。”時現(xiàn)簡明扼要地亮出了自己的觀點。

    這樣的改造，還要一步一步來。

    “首先必須弄清楚企業(yè)目前的管理水平和信息系統(tǒng)水平以及通過信息化實現(xiàn)內(nèi)部控制的基本過程，要搞清楚哪些內(nèi)部控制目標通過信息化是可以達成的、哪些是不能達成的、哪些是隨著IT技術(shù)的不斷進步在將來可以達成的。”汪家常曾參與過一家大型鋼鐵企業(yè)的信息系統(tǒng)設(shè)計，對此顯然有著切身的感受，“從目前IT技術(shù)和企業(yè)信息化水平來看，其對業(yè)務(wù)流程層面的風險控制最為有效，而對企業(yè)決策層面的風險控制能力較弱。”汪家常介紹說，目前，通過企業(yè)信息化實現(xiàn)有效內(nèi)部控制的主流做法，是通過專門的治理、風險管理及合規(guī)控制系統(tǒng)（GRC），實現(xiàn)對企業(yè)管理系統(tǒng)（ERP、CRM）等的業(yè)務(wù)執(zhí)行過程的風險控制。如通過專門的流程控制系統(tǒng)，建立相應(yīng)的流程控制環(huán)境，識別和監(jiān)控各個流程的關(guān)鍵風險控制點，并且通過流程控制系統(tǒng)，實現(xiàn)文檔記錄、流程測試、修復(fù)和監(jiān)控，產(chǎn)生自評估報告。再如，通過專門的風險控制系統(tǒng)，將不同層面的風險，采用關(guān)鍵風險標識（KRI），進行企業(yè)風險識 別、風險分析、風險預(yù)測、風險監(jiān)控和風險報告，形成風險視圖，實現(xiàn)對風險的有效監(jiān)控。

    反過來，信息系統(tǒng)的升級改造對內(nèi)控體系建設(shè)也會產(chǎn)生一定的影響。“第一，影響業(yè)務(wù)流程；第二，影響關(guān)鍵控制點，如從流程環(huán)節(jié)的控制轉(zhuǎn)向原始數(shù)據(jù)控制等；第三，影響內(nèi)部控制測試與評價標準，這更多地涉及信息系統(tǒng)技術(shù)性內(nèi)容的測試與評價；第四，對內(nèi)部控制執(zhí)行者的專業(yè)勝任能力有更高的要求。”時現(xiàn)指出，企業(yè)要把握這一“互動”，在“升級換代”中更好地完善內(nèi)控體系。

    繞不開的成本問題

    信息系統(tǒng)的升級改造肯定會有成本，那么，該如何權(quán)衡其成本與效益？時現(xiàn)認為，升級改造的一次性投入成本會比較大，它涉及三個主要部分：第一，內(nèi)部控制制度設(shè)計、測試和評價的成本與費用（一般外包完成，主要指外包費用）；第二，信息系統(tǒng)改造與研發(fā)的成本和費用（一般外包完成，主要指外包費用）；第三，對企業(yè)各層人員的培訓、管理及相關(guān)軟硬條件的改造成本和費用。

    “對于大型企業(yè)來說，由于其業(yè)務(wù)活動復(fù)雜，企業(yè)規(guī)模比較大，這種一次性成本投入還是有必要的，它會幫助企業(yè)提高效率，帶來可持續(xù)收益，具有一勞永逸的效果。”時現(xiàn)表示，而對于小企業(yè)來說，暫時沒有必要全面升級換代，選擇主要業(yè)務(wù)和內(nèi)容進行局部完善即可。

    對此，汪家常表示認可：“成本效益原則還是必須要堅持的，如果徹底推翻現(xiàn)行的信息系統(tǒng)，企業(yè)將付出巨大的代價。”有些企業(yè)可能會選擇自建內(nèi)控信息系統(tǒng)，汪家常表示：“一般來說，企業(yè)自行開發(fā)GRC產(chǎn)品從效益上來看也是不現(xiàn)實的，但特別有條件或有自身需求的企業(yè)可選擇自建。”

    IT技術(shù)不是靈丹妙藥

    “為了減少內(nèi)控實施成本，很多企業(yè)求助于IT技術(shù)，但IT技術(shù)對于企業(yè)實施內(nèi)部控制來說并不是靈丹妙藥。”汪家常告誡當前的一些企業(yè)。

    在汪家?？磥?，“如果企業(yè)目前的管理水平和信息化水平較低，那么，提高企業(yè)現(xiàn)行的管理水平、優(yōu)化業(yè)務(wù)流程并逐步使管理系統(tǒng)對業(yè)務(wù)流程有一定的控制能力，才是當務(wù)之急。此后再利用信息系統(tǒng)，內(nèi)部控制方才有實施基礎(chǔ)，否則將會事倍功半。”對于大型集團企業(yè)來說，還要高度關(guān)注內(nèi)部控制的標準化。汪家常解釋說，由于大型集團企業(yè)地域、組織、系統(tǒng)分散，甚至出現(xiàn)企業(yè)文化和價值的不統(tǒng)一，在利用IT技術(shù)解決內(nèi)部控制問題時，必須使集團的管理系統(tǒng)、內(nèi)部控制流程、關(guān)鍵風險標識、系統(tǒng)權(quán)限控制、內(nèi)部控制評價和報告盡可能統(tǒng)一和標準化，“否則，建立統(tǒng)一的集團內(nèi)部控制平臺將是不可能的。”“還有一點很重要。利用IT技術(shù)實施內(nèi)部控制，應(yīng)由易到難，分步進行。一般認為，提供基本合規(guī)性和風險控制及報告功能是必需的，只有在該部分系統(tǒng)運行正常后，再考慮其他功能產(chǎn)品。”汪家常最后說。