一、内部控制信息化的重要性和必要性
内部控制信息化是企业内部控制工作的一项重要内容,为提高内部控制有效性、提高信息传播与沟通的速度和质量提供了技术支持。瞬息万变的竞争环境对企业管理提出了更高的要求,作为企业管理重要组成部分的内部控制,信息化建设势在必行。企业内部控制信息化是将信息化与内部控制有效结合,通过信息技术支持,优化管理流程,提高内部控制工作效率,有效防范企业运营风险,促进内部控制高效发挥作用,更好地保障企业目标实现。内部控制信息化要求来源于以下三个方面:
(一)内部控制框架本身的构架特点。COSO(2013)内部控制整合框架(以下简称新框架)扩展了财务报告标准,既包含财务报告,也包含非财务报告。信息化是整合财务数据和非财务数据的重要工具,可以增强内部控制报告的全面性和有效性。信息与沟通是内部控制五要素之一,新框架对它的定义是“企业管理层从内、外部获得或生成并且使用相关的有质量的信息来支持内部控制的正常运转,并假设数据交流具有安全性和准确性”。新框架下信息的沟通应遵循三项基本原则:一是组织获取、加工与使用高质量的信息,以支持内部控制发挥作用;二是组织在内部沟通信息(包括控制目标和职责范围)以支持内部控制发挥作用;三是组织与外部相关各方就影响内部控制发挥作用的信息进行沟通。信息就像是内部控制的神经系统,支持内部控制运行并有效发挥作用,对推进企业内部控制水平,促进其目标实现至关重要。而信息系统是企业获得并且使用信息的重要工具和载体。信息化和自动化带动了组织形式与经营模式质的变革,并将信息技术对内部控制的影响融入其中。
(二)追求高效的企业管理理念。随着信息技术大发展与企业工作效率的需求,我国大中型企业基本实现了办公自动化和信息化,企业越来越多使用财务管理信息系统、ERP系统等信息技术,处理大量交易和人工无法完成的复杂数据信息,工作效率大大提高。内部控制也不例外,内部控制环境、内部控制流程、内部控制测试、内部控制评价工作都与信息技术息息相关。内部控制流程以前全部是用纸质表格、人工签字审批,现在将部分内部控制流程嵌入信息系统进行流转,审批人随时可以进行办公;内部控制测试的方法有询问、观察、检查和再执行,以前就是测试人员到现场进行实地测试,翻看纸质资料,耗时、耗力、费用高,现在通过信息技术支持,测试人员可以远程对于嵌入信息系统的内部控制流程进行测试。也因为信息系统的使用,特别是随着“互联网+”、云计算、大数据、物联网等新的信息技术的涌现,使得内部控制不仅要对人进行控制,对于加强信息网络安全的内部控制也提出了更高要求。提高企业内部控制信息化水平,并融入企业全面信息管理成为一项重要课题。
(三)政府监管和内部控制有效性评价要求。政府监管方面,财政部等五部委联合颁布的《企业内部控制基本规范》指出,“企业应当运用信息技术加强内部控制,建立与经营管理相适应的信息系统,促进内部控制流程与信息系统的有机结合,实现对业务和事项的自动控制,减少或消除人为操纵因素。”《企业内部控制应用指引第18号——信息系统》进一步明确了促进企业有效实施内部控制,提高企业现代化管理水平,减少人为因素的主旨和各项具体内容。信息与沟通也是评价内部控制有效性的标准之一。财政部会同证监会、审计署、银监会、保监会制定的《企业内部控制评价指引》指出,企业组织开展信息与沟通评价,应当以内部信息传递、财务报告、信息系统等相关应用指引为依据,结合本企业的内部控制制度,对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性,以及利用信息系统实施内部控制的有效性等进行认定和评价。
二、企业内部控制信息化现状
(一)信息化工作现状。总体而言,中国石油集团信息化建设走在了大型企业的前列。但由于建设的目的、时间等因素影响,目前在用的各个系统相对独立。例如,由普联公司开发的FMIS7.0在集团公司财务系统全面应用,实现了集团公司层面会计一级集中核算,是独立的信息系统。人力资源系统(HR系统)在集团公司各单位成功应用,因上线日期早于ERP系统,目前未与ERP系统融合。另外,如合同管理系统、安全环保管理系统、物资管理系统等也是独立的。这是造成各个信息系统数据不能相互共享的现状。系统使用者对来源于其他信息系统的数据需要人工干预、整理后,手工再录入自己使用的系统中。
(二)内部控制信息化工作情况
1、内部控制信息系统。在内部控制信息化建设过程中,集团公司建立符合发展战略并与经营管理活动一体化的信息系统,为内部控制提供足够的信息资源和顺畅的沟通渠道,统一部署ERP系统作为主要支撑系统进行相关信息处理。
2、内部控制流程使用的信息系统。笔者所在单位是中国石油集团建设内部控制体系的第一批试点单位,体系建设于2007年启动,2010年1月1日起正式实施。经过6年多的运行,目前发展到以风险管理为主要内容,涵盖公司经营管理各领域,较为完善和有效运行的内部控制体系阶段。2015年底,公司以法律、经营、财务风险为控制点的流程逐步完善,涵盖财务管理、经营管理、物资管理、人力资源管理、合同管理、安全环保、技术质量、三重一大、工程项目管理等业务管理领域流程173个,关键控制点181个,60%以上的业务流程已通过信息系统进行流转。由于ERP系统主要包含财务、物流、人力资源等核心模块,但在满足企业内部控制要求的日常业务审批及专业管理方面功能不足。因此,公司目前应用EMIS办公自动化系统进行内部控制业务流程处理,以满足日常工作需要。如合同管理业务,从合同相对方评价,各类合同审核会签,合同签订,合同履行、变更与解除,合同结算,合同专用章管理到合同归档、统计分析,纠纷处理等流程都在EMIS办公自动化系统流转,过程中涉及到的表单资料扫描上传系统,相关岗位在流程各步骤的处理意见均可追溯查询。对于嵌入EMIS系统的这部分流程,内部控制测试可以实现远程操作,一般不必到现场进行测试。EMIS办公自动化系统尚未实现与ERP系统的对接。
3、内部控制测试使用的信息系统。中国石油内部控制测试系统使用的是ARCM3.X。在测试系统中,进行测试的内部控制流程通过操作员及主审、项目经理、测试管理员三级审核,完成从创建测试任务到出具测试结果的工作流程。系统管理员进行业务建模、自动创建测试任务,主审分配测试任务给测试员,被测试单位接受测试任务、测试员填写测试任务、提交测试结果,主审审核测试任务(主审审核不通过的测试任务,测试员需要重新填写测试状态)、将测试审核结果提交项目经理审核(主审审核通过并且测试状态是存在例外事项的测试任务,项目经理可以审核为“缺陷”和“非缺陷”),项目经理将审核结果提交测试管理员(主审审核通过的测试任务测试管理员可以审核为不通过,这样主审可以重新审核测试任务。项目经理审核完的测试任务,测试管理员审核为不通过,那么主审需要重新审核,项目经理也需要重新审核),完成以上步骤后,由项目经理进行缺陷评估、测试结果统计分析,测试管理员输出测试结果统计报表。以上测试任务填写及审核均支持在线和离线状态。通过内部控制测试管理模块,实现内控审计测试结果录入、审核、查询与统计分析。
三、企业内部控制信息化存在的问题
信息技术不仅是工具,更是企业经营管理的环境,和其他环境因素相互影响和适应,共同决定着公司的组织结构、管理模式与流程。回顾内部控制体系建设与运行历程,每一次进步都离不开信息技术的支持,也存在一些突出问题。
(一)企业对内部控制信息化重视程度不够。自2008年《企业内部控制基本规范》发布以来,即我国企业内部控制实施近8年来,也是信息技术迅猛发展的历史阶段。但很多企业对内部控制信息化重视程度不够,内部控制信息化程度不高,难以适应瞬息万变的内外部环境。
(二)已有的信息系统与内部控制相脱节,信息孤岛现象仍未消除。由于系统上线的时间不同,财务系统和业务系统、各业务系统之间都各自分离。企业目前在用的信息系统多样,已有的信息系统与内部控制相脱节,影响了信息的及时获取和传递,无法为内部控制建设提供有效支撑,使内部控制功能不能得到充分发挥。如财务管理信息系统、人力资源管理信息系统、办公自动化管理信息系统、ERP管理信息系统都未实现融合,信息“孤岛”现象仍然是一个大问题。使内部控制人员难以通过信息系统实时监控有关事件和内外部活动,无法对经济、行业因素和控制问题进行迅速响应,面对经营活动中存在的潜在风险反应迟缓,难以预先诊断经营风险状况。
(三)内部控制信息化程度有待提高。企业信息传递涉及方方面面,内部控制环境是内部控制有效性的土壤。目前,企业的内部控制环境需要借助信息技术更上一个台阶。部分重点业务流程未嵌入信息系统,使企业整体业务流程运行的流畅性受到影响。信息化覆盖面不全,内部控制的主要工作未实现信息化,仍依赖手工完成。内部控制测试和外部评估工作主要方式是现场测试、跟单测试、关键控制测试、电子表格测试,主要依靠人工,测试过程资料(包含跟单测试表的测试步骤及发现,离线表单的测试对象描述等)和结果均需手工整理后,二次录入ARCM3.X信息系统进行分析、查询与统计分析。
(四)信息化对内部控制工作提出新要求。信息技术的发展对企业面临的市场环境风险和企业内部控制工作产生更深影响,也给企业内部控制工作提出了新的要求。一是信息数据是企业的一项重要资产,内部控制需要满足保护信息资产的需求;二是互联网、云计算、大数据、信息系统融合,使得企业的网络从局域网到广域网,信息系统从单独分离到综合信息系统,一旦遭到人为或自然破坏,整个系统将陷入瘫痪,需要提高防范与信息系统有关风险的能力,加强信息系统安全内部控制工作;三是信息化使得内部控制人工干预减少,人的主观能动性减弱,对信息系统的灵活性、智能型要求提高。
四、企业内部控制信息化优化建议
(一)管理层重视,加大信息化投入力度。由于企业经营发展过程中面临的不确定性和风险日益增加,环境变化越趋复杂和快速。为建立实施符合现代社会发展的内部控制体系,首先企业高层必须重视信息化管理工作,加大信息化投入,从源头抓起,统筹安排,将企业内部控制体系驶入安全稳定的信息系统高速公路,将信息源源不断、安全高效地输送到组织运行的各个角落,用制度约束系统,以系统规范行为。
(二)加快推进以ERP系统为核心的信息化建设。内部控制要求获取的信息全面完整、质量高,不仅包括内外部财务报告信息,还包括非财务报告信息。完整和全面的数据对数据转为内部控制信息至关重要。在信息化管理工作方面,加快各业务系统融合是获取全面数据、管理提升的有效手段。加快推进以ERP系统为核心的信息化建设,建成统一的信息系统平台是集团公司既定的工作部署。实现ERP与其他系统融合,通过信息化建设提高公司管理创新,是公司对信息系统建设的总体要求。通过整合集团公司在用信息系统,统一操作平台,消除信息“孤岛”,实现业务集成和数据共享。利用综合信息平台为内部控制有效运行提供支撑,实时取数、数据共享、动态分析、预警功能,实现企业管理事前预测、事中控制、事后分析。
(三)通过内部控制信息化优化内部控制体系
1、通过加大信息化覆盖面,优化内部控制环境。集团公司利用综合信息平台和移动互联网,及时向全体员工发布传达企业各项信息,向客户、供应商等外部利益相关方传递相关信息,消除信息不对称带来的负面影响。中国石油内网主页包含公司信息、行业信息、办公平台。如企业文化栏目,发布公司年度报告、社会责任报告等;规章制度栏目,发布在用和失效的规章制度,实现制度管理信息化,方便员工及时查询,有章可循,工作合规。集团公司建立了公众微博、微信号,传递管理理念与企业文化,使员工可以随时随地访问、接收相关信息。在以往通过匿名举报、举报热线电话、邮箱等方式基础上,内部控制信息化增加信访和举报监督渠道,预防舞弊行为发生。把内部控制融入公司文化,变成全员、全过程的员工自觉行动。
2、利用信息系统固化内部控制流程,提高工作效率。信息在企业各层级传递的速度和质量影响内部控制有效性。如果依赖人工建立实施内部控制,不仅消耗大量的人力物力,还会造成效率低下,最终导致内部控制流于形式。因此,需要利用综合信息平台,实现各部门、各层级之间的业务流转、信息传递,提高信息传递速度和质量。内部控制主要通过流程进行控制活动,信息化本身的目的之一,就是促使企业将好的管理做法固化为信息化中的规则与流程。
公司目前主要工作:一是继续将剩余40%的流程和新增业务流程固化到信息系统;二是着力解决流程审批时限问题。为保证流程执行的及时性,集团公司发布了业务限时办结制度,各项流程审批时限,要求各环节签批的业务两天内完成。各部门也细化了业务办结时限。对于无法登录系统进行审批的,通过信息平台的授权功能实现岗位授权审批。
内部控制办公室(以下简称内控办)以内部控制流程为切入点,对信息传递过程的速度与质量进行分析,优化内部控制流程。通过梳理业务流程,不断完善内部控制体系职能分配及管理业务职责划分,进一步规范岗位职责,明确岗位授权,消除管理业务重叠、横向纵向职能不清晰、没有制度支撑、管理职能不落实等问题。每年梳理发布“各单位、各部门内控手册流程图及需要上报的报表资料清单”,使得各部门职责明确,流程清晰,减少公司管理的盲点。内部控制流程与信息系统的有机结合,实现了对业务和事项的自动控制,极大提高了信息传递速度和工作效率,减少控制成本、提高控制效率、减少或消除人为操纵因素,并为内部控制测试工作信息化奠定了基础。
3、内部控制测试工作信息化。内部控制测试是对内部控制体系设计有效性和执行有效性进行检查,分现场测试和非现场测试两种方式。公司现行的《内部控制体系管理办法》规定,“原则要求测试覆盖率不低于50%,重要流程覆盖率不低于70%,关键控制覆盖率要达到90%”。通过信息系统流转的业务流程,实施证据表单都已扫描上传系统,对于这类流程的测试,内控办主要通过信息系统随时随地进行非现场测试,有效化解了人手不足的问题,又满足了测试覆盖率,对提高内部控制有效性起到了积极的推动作用。
(四)注重信息安全控制。信息系统自身也存在风险,需要加强执行过程管理和内部控制测试。集团公司内部控制测试内容包括公司层面控制测试、业务活动层面控制测试(含跟单测试和关键控制测试)和信息系统层面控制测试三部分。信息系统安全控制包含访问控制、数据资源控制、系统软硬件控制、网络安全控制等方面。具体包括控制环境、信息安全、项目建设管理、系统变更管理、信息系统日常运作、最终用户操作等。
信息系统控制测试含信息系统总体控制和信息系统应用控制。信息系统总体控制GCC指的是内部控制中对信息系统相关部分的控制,保证由信息系统支持的流程控制是可靠的、生成的数据和报告是可信的。集团公司根据COSO要素、COBIT等国内外通用的信息系统审计标准,制定并发布信息系统总体控制规范,包含实施规范和测试规范。实施规范要求将信息系统控制的执行最终落实在各岗位人员具体操作上,并在执行过程中保留完整的证据链,保证信息系统总体控制执行的规范化。测试规范要求有配套的测试监督方法和定期检查机制,保证信息系统控制执行的有效性,形成一个执行——检查——整改的良性循环。集团公司范围内信息系统的日常管理和信息运营维护工作参照此标准进行。信息系统应用控制方面,关注企业业务管理流程及专业管理流程中影响财务数据的交易处理环节或系统处理环节的控制,已有的控制设计涉及ERP、FMIS等管理系统。对于新上线的信息系统及原信息系统的功能变更均会导致应用控制变化,且各个系统所处理的业务流程以及实现方式的不同,应用控制再根据不同的系统逐个识别。
五、启示
(一)加强内部控制信息化顶层设计,注重内部控制信息化工作的持续性和推动力。几乎所有的集团和单位都不同程度存在信息系统重复建设的问题,造成资源和成本浪费。对于新建公司和准备实施此项工作的企业,应加以借鉴。企业应该制定与战略决策相适应的信息技术长期规划,统筹安排,分步实施。既满足公司发展的需要,又降低成本。通过综合信息平台实现业务集成和数据共享,提升内部控制有效性。同时,内部控制信息化工作是一项长期工作,需要注重内部控制信息化工作的持续性和推动力,为企业持续健康稳健发展提供保障。
(二)信息化不是万能的,制度是根本,职业判断不能忽视。没有信息化是万万不能的,但信息化也不是万能的。对于内部控制工作而言,企业的制度是根本,首先应建立完善适合企业经营情况的制度。内部控制是以人为主体,实施内控的是人,监督检查的主体是人。业务流程运行与实际出现差异时,应及时分析解决和持续优化,必要时按规定做出合理变更;遇有紧急、临时、突发等特殊情况,业务流程中未明确具体程序时,应由业务主管领导酌情相机处置,并做好记录,而不是一味僵化执行。
(三)复合型人才培养。与其他系统控制测试相比,信息系统控制测试人员需具有信息管理技术、业务流程基础、财务核算基础三方面的综合技术能力。因此,需要有计划、分步骤加强复合型测试人员培养。同时,测试人员本身也应持续学习新知识,跟上日新月异的信息化发展速度,满足内部控制信息化工作需求。
作者:李惠青