推动内部控制建设信息化要有一体化的解决方案,企业可以采用管理咨询、IT设计、内控落地一体化的方法。 首先,企业要经过专业的内部控制管理咨询,形成标准化的咨询成果。在内部控制建设信息化过程中,因企业业务活动千差万别,规模大小不一,管理水平参差不齐,最难确定的是内部控制和业务流程中的标准化问题。 信息化的基础是标准化,只有标准化的信息化才是有发展前途的,只有标准化的内部控制才是有效的。因此,内部控制建设的信息化,首先是要解决内部控制及其业务流程的标准化的问题,否则就是内部控制建设的信息化同大多数管理信息化建设一样会形成拍脑袋工程,造成信息化建设的被动或巨大浪费。 我国企业内部控制基本规范及其配套指引的颁布实施,在一定程度上解决内部控制建设信息化的标准问题,为我国企业内部控制信息化建设创造了必要的条件,使内部控制建设信息化成为可能。 其次,企业经过IT设计的软件工具将管理咨询成果固化为内部控制信息系统的初始标准。内部控制本身就是一个信息系统,内部控制信息化就是把经过专业的内部控制管理咨询形成标准化成果“E”化成内部控制信息系统。这方面需要做的工作很多,主要是“E”化内部控制体系,包括内控环境、风险评估、控制活动、信息沟通、内部监督各要素的内控体系;“E”化业务流程、控制目标、风险描述、关键控制、控制措施、管理制度等。 内部控制软件就是对企业内部控制体系、流程目录数据库、风险数据库、控制措施数据库、控制证据数控库、控制制度数据库及其控制矩阵等初始标准“E”化的产品。当然,内部控制是个动态过程,内部控制信息系统也是个动态过程,固化的内部控制信息系统初始标准也需要不断改进和完善。 最后,企业将固化的内部控制信息系统初始标准导入企业信息系统当中,实现内部控制真正落地。根据中天恒3C框架管理融合的理论,内部控制要与风险管理相融合,要嵌入到企业的业务流程和管理流程之中,内部控制信息化要与企业管理信息化相衔接,并优化现有的企业管理信息系统。 企业管理信息系统是多种多样的,内部控制信息化是要将内控体系、业务流程、风险描述及控制措施等嵌入的企业的信息化系统之中,并通过内控系统监控管理信息系统中流程运行情况。企业内部控制的执行与各种管理活动和业务活动密不可分,在管理信息系统中就需要将内部控制的特性与各种功能进行有效的集成。 内部控制信息化离不开企业整体的信息化,内部控制软件要能与企业不同的管理信息系统进行集成,从而有效解决了内部控制信息系统与企业信息系统相互不兼容的难题,也最大限度地降低了内部控制建设信息化的成本。 |