信息化环境下企业内部控制框架研究.ppt

信息化环境下企业内部控制框架设计研究 以株钻公司为例 理论基础 战略管理理论信息化管理理论COSOCOBIT 内部控制信息化战略 COBIT是ISACA 信息系统审计和控制联合会 制订的面向过程的信息系统审计和评价的标准 是一个基于IT治理概念的 面向IT建设过程的IT治理实现指南和审计标准 发展概况公司拥有当今世界先进的生产工艺技术 拥有一支强大的科研开发队伍 具有世界一流的刀具生产线 并成立了集科研 应用研究为一体的研发中心 目前处于我国刀具产业的龙头地位 自主研发并掌握国内刀具行业所有的先进专利技术 株钻公司隶属关系 公司在2001年设立初始便选择上线了BAAN系列的ERP系统 整合了生产 库存 销售和后勤模块 财务模块单独使用的是用友系统 模块之间未进行整合 未实现生产 库存 销售 后勤数据的整合和共享 在生产和企业日常运营过程不能自动生成财务数据 因此从建厂期初的ERP系统分为两个部分 一部分为BAAN系列的ERP系统 另一部分为财务方面的用友公司的ERP系统 一 株钻公司信息化现状 公司于2007年6月上线了SAPA1ERP和WEB网站 刀具生产工艺质量系统 刀片生产工艺质量系统 模具管理和BI系统 全部系统以SAPERP为核心引擎进行集成 形成覆盖企业信息化三级 四级和五级的完整系统 通过系统的实施 企业打通了采购 生产 销售的整个业务过程 实现了业务与财务的集成 保证企业可以更快的把握市场需求 加快整个供应链的反映速度 不仅降低了成本还精简了冗余的操作 株钻的信息管理系统已经覆盖了企业的所有流程 管理的范围基本上已经涉及企业的所有供需环节 实现了供应链的全面管理 一 不重视内部控制环境对于信息化建设应当着重对信息化的理解 应将对信息技术的期望提升到企业整体战略的高度 信息技术已经逐步融入到企业的日常经营 战略制定 日常办公等企业场景当中 而在株钻公司中 只在日常经营和日常办公中利用了信息技术 只是利用信息技术达到了 延长 人的手臂 并且做到信息化所带来的 扩展 人的大脑 而在企业文化方面 企业文化相对薄弱 实际载体建设缺乏 由于企业成立时间较短 文化积淀较少 加上企业最近十年处于高速发展阶段 企业文化方面的建设力度不够 尤其是企业的内部控制文化 二 株钻公司内部控制现状及问题 二 没有有效的风险控制体系1 公司风险意识薄弱没有成立风险管理专门机构 虽然株钻现已是集研发 生产 销售于一体的综合切削工具供应商和基地 在国内同行业中稳居龙头 但是其所面临的国内外的竞争也是激烈的 虽然公司管理曾意识到风险的存在 并极力开拓市场来减少系统风险 但并没有建立一套科学合理的风险评估体系来识别 评估 归避风险 2 没有建立有效的信息系统风险应急机制株钻公司目前的日常经营都是依托SAP系统进行的 因此一旦系统中一个环节出现了问题 就会给企业的运营带来不便 比如说株钻公司在进行CRM系统试运行时 由于两者数据在一些方面还无法兼容 在CRM系统中向SAP传送数据时 导致了SAP系统的瘫痪 公司在两天内无法进入系统 所有业务回到了纸质时代 三 控制活动未针对信息化环境进行改变1 信息系统控制管理不健全一是系统的高度集成 如果这个数据库的安全性能不高的话 那有心之人可以很轻易的获取企业的经营数据 二是株钻公司没有专业的IT审计人员根据株钻公司的信息化环境的实际情况对信息化建设中内控机制的有效性和信息系统的安全性进行评价 缺乏从企业信息化的视角提高组织内部控制的自我意识 2 控制活动容易出现漏洞公司在进行信息化建设之前 没有对各部门进行需求分析 根据信息化环境对其流程进行更新 也没有深入研究如何进行流程重构 而由于在信息化条件下 企业的许多流程发生了变化 比如在财务模块中 手工环境下 公司把税务 财务报表 企业资产分别由不同的人员进行分管 他们也就其责任范围内的业务手工记录书面凭证并由人工检查正确性 而在信息化环境下 由专职人员直接输入系统 无需操作员检查 这就造成了在这方面的内部控制的盲点 四 未做到对信息的 物尽其用 公司利用SAP系统和设置专门人员搜集与企业战略目标有关的信息 但缺乏有效的数据处理 使信息仍处在初级阶段 而庞杂的信息量使决策者都无所适从 使其有可能错过了对企业经营更重要的信息 这就是所谓的 信息爆炸 株钻公司在这方面也只是单纯的收集企业内外部的信息 或者进行简单的信息处理 但并未挖掘信息的深层意义 五 忽视内部审计在监控中的应用公司内部审计机构隶属于财务会计部 直接归属公司总经理管理 而且董事会下也没有成立审计委员会 没有专职的审计人员 也无审计职位 内部审计已经完全外包 可以简单的认定内部审计失效 在公司的监控体系中另一层发挥重要作用的是监事会 虽然株钻公司设立了监事会 但是公司章程未明确监事会的职责和权利 在日常工作中并未尽到应尽的职责 因此也可以说株钻公司的监事会有名无实 成因分析所有权性质与结构动因管理水平与理念动因竞争与风险动因 一 内部控制目标和标准的确定COSO 信息化的总体目标 实现组织战略目标COBIT框架也提出四项信息化治理目标 具体是 信息化与业务保持一致信息化保障业务并实现收益最大化信息化资源的充分管理适当管理信息化风险株钻公司内部控制的目标具体分为战略目标经营目标 三 株钻公司信息化环境下内部控制框架研究 二 内部控制环境设计提高全体员工尤其是管理层对内部控制信息化的认识完善公司组织结构加强制度建设构建内部控制责任体系 三 内部控制风险评估体系设计1 战略控制层面的风险评估 2 运营控制层面的风险评估 四 内部控制活动体系设计业务层次方面信息系统方面 五 信息与沟通体系设计 六 内部控制监督体系设计1 进一步完善公司治理结构建立和完善独立董事制明确监事会的监督职责2 充分发挥内部审计职能设立审计委员会成立内部审计部门3 利用信息化环境进行持续性监督内部控制评价信息系统审计利用信息系统审计