“全面梳理业务流程,查找经营管理合规风险点,运用信息化手段将合规要求嵌入业务流程,明确相关条件和责任主体,针对关键节点加强合法合规性审查,强化过程管控。”——《中央企业合规管理办法(公开征求意见稿)》,国务院国资委2022年4月1日发布
合规管理体系建立与提升的关键突破点之一,是提升信息系统应用控制覆盖率。在企业信息化的支撑下,管理层期望的具体管控要求可通过流程在线固化进行刚性约束,保障落实执行,大幅提升风险、内控、合规管理工作的效率与效果,具体表现在:
紧跟政策,要以信息化手段提升管理水平
自2008年起,国务院国资委、财政部等监管部门陆续出台了一系列内部控制管理相关政策规范,引导企业加强重视、有序开展内控体系信息化建设工作。核心文件主要包括:
通过对以上政策的研读,可见监管机构对内控信息化手段的重视程度越来越高,提倡企业借助信息化技术,逐步实现业务线上流转、工作全程留痕、控制实时跟进、风险自动预警、评价在线执行等系统化功能,减少或消除人为操纵因素,形成业务系统与内控管理平台联动交互,着力推动内控体系的刚性运行,有效提升内部控制管理的信息化和智能化水平。
锚定重点,要以多维视角拓展信息化建设
企业内控信息化建设可从以下四个方面展开。
升级系统应用控制
流程控制点中包含的控制类型有人工控制、系统控制以及通过系统功能和人工操作结合的方式进行的控制,将分布在流程不同环节中的人工控制点进行应用系统升级可作为企业内控信息化的起点。
建议建设步骤为“梳理控制点—选择固化模式—系统优化实施”。通过风险导向下的业务流程梳理,结合风险评估等级、控制频率、控制类型、控制方式等要素识别,分析内控信息化提升的必要性,结合分析当前系统能力(基于系统架构、功能、接口、数据域等现状),选择适当的固化模式,如增加系统控制节点、增加校验功能等方式,对信息系统进行功能升级、开发实施。
重视系统权限管理
信息技术帮助企业提升业务效能,但也可能出现系统开发不符合内部控制要求、授权管理不当、系统权限管理不匹配等问题,因此在促进内部控制与信息系统有机结合的过程中,企业需要特别关注信息系统的权限管理。
建议建设步骤为“规范制度—明确职责—合理赋权—定期审阅”。通过建立权限矩阵、权限申请审批表、权限定期审阅表等控制性文档,规范权限的新增、修改、删除的审批流程,做到系统角色及功能分配合理化,并确保与授权审批机制核对一致,避免将不相容职责的处理权限授予同一用户、超过用户工作范围赋予冗余权限、离职员工未及时中止系统权限等管理问题。
规范系统控制环境
企业信息技术的运用需与经营目标保持高度统一,为使得业务系统正常运作、信息系统应用控制有效发挥,离不开信息系统一般控制的保障,包括逻辑访问安全管理、程序开发与变更管理、信息系统运维管理。
建议建设步骤为“明确范围—定义规则—加强执行—定期检查”。通过头脑风暴、专家访谈等多种方式,梳理公司在信息系统一般控制管理三个方面涉及到的具体内容;结合外部监管政策与内部管理层风险偏好,明确管理标准与规则,借助制度文件对相关要求进行固化;通过培训、宣贯、绩效考核等多种方式,督促员工严格执行信息系统管控要求;通过定期检查与自我评估,查漏补缺,不断完善,实现信息系统控制环境的持续优化与提升。
探究前沿技术应用
随着新技术的发展与应用,在以人工智能、大数据为代表的新兴技术爆发的背景下,各行业各领域的数字化转型的浪潮和趋势不断加强。将数字化的新技术与管理相结合,可以推进数字化驱动的智能式内控建设,提高管控效率、质量和价值。
企业可以运用机器人流程自动化(RPA)技术执行大量重复性和基于规则操作工作,减少人工的参与,提高控制执行效率;可以运用大数据思维扩展企业内部管控的广度、深度和效率,从合规检查、业务监控、风险预警到业务预测等领域,提高内控管理的质量和价值;亦可以运用机器学习技术,凭借其强大的计算能力和学习能力,能够更深入地洞察业务流程,有效识别高风险的管控领域。
立足实际,要以稳步提升释放信息化效力
内控信息化建设不是简单地将流程介质从纸质转变为电子形式,它是一项长期的系统工程,需要统一规划、分步实施、逐步完善。企业应结合自身实际,将内控信息化工作纳入信息化建设总体规划中,逐步开展内控信息化建设,有效提升风险管控和业务运行的效率和水平。建议企业内控信息化建设路径可以分成以下三阶段:
第一阶段:信息系统用起来
在此基础阶段,企业可侧重于将关键的、符合成本效益原则的内控管理操作植入信息系统,或直接由信息系统代为执行。在这个阶段,公司需要全面梳理各关键业务流程,识别控制点、控制责任人、涉及的信息系统等,尤其注意规范审批流程及各层管理人员权限设置。
第二阶段:信息系统用得好
在此融合阶段,企业应在推动业务系统互联互通的基础上,搭建风险、内控、合规管理相关的工作平台,实现管理内容可视化;通过管理平台与业务系统间底层数据的互通共享,实现内控体系实时监测、自动预警、在线评价等功能,显著提升内控工作效能。
第三阶段:信息系统用得妙
在此智能阶段,企业可借助RPA、大数据、云计算等先进技术,对传统业务流程及管理措施进行全方位、全角度、全链条的改造与革新,尤其针对复杂性业务的判断,提升管理决策的智慧性和科学性,释放数字对企业经营发展的放大、叠加、倍增作用。
结语
良好的信息系统管理治理与信息技术内部控制框架设计,是信息化成功建设的关键支撑要素。信息系统及其运用的实施、变更、升级,同步伴随着企业文化和行为变化,企业需秉持勇于尝试的探索精神,积极面对内控信息化建设过程中可能遇到的困难或瓶颈。
近年来,安永企业风险管理咨询团队在提供风险、内控、合规“三位一体”整合式管理体系构建服务中,已积累丰富的内控信息化相关实践经验,欢迎更多的企业与我们联系,共同研究与探讨。
本文是为提供一般信息的用途所撰写,并非旨在成为可依赖的会计、税务、法律或其他专业意见。请向您的顾问获取具体意见。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
