企业内控信息系统在内控管理中的作用(1)

企业内部控制信息系统的应用主要来自于两方面力量的推动。首先是外部需求特别是SOX法案颁布后加强企业内控对外报告需求的推动；其次是内部需求特别是企业加强风险管理、提高内控管理与整体流程管理水平需求的推动。
内部控制信息系统的外部需求及其作用
根据IDSScheer对从2002年SOX法案颁布四年来的在美上市公司的SOX法案遵从调查结果表明，大部分公司都经历了如下的过程：
1、法规准备-〉2、完善内控体系-〉3、无IT系统支撑的内控测试与报告-〉4、实施IT系统支持的内控测试与报告-〉5、整合内部控制相关的IT系统并进行流程优化
以下对该过程进行具体说明：
1、法规准备：
美国萨班斯法案对上市公司加强信息披露及内部控制的要求，使得无论上市企业是否愿意，都必须去按照SOX法案的相关规定，定期的对外披露与报告公司内部控制执行情况，且公司的主要领导(CEO、CFO)要对该报告进行签署，以证明公司管理层按照法律要求履行了加强公司内部控制监管的责任。上市公司的主要领导因为要对内控报告对外签署，因此承担着巨大的法律责任与合规风险。作为上市公司组织机构往往规模庞大，甚至存在跨国经营。
如何有效地管理签署风险，如何将签署责任有效地分解到各级下属公司责任人，如何将内部控制的理念通过责任落实与分解转变成企业的核心竞争力，都是上市公司管理层必须思考与决策的。
SOX法案的目标：
恢复投资者对在美上市公司的财务报告及披露的信心．
SOX法案的对上市公司的要求：
(1)改进内控系统
(2)提高文档化水平
(3)加强财务披露
(4)提高管理层诚信
(5)提高业务流程的透明度
(6)提高财务报告质量
(7)防止公司治理失败造成的财务灾难
(8)防止公司的业务及财务欺诈
2、完善内控体系：
在SOX法案遵从过程第一年中，通常企业必须投入大量的人力与成本去完善与补充公司的内部控制体系文件及相关内部控制测试程序及制度。根据SOX法案及COSO框架要求，企业需要从控制环境、风险评估、控制活动、信息与沟通、监督五个层面去完善内控体系文件。这其中涉及到大量的流程文档、风险控制矩阵、流程-科目关系文档、信息系统控制风险矩阵等等。很多公司花费了一年甚至几年的时间才将这些文档梳理完毕。但是，由于内控文档覆盖范围之大(涵盖了几乎企业所有的业务流程)，使得文档的更新与维护变得异常复杂而且难以操作。
因此，尽管在体系完善过程中实现了文档电子化，可是在电子化之后却又出现了新的文档维护更新的巨大挑战。如何有效地管理内控体系文件，保证内控管理的持续有效性。如何将纯粹的内控文件管理工作变成更具全局意义的企业流程管理，使内控管理不仅局限于流程内控点的维护，更关注企业业务流程(包括内控管理业务流程)的改进与提高。这些都是企业内控管理部门在经过第一年的SOX法案遵从过程后所不断思考、总结与关注的问题。
3、无IT系统支撑的内控测试与报告：
SOX法案对上市公司最为严格的一项要求是定期的对外披露并签署内部控制执行情况，还须经过外部审计师的鉴证。该条款充分体现了美国证券监管机构及司法机构的管理智慧，即证据保留，责任连带的原则。因为英美法系遵循的是无罪假设，有罪举证的原则，通过SOX法案要求上市公司把所有证据保留下来并经过鉴证与对外披露，使得在美上市公司一旦被查出财务丑闻，管理层就无法逃避其法律责任，即或者因为签署的内控报告隐瞒了真实情况而承担欺诈的罪名，或者就是因为没有按照SOX法律规定签署内控报告而承担规避上市监管法规的责任。
同样，会计师事务所也因为必须按照SOX法案鉴证企业披露的内控报告，而不得不承担连带的独立中介是否诚免尽职的责任。于是，无论上市公司还是会计师事务所在第一年中都投入了大量的人力与财力对企业内部控制的测试执行情况进行记录与报告。为此，企业的审计成本与合规成本都成倍增长，大量的测试组织、记录、报告工作都需要手工完成。