【IT168 信息化】
　　

　　《企业内部控制基本规范》简称内部控制（以下简称内控），是由财政部会同证监会、审计署、银监会、保监会等五部分共同于2008年5月制定的应对企业内部风险的法规法案。

　　而在企业内控中，“信息化或者IT体现出了加强企业内控中的作用，所以企业控制风险管理，迅速落脚点还是要在我们信息系统当中，信息化是重要的保障。首先要建设我们风险管理系统，内控体系是要以信息化作为基础。第二，我们信息化建设现在信息化应该越来越多体现内控风险管理要求，以往CIO在建设信息系统时候，建设基础设施、应用系统，可能并许多过多的考虑内控和风险管理要求。一旦意识到了风险管理对企业重要性以后，信息建设要充分考虑这些因素，从业务、管理、决策层面都要考虑这些因素。”某内控与信息化论坛上著名的内控与信息化专家指出。由此，我们可以看出信息化在企业内控不可替代，那么，作为信息化的负责人CIO在帮助企业做内控管理时会遇到哪些难题？而临的挑战和困惑又有些哪些？本文为CIO解开答案，让我们先了解内控在国内企业的发展情况。

　　企业内部控制建设历程

　　从70年代就是改革开放以后，特别是第一部会计法的实施，这是一个标准性阶段。在满足社会不同需要，出现过满足核算制度等等。

　　80年代初期，提出岗位分离。

　　90年代，会计法实施的时候财政部96年发布会计规范，规范要求各单位进一步建立健全包括内部控制先进内部会计管理制度，会计法明确要求各单位建立内部管理，这是内部管理的法律依据。
　　2001年6月22日，财政部依据会计法规定又制定了企业内部会计控制规范。

　　2002年7月30日《萨班斯-奥克斯利法案》（“萨奥法案”）的颁布，标志着世界上最发达资本市场的监管者已经将内部控制体系的建立、维护、评价和报告看作是经营者的重要责任。

　　2006年，中国公布了《新会计准则》，同时新《公司法》、《证券法》和《物权法》等重要法律的修改。所有这些外部环境的变化，都要求公司强化法人治理结构，高度关注企业风险，加强内部控制。从法人治理结构层面的内控环境营造到公司各级规章制度中的内控功能都需要进一步加强和完善，规范公司的经营行为。

　　2008年5月，财政部会同证监会、审计署、银监会、保监会等五部委推出《企业内部控制基本规范》。
　　2009年7月原定于1号实施的《企业内部控制基本规范》及其配套指引延期至2010年1月1日。

　　企业内部控制基本规范的框架体系分为“一个基本规范、三个指引”，一个是基本规范即《企业内部控制基本规范》，三个指引指《企业内部控制应用指引》、《企业内部控制审计指引》和《企业内部控制评价指引》。

　　内控建设CIO面临的挑战和困惑

　　根据笔者对于采访的CIO中发现，现阶段CIO在帮助企业做内控实施时而临着许多的困惑和挑战，分析原因有以处几点：

　　一、领导内控意识比较薄弱;

　　自从美国的安然事件发生以后，国外的的萨班斯法案在不断的完善过程当中，企业的管理层对于内控的认识相对来讲比较高一些。但并不是所有的管理层能意识到内控的重要性。而在国内， 在看待内控的问题，企业的管理层更多的时候认为是在给企业“找事儿”做，对于内控的看法也是处于不是很积极的状态，同时，因CIO在企业中的位置还没有得到显著的提升， 这就造成CIO在做内控的时候，得到领导的支持不是很多，虽然内控是由企业的领导牵头，但在具体最终的落实过程中需要涉及到很多的问题，对于内控，信息系统的投入也占据了很大一部分，当CIO申请信息系统的资金时，也许会得不到管理层的支持，造成CIO无法帮助企业顺利的执行内控的基本要求。

　　二、内控人才缺乏;

　　内控兴起不久，企业对于内控人才的培养也处于初级阶段，在加上人才本身管理水平的有限，对于内控的理解和看法都存在着不足， 因此，全面复合型人才现在急剧缺少，CIO虽然懂IT，但对于企业的业务、审计都了解毕竟还是缺少一定的专业知识。 因此，CIO在帮助企业落实内控时缺少有力的人才支持，如何培养复合型的人才已经成为内控实施的关健。

　　三、实施的成本比较高;

　　内控的最终落点是需要IT系统的支撑，从IT的角度来看，要想做好内控，必然要有新的IT投入， 而IT投入对于企业来看无疑是增加企业成本的，尤其是金融危机刚过的后危机时代，企业处于一个缓气的阶段，如果在进行IT投入对于企业是一笔不销的开销。

　　四、业务流程管理水平很低，增加了内控管理的难度

　　内控是为了加强企业的经营管理与风险管理，如果是经营管理必然要改变现有的企业不合理的业务流程，而目前的现阶段的现状是，部分企业的业务流程管理水平很低，对于流流程的梳理非常困难， 同时又需要IT的环境实现流程的梳理，给企业的CIO造成了很大的困难，同时也给企业的内控管理带来了难度。

　　五、内控体系改革的中心、编制审核等很难适应业务的变化

　　因企业的组织是在不断调整、业务流程是不断变化的、信息系统建设是逐步推进，每次企业做变革都需要企业重新审计文件，企业内部体系文件难以根据外部环境变化进行及时调整。企业的信息系统同时也无法及时的做出调整，使CIO无法及时的运用信息系统来支撑企业的业务。

　　六、内控难以监督

　　在内控实施方面，内控体系文件要求内控体系设计与执行的一致性，同时在实施过程当中保留一些审计检查，这样做将存在几方面的问题：一、缺乏有效的发布实施平台，内控文件怎么能够让企业内部从高层到基层管理都知道。二、企业控制点较多，如果全部用人工进行控制，控制成本会很高。

　　在整个体系监督和改进方面，要对体系设计合理性，实施彻底性监督并且定期出一些评价。“但是内控体系监督本身工作量很大，协调的难度也很高，这样导致合规的成本是很高的。第二就是我们需要和一些企业定期每季度，每年度要做监督测试的工作，这些工作资料实际上对我们整个体系持续优化是很重要。但是我们多企业做完以后，发现资料量太大，我将来不会再利用，达不到我们持续优化的目的。”某国内著名内控专家强调。