娄权　邓超然　付细军

[摘 要] 搭建内部控制信息管理系统，是内部控制从规范走向成熟的重要标志。在搭建内部控制信息管理系统时，应体现内部控制工作的业务流程，在该系统中应设计风险评估、风险预警、内控评价、内控整改等主要模块，以满足日常内部控制工作的需要，并做好系统规划、选型、测试、验收等相关工作。

[关键词] 内部控制；信息系统；风险预警

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2016. 05. 025

[中图分类号] F270.7 [文献标识码] A [文章编号] 1673 - 0194（2016）05- 0044- 03

0 引 言

2008年，财政部等五部委联合发布《企业内部控制基本规范》，2010年，五部委又发布《企业内部控制应用指引》《企业内部控制评价指引》和《企业内部控制审计指引》等配套指引。此后，部分上市公司、国有企业开始导入内部控制体系。在内部控制管理规范、提升的过程中，部分公司开始搭建内部控制信息管理系统。由于内部控制在我国尚属于新生事物，大家还在摸索、积累经验，内部控制信息系统不像用友、金蝶ERP那样成熟和标准化，在搭建内部控制信息管理系统时有哪些注意事项，本文将进行初步的探讨。

1 搭建内部控制信息管理系统的必要性

1.1 是大数据时代的必然要求

随着信息技术和互联网技术的迅猛发展，人类社会已经进入大数据时代，在企业内部，产生了海量的各种各样的数据，有业务的、财务的、当下的、历史的，纵横交错，互联互通，这就需要坚持大历史观和大数据思维，搭建信息系统，从海量的数据中进行数据挖掘和提炼，分析可能存在的风险点，并提前实施风险预警、风险预控和制订风险应对措施，这些都是人工控制难以做到的。

1.2 是内部控制从规范走向成熟的重要标志

“管理制度化、制度流程化、流程表单化、表单信息化”这二十个字在一定程度上概括了内部控制管理工作的精髓，企业在规模不断壮大的过程中，不能仅靠强人的权威，而应诉诸制度建设，实现制度化管理。为便于制度的落地，应将制度进一步转化为流程和表单，进而将业务嵌入信息系统，实现在信息系统上走流程，提高制度执行的刚性和权威性，信息化是内部控制从规范走向成熟的重要标志。

1.3 是集团化风险管控的利器

在集团型企业，总部专业部门、所属分子公司、业务领域、流程、员工人数都较多，如果不充分利用信息化手段，内控工作将会比较困难。一方面，无法及时了解及分析各专业部门或分子公司的内控管理现状以及面临的风险事项；另一方面，整改措施落地较为困难，难以验证。导致内控规范、内控评价、内控优化无法形成闭环。

2 内部控制信息管理系统的架构

内部控制信息管理系统应主要包括哪些内容，或者说应该包括哪些主要模块，才能满足内部控制实际工作的需要？我们认为，内部控制信息管理系统应该体现内部控制工作的业务流程（参见表1），即风险信息收集、风险评估、风险应对、风险预警、内控评价、内控整改、内控审计、内控考核，并嵌入内控工作工具包（如法规库），以便查阅。

2.1 风险评估模块的主要功能

①收集公司内外部风险信息，如行业资讯、宏观经济数据、新技术、新工艺、国家环保政策等；②风险分析，根据风险发生的可能性和影响，分析风险；③根据内置模板，绘制风险坐标图；④按照风险发生的可能性和影响进行风险排序，一般列出公司前十大风险点；⑤根据内置模板，编制、修改风险清单，并能按照关键词进行查询；⑥根据不相容职务清单进行风险评估；⑦计算在险价值（VAR）。

2.2 风险应对模块的主要功能

①计算风险承受度；②根据风险成熟度，考虑风险的性质和高低，制订风险应对策略；③根据内置模板，编制、更新风险库（内控矩阵）；④根据内置模板，绘制风险雷达图；⑤结合风险评估、内控评价结果，提出制度修编建议。

2.3 风险预警模块的主要功能

①计算、上传关键风险指标（KRI）；②将KRI与本公司历史先进数据或标杆企业领先数据对标，显示红绿灯和驾驶舱；③根据内置模板，编制重大风险事件报告；④参考Altman破产模型，建立计量模型，进行财务危机预警；⑤进行资金流断裂预警；⑥量、本、利敏感性分析。

2.4 内控评价模块的主要功能

①根据内置模板，编制内部控制评价工作方案；②编制、上传、在线审核、修改内部控制评价工作底稿；③上传、审核内部控制缺陷汇总表；④根据内置模板，编制内部控制自我评价报告；

⑤根据内置模板，编制年度风险管理报告。

2.5 内控整改模块的主要功能

①根据内置模板，编制内部控制整改工作计划；②根据内置模板，编制内部控制整改台账；③根据内置模板，编制内部控制整改报告。

2.6 内控审计模块的主要功能

①根据内置模板，编制内部控制审计计划；②根据内置模板，编制、在线审核、修改内部控制审计工作底稿；③根据内置模板，编制内部控制缺陷汇总表；④根据内置模板，编制内部控制审计报告。

2.7 内控考核模块的主要功能

①根据内置模板，编制内部控制工作亮点及工作总结；②根据内置模板，编制内部控制检查报告；③根据内置模板，编制内部控制考核意见。

2.8 内部控制工具包

①内控中长期规划（需要滚动修编）；②内控年度工作计划；③内控年度培训计划；④内控手册；⑤业务流程图；⑥权责表与不相容职务清单；（⑦法规库；⑧案例库；⑨内部控制参考书目。

3 主要注意事项

3.1 做好系统规划

公司开发内部控制信息管理系统，应做好统筹规划和顶层设计，防止重复建设，分子公司不要一哄而上，应在集团总部统一规划下有序、分步实施。公司应根据内部控制信息管理系统整体建设规划编制项目建设方案，明确工作目标、工作团队、职责分工、经费保障和进度安排等，做到有序开发。

3.2 与其他信息系统的集成

要做好与其他信息系统的对接，防止出现信息孤岛，内控信息系统应与ERP 、OA、基建MIS、营销MIS、e-HR等系统集成，无缝连接，实现数据共享、互联互通，进行数据抽取、钻取和挖掘，提高内部控制管理工作的精细化水平。

3.3 做好系统选型

公司搭建内部控制信息管理系统，一般聘请专业的软件公司协助实施，这就要求做好系统选型工作，在招标、评标、定标阶段不能低价招标，应综合考虑软件服务商的专业技术能力、经验、报价等。开标当天，最好邀请软件服务商现场讲解标书，并进行初步沟通和互动。

3.4 做好项目管理

公司搭建内部控制信息管理系统，一般聘请专业的软件公司协助实施，不能当甩手掌柜，应做好项目的跟踪管理，尤其是项目进度、质量的掌控，系统开发完毕，在验收阶段，应聘请专业的软件工作人员进行验收，提出专业意见。

3.5 重视系统试运的准备工作

系统正式上线前，需要试运，要请专业的软件技术人员和内部控制专家进行系统的测试，并做好相关人员的培训工作。

需要说明的是，内控信息化难以一步到位，通常是先开发内控文档管理模块，将风险矩阵、内控手册、权责表、业务流程图等内控建设成果导入信息系统，进行固化，不仅便于查询和修改维护，还能确保版本的唯一性。

4 结 语

内部控制在我国尚属于新生事物，内部控制信息系统还不成熟，在搭建内部控制信息管理系统时，应体现内部控制工作的业务流程，将风险信息收集、风险评估、风险应对、风险预警、内控评价、内控整改等工作嵌入信息系统，并做好系统规划、与其他信息系统的对接、系统选型、项目管理、测试培训等工作。本文对于内部控制信息管理系统的标准化、商业化具有一定的参考价值。

主要参考文献

[1]财政部.企业内部控制基本规范[S].2008.

[2]财政部.企业内部控制应用指引[S].2010.