2009上市公司内控管理与信息化建设论坛 速记

主持人：非常感谢陆先生的精彩发言。下面我们有请用友公司NC产品架构师付建华女士。

付建华：各位来宾，上午好，非常荣幸能够有这次机会我们借助这个平台，用友公司和我们在座的企业高管，我们公同探讨一下信息化环境下企业内控的建设。

说到这个话题，在今天和大家交流的时候，除了在后面介绍用友NC系统，之前还要想稍微花一点时间交流一下IT技术或者说在信息系统环境下，企业内部控制管理差异和重要性。

首先看看IT环境下企业内部控制体系的建设，前面我看到来自于不同的企业嘉宾都提到了。我们说到企业内部控制系统建设的时候，我们都知道离不开IT的手段和工具，实际上在我们交流这个问题的时候，如果我们是在座企业的CIO，或者你是企业将来服务内控工作开展职能部门的负责人，我觉得首先要思考一个问题，在目前IT环境下，我们这个企业开展内部体系建设、健全、保障它有效执行，然后进行监督和评价的时候。到底和原先在传统方式下产生了哪些差异。在《萨班斯法案》颁布以前，没有一家企业可以说我们没有一点内控机制，如果你是中型企业、大型企业，企业制度和相关文档这些东西在企业当中都是有，但是法案颁布以后对企业要求更加体系在几个方面。第一是内控是否完善健全，第二风险内控是否得到有效执行，第三法律要求进行监督评价，如果内控有漏洞，没有让公众及时了解到，要承担相应的法律责任。

在企业围绕三个层面开展内控管理建设，执行评价的时候，首先你要来思考一下在IT环境下， 或者说信息技术与信息技术结合情况下，企业内控管理如何开展。首先看一下信息技术给企业内控管理带来影响有哪些方面。

首先控制原则和方法发生巨大改变，我们原先说内部控制基本原则和方法，我们知道有原则，目前对于企业也可能要非常关注信息技术，IT环境下控制原则变化，信息技术成为企业内部管理很重要的方法、手段和工具。第二是控制内容和方位，从5部委中我们可以了解健全企业内部控制体系，IT控制是你企业必须要关注一个领域，原先你非常关注我企业工作治理机构，组织架构，职责权限，业务流程在企业循环的控制。在当今企业环境要更加关注IT控制这块，要思考一下我们企业以前，公司以前在IT控制领域是否有健全的控制体系，制度是否有有效的监控手段。这也是一个巨大是变化。

第三个方面也是IT技术对企业带来的挑战，你的内控制度体系设计非常有效，但是执行是否得到有效保障，所以说内控执行在目前管理情况下，所有企业或者说大中型企业借助于IT系统保障内部控制有效性。在座的各位领导公司知道没有一家公司不会使用一部分软件，比如说使用ERP系统，Oracle或者用友，其它软件系统。你的核心业务、财务信息、报表会在这些系统里面产生，那么如果说这个时候你的内部控制执行的手段，或者说执行的评价要绕开ERP系统或者是IT系统，企业可能就不能正常运行。第三点我们可以用一句话指导它的重要性，对客户框架有深入分析，我们知道全球包括美国、英国，包括新加坡、香港、日本，还有我们现在中国，所以的国家在制定内部控制相关法律规范的使用框架，是遵循的COX框架，如果你这个企业的内部控制执行，是依赖于某些IT工具，比如说ERP系统，其他的软件工具，将来第三方见证机构对企业进行内部控制审计评价，可以适当的减少审计工作量，提高内部提出有效性可信任评估，所以借助ERP执行是非常重要的了。如果说像我们原先很多在海外上市公司，每年请四大帮你做内部审计，或者咨询费用是非常昂贵。如果说我有了可靠ERP系统，所有内部控制都在ERP系统当中得到良好体现和控制，你的审计和相应成本会缩小了降低很多。这也是企业要关注的重要一个方面。

另外一个方面就是控制监督及我们知道法规颁布以后，对企业带一个新的挑战，就是内部控制必须进行监督评价。这个监督评价包含两个层次，第一个是内部监督评价，我们看到国内上市公司都着手把企业的内部及审机构职能进行扩充，原先可能是传统审计就是报表审计，现在要扩展传统的审计，企业内部控制、独立审计等等方面。在内部监督评价同时，法规明确要求必须请外部第三方机构进行有效评价。在评价和监督的时候，我们知道首先我要检查你的内部控制设计是否健全、有效。检查的时候事务所是看内部控制设计是不是得当，这是第一个。接下来就是内部测试执行是否有效，要看你内部控制的证据，企业核心业务在ERP系统上，那么ERP系统可以帮助你保留你的关键业务执行过程当中证据、文档、资料、报告，供你企业内审，机构检查一些证据，做出评价。同时，我们知道如果你看这个基本规范的时候，只说了一句，要请第三方机构对内审机构评价，你需要在年报当中明确的公告你的企业内部，对企业管理层，对内部工作的评价结果是怎么样的。我们看到很多上市公司从2007年年报当中就开始披露，大概有两段话，认为我们公司内部工作是完善有效健全等等，这一段话是给公众看。背后包含内容非常多，你这个有效性是要有证据，虽然没有披露给公众但是都要包含在企业当中。所以这些数据依靠手工整理这些证据，保留这些证据基本是不可能实现的。

第四方面也是我们企业在现在应对法律法规要求的时候，要考虑的，我们怎么保证这个有效性评价，提供证据。这四个方面对我们是非常重要，这是我们提到的第一个方面，IT控制内容增加，我们时间有限，不相信展开讨论这些问题。如果说我们是CIO，IT控制这一块领域要围绕这些部分，IT控制建设是围绕这些方面。在这些方面当中如果你的企业用了软件系统，比如说ERP系统，ERP本身的环境控制，本身安全性是你IT控制重要核心内容，这个是给大家作为一个简单提示，不要忽视这个方面。

另外在执行的时候，我们看到执行的过程全面可以在系统得到有效保障，当然企业内部的内容涉及到公司治理到每个业务全部内容，其中有很多关键核心的东西，我们可以借助平台网上控制执行有效性，将来要借助ERP系统内部控制执行过程信息记录下来，证据记录下来。我们举一个例子，假如说信用控制是企业非常关注的点，在很多行业信用控制是风险非常高的地方，信用控制的制度，文档设计好以后，接下来要让信用控制得到有效执行，这就要包含一系列的动作。首先要先做什么资质鉴定评价，有相应的资料。评价完毕以后设定信用的情况、信用的额度，所有业务发生完的时候是否受到了控制，这些都是控制证据。这些控制证据如果说你销售管理系统采用是ERP系统，ERP就应该帮助你留下这些信息证据。这都是将来第三方审计的时候要看的，如果第三方审计的时候，看的时候问你这些信息在哪呢，我说我们不是手工管理是ERP管理，但是这个ERP系统当中也没有记录出来完整的信息，这个时候事务所说你的系统是有漏洞风险的，我不能数据无保留意见报告了，所以说在这些方面，将来检查一个系统，软件系统能不能满足我们内控要求是非常重要。

在我们用友公司内部部署多条产品线，分别面对不同客户群体。NC产品也很多企业接触过，是面向与中高端客户群体，尤其是集团性企业的一个完整ERP软件。目前来说我们很多上市公司最先要受法律法规约束的上市公司，集团企业占的数量比较多，集团企业在开展内部控制管理的关注点和一般企业有非常得大区别。比如说我是一个小型企业或者中型企业，内部按照常规内容流程设计开展就可以了，但是对于集团公司来讲内部控制涉及到所有业务职能，还涉及到总部对下述不同类型分支机构控制，第二方面控制是目前设置企业内部控制的时候一定要关注的地方。比如说原来中石油、中石化内控系统走得比较靠前，目前应该重新构建检查内部控制体系的时候，一定要关注这个环节，比如说你的权限的重新设计，权限体系的重新设计，必须从总部一级子公司到分级子公司下来的，我们采购业务是集中采购，某些物资在集团总部有那些，下级子公司有哪些，是要纵向考虑。所以说由于企业集团在控制管理特殊性考虑。

这个软件是为集团企业设计还是为一般企业设计的。NC系统的年软件系统首先一个完整的ERP系统，在2005年、2006年我们开始跟踪相应的法律法规，还是做相应产品规划和完善，我是NC产品内控产品设计人员，实际上在NC产品当中，信息化除了目前完整ERP系统以后，也结合了相应的法律法规，不管是《萨班斯法案》还是国内法律法规，对企业要求就分四类，我们很多企业接触法规的时候，或者搞控制体系不知道该怎么入手，其实就是一个四个方面，第一是内部控制制度的设计，内部控制的执行，内部控制的监督评价，最后就是证据，左边是法规对你企业的要求，每一个领域你合规应该满足要求是什么样的。

结合法规的要求，将来考核软件系统要求软件系统在这些方面支持内部控制开展，第一内部控制稳当跟ERP系统产生一些交互关系，我们内部控制文档文件资料一大堆。然后实际上我所有这些内部控制流程在软件系统里执行，我要看一下某一个业务内部控制文档，再检查执行有的时候很难结合起来，应该要求软件系统提供文件记录或者关联功能，让把两者有机结合起来。第二检查软件系统控制是否严密，是否可以满足你关键业务、关键控制点在你软件上面开展，这也很重要。企业内部明确岗位分离，看五部委规范的时候，每一个集体规范第一页都写了，你要把权限文档变成权限体系，是否可以帮助你稽核不相融职位和岗位的分离，这是很重要。第三要求软件系统对企业关注核心业务数据保留审计线索，这是非常重要，如果没有审计先线索我就不能检查制衡过程中有没有什么漏洞。如说软件系统当中客商档案信用额度随便被别人修改过，修改完了我也不知道。那这方面你们企业这在分析漏洞就是非常大，我关注客商信用额度信息，软件要给我记录，某人是否修改过，什么时候修改，我能够记录下来。

第四点，能够在软件平台查询关键的控制流程、控制点和情况，要求评价内部控制时候要做的工作，这个工作同样要借助软件系统。前提就是一个你的业务是在ERP里面，手工评价是不可能，要对软件这些方面也有要求，我有一个观点和大家交流如果你业务财务都是在依靠ERP系统执行，这套系统检查评价内部控制是最重要。你的内部控制是在用友系统当中执行，你用另外一个软件检查你内控是否得到有效执行，这个效果会大大折扣，如果我们是企业CIO同一个软件公司设计出来不同软件产品之间的集成程度，不可能像一套软件集成程度那么好，一个厂商可以帮助你控制执行，又可以帮助你监控执行是最有效的，集成性我觉得是非常重要一个方面。

另外在平台监督内部控制执行，做出评价。结合这些方面在用友NC产品当中，在各个层次上面为企业提供内部控制服务功能和产品功能中这也是让厂商要求做的，实际上在为企业提供服务的时候，从内部控制管理上面可以分五个层次，刚才我们说到这个企业现在搞内部工作必须关注IT控制，当中软件系统环境控制是非常重要的方面，如果整个企业应用软件是一套，或者核心业务都在用友软件里面，都在SP的软件里，首先肯定要检查这个软件自身的控制是否严格，严密。比如说输入控制是否安全、输出控制是否安全，处理控制是否安全。比如说输出控制，安全机制是否能够满足企业的要求，这件事情说起来简单，但是实际上实践起来也比较难，所有用户进入系统要有用户密码，这个机制是否安全，除了一般的密码是有特殊保障，我们知道在企业当中风险非常高的岗位就是出纳，出纳人员可以去执行付款的动作。如果这个人员可以随便被别人篡改密码登陆系统的话风险就太高了，这些方面软件系统应该有安全的机制，保障你这方面安全还是很有效。

另外我们考虑内部控制建设的时候，关注的一般控制内容，在企业内部控制规范当中也提到了，企业应该关注核心控制的东西，比如说权限、审批、稽核、风险预警等等，这些是所有业务要遵循控制关键点，我们用友满足所有的机制和功能比如说系统当中权限、模型，然后用户决策模型，是帮助你权限方面的模型，是否可以满足企业审批控制要求，系统当中预警机制，是否能够满足你控制风险预警等等。这也是在NC系统当中第二个层次提供的价值。第三方面就流程控制，我们知道所有企业核心业务流程设计了很多控制点，比如说销售业务、采购业务、投资业务、财务报告编制等等，所有这些业务都会涉及到很多的控制点。那么你原先在选择ERP系统的时候，原先这个厂商ERP系统能不能满足我们业务流程，现在要增加另外一个考虑纬度，除了满足销售业务还必须满足我们销售控制在系统当中得到有效执行。业务系统方面我们NC系统结合我们五部委颁布《《企业内部控制基本规范》的要求，全部满足了，没有满足现在把这些内控点在产品中进行了相应补充。

第四方面是为我们内控的监督和评价服务的相应产品，比如说我们将来要监督这些控制的执行和评价，你要帮我留有完整审计线索，帮我把相应控制流程和一些规则输到系统当中去，要提供平台，让我看到我的内部执行情况是怎么样的。这就帮助企业减轻了大量的工作，所以这也是我们提出新的产品功能。

第五个方面是我们公司本来有审计产品，原先我们企业在选择ERP系统的时候，可能不会过多地关注审计的产品，将来就有可能非常关注，企业内审机构在企业发挥职责职能越来越重要。你内审的时候是需要借鉴软件的平台。所以第五方面也是软件系统提供给我们的相应价值。

这是刚才我提到跟各个方面，比如说提到第一个系统环境工作，看一下NC系统，在安全性控制提供功能和机制，然后审计线索，安全性NC系统当中可以实现对企业你关注核心的数据、单据、文件、报告单独做CA认证。比如说刚才说的出纳，付款我们要做CA认证，比如说我们非常关注核心报告阅读也可以做CA认证，等等。这样保证系统风险高的地方有效地方安全保障。第二，系统日志非常重要，在NC系统当中分为操作日志、功能日志，帮助企业保留日志信息，结合内控要求不能仅仅结合在原先我们记住某个操作员某天某时间登陆过，要记住相应操作动作， 供给，内容是什么，当然这是跟企业不同要求，你来设计你要关注哪些东西，系统就帮助你保有哪些系统。

另外就是撤离上面安全机制要求，比如说系统处理价值，非常重要财务报告完整有效。现在每个几个企财务报告是用手工都是软件，那么系统中处理结构是否安全，也决定了你企业报告的完整有效，管理层解读资产负债表，是否是最准确的债务信息，要取决于系统报告生成机制，比如说这个系统根本没有检查机制，财务系统操作人员。所以系统处理安全机制是非常重要。

第二方面就是系统平台可以为我们提供一般控制规则。比如说系统会提供完善的权限模型，NC系统模型可以结合你对人设计非常细致的权限。软件会帮助你检查不相容职务是否分离，比如说出他和会计给一个操作人员，软件系统可以帮助你检查出来。分角色应用等等，审批的控制，预警平台。

第三方面就是ERP系统各个业务系统可以有效的支部内部控制的执行。这个是企业案例，实际上做得比较好企业，内部控制是制度当中的一个部分，将来我们如果说在座企业内部控制体系还没有健全，制度没有完善，将来你也可能按照这个思路做，分析业务目标，风险，设置控制点，设计监督检查办法，然后形成流程图。这些东西设计完毕以后，要把它的核心东西伴随业务流程开展同时，控制在系统当中得到有效执行，从控制方法预防性控制比检查性控制永远都有效。比如说销售业务必须做信誉额度检查报警等等，都需要做规格，销售价格自动控制等等，都必须借助软件平台保证它的准确有效。这不详细分析了，这也是你在软件系统选择关注点，也是NC系统提供的核心价值。

第四点就是内部控制过程文档证据记录，和内部控制有效性的评价。在这个方面实际上也是对软件系统要求，同时NC软件系统希望在这个方面给企业提供帮助，比如说业务流程发生的时候在系统当中会有很多单据信息。这些都是证据，业务系统可以把这些证据分类，实现各种各样查询，和你风险息息关联，同时跟你后续支持评价。另外，产品可以做内部控制监控平台，告诉你的相关业务流程的控制，你的风险有多大等等帮助你做监督。

最后就是审计系统，实际上企业内部审计开展内部管理的时候，同样要借助审计系统检查ERP系推内部控制执行有性。

今天就用短暂的时间把用友NC系统，在企业内部管理建设中能够为我们服务和价值做一个简单介绍。各位领导和嘉宾有意见的话，用友公司也在做很多市场活动，再做详细的交流和分析，谢谢大家。