作者:本報記者 李威 來源: 字數:1985
從7月份開始,某公司銷售經理王小兵就頻繁地在幾家上市公司客戶中穿梭。王小兵所在的公司主要研究電子郵件的存儲管理,由于《企業內部控制基本規范》(以下簡稱《基本規范》)的頒布,公司的生意日漸紅火。
在企業IT控制相關條文出臺之后,很多上市公司面臨信息管理的新壓力,也使IT行業分得了內控的一杯羹。
電子郵件的煩惱
“《基本規范》出臺后,如何管理企業內部呈爆炸式增長的郵件和文檔,這都是問題。”上海一家上市公司IT部門經理劉楓說。
《基本規范》明確指出,“企業應當加強對IT開發與維護、訪問與變更、數據輸入與輸出、文件儲存與保管、網絡安全等方面的控制,保證IT安全穩定運行。”作為現代企業日常工作的主要聯系方式之一,電子郵件承載了很多的信息。劉楓表示:“海量的郵件附件占據了用戶和郵件服務器的大量空間,而且其中涉及企業諸多商業機密的信息,一般的做法是及時刪除。但內控的相關條例要求所有記錄包括電子郵件以及其他電子記錄,必須保留相當長的一段時間,而且要在規定時間內完成高速檢索。這就給我們管理電子郵件的工作帶來很大的挑戰。”這種挑戰使得企業內部控制更加完善健全,利于公司治理。北京立信長江會計師事務所合伙人唐義書認為:“這是內控促進公司治理的縮影,要求存儲郵件,如果出現訴訟等問題,法官就可以調查一段時間內公司的外來郵件,搜羅證據。相對于電話來說,這些郵件電子記錄更加正式、更加真實。”電子郵件管理只是IT控制帶給企業“煩惱”的冰山一角,企業IT控制要求企業諸多方面重新梳理管理思路。隨著《基本規范》即將實施,如何形成一個完善的IT系統值得每一個企業深思。
全面預算的壓力
如果要解決郵件存儲管理的問題,那需要制定清晰的業務操作流程和控制規范。
唐義書認為,企業在設定IT控制時,最重要的是統籌好在工程實施中可能遇到的各種問題。如果一些問題得不到妥善解決,那會對系統的運行甚至企業的運作產生不良的影響。如在設計IT系統時,不考慮員工的下崗安置,那就會有問題。
“在考慮建設系統時,企業還應該想到系統中人、財、物的長期供給,因為IT系統不是一次性投資,它需要不斷地維護、檢修、更新等。這樣給企業現金流帶來很大的挑戰,像中國人壽的IT系統維護人員有2000名左右,投入建設資金約40億余元,一般企業不可能承受這么大的投資。企業應該考慮各種因素,以免后期出差錯。因此,企業在建設IT系統前一定要做好全面預算工作。”唐義書表示。
首都經濟貿易大學會計學院副教授王海林說:“建設一個完整的IT系統,企業首先要整合梳理業務流程,將IT控制鑲嵌到各個業務流程環節。其次是組織將變更,新的流程模式會淘汰一些職位,也會產生新的崗位,所以企業要調整相關職位。比如在ERP系統里,采購員可以直接依靠系統單獨開具采購單,那開具采購單的會計職位就要撤銷,而系統要求更多流程監控和數據分析的職位,企業應該相應增加。另外,企業也應增加系統維護、網絡安全等職位。”王海林介紹,制度也要跟上施行新系統的變化,ERP系統給企業帶來了新的管理方式,企業應該增加更多的關于IT管理的條規制度。比如對所有的重要信息進行密級劃分,包括書面形式和電子媒介形式保存的信息。
“最后一點是員工素質的培養。其實,最難的是轉變思想。很多老員工習慣在某一個職位上工作,但是使用ERP系統后,無論是設備的操作,還是業務的開展,對他們的能力都提出了更高的要求。我曾到東莞一個臺商的電子企業調研過,這家企業在使用ERP系統后,一個做會計的女工在上新崗前專門接受3個月的培訓,因為新崗位要求新的操作技術而且更側重分析數據的能力。”王海林說。
企業不但要從業務、組織、制度、人員等方面做好準備而且要有好長期計劃,實施IT是一個比較漫長的過程。
IT防范的風險
完備的IT控制有助于防范風險,但IT本身也帶來新的風險。立信會計師事務所首席合伙人朱建弟表示:“這種風險顯而易見,企業運用IT能夠簡化程序,提高效率,同時也將企業所有的信息集中到一起。一旦系統出現故障,或者掌握集中信息的員工將信息泄露出去,企業將面臨很大的風險。如果企業局域網連接到互聯網,還有可能受到病毒或者黑客的攻擊。”要解決這些問題還得從制度著手。朱建弟認為:“在技術層面一定要制定相應的防范措施。比如規定企業IT不準備連接到互聯網上,而且進出系統的U盤要經過嚴格檢查等。同時,還要加強員工的培訓,防范道德風險,比如將員工的績效考核與企業相掛靠等。”對于如何控制風險,王海林有自己的理解:“一旦企業使用ERP系統,信息管理相關部門將占有絕對的優勢。因為他們能接觸到企業最集中最全面的信息,掌握了更多的主動權,所以企業要想辦法使各部門之間制衡。另一方面,我認為IT應該采用項目管理的方式運作,這樣能更好地推動IT的建設。”防范IT控制風險,IT內審等一系列的措施也應及時跟進,這些都需要企業仔細全面地琢磨。
