内控与风险管理的信息化

　　建立企业的内控与风险管理体系从根本上来说就是要做三件事。一是要搞清楚控制的对象；二是要理清楚风险点并制定相应的控制策略；三是进行有效的控制，从而确保风险并控制在企业可承受的范围内。

　　企业的日常运行是基于由一套套制度和流程所构成的管理体系展开的。因此，内控和风险管理所要控制的对象是企业现有的管理体系。但是，当企业规模达到一定程度时，离开IT技术的支持，要真正搞清楚自已的管理体系却并不容易。

　　1.IT技术对于企业有效进行“管理体系梳理”的价值

　　我们设想一下，如果在某企业内随便找一个员工，问他是否知道在其职责范围内的某件事应该如何操作，他可能随口就可以说出个一、二、三来。但是，如果我们再追问一句，“你是否确认这样做一定满足了企业的各种管理要求，包括ISO9001、六西格玛、精益化管理、平衡计分卡、HSE、风险控制以及公司有史以来颁发的所有规章制度？”，绝大部分情况下这个员工是不敢确认的。

　　类似上述情况还可以举出很多事例，我们将此称为“管理体系孤岛”的现象。一个企业在发展过程中往往会不断地引入并应用各种先进的管理理念和方法，这些理念和方法的引进一般都以项目实施的形式展开，并随着项目的结束给企业留下一套套的管理制度和流程。由于这些制度和流程之间并没有进行过有效的整合，从而造成各体系之间存在相互脱节甚至相互冲突的情况，这种现象给企业造成的直接问题就是各种管理要求不能被真正全面地执行。

　　有一家很著名的企业，其多年来所制定管理制度和流程有四五百本之多，最后导致具体执行时员工都不知看哪本制度为好。其采购员曾抱怨说，“哪道我下采购订单时需要先看一下全面风险管理小组给我的<<内控手册>>，然后再看一下质量团队给我的ISO9001的<<程序文件>>，之后再看一下平衡计分卡项目组发的<<行动计划>>，接着再看一下ERP项目组写得<<采购流程操作手册>>，最后再下采购订单?”。

　　总之，不管引入并建立了多少种管理理念，企业都必须将他们整合成一套制度和流程，而企业的员工只要严格按照这套制度和流程中所规定的要求开展工作即可以满足所有管理体系的要求。本来，企业制定各种各样的规章制度、流程手册、程序文件、工作指南就是为了明确和规范做事的方法，但纷繁复杂的“管理体系孤岛”最后却反而让具体的执行者搞不清方向了。如果连应该怎样做都讲不清楚又怎么能指望员工认真全面地执行呢？如果连被执行的管理体系究竟是什么都搞不清楚，那就更谈不上真正意义上的内控和风险管理了。

　　解决之道是企业可以供助于IT技术建立统一的信息化的制度和流程管理平台。所有的制度和流程都必须在此平台上进行建立、修改和发布。企业所有的制度文件、流程手册、岗位职责也必须通过这个平台自动生成。这样可以借助IT技术有效地避免不同管理体系之间的不协调和冲突，并实现管理体系的整合。事实上，没有信息化管理平台加以支撑，全凭人工管理来实现上述所谓的管理理念是非常困难的。信息化技术的优势就是可以通过功能、权限和工作流的设置来固化流程管理本身的各种制度和流程，并且可以大大提高管理体系整合的效率和精确程度。

　　另外，信息化技术还能使相关人员方便高效地进行流程的设计、更改和查询。西门子、中石油等公司就建立了这样的信息化管理平台并取得了不错的成效。过去几年，众多企业都实施了ERP等信息系统，使得财务部、质量部、生产部、采购部、设备部、销售部等部门的管理水平提到了有效地提升。但对于企管部、内控部等企业相关“立法部门”的工作却没有一套类似的“ERP”系统加以支撑。统一的信息化的制度和流程管理平台就是这样一套给企业“立法部门”用的“ERP”系统。

　　2.IT技术对于企业有效进行“风险评估”的价值

　　所谓“风险评估”是指企业及时识别并系统分析经营活动中的风险并合理确定风险应对策略。要做风险评估，首先就需要有评估的对象。管理体系梳理的目的就是要提供这样一套清晰的、准确的、可视化的评估对象。

　　传统的风险评估方法，就是各分子公司或各部门将梳理完的制度和流程交给企业的内控及风险管理团队，由他们在现有的制度和流程上去识别和标识风险点，并制定相关控制策略。有一家大公司，下属几十家分子公司，每年采用集中式的风险评估方法以，几十家分子公司的带着各自的制度和流程文档来总部进行统一的评估，耗时近两个月，花费以百万计。另一家大公司的做法与之相反，由总部的内控和风险管理团队每年到各分子公司巡视一遍，总成本也在百万以上。一般来说，各公司每年用在手册更新等“风险评估”工作上的人力和财力都是比较高的。

　　传统风险评估方法存在的另一个问题是风险管理相关文档的互通性和集成性较差。比如，有一类风险叫“虚增或截留销售收入”，理论上任何制度或流程中，只要涉及“收费并开票”这一个环节就都有可以产生这一风险，就都需要对这一环节进行控制。如果我们制定了相应的控制策略，那么如何在一套套制度或流程中找到所有涉及“开票”这一环节的部分，并将相应的风险控制策略加入到相应的环节中去呢？传统的做法是一个文档一个文档去搜寻，费时费力且极容易遗漏。

　　更为严重的是，如果我们更新了针对此类风险的控制方法，那么还需要一个个环节去更新，这对于企业提高及时发现风险并进行有效控制的能力是很不利的。

　　解决之道是基于企业所建立的统一的信息化制度和流程管理平台去开展风险评估工作。即企业只有一个制度和流程发布平台，所有制度和流程均在平台上发布。进行风险评估时，只要对此平台上的制度和流程进行评估即可，大家不用跑来跑去。如果，风险与内控部门更新了某一类风险的控制策略，则此IT平台可以自动找到所有相关的工作节点，并更新其控制措施。这相当于将风险数据进行集中管理，所以管理者还可以依据风险发生可能性高低和对目标的影响程度进行整体的定性或定量分析，并较容易地对风险、流程、制度等元素进行多维度评估，促成必要的行动去阻止或者减少重大的损失或者事件。

　　3.IT技术对于企业有效进行“风险控制”的价值

　　完成风险评估并制定控制措施之后，就是如何开展测试工作以确保相应措施落实到位的问题了。内部控制测试基本方法包括询问、观察、检查和再执行等。测试程序一般可以划分为准备阶段、实施阶段和总结阶段。测试组需要将测试资料及测试报告及时上报测试组织部门，并对测试中发现的缺陷进行评估。

　　通过信息化系统可以将上述测试流程和制度固化并形成一套有效的工作机制，这可以大大节省测试的准备时间和测试过程的成本，并提高测试的效率和精度。当然，信息化系统的另一优势是可以基于测试过程中所收集到的大量信息进行各种综合分析，并出具分析报告，从而有助于企业管理层及时了解企业管理体系的运行状况。

　　总体来说，应用信息系统进行企业的内控和风险管理，可以极大提高风险管理信息在各职能部门、业务单位之间的集成与共享，既能满足单项业务风险管理的要求，也能满足企业整体和跨职能部门、业务单位的风险管理综合要求，从而整体提升企业内控和风险管理的效率和水平。

　　——作者：IDS Scheer中国副总裁王磊先生

相关拓展：