浪潮集團山東通用軟件有限公司副總裁魏代森所率團隊的工作不只局限于信息化建設,同時還兼顧內控咨詢。對于目前企業實施的內控信息化建設,魏代森希望企業不僅僅滿足于合規,還要提升到企業管理水平的高度,為內控制度的運行發揮作用。
內控信息化的目的在于提升企業管理水平
不存在沒有管理的業務,也不存在沒有控制的管理。但是,又有多少企業理解并實施了真正的內控信息化、實現智能管理呢?答案是“很少”。
“如果把內控信息化分為三個階段,目前大多數企業還只處在第二階段,但是真正理想的狀態卻是第三階段,就是要實現風險智能管理,這才能讓內控信息系統真正地發揮作用。”魏代森說。
按照魏代森的劃分,內控信息化的第一個階段是管控階段。在這個階段,企業已經形成了比較標準的內部控制體系,主要通過使用ERP系統中的自動控制點來提升管理流程。
第二個階段是風險管理階段。
企業通過信息平臺對企業風險管理流程進行固化并實現管理自動化,包括進行風險識別、風險評估、繪制風險地圖、編制內控手冊等。但關鍵是內控信息系統中的風險點沒有和ERP系統、ISO系統等其他管理系統中的自動控制點實現融合。
第三個階段就是風險的智能管理階段。在這一階段中,內控信息系統已經成為企業貫穿內控、風險管理和合規工作的平臺。
“我們會專門設置一個控制模塊對企業管理信息系統的訪問及流程控制進行統一識別和管理。這樣會將ERP等信息管理系統控制作用發揮最大,與內控深度結合。”魏代森說。
這時候,內控信息系統將集中設置、分配和監管企業各個流程的控制點,而風險管理工作已經從事后的分析轉變為事中和事前的警示。
選的不只是軟件產品更是合作伙伴
智能管理是內控信息化極大發揮作用的理想狀態,但是,目前很多企業的注意力都不在這里,還停留在風險管理階段,往下做的比較少。
“追究其原因,并不僅是‘往下做’本身很難,還因為企業對找一個合適的內控信息化合作伙伴沒有引起足夠的重視。”魏代森說。
在通過內控信息化落地內控制度時,企業更關注的是選擇哪種內控信息化軟件產品,而不是以更長遠的眼光來尋找一個內控信息化合作伙伴。當然,也不排除目前多數企業僅僅只想滿足政策要求,實現合規,通過編制內控手冊、梳理流程、實現信息化管理等“表面”工作把內控實施包裝起來等因素。
“內控信息系統如果不是由企業實施ERP的廠商來完成,那么企業內控制度通過信息化落地,進入第三個階段就變得比較困難。”魏代森強調,IT只是工具,只有跟業務結合才能發揮作用。所以,好的軟件供應商一方面要提供融合內控思想的ERP軟件,另一方面提供包括風險管理、流程控制等在內的內控管理軟件,同時通過咨詢服務幫助企 業梳理流程,識別控制點,繪制風險地圖,建立內控體系,最終建立集內控管理于一體的管理信息系統。
而如果說到“合適”,這就需要企業與軟件商之間不斷地溝通,在如何解決現實問題上達成一致。周邊不乏這樣的例子,企業合作的軟件商已經更換了幾個,這種情況下,企業的信息化管理水平實際上很難達到預想的效果。
內控信息化應從合規上升到實效
企業實施內控并不是從財政部等五部委發布《企業內部控制規范》后才開始的,很多企業已經有了各種規章和流程,其中蘊含著企業實現內部控制的思想。
對于國家層面對企業內控提出的系統化要求,很多企業正在以此為標準開展內控信息系統建設。但是,合規和實效是不同的兩個要求。
魏代森希望,企業實施內控的目的不僅僅停留在合規層面,而應該實現以此提升企業管理水平。在這種要求下,企業的業務信息化、管理信息化和內控信息化這三者應該天然地融合在一起。
“內控5要素中的控制措施就體現在管理與業務系統中的每一個環節,內控始終貫穿在企業管理中的每一個環節,通過集中式的、業務流程各控制點融合內控思想的管理軟件來有效地實現內控的目標。”魏代森說。
據魏代森介紹,某家快速消費品集團為了提高企業管理水平,去年啟動內控建設。通過梳理流程并借助內控信息化,該集團各公司之間實現業務協同,能夠及時對賬,而通過對應收賬款實時分析有效實現了信用控制,銷售收入從13億元增長到45億元,應收賬款周轉率也由4年前的110天縮短到現在的16天。另外,通過建議決策支持與預警系統,該集團又借助基于風險量化模型建立風險預警指標體系,以報表分析、分析報告、雷達預警、手機預警等方式及時掌握業務現狀及發展趨勢,及早識別風險、防范風險。
