信息化时代:风险控制为王

近日，中国电力投资集团（下称“中电投”）发布了首份《风险管理及内部控制标准》，受到业内外人士的关注，这在电力企业中尚属首次。由此，中电投的风险管理团队也开始受到广泛关注，频频受邀到各大企业或相关机构“讲课”，在中央企业，甚至是包括外资企业在内的企业大军中，中电投在企业风险管理的信息化领域已经成为先行者。

信息化：将风险控制落到实处

“企业竞争力过去靠成本，现在靠科技，未来靠风险管理。但管理是软的东西，也是最难实施的，如何通过科技手段把管理落到实处才是最管用的。”这是一位中央企业负责人近日对风险管理的一番感慨。

以中电投为例，其新近建立起来的信息化风险控制平台相对于其以往的风险管理系统，最大的特点在于这套系统的构架完全是根据中电投的实际情况和需求进行配置搭建，已经上升至个性化的业务功能。

据中电投相关人士介绍，平台在实施后可相对独立运行，通过业务系统接口模块与财务公司的结算、信贷、投资、授信、拆借、财务等各业务系统进行互联，达到整个集团信息互通，避免信息孤岛存在；另外，系统的自定义计量模型还可以实现各类风险的识别、量化、预警等等。

这些落到实处的信息化手段对财务公司的流动性管理、成本及收益管理、风险控制以及相应的指标计量都形成了有效的管理控制。同时，这样的信息化平台也充分实现了中电投总经理陆启洲在企业风险管理上的要求，即企业在两种风险情况下不可冒进发展：一是看风险评估后最坏的结果可否接受，不能接受则不可冒进；二是风险与收益是否成比例，不成比例则不可冒进。

风险管控的最终落脚点是信息系统，信息系统通过提供智能化的各项业务数据的分析报告，为决策人识别和判断企业风险提供帮助，为企业避免和减少风险损失。因而，选择什么样的信息系统才能符合内控的要求是大部分企业面临的重要问题。

意识是核心：事前、事中、事后加强风控意识

“财务公司在业务运营中的风险是多方面的，如何构建一套整合数据集成、汇总、计量及评价模型定义、分析、预警、风控管理、资产统计、敏感性测量、情景模拟和压力测试为一体的全面风控系统似乎已成为财务公司或类似资金管理机构的迫切需求。”一位业内资深财务人士表示。负债

与此同时，越来越多的企业开始对信息化的风控系统给予格外关注。随着大型集团企业对自身财务公司或结算中心的业务功能和金融服务要求不断地扩大升级，企业财务管理随时都在经受着考验，一个畅通的现金流就是保证企业运营的根本，运用智能的风险识别和分析系统，企业可以提升及时规避风险、精确控制风险的能力。

国资委研究中心“国有大型集团企业资金管理和风险监控” 课题组专家解洪波表示，很多的企业都在今年年初开始陆续构建集团风控系统或者完善之前零散的模板，因为企业意识到风控是一项长期艰巨的任务，风控系统的全面和完善对企业有重要意义，通过全面的风控系统可以帮助企业解决各类风险事前的识别、量化、预警，事中风险测试、检查、控制，事后分析、统筹、安排等各项 业务管控。

“企业财务公司的风险是多方面的，亟需使用信息化手段来及时反映和整体防控。在财务公司的风险分类和风险直接诱导因素上大致可分为经营性风险、市场 风险、操作风险、政策风险、法律风险、管理风险六种，企业在其风控系统的设计上可根据这几种分类角度展开，进行针对性的功能设计。”解洪波介绍说。

全面贯彻：将风控渗入到企业内部管理

企业全面风控管理系统的建立和完善也是其财务公司内部管理提升的重要体现。

解洪波认为，全面实施风险管理可以达到与企业整体经营战略相结合的风险可视化和可控下的最优化，进而保护企业不致因灾害或失误而遭受重大损失；及时和有效率的内控可以熨平企业运营发展的波幅，增加经营的稳定性，并确保企业内外部实现真实、可靠的增长和信息沟通。

业内专家曾指出，一套成熟的风控管理系统可提供三个方面的功能，第一，具有资产与负债定义功能，可定义一组资产及负债的取数规则，及该组资产或负债受利率、汇率、准备金率等变量影响的程度；第二，通过调整相关触发变量及定义未来数值变化预测值，系统自动计算财务公司现有资产负债组合的估值变化情况，及相关收益、成本分析；第三，系统可通过测算，估算出财务公司对市场变化等外部因素的最大容忍度。

另外，在管理手段上，风控系统也可以提供对财务公司影响头寸的经营性、投资性、融资性等各类关键业务项下的具体业务定义功能。财务公司头寸管理人员可根据成员单位预算、财务公司自身投融资计划等经营信息编制具体业务计划，系统在现有实时头寸及业务计划的基础上可自动计算短、中、长期资金缺口，财务公司头寸管理人员就可以通过计划调整及新增计划等措施完成对未来头寸缺口的弥补。

“风险不可怕，可怕的是企业意识不到，不能及时发现风险，而缺乏完善的应对措施和准备。”解洪波指出，“后危机时代，‘居安思危’才是企业长寿和稳步经营的长远之道。”

内控信息化 谁的奶酪?

《企业内部控制配套指引》中明确建议上市公司采用IT手段开展内部控制管理，将内控规范落实到企业业务流程的过程中。对于IT厂商来说，这究竟是机遇还是挑战？该如何自我变革以获取内控信息化带来的市场机会？

4月26日发布的《企业内部控制配套指引》中明确提出，建议上市公司采用IT手段开展内部控制管理，将内控规范落实到企业业务流程的过程中。

对于IT厂商来说，这究竟是机遇还是挑战？该如何自我变革以获取内控信息化带来的市场机会？

变化是唯一的不变

“内控信息化首先就需要软件！”中国软件行业协会副秘书长许建钢认为，IT厂商要想抓住机遇，需要做一些“变化”，比如研究哪些软件可以满足内控的要求等。

“目前，软件厂商在内控方面，一般只是提供了人员、模块等操作性的控制。内部控制在信息化方面应该是一个人机结合的控制系统，因此在设计理念上就应该统一考虑。”重庆理工大学会计学院进 一步分析说，“比如在信息化环境下应该怎样建立内部控制体系，如何设置人机控制点，如何分析内部控制的自动检查和人机控制，如何进行内部控制诊断等等，要设计出内部控制完善的信息化系统，软件开发商应该进行内部控制信息化的研究，设计出一体化的内部控制方案。”尽管机会就在眼前，但对于软件厂商来说，难点在于分析设计的相关人员如何仔细研究内部控制，同时也要对企业内部控制运作体系有丰富的实际经验，这对现有的分析设计人员就是一个挑战。毛华扬教授

可以预见的是，谁能较早推出内部控制严密且适应企业需要的产品，谁就会获得市场先机。

如何找到属于你的“奶酪”？

受访的两位专家均表示，相对于国外管理软件，国内软件厂商在实施内部控制信息化方面更具优势。

毛华扬认为，首先用友、金蝶等国产软件的研发总部在中国，可以根据内部控制的要求自主决定；其次，它们对客户需求、行为习惯有深入体验，更容易设计出适合中国用户使用的内控系统；再次，它们可以和用户一同研究，共同完成，让客户参与到研发的有关过程中，使产品更加符合内控需要，并加快进度，减少研发成本；最后，为满足企业内控信息化需求，用友等国内管理软件厂商成立了专门针对内控的咨询服务部门，可根据企业的需要（特别是上市企业）和人机系统的情况，为企业量身定做内控方案。

外来的和尚不一定好念经。

2009年国产软件已经全面超越国际厂商，在未来内控信息化市场份额争夺战中，本土IT厂商如何对现有管理软件进行调整，满足对企业对内部控制的要求呢？许建刚总结了以下三个方面。

一是对现有ERP系统进行适当的调整，以满足在企业管理流程中的内部控制要求。对于大中型的ERP系统，可以通过实施调整参数，或开发一些外挂的软件模块，来满足内控的要求。对于一些比较小型的ERP系统，则可以采取修改部分软件的方法来实现。

二是对现有办公软件进行调整，以满足在企业管理流程中的内部控制要求。涉及到内控比较多的地方，也是IT应用到内控信息化比较频繁的部分。因此要在办公软件上多花一点时间，多研究内控的发展和成功因素。

三是IT厂商要通过咨询服务帮助上市公司开展内控工作。

一些IT厂商具备这样的咨询服务水平，要配合软件的应用和调整，帮助上市公司提高内控的水平。不具备咨询能力的IT厂商，也要配合咨询公司帮助上市公司开展内控工作。

内控与信息化:并行路上的喜与惑

内控和信息化相互依存，却又彼此相对独立。北京工商大学商学院院长杨有红一语道破天机：企业内部控制建设和实施信息化是两回事，不能相互替代，但是，通过信息化手段来推进内部控制是一个发展方向。

用信息化提高企业内控执行力

“如果企业规范实施了ERP管理，那么，可以说这家企业的内控已经完成了80％。”安徽合力股份有限公司合力叉车南方（衡阳）产业基地财务负责人徐英明告诉《中国会计报》记者，他们最近正在构建公司的内控体系，也在同步推进信息化建设。

徐英明所说的企业信息化主要是指ERP管理软件系统，他认为每个企业在上马ERP软件的时候，都会对企业的业务流程进行梳理，因此，ERP软件围绕企业的财务管理、供应链管理、生产制造、客户关系等8个方面的业务实施管理，形成了一个除了不包括企业文化这个精神层面的信息化内部控制管理系统。

而内控不是一个部门的事情，是整个企业的事情，只有企业内部各部门相互协作才可以达到好的内控效果，ERP正是将各部门联系在一起的绝佳的工具。

中交股份财务部金全有说，如果按照财务指标进行控制，更多是事后控制，但是，ERP管理软件将财务和业务打通，形成企业的一体化管理，就可以做到事前控制。

“如果一个企业通过ERP管理软件这种信息化手段来推进企业的内部控制，这种方式能更好地让企业的内控落地，提高企业的内控执行力。”杨有红对此十分肯定。

其实，ERP系统对企业内控的帮助除了体现在联通各部门，还在于将企业的管理规范化、流程化。ERP管理软件系统将企业的内部控制点固定下来，这就限制了人为操作。

比如，ERP将管理流程化，规定企业进货时，一方面进行流程控制，规定相关人员要经历提交购货申请单—取得订单—收到入库单—看到检验单—收取发票—挂账—付款—签订合同等一系列流程，并且严格实行分期付款，不允许提前付款。如果要提前付款，ERP管理软件系统自动要求报上级部门审批；另一方面，在遇到大额资金支付或者相关指标异常时，可以通过预警方式进行提示。

“如果没有制度约束，也许形成因为不知情而放任权力滥用，造成人 为调节，内控的执行力就降低了。而且，花费的精力和成本也难以想象。”不过，ERP管理软件系统只是对关键点控制，促进内控向规范方向发展，至于管理的程度还要通过对流程的设置来实现。

找到内控和信息化的平衡点

尽管信息化可以提高企业内控的执行力，并且通过信息化推进企业内控建设是未来的发展方向，但是，杨有红强调实施信息化建设和构建内控体系不能相互替代。

杨有红对企业的信息化管理软件和内部控制都比较了解，他认为，很多信息化管理软件离标准版内控还有一段距离，在实施信息化管理之前更重要的是构建成熟的内控系统，首先要对采购、销售、财务、制造、投资等业务流程进行梳理，然后才是结合实际编写信息化管理软件程序，实现对风险点的控制。

对于新企业而言，可以从一开始就带着内控的理念进行信息化建设，可以对管理系统进行格式化，这样做企业内控的效果最为明显。但是，无论是内控体系的构建还是信息化建设，都是一个不断修改和完善的过程，而且，很多企业往往是在已有的信息化和管理的基础上重新构建内控体系。

徐英明说，这时，不仅要考虑前后信息化软件的统一过渡，还需要在信息化软件和内控体系流程再造上找到平衡点。

有的企业并没有完全实施ERP，原因是担心上了ERP，把企业管死了。如果完全用信息化对业务流程和风险点进行控制，可能出现流程繁琐，僵化管理，把每个流程上的工作人员都拖得疲惫不堪。

徐英明建议，为了保证公司正常的生产经营，在实施信息化过程中就应该适当对信息化流程“瘦身”，或者编写特定事项处理程序，保持信息化建设和内控体系构建这两者之间的关系平衡。

在内控和信息化两者建设过程中，应该弄清楚以下几个关键问题：首先，内控的目标是什么。对企业来讲，不同的内控目标在信息化建设中就有不同的体现；其次，根据企业环境选择建立合适的内控体系，适当地确定控制范围和控制流程；再次，选择合适的控制策略，并将控制制度和信息化建设能够很好地融合，而且要 依托信息化推广小组，让风险防范和内控措施深入人心。“企业需要考虑控制的‘度’，不是管得越细越好，要根据业务的变化情况进行调整。”杨有红说。

内控与信息化能否水乳交融?

“我们在研究中发现，不少企业正尝试将内部控制嵌入企业信息系统，从而实现内部控制落地。

但这一过程是十分复杂的。”中国会计学会信息化专业委员会委员、安徽工业大学会计系教授提醒说。汪家常会计

那么，内控与信息化怎样才能很好地结合起来呢？

内控落地离不开信息化

据了解，中国企业现有信息系统总体运行呈不均衡状态，部分大企业如中石油、中石化等，其内部经营活动已反映到信息系统，并实现了联网运行。这些企业主要是在美国上市的公司，它们在2006年6月30日之前就完成了按内控要求升级改造的工作，执行的是科索（COSO）“内部控制一体化框架”。

“但大部分企业却仅仅实现了部分业务的电算化，如会计核算与财务管理等，没有建立起针对所有业务的信息系统。”南京学院副院长时现一针见血地指出。审计

“即便是已经执行过内控的在美上市公司，也需要结合企业内控基本规范及相关配套指引的要求，对内控及信息化系统进行本地化。”立信大华会计师事务所信息部经理马强对《中国会计报》记者表示。

财政部司长刘玉廷日前就曾在中国会计学会资深会员论坛上指出，信息化是手段，要对现有信息系统进行改造和升级，使它符合企业内控基本规范及相关配套指引的要求，使它能够形成自我评价报告，而这项工程还是比较大的。会计司

在互动中“升级换代”

“如果企业的信息系统要升级换代的话，那么，我建议先梳理或修订内部控制流程，并设计内部控制框架。要按照这样的框架，改造现有的信息系统，并关注信息系统内部控制和安全保障问题。”时现简明扼要地亮出了自己的观点。

这样的改造，还要一步一步来。

“首先必须弄清楚企业目前的管理水平和信息系统水平以及通过信息化实现内部控制的基本过程，要搞清楚哪些内部控制目标通过信息化是可以达成的、哪些是不能达成的、哪些是随着IT技术的不断进步在将来可以达成的。”汪家常曾参与过一家大型钢铁企业的信息系统设计，对此显然有着切身的感受，“从目前IT技术和企业信息化水平来看，其对业务流程层面的风险控制最为有效，而对企业决策层面的风险控制能力较弱。”汪家常介绍说，目前，通过企业信息化实现有效内部控制的主流做法，是通过专门的治理、风险管理及合规控制系统（GRC），实现对企业管理系统（ERP、CRM）等的业务执行过程的风险控制。如通过专门的流程控制系统，建立相应的流程控制环境，识别和监控各 个流程的关键风险控制点，并且通过流程控制系统，实现文档记录、流程测试、修复和监控，产生自评估报告。再如，通过专门的风险控制系统，将不同层面的风险，采用关键风险标识（KRI），进行企业风险识 别、风险分析、风险预测、风险监控和风险报告，形成风险视图，实现对风险的有效监控。

反过来，信息系统的升级改造对内控体系建设也会产生一定的影响。“第一，影响业务流程；第二，影响关键控制点，如从流程环节的控制转向原始数据控制等；第三，影响内部控制测试与评价标准，这更多地涉及信息系统技术性内容的测试与评价；第四，对内部控制执行者的专业胜任能力有更高的要求。”时现指出，企业要把握这一“互动”，在“升级换代”中更好地完善内控体系。

绕不开的成本问题

信息系统的升级改造肯定会有成本，那么，该如何权衡其成本与效益？时现认为，升级改造的一次性投入成本会比较大，它涉及三个主要部分：第一，内部控制制度设计、测试和评价的成本与费用（一般外包完成，主要指外包费用）；第二，信息系统改造与研发的成本和费用（一般外包完成，主要指外包费用）；第三，对企业各层人员的培训、管理及相关软硬条件的改造成本和费用。

“对于大型企业来说，由于其业务活动复杂，企业规模比较大，这种一次性成本投入还是有必要的，它会帮助企业提高效率，带来可持续收益，具有一劳永逸的效果。”时现表示，而对于小企业来说，暂时没有必要全面升级换代，选择主要业务和内容进行局部完善即可。

对此，汪家常表示认可：“成本效益原则还是必须要坚持的，如果彻底推翻现行的信息系统，企业将付出巨大的代价。”有些企业可能会选择自建内控信息系 统，汪家常表示：“一般来说，企业自行开发GRC产品从效益上来看也是不现实的，但特别有条件或有自身需求的企业可选择自建。”

IT技术不是灵丹妙药

“为了减少内控实施成本，很多企业求助于IT技术，但IT技术对于企业实施内部控制来说并不是灵丹妙药。”汪家常告诫当前的一些企业。

在汪家常看来，“如果企业目前的管理水平和信息化水平较低，那么，提高企业现行的管理水平、优化业务流程并逐步使管理系统对业务流程有一定的控制能力，才是当务之急。此后再利用信息系统，内部控制方才有实施基础，否则将会事倍功半。”对于大型集团企业来说，还要高度关注内部控制的标准化。汪家常解释说，由于大型集团企业地域、组织、系统分散，甚至出现企业文化和价值的不统一，在利用IT技术解决内部控制问题时，必须使集团的管理系统、内部控制流程、关键风险标识、系统权限控制、内部控制评价和报告尽可能统一和标准化，“否则，建立统一的集团内部控制平台将是不可能的。”“还有一点很重要。利用IT技 术实施内部控制，应由易到难，分步进行。一般认为，提供基本合规性和风险控制及报告功能是必需的，只有在该部分系统运行正常后，再考虑其他功能产品。”汪 家常最后说。