信息化時代:風險控制為王 近日,中國電力投資集團(下稱“中電投”)發布了首份《風險管理及內部控制標準》,受到業內外人士的關注,這在電力企業中尚屬首次。由此,中電投的風險管理團隊也開始受到廣泛關注,頻頻受邀到各大企業或相關機構“講課”,在中央企業,甚至是包括外資企業在內的企業大軍中,中電投在企業風險管理的信息化領域已經成為先行者。 信息化:將風險控制落到實處 “企業競爭力過去靠成本,現在靠科技,未來靠風險管理。但管理是軟的東西,也是最難實施的,如何通過科技手段把管理落到實處才是最管用的。”這是一位中央企業負責人近日對風險管理的一番感慨。 以中電投為例,其新近建立起來的信息化風險控制平臺相對于其以往的風險管理系統,最大的特點在于這套系統的構架完全是根據中電投的實際情況和需求進行配置搭建,已經上升至個性化的業務功能。 據中電投相關人士介紹,平臺在實施后可相對獨立運行,通過業務系統接口模塊與財務公司的結算、信貸、投資、授信、拆借、財務等各業務系統進行互聯,達到整個集團信息互通,避免信息孤島存在;另外,系統的自定義計量模型還可以實現各類風險的識別、量化、預警等等。 這些落到實處的信息化手段對財務公司的流動性管理、成本及收益管理、風險控制以及相應的指標計量都形成了有效的管理控制。同時,這樣的信息化平臺也充分實現了中電投總經理陸啟洲在企業風險管理上的要求,即企業在兩種風險情況下不可冒進發展:一是看風險評估后最壞的結果可否接受,不能接受則不可冒進;二是風險與收益是否成比例,不成比例則不可冒進。 風險管控的最終落腳點是信息系統,信息系統通過提供智能化的各項業務數據的分析報告,為決策人識別和判斷企業風險提供幫助,為企業避免和減少風險損失。因而,選擇什么樣的信息系統才能符合內控的要求是大部分企業面臨的重要問題。 意識是核心:事前、事中、事后加強風控意識 “財務公司在業務運營中的風險是多方面的,如何構建一套整合數據集成、匯總、計量及評價模型定義、分析、預警、風控管理、資產統計、敏感性測量、情景模擬和壓力測試為一體的全面風控系統似乎已成為財務公司或類似資金管理機構的迫切需求。”一位業內資深財務人士表示。負債 與此同時,越來越多的企業開始對信息化的風控系統給予格外關注。隨著大型集團企業對自身財務公司或結算中心的業務功能和金融服務要求不斷地擴大升級,企業財務管理隨時都在經受著考驗,一個暢通的現金流就是保證企業運營的根本,運用智能的風險識別和分析系統,企業可以提升及時規避風險、精確控制風險的能力。 國資委研究中心“國有大型集團企業資金管理和風險監控” 課題組專家解洪波表示,很多的企業都在今年年初開始陸續構建集團風控系統或者完善之前零散的模板,因為企業意識到風控是一項長期艱巨的任務,風控系統的全面和完善對企業有重要意義,通過全面的風控系統可以幫助企業解決各類風險事前的識別、量化、預警,事中風險測試、檢查、控制,事后分析、統籌、安排等各項 業務管控。 “企業財務公司的風險是多方面的,亟需使用信息化手段來及時反映和整體防控。在財務公司的風險分類和風險直接誘導因素上大致可分為經營性風險、市場 風險、操作風險、政策風險、法律風險、管理風險六種,企業在其風控系統的設計上可根據這幾種分類角度展開,進行針對性的功能設計。”解洪波介紹說。 全面貫徹:將風控滲入到企業內部管理 企業全面風控管理系統的建立和完善也是其財務公司內部管理提升的重要體現。 解洪波認為,全面實施風險管理可以達到與企業整體經營戰略相結合的風險可視化和可控下的最優化,進而保護企業不致因災害或失誤而遭受重大損失;及時和有效率的內控可以熨平企業運營發展的波幅,增加經營的穩定性,并確保企業內外部實現真實、可靠的增長和信息溝通。 業內專家曾指出,一套成熟的風控管理系統可提供三個方面的功能,第一,具有資產與負債定義功能,可定義一組資產及負債的取數規則,及該組資產或負債受利率、匯率、準備金率等變量影響的程度;第二,通過調整相關觸發變量及定義未來數值變化預測值,系統自動計算財務公司現有資產負債組合的估值變化情況,及相關收益、成本分析;第三,系統可通過測算,估算出財務公司對市場變化等外部因素的最大容忍度。 另外,在管理手段上,風控系統也可以提供對財務公司影響頭寸的經營性、投資性、融資性等各類關鍵業務項下的具體業務定義功能。財務公司頭寸管理人員可根據成員單位預算、財務公司自身投融資計劃等經營信息編制具體業務計劃,系統在現有實時頭寸及業務計劃的基礎上可自動計算短、中、長期資金缺口,財務公司頭寸管理人員就可以通過計劃調整及新增計劃等措施完成對未來頭寸缺口的彌補。 “風險不可怕,可怕的是企業意識不到,不能及時發現風險,而缺乏完善的應對措施和準備。”解洪波指出,“后危機時代,‘居安思危’才是企業長壽和穩步經營的長遠之道。” 內控信息化 誰的奶酪? 《企業內部控制配套指引》中明確建議上市公司采用IT手段開展內部控制管理,將內控規范落實到企業業務流程的過程中。對于IT廠商來說,這究竟是機遇還是挑戰?該如何自我變革以獲取內控信息化帶來的市場機會? 4月26日發布的《企業內部控制配套指引》中明確提出,建議上市公司采用IT手段開展內部控制管理,將內控規范落實到企業業務流程的過程中。 對于IT廠商來說,這究竟是機遇還是挑戰?該如何自我變革以獲取內控信息化帶來的市場機會? 變化是唯一的不變 “內控信息化首先就需要軟件!”中國軟件行業協會副秘書長許建鋼認為,IT廠商要想抓住機遇,需要做一些“變化”,比如研究哪些軟件可以滿足內控的要求等。 “目前,軟件廠商在內控方面,一般只是提供了人員、模塊等操作性的控制。內部控制在信息化方面應該是一個人機結合的控制系統,因此在設計理念上就應該統一考慮。”重慶理工大學會計學院進 一步分析說,“比如在信息化環境下應該怎樣建立內部控制體系,如何設置人機控制點,如何分析內部控制的自動檢查和人機控制,如何進行內部控制診斷等等,要設計出內部控制完善的信息化系統,軟件開發商應該進行內部控制信息化的研究,設計出一體化的內部控制方案。”盡管機會就在眼前,但對于軟件廠商來說,難點在于分析設計的相關人員如何仔細研究內部控制,同時也要對企業內部控制運作體系有豐富的實際經驗,這對現有的分析設計人員就是一個挑戰。毛華揚教授 可以預見的是,誰能較早推出內部控制嚴密且適應企業需要的產品,誰就會獲得市場先機。 如何找到屬于你的“奶酪”? 受訪的兩位專家均表示,相對于國外管理軟件,國內軟件廠商在實施內部控制信息化方面更具優勢。 毛華揚認為,首先用友、金蝶等國產軟件的研發總部在中國,可以根據內部控制的要求自主決定;其次,它們對客戶需求、行為習慣有深入體驗,更容易設計出適合中國用戶使用的內控系統;再次,它們可以和用戶一同研究,共同完成,讓客戶參與到研發的有關過程中,使產品更加符合內控需要,并加快進度,減少研發成本;最后,為滿足企業內控信息化需求,用友等國內管理軟件廠商成立了專門針對內控的咨詢服務部門,可根據企業的需要(特別是上市企業)和人機系統的情況,為企業量身定做內控方案。 外來的和尚不一定好念經。 2009年國產軟件已經全面超越國際廠商,在未來內控信息化市場份額爭奪戰中,本土IT廠商如何對現有管理軟件進行調整,滿足對企業對內部控制的要求呢?許建剛總結了以下三個方面。 一是對現有ERP系統進行適當的調整,以滿足在企業管理流程中的內部控制要求。對于大中型的ERP系統,可以通過實施調整參數,或開發一些外掛的軟件模塊,來滿足內控的要求。對于一些比較小型的ERP系統,則可以采取修改部分軟件的方法來實現。 二是對現有辦公軟件進行調整,以滿足在企業管理流程中的內部控制要求。涉及到內控比較多的地方,也是IT應用到內控信息化比較頻繁的部分。因此要在辦公軟件上多花一點時間,多研究內控的發展和成功因素。 三是IT廠商要通過咨詢服務幫助上市公司開展內控工作。 一些IT廠商具備這樣的咨詢服務水平,要配合軟件的應用和調整,幫助上市公司提高內控的水平。不具備咨詢能力的IT廠商,也要配合咨詢公司幫助上市公司開展內控工作。 內控與信息化:并行路上的喜與惑 內控和信息化相互依存,卻又彼此相對獨立。北京工商大學商學院院長楊有紅一語道破天機:企業內部控制建設和實施信息化是兩回事,不能相互替代,但是,通過信息化手段來推進內部控制是一個發展方向。 用信息化提高企業內控執行力 “如果企業規范實施了ERP管理,那么,可以說這家企業的內控已經完成了80%。”安徽合力股份有限公司合力叉車南方(衡陽)產業基地財務負責人徐英明告訴《中國會計報》記者,他們最近正在構建公司的內控體系,也在同步推進信息化建設。 徐英明所說的企業信息化主要是指ERP管理軟件系統,他認為每個企業在上馬ERP軟件的時候,都會對企業的業務流程進行梳理,因此,ERP軟件圍繞企業的財務管理、供應鏈管理、生產制造、客戶關系等8個方面的業務實施管理,形成了一個除了不包括企業文化這個精神層面的信息化內部控制管理系統。 而內控不是一個部門的事情,是整個企業的事情,只有企業內部各部門相互協作才可以達到好的內控效果,ERP正是將各部門聯系在一起的絕佳的工具。 中交股份財務部金全有說,如果按照財務指標進行控制,更多是事后控制,但是,ERP管理軟件將財務和業務打通,形成企業的一體化管理,就可以做到事前控制。 “如果一個企業通過ERP管理軟件這種信息化手段來推進企業的內部控制,這種方式能更好地讓企業的內控落地,提高企業的內控執行力。”楊有紅對此十分肯定。 其實,ERP系統對企業內控的幫助除了體現在聯通各部門,還在于將企業的管理規范化、流程化。ERP管理軟件系統將企業的內部控制點固定下來,這就限制了人為操作。 比如,ERP將管理流程化,規定企業進貨時,一方面進行流程控制,規定相關人員要經歷提交購貨申請單—取得訂單—收到入庫單—看到檢驗單—收取發票—掛賬—付款—簽訂合同等一系列流程,并且嚴格實行分期付款,不允許提前付款。如果要提前付款,ERP管理軟件系統自動要求報上級部門審批;另一方面,在遇到大額資金支付或者相關指標異常時,可以通過預警方式進行提示。 “如果沒有制度約束,也許形成因為不知情而放任權力濫用,造成人 為調節,內控的執行力就降低了。而且,花費的精力和成本也難以想象。”不過,ERP管理軟件系統只是對關鍵點控制,促進內控向規范方向發展,至于管理的程度還要通過對流程的設置來實現。 找到內控和信息化的平衡點 盡管信息化可以提高企業內控的執行力,并且通過信息化推進企業內控建設是未來的發展方向,但是,楊有紅強調實施信息化建設和構建內控體系不能相互替代。 楊有紅對企業的信息化管理軟件和內部控制都比較了解,他認為,很多信息化管理軟件離標準版內控還有一段距離,在實施信息化管理之前更重要的是構建成熟的內控系統,首先要對采購、銷售、財務、制造、投資等業務流程進行梳理,然后才是結合實際編寫信息化管理軟件程序,實現對風險點的控制。 對于新企業而言,可以從一開始就帶著內控的理念進行信息化建設,可以對管理系統進行格式化,這樣做企業內控的效果最為明顯。但是,無論是內控體系的構建還是信息化建設,都是一個不斷修改和完善的過程,而且,很多企業往往是在已有的信息化和管理的基礎上重新構建內控體系。 徐英明說,這時,不僅要考慮前后信息化軟件的統一過渡,還需要在信息化軟件和內控體系流程再造上找到平衡點。 有的企業并沒有完全實施ERP,原因是擔心上了ERP,把企業管死了。如果完全用信息化對業務流程和風險點進行控制,可能出現流程繁瑣,僵化管理,把每個流程上的工作人員都拖得疲憊不堪。 徐英明建議,為了保證公司正常的生產經營,在實施信息化過程中就應該適當對信息化流程“瘦身”,或者編寫特定事項處理程序,保持信息化建設和內控體系構建這兩者之間的關系平衡。 在內控和信息化兩者建設過程中,應該弄清楚以下幾個關鍵問題:首先,內控的目標是什么。對企業來講,不同的內控目標在信息化建設中就有不同的體現;其次,根據企業環境選擇建立合適的內控體系,適當地確定控制范圍和控制流程;再次,選擇合適的控制策略,并將控制制度和信息化建設能夠很好地融合,而且要 依托信息化推廣小組,讓風險防范和內控措施深入人心。“企業需要考慮控制的‘度’,不是管得越細越好,要根據業務的變化情況進行調整。”楊有紅說。 內控與信息化能否水乳交融? “我們在研究中發現,不少企業正嘗試將內部控制嵌入企業信息系統,從而實現內部控制落地。 但這一過程是十分復雜的。”中國會計學會信息化專業委員會委員、安徽工業大學會計系教授提醒說。汪家常會計 那么,內控與信息化怎樣才能很好地結合起來呢? 內控落地離不開信息化 據了解,中國企業現有信息系統總體運行呈不均衡狀態,部分大企業如中石油、中石化等,其內部經營活動已反映到信息系統,并實現了聯網運行。這些企業主要是在美國上市的公司,它們在2006年6月30日之前就完成了按內控要求升級改造的工作,執行的是科索(COSO)“內部控制一體化框架”。 “但大部分企業卻僅僅實現了部分業務的電算化,如會計核算與財務管理等,沒有建立起針對所有業務的信息系統。”南京學院副院長時現一針見血地指出。審計 “即便是已經執行過內控的在美上市公司,也需要結合企業內控基本規范及相關配套指引的要求,對內控及信息化系統進行本地化。”立信大華會計師事務所信息部經理馬強對《中國會計報》記者表示。 財政部司長劉玉廷日前就曾在中國會計學會資深會員論壇上指出,信息化是手段,要對現有信息系統進行改造和升級,使它符合企業內控基本規范及相關配套指引的要求,使它能夠形成自我評價報告,而這項工程還是比較大的。會計司 在互動中“升級換代” “如果企業的信息系統要升級換代的話,那么,我建議先梳理或修訂內部控制流程,并設計內部控制框架。要按照這樣的框架,改造現有的信息系統,并關注信息系統內部控制和安全保障問題。”時現簡明扼要地亮出了自己的觀點。 這樣的改造,還要一步一步來。 “首先必須弄清楚企業目前的管理水平和信息系統水平以及通過信息化實現內部控制的基本過程,要搞清楚哪些內部控制目標通過信息化是可以達成的、哪些是不能達成的、哪些是隨著IT技術的不斷進步在將來可以達成的。”汪家常曾參與過一家大型鋼鐵企業的信息系統設計,對此顯然有著切身的感受,“從目前IT技術和企業信息化水平來看,其對業務流程層面的風險控制最為有效,而對企業決策層面的風險控制能力較弱。”汪家常介紹說,目前,通過企業信息化實現有效內部控制的主流做法,是通過專門的治理、風險管理及合規控制系統(GRC),實現對企業管理系統(ERP、CRM)等的業務執行過程的風險控制。如通過專門的流程控制系統,建立相應的流程控制環境,識別和監控各 個流程的關鍵風險控制點,并且通過流程控制系統,實現文檔記錄、流程測試、修復和監控,產生自評估報告。再如,通過專門的風險控制系統,將不同層面的風險,采用關鍵風險標識(KRI),進行企業風險識 別、風險分析、風險預測、風險監控和風險報告,形成風險視圖,實現對風險的有效監控。 反過來,信息系統的升級改造對內控體系建設也會產生一定的影響。“第一,影響業務流程;第二,影響關鍵控制點,如從流程環節的控制轉向原始數據控制等;第三,影響內部控制測試與評價標準,這更多地涉及信息系統技術性內容的測試與評價;第四,對內部控制執行者的專業勝任能力有更高的要求。”時現指出,企業要把握這一“互動”,在“升級換代”中更好地完善內控體系。 繞不開的成本問題 信息系統的升級改造肯定會有成本,那么,該如何權衡其成本與效益?時現認為,升級改造的一次性投入成本會比較大,它涉及三個主要部分:第一,內部控制制度設計、測試和評價的成本與費用(一般外包完成,主要指外包費用);第二,信息系統改造與研發的成本和費用(一般外包完成,主要指外包費用);第三,對企業各層人員的培訓、管理及相關軟硬條件的改造成本和費用。 “對于大型企業來說,由于其業務活動復雜,企業規模比較大,這種一次性成本投入還是有必要的,它會幫助企業提高效率,帶來可持續收益,具有一勞永逸的效果。”時現表示,而對于小企業來說,暫時沒有必要全面升級換代,選擇主要業務和內容進行局部完善即可。 對此,汪家常表示認可:“成本效益原則還是必須要堅持的,如果徹底推翻現行的信息系統,企業將付出巨大的代價。”有些企業可能會選擇自建內控信息系 統,汪家常表示:“一般來說,企業自行開發GRC產品從效益上來看也是不現實的,但特別有條件或有自身需求的企業可選擇自建。” IT技術不是靈丹妙藥 “為了減少內控實施成本,很多企業求助于IT技術,但IT技術對于企業實施內部控制來說并不是靈丹妙藥。”汪家常告誡當前的一些企業。 在汪家常看來,“如果企業目前的管理水平和信息化水平較低,那么,提高企業現行的管理水平、優化業務流程并逐步使管理系統對業務流程有一定的控制能力,才是當務之急。此后再利用信息系統,內部控制方才有實施基礎,否則將會事倍功半。”對于大型集團企業來說,還要高度關注內部控制的標準化。汪家常解釋說,由于大型集團企業地域、組織、系統分散,甚至出現企業文化和價值的不統一,在利用IT技術解決內部控制問題時,必須使集團的管理系統、內部控制流程、關鍵風險標識、系統權限控制、內部控制評價和報告盡可能統一和標準化,“否則,建立統一的集團內部控制平臺將是不可能的。”“還有一點很重要。利用IT技 術實施內部控制,應由易到難,分步進行。一般認為,提供基本合規性和風險控制及報告功能是必需的,只有在該部分系統運行正常后,再考慮其他功能產品。”汪 家常最后說。 |
您的位置:
