内控和风险管理必须以IT技术为基础

　　内控和风险管理是企业发展战略、战略执行的一个核心组成部分。很多大的企业由于内控和风险管理缺陷，出现了很多问题。因此，从企业内部自身来讲，需要一个系统性规范来建立企业内部的风险管理体系。我国的财政部联合五部委于2008年5月发布了《企业内部控制基本规范》(以下简称“基本规范”)，并于2009年7月在上市公司实施。

　　本次出台“基本规范”的意义在于：将内控和风险管理界定为一个长期管理的规划。而这个规划的实施不能一蹴而就，必须从企业整体发展的角度加以设计和实施；“基本规范”所界定的管理是全员参与的过程。它不是一个部门或一个管理领域体系所能够单独来完成的；“基本规范”是一个完整的系统，其中的各个部分一定是可操作、可运行的体系机构；“基本规范”一定是可计量、可定型的过程；“基本规范”是一个企业管理思想和技术手段结合的系统。

　　总之，“基本规范”是将从企业内部管控开始，逐步在企业实现由内部控制管理向全面风险管理转化。最终建立能使企业平稳运行的管理机制和企业文化。

　　企业内部控制是由五个要素组成的，即控制环境、风险评估、控制活动、信息与沟通和监控。五要素中，各个要素有其不同的功能，内部控制并非五个要素的简单相加，而是由这些相互联系、相互制约、相辅相成的集合，按照一定的结构组成的完整的、能对变化的环境做出反应的系统。

　　在这样一个意义非凡的管理系统整体建设中，应该如何构建内控管理体系。使其真正能够建有成效?有关方面的人士认为：内部控制的五大要素中，控制环境是基础，控制活动是重点，最重要的是在基层的实施。因此．内部控制的关键在于企业基层的业务活动中构建控制环境。并在业务活动中有效执行控制活动。众所周知。基于IT技术的企业信息化管理平台是现代企业管理主要运行环境，所以，控制环境必须依此平台来构建。

　　内控和风险管理必须分步建设

　　企业在内控和风险管理实施过程中，不仅是一个硬件环境和运行环境建设的过程，更多的是理念和工作习惯的改变过程，从内控管理体系构建的终极目标来看。必须从基础开始细致而扎实地开展分阶段的建设。依据信息化建设的经验，笔者认为内控管理体系的建设应该分三个阶段进行：

　　第一阶段为监督管理阶段，本阶段的目标是建立面向内外部合规要求，信息化、透明化的风险管理，实现对关键风险监督；

　　第二阶段为内控融入业务管理阶段。本阶段目标是建立面向运营过程的，日常化、体系化的风险管理，实现关键过程控制；

　　第三阶段为全面风险管理阶段，目标是建立以战略为核心、以内控为基础、以集团管控为手段的全面风险管理体系，实现稳健运营的风险管理。

　　目前对于广大企业来讲，第一步首先做到的是合规，在合规的过程当中，意味着企业的内控部门，内控管理者要对自己企业的经营管理信息做到心中有数，这是一个信息平台的建立和透明化的过程。第二个阶段是把控制过程融入业务管理过程的阶段，就是将内部控制点与企业的业务系统完美地整合在一起。第三个阶段是为企业的战略发展而提供支持，在IT建设层面，以战略和发展为导向的绩效管理、预算管理与风险控制结合起来，从根本上控制可能遭遇的经营风险。

　　满足内控和风险管理需要的IT实施原则

　　实施符合“基本规范”的内控和风险管理需要IT提供应用和技术的保障，使其能够帮助企业让内控和风险管理理念、规则具体进行管理的实施。换言之。IT技术仅仅能为内控和风险管理提供基本的手段，能否有效实行内部控制和风险管理。一定要有具体的应用方案实施标准。目前有许多管理软件应用于企业管理的各个环节之中，但如何才能达到“基本规范”中的内控和风险控制的要求。因此，基于IT的管理系统必须依照以下两类原则来构建符合“基本规范”的内控环境，以及在此之上开展融入业务活动中的内控活动。

　　满足“基本规范”应用要求的原则。可行性：将内控要素和关键控制点与业务流程管理整合，在执行业务活动中实现内控；可控性：实现内控体系与预算、集团管控体系整合；可视性：内控执行过程和效果可查询、可评价。

　　满足“基本规范”技术要求的原则。能够安全、稳定、运行可靠；能够进行工作流和权限控制；能过集成、扩展、并满足个性化应用需求；能够支持分步建设；能够进行多维数据智能分析，并可作为信息。

　　在管理软件中构建内控管理环境的要点

　　本着IT保证的可行、可控和可视的构建原则。目前，控制的基本方式，也是最有效的方式，是在业务执行过程中的风险控制。不同于传统的风险控制方式，IT管理系统的基本模式是将风险控制在执行过程之前，特别是在执行过程中，避免不合规的操作。这是IT系统最主要的任务。以IT基础平台的管理系统与内控风险管理的职能结合，是基于IT技术的管理系统必须的功能。

　　与业务管理过程融合的控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。以用友NC最新版本的管理系统分析，“基本规范”中规定的控制措施对应的解决方案有如下几点：

　　(一)针对“基本规范”第二十九条

　　针对“基本规范”第二十九条“不相容职务分离控制要求企业全面系统地分析、梳理业务流程中所涉及的不相容职务，实施相应的分离措施，形成各司其职、各负其责、相互制约的工作机制。”的要求，要求IT系统提供自动检查业务流程中不出现重复的岗位和用户，审批流程中不出现重复的岗位和用户的功能。

　　(二)针对“基本规范”第三十条

　　针对“基本规范”第三十条的“企业应当编制常规授权的权限指引，规范特别授权的范围、权限、程序和责任，严格控制特别授权。常规授权是指企业在日常经营管理活动中按照既定的职责和程序进行的授权。特别授权是指企业在特殊情况、特定条件下进行的授权。企业各级管理人员应当在授权范围内行使职权和承担责任。企业对于重大的业务和事项，应当实行集体决策审批或者联签制度，任何个人不得单独进行决策或者擅自改变集体决策”的规定，要求IT系统提供岗位授权管理，在提供岗位授权管理的同时，根据不同业务和事项建立不同的审批权限和流程，并提供处理特定条件下的审批流程，其中包括替代、联签审批方式，强制控制执行等必要的审批方式。

　　(三)针对“基本规范”第三十二条

　　针对“基本规范”第三十二条“财产保护控制要求企业建立财产日常管理制度和定期清查制度，采取财产记录、实物保管、定期盘点、账实核对等措施，确保财产安全。企业应当严格限制未经授权的人员接触和处置财产”的要求，要求IT系统提供财产记录与盘点记录的自动或手动核对功能。并具备后续财产处理、记录及查询功能。

　　(四)针对“基本规范”第三十三条

　　针对“基本规范”第三十三条“预算控制要求企业实施全面预算管理制度，明确各责任单位在预算管理中的职责权限。规范预算的编制、审定、下达和执行程序。强化预算约束”的规定，要求IT系统提供各个预算责任主体的信息，可以通过审批权限对合同、发货、采购、付款、财产处理等关键环节的数量和金额加以限定，实现对预算的执行控制。

　　(五)针对“基本规范”第三十四条

　　针对“基本规范”第三十四条“运营分析控制要求企业建立运营情况分析制度，经理层应当综合运用生产、购销、投资、筹资、财务等方面的信息，通过因素分析、对比分析、趋势分析等方法，定期开展运营情况分析，发现存在的问题，及时查明原因并加以改进”的规定，要求IT系统应提供各个业务领域真实交易数据的分析功能，并提供因素、对比、趋势等常规分析模型。

　　(六)针对“基本规范”第三十七条

　　针对“基本规范”第三十七条“企业应当建立重大风险预警机制和突发事件应急处理机制，明确风险预警标准，对可能发生的重大风险或突发事件，制定应急预案、明确责任人员、规范处置程序，确保突发事件得到及时妥善处理”的规定，要求IT系统提供对风险事件的预警，并能及时通过各种通讯方式通知相关岗位人员。

　　结论

　　总之，企业内控管理不仅仅是一个相关制度和观念的建立问题。更重要的是在IT基础管理平台上，将管理概念和制度具体落实到日常的业务活动中。根据“基本规范”的相关规定，目前的IT技术完全可以支持构建控制环境和控制活动与日常活动融合的需求。