企业内控管理信息化蓝图.docx

企业内控管理信息化蓝图规划 2011 新年伊始，标志着中国上市企业正式迈入内控监管的时代，也预示着越来越多的国内企业将踏上实质性的内控体系建设之路。 从那些通过美国萨班斯内控合规的企业来看，企业内控体系的建设过程，是一项全员参 与、覆盖广泛，持续开展的复杂工作，整个过程将产生大量的工作文档，并且需要企业上下 各层次员工的共同协作。如果缺少信息化工具作为支撑手段的话，那么企业的内部控制体系 建设和后期运行，要么成本巨大、效率低下，要么流于形式、不能正真落到实处。因此，借助信息系统软件，将是企业进行内控管理体系建设和持续提升的重要方法和必然手段。 那么企业该如何进行内控管理信息化蓝图的规划呢？这一点对于内控管理水平处于不 同阶段的企业来说，存在着非常大的差异。根据企业内控管理发展的历程，从低到高可以分为合规型、管理型、风险管理型和治理-风险-合规型（GRC）四个阶段。 首先，合规型内控。这阶段企业的特点是内控基础非常薄弱，管理及其不规范，基础管理制度大多是残缺的。其内控工作的核心任务是建立企业的内部控制管理体系及文档，并定 期进行内控有效性的评估，以达到外部监管的要求。因此，合规性内控信息化的目标是，能够支持企业对内控文档的有效管理，支持内控评估工作的电子化工作流程。通常是开发或购 买一套独立的内控管理软件，并主要提供给企业的内控部门使用。 其次，管理型内控。这阶段企业内控的特点是，内控和风险管理已逐渐融入到日常的运 营和管理，企业的管控流程和标准体系已基本搭建完成。其内控工作的核心任务是通过内控 工作，降低企业的风险损失和提升企业执行力，以实现企业自我管理提升的需求。该阶段的 内控信息化建设目标是，企业内控管理的流程和控制点能够固化到各业务运营系统中，企业 的风险点在业务发生同时，就能够通过各业务系统实现了自动控制或预警；此外，内控部门 能够通过内控管理软件，对企业的各项关键风险指标进行实时的监控。内控信息化的主要特 征是，内控管理系统具备了仪表盘和风险预警功能，各业务系统中也融入了自动控制功能。 第三，风险管理型内控。这阶段企业内控的特点是风险管理已融入公司的战略和决策管 理，且作为企业的一项常规工作目标。此时，内控管理已成为企业风险管理的一部分，通过 内控工作进行风险的管控，从而增加公司利润和优化经营决策，确保企业经营目标得以实现。风险管理型内控信息化建设的目标是，通过建设一个可进行风险识别、风险评估，风险应对、 风险监控和风险报告的全面风险管理系统，支持企业能够有效发现和控制风险，确保实现风 险损失的最小化。风险管理型内控的信息化特征是，企业整体的信息化成熟度和集中度水平 比较高，全面风险管理系统与各业务系统实现了高度集成和信息共享。 第四，治理-风险-合规型内控。这阶段企业的内控特点是，企业已形成了公司治理，风险管理和合规遵从三位一体的管控体系，内控管理已分别融入到公司治理、风险管理和合规 遵从之中，形成了内嵌式的管控方式。其内控的目标是，通过风险与内控管理不断优化公司原有的管理模式和业务流程，自动循环提升企业的全面管理水平。该阶段内控信息化的目标是，公司治理和运营的各个层面都存在 IT 技术的支持，企业的风险与内控管理、业务管理、 合规遵从，拥有一套功能全面，运行可靠的IT 解决方案进行有效支撑。 综上所述，四种类型的内控信息化是一个螺旋上升的发展过程，是随着企业内控管理和 信息化水平共同提升而分步实现的。中国企业在进行内控管理信息化的建设时，务必结合自 身实际的内控情况，做到量体裁衣，这样才能够确保内控管理体系能够更好地发挥其实效， 给企业真正带来价值和收益。 友联时骏企业管理顾问有限公司 IT 咨询总监 罗军