北京2009年6月22日电 /美通社亚洲/ -- 随着《企业内部控制基本规范》的颁布以及企业内控力度的不断加大,无疑将为国内集团企业尤其是上市公司的 IT 系统构建带来新的要求。日前,浪潮通软副总裁魏代森表示,与以往规定相比,酝酿两年之久的《企业内部控制基本规范》进一步明确并细化了公司、政府与审计机构相互独立的三方监督机制,被认为是国内企业治理迈向国际化的重要一步。
这部即将在我国上市公司强制实行的《企业内部控制基本规范》也对企业信息化建设提出了新的要求。规范界定了“内部控制”的内涵:即内控管理是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程,有利于树立全面、全员、全过程控制的理念。因此,它要求企业信息管理系统,不仅仅是表单类的统计、报告类信息反馈的“结果”,而是强调了实现控制目标的“过程”。而“过程”是什么?应当是组织管理行为的过程信息和可控监督机制。
在当前经济形势下,企业面临日趋复杂的竞争环境和风险,如战略、市场、财务、运营、法律等。风险既能给企业带来发展机遇,同时忽视风险管理也将给企业带来很多问题,甚至是灾难。与美国颁布的《萨班斯法案》一样,《企业内部控制基本规范》对中国企业而言,一方面具有重要指导意义,另一方面也带来一定压力。
魏代森特别强调指出,“内控是防范风险、加强管控的重要手段,能够消除或降低风险的负向影响。信息化在加强企业内控中起到了重要作用。对于集团上市公司来说,它们在风险管理方面面临着更多的挑战。”
集团企业一般从法人治理结构、制度规范、业务、企业文化、员工素质道德等方面加强企业内控体系建设,对未知的风险进行有效预防或对已知的风险进行合理控制。然而大型集团企业往往具有成员单位多、层级多、跨地域、跨行业经营、企业文化存在差异、管理水平存在差异、集团管控难度大等特点,这就更加突出了内控管理、风险管理对于集团企业的重要性。
结合信息化,魏代森认为,目前大型集团企业加强风险管控主要通过两个层面来实现。一是从宏观层面即集团管控层面来看,集团的战略无法得到顺利执行、对权属企业管理失控、集团缺乏聚合力,无法发挥集团的整体优势是较大的风险。因此,这个层面的关键在于如何加强集团管控。毫无疑问,集中式管理模式是一种化解集团管控风险的有效方式。目前无论是跨国公司还是国内大型企业都普遍采用集中式管理模式,集中式管理模式是对集团的关键业务、重要资源进行统一化、集中化管理。这种模式有利于集团的战略执行、政策贯彻、运营监督、优化资源配置、发挥资源优势较大化,提高集团企业的聚合力,极大地避免了资源配置低效、成本高、内耗大、管控力度薄弱、风险防范困难等问题。集中式管理已经成为广大集团企业青睐的管理模式,是经过实践验证、可行有效的管理模式,是我国企业做强做大,提高管理水平、提升竞争能力,缩小与国际先进企业差距的重要手段。
二是从微观层面或业务执行层面,要从加强业务管理及分析的角度来加强内控、防范风险。比如对业务流程进行更加严谨的管理,不出现体外循环;对关键控制点,如较高限价、客户信誉、应收账款等实施更严格的控制;对历史业务进行综合分析,从中洞察问题和趋势等等,这属于规范管理、精细管理、科学管理的范畴,是每个具体的业务实体单位在日常的生产经营过程时时刻刻都要关注的,强化的。
无论是宏观的集中式管理模式还是微观的业务管理,信息化都是其重要的技术支撑。因为信息化可以使一些人工难以实现的内控手段成为可能,信息化可以固化业务流程和控制点,执行更加刚性,信息化具有强大的数据挖掘与分析能力,使企业更能洞察可能存在内控疏漏与问题。
所以说,企业内控、风险管理是与信息化息息相关的,密不可分的。企业内控、风险管理离不开信息化的支撑,离开信息化,很多内控想法、方法就无法实现,成为一种无法落地的理论。企业信息化建设要更多的考虑为企业加强内控和风险管理而服务,要越来越多体现内控风险管理要求。以前企业建设信息系统时,建设很多基础设施和应用系统,可能体现了风险管理的要求,但并没有突出出来,并没有作为系统设计的核心问题。但一旦我们意识到风险管理对企业的重要性以后,信息化建设就必须充分考虑这些因素,从业务、管理、决策层面体现出来。
目前风险管理已经成为企业管理信息化的主线和方向,信息系统和内控风险管理趋于融合和统一。风险识别很重要,而对风险的控制和预防更重要。风险是蕴含在业务流程之中的,所以信息系统就成为风险控制的有力工具,而要有效发挥这种工具的价值,风险管理要求融入信息系统之中就成为一种必然。
魏代森最后表示,信息化也并不是可以解决所有领域所有方面的风险问题,企业内控和风险涉及面很广泛,诸如战略,投资,财务运营,法律和道德等。做好企业内控需要抓好五个要素,即内部环境、风险评估、信息与沟通、控制措施和监督与检查。信息化的作用更多的体现信息化与沟通、控制措施和监督和检查上,体现在管理模式的支撑、规范化的业务管理和分析上。