2010年1月1日,《企业内部控制基本规范》(简称内控)在上市公司范围内正式实施。内部控制作为上市公司风险管理工作中非常重要的一环,对于加强企业风险控制,提高企业经营管理水平、风险行为防范能力和确保公司战略目标得以实现具有重要意义。
《内控》自从2008年5月由财政部、证监会、审计署、银监会、保监会等五部分联合提出以后,开始受到正式的关注,实际上早在2000年左右企业内控就已经在大型企业中受到关注。由此可见,内控的发展很早就已经得到上市公司及国有大型企业了广泛的关注。对于内控,从CIO的角度来看,有一部分CIO表示出内控是企业是合规部或者是审计部的事情和IT本身没有太大的关系,IT只是给审计部提供一定的IT工具,认为IT和内控的联系不是很大,而且CIO认为内控会增加企业的成本。那么,如果是基于这样的原因,内控又是必须做的针对于上市企业,那么内控的落地是否还要还需要IT系统支撑?是否还是需要CIO所去关注?带着这些问题和困惑,记者日前采访了中国石油化工股份有限公司信息系统管理部教授级高工 吴正宏,分享了他是如何看待企业内控及其与内控与IT的关系的精彩观点,以飨读者。
内控的“牧羊人悖论”
我们知道从上市的企业来看企业分来两种类型, 一种是海外上市,一种是国内上市。在国外上市的企业尤其是美国上市的企业,必须要符合美国的萨班斯法案,而美国的萨班斯法案又是极其严格的,而在国内上市企业来看,国外的萨班斯法案的要求方面和国内的内控要求基本上是一致。
说到内控,相当于中国的“萨班斯法案”,那么萨班斯法案出台的背景和目的又是什么?吴正宏说道, 实际上讲,萨班斯法案出台的背景是为了规范上市公司的行为。同时他指出,股市是指一个企业的融资的市场,企业缺少资金会把一分部分转为股权让股民来认购,认购后拿钱做企业、分享企业的利益。自但从美国的安然事件、中国的银广夏事件,股民发现被骗,而且投资者不愿意参与,在这种环境下如果不去规范市场环境,整个融资市场运行就会出问题。
基于这样的背景必须要有一个良好的市场制度,政府要建立一个好良好的市场制序,股民觉得企业是可信的,股民愿意把资金交给企业,然后由政府替监管着企业遵守相关的规矩等,这样保证企业正常发展、社会的正常发展。
现阶段,在企业中存在着这样一种现象决大多数企业是做事为主,但还是有个别的企业,有着“捞一把”就走的想法,要不规避这些企业的不良行为,就不会有一个良好行为,没有良好的行为,企业就无正常发展。而在管理界,有一套著名的《牧羊人悖论》,讲述的是一块草地所有人都在这里养羊,养多了就会把草地破坏。这时就要做一个规矩,每户只许养一百只羊。如果有一家多养一只羊,其它人可能看不出来,而养羊户也可以多增加效益,但所有的人如果都要往这草地多养一只羊,那么这块草地就会荒了,怎么办?
“必须有人去管理这件事情、必须有一个组织管理,要监督对于不守规矩的人”。 吴正宏指出。
从牧羊人理论看企业内控的问题,牧羊人理论反映了内控存在的一些基本问题。,很多的企业认为做内控会增加的很多负担,尤期是金融危机的关口上,那么它为什么要给企业增加负担?
吴正宏强调,它实际上是给企业一个健康发展的环境,如果没有政府、没有监管环境,那我们的企业没有一个良好的生存环境下,在股市上很多人会担心企业会不会把资金套走。所以,内控制度本身是从宏观的角度出发,凡是规范的企业这种环境是有利的。从大的环境来看,对于企业是有利的,它可以创造良好的环境,建立良好的社会环境对于企业非常重要,作为一个负责任的企业有义务完成这种审计的要求;作为负责的企业按照内控的标准去做,合规是企业的社会责任。不这样做对于企业从局部的角度来讲是有利的,如果社会环境变坏,企业也没有办法生存。 从这两个高度来看,内控是完全有必要的,对于企业有利的不是额外给企业增加负担。
另外,如果企业没有规则可遵循,“羊”越来越多“草地”就会没有,那怎么来处理?只有少养“羊”,企业都能有“羊”。由此,内控是有必须做的。当市场发展不充分的时上市企业不是很多,那时内控可能不是很明显,因为只有几家企业上市很好控制,但是企业上市比较多就必须有监控,这种规则不仅是体现在上市公司的内控方面。 换个角度来看如果没有银监会、管控等法规,我们敢把钱往银行存吗? 这些道理是和内控一样的。
IT和内控密不可分
内控即然这么重要,那么IT在内控中扮演着什么样的角色,他们之间又是有何关系?有观点称IT会给内控带来新的风险,但伴随新风险的产生,新的工具也产生了。只要使用得当,就能非常有效地降低这种风险对组织可能造成的损害直至最终合理保证内部控制的目标。
据一份内控资料显示,IT对企业内部控制系统的影响主要体现在:一是企业的业务流程部分甚至全部由信息系统驱动和承载;二是企业内部控制系统依赖于以信息技术为基础的控制;三是企业内部控制的建立依赖于信息系统生成的数据。由此可见,I T或者信息化中内控的落地中至关重要。
那么,对于石化类的大型企业,内控和IT之间他们又是怎么样的关系?
如果按照内控的规范要求去做会使企业的成本变高,为什么企业说成本变高、做事的效率降低?怎么解决这些问题?吴正宏认为主要有几点:
企业做合规或者是内控来讲IT是非常重要的支撑,IT的作用是提供业务自动化的平台。自动化的平台是什么?就是用自动化提高我们的效率,比如ERP,没有自动化的平台、流程走不下去。手工做ERP的思想是做不下去的。
第二、按照合规的要求去做、流程变复杂、更严格,怎么保证运行的效率?用自动化平台用IT的手段, 效率就提高。
第三、 流程变得很复杂、监管也很复杂。一定要按照流程去做,不按流程去做又不行,怎么办?还要用自动化平台变成一个规范的操作, 如ERP,没有ERP系统以前有很多的规矩走不下去。在ERP系统里就已经设定流程没有这步,走不下去, 避免出现“短路”的现像 。
第四、计划外怎么办?计外内怎么办?大企业无法查出来,通过系统就可以显示出来, 没有计划就没有办法批变成一个种规范操作。
第五、要对企业的业务流程不断的考核依据是什么?以往手工来做很难评价,现在在自动化的平台上,数据采集自动化同时进行。用这些数据进行分析,用这些数据对于流程的操作进行考核,对于优化有了考核的支撑。”
从几个方面来看,一、是提高运作效率;二、提高规范程度;三、把难以考核、难以优化的系统变为一个可考核、可优化的、可监管的系统。 所以 ,IT在内功的发展中作用非常大,对于企业来讲就不用IT,那做内控就事半功半、叫苦更多。