内控百问百答(4):内控建设一定要与信息化结合吗?

背景说明：

制度流程化，流程表单化，表单信息化。这句话大家都耳熟能详。做内控时，我们也经常听到内控要落地，必须依赖信息系统。那么做内控就一定要与信息化结合吗？

我的建议：

1、信息化是工具的工具！

虽然听着有点绕口，但我们首先要明确，ERP也好，CRM也好，还是OA也好，所有这些信息系统都只是工具的工具。前一个工具只是某个管理方法或理论，后一个工具则是指信息系统。简单说管理方式有两种方式：通过手工来做；或者通过信息系统来做。因此，管理方法和信息系统是皮和毛的关系。皮之不存毛将焉附？！

有些企业管理还没理顺，就直接上ERP，或者美其名曰希望通过ERP来理顺管理。那么，结果很可能就是江湖上讲的：“上ERP是找死，不上ERP是等死”。

2、信息化不能做什么？

信息化可以：1）进行输入控制。比如，限定字段的输入只能是数字，而不能是文本，这样可以避免人为的输入错误。2）流程控制。比如，系统自动金额自动判断审批层级和路径；比如，前一层级没有审批则无法进入后一层级等等。3）实时进行数据的统计和预警。比如，可以实现表单之间的勾稽，实时提醒数据不勾稽的情况。应该说，信息化可以在很多方面提高控制的效率和效果。

但信息化有个致命弱点，就是只擅长逻辑运算，不擅长模糊运算。虽然现在有BI、AI，但对于大多数运用场合来说，还是处于概念阶段。大家可能会问，现在的阿尔法狗不是能打败世界冠军吗？那么，它能随意切换话题，然后打败该领域的世界冠军吗？恐怕短期内都无法实现。

在《原创｜内控百问百答（2）：如何建立内控知识体系？》一文中，我曾经提到过，做内控可以有三重境界：入门级→会梳理流程；进阶级→能诊断管理机制；专家级→能从战略层面解决问题。

两者对应来看，信息化只能解决流程环节的问题；对管理机制和战略层面的风险控制则可能无能为力了。比如，通过CRM和销售漏斗可以部分应对销售不足这个风险，但却无法解决销售人员销售技巧欠缺的而造成销售不足的风险。再比如，战略定位错了，你再怎么强化内部控制和优化流程，也可能无法实现公司的销售收入目标。

3、生态多样性和成本效益原则

既然信息化能解决很多流程控制问题，那么，是不是所有企业都要引入信息化呢？也未必！

我国各类企业有数千万家，从家庭作坊式的到世界500强应有尽有。对小型企业来说，任用家族成员、老板亲力亲为就是有效的内控，根本不需要复杂的流程和岗位分工内部控制。更遑论使用复杂的信息系统来控制了。

风险应对策略中既有风险控制，也有风险承担。当复杂的内部控制或信息系统控制的成本超过由此带来的收益时，采取风险承担策略是理性的。内部控制本身（和其他所有管理工具一样）只是手段而不是目的。做内控的人，限于自身的专业视角，容易将内控作为目的来对待，为了控制而控制。这也是所有专业人员的通病：手里有个榔头（专业知识），看什么都觉得是钉子，总想捶几下。

不管是什么时候，玩图通过一个标准的黄金法则来解决所有企业的问题，都是不现实的！

谢力