内控百问百答(18):如何实现内控的信息化?

背景说明：

内部控制信息化是不是就是把原来的业务流程跑顺了，直接搬到信息化系统里？

我的建议：

财政部等五部委联合出台的《企业内部控制基本规范》对企业内部控制与信息系统的结合提出了要求：

企业应当运用信息技术加强内部控制，建立与经营管理相适应的信息系统，促进内部控制流程与信息系统的有机结合，实现对业务和事项的自动控制，减少或消除人为操纵因素。

许多企业在内控建设阶段就提出，要借助内控建设工作来固化业务流程，并在流程运行顺畅后，将流程移植到OA或EPR系统中，实现内部控制的信息化。

内控信息化的思路是非常对的，但是，如果企业把内控信息化简单看作就是线下流程直接转移到线上，就大大削弱了内控信息化的作用。在我看来，内控信息化可以区分为三重境界。

一、第一重境界：线下转线上

这是最简单的一种信息化，把原来线下的业务表单直接放到信息系统中。但是，这种简单粗暴的方式，只是把流转的形式从纸质改成了电子形式，不但不能提高效率，有时反而降低了工作效率，比如需要把很多原始凭证（如合同等）扫描成附件上传到审批流程中去。但对于这些原始凭证的信息却无法通过信息进行归集、分类、统计、加工、分析和利用。

基本规范对内控信息化要求的重点在于“实现对业务和事项的自动控制”，即要充分利用信息系统的自动化功能，而不是徒有其表。因此，这就需要进入第二重境界。

二、第二重境界：控制自动化

内控自动化有两层含义：

1、原有流程在信息化条件下，无法顺畅流转，需要优化。

比如采购流程中最基础的控制包括“三单匹配”和期末存货暂估。在实务中，三单不一定都是一一对应的，因此，需要通过采购台账和存货台账来跟踪和匹配这些数据，期末还要对未收到发票的采购业务进行暂估，并且在下月进行转回，涉及的工作量非常大。

在信息化条件下，三单通过系统作关联。首先，所有采购都有经过授权审批的订货单。采购到货后，进行验收入库，生成的入库单都关联至采购订单，即没有采购订单就无法入库、入库数量超过采购订单数量（或一定短溢量范围内）也无法入库。在ERP系统与财务系统打通的情况下，入库时即可自动抛砖存货暂估凭证。收到发票时，需要在系统中核销到入库单号，此时，系统可以自动将原暂估的存货转入正常的存货中。

可见，信息化会改变部分流程的流转方式，对于这部分业务信息，在信息化时，需要考虑进行微调和优化。

2、利用软件的特性，设计输入、输出控制。

经常看到，企业信息化时，只是简单地将流程表单拷贝到系统中，员工在使用时不但不能提高效率，还经常让系统产生很多无效的垃圾信息。

比如，企业差旅报销中，经常会根据出差人员级别有不同的支出标准，同时，针对不同的出差地点，还有差异化的出差补助。因此，报销过程需要耗费大量的时间用于计算和复核。有时候业务人员填写的内容还不能满足财务核算的要求，因此，反复退回反复提交是报销申请中的常态。

在信息化条件下，通过输入、输出控制，就可以大幅度减少低效率、低价值的工作。比如，通过下拉菜单规范输入内容；通过字段的内置公式实现自动计算；通过后台字典，自动取数计算等等。业务人员只需在系统中填写少量业务信息，系统通过自动计算和校验，生成财务信息、甚至财务凭证。

因此，要实现内控信息化的第二重境界，就是充分利用以上两点，对原有流程的信息化方案进行优化，提高控制的效率和效果。

三、第三重境界：风险管理量化

在实现了前面两重境界后，就要考虑对风险进行定量管理了。如果仔细考虑，在企业建设内控之初，一般都没有考虑信息化问题，因此，此时的风险评估更多是从流程角度出发的定性分析，注重的是审核、审批等控制活动。

但信息系统的最大优势就是数据，有了数据就可以做量化的分析和管理。因此，第三重境界的内控信息化就是要与管理会计的理念相融合。通过围绕企业KPI作风险评估，“对影响管理目标达成的各种因素进行分解归类，建立管控对象、责任主体与管理目标间清晰的量化关系，并按风险管理需要动态设定管控标准值。”

我们经常会提到风险偏好这个概念，在定性风险管理阶段，这个概念很难把握。但如果进入风险的定量化管理阶段，这其实就是预警体系的概念：对管理目标进行量化（德鲁克语：不能衡量就不能管理）->设定跟踪指标、标准值及预警值->确定意向指标的业务流程，并纳入信息系统建设范围->设计管理报表对指标进行跟踪->通过仪表盘对风险进行分类管理。