内控百问百答(18):如何实现内控的信息化?
背景说明:
内部控制信息化是不是就是把原来的业务流程跑顺了,直接搬到信息化系统里?
我的建议:
财政部等五部委联合出台的《企业内部控制基本规范》对企业内部控制与信息系统的结合提出了要求:
企业应当运用信息技术加强内部控制,建立与经营管理相适应的信息系统,促进内部控制流程与信息系统的有机结合,实现对业务和事项的自动控制,减少或消除人为操纵因素。
许多企业在内控建设阶段就提出,要借助内控建设工作来固化业务流程,并在流程运行顺畅后,将流程移植到OA或EPR系统中,实现内部控制的信息化。
内控信息化的思路是非常对的,但是,如果企业把内控信息化简单看作就是线下流程直接转移到线上,就大大削弱了内控信息化的作用。在我看来,内控信息化可以区分为三重境界。
一、第一重境界:线下转线上
这是最简单的一种信息化,把原来线下的业务表单直接放到信息系统中。但是,这种简单粗暴的方式,只是把流转的形式从纸质改成了电子形式,不但不能提高效率,有时反而降低了工作效率,比如需要把很多原始凭证(如合同等)扫描成附件上传到审批流程中去。但对于这些原始凭证的信息却无法通过信息进行归集、分类、统计、加工、分析和利用。
基本规范对内控信息化要求的重点在于“实现对业务和事项的自动控制”,即要充分利用信息系统的自动化功能,而不是徒有其表。因此,这就需要进入第二重境界。
二、第二重境界:控制自动化
内控自动化有两层含义:
1、原有流程在信息化条件下,无法顺畅流转,需要优化。
比如采购流程中最基础的控制包括“三单匹配”和期末存货暂估。在实务中,三单不一定都是一一对应的,因此,需要通过采购台账和存货台账来跟踪和匹配这些数据,期末还要对未收到发票的采购业务进行暂估,并且在下月进行转回,涉及的工作量非常大。
在信息化条件下,三单通过系统作关联。首先,所有采购都有经过授权审批的订货单。采购到货后,进行验收入库,生成的入库单都关联至采购订单,即没有采购订单就无法入库、入库数量超过采购订单数量(或一定短溢量范围内)也无法入库。在ERP系统与财务系统打通的情况下,入库时即可自动抛砖存货暂估凭证。收到发票时,需要在系统中核销到入库单号,此时,系统可以自动将原暂估的存货转入正常的存货中。
可见,信息化会改变部分流程的流转方式,对于这部分业务信息,在信息化时,需要考虑进行微调和优化。
2、利用软件的特性,设计输入、输出控制。
经常看到,企业信息化时,只是简单地将流程表单拷贝到系统中,员工在使用时不但不能提高效率,还经常让系统产生很多无效的垃圾信息。
比如,企业差旅报销中,经常会根据出差人员级别有不同的支出标准,同时,针对不同的出差地点,还有差异化的出差补助。因此,报销过程需要耗费大量的时间用于计算和复核。有时候业务人员填写的内容还不能满足财务核算的要求,因此,反复退回反复提交是报销申请中的常态。
在信息化条件下,通过输入、输出控制,就可以大幅度减少低效率、低价值的工作。比如,通过下拉菜单规范输入内容;通过字段的内置公式实现自动计算;通过后台字典,自动取数计算等等。业务人员只需在系统中填写少量业务信息,系统通过自动计算和校验,生成财务信息、甚至财务凭证。
因此,要实现内控信息化的第二重境界,就是充分利用以上两点,对原有流程的信息化方案进行优化,提高控制的效率和效果。
在实现了前面两重境界后,就要考虑对风险进行定量管理了。如果仔细考虑,在企业建设内控之初,一般都没有考虑信息化问题,因此,此时的风险评估更多是从流程角度出发的定性分析,注重的是审核、审批等控制活动。
但信息系统的最大优势就是数据,有了数据就可以做量化的分析和管理。因此,第三重境界的内控信息化就是要与管理会计的理念相融合。通过围绕企业KPI作风险评估,“对影响管理目标达成的各种因素进行分解归类,建立管控对象、责任主体与管理目标间清晰的量化关系,并按风险管理需要动态设定管控标准值。”
我们经常会提到风险偏好这个概念,在定性风险管理阶段,这个概念很难把握。但如果进入风险的定量化管理阶段,这其实就是预警体系的概念:对管理目标进行量化(德鲁克语:不能衡量就不能管理)->设定跟踪指标、标准值及预警值->确定意向指标的业务流程,并纳入信息系统建设范围->设计管理报表对指标进行跟踪->通过仪表盘对风险进行分类管理。