信息化对于企业内控与风险管理的作用
企业的日常运行是基于由一套套制度和流程所构成的管理体系展开的。因此,内控和风险管理所要控制的对象是企业现有的管理体系。但是,当企业规模达到一定程度时,离开IT技术的支持,要真正搞清楚自已的管理体系却并不容易。
IT 技术对于企业有效进行“管理体系梳理”的价值
设想一下,如果在某企业内随便找一个员工,问他是否知道在其职责范围内的某件事应该如何操作,他可能随口就可以说出个一、二、三来。但是,如果我们再追问一句,“你是否确认这样做一定满足了企业的各种管理要求,包括ISO9001、六西格玛、精益化管理、平衡计分卡、HSE、风险控制以及公司有史以来颁发的所有规章制度?”,绝大部分情况下这个员工是不敢确认的。
类似上述情况还可以举出很多事例,我们将此称为“管理体系孤岛”的现象。一个企业在发展过程中往往会不断地引入并应用各种先进的管理理念和方法,这些理念和方法的引进一般都以项目实施的形式展开,并随着项目的结束给企业留下一套套的管理制度和流程。由于这些制度和流程之间并没有进行过有效的整合,从而造成各体系之间存在相互脱节甚至相互冲突的情况,这种现象给企业造成的直接问题就是各种管理要求不能被真正全面地执行。
总之,不管引入并建立了多少种管理理念,企业都必须将他们整合成一套制度和流程,而企业的员工只要严格按照这套制度和流程中所规定的要求开展工作即可以满足所有管理体系的要求。本来,企业制定各种各样的规章制度、流程手册、程序文件、工作指南就是为了明确和规范做事的方法,但纷繁复杂的“管理体系孤岛”最后却反而让具体的执行者搞不清方向了。如果连应该怎样做都讲不清楚又怎么能指望员工认真全面地执行呢?如果连被执行的管理体系究竟是什么都搞不清楚,那就更谈不上真正意义上的内控和风险管理了。
解决之道是企业可以供助于IT技术建立统一的信息化的制度和流程管理平台。所有的制度和流程都必须在此平台上进行建立、修改和发布。企业所有的制度文件、流程手册、岗位职责也必须通过这个平台自动生成。这样可以借助IT技术有效地避免不同管理体系之间的不协调和冲突,并实现管理体系的整合。事实上,没有信息化管理平台加以支撑,全凭人工管理来实现上述所谓的管理理念是非常困难的。信息化技术的优势就是可以通过功能、权限和工作流的设置来固化流程管理本身的各种制度和流程,并且可以大大提高管理体系整合的效率和精确程度。另外,信息化技术还能使相关人员方便高效地进行流程的设计、更改和查询。西门子、中石油等公司就建立了这样的信息化管理平台并取得了不错的成效。过去几年,众多企业都实施了全面预算管理、项目管理、合同管理、招投标管理、资产管理等信息
系统,使得各部门的管理水平提到了有效地提升。统一的信息化的制度和流程管理平台是一种有效的管理手段,把企业的规章制度和标准融于信息系统中,把超出规则的部分有提示、有标注,使企业的规章制度和标准真正的落地。
IT 技术对于企业有效进行“风险评估”的价值
所谓“风险评估”是指企业及时识别并系统分析经营活动中的风险并合理确定风险应对策略。要做风险评估,首先就需要有评估的对象。管理体系梳理的目的就是要提供这样一套清晰的、准确的、可视化的评估对象。
企业所建立的统一的信息化制度和流程管理平台去开展风险评估工作。即企业只有一个制度和流程发布平台,所有制度和流程均在平台上发布。进行风险评估时,只要对此平台上的制度和流程进行评估即可,大家不用跑来跑去。如果,风险与内控部门更新了某一类风险的控制策略,则此IT平台可以自动找到所有相关的工作节点,并更新其控制措施。这相当于将风险数据进行集中管理,所以管理者还可以依据风险发生可能性高低和对目标的影响程度进行整体的定性或定量分析,并较容易地对风险、流程、制度等元素进行多维度评估,促成必要的行动去阻止或者减少重大的损失或者事件。
IT 技术对于企业有效进行“风险控制”的价值
内部控制测试基本方法包括询问、观察、检查和再执行等。测试程序一般可以划分为准备阶段、实施阶段和总结阶段。测试组需要将测试资料及测试报告及时上报测试组织部门,并对测试中发现的缺陷进行评估。
通过信息化系统可以将上述测试流程和制度固化并形成一套有效的工作机制,这可以大大节省测试的准备时间和测试过程的成本,并提高测试的效率和精度。当然,信息化系统的另一优势是可以基于测试过程中所收集到的大量信息进行各种综合分析,并出具分析报告,从而有助于企业管理层及时了解企业管理体系的运行状况。
总体来说,应用信息系统进行企业的内控和风险管理,可以极大提高风险管理信息在各职能部门、业务单位之间的集成与共享,既能满足单项业务风险管理的要求,也能满足企业整体和跨职能部门、业务单位的风险管理综合要求,从而整体提升企业内控和风险管理的效率和水平。
