内控信息化解决方案

2007年,当财政部颁布《企业内部控制规范-征求意见稿》时,付建华已经在用友软件股份有限公司(以下简称“用友”)的研究院里对内控和风险管理的理论、法规及企业实践进行跟踪研究;2008年,当五部委联合制定的《企业内部控制基本规范》出台之时,付建华和用友研发团队开始针对内控规范探讨软件系统的解决方案;2009年,面对内控基本规范实施的预期,软件规划被用友正式提上了日程。2009年12月,用友公司已经率先推出NCv5.6-企业治理产品,为上市公司的IT控制管理与监控提供了系统的支持;同时,在用友NC-v6.0产品中,用友还将继续推出更加全面的企业内部控制解决方案,包括:企业内部控制制度建设支持、企业流程控制与监控平台、IT控制与监控平台、企业内部控制审计及评价平台。付建华表示,作为专业的软件公司,用友见证并参与了中国企业内控规范制定的过程。

目前付建华是用友软件NC产品-集团财务产品经理,也是NC-企业治理产品的主导规划者,其所在研发机构负责的ERP产品也是用友最大的产品线;该产品主要面向大型集团企业和上市公司提供完整的企业管理信息系统解决方案,而这些公司正是此次内控规范试行的先遣部队。随着《企业内部控制配套指引》(以下简称“《指引》”)的颁布,其目标客户群体在内控管理方面将做出重大调整。

“《指引》颁布之前,很多上市公司虽然普遍建立了内控的制度和规范,但真正运作起来的不多,大多数还是形同虚设,内控的执行和后续管理基本处于空白阶段。此次《指引》的提出,是政府以外力来推动企业内控的加强”,付建华表示,在具有了外部法律规范环境以后,企业务必要提高内部控制管理水平。而在将相关内控规范落实到企业业务流程的过程中,财政部明确提出,建议上市公司采用IT手段开展内部控制管理。借助于管理信息系统,能够更有效地帮助上市公司开展内部控制的执行、对内部控制的设计及执行进行监控、更方便地进行内部控制的审计和评价,并可以帮助企业降低内部控制的审计评价工作量及成本。

中国企业内部控制规范体系的建成与实施,不仅影响到上市公司的实际运作,诸如软件供应商、咨询公司等中介机构也深受影响。中介机构该如何发挥自身专业优势,助力上市公司提高内控管理水平?作为国内最大的软件供应商,从管理信息系统层面来看,用友已经准备好了。

解决思路

增强用友ERP产品的内控特性,从而为企业内部控制的执行提供有效的支持。

企业内部控制的执行与各种管理活动和业务活动密不可分,在管理信息系统中就需要将内部控制的特性与各种功能进行有效的集成。在企业内控规范没有出台的时候,用友ERP-NC、ERP-U8等产品中就已经具备了一些内控的特性,而在内控规范颁布之后,2009年用友又通过增强既有ERP产品的内控功能和特性,使得产品和解决方案能够更加系统地支持企业内部控制的有效执行。这种解决思路包括面向大型企业集团的NC产品线,和面对中小型企业客户的U8产品线。

比如:针对企业采购业务,大多数企业通常需要执行的控制点有几十个,在用友ERP产品中,过去的解决方案只关注了其中的一部分。在企业内部控制规范出台后,用友对各产品线的采购管理模块分别进行了功能的补充,从而使其能够支持内控法规和大部分企业的采购业务的控制要求。在这一过程中,企业不需要单独购买新的产品,只需将既有的系统升级即可。

研发并推出NC-企业治理-内部控制监控及报告产品,支持企业对内部控制的执行进行实时、有效的监控,从而达到及时掌控和降低风险。

即除了在现有ERP产品基础上内控特性的增强,用友还面对市场需求和政府相关规范要求研发了新的内部控制监控与报告产品。按照内控规范的要求,企业的管理层必须保证内部控制的有效性;这就要求企业不仅需要建立健全内部控制制度,更要保障内部控制执行的有效性。而对渗透在企业经营管理全过程的控制行为进行及时监控、及时的风险防范,离开了软件工具的支持,几乎无法实现。用友NC-企业治理-内部控制监控及报告产品则为企业建立电子化内部控制制度,并据此对各种业务流程的控制活动进行监控、统计和报告,对企业IT控制活动进行监控、统计和报告提供了有效的信息化平台。

研发并推出NC-企业治理-内控审计与评价产品。

该产品是专门为企业内审部门开展内部控制审计评价服务的。按照内部控制规范的要求,企业不仅要关注内控制度的执行,更要完成内部控制有效性的评价及披露。内部控制审计及评价产品完全按照内部控制审计规范要求的流程设计,并与ERP产品、内部控制监督与报告产品高度集成,不仅给企业内审人员提供了工作平台,还能够根据ERP系统的业务信息和控制监控信息自动提供部分审计依据。

从内控的制度建设、内控执行、内控监督到内控的审计评价,用友NC-企业治理产品提供了一个完整的解决方案。“同时,该产品在规划设计时,充分考虑了用户的应用成本,将产品设计为完全的开放型产品,即不仅能够与用友ERP产品进行集成应用开展内控监督与审计评价,同时还能与第三方任意软件系统集成应用,实施内控管理。从而让用户一次性投资,解决所有内部控制管理问题。”付建华说。

实施建议

2010年4月,《指引》出台后,来找付建华咨询的客户就络绎不绝。在为客户提供咨询服务的过程中,付建华发现了几个值得企业深思的共同问题。

部分中国企业应对内控规范的要求仍较盲目。相比于海外企业在内控管理方面的目标清晰、运作规范,中国企业往往走向了两个极端。要么是出于等待的状态,不到最后期限就不考虑实施;要么是急功近利,寄望于内控与全面风险管理能在短期内迅速完成。

中国企业应当在了解自身管理水平、管理基础、所处行业特点等基础上,结合自身状况及法规要求,相应地完善内部控制管理和开展风险管理。此外,内控与风险管理体系还是存在着较大的差异。“内控只是全面风险管理的一个部分,一个环节,它是为风险管理服务的。付建华认为,大部分上市公司还是要从内控层面做起,不要急于求成。只有内控做好了,才能帮助企业形成一种良好的企业文化,也才能为企业在日后推行全面风险管理奠定一个坚实的基础。

在法律法规强制要求后,上市公司应当将法规要求与开展及提高内部控制管理水平看成是一件事情,增强内部控制改进的动力。虽然内控规范的提出,不可避免地会让企业产生一些额外的成本,但由于政府给出了细致的指引文件,帮助企业做到有的放矢,其施行成本无疑要比美国低很多。而且,相对于成本而言,有效的内部控制环境,也会为企业管理水平的提升提供动力,也会间接影响企业的经营成果。

建议上市公司在应对法规、提高内控管理的过程中,能够借助IT工具平台。因为脱离了IT手段,内控规范的有效执行和监督较为困难。