2009上市公司内控管理与信息化建设论坛 速记

主持人：非常感谢胡处长的发言，下面我们有请来自IDSScheer咨询经理阚相元先生发言。

阚相元：各位领导，各位来宾，大家早上好。

我代表Scheer公司，与大家分享一下我们内控风险管理的认识和经验。

在正式演讲前我们Scheer公司是德国著名管理信息学教授在1999年建立的，进入中国是2004年，目前公司在北京上海，还有深圳，有三个办公室，在中国主要是提供两个方面大的分别服务一个是SAP实施和核心ERP系统咨询服务。第二服务我们公司业务流程管理系统核心包括风险和内控建设，进入中国时间虽然很短但是我们在中国市场获得很多客户，包括一些跨国公司。

今天的演讲分三个方面去介绍，首先，跟大家分享我们看到国内管理的企业在整个内控与风险管理建设方面遇到一些挑战和困惑。第二，我们看到信息化系统在解决这些困惑和挑战方面起到什么样的作用。第三个方面，我们会用一个具体的案例介绍一下两个方面。

我们现在企业面临很多的要求，要求我们企业加强内控风险管理，我们分析了一下，这些要求不外乎是从四个角度出发，比如说国资委的《中央企业全面风险管理指引》，从是保护股东权益角度出发，还有保护公众权益出发的，还有一个是专业的行业部门，为了保障行业稳定发展，尤其是金融行业，比较明确是我们有银行的一些管理办法。还有保险业，还有政府部门维护整个市场经济经济角度出台一些要求。

比如说财政部内部控制规范，这些核心思想是结合本企业自身特点，一些基本参考框架建管理体系，实际上和我们在很很早之前做的ISO的应用是一样的道理，无外乎我们要参照基本要求建立企业自身特点的管理体系，我们有很多客户交流，尤其是一些国有大中型企业，和上市公司交流大家会遇到一些困难，我们遵循上交所规范，和财政部规范，还有国资委中央企业风险管理的要求。我们怎么保证一套体系满足这些要求，我们要分门别类地架构我们的体系，我们企业肯定是不堪重负。

我们仔细分析了一下及我们以财政部和国资委两个法律法规要求看，他们是不矛盾、不冲突的。他们的核心思想是一样的，比如说我们财政部内部控制基本规范，提高我们内部控制体系核心要素分为五个部分，我们国资委前面风险管理执行里面也提到很多条，但是他们明显有一个明确的供应关系，我们认为我们结合一些国内外的案例，《企业的内控与前面风险管理指引》，有不同政策要求，但是我们都何以分成三个层面理解，首先一个层面我们要结合我企业特点，识别出我们的风险或者是控制点，设立我们相应对的控制措施，是我们整个体系设立层面。第二，我们要把我设立措施应急方案在企业内部推广也是一个控制实施过程，第三我们保证体系健康发展，做工作对体系运行设计和工作实施情况，进行监督，对不足之处改进，确保我们整个体系设计是合理的，执行是到位的，这样一个体系。

根据我们对不同客户的交流按，发现大家面临一些一样的困惑，所有管理政策要求核心要求是基本是一致的，第一就是要设计符合企业内部业务特点的管理体系，并且这个管理体系要能够根据公司业务，比如说组织架构调整进行及时调整。第二就是我们要把体系形成文件，作为我们执行和审计的依据，作为监督改变的依据。这样我们看到整个企业面临两个方面的挑战，第一我们体系改革的中心、编制审核很难跟得上业务变化，组织是在不断调整，业务流程是不断变化的，信息系统建设是逐步推进，每次做这种变革需要我们重新审计这些文件。第二就是我们体系文件难以根据外部环境变化进行及时调整。

在控制实施方面，所以体系文件我们看到有两个要求，一个是根据设计的方案，我们体系设计与执行的一致性。第二就是实施过程当中你要保留一些可以审计，检查，这样一些依据，比如说控制实施了，要留下相应证明文件。这样我们可以看到有很多企业面临两方面挑战，第一就是缺乏有效的发布实施平台，我们做这个文件怎么能够让我企业内部从高层到基层管理，大家都知道，业务当中执行这是一个挑战。第二就是胡处长提到我们企业控制点很多，我有的客户有5千个控制点，如果全部用人工进行控制的时候，控制成本会很高。这是面临两个挑战，在整个体系监督和改进方面，有两个核心管理要点，我们要对体系设计合理性，实施彻底性监督并且定期出一些评价。第二我们评价监督资料要保留一下，可以供外部或者是企业的监督点所使用。

这样我们可以看到企业里面有两个方面要求，第一就是我们体系监督本身工作量很大，协调的难度也很高，这样导致我们合规的成本是很高的，第二就是我们需要和一些企业定期每季度，每年度要做监督测试的工作，这些工作资料实际上对我们整个体系持续优化是很重要。但是我们很多企业做完以后，发现资料量太大，我将来不会再利用，达不到我们持续优化的目的。

上面这些挑战直接导致后果就是四个，一个首先合规成本很高，我们看到很多企业最早国内企业是遵循美国的《萨班斯法案》，动员内部很多力量，才能完成合规工作。第二，很多企业抱怨，我是把风险控制住了，但是我们业务效率降下来，业务要不断识别风险，满足内控部门要求。第三导致的后果是我们很难持续地合规，今年可能通过，明年能不能通过还是一个未知数。第四是企业很难满足不断增加的内部的合规要求，我们国内上市公司面临这个困难很明显，最早是满足《萨班斯法案》，国内又提出，国资委又提出要求，最近在财政部也提出要求，企业怎么满足不同需求。这个我们认为可以借鉴向国外上市的公司，用《萨班斯法案》上市的经验，可以分五个阶段。第一个阶段是企业如何去控制规范，企业具体要求是什么，第二就是我要建立业务体系，第三就是我们要内部体系进行评价，第四个阶段我们企业面临挑战就出来了，企业寻求信息化的手段，首先想到信息化手段我们要把我的内控测试，监督工作流信息化，我们要把整个体系文件信息化管理，第五阶段我们更高层面规范我把业务标准化，很多跨国公司很多相同业务存在，他们风险是类似，也是可借鉴的。如果不存在业务单元，业务列成标准化，我风险的数量会大大降低，这是流程标准化。最后就是他会有一些信息化的手段实现我们业务和我们内控有机融合的目的。这是我们所面临些挑战与启示，下面给大家介绍一下我们在内控和风险管理的一些解决方案和想法。

我们认为国资委前面发的指引也好，或者是财政部规范也好，明确提出企业在内控风险管理过程当中充分发挥信息系统作用，也结合我们在国外的一些经验，我们现在解决模块就是6大模块，基本涵盖我们整个内控和风险管理过程。第一就是我们首先一个建模模块，可以把企业内部业务和整个风险和内控风险体系文件进行管理。第二是风险事件的管理模块，我们怎么建立风险事件部。第三是风险评估模块，我们把风险评估任务分到各个管理部门把所有风险进行排序。在第二层面控制实施模块有两个，一个是帮助发布实施模块，我们可以给企业业务流程，让业务流程管理人员共同使用。第二是监控及预警的模块。我们一些业务的指标，资金流动性等等这些指标，第三层面就是我们有一个监督改进模块，可以使整个体系监督测试工作机械化。

我们在跟企业沟通过程中有一些问题，我们体系文件问题是很多，我们用大量文档，我们看到表述了企业业务实际情况的文档，还有一些风险矩阵，包括一些制度组织，发信这些文件是分散，在业务上是有联系，但是在管理手段是没有联系，我们怎么做风险识别呢？我们系统有一个基于一个数据库把我们整个企业业务现状和风险控制集成化进行对象化的建模。我们左侧看到了一个流程，我们发现有一个风险点，这个风险点有一些控制措施，基于控制措施的执行情况，由于会有一个监督测试措施，针对这些测试我们制订一些人员，在系统里面把有机关联起来，进入一个建模。基于我们信息化模式可以进行快速分析，我可以知道我们企业业务存在哪些风险，我知道哪些管理这些风险，哪些风险是在哪些流程上这样我可以很容易抓住一些风险的重点，并且我们业务管理软件有一个很好作用我能够把企业里面对于同一个业务，从不同管理体系的要求，都在这业务流程表述出来，比如说从质量管理方面的要求，安全管理信息的要求，内控管理信息的要求。在整个表当中我们可以看到三套流程框架，我在具体执行业务过程中我到底要执行哪套业务，执行哪些要求，我们这个系统是可以把所有管理体系的要求落实到一个业务流程体系，这是同一个业务流程进行集中化的管理。在我们系统可以根据不同管理体系要求，我们质量管理要求，内控管理要求，再出具不同的业务报表。

我们的系统最重要一个点我们可以搭建一个业务部门和风险管理共同使用平台，首先我们业务人员和风险管理人员可以进行业务的建模和风险管理建模，形成一个企业管理知识库，管理人员可以看我们风险点，业务人员可以看业务，并且可以满足跨地域的支持。

综合来讲，在这一块特点主要有两个，第一搭建业务人员和风险管理人员共同使用平台，第二我们可以提高业务流程风险管理制度的效果，前面讲到可以减少工作量。

第二跟大家介绍一下我们风险评估的模块，是一个风险评估软件，在我们风险评估内部发起到外心，到风险评价结果分析，前后我们都可以在系统里面完成。最后系统要给企业管理层几个报表，比如说定量分析的热图，定性分析的热图。并且我们可以根据我们多次评估结果掌握不同风险变化趋势。这个风险评估解决方案特点，主要有两个，第一我们通过流程信息化，我们把风险评估工作，信息化以后，固化以后可以建立一个持续风险评估机制，比如说对某一个风险要半年评估一次，到期的时候，系统会自动发起评估任务，可以确保风险评估任务的工作，第二我们基于同一个平台进行风险评估可以保障所有风险在同一个平台实现，可以掌握所有的风险的情况。第三个模块是我们风险损失事件管理，可以通过一个工作流建立一个数据库，给我们提供一些风险借鉴的案例，比如说我们看到一个信誉风险有几次，原因是什么，这样对我们风险识别有一些启示作用。它的特点有两个，一个是通过信息化建立一种固化持续化的风险机制，第二建立公司统一可以对风险应对提供一些数据化的支持。

第四是我们监控和预警的模块，这个模块最大的特点是我们可以从企业业务系统里面提取业务数据，进行指标的监控基于规则的事件识别。我们系统最大的特点数据功能是非常强大，可以跟现在所有的业务系统和数据库可以进行数据的收集和对接，我们可以把企业很多关心情况展开的地方，可以预警展开指标的情况，从而实现风险之前的管理和运营。我们设计了一些业务规则，看系统里面我们业务操作过程中有没有按照这些规则做，实现过程控制，还可以提供一些选择功能。比如说我们能够看我们的职责，在各种信息系统里面落实情况，检查全面配制的正确性，合理性。

最后是我们测试和评价模块，这个模块主要是通过测试和实现对我们体系监督评价，这样我们的软件也是一个工作流软件，涵盖了从测试任务的发起到测试工作的进入，到统计分析到改进工作跟踪，全过程涵盖。它的最大特点能够和我们建模模块做最初体系软件，进行数据同步，保证我们在监督测试的时候，我们看到和我们体系设计的初衷是一直的。

最后它这个系统有一个很大的统计分析功能，出一些多纬度测试结果，内控和风险管理绩效考核，不同业务哪块业务做不好，哪一块风险管理不好。我们可以从不同角度，或者和哪些科目相关的风险控制点到位不到位。我们通过流程信息化建立个测试及整改的工作机制，第二我们系统和我们体系管理系统进行数据接口，保证在测试过程中使用所有的文档都是集成的，不用工作人员手工做很多文件，第三简化我们大量工作，提高我们的工作质量。

下面我们简单介绍一下我们在德国做的案例，这是一家在国外上市的大型国有企业，最初就是做内控项目是从《萨班斯法案》开始，在遵循《萨班斯法案》过程中他发现有几个方面挑战，第一是业务流程管理水平很低，增加了内控管理的难度，影响内控管理工作的落实。缺乏一套可以全面表述工作情况的文件，不能不全面的表述出工作业务的实际情况，要识别风险加以控制这是一个很大的挑战。第二是他的组织人员非常庞大，他体系管理难度是很大。第三挑战他的内控监督测试的组织，工作难度很大，测试成本很高，用的几百人的人力进行一年工作，才能做完，首先有很多的工作细节导致很多测试成本不是很高。

根据这样的特点，我设计了基于风险管理的系统，首先把我们业务和体系文件管理起来，第二做人力和测试模块。第三就是我们要把做完的业务和体系文件发布出来，同时这个系统还能够支持我基于同一套流程，可以满足我内控也可以满足我ERP实施的要求，还有一些指标的控制。做的第一个工作首先是我们把业务进行全面梳理，从横向到纵向可以保证我业务真实的业务状况。基于这情况我们看每一个业务流程里面有那些风险点，业务目标是什么，有哪些不确定的因素，针对风险点我们有哪些是控制措施，风险管理，控制执行我们怎么测试进行一个统一规则进行了一个描述，以后我们可以发布出来企业管理的内容库，这样我的业务人员在维护人员可以看我每一个业务要求，风险管理人员可以快速看到的风险可以到那个里面去。通过前面讲的测试的管理和测试的统一分析，极大地节省了他们的人力与物力。

这样以后我们跟客户一起总结，整个做完以后收益是体现三个方面，第一是通过风险管理工作，进行业务流程标准化，加强企业规范化指引，提高业务管理水平，这是客户一个收益。第二提高内控管理的工作效率和质量，降低我们合规化成本，主要是信息化手段降低了工作量提高效率降低了合规成本。第三方面的收益实现了内控管理和业务经营活动的有机融合，过去内控风险管理工作就是风险管理部门工作，业务部门是对专业部门去推动的，这样一个双方抵触的情绪。通过这样一个程序双方可以落实，把我控制风险融合到业务当中去，实现业务管理工作和风险控制的有机融合，我们对内部监督测试过程也是对我们业务执行力的检查，也是业务执行的保障。

今天时间有限给大家介绍就到此为止，谢谢大家。