随着2016年人工智能在财务领域的兴起,数智时代成为了中国企业管理转型的大历史背景,大量的中国企业开始进行数字化转型的尝试,而内部控制也终于开始从传统的制度化建设向数字化方向转型和升级。
向前推20年:2002年,美国萨班斯法案的出台推动了内控的显性化发展;而2008年,财政部等五部委的《内控规范》则拉开了内部控制在中国大中型企业全面建设的大幕,内部控制终于在中国企业如火如荼的开展起来。
在这二十年间,我有幸参与了内部控制近20年的完整发展,在近百家企业的内控服务中,我一直在思索内控如何真正的做到落地,如何真正的发挥效果,也在内控服务的不断尝试中实现了内控从流程化(内控1.0)到信息化(内控2.0),再到数智化(内控3.0)的认识迭代和实践升级。
内控1.0也称为基于流程制度的内控,也是目前大部分企业所认为的内控。在这个阶段,内控的定位是基于监管要求和管控要求的流程规范和制度建设,企业管理者和内控人员希望通过制度的梳理、流程的建设来明确管理的要点。所以企业往往聘请“四大”等知名会计师事务所开展内控建设,由内控专家们指导公司各职能部门形成内控操作规范和内控手册,以业务流程图、权责体系表、风险控制矩阵等样式展现管理的规范性要求。
这个阶段的好处是很好的推进了内控理念在企业各层级和各业务部门的普及,让大家认识到了内控的重要性,并初步形成了内控的标准化文本成功。然而,这个阶段最大问题就是内控的落地性,因为大量的本文建设看似严谨和规范,却加大了业务人员的理解困难,而且短期内(一般一年左右)的全面流程和制度建设让大家完全没有时间对成百上千个内控要点进行充分的管理消化,很多内控手册最终行为了一种漂亮的合规摆设,无法真正让业务人员将其内化于心,内化于行。
我从2003年到2012年间,所做的大部分企业的内控体系建设都是这种制度化流程化的内控服务,然而效果都很一般,常常是“真做开始,假做结束。”内控制度成为了挂在墙上、摆在桌上的一套漂亮的文件。
于是从2012年左右,有些企业在开展了几年的内控制度建设后,开始考虑内控2.0,亦即内控的信息化建设。很多企业认为既然内控制度无法真正的落地,那么通过信息化手段就可以解决内控的执行层面问题。而内控在制度梳理中的一个重要表现就是业务操作流程和权限审批流程,所以很多企业开始运用OA或者BPM等软件,从流程引擎的角度考虑内控的落地,他们希望将制度规范的业务操作流程固化到OA中,实现审批的强制化,从而保证内控的有效执行。
这个阶段的好处是通过流程软件实现了操作流程的固化,所有人员的操作必须按照系统步骤才能执行,保证了流程的严肃性。然而,在深入执行后大家发现,OA的流程固化虽然保证了每个人都按照规定的要求来操作,却只是实现了内控的形式符合,做到了人人签字,却没有做到内控的实质审核,每个操作环节的内控要点还是依托于人的经验判断来进行控制点的结论输出,并以人工输入的方式进行流程中的风险提醒。这个时候,所有的系统操作环节的有效性依赖于操作人的责任心、精力和能力,如果这个操作人马虎一点,粗心一点,随意一点,流程的风险还是无法管控,很多领导最终的审批职能依赖于对前面审核人的信任,甚至比线下纸质审批更难发现过程中的问题。
我在2012年到2015年间,通过帮助企业进行制度流程的OA落地,虽然在项目早期得到了一定的内控执行落地的肯定,但是时间一长,发现OA的执行成为了随心所欲的快速浏览和一点而过,严重影响了内控的有效监管,甚至有些老总最终要求推倒OA,重新走线下审批,因为发现“大家拿到纸质文件反而会认真的看一看”。
2016年,在人工智能和数字化浪潮的推动下,我发现企业真正需要的内控并不是制度文件,也不是信息化流程,而是对业务流程中风险的有效监管,而这个监管就是跨部门,跨岗位的数据交叉比较和校验。2018年,我们正式提出内控3.0,基于数据和规则的数字化内控。在我看来,内控不是制度,不是流程,企业内控的本质是从业财数据和专业规则视角出发,实现多维流程和异构系统的协同比较,从而发现与规范和规定不一致的风险。所以,我们要做的内控是去制度化,去流程化的,是基于数据采集的规则比较,是基于内控的业务理解和行业know-how,构建内控规则与模型,从而实现内控风险的量化识别、分析和评价,并将内控风险的分析结论嵌入流程,实现无感化、嵌入式监督,赋能企业内控的真正落地。
这个时候,企业需要的落地成果是内控规则中台,在这个平台上实现业务数据的自动化抽取,内控数据集市的自定义搭建,内控规则的灵活化配置和集中化管理,内控风险的智能化分析,并实现内控平台和业务系统的实时交互,建立和完善全覆盖的实时动态监管体系,构建企业内控监管的动态化、协同化、智能化和可视化的模式,通过全面的数据分析,实现对下属多元化的单位实时的风险识别、分析、监测、预警和应对。
以“数据-规则-系统”为技术路径,通过数据工程建设实现风险管理大数据的整合和归集,通过风险规则模型建设实现不同场景疑点的自动化预警和跟踪处置,通过系统平台建设实现数智化风险管理的功能落地,实现了中国企业风险管理数字化转型的价值增值,达到企业对风险的立体化监控、嵌入式监控和持续性监控。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。