东莞时尚行业CIO协会会长、铅笔俱乐部 CIO张碧玉-信息化结合的内控管理

《信息化结合的内控管理》

2018.01.20东莞时尚行业CIO协会会长、铅笔俱乐部 CIO张碧玉

首先我借这个机会做一个自我介绍，我叫张碧玉。我在用友工作8年，从2006-2012年的时间，用友主要从事实施的工作，主要做了一些大型项目的交互，包括理文造纸，当时的零售企业就是金叶珠宝，还有动糖集团等等项目。在当时，整个项目的金额在业界都是挺大的，理文造纸当时是1000万的项目。从2013年开始，我们进入了东莞添翔服饰有限公司，东莞添翔服饰有限公司的品牌是铅笔俱乐部，在前三年，我工作主要做信息化的建设这一块，通过三年的时间，有搭建整个企业信息化的整体实施。包括我们从传统的ERP部分，到零售分销，到FS系统，以及到现在相对“新零售”的部分。三年后非常荣幸，我从信息部分转到做综合管理。

综合管理这一块，除了信息的管理这一块，还涉及到公司的人力，行政，财务的管理。在后面工作这一段时间，我重点接触了财务的管理，所以在财务管理过程中，我深刻地理解，或者让我深刻地知道，通过信息化的方式，可以帮到财务的部门做到很多的管控内容。

首先我还是有必要在这里给大家介绍一下我现有的公司，东莞添翔服饰有限公司，这里是我们的厂区，这里是我们新建成的物流园，除了这栋高楼，其他都投入使用了。公司1996年开始成立了，2005年从原有的做外贸，代加工转为自己的品牌。2005年的时候，铅笔俱乐部获得中国四大童装品牌之一。这个是相对应的一些产品，对于企业来讲，刚刚我们提到，因为当下我们对于时尚的企业来讲，我们更多是在做一些数据的分析，然后做供应链的一些管理，包括我们的门店供应链，电商，互联网的应用。无论哪一个信息化方面，对于企业来讲，企业的风控和内控都尤为重要的。

国内外从2001年开始，都有出台相对应的内控和风险管控的一些制度。一直以来，会有很多企业不注重风控和内控的管理部分，都出现了很多内控的事件。这里面我大概罗列了几件，包括当时的长虹，因为当时信用额度的管控，信用风险的管控，所以导致44亿的人民币风险。对于企业的内控管理制度，其实从2009年都相对应出台一些政策，特别是对于上市企业来讲，大家都非常清楚。

对于企业内控风险的管控来讲，我们需要明确几个目标。第一个合理保证企业经营管理的合法合规。第二个关于资产的安全。第三个财务报告的真实完整。第四个我们需要提高效率和效果。这一点最近在微信朋友圈里面，有一个华为对女儿说的那一句话，内控和风险管控不是说你一定要做得非常万无一失，里面还是有一个度，还是要保证我们整体的效率。第五个促进企业实现发展战略，每一个企业在不同时期有不同的发展战略。对内控应该按照企业整体发展策略来做，企业在不同时期企业关注的东西不一样的。

企业内控包括五个要素，包括内控的环境，对于内控来讲，以往大家认为是一个财务部门的事情。其实对于一个企业来讲，我们应该建立整体内控管理的组织架构职责，以及相对应的绩效考核，还有相对应的企业文化的培养。第二个还有内控的风险评估，如果有这样的一个管理意识，我们应该时刻去评估风险，识别风险，然后制定一个相对应的风险管控设备。第三个方面控制活动，针对每一个识别的风险，所制定的一些策略。第四个信息与沟通，在执行的过程中，也有大量的沟通过程。第五个关于内控的监督。这里特别提到的是我们配套的监督检查，还有一系列的跟进。

关键控制点，第一个不相容职务分离控制：销售与收款，采购与付款，资产保管与记录。我们都会考虑职业分离的控制。在企业的实施过程中，其实都会有很多实际的案例，昨天我们公司有一个采购的负责人负责签收，其实在管控上是不合理的。

第二个授权审批控制。第三个会计系统的控制，我们很清楚，我们要有明确的作业流程，统一的会计制度。第四个财产保护控制，很多企业都在做，但是你们作为信息化的管控，如果没有落到企业的实际业务管理当中，你觉得似乎做得挺好的，当你沉下去之后，每家企业都会存在采购的记录缺失，实物的保管、盘点问题，这些正是我们内部需要解决的。第五个包括全面预算的控制，全面的预算，相对应预算的修正，滚动的调整。第六个关于运营分析控制。第七个绩效考评控制。

特别说明一下，在2015年的时候，因为整个零售的大环境变化，导致我们企业当时出现了销售收入下滑的情况。对企业来讲，需要降成本，控制费用的事情，但是2015年做下来之后，效果并不明显。2016年的时候，我作为人力资源部的负责人，当时加了一个考核指标，除了前端的预算部分，人力资源部针对很多责任部门加了一个费用的控制。到2016年整个费用急速下降，所以绩效考核和相关的一些去融通，对绩效考核非常重要。

这个是企业在内控和风险管理常见的误区，有一点特别讲一下。第一个，很多人把他当作一个项目来做，以为在短期时间里需要做一个企业的内控。对企业来讲，我们必须一致做这件事情。同时第二个一套制度，很多企业都有内控管理的制度，这些都是一个静态的，没有去执行，没有去优化，没有去调整，没有去落实。还有很多IT部门有看到，当我们信息化发展的时候，很多人认为这是IT技术部门的事情，但是IT仅仅只能提供技术，对于整个的内控不了解，怎么如何做到内控，如何把握柔和钢度的问题，需要管理和技术相结合去解决的。

企业在进行内控和风险管控的时候，往往会面临的一些困惑。我们常见的制度比较零散，执行力不够，多个部门控制，包括财务，业务部门。还有分子公司管控难，子公司都是独自为阵。被动响应监管要求，缺乏监督，无从入手。无从入手因为整个没有一个整体风险管控的体系，所以往往因为某一个问题的存在做这个事情，如果从年度的风控角度来说，不知道从哪里入手。

针对这样的困惑和理解，我们可以通过这样的一些方式，包括我们的制度进行这样的管理规范，内控的制度与执行一致。这一点看起来很容易，但是很多公司在实时信息化系统的时候，往往因为很多问题和原因，很难做到一致的。现在很多人因为信息化不能满足的情况下，往往会说一句话，这个地方财物自己去做，我接手财务部的时候看，我觉得这个事情，在财务部很多东西根本做不到的，也没有人去做。特别是涉及到人员的个人能力和态度，以及人员调整的时候，很多说在系统外做的一些管控，其实就是一个形式。

我们进入到对于内控的基本观，规范对于IT来讲，我们系统的一些要求包括两个方面。第一个系统应用，第二个系统技术。系统应用主要讲的需要可行，可控，可视。可行将内控要素和关键控制点与业务流程相结合，是我们作为IT部门。前段时间有人讲，我一直强调对于IT人员来说，一定要知道企业实际的运作，懂得企业的业务流程，或者业务的部门更清楚他要什么，我应该如何去管控他，这样你会比别人做得更好。可控，实现内控体系与全面预算，集团管控，体系整合。可视，内控执行过程和效果可查询可评价。

我们企业在实施内控管理，都会围绕企业当中几大的管理方面，包括我们的预算，财务运营，信息绩效等这些方面，建立整个的内控管理的体系。我一直强调是内控管理的体系，我们也会按照PDCA的管理模型，将进行对应的目标设定，还有风险的识别，风险的量化，还有对应风险的控制，监控以及报告。最终我们还需要进行总结，完善我们下一轮内控计划相对应的策略调整。

接下来我会针对于内控，给大家举几个例子，这也不是非常完整的。第一个关于用户的管理和权限的管理。这个权限管理，我特别讲一点关于IT部门的问题。前几天我在群里发一个消息，关于我们的一台系统，被俄罗斯病毒给破了，当时弹出来的界面是200个比特币。当时我们对于IT部门的权限，以及IT相对应的数据备份和管控，有一套完整的制度，并且每天都有做对应的检点。而且很多系统的权限都有设置交叉的权限和等级不同的权限。可能很多人管理一套零售分销没有权限，但是我们在系统管理我们有很多的策略。

我们举一个例子，内控流程与业务流程合一的问题，我这里举一个例子，只是讲到一个审批流，因为审批流会涉及到各种不同运营的业务场景，包括当中有权限或者授权这些。对于内控来讲，我们一定要融入到业务流程里面去。

这里讲到固定资产，关于固定资产的购置，固定资产的保管，固定资产的支付。在系统相结合的时候，相对应有很多的控制表。包括我们讲到第一个固定资产的购置这一块，我们相对应的信息系统，即使要有相对应的固定资产投资的编制，以及审批。第二个固定资产，当你购买完了需要支付现金，资产取得的验收和款项的支付，也会作为一个控制点来进行管控来的。对于固定资产的购置行为，固定资产的申购，固定资产的采购，这些都会有一些。

对于成本费用这一块，其实这里想讲的一个地方，就是对于服装行业生产型的企业，如果要去核算生产成本，其实很多企业很难做到的，因为服装企业的特殊性，跟以往我们所理解的传统ERP，因为最适合在电子行业，或者比较标准化的企业里面去实施，差异是蛮大的。我们这里讲到的成本和费用，怎么去管控成本和费用，以及获取到相对应成本和费用的数据。在系统当中，其实有一些相对应的控制。

昨天财务部跟我提出来，系统为什么老是出现有数量，没有金额，有金额，没有数量的材料信息。然后我跟他解释，为什么有数量没有金额，因为之前整个生产订单已经执行完了，实际生产的订单在后面冒出来了几件。原本的材料和人工费用已经在前面的单分摊完了，还会出现一个问题，有金额没有数量，原本生产订单是100件，入库入了90件，还有10件的费用和成本，接下来在下个月的时候10件不入了，成本费用去哪里。所以信息化对这一块都有相对应的管控，所以我们最好做到对于成本费用来讲，事前我们有相应的预算，事中我们有控制，事后有一个核算。然后我们可以用PDCA的方式循环做调整。

这是资金这一块，大家都非常熟，因为很多企业都会用资金管理的系统，用到这一块系统的时候，大家一定要注意系统的安全性。之前在很多年之前，我知道有一家企业做质检的时候，因为系统管理权限控制不到位的问题，他竟然打了150万的金额放在自己的账户，这有一个真实的案例，应该在2015年的时候，是江苏的一家企业。

这个是我们常用的信用额度的管控，信用额度包括很多系统，包括零售分销，包括内部的销售系统，大家一定要考虑到一个问题，信用额度的管控，一定要刚柔相结合的。对于一个企业来讲，信用额度的管理，不同的阶段所采取的措施不一样的。对于当前来讲，企业比较强大，某一个时间做营销策略的调整，这一块相对应的问题，可以解决营销的政策和策略，所以我们的系统一定要满足刚柔相结合的信用额度管控体系。

对于IT部门在内控和风险管理的角色，我写了一个主导，很多部门的IT很难达到主导的地位，但是你至少可以参与。对我来讲，我一直强调的一点，无论是作为当下IT管理人员还是负责人，还是财务部门，还是人力资源部门，我一直认为现有的这些职业部门，应该更多参与到业务的管理当中，你比业务部门更懂得业务的需求和业务的管控点，那你要引导你的企业有一个主导的地位。首先我们可以看一下，我们不能做到主导，也已参与这个事情，可以去规划企业的业务流程，可以确定当中的一些管控点。

第二个监督各个企业流程和管控点的效果评估，这些我们IT部的信息管理员，我分享一点，当企业当中的信息化系统运作一定情况之后，系统相对于比较稳定，这个时候有更多的时间做类似这样的事情。所以我们也会做监督的方面。

另外创新，我们需要洞察运用的情况，流程，做相对应的调整。原来这个流程需要3天，我们认为可以调整为另外一个方式，既可以达到管控的效果和管控的目的，同时我也能提高我的工作效率。我认为不同的企业对于内控，也有不同阶段。内控可能是监督管理，也可能是融入管理，也可能是提升管理最快。在不同阶段，我们跟信息化相结合和利用，也有一定的差异。

我到财务部门有两三年的时间，我认为我们当时处在提升管理的阶段。

我介绍的内容就到这里，谢谢大家。顺祝本次大会取得圆满的成功。

本篇文章来源于微信公众号: 时尚行业CIO