中国不是“绝缘体”

鉴于中国金融业特殊的严格监管，表面上看国内金融机构在此次危机上并未受过多波及，但我们不能以危机“绝缘体”自居。事实上，危机早已潜伏。

某银行技术管理部经理刘忠宝对记者透露，2006年，银行业金融机构累计发生各类案件1085件，其中百万元以上大案273件，导致的风险金额达31.2亿元，银行操作性风险呈现高发态势。“某些银行的领导层认为抓业务是硬道理，抓风险控制是软指标，只要不出现大的差错事故就可以了，对风险防范工作只做表面文章。”刘忠宝表示。

国内真正实施内控和风险管理的基本是大企业集团与金融机构，但大部分没有真正落实到IT内控与风险管理上。在韩国权看来，高风险领域的金融行业已经有一些IT内控工具在使用，而非金融企业大部分没有落实下来。

郑洪涛也对中国企业的IT内控与风险管理水平表示非常担忧，“一方面IT人员存在专业单一性问题，技术与业务的契合存在问题；另一方面，各个IT业务系统之间形成了割裂”。

在刘巍看来，中国企业特别是大集团企业利用IT进行了内控与风险管理效果并不明显，原因包括：IT建设往往只停留在会计电算化的阶段，即关键业务人为控制；IT各个系统分离，信息没有集成共享，缺陷问题难以及时暴露；公司治理和授权分工的基本问题没有理顺。

据甫瀚公司刚刚完成的有关中国企业内部审计能力与需求调查的报告，中国企业IT内部审计能力普遍偏低，已成为最迫切需要改进的领域。“中国企业目前仍处在IT内控与风险管理的概念期或者萌芽期。”刘建新表示，很多公司本身的风险管控意识和体制都还未建立，即使运行了先进的IT系统，也很难达到风险管控的目的。同时，在中国企业中，既熟悉企业风险管理，又熟悉IT内控手段和方法的人才少之又少，这使中国企业难以运用IT系统实现成熟的风险管理。

补课为上策

在金融危机蔓延以及各项成本上升的时局下，企业不能像往常一样“开源”，就应需求IT内控等有效的节流手段。

以华能为例，在今年电力行业面临全面亏损的形势下，华能依然有可能交出一份较好的财务报表。其中一个重要的原因就在于华能狠抓企业内控，将内控管理与绩效挂钩。

华能的IT内控与风险管理平台是由慧点科技完成的。据韩国权介绍，平台上线后，原先内控检查每每完成一次完整的测评需要花2个月的时间，现在只需要2到3周即可完成一次，提升明显。“2006年第一季度华能查出100多条内控缺陷，第二、三季度分别降为十几条、几条，第四季度实现了内控零缺陷，而外审机构给出的报告也是零缺陷，这是非常难得的。”韩国权表示。

相应的尴尬在于，在2004年美国证监会推出《萨班斯法案》之后，有中国企业因无法合规而被迫退市，许多本想美国上市的公司纷纷转投中国香港、欧洲与新加坡等地上市。

事实上，国家已经开始密集型动作，以期指引企业建立和实施完善的内控与风险管理体系。今年的6月份，财政部、证监会、审计署、银监会、保监会就联合发布了中国版的“萨班斯法案”——《企业内部控制基本规范》，将在2009年7月1日起首先在上市公司范围内施行。同时，国资委、上交所、证监会、银监会等也各自出台了相应的管理规范，每个部门牵出一片重点企业来做内控合规，并将逐步带动其他企业。

可以说，实施内控与风险管理，已是企业的内动力与外压力相交的必然选择，而这必然需要IT系统予以落实。对IT企业来说，这是一次机遇。用友（600588行情，股吧，信息化）日前就适时推出了其内控与风险管理解决方案暨NC5.5。该方案基于用友（600588行情，股吧，信息化）对3000多家集团企业内控实践的理解，具有全面性、配套性和实用性三大特点，全面支持《企业内部控制基本规范》。安永会计师事务所合伙人李延耀表示，“这是国内首个全面响应内控基本规范的IT解决方案”。

刘巍同时提醒道：“合规不是最终目标，内控与风险管理要做到服务于企业的发展战略，但企业不能急于求成，应分步实施，逐步覆盖核心业务流域。”

无论经济形势好与坏，内控都是必需的。郑洪涛表示，必须转变观念，建立符合中国管理现状、基于各种业务与企业自身运行特点的IT内控与风险管理体系。