2010年1月1日，《企業(yè)內(nèi)部控制基本規(guī)范》（簡稱內(nèi)控）在上市公司范圍內(nèi)正式實施。內(nèi)部控制作為上市公司風險管理工作中非常重要的一環(huán)，對于加強企業(yè)風險控制，提高企業(yè)經(jīng)營管理水平、風險行為防范能力和確保公司戰(zhàn)略目標得以實現(xiàn)具有重要意義。
　　《內(nèi)控》自從2008年5月由財政部、證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會等五部分聯(lián)合提出以后，開始受到正式的關注，實際上早在2000年左右企業(yè)內(nèi)控就已經(jīng)在大型企業(yè)中受到關注。由此可見，內(nèi)控的發(fā)展很早就已經(jīng)得到上市公司及國有大型企業(yè)了廣泛的關注。對于內(nèi)控，從CIO的角度來看，有一部分CIO表示出內(nèi)控是企業(yè)是合規(guī)部或者是審計部的事情和IT本身沒有太大的關系，IT只是給審計部提供一定的IT工具，認為IT和內(nèi)控的聯(lián)系不是很大，而且CIO認為內(nèi)控會增加企業(yè)的成本。那么，如果是基于這樣的原因，內(nèi)控又是必須做的針對于上市企業(yè)，那么內(nèi)控的落地是否還要還需要IT系統(tǒng)支撐？是否還是需要CIO所去關注？帶著這些問題和困惑，記者日前采訪了中國石油化工股份有限公司信息系統(tǒng)管理部教授級高工 吳正宏，分享了他是如何看待企業(yè)內(nèi)控及其與內(nèi)控與IT的關系的精彩觀點，以饗讀者。

　　內(nèi)控的“牧羊人悖論”

　　我們知道從上市的企業(yè)來看企業(yè)分來兩種類型， 一種是海外上市，一種是國內(nèi)上市。在國外上市的企業(yè)尤其是美國上市的企業(yè)，必須要符合美國的薩班斯法案，而美國的薩班斯法案又是極其嚴格的，而在國內(nèi)上市企業(yè)來看，國外的薩班斯法案的要求方面和國內(nèi)的內(nèi)控要求基本上是一致。

　　說到內(nèi)控，相當于中國的“薩班斯法案”，那么薩班斯法案出臺的背景和目的又是什么？吳正宏說道， 實際上講，薩班斯法案出臺的背景是為了規(guī)范上市公司的行為。同時他指出，股市是指一個企業(yè)的融資的市場，企業(yè)缺少資金會把一分部分轉為股權讓股民來認購，認購后拿錢做企業(yè)、分享企業(yè)的利益。自但從美國的安然事件、中國的銀廣夏事件，股民發(fā)現(xiàn)被騙，而且投資者不愿意參與，在這種環(huán)境下如果不去規(guī)范市場環(huán)境，整個融資市場運行就會出問題。

　　基于這樣的背景必須要有一個良好的市場制度，政府要建立一個好良好的市場制序，股民覺得企業(yè)是可信的，股民愿意把資金交給企業(yè)，然后由政府替監(jiān)管著企業(yè)遵守相關的規(guī)矩等，這樣保證企業(yè)正常發(fā)展、社會的正常發(fā)展。

　　現(xiàn)階段，在企業(yè)中存在著這樣一種現(xiàn)象決大多數(shù)企業(yè)是做事為主，但還是有個別的企業(yè)，有著“撈一把”就走的想法，要不規(guī)避這些企業(yè)的不良行為，就不會有一個良好行為，沒有良好的行為，企業(yè)就無正常發(fā)展。而在管理界，有一套著名的《牧羊人悖論》，講述的是一塊草地所有人都在這里養(yǎng)羊，養(yǎng)多了就會把草地破壞。這時就要做一個規(guī)矩，每戶只許養(yǎng)一百只羊。如果有一家多養(yǎng)一只羊，其它人可能看不出來，而養(yǎng)羊戶也可以多增加效益，但所有的人如果都要往這草地多養(yǎng)一只羊，那么這塊草地就會荒了，怎么辦？

　　“必須有人去管理這件事情、必須有一個組織管理，要監(jiān)督對于不守規(guī)矩的人”。 吳正宏指出。

　　從牧羊人理論看企業(yè)內(nèi)控的問題，牧羊人理論反映了內(nèi)控存在的一些基本問題。，很多的企業(yè)認為做內(nèi)控會增加的很多負擔，尤期是金融危機的關口上，那么它為什么要給企業(yè)增加負擔？

　　吳正宏強調，它實際上是給企業(yè)一個健康發(fā)展的環(huán)境，如果沒有政府、沒有監(jiān)管環(huán)境，那我們的企業(yè)沒有一個良好的生存環(huán)境下，在股市上很多人會擔心企業(yè)會不會把資金套走。所以，內(nèi)控制度本身是從宏觀的角度出發(fā)，凡是規(guī)范的企業(yè)這種環(huán)境是有利的。從大的環(huán)境來看，對于企業(yè)是有利的，它可以創(chuàng)造良好的環(huán)境，建立良好的社會環(huán)境對于企業(yè)非常重要，作為一個負責任的企業(yè)有義務完成這種審計的要求；作為負責的企業(yè)按照內(nèi)控的標準去做，合規(guī)是企業(yè)的社會責任。不這樣做對于企業(yè)從局部的角度來講是有利的，如果社會環(huán)境變壞，企業(yè)也沒有辦法生存。 從這兩個高度來看，內(nèi)控是完全有必要的，對于企業(yè)有利的不是額外給企業(yè)增加負擔。

　　另外，如果企業(yè)沒有規(guī)則可遵循，“羊”越來越多“草地”就會沒有，那怎么來處理？只有少養(yǎng)“羊”，企業(yè)都能有“羊”。由此，內(nèi)控是有必須做的。當市場發(fā)展不充分的時上市企業(yè)不是很多，那時內(nèi)控可能不是很明顯，因為只有幾家企業(yè)上市很好控制，但是企業(yè)上市比較多就必須有監(jiān)控，這種規(guī)則不僅是體現(xiàn)在上市公司的內(nèi)控方面。 換個角度來看如果沒有銀監(jiān)會、管控等法規(guī)，我們敢把錢往銀行存嗎？ 這些道理是和內(nèi)控一樣的。

　　IT和內(nèi)控密不可分

　　內(nèi)控即然這么重要，那么IT在內(nèi)控中扮演著什么樣的角色，他們之間又是有何關系？有觀點稱IT會給內(nèi)控帶來新的風險，但伴隨新風險的產(chǎn)生，新的工具也產(chǎn)生了。只要使用得當，就能非常有效地降低這種風險對組織可能造成的損害直至最終合理保證內(nèi)部控制的目標。

　　據(jù)一份內(nèi)控資料顯示，IT對企業(yè)內(nèi)部控制系統(tǒng)的影響主要體現(xiàn)在：一是企業(yè)的業(yè)務流程部分甚至全部由信息系統(tǒng)驅動和承載；二是企業(yè)內(nèi)部控制系統(tǒng)依賴于以信息技術為基礎的控制；三是企業(yè)內(nèi)部控制的建立依賴于信息系統(tǒng)生成的數(shù)據(jù)。由此可見，I T或者信息化中內(nèi)控的落地中至關重要。

　　那么，對于石化類的大型企業(yè)，內(nèi)控和IT之間他們又是怎么樣的關系？

　　如果按照內(nèi)控的規(guī)范要求去做會使企業(yè)的成本變高，為什么企業(yè)說成本變高、做事的效率降低？怎么解決這些問題？吳正宏認為主要有幾點：

　　企業(yè)做合規(guī)或者是內(nèi)控來講IT是非常重要的支撐，IT的作用是提供業(yè)務自動化的平臺。自動化的平臺是什么？就是用自動化提高我們的效率，比如ERP，沒有自動化的平臺、流程走不下去。手工做ERP的思想是做不下去的。

　　第二、按照合規(guī)的要求去做、流程變復雜、更嚴格，怎么保證運行的效率？用自動化平臺用IT的手段， 效率就提高。

　　第三、 流程變得很復雜、監(jiān)管也很復雜。一定要按照流程去做，不按流程去做又不行，怎么辦？還要用自動化平臺變成一個規(guī)范的操作， 如ERP，沒有ERP系統(tǒng)以前有很多的規(guī)矩走不下去。在ERP系統(tǒng)里就已經(jīng)設定流程沒有這步，走不下去， 避免出現(xiàn)“短路”的現(xiàn)像 。

　　第四、計劃外怎么辦？計外內(nèi)怎么辦？大企業(yè)無法查出來，通過系統(tǒng)就可以顯示出來， 沒有計劃就沒有辦法批變成一個種規(guī)范操作。

　　第五、要對企業(yè)的業(yè)務流程不斷的考核依據(jù)是什么？以往手工來做很難評價，現(xiàn)在在自動化的平臺上，數(shù)據(jù)采集自動化同時進行。用這些數(shù)據(jù)進行分析，用這些數(shù)據(jù)對于流程的操作進行考核，對于優(yōu)化有了考核的支撐。”

　　從幾個方面來看，一、是提高運作效率；二、提高規(guī)范程度；三、把難以考核、難以優(yōu)化的系統(tǒng)變?yōu)橐粋€可考核、可優(yōu)化的、可監(jiān)管的系統(tǒng)。 所以 ，IT在內(nèi)功的發(fā)展中作用非常大，對于企業(yè)來講就不用IT，那做內(nèi)控就事半功半、叫苦更多。