李月娇 一汽-大众汽车有限公司

引言

近年来，以整车制造为代表的传统制造业面临着剧烈多变的外部环境，这其中不仅有宏观经济环境和竞争环境变化带来的外部市场挑战，更有新信息技术手段的渗透和引入带来的内部业务模式变革，前者的影响更多地表现在企业短期经营情况和市场表现的变化及长期战略的调整，后者则“润物细无声”地将触角伸及企业内部管理的方方面面，一项新信息技术的应用甚至可以颠覆原来某一项传统业务开展的模式，对于业务人员来说，需要快速适应新的模式、利用新的技术手段和因此产生的信息数据开展传统业务，对于现代制造企业的流程内部控制管理部门来说，更是一项考验创新力、适应力和执行力的挑战。本文基于笔者所处的国内头部整车制造企业业务背景，对传统内控评价方式进行分析和优化，形成了包含“两段式”内控评价方法、“三流”业务内控流程图法、数据选择“四象限法”在内的信息数据应用内控评价工具，及其在实际业务当中的应用过程及成果。

一、传统内控评价方式及其在整车制造企业的应用现状

（一）传统内控评价方式概述

《企业内部控制基本规范》中描述内部控制为“由企业董事会、监事会、管理层和全体员工实施的、旨在实现控制目标的过程”，其目标是“合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。”一般企业内部控制管理的组织架构通常以管理层和治理层要求出发，以专门设立的内部控制管理部门作为业务风险内控管理的第二道防线，通过组织公司业务风险内控管理第一道防线的各级业务部门开展业务内控体系搭建、向其进行理论培训及理念宣贯、组织其开展内部控制自我评价等工作，识别业务流程高风险领域，优化流程控制手段，实现内部控制管理目标。

内部控制概念产生之初来自COSO内部控制框架及美国萨班斯法案中对于在美国资本市场上市的公司内部控制工作的要求。2008年发布的《企业内部控制基本规范》及其配套指引，扩大了在中国适用企业类型的范围，同时明确了企业建立和实施有效的内部控制应包含内部环境、风险评估、控制活动、信息与沟通和内部监督五个要素，其中内部环境是最基本的一项，而风险评估和控制活动则是最重要的两项，在对实际业务流程开展内控测试时，往往是针对这两项要素开展。

传统的内控评价方法主要包含业务流程梳理、业务访谈、实地查验、穿行测试、抽样测试等。即通过业务访谈绘制出待评价业务的流程图，根据实际情况选择不同的测试方法、不同的测试样本进行内控评价测试，进而对该项业务的内控有效性情况给出判定结论。

（二）传统内控评价方式在整车制造企业的应用现状

笔者所在的企业为整车制造企业，在内控工作初期推进的阶段，内部控制管理部门更多的采取了传统的业务流程梳理、访谈和测试方法，完成了流程内控体系的搭建。但近几年，对公司内控工作效率效果产生直接影响的公司流程环境发生了较大的变化，随着公司业务数字化趋势愈加明显，大量业务数据开始存储和流转于新搭建的业务信息系统当中，其关键业务领域的特点包括研发体系需通过系统平台与国外协同、供应链信息流长且复杂、经销体系充分依赖厂商的平台搭建等，因此内控评价的成果输出对业务信息系统及其数据运用的依赖性越来越强，按照传统方式开展的弊端则逐渐显现：如缺乏对业务信息系统数据的有效应用，仅对流程文件及财务数据评价，导致评价范围受限；再如缺乏数据处理分析方法的应用，难以全面掌握业务流程现状及风险，导致评价效率较低等。

二、信息数据应用内控评价工具的开发过程论述

利用PDCA循环思路，对内控评价项目执行流程进行标准化，明确各环节输出、工具、经验方法，用以提高专项内控评价项目效率，提升项目交付质量。在下方图1展示的“内控评价项目标准执行流程图”中，着重阐述“三流”业务内控流程图法、数据选择“四象限法”和“两段式”内控评价方法。

图1 内控评价项目标准执行流程图

（一）“三流”业务内控流程图法

在传统的内控评价业务流程梳理中，通常采用的是流程制度文件分析与业务访谈相结合的方式，通过控制矩阵的形式对待评价业务流程进行描述，其中包含每个关键环节的业务风险描述和等级，以及与其相对应的控制活动描述，第一道防线业务部门或者是第二道防线内控管理部门基于此矩阵进行后续的内控评价或自评工作，并按年度滚动更新。但在数字化趋势下，这种方式的短板也逐渐凸显：如无法如实还原业务路径，导致缺陷判定的误差；如时效性差，流程制度文件更新频率通常在一年及以上，但当下为适应内外部环境变化的业务基于信息系统的变更和迭代往往是快速而高频的，基于传统方法的评价往往是滞后的。因此只有包含业务系统信息流及数据流的内控流程图才能准确地反映业务流程中的关键控制点，对于这些控制点的测试工作，内控管理人员才能够明确可以进行数据分析的数据源。图2所展示的是笔者所在整车制造企业的商品车生产及销售物流流程图，在商品车的销量预测订单、生产排产及制造、下线质量检测及合格证程序、车辆入库及库存管理、终端经销商资源分配及销售仓储物流等环节，均明确了各环节的业务操作信息系统信息及该环节生成的系统数据源和传递形式。

图2 带信息流、数据流的业务流程泳道图

（二）数据选择“四象限法”

通过上述“三流”合一的业务流程图，可以获知某一业务环节数据存储和流转的系统平台及数据形式，现实情况是某一业务环节的数据可能存在多于一个的系统中，那么需要对于不同的系统数据进行选择或者组合使用，即便仅存在于一个系统中，该系统数据对于内控评价工作的可用性也需要进行进一步的判断。对于系统和数据的科学筛选，直接关系到内控评价结果输出的高效性和准确性。图3是对于某一业务环节，判定了其业务环节风险和系统数据可获得性及数据质量之后，可以参考的数据选择优先级策略。业务风险低、数据可获得性好或数据质量高，则应利用两段式数据分析内控评价方法；业务风险高、数据可获得性差或数据质量低，则应利用传统方法进行替代性测试；业务风险低、数据可获得性好或数据质量高，则可以选择性测试；业务风险低、数据可获得性差或数据质量低，则可以选择性放弃。

图3 信息系统数据选择优先级策略象限

（三）“两段式”内控评价方法

在完成了流程图绘制，明确了数据情况并确定了合适的内控评价方法后，就可以开始利用“两段式”数据分析方法开展实际的业务流程内控测试工作。即第一步基于业务特性，建立假设并梳理风险点清单，搭建数据验证逻辑模型，通过数据分析软件和技术进行数据筛选；第二步基于第一步的结果进行访谈和抽样以验证假设。

对于数据分析软件的选择，传统的Excel分析局限性较大，对于超过100万行的数据，会存在运行速度明显降低、数据运行不完整的情况，对于笔者所在的整车制造企业，资产数量远高于这个标准，则可以结合SQL或Tableau等数据分析软件进行数据建模和交叉验证工作。

结语

在面临汽车行业新的经营形势下，如何利用企业的数据资产，通过新的内控评价方法，为业务开展提示风险、提高效率、创造价值，已经成为行业内共识。相信笔者所处的企业环境不是个例，也希望笔者所阐述的依赖信息系统及数据的内控评价方法也能够在整车制造企业之外的其他制造类企业加以应用和推广。