【记者】∶为了应对这些风险和漏洞,各个国家都出台了很多的法律法规比如说美国的《萨班斯法》还有中国即将实施的《企业内部控制管理规范》您如何看待这些法律法规出来,也企业内部控制管理带来的影响? 【鲁百年】∶对任何企业来讲,每个法律法规的出台,都会有好的一面,也会有不好的一面。因为事情都是一分为二的。中国最基本的企业内部控制的基本规范实际上是从去年开始进行的,今年的7月1日做要实施,这个法规对中国而言,影响是非常大的。为什么会有这些法规,最早的是美国的企业在内控方面出了问题,才导致了美国出台了《萨班斯》法案。我们知道《萨班斯》法案,实际上就是五个大的层次,最基本的是内部环境,这是基础,内部环境包括什么呢,包括最基本的组织结构,我们的架构、流程、规范、职能、职责,还有跨部门之间的沟通,这些都是内容的环节。第二个是风险的评估,就是说在我们的企业存在哪些风险,它影响的程度对企业有多大,现在很多国内的企业,特别是金融危机之前,采取的都是冲锋陷阵抢滩式的发展模式,对风险的监控相对来说弱了一些。由于安然事件的出现,使美国出台了《萨班斯》法案。 在中国,为了进行全球化,我们才推出了这个新的规范出来,在这个规范里面,我刚才说了风险评估每一个企业都值得去做,但怎么去做呢?是企业我自己去做吗,任何一个企业能不能自己做呢?如果你问一个企业可以不可以自己去做,我说可以,但是存在一个问题,很多的企业想做风险评估,但因为他自己在里面待习惯了,就没有办法认识到企业实际中存在很多的风险了。我经常开玩笑说,我们在座的有几个人能告诉我说,你最亲近的人,包括你的父母亲,您的孩子,或者男朋友,女朋友,眼珠是什么颜色的?我相信80%的人都不知道,因为你习惯了和他待在一起,就会认为应该是黑色的、灰色的吧。但到底是什么颜色你并不知道。所以说,习惯了就不认为是风险。要对企业的风险评估,这个法规出现是最基本的规范,最基本的第二条,第三条就是一旦发现了风险了,我们就要控制,用什么活动控制风险,发现了什么风险,到底是运营风险还是市场风险,是信用风险还是其他的风险;这些风险怎样控制它等。
我们说控制风险一定是一个过程,评估往往是有一个结果,我一直讲企业绩效管理。实际上这是两个方面,绩效和风险成正比,绩效越高,风险越高。整个企业的绩效提升了,一定要做好过程,它代表的不仅仅是绩效,不仅仅是一个结果管理。但在我们国家,更多的企业考虑的不是绩效管理过程,而几乎是结果的绩效考核,实际上忘掉了很重要的过程。我经常讲的是一张照片,这张照片里是男的女的大肚子,看起来一模一样,看到问一下,他们的区别在哪儿?我们知道,女的肚子大,可以生小孩,男的肚子大但生不出小孩,而且他长的过程一样,但是反倒出问题,那就是说过程和结果都要考虑,所以在这里面,绩效评估,风险的评估这是一个结果,但是要想把风险控制了,让绩效提升,这是一个过程的管理,要想做到过程的管理要实施的监控的风险,什么风险超标。
首先要知道企业风险有哪些,风险怎么定义的,公式怎么来的,比如说在银行行业,我们经常说信用风险。现在首先问一下什么叫信用风险,信用风险的公式是什么?它是与客户的背景信息有关还是与交易行为有关?当然它和这两个方面都有关,那么这两个各占的比重有多大。现在一些银行里面,很多的信用风险都有几种分类,比如说,只要是博士可以得5分,如果我是教授,也可以得5分,信用是按照背景给打分的,分越高你的信用额度就越高。但假定我的工作丢了,我的信誉度还是5万、10万,这就是很可怕的事情。因此一定要做很多过程控制。通过过程控制可以知道虽然现在你好,但是过了一段时间,工作丢了,你的信誉度马上就会降低。如果再过一段时间我的还款能力差了,还款还得不好这叫行为分析。因此,所有的信息都要分析风险的定义,有了风险的定义公式之外,紧接着就要门槛值了。比如,我的风险有多大,超过了多大,可能会出问题;再比如上下游门槛值,只要超过门槛值就要预警,这样可以做到过程管理。所以说,风险管理的一个重要的识别风险的过程。
第二个是控制风险,就像刚才我说最基本的像信用风险等任何风险,除了背景信息以外,还有行为信息。比如电信行业里面,一个人什么时候打过电话,打了什么电话,打了多长时间,给哪个地方打的,所有的信息都要记录,不记录的话,怎么做到信用跟踪,怎么信用评估,还有一个要强调的是企业里面的跨部门风险。每一个部门都认为自己做的很多,很多的风险就产生了踢皮球现象。像这样的事情怎么解决呢,后面我会给大家介绍解决方案。信息与沟通是第四大要素,第五大要素是我们的内部监督。我们知道最基本的风险识别、风险定义、风险监控,发现了风险怎么监控,实施最后有一个监督机构,要把风险时时地监督起来,所以说,风险这些东西,就是这五大要素在规范。这些东西到底给企业带来多少影响呢?我认为,最主要的影响是任何一个东西都要两个方面来看:一个是好的方面,一个是差的方面。我想强调一个阿P精神,什么是阿P精神呢,阿P精神比Q精神,强一步,阿Q是总让别人高兴,自己不满意,阿P精神是双赢,一定要让别人满意,自己高兴,保持积极向上的心态,对任何一个企业来说,首先要以积极向上的心态来来看法规的正面影响是什么。从正面来说,首先对整个大型企业或者是上市公司最大的影响是什么?现在这个规范的出台,很多人马上要想到,我后面一定要重视风险,如果不重视风险可能摘牌,如果出现了风险可能是公司倒闭,所以企业的每一个人,包括它的CFO甚至还有CRO。CRO(Chief Risk Officer),就是公司的公司的首席风险官,很多的企业没有这个职务,但这是一个非常重要的职务。现在这个规范的出台,就会促使很多公司配套出现一个CRO。CRO要关心什么呢?我们说这个法规出台以后会有一个体制,有一个制度,一定要风险管理起来,所以从整个态度来讲,是对整个企业的风险管理的一个提升,所以我说这是最好的一个影响。现在对整个企业的内控来说,企业内部管控原来相对来说比较弱,由于这个法规的出台,现在企业内部管控不得不走向正规化。对每个企业来说,有了规范的怎么去做管控,如何靠近规范。但这个规范我们知道又和美国的《萨班斯》法案不一样,是把它很重要的部分更本地化一些,那就是说,既适合于中国的国情,还要走向国际,跟国际接轨。所以从这方面来讲相对来说,每一个企业,在风险监控上,有一些组织结构的变化。组织结构会重视这个方面。
第三个我们说,从意识形态整个来讲,大家的意识越来越高,而且有有了组织结构,现在的企业要加强风险的监控,怎么去做它,会有具体落到实处,每一个企业会说具体改怎么去做,所以这也是对企业正面的影响。还有一个,对整个企业的法律法规的任何也会加大,这个法律法规的这次我们说,整个的规范出台,相对来说对我们所有人的法律意识会大大地提高,所有的人一定要熏遵循法律的意识,而且要一定走向国际化,这些对企业带来好的因素。但是它也会带来一些深入的问题,我们的规范出来非常不错,但是这个规范,虽然也同时出了《细则指南》西,但是具体的在企业里面的实施,操作怎么做,具体怎么落实,我们还没有没看到更具体的,所以导致所有的企业想做强,但到底怎么做不知道。还有一个,做内控也好,做整个的规范管理也好,一定不是一个企业自己做的,一定是要有这方面的权威的咨询公司、专家介入这些事情。现在问一下中国这方面的专家有几个呢?有一些人说有,几大咨询公司都可以干这些事情。没错,咨询公司在国际上干得不错,但是他们在中国做过多少?相对来说,他们的人才储备又有多少? 不得不说,中国这个法规出台的整个过程,从推出来到现在也就1年多的时间,具体操作实施的还没有多少企业,大家对它的理解多少,研究了多少。所以说,经验、最佳实践,对企业来讲,也是最头痛的地方。这方面来说,公司的治理方面、组织结构、职能职责、流程规范等到底怎么做,风险的定义该怎么定义,规范怎么做,多大的门槛好,多大的门槛不好,因为我们说风险绝对不可能消灭掉,找着一个适合我们运营的风险,到底运营的风险多大,企业能承受得了,谁能告诉我一个,确切的数字,我相信几乎没有。这对我们的风险监管也是一个头疼的地方,下面还有一个说,整个在风险的监控的过程中,企业的内部还需要更多的人才进来。现在企业有没有这么多的人才,如果没有,一个企业要培养这样的人才就要成本,原来的企业只是冲锋陷阵向前跑,现在企业跑的人越来越少,知道要往前跑,还有法律法规受到限制,很多的企业可能不习惯,一旦不习惯,可能就会认为,怎么这么多的事情,怎么这么麻烦啊,所以对很多一些企业来说要有一个过程,下面说成本。
整个组织结构的变化,流程的变化,法律法规的规范,所有这些出台了,会增加企业的成本,对一个企业来说,影响可能会好的有差的,都会看到一些影响。
【记者】∶企业内容的控制规范的实施,给企业带来很多的要求,您认为,企业在进行法规遵从和风险管理的时候,如何运用信息化的手段,更好地开展这个工作呢?您对企业有什么建议?
【鲁百年】∶任何一个企业的风险管理都在关心风险管理,到底怎么去做它呢,当时我们说了从ERP做起,那么信息用信息系统,怎么帮助企业去做,刚才我们讲了,风险最头痛的是跨部门的风险,跨部门的沟通,那么在整个信息化建设的过程中,实际上我们看一下,企业我们假定抛开风险。
信息化建设一般分三个层次,第一个是核心业务系统,最基本的是核心业务系统,上面是管理信息系统,再到顶层的叫做决策支持系统,这几个系统里面,首先核心业务系统,比如说在制造业里面,有很多的生产系统就是核心业务系统,在银行里面,叫core banking 核心银行系统,电信里的计费系统,网管系统,都是核心业务系统,这些系统要时时的把数据记录起来,第二个层次是管理信息系统。管理信息系统包括企业的上游、中游,下游。对上游来讲我们知道的,最基本的来说,是供应链的关系,中游是ERP,下游是CRM,关系管理分了不同的层次,这几个不同的层次,管理着不同的东西,在顶上叫决策支持系统,决策支持系统,分两大块,一个叫绩效管理叫EPM,是现在非常火的一个概念,非常火。还有一个GRC,就是公司的治理风险管理和合规,这是最主要的两大块内容。这两大块里面,整个的信息管理到底怎么去做呢,现在很多说由ERP里面,企业的绩效管理里面,肯定要关心风险,首先的企业的战略目标是什么,怎么制订企业的战略目标,拍脑袋吗?不是,企业的战略目标一定要有规范,首先要做企业的五力分析法呢,要关心公司行业的竞争,要关心竞争对手之间,有哪些的竞争,要关心我的客户,要关心还有我们的供应商,还要关心哪些企业是可能会随即进入?还有我们的有没有替代产品,会不会替代掉,这些都是我们的企业要关心的问题,还有企业的战略地图,企业的平衡计分法,都要企业去做的,从企业的战略规范里面,肯定依靠的是绩效的战略规划,一个是风险的战略规划,所以一个很关键的KPI,这个大家都知道,关键绩效指标。
实际上在建立关键绩效指标的同时,还要建立另外一套指标,KRI就是关键风险指标。有了关键的风险指标以后,然后说风险指标的公式怎么定义,这个定义的门槛是多少,这个都是企业要去做的,如果企业没有一套很好的信息系统,很难把这做成,企业的战略规划是企业做风险管理的最基本的战略层,因为风险归战略层,归运营组合,归操作层。有三个层次的风险战略层次的风险是企业的占目标企业的整合方面,怎么去做它,企业的战略目标以后,企业的投资该怎么投资也就是它的商务模型,企业怎么投资,使企业的赚钱组多效益最大,这一定要做一个分析。一般来说,怎么来说怎么去做模拟,去做根本很难模拟调,我现在增加一部分投资,有多少人力,多少物力,多长的时间,采用给我发生什么样的效益最优化的值是多少,一定要工作去做它,没有的话很难做到。有了商务的模型以后,要做预算和规划,整体的预算和规划到底怎么做。没有预算没有目标,没有目标怎么去实现它的,这个目标又做预算,做预算的时候,我们分三大大块,第一个是事先做预算的编制,预算的监控,最后做预算的评估,首先是预算的编制,如果是现在的很多企业,没有一个IT工具,用各excel来做,我记得七八年前,我也在一个公司里面做预算非常头疼,费了很大的劲做了一套预算,老板给了一个任务根本完不成,不能跟老板说完不成,说一定能完成,想要完成个目标,我去年有多少资源,今年的资源太少了,怎么办呢,人太少的时候,增加人吧,增加人就头疼了,增加人,成本增加成本高,怎么办给你业务再降低一点。
因为预算是讨价还价的过程,这样的做,excel怎么该?增加一个人,工资增加了,福利待遇增加了,然后他买了电脑,值就发生了变化,excel改不了,如果没有很好的工序的话,怎么做预算编制都很难,就算预算编制做完了,到了季度末,老板说,你没有完成任务吧,我说命名完成了,老板说没有,最后看完的结果怎么样,老板男出的预算是老版本,不是最后的版本,老板说,弄错了,找完了老板问,谁给我定了这个,为什么要改?不知道,现在能不能有一个很好的预算工具,就会企业,把企业的最基本的预算编制好,谁改了什么东西,什么时候改的,如果有一套工具,可以解决太多了问题了,高预算做完了还不够,很多的企业,就做了预算,一年用了只有四次,每一个季度用一次,后面都没有用,为什么?他把预算的结构,导不到ERP里面,没有办法操作,如果预算我做一个ABB就基于活动的预算,机遇择业的运算,我就找到这个部门,你这个部门要增加一个人,增加一台电脑,原来预算是18000。想提交,提交不了,你做到过程控制,做不到过程控制我怎么做成本?所以我也看到很多的人讲,砍掉成本,我看讲的好预算100万高不高,高了砍掉50万,这个成本不是看出来的,是有效控制出来的,他们要有效控制,企业的风险要去做监控,怎么去控制成本,因为我赚钱赚不上,是我可以,控制的,外部的效益是外部的,怎么把成本控制做,一定要做过程监控,过程监控,哪个过程成本可能会节约,能节约的机会多大,怎么节约,会不影响员工的积极性,就会做到ABC,作业成本法,怎么样能解决这个问题呢,有没有工具解决呢,假定没有呢,预算很难做,要按照产品,做预算,按照地域做预算,按行业,做预算,成本要分摊,怎么分摊,没有一个,工具做不到这些东西,企业要风险经营的话,预算一定要监控,监控在哪监控,ERP,ERP监控最基本的问题是,预算的结果,能不能导到ERP是最基本的一个问题,现在的很多企业,做预算,作完预算结果,导不到ERP系统,导ERP才可做到监控,预算也不是100%的准确,预算做不对了,就一定要做,发现有差异有分析,什么原因出了问题,哪个地方做的好,哪个地方做不好,怎么调整,这些是什么,最后调整完,我要一个,合并报表,我们要合并在一起,整个按照行业,地域,然后我们整个的成本,是不是会有一个,循环控制的抵消等等,这些都要控制的,都是从这些的成本,我们可以调整企业。这是一个闭环,每一个企业都会有信息化,如果没有信息化的建设,很多的企业,就会现在把帐记平,都很控制,很多的企业,尤其是大的企业,信息化真的可以帮助企业解决很多风险监控的问题,流程的问题,过程的问题,还有优化的问题都可以做到。