对任何企业来讲,每个法律法规的出台,都会有好的一面,也会有不好的一面。因为事情都是一分为二的。中国最基本的企业内部控制的基本规范实际上是从去年开始进行的,今年的7月1日做要实施,这个法规对中国而言,影响是非常大的。为什么会有这些法规,最早的是美国的企业在内控方面出了问题,才导致了美国出台了《萨班斯》法案。我们知道《萨班斯》法案,实际上就是五个大的层次,最基本的是内部环境,这是基础,内部环境包括什么呢,包括最基本的组织结构,我们的架构、流程、规范、职能、职责,还有跨部门之间的沟通,这些都是内容的环节。第二个是风险的评估,就是说在我们的企业存在哪些风险,它影响的程度对企业有多大,现在很多国内的企业,特别是
金融危机之前,采取的都是冲锋陷阵抢滩式的发展模式,对风险的监控相对来说弱了一些。由于安然事件的出现,使美国出台了《萨班斯》法案。
在中国,为了进行全球化,我们才推出了这个新的规范出来,在这个规范里面,我刚才说了风险评估每一个企业都值得去做,但怎么去做呢?是企业我自己去做吗,任何一个企业能不能自己做呢?如果你问一个企业可以不可以自己去做,我说可以,但是存在一个问题,很多的企业想做风险评估,但因为他自己在里面待习惯了,就没有办法认识到企业实际中存在很多的风险了。我经常开玩笑说,我们在座的有几个人能告诉我说,你最亲近的人,包括你的父母亲,您的孩子,或者男朋友,女朋友,眼珠是什么颜色的?我相信80%的人都不知道,因为你习惯了和他待在一起,就会认为应该是黑色的、灰色的吧。但到底是什么颜色你并不知道。所以说,习惯了就不认为是风险。要对企业的风险评估,这个法规出现是最基本的规范,最基本的第二条,第三条就是一旦发现了风险了,我们就要控制,用什么活动控制风险,发现了什么风险,到底是运营风险还是
市场风险,是信用风险还是其他的风险;这些风险怎样控制它等。
我们说控制风险一定是一个过程,评估往往是有一个结果,我一直讲企业绩效管理。实际上这是两个方面,绩效和风险成正比,绩效越高,风险越高。整个企业的绩效提升了,一定要做好过程,它代表的不仅仅是绩效,不仅仅是一个结果管理。但在我们国家,更多的企业考虑的不是绩效管理过程,而几乎是结果的绩效考核,实际上忘掉了很重要的过程。我经常讲的是一张照片,这张照片里是男的女的大肚子,看起来一模一样,看到问一下,他们的区别在哪儿?我们知道,女的肚子大,可以生小孩,男的肚子大但生不出小孩,而且他长的过程一样,但是反倒出问题,那就是说过程和结果都要考虑,所以在这里面,绩效评估,风险的评估这是一个结果,但是要想把风险控制了,让绩效提升,这是一个过程的管理,要想做到过程的管理要实施的监控的风险,什么风险超标。
首先要知道企业风险有哪些,风险怎么定义的,公式怎么来的,比如说在银行行业,我们经常说信用风险。现在首先问一下什么叫信用风险,信用风险的公式是什么?它是与客户的背景信息有关还是与交易行为有关?当然它和这两个方面都有关,那么这两个各占的比重有多大。现在一些银行里面,很多的信用风险都有几种分类,比如说,只要是博士可以得5分,如果我是教授,也可以得5分,信用是按照背景给打分的,分越高你的信用额度就越高。但假定我的工作丢了,我的信誉度还是5万、10万,这就是很可怕的事情。因此一定要做很多过程控制。通过过程控制可以知道虽然现在你好,但是过了一段时间,工作丢了,你的信誉度马上就会降低。如果再过一段时间我的还款能力差了,还款还得不好这叫行为分析。因此,所有的信息都要分析风险的定义,有了风险的定义公式之外,紧接着就要门槛值了。比如,我的风险有多大,超过了多大,可能会出问题;再比如上下游门槛值,只要超过门槛值就要预警,这样可以做到过程管理。所以说,风险管理的一个重要的识别风险的过程。
第二个是控制风险,就像刚才我说最基本的像信用风险等任何风险,除了背景信息以外,还有行为信息。比如电信行业里面,一个人什么时候打过电话,打了什么电话,打了多长时间,给哪个地方打的,所有的信息都要记录,不记录的话,怎么做到信用跟踪,怎么信用评估,还有一个要强调的是企业里面的跨部门风险。每一个部门都认为自己做的很多,很多的风险就产生了踢皮球现象。像这样的事情怎么解决呢,后面我会给大家介绍解决方案。信息与沟通是第四大要素,第五大要素是我们的内部监督。我们知道最基本的风险识别、风险定义、风险监控,发现了风险怎么监控,实施最后有一个监督机构,要把风险时时地监督起来,所以说,风险这些东西,就是这五大要素在规范。这些东西到底给企业带来多少影响呢?我认为,最主要的影响是任何一个东西都要两个方面来看:一个是好的方面,一个是差的方面。我想强调一个阿P精神,什么是阿P精神呢,阿P精神比Q精神,强一步,阿Q是总让别人高兴,自己不满意,阿P精神是双赢,一定要让别人满意,自己高兴,保持积极向上的心态,对任何一个企业来说,首先要以积极向上的心态来来看法规的正面影响是什么。从正面来说,首先对整个大型企业或者是上市公司最大的影响是什么?现在这个规范的出台,很多人马上要想到,我后面一定要重视风险,如果不重视风险可能摘牌,如果出现了风险可能是公司倒闭,所以企业的每一个人,包括它的CFO甚至还有CRO。CRO(Chief Risk Officer),就是公司的公司的首席风险官,很多的企业没有这个职务,但这是一个非常重要的职务。现在这个规范的出台,就会促使很多公司配套出现一个CRO。CRO要关心什么呢?我们说这个法规出台以后会有一个体制,有一个制度,一定要风险管理起来,所以从整个态度来讲,是对整个企业的风险管理的一个提升,所以我说这是最好的一个影响。现在对整个企业的内控来说,企业内部管控原来相对来说比较弱,由于这个法规的出台,现在企业内部管控不得不走向正规化。对每个企业来说,有了规范的怎么去做管控,如何靠近规范。但这个规范我们知道又和美国的《萨班斯》法案不一样,是把它很重要的部分更本地化一些,那就是说,既适合于中国的国情,还要走向国际,跟国际接轨。所以从这方面来讲相对来说,每一个企业,在风险监控上,有一些组织结构的变化。组织结构会重视这个方面。
第三个我们说,从意识形态整个来讲,大家的意识越来越高,而且有有了组织结构,现在的企业要加强风险的监控,怎么去做它,会有具体落到实处,每一个企业会说具体改怎么去做,所以这也是对企业正面的影响。还有一个,对整个企业的法律法规的任何也会加大,这个法律法规的这次我们说,整个的规范出台,相对来说对我们所有人的法律意识会大大地提高,所有的人一定要熏遵循法律的意识,而且要一定走向国际化,这些对企业带来好的因素。但是它也会带来一些深入的问题,我们的规范出来非常不错,但是这个规范,虽然也同时出了《细则指南》西,但是具体的在企业里面的实施,操作怎么做,具体怎么落实,我们还没有没看到更具体的,所以导致所有的企业想做强,但到底怎么做不知道。还有一个,做内控也好,做整个的规范管理也好,一定不是一个企业自己做的,一定是要有这方面的权威的咨询公司、专家介入这些事情。现在问一下中国这方面的专家有几个呢?有一些人说有,几大咨询公司都可以干这些事情。没错,咨询公司在国际上干得不错,但是他们在中国做过多少?相对来说,他们的人才储备又有多少? 不得不说,中国这个法规出台的整个过程,从推出来到现在也就1年多的时间,具体操作实施的还没有多少企业,大家对它的理解多少,研究了多少。所以说,经验、最佳实践,对企业来讲,也是最头痛的地方。这方面来说,公司的治理方面、组织结构、职能职责、流程规范等到底怎么做,风险的定义该怎么定义,规范怎么做,多大的门槛好,多大的门槛不好,因为我们说风险绝对不可能消灭掉,找着一个适合我们运营的风险,到底运营的风险多大,企业能承受得了,谁能告诉我一个,确切的数字,我相信几乎没有。这对我们的风险监管也是一个头疼的地方,下面还有一个说,整个在风险的监控的过程中,企业的内部还需要更多的人才进来。现在企业有没有这么多的人才,如果没有,一个企业要培养这样的人才就要成本,原来的企业只是冲锋陷阵向前跑,现在企业跑的人越来越少,知道要往前跑,还有法律法规受到限制,很多的企业可能不习惯,一旦不习惯,可能就会认为,怎么这么多的事情,怎么这么麻烦啊,所以对很多一些企业来说要有一个过程,下面说成本。
整个组织结构的变化,流程的变化,法律法规的规范,所有这些出台了,会增加企业的成本,对一个企业来说,影响可能会好的有差的,都会看到一些影响。