郑洪涛博士:企业风险管理对数据系统建立与保护的迫切要求

存储在线 10月30日北京消息:主题为"数据无限,管理有方,存储为体,服务为用"的日立数据中国用户大会2008今天在北京召开。会上,风险与内部控制专家,国家会计学院副教授郑洪涛博士做了"企业风险管理对数据系统建立与保护的迫切要求"的演讲。

女士们,先生们,非常感谢日立数据的机会,我跟大家讨论一下基于风险的对数据和信息服务的体会。风险管理是我们组织包括一个国家、地区、企业或者是行政事业单位永恒的主题。次贷危机引发的金融危机,金融危机引发的经济危机正在席卷全球,这样的风险我们为什么没有进行预知,进行预警而造成了今天这么大的灾难,这是需要思考的话题。

思考话题的同时,我们要看看手段,今天是数据库IT的问题。这个数据库的发展到底起了多大的作用?我们可以进行思考。从美国《萨奥法案》来考虑,我们认为是适当的而且是必须的,但更重要的是风险对于体系的建设。第二点,这种手段和人的结合,人机合一的过程也是我们需要考虑的主题。

这种主题反应出内部控制和企业风险管理过程当中,技术手段本身固有的缺陷。第三个问题,怎么样把技术手段和我们的思想进行很好的融合,这就是内部控制与IT。同时,要清醒地认识到,这种技术、价值和手段在本身的价值当中,怎么样规避,同时也有机遇,克服薄弱这就是我们的挑战。

《萨奥法案》推出是基于美国几次大的地震,一个是安然、一个是息通(音译),他们作为了美国的经济危机。美国萨班斯和奥克斯两个议员提出了加强这样的把控,所以出台了这样的法律。

美国给我们提供了很好的典范,就是加强IT的治理包括风险的治理。在治理的过程当中,我们发现了新的问题,法国兴业银行盖维耶尔伪造银行记录,这样的话,整个信息系统和资源整体配置体系的问题,盖维耶尔从临台的岗位人员造成了岗位中调之后,造成了损失。

这种损失是操作的问题,事实上是整个管控体系资源应用的系统,这就是信息系统、IT数据、整个资源结构管理之间的矛盾。所以今天讲的IT技术仅仅是风险管理体系最基础的一个最细小的环节,最基础的环节,也是最重要的环节。而真正在于数据的怎么样应用。

盖维耶尔最大的问题是篡改数据,篡改原代码进行交易,达到了最后舞弊的特点,是获取更多的收益,超出他的授权体系的资源的应用过程。

这种过程使我们现在有很深的反思,这种反思是我们怎么站在企业价值的角度,站在组织安全的角度,站在组织风险的角度进行体系的管理。特别是今天讨论的主题是IT和数据的管理。美国萨班斯奥克斯法案的颁布有11个方面的主题,围绕了会计、信息、治理、会计责任、法律责任,在这些法律责任里面,302、906、404条款主要解决的是风险基础的问题和风险机制的问题。

会计信息的风险机制在企业领导人,企业领导人负责任的时候有推托的借口,比如说IT的失误可能追加到CIO。这样的话通过法律的鉴定的时候,这样的条款解决了责任追究的机制。

404条款解决了上市公司内部控制的问题,你要做到信息机制的管理,包括法兴业银行包括盖维耶尔舞弊的行为是经历了一种制度、体系,这就是内部控制。现在内部控制成为了法事、刑事、民事的三大前提,把我们推到了更高的高度。

我强调一下数据里面IT的认识,在IT里面支撑整个资源配置的过程当中,我们怎么和内部控制相衔接的,这是美国著名的COSO报告,从财务会计官协会等组建的反虚假委员会,主题是加强对内部的控制。他们对内部的控制认识和认知,经过发展提出了一个整体风险管理框架的体系。这就是说一个组织、一个企业如果要防范的话要从八个方面解决。

第一个是控制环境,第二个是目标,科学地制定目标,制定四大目标,一个是战略,一个是报告,一个是营运,一个是合规合法。一个组织要有效的运行必须要进行四大体系的融合,这是目标的制定。这之后我们要科学地识别对轻、重、缓急进行评估,这就是风险评估,风险评估之后,要选择适合各种风险和不同行业的对策方式。风险对策之后,从时间上进行规避,这就是内部控制活动。

他的支撑体系一个是信息沟通一个是监控,信息沟通起的是手段和框架的体系。在信息系统的时候,必须发挥体制,比如说安然的问题,是会计的问题,财务的问题?财务和会计与企业是什么关系,我们需要有更高的盈利,现金留的危机怎么保证分红,因为我有更好的社会信用。 [

比如说我要进行下个投资,200个亿、300个亿的时候要进行债权融资,这个时候看你的评级,评级看分红,分红看现金流。没有现金流怎么办,这就碰上IT安然和适通的选择,怎么选择,利用了这种方式对现金做了很好的流入。在会计上我们认定会造假,由此引发了美国能源公司巨头安然的坍塌。

这就说明了你在企业经营管理过程当中,很多的资源是相互匹配的。虽然你盈利了,没有现金流的时候,盈利是虚假的,或者是盈利是不稳定的,也就是非常危险的。最后危险的盈利导致持续性发展的时候造成了灾难。

这个时候是经营部门和财务部门、管理部门决策部门信息的不对称。他们没有进行沟通,在财务里面没有现金流是非常可怕的,跟没有血液一样。在这个时候我们怎么样应用信息,没有信息平台没有沟通机制,所有的风险会发生。

所有的资源配置没有得到的时候,风险就会发生。在不同的层面、不同的专业上对信息进行统一认知,这就是沟通。

所以,今天讲的数据库只是解决非常有效的非常关键的点,这一点仅仅是基础,更大的是把信息技术运用、扩散。我觉得日立数据库解决的只是第一部分的问题。

最后一个要素是监控机制,监控机制谈的是什么,制度都有,体系都有为什么出现了这么大的问题。安然和适通,包括因安然而毁灭的安达信,最后的问题是不仅仅是有优良的制度和系统,反映了社会的合法性。

这是价值取向观,是效率、效果的问题。很多企业制度都有,风险管理体系都有最后还是出了问题。最后的雷曼兄弟等等,都有问题,没有把风险管理的体系落实到真正的应用和决策当中去,最后造成了灾难。这是内部控制的整个框架体系。

今天我们介绍整个信息系统在整个控制系统里面到底起到什么样的作用。信息系统包括数据库、包括IT在整个企业里面,应该起到首先是一个风险的对称性的作用。让董事会、管理层、销售、财务知道这种风险,最后变成是法律法规的需求。

我们在萨班斯法案里面都进行了细化,加强内部控制的时候必须要加强进行IT系统的归置。然后对注册会计师审计评价的时候,法律上不要绕过IT,还要作为重中之重来进行。

IT在内控遵从过程当中,我们体现是成也箫何,败也箫何,所有内部控制做得好的是因为IT系统取得了非常大的支撑作用。所有内部控制取得的不好的时候,缘木求鱼的时候,事实上花了很多资金来进行管理,但是没有得到很好的效果是没有对信息有效地进行沟通和使用。所以,出现了最后更深、更新层次的问题。

这是在美国实施IT的时候进行了统计和分析,小的公司几百万美元,大的公司几千万美元,中国的企业中石油、中海油、电信、四大公司在美国上市的时候,多则几千万,这是我们在里面的投资,真正投资有60%、70%的投资是IT和设备手段的投入。

在这样的投入过程当中,我们也得到了很大的启示,或者是得到了很大的成果和收获。比如说中国人民喜欢什么,我们跟专家讨论过,中国人喜欢什么,有什么特点,有什么文化。

中国人喜欢潜规则,中国人是很含蓄的。但是走的极端是中国人在整个管理过程当中,阴一套阳一套。被评为新加坡最具透明度企业的时候,就中行这一家,然后24小时发生的新业务向股东向投资者进行报告的时候,我们认为这个公司的信息是透明的最对称的,给了这么高的名誉。后来发现5.5亿亏损的时候,中国人所有的问题不是重要的问题,重要的是他不说。

所以,美国的企业走的时候说了一句话,中国人我用了5年的心血都明白了,开大会的时候说的是小事,开小会的时候才是大事,真正重要的是在不开会的情况下就做了。

这样的情况下,我们怎么管理,所有的风险都是这样的问题。这种IT通过IT、所有的技术手段把流程、系统都技术了规划,这解决了中国人不重视流程的规则,所有的业务规范化、流程化。

这样的情况下,我们怎么管理,所有的风险都是这样的问题。这种IT通过IT、所有的技术手段把流程、系统都技术了规划,这解决了中国人不重视流程的规则,所有的业务规范化、流程化。在这样的过程里面引起了两个方面的革命,第一个方面的革命是业务过程的细化和业务过程的形式化。

最后做内部控制,做风险管理的时候全部是形式主义,为了应付美国鬼子,为了应付中国的会计师事务所,最后不断地加文件给他们看,结果害人也害己。第二是通过规范的流程改变了潜规则,改变了当时意识把所有的管理和风险走上了前台。这个时候企业应用IT、流程、运用过程当中改变了我们的方式,使谈判成本、交易成本极为降低,这才使风险控制成为可能。

这是我们对美国上市会计公司监督管理公司,对内部的审计要求最后对IT的直接的要求而提出的。我们信息技术的专家或者是行业对内部控制有很深的理解。

刚才讲的所有数据库的老大们,都讲得非常棒,这是在整个风险管理里面很深的进展,也是非常大的贡献。对整个风险管理,或者是行业管理,对整个国家的经济、民族的稳定发展起了非常稳定的作用。这是系统信息对一个国家、行业、企业的支持。

中国的内部控制自从2006年3月5日温总理提出之后,委托财政部联合五大部委颁布了《企业内部控制基本规范》,在这个体系里面第41条提出企业应当充分利用信息技术,促进信息的集成与分享,充分发挥信息技术在沟通当中的作用。

企业应当加强对信息系统开发与维护、访问与变更、数据输入与输出等方面的控制,保证信息系统安全稳定运行,这说明了我们内部控制可行性对IT数据的使用。

所以,我认为内部控制任重而道远,在这样的过程当中,重中之重是对IT体系的应用。中国现在面临的最大问题是IT、管理、风险的三张皮。管理人员愿意冒风险,风险的表现和传道受手段的影响。这次次贷危机,我们到底应该买哪种衍生产品,有多大的风险,我的覆盖保证我的容忍度的实现,现在没有这样的体系、机制、没有这样的手段。

现在的情况是美国人感冒了,我们要跟着吃药。这就是你的控制手段太差,这样的话很多手段和方法要跟上。我现在参加了很多企业集团的协调会,IT部门不知道先干什么,后干什么。比如说做预算是先做ERP还是先做预算。最后是做ERP做不成,我们总是等到最后预算都做了,你还不做。每次参加这样的会议我们的IT人员很专业很辛苦,但是说的问题我们不明白。

所以,这就是我们的机遇,他们能改变环境,提高效率,能够改变资源配置的方式,减少成本。同时,他能减少对内部人的控制的成本。对人的控制是很难的,但是通过授权、交易密码或者是原代码的修改,等等业务进行修改。这可以得到实现,这是我们信息产生的,这种信息产生的过程当中,使我们的效率一再提高,使成本一再降低。在这样的过程当中,最后提高的是企业管理的水平和营运的水平,降低的是我们的风险。

面临最大的挑战是IT变成我们的鸡肋。我参加了北京市的招投标,当时很多IBM、日立的产品很多,买哪个不清楚。我们认为是不该买,现在是先进的系统不该买。但是为什么要买反应出对IT的重视,仅仅是重视吗?

我们对IT本身了解不够这就是挑战。在IT运营之后又有一个障碍,大家知道一个下民工判刑的问题,这是我们的IT没有真实的反应出一个只是170元钱能取1000元钱的时候怎么办,最后的结果是170元钱取了1000元钱。他那天晚上接着这样取,只是取了170元钱,一次能够取1000元,后来判了他无期。

后来社会上认为这样的不公平,进行了反驳,最后判了五年。这是中国人的悲哀。IT运营插足反复发生,你是怎么搞IT的,怎么发挥作用的,你风险不但没有成为风险管理的支撑,反而成为了风险的放大的罪魁祸首。

财务在风险管理的过程当中,通过人是有自动的过程。你昨天在银行的时候前台多给了你100元钱,第二天还会多给100元钱?不可能。但是IT就有可能,只有今天给了100元钱,不修改的话,明天还会给100元钱。

再有,我去银行发生了很简单的问题,IT的部门三天的数据没有进行更新,导致整个银行的数据虚假。其实不是人为造假,而是数据传输的过程。还有一个四大电信公司,有一家公司去年的年底应收帐是5000万,前年是4000万,去年一下子暴涨了800万,找来找去没有什么问题,最后是系统出了问题。搞财务说数字出来我们用数字,报上去是800万。

这个事大家都有道理,都没有问题,反正最后一个问题就是总经理的问题,是不是这样的道理。结果现在的问题就摆在这里,这是很愚蠢的问题,这就是IT的问题。IT是不懂财务的,财务不懂IT的,所有的问题就让老总一个人去抗。IT本身的风险会更大。

以前所有的业务要盖帐要模仿非常困难,现在不需要了。我只要把密码、登录名记住就行了,他曾经在后台工作过,对IT的前台如鱼得水,最后无限的放大,最后就是次贷危机,最后所有的偶然就是亏损。

说明我们整个风险控制体系存在着最薄弱的基础环节,我们内部控制管理体系里面最重要是法人治理、业务行为、员工行为、第四个是信息系统的管理。这是重中之重。在整个信息系统管理当中,信息技术本身也是发展的过程,也有风险,也是风险自我控制的过程,自我完善的过程。

内涵和外延的过程,不断地自己降低成本,减少差错。外延是怎么想办法为我价值的提升提供更好的价值。这一点是企业在IT过程当中,刚开始IT很简单,基于IT做IT基于技术做技术。后来技术和业务进行衔接,衔接的时候标准化很规范,依赖于IT全相信IT。

IT确实起了作用,回过来监控业务的风险,最后是人机合一,IT指导业务,然后又指挥企业的业务化运行。这就是这次金融危机的关系。谢谢各位领导、谢谢各位日立的专家。