合规与内控,为风险管理解困

从美国安然、世通事件、9.11事件,到2008年发生的南方冻雨、汶川地震、次债危机,众多的风险和危机在警示我们:“风险如影随形,无处不在”。如何通过内部控制与合规管理防范、降低风险,是企业领导迫切需要解决的管理难题。

古希腊政治家伯利克利在提出“风险”概念时,并不是为了能够预见未来的风险,而是为了为不可预知的风险做好准备,这与中国的谚语“居安思危,思则有备,有备无患”有异曲同工之妙。

但是,目前国内大部分企业乃至很多全球性企业都在风险防范意识方面重视程度不足,在风险管控措施方面执行不到位,这使得众多企业在面对重大突发灾难时,很容易陷入生存危机,比如,“9.11”事件迫使超过半数的受影响企业倒闭;汶川地震致使大批中小企业遭受史无前例的打击。

即使不受突发灾难影响,由于盲目扩张、多元化经营、造假和管理失控等风险造成的“突然死亡事件”也不胜枚举,比如,美国安然公司、世通公司由于爆发财务丑闻,难逃破产命运;三鹿集团由于造假、应急不当最终破产;波及全球的次债危机更是引发多家金融机构破产,并波及全球其它经济实体。

从德隆系、三鹿到香港合俊的陨落,从美国安然、世通到雷曼兄弟的破产,每场危机的背后都隐藏着风险管理的缺口。居安思危,防微杜渐,全球化经济形势下,中国企业应尽快加强内部控制,构建合规管理体系,提升风险管控能力。

加强内控,箭已在弦

内部控制有助于企业实现业绩和利润目标,提高工作效率,防止资源损失,提高财务报告的可靠性,督促企业遵守相关法律、法规,避免企业名誉受到损害以及受到其它不良影响。

为了防范和及早发现各种风险,避免或减少可能遭受的损失,在保证企业稳定、健康、快速发展的同时,企业的经营、管理者应该认真制定和切实执行内控管理:首先,企业应建立高效的风险管理机制,以风险管理为核心,严格控制经营风险,保证业务收益的稳定;其次,企业应运用新技术、新方法对风险进行科学预测,对可能面临的各种风险进行控制和管理;第三,完善风险监控机制,建立科学的风险监测反馈系统;第四,完善企业内部控制管理制度,用制度管人、管机构、管业务、管经营,并接受监管部门的指导和检查。

2008年6月,我国财政部、证监会、银监会、保监会及审计署等五部委联合发布了“中国版萨班斯法案”——《企业内部控制基本规范》,并将于2009年7月起首先在上市企业中实施。其中,该规范第37条规定:“企业应当建立重大风险预警机制和突发事件应急处理机制,明确风险预警标准,对可能发生的重大风险或突发事件,制定应急预案、明确责任人员、规范处置程序,确保突发事件得到及时妥善处理。”在“美国版萨班斯法案”中,也有类似条款,比如第404条款规定:企业必须了解那些可能影响财务报告流程的风险,并要求他们实施恰当的控制以阻止财务违法行为;此外,404条款还要求,企业需建立一个基础设施,以确保所有的记录和数据不会被毁灭、丢失、未经授权的变更和错误的使用——这是业务连续性管理能够成为满足萨班斯法案合规性手段的重要原因之一。从概念描述和服务内容上看,中国的应急预案机制与国际上所倡导的业务连续性管理体系有很多共融、共通之处。相对而言,包括三鹿集团、香港合俊等,中国很多企业都缺乏完善的应急机制、业务连续性管理体系和风险防范意识,这正是压倒他们的最后稻草。
合规价值,不可小觊

近年来,各种法律、法规、行业指导性文件越来越多:《中央企业全面风险管理指引》、《新巴塞尔资本协定》、《萨班斯法案》、《信息系统灾难恢复规范》、《上交所内部控制指引》、《深交所内部控制指引》、《银行业金融机构信息系统风险管理指引》以及即将在2009年7月起实施的《企业内部控制基本规范》等等,一个又一个法律、法规的出台,使企业管理不知不觉中进入了一个合规时代。

从风险管理的角度看,合规能够帮助企业管理各种风险,避免罚款、法律制裁、商业损失或者因为员工失误造成的数据泄漏等风险。

合规不仅是企业为了满足外部监管机构的要求,更是完善企业治理,提高内部控制管理水平和风险管理水平的重要手段。

需要强调的是,合规是可以创造价值的,也是可以度量和考核的。其中,银监会所颁发的《商业银行合规风险管理指引》中指出:合规可以降低因遭受监管处罚和法律诉讼而导致财务损失的可能性;坚持合规经营的宗旨和原则,能够提升品牌价值和社会地位,增强银行持续竞争力,带来财富收入和声誉价值。

可以说,这些价值和衡量标准对于银行以外的企业同样适用,合规管理完全可以超越“成本中心”,成为价值源泉。

合规与内控,以IT为突破口

随着IT应用的逐步深入,企业的日常运营越来越依赖于IT系统的支撑。IT系统已经成为整个企业业务的重要支撑,同时也是对企业活动进行控制的重要手段。以具体运营流程为基础展开的IT控制,直接关系到运营活动的实施。因此,企业进行内部控制应该从以IT为主的内部控制为突破口。需要强调的是,IT内部控制并不是孤立的,它是企业以业务目标为主导的整体内部控制项目的一部分。

IT内部控制必须遵循企业的内部控制机制和策略,确保IT控制符合企业内部控制的基调。此外,IT内部控制还担当支持企业高层管理活动的责任。在企业内设定业务目标,确立企业政策,在组织资源配置及管理决策时,IT负责辅助企业制定政策方针并在组织内部传达交流。

面对即将于2009年7月实施的《企业内部控制基本规范》,上市公司急需一套普遍适用的IT内部控制方法论以满足《企业内部控制基本规范》的要求,协助IT部门建立合适的内部控制机制。在此方面,GDS万国数据拥有成熟的IT内部控制实施方法论和管理体系保障,并已帮助部分客户建立、完善了IT内部控制体系,并使之符合ISO20000 IT服务管理、ISO27001信息安全管理、ISO9001质量管理等相关认证。

此外,上市公司还需一套可操作的行动指南和评价体系,指导企业在进行IT控制的同时,方便审计机构制订评估标准,并有利于双方就审计细节达成一致。