“风控”于青萍之末

　　文/《首席财务官》研究部

　　春秋时期，楚襄王游于兰台之宫，宋玉、景差随侍左右，有风飒然而至，楚襄王披襟而当之，而美男子宋玉由此献上一篇流传千古的《风赋》，其开篇尤为出色：“风起于青萍之末，觉轻渺而欣然；飘荡于八荒四野，拂万物而盘旋；升降于云际本土，志高远而固磐。春夏秋冬，无穷变幻；急旋缓舞，姿态万千。或柔情似水，含情脉脉；或雄姿勃发，气壮河山；或如泣如咽，如歌如诉；或咆哮怒号，动地惊天。”

　　如果我们抛开文学意境的风花雪月，从企业风险管理的角度来看，“风起于青萍之末”就转换为一种强大的警示作用，毕竟强大如通用汽车，都已沦为破产保护的对象。

　　事实上，内部控制作为应对企业经营中的系统性风险的“安全程序”已经上升到国家层面的制度建设了。2008年5月22日，财政部、证监会、审计署、银监会、保监会等五部门联合发布题为“关于印发《企业内部控制基本规范》的通知”。这个通知明确规定了2009年7月1日起将在上市公司范围内实施《企业内部控制基本规范》，同时鼓励非上市大中型企业执行。

　　类似如此重大的立法举措聚焦在企业运营的一个独立环节，在国内罕有同样的案例。这从另外一个方面也说明了，内部控制对于正在大规模推进精细化、资本化乃至全球化的本土企业来说，已经成为无法逾越的门槛。而且就像股票K线图上那些攻克重点指数关口的巨额成交量一样，之前的阻力位迅速变成突破之后的支撑位。内部控制也是如此。

　　为此，《首席财务官》杂志历时三个月在北京、上海、深圳和天津等地进行了抽样调查，有针对性地面向大中型企业CFO们发放了150份问卷，总计收回127份有效问卷(符合学术研究上针对市场调查的统计科学原则)。在此基础上，《首席财务官》杂志下属的研究机构整合各专业机构进行了相应的专项研究，力图在《企业内部控制基本规范》正式实施之前，为中国企业内部控制的整体现状和需求进行一次有针对性的“零公里标定”。

　　“中国版萨班斯”，从零公里出发吧。

　　1946年1月，约翰·桑顿等10位出身于哈佛的精英接到了福特二世的邀请后，从其在二战中屡立殊荣的美国空军统计管制处退伍，加盟了这家深陷亏损泥潭的美国标志性企业。这些人打动了刚刚接任福特掌门人、急于走出祖父阴影的28岁的福特二世，特别是在听到他们在二战中仅仅用科学统计的方法就替美国政府节约了10亿美元以上的成本。

　　后来这批被称作“蓝血10杰”和“现代管理之父”的数字专家们，最大的贡献并不是简单地帮助福特起死回生。更重要的是，在此之后，“经理人可以对产品一窍不通，仍然可以管理和控制一切”的理念迅速在全美国风行，略显极端和著名的案例当属后来路易斯·格斯特纳从生产饼干的纳贝斯克来到IT巨擘IBM。

　　三年后，美国发布了《内部控制——调整组织的各要素及其对管理部门和注册会计师的必要性》，首次对内部控制作出了权威的定义。上述两个看似无关联的事件，在背后都隐藏着一个敏感的逻辑——走向数字和流程的高度结合。

　　从这个角度来说，企业的内部控制体系恰恰是给天马行空的运营活动栓上了理性之缰。

　　主体之惑

　　整体失重，个体负重

　　本次调查显示，现阶段国内企业在企业风险管理过程中的主要参与者仍然集中在CFO的身上(见图1)，当然作为整个经营结果的全面负责人，超过五成的CEO也扮演着主要参与者的角色。也就是说，就内部控制的体系化而言，仍处于“整体失重，个体负重”的状态，认为需要全部高管参与的受访CFO比例仅为18.25%。而另外一个值得关注的现象是，法律顾问(41.73%)和审计总监(21.26%)的参与比例，显示国内企业对于风险管理的焦点明显偏向外部化，这一点非常值得警惕。固然这与国内现阶段市场经济的诚信环境尚有诸多缺失，合同欺诈、履约不完善以及应收账款居高不下等情况，但从过往的诸多案例来说，大多数情况下企业遭受致命打击的破坏性力量都来自于内部失调，同时大多数虚假财务报告的问题也多数归咎于内部。

　　来自国内外的相关调查也佐证了上述结果。根据甫瀚咨询公司2007年针对中国上市公司500强高管人员的调查显示，内部控制在整个企业管理各项职能中的地位并不突出，大多数企业倾向于通过创新手段来创造价值，而不是通过加强风险管理实现精细化管理与企业增值。在风险管理的权利和职责分配方面，大多数高管人员认为内部控制应该主要由各级直线管理人员承担指标式的具体任务；他们也承认企业对风险的识别和管理不太有效。可见企业目前缺乏的不是风险管理工具、制度和措施，而是这些风险管理工具与制度是否得到了有效及坚定的贯彻或执行。毋庸置疑，成熟的风险管理体系将提升企业应对危机的能力。而与之形成鲜明对比的是，甫瀚咨询公司于2008年下半年的一项研究显示，欧美40多家金融机构的高层受访者认为，如果机构在危机爆发前采取了更为全面和有意义的风险管理活动，将有助于对相关经济形势和环境作出恰当的理解和决策判断。

　　具体到在巴林银行倒闭这一著名的内部控制失败案例中，我们可以很清楚地看到企业内部潜藏的危险。

　　表面上看尼克·里森的巨大破坏力仅仅来自于一个原本不应设立的错误账号。里森于1992年在新加坡任期货交易员时，巴林银行原本有一个账号为“99905”的“错误账户”，专门处理交易过程中因疏忽所造成的错误。1992年夏天，伦敦总部要求里森另设立一个“错误账户”，记录较小的错误，并自行在新加坡处理，以免麻烦伦敦的工作。于是里森以中国吉祥数字8作为他的吉祥数字，建立了账号为“88888”的“错误账户”。几周之后，伦敦总部配置了新的电脑，要求新加坡分行仍按老规矩行事，所有的错误记录仍由“99905”账户直接向伦敦报告。而“88888”错误账户刚刚建立就被搁置不用了，最终这个被人忽略的账户，提供了里森日后制造假账的机会。

　　然而从更根本的角度来看，作为全球首家商业银行的巴林银行倒在了把交易与清算角色混淆的问题上。原本里森担任巴林新加坡期货交易部兼清算部经理。作为一名交易员，里森本来应有的工作是代客户买卖衍生性商品，并替巴林从事套利这两种工作，基本没有太大的风险。而通过清算部门每天的结算工作，银行对其交易员和风险头寸的情况也可予以有效了解并掌握。里森一人身兼交易与清算二职的最大隐患在于其可以利用后者的角色来掩盖前者的问题，由此最终演化形成“撬动巴林银行大厦的杠杆”。

　　因此，本土CFO有必要趁着“中国版萨班斯”的实施，尽快扭转内部控制在公司内“少数人”参与的现状。首先，需要在高层构建能够真正日常运转的内部控制委员会，结合公司经营制度、财务规章、法律法规、IT技术等多维角度，来构筑一个基于工作流的“安全罩”，即兼顾总部与分支机构、业务发展与风险管控等多重平衡的“业务源头核错与风险对冲机制”。毕竟以现阶段的国内企业文化而言，如果一件事情不能从公司高层出发，很难真正形成有效的机制。换言之，如果内控机制的建立到头来沦为CFO本人桌上的一本印刷精美的制度手册的话，就成为又一个轰轰烈烈走过场的符号了。

　　现状之困

　　理念落后，障碍几多

　　在正式发布《企业内部控制基本规范》的时候，财政部副部长王军曾给予了高度的评价，“新发布的基本规范为中国企业首次构建了一个企业内部控制的标准框架，有效解决政出多门、要求不一、企业无所适从的问题，有利于提高内部控制监管效率、降低监管成本，有利于优化企业管理和增强企业竞争实力，有利于保障经济安全、维护资本市场稳定。”

　　但“中国版萨班斯”的真正发威尚待时日。

　　在针对“本土企业成功推行内部控制的主要障碍”的调查结果显示(见图2)，53.54%的受访CFO认为首要原因在于“相关人才匮乏”，而“风险意识薄弱”则以47.24%的受访支持率排在第二位，“基础设施欠缺，特别是IT系统不能支持”、“内部‘抵制’”和“资金支持不够”依次排在后面。总体而言，上述结果的相关性比较明显，大致可以归结为这样一个逻辑——由于缺乏相应的内控专才，进而难以带动公司整体风险意识的提升，导致公司对内部控制建设的整体投入不足，内部控制建设的推进也频遭抵制，进一步导致内部控制建设的效果难以体现，使得公司进一步投入的意愿不强。

　　而上述逻辑的核心点在于“人才”和“意识”。

　　由于国内高等教育长期以来与社会现实严重脱节，兼之财务、资本等领域的企业实践已经远远超出现有相关专业的本科教育所涵盖的范围，因此内控专才匮乏的局面将不得不长期存在。国内企业现有的解决办法，重视程度较高或实力较强的企业一般是从四大会计师事务所和国内著名的会计师事务所挖人，此外就是通过聘请与外部专业机构合作实施内部控制建设项目来实地培养人才。比如，中石油集团总会计师王国就坦承，中石油内控体系在2006年正式运行，在这一过程中，在与外部审计的结合方面把握了两个原则：一是加强与审计部门沟通，二是培养熟悉企业内控的专业人员。而重视程度不够或规模较小的企业，更多的是通过参加公开的内控培训、购买专业书籍来“隔靴搔痒”式或“摸着石头过河”式的自行推进，因此上述受访CFO们对此的反馈也就在情理之中了(见图2)。

　　在针对“本土企业内部控制建设过程中存在的主要问题”的调查显示(见图3)，45.67%的受访CFO明确表示在企业内部“对风险的含义或者定义缺乏明确或者共同的理解”；40.94%的受访CFO则抱怨企业“没有组织足够的培训和内外部交流”；36.22%的受访CFO承认，在内部控制建设过程中“没有把所有利益相关方都包括在内”；32.28%的受访CFO更为担心在内部控制过程中企业会“忽视风险之间的相互关系”；29.13%的受访CFO表示，“没有明确各自的角色和职责”也是现有内控建设中的突出问题(见图3)。

　　事实上，在现有的内部控制体系建设过程中，风险的定义与识别的确是最值得关注也是最为务实的要素。退一步说，即便没有完整的架构体系，如果这一过程做到位了，仍然能在相当大的程度上使运营风险降到低点。比如，中国联通财务部原副总经理苏凤鸣曾表示，联通依据“萨班斯法案”框架制定企业内部控制制度时，通过对风险的识别，梳理出10大类风险作为控制目标，梳理了400多个业务流程，从评价角度建立了256个风险控制点，建立了有效的控制措施，对运营本身产生了良好的积极效果。无独有偶，大唐电信集团CFO高永岗也持肯定态度，早在2005年大唐电信就开始内控制度建设，经过三年的努力，企业排查出了1000多个问题，这些问题的解决本身不仅提高了企业绩效，而且也是在强化整个组织内控建设的信心。

　　根据德勤发布的2007年7月至2008年6月的中国上市公司内部控制报告显示，91%的企业表示，在内部控制机制的实施中遇到一些障碍，其中包括缺乏完善的指导性和可操作性强的理论框架或者模型等。而57%的受访企业认为，管理层的意识不到位，不能有力支持该工作也是一个主要障碍。这两个结论与前面本刊的几个调查结果可以互为印证。当然，乐观的消息是国内企业内部控制的整体水平正在提高。在德勤的这份报告中显示，中国上市公司对内部控制监管要求的意识有所加强，其中44%的受访公司表示，他们已经建立起了良好的内部控制机制。而在上一年的调查中，这一数字仅为20%。

　　也就是说，尽管步伐缓慢加上跌跌撞撞，但是总的方向是正确的。

　　转折之门

　　框架优先，分解到位

　　在针对“本土企业内部控制实施的关键因素”的调查结果显示，高达75.59%的受访CFO表示，“好的管理体系和框架”是排在首位的关键因素；“绩效目标明确，个人对相关结果负责”以66.14%的支持率紧随其后；出人意料的是，“CEO和董事会的全力支持”并没有成为CFO们最看重的关键因素(支持率55.69%，排在第三位)；而“全公司人的风险意识”以34.65%的支持率排在最后，这也说明了现阶段国内CFO仍然明智地坚持内部控制不走“人海战术”和“群众路线”那种轰轰烈烈、效果无处可考的形式主义(见图4)。

　　当然，提到内控的体系架构就不得不谈到美国审计专业机构的特雷德韦委员会(Committee Of Sponsoring Organizations Of The Treadway Commission，COSO)在《内部控制——整体框架》的报告中提出的COSO架构。在此本刊在此不妨回顾一下其著名的五大要素架构：

　　 控制环境。由管理层倡导一种正直、伦理道德风气、宣传管理宗旨、经营方式和人力资源政策，使职员自觉管理其活动和履行他们的责任。管理部门应通过文字描述和范例以及采取相应的监控措施来影响全体职员，以提高他们的伦理道德水准。

　　 风险评估。即管理当局应对目标完成期间与企业相关的风险进行识别、预见并采取相应避险措施的管理控制。风险评估应测定：风险对货币项目及对会计主题形象或信誉方面的重要性；风险发生的概率；如何减轻风险至可以承受的水平。

　　 控制活动。为实现内部控制目标提供合理保证而制定的各项政策、程序和规定。它包括：营业性控制，用于指导会计主体的经营管理活动；财务信息控制，用以保证财务信息的安全可靠和保护会计主体的财产；合规性控制，用以将活动指向符合适用的法规、管理控制要求和坚持伦理道德。

　　 信息情报传递。对关系企业内部和外部的事件或活动、有关的财务或非财务信息都应当加以识别、占有，并及时有序地传递给决策者和职责履行者。它包括信息资料的传递程序和传递范围。

　　检查和评估。为保证内部控制的适当性和有效性而进行的日常和定期监督、检查。

　　从上述的COSO架构中不难看出，尽管目前国内由于现实的制度压力使得企业内部控制建设处于前所未有的高潮之中，加上客观上来自外部审计师审计财务报表的要求，此外还有一个重要的推动因素就是国内屡遭诟病的市场环境中大量企业舞弊和违规行为对整体市场经济秩序的消极影响已经使管理层忍无可忍。但从本质上说，如果CFO们不能使国内企业的董事会和管理层深信，内部控制体系是公司运营的嵌入式安全程序，那么终究它还会沦为走过场的形式主义。

　　事实上，越来越多的国内企业对于那种趋于形式化的内控建设表现出了怀疑和排斥感。一家广西会计师事务所的负责人颇为感慨地表示，“目前的内部控制设计，只注重业务流程设计，忽视了整体性的、高层次的内部控制，造成目前的内部控制度动力不足，权位不够，效果不佳，受人关注度不高。而且过多地注重业务流程的设计，犹如缘木求鱼、本末倒置，难以取得理想的效果。我们这边有家大型企业，请一家国际大型会计师事务所，投资数亿元，耗时几年时间完成了全套业务流程内部控制制度，结果该公司没过几年对其业务进行了重组，原来的业务流程全部改变，以原来的业务流程为基础设计的内部控制已无法发生作用。这样的例子不在少数，让人对目前我们辛辛苦苦研究、推广的内部控制建设的有用性产生了怀疑。”

　　在针对“本土CFO最期望内部控制发挥作用的主要领域”的调查结果显示(见图5)，在四个排他的选项中，高达68%的受访CFO希望内部控制首先对于“运营风险控制”能够发挥威力；17%的受访CFO更关注“财务控制”领域能加强内部控制；希望内部控制发挥主要作用的其他领域还有“合规控制”(支持率8%)和“反舞弊”(支持率7%)。

　　从这一结果的解读中，我们能欣喜地感觉到本土CFO对于内部控制体系建设的长期性有着清醒的认识，像类似“合规控制”和“反舞弊”这样的领域无疑具有一定的项目色彩，虽然短期效果良好，但如果使得其他公司高层参与者对内部控制体系的认知产生“一锤子买卖”、“短期突击”等负面印象，则对于内部控制建设的长治久安会有较大影响。

　　而且本土CFO们将“运营风险控制”列为内部控制发挥作用的主要领域，可以争取公司内部最广泛的同盟，从而在国内公司治理结构尚不完善的宏观制度环境下，创造出有利于内部控制快速推进的微观环境，有效地把内部控制的要件嵌入业务流程之中，最大限度地实现内部控制的长效作用机制。

　　理想之境

　　运用之妙，存乎“流程”

　　在上文所述的甫瀚咨询公司的调查报告还显示，具体到“建立内部控制制度”所包含的四项内容(建立内部稽核制度、信息披露、有专门针对子公司和衍生品交易的内部控制规范、内审部门审核范围能够覆盖所有的业务分部和运作环节或地点等)，有52家公司至少在内部控制的建设方面比较完备，只有13家公司的内控制度内容在两项及以下。但是，样本公司在内部控制方面存在明显的漏洞。例如，在“公司是否具有自己书面的公司治理原则，可以清楚表明它的价值体系和董事会职责？”方面，只有一家公司“存在原则并且完全披露”，三家“存在原则，但没有完全披露”，其余96家“根本没有提及公司治理原则”。在“董事会是否给所有董事和员工提供了公司道德准则或者经营行为规范以保证他们清楚和理解”上，只有六家公司符合要求，48家“仅为高管或员工或董事提供”，其余46家没有提供。在“公司是否设有反舞弊程序和举报系统”上，只有18家公司达到了要求。另外，考察“公司是否建立正式的、统一的IT系统政策和IT安全政策”时，只有26家公司符合标准，有73家没有实施这一重要措施。

　　而同样值得注意的是，这份调查报告显示，只有76家公司通过公开渠道披露了审计委员会的人数，59家公司披露了审计委员会的开会次数。公布数据的公司中，审计委员会人数平均为4人，其中41家公司为3人，5家达到了7人。审计委员会每年的平均开会次数为4次。部分公司的审计委员会开会较少，其中3家公司为1次，14家公司为2次，5家公司为3次。审计委员会的工作质量从年报上未获得充分的反映。而这部分内容对股东而言是十分重要的。

　　据此，甫瀚咨询公司认为，中国上市公司对于内部控制的重要性已经有了一定的认识，但是对于如何实现有效的内部控制，仍缺乏清晰的标准，也还没有形成成熟的风险管理文化和管理体系，包括制度、技术、人才等。

　　换言之，虽然有内部控制建设的“国家级规范”，但“干什么”、“怎么干”仍然具有相当程度的迷茫性。从这个角度上说，也无怪乎当“中国版萨班斯”刚刚出炉之际，曾有自称财务专业人士的网友在BBS上大泼冷水：“对中国的企业谈内部控制简直是对牛弹琴，搞所谓的内控测试有如跳大神，建立所谓的内控制度更像土财主穷西装。”尽管如此激烈的措辞很可能与个人不愉快的内控建设经历有关，但从另外一个角度也看出内部控制建设实在是一个当下极具操作性挑战的业务领域。

　　这从针对“本土CFO对内部控制现有水平的自我平估”的调查结果中可以看出端倪(见图6)。47.58%的受访CFO把自身企业目前的内控水平定义在三分的及格状态，即“基本合格，能控制住主要业务风险”，超过1/4的受访CFO则对此给出了四分的评价，认为“满意，没有明显问题”；13.71%的受访CFO给出一分的最低分，表示自身的内部控制“刚起步，不好评价”；8.87%的受访CFO自我评价为两分，认为所在公司的内部控制“已启动，尚未取得明显效果”；只有4.03%的受访CFO给出五分的自我评价，对内部控制体系持“非常满意，运行效果良好”的超乐观态度。上述受访者的总体平均分为3.05分，从另外一个角度看，这符合国人喜欢居于中庸文化心态的一种心理暗示结果。

　　值得欣喜的是，近年来国内企业信息化程度的普遍提升，使得其技术性手段已经足以能帮助本土CFO们把内部控制体系的风险点监控程序嵌入到业务流程中去了。

　　据IDC预计，2007~2011年，国内风险管理解决方案市场将以22.4%的复合增长率快速增长。有业内人士表示，近2~3年内，国内市场将迎来一个需求大量增长的时期。

　　在“中国版萨班斯”出台前夕，全球领先的信用风险管理方案提供商——穆迪KMV公司就抢先宣布，由其研发的Risk Analyst(风险分析)简体中文版即日起正式进入中国市场。这是针对国内目前比较高端的金融机构信用风险衡量与管理解决方案。通过Risk Analyst系统，金融机构能够在标准化的内部风险评级体系内，综合各种财务数据、定性数据和外部数据，并以此确定违约率和违约损失等关键数字。

　　同样，在《企业内部控制基本规范》实施进入倒计时之际，依靠财务软件起家的用友正式对外发布“用友NC内控与风险管理解决方案暨用友NC5.5产品”，其首要的主打宣传点就是——中国国内第一套全面支持“中国版萨班斯”的企业管理软件。

　　而全球管理软件领导性企业SAP更是明确表示可以提供一揽子解决方案，“可帮助您平衡财务风险、法律风险与运营风险。我们的风险分析环境可使您确定、建模、监视并报告业务活动中的风险。借助通用的治理、风险与合规性体系，您能以经济上容易扩展、一致的方式实施风险管理，甚至在混合系统环境中也能进行风险管理。”

　　当然，行业特点、综合管理水平、项目预算、专业人才储备等都是决定本土CFO选择哪一种技术手段来将内部控制体系嵌入到业务流程中去的关键因素。极端地来看，即便采用人盯人的“原始”方式，也是可以完成这一目标的，只不过从时间(长期性)和空间(规模扩张)上来看，这种方式难以保持得足够持久。当然对于相当一段时期都会保持稳定规模的中小企业来说，强化专职内控人员紧盯业务流程重大风险点，再配合成本低廉的办公软件(甚至像强大的计算能力经常被忽视的Excel都可以)，只要与业务流程结合得足够紧密，也可以在相当程度上达成内部控制体系建设的主要目标。

　　也就是说，技术手段始终服从于策略和目的，而后面这两个点才是本土CFO最费脑筋思考的地方。无论如何，国内内部控制体系的实施都需要一批“超级执着”的CFO们来不遗余力地推进，才能真正有所起色。在《企业内部控制基本规范》还有20天就要实施之际，让我们共同重温著名作家海明威在《老人与海》中借助桑提亚哥之口说的那句有关执着的略显极端的大实话以示共勉——“如果一个人存心杀死月亮，那么月亮也会被吓跑的。”

    新浪声明：此消息系转载自新浪合作媒体，新浪网登载此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述。文章内容仅供参考，不构成投资建议。投资者据此操作，风险自担。