中国版萨班斯系误读

　　“CFO 3.0”时代

　　根据德勤刚刚发布的“2010年中国上市公司内部控制调查分析报告”显示,中国的上市公司逐渐提高了对内部控制系统的理解与重视,但实施阻力仍然存在。其中53%的受访者认为实施内控的阻力之一是缺乏与内控相关的信息系统。

　　据IDC预计,2007～2011年,国内风险管理解决方案市场将以22.4%的复合增长率快速增长。有业内人士表示,近2～3年内,国内市场将迎来一个需求大量增长的时期。

　　SAP中国区商务用户和技术平台事业部总经理张侠表示,合规和风险管控方面一直是SAP的重点努力方向。在2006年SAP收购了全球领先的Virsa系统公司。Virsa是一家在“萨班斯-奥克斯利”(Sarbanes-Oxley)领域处在绝对领先地位的软件公司,收购完成后SAP也推出了一个相关的产品——GRC(公司治理、风险管理与合规),参照中国的内控规范体系的相关要求,在位于上海的中国研究院的实验室为中国企业量身定做。

　　“GRC是真正意义上的企业性能管理的核心。我们要让客户能够充分地了解所有的风险和机会,这样才能做出非常良好的决策,这一直是SAP公司战略的重要组成部分。”SAP Business Objects首席财务官兼办公室绩效优化应用软件部全球副总裁 Frdric Laluyaux 强调,“我们实际上是要用SAP GRC的解决方案使客户能够真正在发展业务中具有自己的优势,这就说明客户不仅仅要实现合规,同时还要能够非常清楚地了解自己在公司运营方面的风险以及相应的机会。在了解了这些风险和机会的过程中,再来实现自己公司业务的成长。”同时他还进一步说明,有两个支柱是应该关注的,第一是数据的可用性,也就是说对于整个生态系统来说,如何使用各种已有的数据,而且如何使这些数据无论是按企业预置(On-Premise)、按需随选(On-Demand)和移动应用(On-Device)型的都能够很好地被企业各个部门所使用;第二个支柱是如何能够培养企业在运行这种应用方面的能力。企业要发展自己的业务,同时也要对自己的环境和风险有很好的控制,而不是说这个企业的业务像坐过山车一样上上下下有急剧的变化。“我们觉得所有的中国企业应该都能够奔着有控制之下的企业增长目的去发展,而SAP所提供的平台就是要使企业有控制的成长成为可能。”

　　Frdric Laluyaux为我们提出了一个“CFO3.0”的概念,他认为,“CFO1.0,是说那个时候的CFO只是对公司和企业内部的核心财务流程进行管理;CFO2.0则是让这个CFO更加接近于在战略和执行之间找到很好的平衡,同时可能也会涉及到一部分GRC的产品和解决方案的提供;而CFO3.0,则是让这个CFO在真正意义上成为企业CEO的战略型顾问。这样做就能够让公司更快地提高自己的性能和业绩,并且能够让公司迅速进入到一个新的机会领域。这是一个三步走的过程。”

　　SAP亚太及日本区商务用户和技术平台事业部副总裁Atul Patel认为,作为一个企业的CFO,不能只看到合规的问题,而更多的是要有一个全盘的视角来看待所有风险,甚至于政治方面的风险也必须考虑在内。只有以这样全面的视角看待所有的风险,才能把相关的风险控制与自己企业的运营系统联系在一起。这些运营系统不仅包括企业的人力资源系统,也包括各种相关的财务系统。

　　机会大于压力,意识高于技术

　　内控指引明确了各方的责任,对CFO来讲正好利用这个机会,完成以前很难推动的源头风险控制。但是企业整体对内控的认识与接受,往往都要经历从被动接受到主动运用的过程。这其中作为执行层的CFO,压力与契机并存。

　　作为SAP中国区商务用户和技术平台事业部总经理,张侠接触过多家大型企业CFO。对于在内控建设中CFO的压力与挑战,张侠认为,真正比较优秀的CFO会把这个看作是一个机遇,利用这个机遇可以把自己与财务有关的工作进行梳理,以做得更好。最好的CFO可能就是把整个合规和风险管控不光是看作一个需要遵循的事情,而是把它看作一个企业核心的竞争力,或者是一个商业机会。“管理风险本身就是对业务最好的管理,所以它可能变成一个核心竞争力,可以变成一个和别的企业形成差异性的东西。有远见的CFO从更广义的角度出发,会在这些事情上主动发挥一些主导的作用,而不是仅仅把这个机会当做是负担。”

　　Atul Patel向记者介绍,SAP现在有很多客户,在他们披露年报的过程中已经采用了“三重底线”的年报方式,就是除了要在年报中披露财务数据之外,同时还要披露一些相关的社会、经济以及环境等方面的因素,这样做可以让这个企业变得非常与众不同,因为在公司或者是企业的年报当中,有的时候并不要求对环境方面的因素也要加以披露,但是有些公司的确已经这样做了,这样做的好处是能够让与这个企业相关的各个方面,包括企业的投资方,或者是企业所处的社区、企业的员工,甚至企业的供应商都能够感觉到企业实际上是领先一步在做很多工作。

　　同样赞同“机会说”的杨小舟也强调,CFO应该借“内控规范体系”全面实施的东风,因地制宜,加强企业内部控制体系建设。

　　谷峰介绍,上汽从2007年开始启动了新一轮的内部控制体系建设,通过借鉴COSO的《内部控制整合框架》以及五部委的《企业内部控制基本规范》,内部控制体系建设日趋完善。应该说上汽为执行《企业内部控制基本规范》已经提前做好了准备,一方面加强制度建设,编制《内控手册》并持续完善,同时建立了长效的内部控制自我评估机制和监督检查机制。在风险管理方面,上汽主要借鉴了国务院国资委发布的《中央企业全面风险管理指引》,各职能部门在日常工作中持续开展风险信息收集、风险识别、风险评估以及风险应对等风险管理工作,并定期开展风险管理自查和检验,同时还由审计部门负责实施风险管理的监督评价。

　　同时,受访的专家和CFO普遍担心“内控规范体系”的实施有可能流于表面的问题。

　　“只重视业务流程和管理流程的设计,很可能本末倒置;只强调框架的研究,总体风险的把握,不注重制度的设计与实施,又会陷于空谈,执行力不强。所以企业不仅要加强内控体系的设计,也要时时评估内部体系的运行效率和效果,如发现重大缺陷和漏洞,应及时改正。”杨小舟特别提醒道,“注意风险的层次性也很重要。企业的风险可能来自于不同的层面:治理层面、战略层面、经营层面和操作层面,只有准确掌握风险形成的层面,才有可能设计出相应的、有效的内部控制机制和流程。”

　　“一个有效的手段是将内控的执行情况纳入考核体系。”谢安建议,控制措施必须融合进企业的实际运营工作中的制度、流程,使大家在日常工作中,按照正确的做法工作,就自然而然地遵行了内控的要求,避免实际运营与内控“两张皮”。

　　杨伟志谈到,“随着企业本身的发展,内控也要持续发展。不是一个项目、一个时点,而是长期的、持续的,也需要重新评估。根据企业外部发展环境的变化,进而改变企业内部控制关键点等,需要重新审核。”他认为,企业在执行内控时,尽管存在一定程度的技术性障碍,但通过培训或者外部专业机构的帮助都能克服。而意识层面的问题则是决定企业内控能够成功的关键。如果能充分认识到这个工作的价值,领导层的推动力就很强。任何人对于改变都有本能的抗拒,要克服这种心态,需要领导出来亲自组织。

　　季瑞华打了一个生动的比喻,“好比一个人做体检,如果为了得到一个好的结果就提前三天不喝酒、多吃青菜,那这样的结果也是自欺欺人。内部控制亦是如此,其关键不在技术,而在于人。”

中国版萨班斯系误读

　　“CFO 3.0”时代

　　根据德勤刚刚发布的“2010年中国上市公司内部控制调查分析报告”显示,中国的上市公司逐渐提高了对内部控制系统的理解与重视,但实施阻力仍然存在。其中53%的受访者认为实施内控的阻力之一是缺乏与内控相关的信息系统。

　　据IDC预计,2007～2011年,国内风险管理解决方案市场将以22.4%的复合增长率快速增长。有业内人士表示,近2～3年内,国内市场将迎来一个需求大量增长的时期。

　　SAP中国区商务用户和技术平台事业部总经理张侠表示,合规和风险管控方面一直是SAP的重点努力方向。在2006年SAP收购了全球领先的Virsa系统公司。Virsa是一家在“萨班斯-奥克斯利”(Sarbanes-Oxley)领域处在绝对领先地位的软件公司,收购完成后SAP也推出了一个相关的产品——GRC(公司治理、风险管理与合规),参照中国的内控规范体系的相关要求,在位于上海的中国研究院的实验室为中国企业量身定做。

　　“GRC是真正意义上的企业性能管理的核心。我们要让客户能够充分地了解所有的风险和机会,这样才能做出非常良好的决策,这一直是SAP公司战略的重要组成部分。”SAP Business Objects首席财务官兼办公室绩效优化应用软件部全球副总裁 Frdric Laluyaux 强调,“我们实际上是要用SAP GRC的解决方案使客户能够真正在发展业务中具有自己的优势,这就说明客户不仅仅要实现合规,同时还要能够非常清楚地了解自己在公司运营方面的风险以及相应的机会。在了解了这些风险和机会的过程中,再来实现自己公司业务的成长。”同时他还进一步说明,有两个支柱是应该关注的,第一是数据的可用性,也就是说对于整个生态系统来说,如何使用各种已有的数据,而且如何使这些数据无论是按企业预置(On-Premise)、按需随选(On-Demand)和移动应用(On-Device)型的都能够很好地被企业各个部门所使用;第二个支柱是如何能够培养企业在运行这种应用方面的能力。企业要发展自己的业务,同时也要对自己的环境和风险有很好的控制,而不是说这个企业的业务像坐过山车一样上上下下有急剧的变化。“我们觉得所有的中国企业应该都能够奔着有控制之下的企业增长目的去发展,而SAP所提供的平台就是要使企业有控制的成长成为可能。”

　　Frdric Laluyaux为我们提出了一个“CFO3.0”的概念,他认为,“CFO1.0,是说那个时候的CFO只是对公司和企业内部的核心财务流程进行管理;CFO2.0则是让这个CFO更加接近于在战略和执行之间找到很好的平衡,同时可能也会涉及到一部分GRC的产品和解决方案的提供;而CFO3.0,则是让这个CFO在真正意义上成为企业CEO的战略型顾问。这样做就能够让公司更快地提高自己的性能和业绩,并且能够让公司迅速进入到一个新的机会领域。这是一个三步走的过程。”

　　SAP亚太及日本区商务用户和技术平台事业部副总裁Atul Patel认为,作为一个企业的CFO,不能只看到合规的问题,而更多的是要有一个全盘的视角来看待所有风险,甚至于政治方面的风险也必须考虑在内。只有以这样全面的视角看待所有的风险,才能把相关的风险控制与自己企业的运营系统联系在一起。这些运营系统不仅包括企业的人力资源系统,也包括各种相关的财务系统。

　　机会大于压力,意识高于技术

　　内控指引明确了各方的责任,对CFO来讲正好利用这个机会,完成以前很难推动的源头风险控制。但是企业整体对内控的认识与接受,往往都要经历从被动接受到主动运用的过程。这其中作为执行层的CFO,压力与契机并存。

　　作为SAP中国区商务用户和技术平台事业部总经理,张侠接触过多家大型企业CFO。对于在内控建设中CFO的压力与挑战,张侠认为,真正比较优秀的CFO会把这个看作是一个机遇,利用这个机遇可以把自己与财务有关的工作进行梳理,以做得更好。最好的CFO可能就是把整个合规和风险管控不光是看作一个需要遵循的事情,而是把它看作一个企业核心的竞争力,或者是一个商业机会。“管理风险本身就是对业务最好的管理,所以它可能变成一个核心竞争力,可以变成一个和别的企业形成差异性的东西。有远见的CFO从更广义的角度出发,会在这些事情上主动发挥一些主导的作用,而不是仅仅把这个机会当做是负担。”

　　Atul Patel向记者介绍,SAP现在有很多客户,在他们披露年报的过程中已经采用了“三重底线”的年报方式,就是除了要在年报中披露财务数据之外,同时还要披露一些相关的社会、经济以及环境等方面的因素,这样做可以让这个企业变得非常与众不同,因为在公司或者是企业的年报当中,有的时候并不要求对环境方面的因素也要加以披露,但是有些公司的确已经这样做了,这样做的好处是能够让与这个企业相关的各个方面,包括企业的投资方,或者是企业所处的社区、企业的员工,甚至企业的供应商都能够感觉到企业实际上是领先一步在做很多工作。

　　同样赞同“机会说”的杨小舟也强调,CFO应该借“内控规范体系”全面实施的东风,因地制宜,加强企业内部控制体系建设。

　　谷峰介绍,上汽从2007年开始启动了新一轮的内部控制体系建设,通过借鉴COSO的《内部控制整合框架》以及五部委的《企业内部控制基本规范》,内部控制体系建设日趋完善。应该说上汽为执行《企业内部控制基本规范》已经提前做好了准备,一方面加强制度建设,编制《内控手册》并持续完善,同时建立了长效的内部控制自我评估机制和监督检查机制。在风险管理方面,上汽主要借鉴了国务院国资委发布的《中央企业全面风险管理指引》,各职能部门在日常工作中持续开展风险信息收集、风险识别、风险评估以及风险应对等风险管理工作,并定期开展风险管理自查和检验,同时还由审计部门负责实施风险管理的监督评价。

　　同时,受访的专家和CFO普遍担心“内控规范体系”的实施有可能流于表面的问题。

　　“只重视业务流程和管理流程的设计,很可能本末倒置;只强调框架的研究,总体风险的把握,不注重制度的设计与实施,又会陷于空谈,执行力不强。所以企业不仅要加强内控体系的设计,也要时时评估内部体系的运行效率和效果,如发现重大缺陷和漏洞,应及时改正。”杨小舟特别提醒道,“注意风险的层次性也很重要。企业的风险可能来自于不同的层面:治理层面、战略层面、经营层面和操作层面,只有准确掌握风险形成的层面,才有可能设计出相应的、有效的内部控制机制和流程。”

　　“一个有效的手段是将内控的执行情况纳入考核体系。”谢安建议,控制措施必须融合进企业的实际运营工作中的制度、流程,使大家在日常工作中,按照正确的做法工作,就自然而然地遵行了内控的要求,避免实际运营与内控“两张皮”。

　　杨伟志谈到,“随着企业本身的发展,内控也要持续发展。不是一个项目、一个时点,而是长期的、持续的,也需要重新评估。根据企业外部发展环境的变化,进而改变企业内部控制关键点等,需要重新审核。”他认为,企业在执行内控时,尽管存在一定程度的技术性障碍,但通过培训或者外部专业机构的帮助都能克服。而意识层面的问题则是决定企业内控能够成功的关键。如果能充分认识到这个工作的价值,领导层的推动力就很强。任何人对于改变都有本能的抗拒,要克服这种心态,需要领导出来亲自组织。

　　季瑞华打了一个生动的比喻,“好比一个人做体检,如果为了得到一个好的结果就提前三天不喝酒、多吃青菜,那这样的结果也是自欺欺人。内部控制亦是如此,其关键不在技术,而在于人。”