2005年中国公司治理暨IT治理年会（G2峰会）-会议介绍-会议序言

首页

会议报道

原文

演讲主题：公司治理、 IT 治理与中国企业国际竞争力

演讲者： ITGov中国IT治理研究中心首席专家孙强

谢谢主持人。尊敬的王秉科副司长，尊敬的各位领导、嘉宾、女士们、先生们上午好。今天我其实是怀着非常激动的心情来组织本届年会的，因为自02年萨班斯法案颁布以后，我们在公司治理领域，在IT行业都看到了一些不太好的现象。为什么这样说呢？主要原因萨班斯法案的合法合规的执行过程是需要一个跨领域的复合型人才，因为经济管理的专家在IT领域没有足够的发言权导致了出现这种情况，但是今天的演讲我是希望从这样一张图开始。可能大家知道这个人是全世界最早到过北极的人。这个人就是600年前中国的郑和，七下西洋，率领数十万人的士兵，上十万艘的舰船，历经30多个国家，28年，创下了中国我认为自唐宋元明以来最辉煌的时期，章显了中国人民在组织管理和控制方面卓越的能力。而今天我们的企业在合法合规方面遇到了极大的挑战。这件事情不在于合法合规方面事情有多大困难，这个挑战的巨大我认为在过去的两年多时间里，我们接触到的中央企业的管理层，他们没有充分的认识到合法合规的价值。他仅仅是当做一个合法的项目来做，所以我今天想谈谈公司治理、IT治理与国际企业的竞争力，我们看看这个合法合规到底给我们会带来什么样的价值。

大概会谈到三个议题。第一个就是公司治理IT治理与国际竞争力的要义。第二是建立良好的公司治理和IT治理是提高中国企业国际竞争里的必由之路。第三是IT直隶与萨班斯法案的关系。

第一个话题里面简单看一下公司治理。我们说公司治理是使公司处于有效管理的一套制度。我们今天强调一下，这个定义在今天看来是有一定程度问题的。所有的治理，不管是政府治理、公司治理还是IT治理，今天我们看一定是一个过程而不是一套制度。所以其实我们在国内等同于看到的非常有效的观点就是他们把内部控制等同于控制制度。很多人在初次接触萨班斯法案的时候好象就是来做一个类似于9000一样的文档管理体系，这是一个非常有害的观点。这里我们要强调一下，这是一个过程，而不是一个制度或者是措施。

我们说信息时代的信息治理是以IT为支撑，协调物质资本所有者、人力资本所有者及债权人等厉害关系人关系的一个过程。

从公司治理和企业绩效之间的相关性上我们可以非常显著的看到。公司治理和企业的绩效呈现非常正相的关系。刚才我听了王司长的讲话，他在讲话中也提到关于中国证券市场的时政调查研究也表明中国的投资者愿意为公司治理好的企业付出相当高的议价。

我们简单看一下什么是IT治理，IT治理就是为了鼓励IT应用的期望行为而明确决策权属和责任承担的框架。如果出了问题就由相应的监管机构来问责。而不是简单的说你来负责这个事情，因为在中国所谓的集体领导但是出事以后是没有任何人负责的。而萨班斯法案是要求CEO和CFO负责的。

IT治理于企业绩效之间的相关性。同样表现出正向关系。在具有相同的公司战略，处于相同行业的企业具有出众的IT治理的企业要比治理低下的企业高出20％。所以我们说在过去的两年里我们和行业用户非常重要的强调IT治理可以帮助我们实现以价值为导向的管理。

现在我们可以总结一下，根据我们的研究，公司治理和IT治理在未来表现出一个什么样的趋势。IT治理在香港、台湾地区也翻译为公司管控。去年我们曾经做过一个中央企业的信息化的管理企业的项目。这就是一个IT治理的项目。那么这个项目做完以后我们发现一个问题，就是现有的组织架构里面没有一个相应的职位去负责管理控制这项工作。所以这个就迎合了我们伟大领袖毛主席教育我们“政治路线确定以后，干部就是最关键的因素”。就是公司所有各方都在公司治理和IT治理当中寻找最大的好处。现在很多的中国企业在进军国际市场，比如说中国的电信制造企业，那么他们一定要按照全球的最佳时间去建立他们的IT管理体系。这个就是因为这些利益相关者希望在这个上面寻找一个保障。

第二点我们会看到外部监管环境越来越要求提高透明度和强化信息披露。因为信息程度披露的高低就决定了中小投资者和我们的利益相关者，包括我们的员工能够在多大程度上保护自己的利益。所以这个是非常大的一个趋势。我们看到外部监管环境现在在提高透明度上只会越来越强调。而在过去不是这样的，内部的经营管理信息是作为很绝密的资料的，但是现在这些都要披露出来，只要影响投资者做出决定的信息都要表示出来。

第三点是在法规遵从上不存在折衷与妥协。在过去两年中我们看到很多的中国企业领导人拿萨班斯法案不当回事。在中国不是说法律现有情况下我要不折不扣的执行，所以其实我们自02年萨班斯法案颁布以来，已经有500起的或者是投案自首或者是被绳之以法的案件，可见萨班斯法案在西方国家里面的威力。

其实我想在法律法规的遵从或者是我们中国人的企业家的信托责任，以及我们后面会谈到的风险管理和内部控制。其实都是一个文化的问题。这个东西需要经过几代人的努力。把这种东西根植到我们的血液里面，我们才能有一个非常好的企业家的信托责任。有一个非常好的关于公司治理内部控制和企业风险管理的文化。

第四点我们讲治理风险管理和法规遵从是创造价值的前去因素和竞争优势的源泉，公司治理的质量在本身将成为分化的源泉。现在都在说中国银行被贱卖了，关于中国银行是否被贱卖了这一个很自相矛盾的观点。因为现在的中国银行在香港上市以后，因为不是有国际投资人入主中国银行的话，我们建行上市以后的价格能被追捧吗啊？这个就是说明由于在某种程度上改善了中国银行的风险管理，他拿到了应该得到了风险管理和公司治理的议价。因为我们在国内上市，我们事实上建设银行的股价并不可能定那么高，投资者不可能这么追捧。现在无非是看多国际投资人进来了，国际投资人进来以后意味着在风险管理和公司治理上会得到进一步提升，所以会得到更高的议价。下面我们讲董事会必须关注风险管理和公司治理。实际上现在在高管层根本不谈信息化的工作，或者我们说是信息华是一把手的工程，从这里我们可以看到，这个是董事会和高管层的职责，如果你不这么做，外部监管机构要来问责的。我刚才已经讲到了，自02年以来美国已经有500起这样的案件，所涉及的人都被送到了监狱里，而不是你重视不重视信息化建设的问题。在IT治理的架构和董事会的职责会越来越突显。所以我们现在在IT领域我们看到的最大趋势就是要求IT管理的人员成为控制的专家。

下面我们讲风险管理是必不可少的。中国银监会最后提的关于风险管理的指引里面提到要有效的防范风险。我在这里建议以下他们改成风险管理，因为越是风险高的地方越意味着机会，为什么我们国外的竞争对手在产品和服务的创新速度上比我们快？原因就在于他们有一个非常好的风险管理系统。这就像我们汽车的刹车系统一样，如果没有刹车系统你不敢按照200迈的速度跑。

再下来我们会看到一个趋势就是要定义包括IT在内的审批步骤。也就是现在像银行和电信业关于财务的审计，鉴于银行和电信业系统的复杂性都不得不进行信息系统的审计。

第二个主题我们看一下建立良好的公司治理和IT治理是提高中国企业国际竞争力的必由之路。我们一般意义上讲企业最终的竞争力取决于三个因素。第一个是成本的优势，第二个是产品优势，第三个是品牌的优势。但是我们在这里要强调的，其实这三个因素还有一个前提条件，就是我们一定要有好的公司治理结构。为什么这样说呢？我们看第一点我们讲公司治理和IT治理是中国企业国际竞争力的基本要素，也是中国企业基业常青的制度基础。我们从亚洲金融危机就可以看出来，在亚洲金融危机之后能够幸存下来的公司，无一不是公司治理好的公司。刚才王司长也说了，凡是公司治理好的公司，他的业绩一定好。

第二点我们讲良好的公司治理和IT治理是企业树立市场形象的需要。因为中国的企业如果能够去海外的资本市场上市。尤其去美国的资本市场上市，接受其严格的监管，这对于中国企业来说是一个非常好的荣誉。可是今年以来，中国的国有企业都没有选择去美国上市，中国最大的上海电器集团、神华能源等等都是在香港上市，而不是在美国。原因何在？肯定和萨班斯法案有关系。第一合资成本非常高，第二有潜在的法律风险，第三一般来说中国过期不熟悉国际会计准则，不熟悉国际投资人对透明披露的要求。为什么类似于盛大这样的公司可以去美国上市，因为他们的高管人员是受国际资本支持的，他们非常熟悉美国的这一套，所以他们可以去美国上市。

第三点我们讲全球一体化的竞争在很大程度上就是公司治理的竞争。由于我们公司治理结构和风险感觉方面的原因。国际投资人不愿意给我们定一个很高的价钱。那么我们的产品和服务的竞争就谈不上。首先在融资上你就先输了一步棋。所以在这个角度上来说，我们特别强调国际竞争在很大程度上就是公司治理和IT治理的竞争。总之如果我们的企业能够获得公司治理的议价，能够获得风险的议价。他们可以创造出很多的股东价值。

总结一下我们强烈的呼吁，中国的企业必须加快公司治理觉醒的过程。我们看到尽管风险管理、公司治理从中央领导到各级企业领导天天在讲。但是银行业的案件是层出不穷。

第二点我们强调公司治理涉及到的领域非常广泛。所以大家会看到我们在这里提倡的是六方论坛。其实是两个六方，第一个六方我们强调是从政府到企业到行业组织到个体等等，这样六方要参与进来。第二个六方我们强调包括CEO、CFO、CMO等等这样六个C必须参与进来。这个不是靠单方努力可以做到的，只有这样我们才能做到好的公司治理的文化。

接下来我们看一下公司治理与萨班斯法案。合法合规对于我们来说就像盲人摸象一样，不同的部门对萨班斯法案都有不同的认识。原因在什么地方呢？原因就在于这是一个新的挑战，然后我们认识的水平不能统一的原因就是思维的方式没有转变过来。我们看一下这张图，我们一定要注意现在我们所期望的IT职能在思维方式上发生了很大的转变。在90年代我们搞信息化的期望就是能够给我们带来好的成本效益和带来好的效益。在90年代的时候，IT已经扮演了一个非常重要的角色，他可以提高我们的价值，可以提高我们的营业收入，可以支持我们的决策。现在的IT是至关重要，是像空气一样我们根本离不开的。它影响到我们的组织前提，只要是影响到组织前提的东西我们一定要从各个层面看待它。所以我们今天在银行和电信业，我想他们还在谈论IT怎么样去支持决策，怎么样去创造价值，他们的思维方式没有意识到关于IT，以及关于外部监管环境的要求和看法。现在IT已经要我们进行非常有效的风险管理的时代了。

我们看一下全球调查报告。在12个月的过程中信息管理遇到的问题都是与成本有关的。但是我们看一下在未来的12月里面，就是全球的CEO和CIO希望通过治理框架解决的问题，我们发现60％和56％的都是用蓝色表示的，这个蓝色表示的就是风险。是全球的CEO和CIO在过去的12月里面出现最多的问题，但是在未来的12月里面并没有打算前去解决那些问题。他先要解决的就是先在这个蓝色的图表中的与风险之与合法合规有关的问题。

IT治理关注的方面第一个是战略整合。也就是IT战略和业务战略的一致性。现在很多的企业只跟你讲在业务和战略层面IT的一致性。他们并没有讲到在治理层面IT与业务的一致性，这是一个非常有害的观点。如果我们在治理方面没有保证IT服务标准的话，战略和公司治理很难一致的。那么根据调查，有49％的被调查者在考虑实施或者是已经实施了。

第二个就是价值交付。就是我们希望通过我们的业务流程去交付IT的价值，有39％的调查者正在考虑或者是已经实施了。

第三个是资源管理。我们看到有50％的被调查者考虑即将实施或者是正在实施这样的内容。

第四个就是风险管理。这个我们强调的就是现在我们很多的企业没有风险评估的框架，如果没有这个框架就可能导致风险评估的不一致性。我们所有的工作都要基于风险，也就是要让风险进入我们所有的日常业务流程中去。有34％的调查者正在实施风险管理。绩效的衡量是从资源交付、价值管理、还有风险管理等都要进行绩效评价，这种评价已经超过了传统的会计核算。有34％的调查者正在考虑实施这个。

我们看一下IT治理的角色与责任。萨班斯法案也是认为控制体系的有效性取决于控制环境和IT控制的有效性。所以其实萨班斯法案是第一次用法律法规的形式来强调IT控制的重要性。这就使得对IT的角色和职责就成为董事会和高管层不是重视不重视的问题，而是法律要问责的问题。但是董事会和高管层到底关心哪些话题？这个还需要我们的IT部门。因为董事会我们相信高管层确实是不懂这个，他不懂就不可能知道这个事情有多重要。所以我们必须详细的把董事会和高管层应该关心的议题列在这里，就是希望我们在座的人可以为董事会准备好这样的菜单，让他来点菜。

为什么恰恰是在现在这个时间要倡导IT治理。为什么不是在90年代而是在我们今天这个时刻强调IT治理呢？主要原因还是因为萨班斯法案以及外部的合法合规在加速出台的一系列要求。所以我们反复讲这个IT控制已经变成了一个非常重大的挑战，对于萨班斯法案来说主要是404条款，这个条款对于外国企业来说也是把他们搞糊涂了。这个问题难在哪呢？比如说做控制的测试，这个对做控制测试的人员要求是非常高的，他必须要懂得宏观，还要懂IT，还要懂本行业的业务，还要熟悉审计流程，还要对财务有感知，这样的人才上哪里找去？所以这个流程是非常困难的。我们现在都是在请外国的咨询公司，主要就是因为我们缺人。所以我们稍候会发布IT治理的人才培养计划，原因就是我们希望加快中国急缺的人才培养过程。总之这个合法合规会给我们带来竞争的优势。

在这里我要详细讲一下，就是合法合规可以给我们带来竞争优势。但是我们国内企业看到的一个问题，就是希望把这个合法合规给强加上一些其他的目标在里面。也就是说他希望做了这个项目以后，是不是可以把所有的业务流程都梳理或，所有的文档都健全了。事实上萨班斯的项目只是针对财务报告过程的。我认为对这个项目的多目标的策略是非常有害的。他自身会带来一些价值，这个是我们一定会得到的。自身带来不了的价值，你非要在一个项目里面合并进去是非常有害的。但是这里我们讲到另外一个事情，就是管理控制的框架到底可以给我们带来什么？我们现在国内普遍存在的就是IT部门和业务部门之间的矛盾比较尖锐。IT部门开发出来的系统总是跟不上业务部门的需求，原因何在呢？为什么我们提供的信息总是满足不了业务部门的需求呢？我认为那些企业里面找的原因就是因为他们还没有采用足够的先进的技术和设备。我的看法就是我们缺少一个管理控制体系。这样导致我们即使是做了一次小小的变更，结果发现业务部门不满意。也就是说这张图上表达的就是我们所提供的和业务部门所得到的不匹配，所以他们才不满意。

最后一个是符合萨班斯法案的路线图。这个在我们所辅导和咨询过的企业，他们肯定和这张路线图不完全一样，但是基本上还是按照这个做的。最后总结一下我们的观点，第一点我们说合法合规是需要长期的化的方法来实现的工作。第二点我们现在要非常清楚，就是这些规则的制订者还有资本市场一定会坚持这些要求。为什么？自萨班斯法案实施以来，美国的公司治理已经升到了全球的最高水平。要知道在萨班斯法案之前，美国的公司治理水平一直是排在英国后面的。现在萨班斯法案带来这么大的好处，他们一定会坚持的。所以对我们而言不合规就会带来巨大的代价。第三点就是公司治理、IT治理、内部控制等最根本的成功要素取决于这个公司的价值观和企业文化。这也就是为什么同样的治理方式和模型不能拷贝、移植的原因。

因为我们意识到这个是文化，但是一定要以实践为出发点。如果每个企业都可以制订这样一种控制的流程，那么最终达成合法合规以后，将给我们的企业带来长久的收益。中国的企业都是非常庞大的，现在基本上对于二级或者是三级子公司的管控是非常弱的。

最后一点我们讲一旦中国企业形成了与企业文化相适应的良好的治理结构。