2005年中国公司治理暨IT治理年会（G2峰会）-会议介绍-会议序言

首页

会议报道

原文

演讲主题：公司治理： IT 的新使命

演讲者： Oracle 亚太区高级总监 Patrick Lim

尊敬的各位领导、各位嘉宾、女士们、先生们大家早上好。首先我自我介绍一下，我是来自甲骨文亚太区的 Patrick Lim ，在甲骨文这里，我是探讨一下不同的公司怎么样更好的应用我们公司的产品和软件帮助他们达到公司的治理。

今天我想和大家分享的就是在这样一个波涛汹涌的环境下，我们怎么样应用 IT 来达到我们 IT 治理的使命。像刚才孙强先生做的介绍和研究，其实加强了我们在这方面的信心。也就是说我们更强烈的认识到应用 IT 将能帮助公司达到更好的绩效管理还有合规、监控。这里合规的挑战性有几方面，首先就是公司的治理已经失去了公众的信心。投资者对公司发表的财务报告非常没有信心。经过几次的经济丑闻以后，他们都觉得公司的目标就是要牟利。董事会希望他们的股价越来越高，然后他们卖掉股份换来财富。

再就是有更多的合规要求的产生。我们看到在过去的几年里面有不同的合规产生。有了这些新的条规就会面对新的挑战。再就是流程系统的重复和复查。随着公司导入越来越多的系统，我们发现在不同的系统上都有重复的过程，怎么样一体化呢？其实这是一个很重要的问题。如果公司把这些东西一体化的话，相对他们的问题也就减少了。你不需要面对 10 个不同的流程来做监控。如果你的系统一体化？你只需要面对一个问题而不是十个问题。

下面就是信息孤岛。在这方面我们发现资料都散布在公司不同的角落里面。有一些是文档，有一些是文件的。

再下面就是导致了我们高额的成本。在这里 FEI 做了一个调查，是关于 404 条规的。在这里我们可以看到平均公司的费用都是逐渐的增长。随着他们知道他们要做的合规越来越广泛的时候，相对的他们所投入的资金也相对的增加。这里非常显著的就是比较大的公司，比如说超过 50 亿美元的公司，可以看到他们在这里花的成本上是非常高的，而且是逐步的增加。因为我们知道在 IT 治理上，并不是一个项目，而是一个流程。

在这里我们看得到美国大型公司的合规成本是为 510 万美元。然后持续合规的成本是 370 万美元。可能在中国这里没有达到这么高的成本。但是我个人认为，逐渐的公司在这方面的投资和在这方面的费用相对的也是会有所增加。

下面我们看到人力上面花的时间，从 4 月份的时间花了大概 15000 个小时的时间，到 7 月份的时候达到 35704 小时。今天大家在这里花的时间来参与这个讨论会的时候，其实你的时间就加在这个调研里面。所以如果做一个新的调研的话，大家的时间也会包含在里面。所以我们可以看到我们的人力和财力花的越来越多，而且也是越来越贵。而且审计的费用也增加了 50 ％，因为会计师事务所需要做不同的调查和报告。

如果我们有一个非常统一的流程和报告的话我们的复杂性就会减少。这样我们的合规成本就会相对的也会减少。如果我们的信息是孤岛或者是不一致的流程，将会造成我们的成本非常高，需要我们多方面的考虑，需要不同的配合，需要不同部门的参与。如果是这样相对你的成本就会增加。所以持续合规所需要的持续管理是非常需要的。

那么对业务方面有什么样的影响呢？在业务方面你需要对你的业务流程做出不同的风险评估。再就是你所参与的会议和讨论计入管理是非常重要的。因为萨班斯法规讲的是证据，你必须证明你在什么时候开了什么会把我们的风险降低了，这些都需要很好的记录。有了好的记录但是你没有好的沟通和培训还是达不到的，因为在这里人是最重要的资源。他们需要有很好的能力，还有他们要有好的知识。而且你需要把你所做出的决策很好的和下面沟通，这样大家才能朝共同的目标努力。

最后就是数据的安全和私密。这点是非常重要的，因为全部的资料都在你的数据上，我们需要辨认到底有谁可以看到这些资料。这点在 IT 治理上扮演着非常重要的角色。还有我想知道到底有谁看了这些资料要有记录，这样我才能监控。还有我到底知道不知道他们是通过什么样的方法来看这些资料的。

刚才我们讲了合规需要我们做这么多东西，但是合规有价值吗？这是一个由 IDC 所做的报表，他是根据 79 个公司的调研发现有价值的意见是占 50 ％。有一部分公司认为，因为合规提高的效率比成本会高出很多，还有一部分公司认为成本是高过合规所能提供的价值。我们发现在右首边的公司都是有比较好的公司治理，还有比较好的 IT 设备。他们觉得应用了一个比较好的治理和好的系统，他们可以达到效率。但是在这里同样我们都要出钱处理，但是怎么样把一个费用变成资产呢？在这里应用一个有效的 IT 是非常重要的。

在合规性这里，他的方向已经逐渐改变了，以前我们是应用一个侦查看到底哪出了问题，但是我们发现侦查并不如预防有效。如果在事前你可以预防，你就不用侦查了。还有在人工的方面我们可以做成自动化，因为有太多的信息用人工的方法是达不到有效性。还有就是以前的资料是非常分散的，以前在不同的国家和地区都可以保留自己的报告，在有需要的时候才呈报上去。但是现在已经改变了，在合规性方面我们是需要一个集成，需要集中在一个地方，只要任何时候我们想知道就可以报上去。还有一个就是本地化，就是本地定出的规则就可以实施他们的流程。不过现在我们可以看到，就算在一个遥远偏僻的地方对公司的影响也是非常大的。就比如说当年英国当年的巴林银行，他们是一个历史非常悠久的国家。但是因为一个员工在新加坡做出了一个不符合规则的决策，最终导致了巴林银行的崩溃。所以我们可以看到任何一个下属的机构都可能造成你莫大的影响。

IT 如何发挥有效的作用呢？在整个 IT 治理的流程上我们首先会开始的就是要有很好的记录，也就是我们需要记录我们的流程，我们需要很好的记录我们的政策还有风险的评估。最后还有这些风险评估应用哪些控制来减少。再有就是促进执行，我们有了这样好的游戏规则以后我们还需要培训，告诉他我们的条规和策略是怎么样的。

再来就是业务的规范我们也要执行，还有就是审批和数据的安全性。所以在这里我们需要促进在这几方面执行是非常有效的。下面就是执行以后你要看到成果，也就是你的报告。报告里面你要知道我到底有没有达到法规的要求，我的财富要求在这几方面有没有达到呢？再有就是经营的要求，我要知道在哪一个阶段和流程到底发生了什么事，到底合规不合规。还有就是到底有没有达到我的战略要求。所以我们从这四方面来看，到底 IT 扮演着一个什么样的角色。首先在记录流程文档方面，我们需要有一个可记录的文库，库中存在你的电子文件、语音邮件还有你的即时消息。现在很多的机构都是从一个流程文档的记录上开始的，然后在这里就要保持有自动化记录，知道是持续的合规。这样当你需要任何资料的时候，你还要有一个自动搜索，让你把想要的资料自动搜索出来。还有就是你的风险库里面应该有不同的流程记录，记录下你的风险和控制到底是什么样的流程和应用。

还有你要通过工作流和调研系统实现对合规机构的调研认证。再来就是你需要集中管理你的审计项目，朝向一个共同服务的形式发展。当你把东西集中的时候，你要做一个控制的话将会比较容易。

这样在企业内容的管理上，我们可以针对内部和外部。内部是有我们的制造工程和其他部门。外部就是供应商、客户还有合作伙伴。我们要提供给他们一个网络应用的软件。可以让他拿到他所需要的资料，就是公司的信息、公司的监控、公司的流程之类的。

还有就是你应该把你的流程文档自动化。在这里你可以把一个流程拆成不同的子流程，然后子流程里面又可以定下不同的条规。这样在任何时候，他们对于某种流程和监控有不明白的话，他们一进入这个系统他们就可以自己学习和查证到底合规不合规。

还有你需要理顺你的风险管理。运用一个很好的软件管理来帮助你做业绩管理。还需要你跟踪合规的状况，你还要记录任何的变更，这都是要由系统帮助你做的。还有就是需要系统帮助你做一个认证的结果。这些资料可以由内部和外部共用。外部就是所谓的审计司，他们可以用这样的资料来减少他们的工作，而从中减少他们所需要的审计费。所以你要控制你的审计费是可以应用这样的 IT 帮助你达到的。

再有就是你应该把你不同的业务单位全部集中在一个系统里面，让你的系统可以做不同的流程认证。这样可以减少 CEO 和 CFO 的顾虑，因为他们的工作是需要下面帮他提供一个信息，所以有了这样的一个机构流程的认证，会帮助他们减轻工作，同时达到更有效的管理方式。

同样的在整个 IT 治理过程当中，审计扮演一个非常重要的角色。就是我们要知道我们内地做的审计范围到底有哪些，他的流程又包括什么。当我们发现问题以后我们补救的流程有哪些。所以你要有一个有效的系统帮助你自动化完成这个过程，相对你的工作量就会减少。

在执行方面，这个执行是一个需要强化跨组织的责任。他需要可以将政策和流程制度化，还有要鼓励合规的行为。另外还需要组织加强和学习，还有内部自控的管理。这样就是需要通过一个工作流将技术审批自动化，在这个流程上监控活动。

其实这些都是由人来执行的，所以在这里我们需要提供一个课程确保他有准确的落实。还有需要一个测试，来保证他们的学习是有效的。就好象我们经过了任何学习以后都要经过一个考试，来验证我们是否已经明白了。所以通过这样的一个自动化的过程来帮助公司增加自己本身在公司治理方面的信心。

还有就是在自动控制上实现你的控制。现在很多的公司都上了 ERP 系统了，应用一个 ERP 的软件，把你的控制放到里面去。就是你的检查是过去式的，而你的控制是更好的。所以你能够把你这样一个保护层放到前线的话，在做任何决策之前就已经有这样的预防的话，那么后面的问题就会减少了。

还有就是做完整个执行以后就需要你出一个报告。这个报告就是将财务的结果，业务绩效和控制状况集成到一起。还有就是保证在签署财务报告的时候很明确。

我们讲的是一个非常大的一个过程，然后你有不同的附属公司，你需要将他们的财务报表汇总起来，这样你需要有一个很好的财务结果。再来就是需要可以把风险控制以一个简单的图表呈现出来。研究发现人的大脑对图象的接受能力会比文字有效。所以也就是需要有一个完整的展现。

剩下的就是财务报表的认证，你需要把你的会计认证和流程，还有你的测试、审计管理融合在一起。因为最终你所做的认证是从你的财务报告上面做的。所以在这里我们可以看到有不同的报表展现。在这里应用任何一个 IT 他想看的资料都可以看到。所以这里可以大大的降低工作量。

最后也就是监控。我们需要一个持续的监控应用系统来监控他有任何的改变。 404 条规就是要他们保证在过去的三个月或者是十二个月里不管你的监控系统有没有改变，都不会影响你的财务报告。所以在这里你需要有职责上控制，因为一个自动化的审批流程可以帮助你建筑规则，还有事件的预发通知。我们有太多的事情要做了，所以运用一个 IT ，如果事情没有发生任何事情的话就继续下去，但是如果有事情发生，我必须第一时间知道，之后做出调整。所以这样一个流程可以帮助一个公司大大加强风险管理。

我们需要的是一个可以跨系统的监控，因为任何 IT 系统都需要有一个功能去监视到底哪些是符合标准或者是不符合标准的。当然职责的分离控制也是非常重要的。因为你不想有任何一个员工把客户的名字放进去。

最后我们甲骨文在法规治理上我们是有一套非常完整的从数据管理的，从身份认证，到企业业务流程管理，风险管理，学习管理，最终达到你的绩效管理报告，我们都有这样的架构。

所以总结来讲 IT 在公司治理中的作用最主要是要提高效率、减少成本，还有把它从费用的概念变成投资的资产上。加强控制来增强财务管理，还有就是提供最好的方案。最后就是提供最好的可视性，这样投资者对你的报告将会有比较高的信心。当投资者有信心的话，相对你的公司的价值就增加了。谢谢大家。