IT治理:全球风险时代以不变应万变之道
访ITGov(中国)IT治理研究中心首席专家孙强先生
2005年12月16日,由ITGov(中国)IT治理研究中心主办的“2005年中国公司治理暨IT治理年会”(以下简称G2峰会)在北京长城饭店隆重举办。这是在国内举办的首个以“全面风险管理与IT治理”为主题的大型国际研讨会议,围绕“公司治理与IT治理、萨班斯(SOX)法案、IT控制”三个核心议题,面向”六方”(CEO、CFO、CIO、COO、CKO、CMO),广泛、深入地探讨和推广“三个结合”:即公司治理与IT治理相结合,全面风险管理与IT治理相结合以及”六方”(CEO、CFO、CIO、COO、CKO、CMO,简称”六方”)相结合的理念、技术与最佳实践。ITGov(中国)IT治理研究中心希望以此作为应对全球风险时代的良策。
本届年会在众多上市公司以及准备上市的公司中引起了强大的反响。从2002年《萨班斯-奥克斯利法案》出台以来,全球企业进入全面风险管理和公司治理时代。世界各国纷纷出台类似的方案,加强公司治理和内部控制规范,加大信息披露的要求,加强企业全面风险能力。胡锦涛同志在十六届三中全会以及《中共中央关于“十一五规划”建议》中都提出在未来的5年中,完善公司治理和内部,提高风险管理能力是完善社会主义市场机制的主要工作。目前我们处于信息时代,公司治理、内部控制机制以及风险管理等都受到了来自信息技术(IT)的严峻挑战,信息技术已成为关系到企业可持续高效发展的重要举措,如何在合法合规的时代、风险管理的时代,发挥信息技术优势完善公司治理和内部控制,提高披露程度和水平,有效管理包括IT在内的风险,是时代赋予管理者、IT人员的新使命。为什么此时把公司治理与IT治理结合在一起,为什么提倡全面风险管理与IT治理相结合,为什么这一领域具有如此重要的意义呢?记者就此采访了国内最早倡导IT治理和IT控制的专家、ITGov(中国)IT治理研究中心孙强主任。
记者:孙主任,早就知道您是IT治理专家,但不知道为什么您现在又关注公司治理并主办这次G2峰会呢?
孙强:是的,我们从2000年开始探讨信息化建设中深层次的机制问题,2002年开始研究IT治理问题,从研究的开始,我们就一直关注公司治理,研究信息时代公司治理发展的新趋势和新挑战。IT治理在完善信息时代的公司治理机制,解决公司治理的核心问题——信息不对称难题中应肩负的任务,IT治理在形成企业核心竞争力和风险管理中的价值、定位和作用。因此,可以说我们研究IT治理的同时就在关注公司治理。
2002年的萨班斯法案出台后,各国都在出台相应的法律法规来规范公司治理,考虑到目前的信息化程度和信息化管理控制水平,全球都开始将眼光放在在这个信息化背景下,如何构建完善的公司治理机制和内部控制体系。因此只考虑公司治理或只考虑IT治理都不能够应对外部监管日趋严格的合法合规的挑战,所以我们在本届年会上倡导 “三个结合”:即公司治理与IT治理相结合,全面风险管理与IT治理相结合以及”六方”(CEO、CFO、CIO、COO、CKO、CMO,简称”六方”)相结合的理念、技术与最佳实践。以此将公司治理和合法合规问题引向深入。这也是我们举办这次会议的初衷,公司治理IT治理,这两个治理,其英文单词Governance,所以我们又将本届年会简称位为G2峰会。同期,我们还发布成立了针对“三个结合”的长效交流机制——G2论坛。
记者:我们都知道完善公司治理的重要意义,那么,为什么这次会议倡导“公司治理与IT治理”相结合?
孙强:信息时代的公司治理是以IT为支撑,协调物质资本所有者、人力资本所有者以及债权人等利害关系人关系的一个过程。
公司治理的效率、效果直接依赖于许多的制度要素。这既包括审计和信息披露的质量,也包括法律系统对契约的监督以及对外部投资者的保护能力等。例如,在逆向选择的框架下,我们可以看到:一个更好的会计标准和更及时的信息披露要求将大大减轻经理人与外部投资者之间的信息不对称,从而便利了融资,降低了代理风险。因此,公司治理的核心问题是信息不对称性或不完全性,解决公司治理问题,最核心的是公司信息的真实、准确以及处理与传递的效率问题,而IT技术在实现透明度原则和体现监控力度上正日益成为有效的工具。因此,IT治理应该成为一个公司治理的工具。
当前,由于许多在美上市企业的核心业务都依赖IT系统。有鉴于此,2002年美国颁布的《萨班斯法案》对公众公司提出了更高的要求,公司应定期评价其信息系统及其内部控制的充分性来保证提供给投资者信息的准确和完整,强调公司管理层建立和维护内部控制(尤其是IT控制)及相应控制程序充分有效的责任。因此,研究IT治理,加强IT控制,降低风险,有效地实现公司治理,成为我们高度关注的命题。
我们认为,未来公司治理和IT治理对企业的影响一定是革命性的,并且这种影响直接关系到中国企业的国际竞争力。
记者:那么,为什么这次会议倡导“全面风险管理与IT治理”相结合?
孙强:我们认为在全球风险的时代,所有的企业,不论其规模、结构、性质或产业是什么,良好的治理和风险管理都将是必不可少的。事实上,现在回头看二十世纪九十年代的亚洲金融危机和今年的中航油等一系列事件,都昭示我们有效的治理和风险管理应成为企业议事日程中最重要和最迫切的任务。同时,风险也不意味着都是“坏事”,风险有可能预示着新的战略竞争机会。因此,有效的风险管理和机会管理将成为竞争优势的源泉。
与此同时,我们还注意到随着IT重要性的增加和普遍应用,IT将被整合到所有的生产过程与经营管理体系中去。所以,IT的风险亦将显著影响到组织的战略执行及目标的实现。在这种情况下,将全面风险管理与IT治理整合起来推动,就成为必然的选择。最终,一旦中国企业形成了与企业文化相适应的良好治理结构,这就是我们企业的国际核心竞争力。
目前,国资委正准备出台“全面风险管理指导纲要”。我们也希望借此呼吁一下,在“全面风险管理指导纲要”中要加强对IT风险的管理。
记者:请您再谈一下”六方”相结合的含义?
孙强:我们倡导”六方”相结合,这里的”六方”有两层含意。从企业层面来讲,合规不是某一个部门的工作,必须领导重视,全员参与,具体体现在CXO这”六方”上,即CEO、CFO、CIO、CRO、CKO、COO。我们倡导这”六方”打破原有职责范围局限,携手参与到公司治理、合法合规等实践中来,共同肩负起内部控制的责任,最终形成“内部控制人人有责”的企业文化。
从宏观层面上来讲,建立现代企业制度,也依赖于与企业休戚相关的宏观环境,因此此次会议有政府、媒体、企业、学研机构、社团组织和个体这”六方”参与,共同推进这项工作。本届年会在国内首次就合法合规为这”六方”提供了互动对话和携手面对挑战的资源平台,因此本届年会又称为”六方”论坛。
记者:您认为国际竞争很大程度上是公司治理和IT治理的竞争,为什么?
孙强:我们之所以得出这样的看法原因在于:一、公司治理和IT治理是中国企业国际竞争力的基本要素,也是中国企业“基业常青”的制度基础。二、良好的公司治理和IT治理是企业树立市场形象的需要;三、没有完善的公司治理,国内企业首先在利用国际市场筹集资金方面就输给自己的竞争对手,产品市场的竞争必将更加困难。因此,不进行治理实践改革的公司在想获得资本已加速发展时,将发现自己处于竞争劣势。
但是,我们也看到目前企业内外环境都发生极大变化。企业管理信息化,信息技术与信息系统对企业组织形态、治理结构、管理机制、运作流程和商业模式的影响日益深化,原有的治理控制机制已经不适应,公司治理面临新的挑战。
在这种信息时代的大环境下,治理是组织管理机制和运行机制的发挥过程,在信息时代IT在企业中已从企业管理的辅助手段、解决管理问题的工具上升到影响企业全局的角色,因此IT治理应该成为一个公司治理的工具。目前,在公司治理、风险管理问题上,仍停留在非信息化时代,新风险层出不穷,风险加大,影响企业进一步的发展。所以,实现管理控制的可持续发展,必须研究、实现IT治理。现在,所有这些研究都还只是开始,我们认为下一步国内外的研究方向将是IT究竟在公司内部控制、公司治理和风险管理中如何发挥作用。所以我们这次会议的一个创新就是将IT治理与风险管理结合起来。我们认为,面对风险和不同的法规要求,以不变应万变的方案就是建立健全公司治理、IT治理机制,这是一套可以不断自我完善、自我提高的机制。
记者:企业完善公司治理、IT治理机制是一个比较复杂的工作,不是一蹴而就的事,您认为这项工作关键是什么?
孙强:面对日趋严格的外部监管环境和全球一体化的市场竞争,管理层在符合外部监管环境的要求和整合IT管控体系上遇到了极大的挑战。为迎接这一挑战,全球已经形成了一个公司治理与IT治理的改革运动。目前很多企业对完善公司治理、内部控制、IT治理等工作有一个错误认识,以为请咨询公司构建一套体系就可以发挥作用了,事实上,无论多么完美的体系最终是否有效取决于企业风险和管理文化。我们不是有上市公司请国际著名公司构建风险管理体系,该体系很完美,还受到相关机构的好评,但最后还是出现严重问题,导致上亿元的损失。我们认为公司治理、IT治理不仅是董事会关注的问题,它涉及企业各层面、各职能部门的每一个人,所有人员都在治理机制中发挥着应有的作用。所以这就需要在公司上下树立一种文化,更重要的是需要大力加强人才的培养。我们推出的“IT治理人才培养计划”和“IT治理智库”系列丛书,就是为了培养IT管理与控制领域的专才,帮助组织确保IT战略的一致性,有效管控IT相关风险,高效利用信息资源,从而实现组织的业务战略目标。
这套丛书共有近30册,已经出版的有《信息系统审计:安全、风险管理与控制》、《IT服务管理:概念、理解与实施》、《信息安全管理:全球最佳实务与实施指南》、《信息化绩效评价》、《IT领导力》、《IT服务管理:基于ITIL的全球最佳实践》、《超越COSO:加强公司治理的内部控制》、《控制自我评估:以协调为基础的咨询指南》、《咨询的核心概念:面向管理者和会计师》、《管理审计职能公司:审计部门程序指南(第3 版)》、《审计信息系统(第2 版)》、《布林克现代内部审计学(第6 版)》,即将出版的有:《IT服务管理:中国的最佳实践》、《IT服务管理与通用词汇表手册》、《IT治理:引领中国信息化的可持续发展之路》、《后萨班斯时代的IT控制体系》、《IT服务管理体系建制:BS15000理解与实施》,以及即将从VHP出版集团引进并翻译出版的图书:《IT Governance:A Pocket Guide Based on Cobit》、《IT Service CMM:A Pocket Guide》、《Project Management : An introduction Based on Prince2》、《BS 15000:A Pocket Guide》、《BS 7799:A Pocket Guide》、《Six Sigma and IT Management》、《Implementing Service&Support Management Processes:A Practical Guide》、《Foundations of IT Service Management Based on ITIL 》、《ASL:A Framework for Application Management》、《Metrics in IT Service Organizations》、《IT Service Management from hell:A Guide to worst practices》、《Risk Management: A Pocket Guide》、《Programme Management: A Pocket Guide》、《IT Services Management: A Pocket Guide》、《ISO27001(BS7799): A Pocket Guide》等。
“IT治理人才培养计划”是通过标准课程和多种办学形式提供基于全球最佳实务的IT治理类课程。紧跟行业最新发展,培养更多信息化时代的管理人才, 同时提供全球标准的认证,更多的企业客户将通过该项与全球同步开展计划获益。
记者:您怎么看待萨班斯法案?
孙强:萨班斯法案主要是针对公司治理、内部控制、会计披露、审计等进行了一系列重大改革的法案。该法案引发了全球公司治理与风险管理翻天覆地的变化。自从通过萨班斯法案以来定罪和服罪案件超过500起。世界各国都在陆续出台类似于萨班斯法案的法律法规,中国政府和监管机构也高度重视对上市公司的监管工作,相继颁布了一系列的法律和法规。香港联交所也在出台类似于萨班斯法案的法律法规。符合萨班斯法案的核心是404条款,而404遵循中重点和难点是IT管理控制体系的有效性。所以说善治的IT治理就成为关键性议题。另外,既然世界各地都在出台类似于萨班斯法案的法律法规,而很多中国企业也是同时在多地上市,寻找以不变应万变之道就成为必然的选择。这条道路,我认为就是要探讨和推广“三个结合”:即公司治理与IT治理相结合,全面风险管理与IT治理相结合以及”六方”(CEO、CFO、CIO、COO、CKO、CMO)相结合的理念、技术与最佳实践。
记者:萨班斯法案对中国企业在美上市有那些具体的影响?
孙强:近三年来,中国公司正纷纷成为全球资本市场的真正重要的参与者。并且,在可以预见的将来,中国企业上市的速度只可能更快。随着更多新的部门的改制和重组,国有企业的IPO浪潮将接踵而至。下一波似乎是金融服务业、能源业,特别是汽车制造业,也可能还有传媒业。目前银行业尤其活跃。
当中国企业越过国界,成长为复杂的国际性的企业时,我们希望通过资本市场的机制帮助中国企业打造发展的轨道。但是,萨班斯法案对在外部监管环境不够完善并且正在转型时期的中国企业而言,无论是已经在美上市和计划去海外上市的中国企业都将产生极为深远的影响,现在,这种影响刚刚浮现“冰山的一角”,更为深远的影响尚待观察。
就目前而言,我们可以分两种情况来看一下这种影响。
第一种情况是已经在美国上市的中国企业而言,这种影响具体表现在三个方面:
公司治理方面:在董事会建立审计委员会,要求定期更换外部审计师,管理层要对财务报告加强检查。
内部控制方面:高官层对内部控制有效性负责,并定期出具内部控制审核评价报告。外部审计师要审计高官层对内部控制的评价和声明。
审计方面:审计师不仅要审计该年度的会计报表,还要审计该年度内部控制有效性,包括IT控制体系的有效性。
第二种情况是计划去海外上市的中国企业,这种影响具体表现为:
2005年以来,中国众多国有企业没有选择去美国上市而选在香港或其他地方。这包括中国国际航空公司的超过十亿美元的IPO交易是在香港和伦敦上市。上海电气集团(约七亿美元),神华能源(约二十九亿五千万美元),中国远洋控股公司(约十二亿美元)和建设银行(约十九亿美元)都只在香港上市而不在美国上市。
我们都知道,在美国主要的证交所上市被认为是中国企业的一种荣誉。可是,为什么这些巨额的交易没有选择美国证交所呢?我们认为中国发行人在考虑美国上市时表达的忧虑之一就是萨班斯法案。特别是该法案的302和 404条款,都是常被提到的避免美国上市的原因。我们观察到许多人认为,特别是与萨班斯法案有关的直接成本(如包括外部审计费用的增加、与实施公司管理机制有关的增加费用等)以及伴随而来的或有责任风险增加的成本,已经使得成本收益的天平倾斜到在美国以外的地方上市。除了公司的成本和风险外,根据萨班斯法案,公司的管理人员将为违反证券法规和欺诈行为承担更大的个人责任风险和潜在的刑事制裁。对中国发行人这样的国外发行人萨班斯法案更值得忧虑,这是因为(1) 遵守萨班斯法案的成本很高,中国发行人对成本很关注; (2)相对而言中国公司的主管更不熟悉美国公司的管理标准;(3) 中国公司的主管更熟悉中国通用的会计准则和国际会计标准,对美国的通用会计准则则缺乏经验。另外,我们认为考虑国际上市的中国国有企业的母公司(当然也是国有公司)不愿意承担因他们与美国的上市公司有控制人关系而产生的与美国公司管理和披露有关的责任。(4)集体诉讼的风险在美国比在世界的任何其他国家都大。例如,在香港就没有提起股东集体诉讼的程序。相当多的在美国上市的公司在过去的若干年中已经成了集体诉讼的对象。如,亚信、UT斯达康、中国人寿、空中网和51job等等。
所以,我们认为在现实的情况下,中国国有企业将更多地选择在上海、深圳、香港、新加坡、伦敦等地上市。问题是全球公司治理趋同的监管环境下,中国的企业最终也要适应这一游戏规则。我们其实就是希望借本届年会呼吁政府各部门和企业高层领导共同重视这项工作,建立健全中国企业的公司治理和IT治理机制,推动中国经济的长期可持续发展。
记者:中国企业有多少能够通过这个法案?
孙强:中国首批“加速”通过的企业:如新浪、搜狐、亚信、UT斯达康等,在2004财年审计中,前3家顺利通过了该法案。UT斯达康未获通过,给其带来了相当的负面影响,如美国4家律师事务所代表股东集体诉讼等。中国本土注册在美国上市的公司,其最后合规期限是在2006年7月15日。对于这批中国在美上市企业2006年所面临的“大考”,从我们了解到的情况来看,我们持谨慎乐观的态度。
记者:不能通过的公司在哪些方面受到了限制?
孙强:不能通过的公司所受到的限制视违规情况而定,轻则投资人会“用脚投票”,股价下跌,重则将会援引相应的法律法规,追究刑事责任,以及从股市上摘牌等。涉及到处罚的具体条款举例如下:
《萨班斯法案》第906节规定了相当严厉的刑事法律责任,CEO和CFO们如果在”知晓”公司的定期报告不能完全符合上述要求但仍然提供书面保证,将被处以高达100万美元的罚款和上至10年的监禁;而”故意”违反第906节而提供不当书面保证的CEO和CFO们将被处以可高达500万美元的罚款和上至20年的监禁。这种刑事责任制度的安排甚至突破了传统证券欺诈条款的范畴,以往与证券相关的刑事罚则大都规定在证券法框架当中,而这次国会在通过时则直接将《萨班斯•奥克斯利法案》第906节置于了美国法典第18编中的刑事法律框架之下。
在采访的最后,孙强念念不忘的仍然是宣传IT治理。他笑着向我们介绍了IT治理的应用范围,希望能有更多有需求的用户应用IT治理来解决自己的实际问题。他说:“IT治理和其它治理活动一样,集中在最高管理层和管理执行层。然而,由于IT治理的复杂性和专业性,治理层必须强烈依赖企业的下层来提供决策和评估活动所需的信息。为保证有效的IT治理,下层应用要和企业总体目标采用相同的原则,并采用评估绩效的衡量方法。因此,好的IT治理实践需要在企业全部范围内推行,这其中,最高管理层要证实IT战略与业务战略相一致,并且通过明确的监控体系和评价标准,来指导企业IT战略,推动IT交付价值,平衡IT投资风险,恰当决策信息资源应优先使用的地方。而管理执行层则要确保将IT风险管理的责任和控制落实到企业中,制定明确的政策和全面的控制框架,还要将战略,策略,目标等由上至下落实到企业,并始终保持IT战略与业务战略目标的精确校准。在这个过程中,IT治理使得最高管理层和管理执行层实现业务目标、平衡新技术的机遇和风险,对关键流程实施有效控制和构筑核心竞争力等活动成为可能。”
透过孙强的谈话,我们感到IT治理和全面风险管理等领域,是在目前国内外重新认识和发现信息社会和信息经济运行机理的一个总的概括,关注这个新兴领域,将从制度层面和标准规范层面,为中国企业的发展和信息化建设提供全新的视角。
- 信息系统运维预算定额参考标准研究[04-09]
- 第2章 跨文化管理理论和实践[01-14]
- 16:什么是关键成功因素法(CSF)?[06-09]
- 24:eSCM-SP(服务提供商外包能力模型)有哪些…[06-10]
- 第4章 跨文化沟通[01-14]
- 治理评论第一期[01-20]
- 治理评论第六期[01-20]
- 治理评论第二期[01-20]
- 治理评论第五期[01-20]
- 治理评论第三期[01-20]
- 治理评论第四期[01-20]
- 太极凭什么中标12306? [09-26]
- 中国国际航空股份有限公司--书评[11-01]
