当“金融危机” 4字已衍变成种关注度疲劳此时冬天反倒更适合反思现在看来几个月惊心动魄起因不外是华尔街对于自己设计赚钱玩具过于乐观同时倒下资本大鳄们对于管控自身风险技艺远不够娴熟

来看Forrester数据:美国金融服务公司IT支出在整个IT支出中所占比例高达18%而华尔街在金融服务公司IT总支出中占到了 3分的份额

于是个新危机出现了——华尔街在IT上大手笔似乎都打了水漂根本没有起到应有预警和风险管控作用那么IT还有用吗？人们不能不心有余悸

谁的过？

华尔街出事让IT厂商感到正面临场信任危机“这么多投入出了这么多事IT内控和风险管理是不是真有意义？”某IT厂商负责人对记者透露同行碰头时基本都要交流这个问题

事实上从贝尔斯登、雷曼兄弟到美林、美国国际集团其悲惨境遇根源在于贪婪让他们忘记了刹车器--风险控制“商业银行对风险认识比较足监管体制也比较成熟基本上在这次危机中全然而退而投行和保险公司对泡沫监控、风险容忍度明显认识不足”国家会计学院教务部副主任郑洪涛副教授表示

“在IT系统提供了风险评估分析结果后依然执意从事高风险业务追求高额回报这是企业风险文化问题”用友GBU集团管控事业部内控风险业务总监刘巍表示IT系统只是辅助并不能代替管理者风险管理

个月前北京慧点科技开发有限公司副总裁韩国权跟海外客户交流客户给出分析是:“幸亏有那么多风险管理投入否则整个金融链条都会出问题”韩国权表示去年第 3季度市场上已经出现相关预警信息了“这些信息从哪里来？就是通过IT系统IT系统取代了原先手工操作和判断思路方法还没有智能到取代决策地步”

可以说没有IT企业风险监控将无法落实但我们不能忽略个问题就是IT风险监控模型亟待改进倘若建立在类似华尔街精英们“乐观”理论上必然将出现偏差实际上早在上世纪90年底中期美国长期资本管理公司依靠包括两个诺贝尔奖得主在内研究团队(Team)、本以为毫无瑕疵电脑模型曾经赚钱了高额利润但它在1998年俄罗斯信贷危机中彻底失败

甫瀚公司大中华区总裁刘建新表示大多数企业管理者已经认识到IT系统可以帮助改进流程提高工作效率但没有认识到IT系统和风险管控具有以下关系:

其风险是整体性但是很多企业未能建立起套全面关键风险指标

其 2风险管控体系是动态风险评估及分析除了采用传统以数学建模方式量化分析风险的外还必须加以非量化管理经验以全面认识风险

其 3IT系统实施本身也会给企业带来新风险由技术问题引发风险造成损失可能性也在不断加大

中国不是“绝缘体”

鉴于中国金融业特殊严格监管表面上看国内金融机构在此次危机上并未受过多波及但我们不能以危机“绝缘体”自居事实上危机早已潜伏

某银行技术管理部经理刘忠宝对记者透露2006年银行业金融机构累计发生各类案件1085件其中百万元以上大案273件导致风险金额达31.2亿元银行操作性风险呈现高发态势“某些银行领导层认为抓业务是硬道理抓风险控制是软指标只要不出现大差错事故就可以了对风险防范工作只做表面文章”刘忠宝表示

“国内真正实施内控和风险管理基本是大企业集团和金融机构但大部分没有真正落实到IT内控和风险管理上”在韩国权看来高风险领域金融行业已经有些IT内控工具在使用而非金融企业大部分没有落实下来

郑洪涛也对中国企业IT内控和风险管理水平表示非常担忧“方面IT人员存在专业单性问题技术和业务契合存在问题；另方面各个IT业务系统的间形成了割裂”

在刘巍看来中国企业特别是大集团企业利用IT进行了内控和风险管理效果并不明显原因包括:IT建设往往只停留在会计电算化阶段即关键业务人为控制；IT各个系统分离信息没有集成共享缺陷问题难以及时暴露；公司治理和授权分工基本问题没有理顺

据甫瀚公司刚刚完成有关中国企业内部审计能力和需求调查报告中国企业IT内部审计能力普遍偏低已成为最迫切需要改进领域“中国企业目前仍处在IT内控和风险管理概念期或者萌芽期”刘建新表示很多公司本身风险管控意识和体制都还未建立即使运行了先进IT系统也很难达到风险管控目同时在中国企业中既熟悉企业风险管理又熟悉IT内控手段和思路方法人才少的又少这使中国企业难以运用IT系统实现成熟风险管理

补课为上策

在金融危机蔓延以及各项成本上升时局下企业不能像往常样“开源”就应需求IT内控等有效“节流”手段

以华能为例在今年电力行业面临全面亏损形势下华能依然有可能交出份较好财务报表其中个重要原因就在于华能狠抓企业内控将内控管理和绩效挂钩

华能IT内控和风险管理平台是由慧点科技完成据韩国权介绍平台上线后原先内控检查每每完成次完整测评需要花2个月时间现在只需要2到3周即可完成次提升明显“2006年第季度华能查出100多条内控缺陷第 2、 3季度分别降为十几条、几条第 4季度实现了内控零缺陷而外审机构给出报告也是零缺陷这是非常难得”韩国权表示

相应尴尬在于在2004年美国证监会推出萨班斯法案的后有中国企业因无法合规而被迫退市许多本想美国上市公司纷纷转投中国香港、欧洲和新加坡等地上市

事实上国家已经开始密集型动作以期指引企业建立和实施完善内控和风险管理体系今年6月份财政部、证监会、审计署、银监会、保监会就联合发布了中国版“萨班斯法案”--企业内部控制基本规范标准将在2009年7月1日起首先在上市公司范围内施行同时国资委、上交所、证监会、银监会等也各自出台了相应管理规范标准每个部门牵出片重点企业来做内控合规并将逐步带动其他企业

可以说实施内控和风险管理已是企业内动力和外压力相交必然选择而这必然需要IT系统予以落实对IT企业来说这是次机遇用友日前就适时推出了其内控和风险管理解决方案暨NC5.5该方案基于用友对3000多家集团企业内控实战理解具有全面性、配套性和实用性 3大特点全面支持企业内部控制基本规范标准安永会计师事务所合伙人李延耀表示“这是国内首个全面响应内控基本规范标准IT解决方案”

刘巍同时提醒道:“合规不是最终目标内控和风险管理要做到服务于企业发展战略但企业不能急于求成应分步实施逐步覆盖核心业务流域”

“无论经济形势好和坏内控都是必需”郑洪涛表示必须转变观念建立符合中国管理现状、基于各种业务和企业自身运行特点IT内控和风险管理体系