[转帖]如何将商业风险拒之门外

kissbug

降低信誉风险对企业意义重大，公司可借此树立独特的竞争优势，成为更具有吸引力的商业合作伙伴。

你公司的形象或个人声望是否正面临着危机？现在，越来越多的高级管理者们都在思考这个问题，最近出现的众多商业丑闻和商业诉讼更令他们忧心不已。管理者们担心，他们在内部控制或者公开报告当中如果出现半点疏忽（无论是否有意），都可能引发不利的市场反应。当然，他们更担心的是，自己在没有过失的情况下，却要为工作职责范围内发生的不当行为或不利后果承担责任。
普华永道公司（PricewaterhouseCoopers）最近发布了一份针对近1,400名首席执行官（CEO）进行的全球风险评估调查报告，在参与调查的CEO中，有三分之一管理的公司拥有超过5,000名的员工和10亿美元以上的资产。当调查要求他们对其公司所面临的风险进行优先排序时，CEO们将公司“没有遵循有关法律法规”排在了所有风险因素的第二位，仅次于排在第一位的“输给竞争对手的可能性”之后，而位于“恐怖主义”风险之前。
的确，目前美国公司要关注的法律法规有很多，且不说新出台的《巴塞尔资本协议》(Basel II) 、《爱国者法案》（Patriot Act）和美国财政部外国资产管理局（OFAC）所实施的各项法案，仅《萨班斯-奥克雷法案》（Sarbanes-Oxley，下称“萨班斯法案”）中的各项条款就已经使公司焦头烂额。然而，公司不应将这些法规的遵从，视为生产效率的杀手，而应将其看作是一个宝贵的机遇。通过相关法规的遵从，公司可以增强业务流程、增加业务运营的清晰度，实现更好的财务绩效透明度，从而降低企业的信誉风险，并以此将自身塑造成为具有高度竞争力的企业和更具吸引力的业务伙伴。
不过，降低法规遵从风险是一项成本高昂的工作，而且，企业还在不断投入更多资源来实施这项工作。例如，根据《首席财务官》（CFO）杂志报道，为了遵从萨班斯法案，48%的上市公司预期每年投入将达50多万美元，其中还不包括技术和其他资产方面的资本投资。许多大型企业将投入100万美元用于遵从法规所需的内部和外部资源。
根据“2004普华永道管理动态调查”（2004 PricewaterhouseCoopers Management Barometer Survey），很多公司预期，今后两年内，企业在法规遵从方面的支出平均将增加9.9%。另外，还有90%的受访者表示，公司将顺应这一大趋势，在控制成本的同时，改进公司的法规遵从工作。这些措施包括改进风险管理方法，以及实施一些合适的流程和技术，控制法规遵从成本。
公司必须像对待其他风险一样，来解决法规遵从问题。不过，解决这些问题的思维和流程，比如对竞争的管理、不良市场状况、灾难恢复以及供应链等，并不适用于法规遵从和信誉风险的管理等问题。
iGate全球解决方案公司（iGate Global Solutions）公司顾问阿努帕马·阿佳沃（Anupama Agarwal）表示，许多公司的重心正从一般性法规遵从问题，转向基于风险的法规遵从问题。这家公司帮助“财富100强”公司客户满足萨班斯法案的要求。根据她的观点，采用新方法将产生固定流程，实现运营效率并得到较高的投资回报。
其他人也同意这一观点。例如，美国联邦证券交易委员会（下称“SEC”）在2005年上半年时就指出，许多公司在遵循萨班斯法案404条款的过程中，发现并改正了其应收账款、库存管理和信息技术方面存在的缺陷，从而提高了公司运营绩效。
许多公司，包括SEC还认识到遵守萨班斯法案不仅是加强了公司的财务流程、记录和报告。从实践中，公司还得到了其他一些经验：
● 如果过于关注太多细节，那么法规遵从活动就会转移、分散主要的业务资源，并将其消耗殆尽。
● 由于财务流程和数据采集极为倚重技术，所以IT在法规遵从方面发挥着极其重要的作用，超过了企业的最初预期。
2004年，大多数公司通过人工来控制主要的业务流程、信息系统和报告机制，从而满足萨班斯法案的要求。这些公司在多数情况下均通过复杂的电子表格和桌面数据库管理控制情况。而审计事务所的要求又加重了这种现象，因为他们在进行AS-2审计时，需要审查公司所有应用流程中的每个步骤和行动。2004年，申报萨班斯法案遵从审核的公司虽然大都成功履行了其职责，达到了审计要求，但他们在人力资源配置、服务费用、业务和技术基础设施投资以及管理关注点方面的支出很高。
IT对于那些财务控制流程的意义则在意料之中。在大多数年收入超过5亿美元的公司中，信息技术以这样或那样的形式与公司所有职能部门融为一体。而在所有职能部门中，财务部门对电子存储数据及数据自动化处理和报告的依赖程度是最高的。
几个月前，SEC和美国公众公司会计监管委员会（PCAOB）对2004年的教训才有所反应。他们担心过度关注细节，会影响真正有效的内部控制和可靠的财务报告。于是，他们鼓励公司和相关审计事务所在2005年采取不同的方法来遵从法规。SEC认为，各家公司及其审计事务所往往将注意力高度集中在自下而上的详细审核，来力求满足法规遵从的要求。其实，这样做恰恰背离了制订法案的初衷。
重新考虑萨班斯法案
实际上，SEC指出了大多数公司在法规遵从方法上还存在一定问题，他们应集中于萨班斯法案遵从行为所追求的理想目标，而不应过度重视内部控制审查的机制和细节问题。该委员会认为，公司需要采取一种自上而下的基于风险的考虑方法。他们应秉持并领悟法案精神，以确保财务流程的廉洁性和财务报告的透明度，并且要在公司的组织架构中，认真分析从最高管理者违反法案存在哪些风险，以及基层为满足法案整体目的应达到怎样的要求。
SEC进一步强调，法规遵从并非一项一刀切的指令。它鼓励各家公司各显神通，制订适于其业务模型的法规遵从计划，并且这些计划要认识到并非所有流程或内部控制机制，对实现财务健全及透明报告的目标都起同等作用。如今SEC要求各公司在法规遵从方面达到合理的标准，而不是像2004年那样要求其实行绝对的遵从。
进一步说，各公司可通过两种方式来有效实现满足萨班斯法案要求的目标。首先，他们可采用控制和组合管理流程来进行法规遵从风险管理。而以往，企业往往将类似的方法运用在企业运营和技术等方面的投资管理上。其次，他们可在进行法规遵从工作时将IT和财务更好地整合起来。
2004年3月，首席财务官出版公司（CFO Publishing Corp.）旗下的首席财务官调查服务机构（CFO Research Services）、普华永道公司和沃沙系统公司（Virsa Systems）共同发起一项研究计划，调查自动化工具在遵循萨班斯法案工作中所起的作用。这项调查得到180名财务执行官的回答。75%以上的受访者表示，在今后1年中，将会把遵循法规和控制企业状况等工作实现自动化，并将其放在“重中之重”或者“适当优先”的位置上。
定制化的模式
位于达拉斯的联盟数据系统公司（Alliance Data，下称“联盟数据公司”）是一家交易、信用和市场服务提供商，主要服务对象是零售、金融服务和其他市场领域等基于客户的大企业。公司已经从法规遵从过程中得到了双重教训：一，根据公司的业务模式来订制法规遵从行为；二，集IT和财务保险流程为一体。联盟数据公司对如何编制法规要求的报告已驾轻就熟，习以为常。
在根据萨班斯法案404条款采取行动时，这家公司和多数公司一样考虑到，企业的信誉和客户关系不仅与现实情况息息相关，同时也取决于他们对其全部法规遵从情况的了解。因此，尽可能逐字逐句如实地遵循法律条文要求。公司信息技术负责人巴里·卡特（Barry Carter）表示，公司在首次申报时曾采取一刀切的方法，而这一做法造成了很大的问题。
“我们有9条业务线，其中有一条业务线拥有一家银行。”卡特表示，“当我们开始为2004年设计404条款遵从方法时，我们首先对满足报告要求的一切事情进行了解，然后让所有业务线执行统一的要求。但是，由于银行那条业务线的存在，从而提高了所有业务线的法规遵从要求。这样的做法，好像就显得有些过头了。”
尽管联盟数据公司在2005年做了一些改动，但这一年的大多数时候还是采用了同样的法规遵从模式。不过，目前这家公司正在为2006年的法规遵从工作设计一种定制化的和高度自动化的模式。
“我们正在寻求走上管制快乐的道路。”卡特表示，“我们设有一个企业安全委员会，负责检查各条业务线的情况，并且确定他们当中哪些情况比较常见，哪些情况比较独特。目标就是要为企业确立一个最小化的趋同、最小化的控制、以及符合业务特点的报告机制。”然后，各条业务线根据这一规定，在安全委员会和首席信息安全官（CISO）的监督和许可下设计各自的方法。
安全委员会由各条业务线上的信息安全负责人组成，负责向CISO提供建议。而CISO则在董事会的许可下最终确定安全和法规遵从政策，并监督各业务单位的法规遵从活动。这家公司还将IT和流程紧密结合起来，从而减少法规遵从所需的工作和成本。
卡特和公司财务、公司层面以及业务线上的同事紧密合作，在记录、储存、使用并报告财务信息的技术流程和系统方面严格遵守404条款，确保公司能全面审查其内部控制和报告制度。目标在于无缝查看相关的财务、IT流程和资产，以确定公司真正履行法规精神，而不只是流于表面条文。
联盟数据公司在降低法规遵从所需成本的同时，还决心利用技术来提高法规遵从方面的业绩。“我们现在还在依赖那令人生厌的电子表单。”卡特表示，“我们有一本集中所有数据的工作手册，作为我们编制法规遵从文档的基础。我们在短期内继续改进电子表单。不过，我们将争取形成一个法规遵从控制框架。这个框架把一套自动化工具结合在一起，并能通过一个网络门户访问信息。这样的话，公司的管理层每天、每周和每月都可以查看正在进行的事情。”
电子制表必须要以文本形式打印在11x24英寸的纸上才能一览无遗，所以不太受欢迎，最终将被一套通过法规遵从框架整合在一起的最佳自动化工具所取代。这家公司如今拥有35种不同的工具可供使用，但卡特认为，公司必须要采用其他工具，并且通过区分真正需要，选择多用途解决方案来削减工具总数。卡特如今正采用CA公司eTrust工具包中的工具：包括政策遵从（eTrust Policy Compliance）、安全总控中心（eTrust Security Command Center）、审计（eTrust Audit）以及相关的数据访问工具。同时，他还提到了Brabeion公司的IT安全遵从平台。这一平台由普华永道公司提供支持，用于加强IT在财务遵从法规当中的绩效和效率。
下一步将如何做？
公司接下来应通过什么措施，能够确保兼顾工作和成本的同时，企业信誉在信息披露过程中不会收到损害？其中很重要的一点，就是要采取SEC认可的风险管理和定制化的方法，来遵从404条款。通过采取控制和组合管理的方法，不仅可减少工作量和成本，同时确保公司聚焦在应关注的问题上。以前，这种方法大多被用在公司的业务和技术运营中，以此来管理相关的项目投资。今后，管理层必须要用自上而下法，取代大多数公司在2004年采取的自下而上法，从而保证法规的遵从。他们可以按照下列步骤来进行操作：
● 董事会确定战略，认可框架，并指派人员进行监督。
● 这种框架要适合有效和全面的内部审计。
● 高级管理层负责查看这一框架的实施工作。
● 管理层采用控制和组合管理方法来实施这一框架。
● 法规遵从机构采用控制风险自我评估技巧，并且按照主要风险指标制订风险项目图，从而确定和评估产品、行为、系统、数据和报告中的风险。
● 业务经理通过贯彻公司的政策、流程和程序，以此来减少风险。
● 运营主管负责制订应变计划，以对付风险缓解程度不足的环境。
● 建立公司的内部审计流程，确保具体业务部门有效地实施框架。
● 法规遵从机构定期评价战略、政策、程序和实施情况。
● 法规遵从官员指导流程的认证，并负责向法规遵从管理机构报告相关情况。
采取定制化方法遵循萨班斯法案，非常富有吸引力，但这种模式本身同时也会伴随着一定的风险。各公司必须严格控制公司上下、公司级和业务单元级的法规遵从方法。
各公司应仿效联盟数据公司的做法，建立企业法规遵从委员会，确定一项满足最低要求的计划，来解决整个公司的法规遵从问题。这些委员会还必须要确定业务部门特有的披露领域，并使这些具体部门负责调查和制订补救计划，最终使得各业务单位各自的计划能够获得通过。公司只有通过这种方式，才能保证在采取定制化方法的情况下，同样能够达到公司2004年的遵从水平，即通过统一方法所寻得的一致性、连贯性、整体性和质量。
一旦法规遵从委员会确定共同和特有的披露领域，那么公司和业务单位就需要采用一种风险组合管理方法，同时对这些披露领域的风险级别、整治所得到的效益、以及纠正有缺陷和/或无效流程时可能产生的任何潜在商业价值，进行适当的评估。各业务部门也要建立一套基于风险的组合管理方法，然后根据每个组合项的三方面影响度来进行排序。评估时，风险和补救后的收益评分将最高，但公司应考虑在风险管理的环境下，提高业务流程功效和效率的可能性，并且适当计算一下这些利益的价值。
业务部门会发现，即使在法规遵从委员会定义的共同的风险和披露领域中，风险或补救对他们的影响程度也不会完全均等。SEC指导和认可了一种组合管理方法，它通过采用定制化的和风险管理控制方法来提高法规遵从水平，能够衡量风险、补救情况和潜在的商业价值，使得公司将关注的焦点放到最合适之处，进一步减少法规遵从所需的工作和成本。
公司在确立风险组合并排列先后顺序时，应采用上一页表格中类似的框架，并且根据企业的具体特征和披露风险情况来填写。
通过采取基于风险管理的框架化方法，公司就可以将法规遵从和披露行为置于控制之下，从而获得多方面的好处。通过这种做法，不仅可以满足SEC对披露文件编制人员的最新要求，而且在赢得效率、获得切实的商业价值的同时，还能够保护公司的信誉资产，法规遵从成本和干扰情况也都能得到有效控制。这样做的关键在于要充分理解SEC的指导原则。SEC强调的是，公司要实现可靠的内部控制和财务报告的廉洁性，就必须依赖于董事和管理层所做出的诚实合理的专业判断。
若要达到新标准，公司在采用控制和组合管理方法来定制公司的法规遵从方案时，必须采用严格的流程和文件编制标准，其中包括创建一套关于决策和理由的审计跟踪流程，向审计师和SEC解释其行动的合理性。有了这些措施，各公司就可以稳步踏上每个CIO所梦想的管制快乐之旅了。

作者简介：
Amir Hartman为Concurs集团副总裁，同时也是哥伦比亚大学（Columbia University）商学院研究生院以及加利福尼亚大学伯克莱汉斯商学院（University of California-Berkeley's Haas School of Business.）的教授。
Craig LeGrande是Concurs集团副总裁，Tom Goff为Concurs集团客户总监。Concurs集团最近刚刚收购了Mainstay Partners咨询公司。

小贴士
根据AIM软件公司（AIM Software）、路透社（Reuters）和维也纳经济大学（Vienna University of Economics）日前所做的一次新的全球调查报告，金融行业普遍将数据质量视作是一个重要的风险管理问题。调查对亚洲、欧洲、中东和美国的1,070位金融机构进行了电话采访，结果发现，巴塞尔资本协议（Basel II）和风险管理正在吸引更多的关注。
在接受调查的金融机构当中，有64%的组织表示，他们针对市场风险，已经制定了数据管理战略，其中63%确认，他们将信用和运营风险作为重点关注的领域。72%表示，计划提高规避风险的自动化水平，这个数字比起去年的64%相比，有了一定的提高。《巴塞尔资本协议》、《金融工具市场规则》(MIFID)和《萨班斯-奥克雷法案》 (Sarbanes-Oxley)显然正在驱动公司加大对IT的投资。

90天行动计划
在管理风险之前，您需要对这些风险进行确定并排列次序。一个合理分布的风险组合能帮您做到这一点。下面教您如何使用它。
第一个月：评估您的风险组合。
● 确定组织的风险，并将他们分别归到战略风险、财务风险、技术风险或运营风险等几大类中。
● 评估每个业务或职能部门中主要风险控制情况的重要程度和绩效。
● 确定需要改进的具体领域（最好是采取自动化工具）。

第二个月：确定优先次序。
● 开始创建一份排定优先次序的严格流程，其中要将IT和流程的变化所带来的利益机会考虑在内。
● 确定快速制胜方案。
● 评估高级风险管理选择方案，并确定优先次序。

第三个月：实施一项风险管理计划。
● 评测你新采取的风险管理工作的成本和效益。
● 对正在进行的风险管理方案进行评估，以跟踪进度。
● 对于不符合关键管理点的计划，迅速做出“保留/取消/修整”决定。

他为纳斯达克保驾护航
——访纳斯达克股票市场副总裁兼CIO史蒂文·兰蒂奇
整理/Paula Klein 译/张海燕
史蒂文·兰蒂奇（Steven Randich）是纳斯达克股票市场（Nasdaq Stock Market，下称“纳斯达克”）的重量级人物。他既是业务方面的负责人，也是IT方面的高层管理者。作为纳斯达克的运营和技术执行副总裁兼首席信息官(CIO)，他负责所有技术开发、数据中心、网络运营以及市场运营方面的工作。
兰蒂奇曾担任过芝加哥股票交易所（Chicago Stock Exchang）的执行副总裁和CIO，因此非常熟悉金融服务公司每天所面临的风险。日前，他接受了《优化》（Optimize）杂志资深编辑保拉·克莱恩（Paula Klein）的访谈，就企业风险防范战略展开了讨论。

问：在对待业务风险上，您是否采取了与以往不同的方式呢？
答：我坚信，如今的威胁更为真实具体。“9·11”事件后，我们花费了4个工作日和无数个小时编报保险索赔以挽回损失。现在，我们每个人都很清楚要充分重视风险防范工作，并且认识到没有业务持续计划和不事先做好准备工作的后果。这对我们以后的收入和成本结构带来了显著的影响。过去这只是在口头上讲讲，许多公司从未真正认识到，他们现在正面临重大风险。
过去，灾难恢复计划一直都没有进行过有效测试，看看到底它的作用如何。如今，我们的风险管理和灾难恢复计划已经落实到位，而不只是流于纸面，而且他们也都已得到了验证和测试。这件事对我们思维方式的改变之大可想而知！

问：这是否意味着应变计划已经成为公司高层管理人员工作的重中之重，而不仅仅是限于IT人员的职责范围了？
答：是的。我们以后不会再经历繁琐而复杂的预算审查了。在芝加哥时，我们一直在权衡成本和投资效益：我们是否要添置一台发电机呢？但是，我们没法量化风险。而放到现在来看，这真是天方夜谭。如今，风险管理已完完全全属于公司成本结构的一部分了。即使我们面临着要削减成本的巨大压力，但也不会影响风险管理的开支。
几年前，我向首席执行官（CEO）提出了一份灾难恢复计划。这份计划使得系统能在次日，而非当日投入使用。这个措施能够节省一定的资金，但计划没有进行下去。确实，我们必须在当日恢复运营。尽管预算开支有大幅下降的趋势，但我们仍决定保持住我们的灾难恢复能力。
我们正在纳斯达克执行一项非常积极的成本重构计划和技术路线图。同时，我们正在改革我们整个网络和基础设施。我们的目标就是在不影响绩效的情况下成为世界上最有效率的股本市场。

问：纳斯达克面临的最大风险是什么？这些风险又是如何得以解决的呢？
答：我们的风险既有人为风险，也有自然风险。若要列出所有可能出错的事情，那是不可能的。而且您必须防范无法预知的风险。我们和市场合作伙伴之间的所有联系都必须非常灵活。我们没有一个中央交易大厅，也没有任何一名单独的专业人员和一个独立的市场；我们分布在美国本土（波士顿、加利福尼亚、达拉斯和孟菲斯）的100多名股市经纪人通过不同的通讯渠道向我们的两个数据中心提供信息。我们主数据中心和备份数据中心的服务器拥有两台电源设备，分别与两个单独的变电站相连，并且所连路线也不一样。我们所做的一切都是开放和充分的。这样，我们在每次意外事件时，就无需花费时间担心可能发生的事情。
几年前，这个行业没有进行过整个行业的灾难恢复测试。而如今，过去一年半中我们已进行过3次测试，并且每次都有越来越多的参与者加入。在2005年10月进行的最新一次测试中，大约有80个经纪人和交易公司参与进来。他们现在越来越积极地验证自己的备份流程，并且备份流程必须真正有效。我们越来越显示出，我们完全可以安然度过金融服务领域的诸多风险。
2003年8月大停电期间，350家交易商中有（近）四分之一的公司在随后的星期五并没有开门交易。这听上去似乎相当多，不过我们并不需要他们100%都能在纳斯达克市场正常运营，这些出现问题的经纪公司一般规模比较小，通常没有全面的数据恢复流程或备份交易大厅、数据中心和远程站点等。他们所受影响最大，而且无法正常运营。大的经纪公司因为有着稳健的全方位计划，所以业务也没有中断。

问：你领导下的纳斯达克业务和IT综合性组织结构，是否对降低风险起到了一定作用呢？整合越好，是否就使市场的风险越低呢？
答：当然有用。我一方面负责基础架构和危机管理，另一方面还负责业务持续规划和灾难恢复，这些都是我职责范围之内的事情。我们没有专门设立一个集中的责任风险办公室，而是有一个分散型管理架构。我们曾讨论过，IT是否应向首席财务官（CFO）汇报。后来，我们决定放弃这样的报告机制。同时，我们还有着严格的内部和FCC审计。
不过，世上并没有十全十美的模式。我可以说，集中型结构同样有用。只要所采取的方法和计划比较有效，对组织架构并没有太多的要求。

问：随着电子交易量上升以及成功地收购Inet公司，纳斯达克的系统是否变得更为复杂，因此也就不太安全和可靠了呢？
答：实际上，在过去几年中，纳斯达克的复杂程度已大大降低。我们过去有更多设备和系统相连，因此往往较难跟踪一份交易订单的路线。其路线往往错综复杂，而且那时的技术远远不如今天这么有效。现在，我们正在彻底改革系统，采用最新技术来更快地实现交易，同时使交易延迟时间缩短，安全和可靠程度更高。
尽管我们的系统在交易高峰时的数据处理量已达到了4年前的30倍，我们仍进行了一次全面简化。这是在可靠程度加倍、成本结构减半的时候进行的。这次简化大大降低了风险，并且使我们更为灵活迅捷。
我们和客户之间的重要联系大多采用了私人网络，而非公共互联网。交易商也可通过互联网访问我们的工作站和交易订单，但那并非用户的主要人群。在那样的情况下，我们就会采用全天候的加密、证书和入侵检测技术来保证安全。总的来说，主要网络连接一般都采用私人网络，而不是公用网络。我们将保持前进的动力，将来以更低成本实现更为有效、简便和灵活的运作。

问：你在风险管理方面，对非金融服务公司的CIO们有什么建议呢？
答：我们的风险管理模式肯定值得所有行业来借鉴。CIO必须高度重视风险问题，而我们在这方面掌握的经验已经达到了较为成熟的水平。
人们对评估和管理风险的最佳方法有许多误解。例如，许多公司认为你所做的一切，就是确保在测试中，人员之间的联系以及所有事情都运转正常。但是，如果您没有实际模拟过交易和处理 (Trade and Process ) 活动，那么您将很难碰到并解决一些细节的问题。连接正常，并不是关键的成功因素。