作者:张孝昆
出版社:机械工业出版社
格式: AZW3, DOCX, EPUB, MOBI, PDF, TXT
大数据风控试读:
前言
企业管控领域一直在强调一句话:不会量化就无法管理。这一直是我们在探索的管理实践。但是很多企业管理者往往依靠其直觉及经验进行管理和决策,特别是大型集团化公司。这种通过直觉和经验做出的决策往往会因获取不到真实且准确的信息而导致出错,甚至浪费资源,使企业付出巨大代价,严重的可能导致战略失误,错失市场的机会。那么,如何将管理进行量化,使管理变得更简单?人们通常认为企业可以运用的数据只有企业自身的数据,其实还有更广阔的外部数据即互联网数据。企业可以通过对内外部数据进行分析,从而量化企业管理及决策的事项,提高决策质量和业绩表现,简单来说就是“用数据说话”。由此可见,关键数据会对企业的决策产生重大影响。
大数据对企业管控的颠覆将是全面的,包括对商业模式的颠覆,对传统营销模式的颠覆,对集团管控模式及风险管控模式的颠覆,对企业内部组织工作模式的颠覆,对业务管控及审计模式的颠覆等。
大数据包括大数据思维和大数据技术两个方面:大数据思维具有全局性、颠覆性、概括性等特点;大数据技术具有规模性、高速性、多样性,而且无处不在等特点。具体地说,是指以快速获取、处理、分析和提取有价值的、海量的、多样化的内外部交易数据、交互数据为基础,针对企业的运作模式提出有针对性的方案,进而形成企业数据化管理新模式。
那么,在企业层面是如何运用大数据形成新的数据化管理模式,来设定目标、运作业务、把控风险的呢?
在金融领域,由于互联网金融的大发展,大家了解了“金融就是拿风险换钱”的商业模式,开始重新审视和重视风险管控。但是有些企业把大数据风控等同于大数据信贷,还没有弄清楚风险管控的基本知识,就突然冒出了大量的大数据风控公司,导致整个市场畸形,使得大数据的发展脱离了原有的轨道,包括投资方、真正运营方在内的大部分人深受其害,损失惨重。真正的大数据分析会给风险管控模式、信用评分、欺诈检测、金融产品的定价、程式交易、索赔分析等传统金融业务带来颠覆式的影响,例如以前很难做到的实时在线数据分析,如今是进行大数据分析的基本要求。大数据分析的到来形成了传统金融机构和以阿里巴巴、腾讯、京东为代表的互联网金融机构并存的局面。
大数据彻底改变了企业管控模式,以往的管理是“领导说什么是什么”,现在变成“大数据分析结果”,这是对传统领导力的挑战,也推动了企业对管理岗位人才的重新定义。管理岗位人才不仅需要懂企业的业务流程,还要成为数据专家。跨专业的人才需求改变了过去领导力主要体现在经验和过往业绩上的模式。如今熟练掌握互联网及大数据思维、大数据分析工具,善于运用大数据分析结果结合企业的销售和运营管理实践进行管理是对新管理岗位人才的要求。
Hadoop是当前大数据分析最通用的平台,整合了硬件和开源软件,它接收涌入的数据流并将其分配至很便宜的存储盘,同时它也提供分析数据的工具。虽然Hadoop可以做到传统的数据分析工具远远达不到的程度,但是这些都是全新的企业管理工具和管理技术,需要企业做新的投资,特别是定制化的开发。这些是大数据时代产生的新技术要求和技术投入。
我为企业服务多年,每年往返于中国的大江南北,经常给不同行业、不同企业的高管们讲课,和他们进行深入的沟通交流,帮助他们解决实际问题。每个企业所属的行业不同,所处的发展阶段不同,碰到的实际问题都会不同,我会采用“实事求是”作为主导思想为每个企业服务。我同时也是中国较早的一批IT审计师(即国际注册信息系统审计师),看到了信息技术对企业管理的颠覆作用。中国目前所处的是一个运用互联网和大数据进行全面颠覆的阶段:货币全面数字化、办公全面移动化、生产全面智能化、企业运营全面数据化。这些触发我必须写点东西,告诉大家企业大数据时代已经来临,大数据和风控正在加速融合,大数据会颠覆企业的管控模式,使企业从原来的信息化到智能化阶段,从传统ERP到企业大数据阶段。
本书来源于我十几年的工作经验积累,书中大量资料是我和原同事共同努力的结果。在本书编写过程中,得到佟彤、王萍、郝玉阁、宋相营、乔智华、韩兵兵、荆关玲、何杰等人的大力支持和帮助,在这里一并表示感谢!张孝昆2017年5月于北京第一部分思想篇第1章企业大数据核心思想概述
企业管控对如今的中国企业已不再陌生。大家都在谈论商业模式、集团管控模式、风险管控模式、业务管控模式、供应链模式、数据化管理模式。我们知道从公司治理、企业人财物管理到企业IT资源管理等,所有的企业管理都是相通的。一个企业只有“一套体系、一套流程、一套表单”,这是对企业管控最基本的理解。中国企业从粗放化管理到精细化管理的一个标志性事件就是中国企业赴美上市。从2004年到2006年,中国很多企业去美国上市,开始学习构建合规型风险管控体系,奠定了中国企业转型发展之路;2008年国家风险管控规范体系出现;2010年内部控制三个指引的提出;2011年中国上市公司开始全面执行内部控制规范和配套指引,中国企业经历了转型发展的艰难历程。与此同时,也带来了大量的思考:合规型风险管控的作用究竟在哪里?到底有没有解决企业核心的问题?和企业资源计划(ERP)有什么关系?这么多体系,企业到底如何管理?企业从业务角度来看,是否形成了真正意义上的一体化管理模式?传统的ERP系统,是否过多地注重于业务流程,强调按管理环节分成若干独立的流程系统,而忽略了整合企业数据、资源进行风险管控的过程?今天我们用大数据思维和技术来研判、评估上述问题,可以说是找到了真正解决问题的利器。企业可以运用大数据形成以数据为中心,把内外部数据进行整合,辅以人工智能,对企业管控的各环节重新定义,形成以风险管控为导向的企业大数据平台,在这个平台上建设起一套真正的一体化企业管控系统。1.1 企业管控与大数据应用1.1.1 企业管控的理论标准
企业管控包括风险管控、业务管控、审计管理三个方面,分别对应业务的事前管控、事中管控及事后管控。企业管控的理论标准在实践中不断完善、不断更新,其规范了企业管控的方法论,对企业管控的方法和操作予以了科学的指引。
国际:COSO是1985年由美国注册会计师协会、美国会计协会、财务经理人协会、内部审计师协会、管理会计师协会联合创建的反虚假财务报告委员会,旨在探讨财务报告中舞弊产生的原因,并寻找解决之道。两年后,基于该委员会的建议,其赞助机构成立COSO委员会,专门研究内部控制问题。1992年9月,COSO委员会发布《内部控制整合框架》,2004年发布《企业风险管理综合框架》。2004版框架和以前的相比,将新版框架视为“全新”概念,人们发现新版框架的关注点已截然不同,它所关注的是如何使企业风险管理(ERM)在组织机构内真正行之有效。COSO总结了五个要素:控制环境、风险评估、控制活动、信息沟通、监控,且将这五个方面称为COSO循环。2013年,为了适应精细化的管理需求,企业又对五大要素进行了细化(见图1-1)。
萨班斯法案,全称为《2002年公众公司会计改革和投资者保护法案》,又被称作《2002年萨班斯–奥克斯利法案》。该法案对美国《1933年证券法》《1934年证券交易法》做出大幅修订,在公司治理、会计职业监管、证券市场监管等方面做出了许多新的规定。图1-1 COSO体系演变
COBIT(Control Objectives for Information and Related Technology)是目前国际上通用的信息系统审计标准,由信息系统审计与控制协会在1996年公布。这是一个在国际上公认的、权威的安全与信息技术管理和控制标准。它在商业风险、控制需要和技术问题之间架起了一座桥梁,以满足管理的多方面需要。该标准体系已在世界100多个国家的重要组织与企业中运用,指导这些组织有效利用信息资源,有效地管理与信息相关的风险,它从公司层面、流程层面和资源层面进行控制。信息是资源,企业用计算机手段对所有事项进行管控,比如对IT治理标准、IT战略规划及应用、风险的对策等一些事项全部进行归纳总结。其实企业真正去做内部控制或者识别风险的时候,特别是现在COBIT对企业比较实用。为什么?很简单,现在所有企业都在用ERP管理企业。
国内:中国国资委2006年6月发布《中央企业全面风险管理指引》。2009年底发布风险管理国际标准ISO 31000和国内标准GB/T 24353,规范了风险管控的方法论,成为软件标准化的基本依据。2010年4月财政部、证监会、审计署、银监会、保监会联合发布《企业内部控制基本规范》及配套的《企业内部控制应用指引》《企业内部控制评价指引》《企业内部控制审计指引》等。
国家监管层面针对上市公司一直强调以财务管控为主、业务评价为辅的风险管控模式。目前美国上市公司监管采用的萨班斯法案要求是财务相关,国内上市公司尽管构建的是全面风险管控体系,但证监会对上市公司的管理趋同于美国模式,因此上市公司的评价范围也是财务相关,对外只披露财务相关内部控制体系。
上述企业管控标准为企业管控提供了合规性要求,国内企业,尤其是在美国上市的公司,必须考虑包括IT风险在内的各种风险。由此提升了风险管控的意识以及投入,推动了风险管控市场的快速发展。1.1.2 大数据应用
目前国内传统企业开始挑战金融企业,或成立银行或参与银行业务,再或者成立财务公司,还可运作基金,特别是产业基金这两年非常多,逐步进行投资化、融合化。资产资本化速度非常快。资本开始证券化,证券开始信息化,信息开始公开化,这是商业模式颠覆的开始,给企业管控带来了新的机遇和挑战。
如何在日益严峻的经济环境下完善法人治理机制,实现企业管控真正落地,避免管控不到位导致企业内部控制失效?企业应该提升管理品质,掌握内部控制方法,实现风险控制和管理。要实现企业风险管控,除了要掌握标准、指引外,还要运用适当的方法对企业数据信息来源进行分析、评估,找到企业风险的关键节点,让企业知道问题关键点再去解决问题,这就是风险管控的价值所在。
数据历来都是公司判断是否面临风险的最重要元素。如今在业内被公认的观点是,数据是企业核心资产之一,而对于如何依托数据去量化风险,是企业在风险管控过程中发挥数据最大价值的重要环节。
我们再来看看什么是大数据。麦肯锡全球研究所给出的定义是:一种规模大到在获取、存储、管理、分析方面大大超出了传统数据库软件工具能力范围的数据集合,具有海量的数据规模、快速的数据流转、多样的数据类型和价值密度低四大特征。大数据技术的战略意义不在于掌握庞大的数据信息,而在于对这些含有意义的数据进行专业化处理。换言之,如果把大数据比作一种产业,那么这种产业实现盈利的关键在于提高对数据的“加工能力”,通过“加工”实现数据的“增值”。
从大数据引申出一个概念,量化管理。量化管理是一种从目标出发,使用科学、量化的手段进行组织体系设计和为具体工作建立标准的理论。它涵盖企业战略制定、组织体系建设、对具体工作进行量化管理等企业管理的各个领域,是一种整体解决企业问题的量化管理理论。量化管理起源于美国,改革开放后被引入中国。而今,量化管理几乎成了科学管理的代名词,凡管理不量化就不科学,于是量化管理被视为管理宝典,在各行各业广泛应用,量化管理呈现出不断泛化之势。大数据至关重要的方面,就是它会直接影响企业怎样做决策、谁来做决策,使企业真正地转变成量化管理。越是那些自定义为数据驱动型的公司,越会客观地衡量公司的财务与运营结果。1.2 企业管控中的风险、内控、审计手段融合
企业管控对于企业管理者来说,最重要的就是管控风险,那么让我们重新认识一下风险的概念。什么是风险?风险是可以识别的不确定性。对于风险本身来说,风险是个中性词。在金融行业,没有风险就没有机会。这种不确定性能够对企业经济利益形成有利或不利的影响。风险又是长期存在的和不能被消除的,必须与机会同时权衡。
很多企业谈“风险”色变,感觉什么都是风险,风险无处不在。我们要真正弄清楚什么是风险,再寻求风险管控的手段。风险是“可以识别的不确定性”。这句话把风险这个词解释得非常清楚,要请大家注意的是:不能识别的都不是风险。所以当企业在面对风险的时候,可以把风险描述得非常清楚。为什么人们给出了风险内源分析和外源分析的概念,因为风险是可识别的,可以通过内外部数据分析进行识别。
企业的任何风险都不会没有征兆直接爆发。现在企业中爆发的风险都是屡教不改的结果。内审人员每天去查账和整改,可是很多时候发现问题都是重复的,企业或者业务部门都不去整改,这是为什么呢?业务部门的这些领导难道不想改吗?不是的!因为业务部门认为内审人员提的全是细枝末节的事情,对于他们业务无关紧要,对于部门领导来说,不可能总拿着这些事情去烦高层领导。所以在公司里做风险管控工作的相关人员要学会换位思考,运用业务人员的思维思考问题、剖析问题,从而形成风险和业务融合。
我们再谈一下风险管理,内部控制研究委员会给出的定义是:风险管理是一套由董事会与管理层共同设立的与企业战略相关的管理流程。它的功能是识别影响企业运作的潜在事件,并把风险降低到企业可接受的水平,从而帮助企业达到其目标。
企业可以把风险分三个层面:公司层面风险、业务层面风险、专项层面风险。
公司层面风险包括了企业全面风险,是内外部风险对企业的冲击。主要包含的是战略风险、市场风险、运营风险、法律风险、财务风险等。
业务层面风险是指企业业务运营中存在的风险,主要的控制手段就是强化内部控制,在金融业叫作“操作风险”。金融行业的操作风险就是传统行业的内部控制,以制造为主的企业在推进内部控制,以金融为主的企业在推进操作风险。
专项层面风险是指对于企业具有重要意义的特殊事项对企业的影响,比如金融企业的专项投资、国企中的“三重一大”等。
企业整体风险管控就目前的趋势而言,主要是内外部数据及资源整合,进行大数据分析,形成全行业风险管控,进而防范企业内外部风险。企业风险管控有助于管理层协调风险偏好与企业战略之间的匹配关系,强化风险应对策略,减少营运意外事件和损失,识别和管理贯穿整个企业的风险,建立抵抗多重风险的综合响应预案,抓住机遇及改善资本配置。
内部控制是由公司董事会、管理层和其他员工实施的,为实现经营的效率和效果性、财务报告的可靠性以及适用法律、法规的遵循性等目标提供合理保证的一个过程。内部控制强调的是企业运营过程中的风险管控,也叫业务管控。内部控制本身和业务流程是直接相关的。但是企业在实际构建内部控制体系的过程中要认清一个事实,那就是企业在没有建立现代内部控制体系之前也是有流程的,也是有内部控制的;否则企业是如何管理的?例如企业是怎么报销的?怎么做业务的?怎么做销售的?企业在没有18个内部控制应用指引的时候,自己有没有内部控制?有没有风险指标?是有的,只不过企业没有把它提高到这么重要的程度罢了,我们现在构建的内部控制体系,其实是内部控制显性化、体系化,而非重新建设。为什么提高到现在这种层面呢?因为企业要提高管理水平或者变成公众公司,一旦发生风险,对于这些企业来说就是一个致命的打击或损失。所以,中国企业从2008年到2012年这四年间做的内部控制体系基本上以合规型内部控制为指导方向,这样的内部控制,太过于注重合规而缺少了对现有执行层面的关注。目前的风险管控融合了风险与内部控制,更注重实效性。举个例子:企业的总经理在想控制某个业务的时候,编写了控制矩阵,内容包括目标、控制措施、手段等,但是就算把控制矩阵写得再长,也跑不出三句话:想控制什么,谁控制,怎么控制。
另外一个问题是内部控制构建和内部控制评价分离,也就是说内部控制的构建部门和内部控制的评价部门是两个部门。在国家出具相关规范和指引之前,企业各业务部门的内部控制是自身完善的,所以没有构建与评价分离之说,从这个角度分析,企业一直都是有内部控制的,只是没有显性化罢了。内部控制体系形成有两种模式:第一种是从上往下,即从公司管理层出发到公司业务最末端,全面流程梳理风险控制点;第二种是通过循环评价及审计、搜集证据和线索、识别风险源,从而反映出哪里出了问题,到底是制度的问题、流程的问题还是人的问题,进而完善管控措施并进行相关整改。企业在构建风险管控能力过程中,两种手段必须综合运用,注重实效,形成与战略和业务结合,这是新的思路。
所以,现在企业在做内部控制的时候,做得越简单越好,越实用越好,发挥效率越快越好。越来越多的人意识到厚厚的内部控制手册是没有用的,也有越来越多的企业不再做内部控制手册了。我们现在要解决的问题是执行,更简单地执行,更有效地执行,在可控状态下执行。
我们再谈谈内部审计,什么是审计?对相关问题及业务的再确认,审计是领导层最重要的工作,管理就是一个是管即管控,一个是理即业务。但是企业中的审计人员经常抱怨不被重视,是什么原因?第一,审计人员的格局和业务能力欠缺,导致管理层不信任,自己亲自管;第二,现在是大数据审计时代,审计人员缺乏互联网、大数据知识,无法进行有效的审计。从审计工作的本质上说,审计工作主要由两大业务组成:第一,锁定审计区域;第二,搜集审计证据。
在现在的“互联网+大数据”环境下,对信息技术越熟的人,对信息安全越熟的人,对某一行业、某一企业越熟的人,锁定审计区域越准;反之越是传统的人,相关业务背景单一的人,在审计领域越难有作为。
风险、内控、审计如何进行融合?风险管理和内部控制的关系其实就是:风险管理让你做正确的事,那么内部控制告诉你的是正确地做事。
内部控制解决的是流程管控问题,包括业务流程、管理流程中的风险控制,解决的是“正确地做事”。内部控制更加注重实效,嵌入企业各业务流程的具体业务活动中,融合在企业的各项规章制度之中,使企业在正常运营过程中自发地防止错误,确保合规和真实,从而合理保证目标的实现。
风险管理解决的不仅是流程问题,更要解决战略决策问题、应急处理问题;不仅要解决当前的问题,更要预测和应对将来可能发生的问题;不但要解决“正确地做事”,关键还要解决“做正确的事”。
风险管理更偏向于前端,对影响目标实现因素的分析、评估与应对,防止重大决策失误,防止出现重大危机问题。
另外一个概念是风险敞口。一个企业到底想要多大的风险敞口是做风险的人必须要解决的。企业的风险敞口决定企业的一些管控方法,你会发现经营特别好的企业,都是风险和业务融合,让业务把控自身风险,这是一种良性的风险管控策略。
内部控制与企业管控颗粒度相关,公司领导想把企业管理到什么程度就是管控颗粒度,也可以理解为业务管控程度,这个非常关键。内部控制体系根本不用重新构建,因为企业本来就有,只不过企业在发挥其作用的时候,运用得不好,比如管理制度一成不变,按制度执行违反常理,但是无法改变。用一句话总结就是,好的习惯就是内部控制。
内部控制是否有作用,需要进行内部控制评价,评价方法分为独立评价和自我评价两种。独立评价是以公司为主导进行评价;自我评价是对自己负责的业务进行评价。内部控制的独立评价和内部控制审计有什么关系?内部控制审计、独立评价其实从思路及方法上大体相同,目前在实务操作中基本进行了整合。所以,现在上市公司通常的做法是以综合审计代替评价,形成“以评促建,以审促评”新的风险管控建设方法,不仅节省了资源,也达到了评价的目的。
以前企业做内部评价,都是拿一些底稿,拿一些流程到工作中进行穿行测试,这个方法效果并不明显,因为一个流程在正常情况下根本不可能有问题,什么时候有问题?那就是遇到问题的时候;什么时候遇到问题呢?两个字可以解释,即“如果”。比如A是B的流程上一步,A如果出错B是否可以第一个发现?A如果某一个单子填错了,B能够第一个发现吗?如果B可以发现,那么流程是有效的,如果到最后一步都没有人发现,那么流程就是失效的。一旦碰到小问题你就会发现完全沟通不畅。所以流程是需要正向画,逆向检查和思考的,正向跑的流程永远不会出现问题,例如修一个渠,倒上水就流下去了,永远不会有问题,但是渠的中段漏水,一般是很难发现的,什么时候发现?只有末端发现水少了。流程一定是逆向检查才会发现问题,为什么很多问题总出现在财务上,因为财务是企业所有业务及流程的最后一端,显示的是企业经营的结果,就是这个道理。
风险识别主要针对内外部数据进行内部风险源分析、外部风险源分析。识别内部风险的时候,主要就是进行内部风险源分析。内部风险源分析的思路及方法和内部审计的思路及方法基本相似,是可以融合运用的,在融合的状态下工作,我们很难区别是在做风险识别还是在做内部审计。就风险源的分析而言,外部风险源分析很少用内部审计的方式方法,内部风险源分析基本上就是找缺陷、查问题,和审计的方式方法没有本质区别。市场环境和企业自身经营都在变化,管控的手段和程序也必须随之而变化。这样就从业务到审计,构建了企业管控三道防线(见图1-2)。图1-2 企业管控三道防线1.3 集团管控与风险管控的联动
风险管控的前提是公司治理和集团管控,集团管控模式分为战略管控型、财务管控型、运营管控型。集团管控模式与风险管控密切相关,直接影响企业的经营管理模式及策略,例如运营管控型的公司,一般采用垂直模式进行大管控,下属企业基本没有审计职能,这是运营管控型公司的特点。运营管控型公司的战略由集团总部统一制定,这样风险集中到了总部,下属公司在企业管理的时候很少涉及风险管理,更多地强调执行力及内部控制。这其实就需要把内控融入业务比较深,所以这样的下属公司在设立组织结构时设置内控法务部的比较多。
战略管控型的公司有一个业务特点是经营权下移、管控权上移。集团只管战略方向及全集团风险管控,经营权下移到下属公司,所以下移经营权的时候同时下移了业务风险。战略管控型公司的总部在设计组织架构时,风险管控职能部门通常叫作审计风险部。
很多大型集团公司虽然把风险、内控、审计三种职能放在一个部门里面,但是分配给不同的处室,不同处室之间对于风险、内控、审计一直在强调风险不归我管,归另外处室管理,又人为地把企业管控手段割裂了。由于风险、内控、审计三种手段对于具体业务上是一体化的,所以完全割裂的做法是错误的。
在集团公司中,内部控制的目标是合理保证集团公司及下属公司经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进集团实现发展战略。内部控制工作是由集团董事会、监事会、经理层和全体员工实施的,旨在实现集团公司及下属公司控制目标的过程。
在集团公司中,内部控制评价是在集团董事会领导下,由审计风险部门具体组织实施,对集团公司及下属公司内部控制的有效性进行全面评价、形成评价结论,并出具评价报告的过程。内部控制评价是集团内部控制体系的重要组成部分,是集团公司对管理活动实施监督的重要手段,是内部管理提升的重要推动力,是满足监管机构对内部控制有效性要求的重要途径。
目前,中国企业在跨越式成长过程中,风险管理、内部控制不可避免地会暴露出一些问题。
一是决策支持层面。高层管理者缺乏风控意识,导致无法获得充分信息以支持其进行决策;缺乏对风险的量化分析,影响公司应对风险所需的管理资源分配;难以实时、动态地把握企业风险状况以便各层级风险应对负责人及时应对。
二是风险管控职能层面。业务流程层面的内部控制要素维护、风险评估、控制识别、有效性检查评价等均需要手工完成,效率和效果难以保证;内部控制流程、风险应对措施、监督评价结果没有有效地与业务指标相结合,难以融入日常业务运作;信息来源、格式、口径、版本不统一,数据、信息分散,难以有效利用。
三是业务单元风险管理执行层面。各业务单元在风险识别、评估、应对及内控流程优化过程中缺乏统一的沟通与协作平台,难以实现多口径信息共享;各业务单元直接参与风险管理及内控优化工作仍主要局限于风险管理或内部控制联系人,控制负责人的参与程度不够广泛;报告渠道不清晰,内部信息沟通不畅。
评价一个企业内部控制体系是否完善,并不是报告出得多漂亮,而是在执行过程中有没有问题。现在很多企业都是持续风险管控投入和风险事件频发并存,这就是内部控制没做好的体现。体现最明显的就是近几年在金融行业IT系统领域,由于IT审计发展跟不上时代潮流,导致各金融企业系统风险事件频发。比如光大证券乌龙指事件,就是典型的业务凌驾于管控之前,导致内部控制失效的案例。
从三鹿集团三聚氰胺事件到东南融通的成本欺诈倒闭,一个企业发生风险事件不可怕,关键是处理风险的态度和有无危机公关处理能力。在经济全球化的大环境下,我们开始逐步走出去,进行国际化,这给中国企业带来了新的挑战,而中国企业转型升级的必然之路就是风险管控。
面对以上问题,传统的集团管控模式及风险管控方法已经变得束手无策。将企业管控、风险管控与企业大数据高度融合,形成一套在大数据环境下,新型的、有效的风险管控落地模式,才是集团公司风险管控解决之道。1.4 风险管控融入业务、融入信息化
企业风险管控和业务息息相关,更与信息化有千丝万缕的关系,那么风险管控如何从企业经营数据着手?数据是企业所有业务的结果,所以风险管控要与业务数据打通,如果不能从控制数据着手防范企业风险,风险管控就等于空壳。现在审计人员太过于专注审计本身,已经把经济责任审计、离任审计做到了极致,但是公司的风险没有得到有效控制,这样就违背了企业管控的初衷。
某大型集团公司在做供应商审计及信用评级的时候,供应商把所有审计的流程、风险点、报告全部准备好了,但是审计人员去到现场,保安人员没有按规定拦住审计人员的车,结果在第一天审计人员就因此事给出了企业内部控制不合格的结论。为什么?因为有了安全管理内部控制制度不执行,等于没有,内部控制形同虚设。风险管控的第一个事项是把风险管控的相关任务和职能写在所有部门的岗位说明书里面。这里特别强调的是所有人员,在具体业务上,风险管控就是业务人员对具体业务本身及风险的管控。
将风险管控融入公司业务过程中,通过对公司业务流程进行梳理,识别并分析公司业务风险,并针对业务风险制定控制措施,通过职责分工控制、授权控制、审核审批控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动控制、绩效考核控制和信息技术控制等手段对每个业务环节规范制度流程,植入风控因素,形成以风控为导向的业务管控闭环,通过对业务过程的风险管控达到对公司风险的管控(见图1-3)。图1-3 业务管控循环
中国企业从20世纪90年代开始进行大规模的ERP系统建设,ERP系统建设是以业务流程为基础的,而现在我们给企业构建的风险管控体系也是以流程为基础的,那么这两个方面有什么区别和联系?众所周知,企业的业务流程只能有一套,以前做的合规型内控中的流程梳理及风险控制点就和企业一直在使用的ERP里的业务流程起了直接冲突。这就是我们常说的“两张皮”现象,为什么会有冲突呢?原因很简单,传统ERP都是效率型的,这和当年的历史背景有关,当年国内在引入ERP系统时,没有引入一个模块,叫作GRC,即公司治理及风险管控,GRC的全称就是governance(公司治理或管控)、risk management(风险管理)和compliance management(法规遵从),是以企业管控、风险和法规遵从为对象,为决策层和管理层提供综合信息和流程控制的平台。这导致了企业在建设ERP的时候失去了原有的效益性,缺乏对风险管控手段的运用,所以到目前为止中国企业出现很大一个管理漏洞,就是构建的风险管控体系与原有的ERP管控不符。另外,传统ERP把功能模块进行了大量分拆,形成了多套业务系统,没有形成管理落地一体化。从企业管控角度出发,靠单纯的风险管控咨询工作是无法解决这个问题的,这也是为什么现在的风险管控咨询不能落地的原因。
国家五部委发布的《内部控制应用指引》将业务流程及内部控制显性化,而ERP使我们的企业流程信息化。那么ERP构建之前的业务蓝图与风险管控什么关系?其实这些业务蓝图正是内部控制体系的信息化体现。风险管控与ERP目前存在比较大的误区,主要有以下几个方面:
第一,业务部门不了解业务蓝图。
第二,ERP流程人员不清楚内部控制。
第三,ERP流程和内部控制流程对不上。
例如采购业务,ERP的采购业务蓝图和采购内部控制流程是否有区别?如果有区别,证明企业内部控制及流程无法执行。因为企业在用ERP进行内部管理,但是内部控制把它做成了与ERP流程不一样的业务流程,所以这样的业务流程根本就不可能执行。流程与制度本来是一体化的,制度本身很难发挥效率,流程是制度发挥效率的一个很重要的手段。
国内企业中的信息化及流程人员一般没有发挥应有的作用,企业的信息化部门沦为了行政部下面的IT维护。其实真正懂ERP的人员是做流程化落地的人员,就是在外企公司常看到的信息系统及流程化部门里的人员。这和IT维护有本质上的差别。风险管控人员需要协调相关人员识别控制点,向企业领导建议风险该怎么控制。ERP厂商每年收10%~15%的服务费,国内企业都不愿意交,为什么?因为觉得没有发挥应有的作用,大家没有想明白一个问题,建设完ERP之后为什么会有10%~15%的维护费?其实这笔费用是企业在变化过程中的系统更新费用。不愿意交的后果就是企业在建设ERP之后,5~10年系统都不更新。然而管理工作是无止境的,在持续变化调整、调整变化。这样的ERP从建设的第一天就是死的,注定解决不了企业的实际问题,所以企业每年在做组织架构调整、流程梳理后都需要更新ERP,权限、表单、事项都要重新进行梳理。
正确的方法是,在做内部控制的时候,首先从ERP流程着手,与企业的业务蓝图相对比:
第一,如果所想到的内部控制流程和企业的ERP流程是一样的,识别控制点就可以了。
第二,如果ERP流程和业务蓝图不一致,则需要业务流程再造,完善企业的业务及流程,从而完善ERP业务蓝图。
这几年互联网思维得到了大发展,颠覆了以往大家的思维定式,比如风险和谁相关?风险和战略相关,所以现在有一些公司开始把风险职能和战略管理职能融合。内部控制和ERP相关,所以有些企业的流程化、系统化由风险管控人员和IT管理人员一起完成。从2013年开始越来越多的企业意识到这个问题,提出要走风险管控实战化落地的路线,将风险管控人员换成业务管控人员,从实际业务出发,把控业务,进而控制风险。但是目前很多风险管控人员缺乏业务知识,缺乏信息化经验,根本无法做到风险管控与企业业务及信息化相结合,这也是目前企业风险管控必须要突破的瓶颈。1.5 智能监控的思路及方式方法
大数据要想发挥应有的作用,离不开人工智能及模型,所以大数据风控就是由三类尖端人员才可以胜任的工作,主要是大数据分析专家、精通业务及技术的模型编制专家、可以快速编制大数据智能模型的数学专家,这三类人员缺一不可,从现在的情况看,最重要的是精通业务及技术的模型编制专家,由于我国在业务与计算机结合这类中间学科方面不健全,导致专业化人才严重缺乏,下面我们就阐述一下,对于业务的最基本控制问题。我们知道内部控制主要讲的就是怎么控制才是有效的。控制的种类可以分为预防性控制、检查性控制、指导性控制、纠正性控制、信息系统控制(见图1-4)。图1-4 控制的种类
什么是预防性控制?为了防止错误和舞弊的发生而采取的控制。简单的理解就是可以预防错误的发生。比如银行在客户取钱的时候都需要核对身份,用这种方法来防止盗用银行卡。
检查性控制是为了发现已出现的不利事项而进行的控制,它可以为管理层提供有关预防性控制有效性的反馈信息。简单来说,就是企业能否发现问题,然后想办法解决这些问题。全面审计就是企业控制风险的一种非常重要的检查性控制手段。但是有些企业在全面审计方面有所欠缺,主要有两个原因,第一个是人力资源上的限制,第二个是审计手段的落后。全面审计需要利用先进的计算机技术和方法进行数据分析,监控指标实时预警和更新,形成审计的业务全覆盖。如果不按这种模式,运用大数据审计技术,现在大型集团公司审计力量都比较有限,很难完成全面审计工作。
指导性控制是为了确保实现有利结果而采取的控制。各种政策、指引、指南和手册等都属于指导性控制。做一本手册,出一套制度,写一个表单,告诉员工如何去工作,这些都可以称为指导性控制。例如工厂里墙上挂着“八不准”“安全第一”等,都属于指导性内控措施;建筑工人常说“安全就是生命”,那是他们的风控指导准则。
纠正性控制是为了纠正已发生的不利事项而采取的控制措施。有一句话叫“惩前毖后,治病救人”,就是这样一个原理。审计部门对于检查出来的问题,向相关领导和业务部门进行有针对性的反馈,让相关领导可以关注检查出来的问题,及时跟踪各业务部门相关问题的落实及整改,从而让业务部门实现对自身业务的规范管理。
信息系统控制包括一般控制和应用控制。一般控制所采用的控制措施普遍适用于所有应用系统,为应用系统提供了环境上的保证,包括组织控制、系统开发控制、操作控制、备份与恢复控制、访问控制、系统维护控制和灾难恢复控制(见图1-5)。一般控制采用的是对所有应用系统保障性的控制。企业当中信息流向分为三类:管理流、业务流、信息流,企业都比较注重的是管理流和业务流,而对信息流关注得比较少,没有形成信息流与管理流及业务流的有效协同,导致信息流中的传递过程出现信息不畅问题。此类问题在企业中出现得比较多,因为企业的两大业务支柱为:第一,风险管控能力;第二,信息化及流程化水平。这两个是企业最重要的核心能力之一。
应用控制旨在对应用处理进行控制。许多应用控制依赖于计算机化的编辑校验,这些校验包括数据的格式、存在性及合理性等,恰当设计的校验有助于确保交易处理的完整性、准确性以及有效性。
应用控制包括真实性测试、准确性测试、完整性测试、冗余测试、访问控制测试、审计线索测试和取整错误测试(见图1-6)。典型的应用控制的例子就是生物探针,我们可以把生物探针嵌入系统流程的任何一个环节,然后编制相应的控制规则。一旦某个环节的业务触发相关控制规则,就会进行自动的记录和预警,也可以进行数据的自动抓取,在智能化状态下,我们可以把风险、内控、审计的手段和控制方法形成自动审计规则,让企业可以运用一键审计功能,从而彻底解决企业风险管控落地问题。图1-5 一般控制测试
系统应用控制是对企业信息系统的具体数据处理活动所进行的控制,一般包括输入控制、处理控制和输出控制三个方面。图1-6 应用控制测试
输入控制。输入控制包括原始单证审核控制、输入数据正确性控制、输入数据完整性控制和输入错误纠正控制。输入控制是解决原始单据审核的控制,输入数据正确的控制,输入数据完整性的控制和输入错误的纠正控制,保证输入数据的正确性,信息系统的“垃圾进、垃圾出”是对输入控制最好的解释。
处理控制。处理控制包括处理权限控制、业务时序控制、合理性检验控制、参照检查控制、审计踪迹控制、备份与恢复控制。
输出控制。输出控制包括输出权限控制、输出数据正确性控制、输出数据审核控制、输出资料分发控制和输出差错更正控制。典型的输出控制就是对打印机是否有效的管控。
在利用信息系统进行风险管控及IT审计的时候,可以利用“大数据+人工智能”进行辅助。可以运用大数据和人工智能形成一种人工智能的计算机程序即专家系统。专家系统内部含有大量某个领域专家的知识与经验,能够利用人类专家的知识和方法来处理其领域的相关问题。也就是说,专家系统是一个具有大量专业知识与经验的程序系统,它应用人工智能技术和计算机技术,根据某领域一个或多个专家提供的知识和经验进行推理和判断,模拟人类专家的决策过程,以便解决那些需要人类专家处理的复杂问题。简而言之,专家系统是一种模拟人类专家解决其领域问题的计算机程序系统。
专家系统在风险管控和审计领域的应用,主要是把企业内外部数据整合,运用人工智能做行为分析,预测风险,形成风险预测机器人,实际作业过程主要是锁定审计区域,搜集审计证据,使用的数据源与风险、内控相同,通过将审计方法进行高度复用形成智能化的监控模型,对业务数据进行实时动态监控。第2章运用大数据解决风险管控
从2008年中国上市公司构建内部控制体系开始,风险管控思路和方法得到快速提升和发展,企业开始运用风险管控解决问题,识别企业管控过程中的风险控制点,把风险控制点与业务融合,运用规则对企业数据进行预警监控,典型做法就是以阿里、京东、腾讯为代表的互联网公司,逐步探索出了“互联网+大数据+风控”的思路,快速把风控和自身业务融合,形成了比较有竞争力的产品,例如支付宝、芝麻信用、微粒贷、京东白条等。以传统企业服务为代表的软件公司,逐步探索研发可以与国外同类产品抗衡的风险管控系统。但是效果甚微,很多上市公司在相关项目上的投入没有得到相应的回报,我认为主因是风险管控咨询和信息化系统没有帮助企业解决关键问题。另外还有一些令人“尴尬”的事情发生,例如很多企业一边在做风险管控,一边因为低级管理失误损失巨大。众所周知,风险管控是帮助企业管控风险的,所以很多人就会认为企业出了问题都是与风险管控相关的。出了事的那些企业,有的在风险管控体系上的评价很高,所以这给企业风险管控扣上了“不务实”的帽子。我认为,解决之道就是大数据风控,企业大数据发展迅猛,运用风险管控给企业管控及大数据构建“灵魂”,从而把企业内外部数据整合,形成把数据输入、把问题输出的数据化管控新模式,让企业运用大数据跟上市场发展的步伐。要怎么做风险管控?要怎么做大数据风控?我们需要把方式方法重新探讨一下。2.1 企业风险管控构建要点
企业风险管控指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中运用风险管控的过程,培育良好的风险管控文化,建立健全的风险管控体系,为实现风险管控的总体目标提供合理保证的过程和方法。
企业根据国资委颁布的《中央企业全面风险管理指引》,财政部等五部委颁布的《企业内部控制基本规范》及配套的《企业内部控制应用指引》《企业内部控制评价指引》《企业内部控制审计指引》《审计署关于内部审计工作的规定》等相关法律法规,结合企业实际情况构建风险识别、风险评估、风险应对、风险预警监控、风险报告、风险监督与改进的一体化全面风险管控体系。企业应在风险管控组织体系的原则下开展,坚持分层、集中与归口三大原则:第一,分层管理原则,根据风险管控活动内容的不同以及风险本身性质和重要程度的不同,在集团总部、二级公司、三级企业三个层级上划分相应的风险管控责任和风险报告责任,每个层级要求有对应的职能机构落实风险管控责任;第二,集中管理原则,对风险实行系统化、专业化管理,成立专门的风险管控职能部门,运用风险管控的专业知识和专门工具,对公司面临的各类风险信息进行汇总分析和评估,对集团总部和各个经营公司整体的风险组合和风险对策进行系统化、专业化管理,对跨部门和经营公司的风险管控工作进行组织协调,为公司风险管控战略性决策提供依据;第三,分类管理原则,根据具体风险的管理需要和现有的组织体系,把公司重大风险的管理责任落实到职能部门和业务部门,由具体部门在规定的风险管控权限范围内主导管理该风险,其他部门和经营公司根据需要给予协助或支持。
全面风险管控工作可分为六个阶段,即风险识别—风险评估—风险应对—风险预警、监控—风险报告—风险监督与改进。工作内容及流程如图2-1所示。图2-1 风险管控流程图2.2 应用大数据为风险管控服务2.2.1 总体思路
企业在市场环境中竞争,面临着诸多不确定性,这些不确定性给企业的经营管理带来了极大的风险。为了及时识别这些风险并进行有效的管控,需要对各种数据进行分析,从中发现企业经营中的策略失误和执行缺陷。传统的风险识别方法主要是通过对财务数据的分析来展开的,然而由于财务数据的滞后性,因统计口径不同形成的误差,以及频发的财务粉饰或财务欺诈,造成了仅仅用财务数据来识别分析企业经营风险的局限性。为克服上述缺点,发展利用大数据来进行风险识别与管理则是一条非常诱人并且实践证明具有现实意义的路径,这也是大数据应用的一个重要方向。
大数据的意义是用新的数据处理模式,用具有更强的决策力、洞察力和流程优化能力来适应海量、高增长率和多样化的信息资源。应用大数据来识别企业的经营风险就是从全社会各个渠道将与企业经营相关的全方位信息进行采集、整合、处理,通过特定的风险管控模型辨识风险,从而采取有效的风险应对。目前金融业是运用大数据手段解决风险管控比较好的行业;工商企业也开始应用大数据来管理应收账款风险或信用风险、股权投资风险、资产配置风险等。服务于风险管控的大数据主要来源于企业数据、工商局数据、市场交易信息、公检法关于经济案件的信息、税务数据、媒体数据以及其他信息,通过对这些大数据的统计分析构建识别风险、应对风险的手段。2.2.2 企业内外部大数据构成
应用大数据服务于风险管控,就是采集各种类型可以从不同侧面反映企业经营状态和经营能力的数据,通过对数据的采集、转换、存储、统计以及经过风险模型的加工处理,来进行风险揭示或风险预警,达成有效的风险管控。下面我们来分别阐述可以用于风险管控的各类“大数据”。1.企业财务及报表数据
企业财务及报表数据主要由两类组成,一类是自身企业的数据,这个可以通过ETL工具快速实现;另一类是市场化公司数据,随着经济的发展,大量企业在全球范围内成为上市公司。这些企业多数通常经营业绩较好,在其所在的行业中颇具有代表性或先进性。因此广泛采集上市公司定期披露的财务报表及内部控制报告,可以较为便利地将相关指标加工成企业对标数据,通过对标来发现企业的经营管理风险。2.供应链数据
大数据将用于供应链从需求产生、产品设计到采购、制造、订单、物流以及协同的各个环节,通过大数据的使用对供应链进行全面管控,企业可以通过大数据平台把供应链数据进行整合,对于制造业或类制造业企业而言,仓储物流数据准确地反映了企业经营的“繁荣”程度,同时这个数据也是供应链金融或供应链融资的基础数据。掌握企业的仓储物流数据,就可以绕开通过财务报表来分析企业经营风险的缺陷。3.工商数据
工商数据是指来自工商局的企业注册信息以及后续的变更信息,主要反映了企业的性质、经营范围以及股东或控制人的状况。这其中非常有价值的是股东数据,可以识别股东在多家企业的控股状况,当其中某一家企业出现风险时,有可能传递到或殃及其控股的其他企业。另外,通过对股东的关联控股企业的监测与分析,也可以发现其中负面的或形成财务粉饰的关联交易数据。4.公检法及海关数据
公检法数据目前主要是指来自法院系统的经济案件数据以及来自公安机关的金融欺诈报案数据。法院的经济案件数据已被商业银行广泛使用,通过经济纠纷事件来推断贷款企业或申请贷款企业的信用状况以及可能面临的道德风险;而公安机关的报案数据对于发现金融欺诈、非法集资、恶性高利贷等有着直接的应用价值。
中国外向型经济的特点以及中国经济与世界经济体系的日益融合,使得海关统计的企业进出口贸易数据集中地反映了商品进出口企业的经营状况,特别是较长周期的数据监测与分析,很好地揭示了这些企业的经营风险,是银行识别贷款客户风险以及工商企业识别应收账款风险的重要信息源。5.征信数据
人民银行的征信数据是目前国内积累时间最久、覆盖面最大的数据源,涵盖了历史上在商业银行贷款违约的客户信息。目前人民银行征信数据属于限制开放的信息源,主要服务于商业银行以及准许的非银行金融机构。各省在人民银行征信数据之外,还尝试建立了联合征信体系,是对人民银行征信数据的有效补充,在风险管控应用中也具有重要意义。6.舆情或负面事件数据
舆情或负面事件数据是指在互联网上新闻、微信、微博、论坛以及博客等上出现的关于特定机构的负面消息,其表现形式可以是一段文字、视频、音频、图片或其他组合形式。关于特定机构的负面消息或负面事件,可能揭露了其面临的各种风险,甚至是面临的危机,这是在各种风险管控中都不应该忽视的重要信息或风险预警信号。7.环保数据
环保部以及各地环保局关于对违反环境保护法企业的立案及处罚数据,一方面反映了当事企业的社会责任管理缺失、信用状况恶化的状态;另一方面也反映了由于环保限制或环保处罚,而可能导致的企业经营的不确定性或者可能面临的巨大经营风险。这部分数据往往也是银行或交易对手进行相关决策的重要参考信息。8.电商交易数据
电商交易数据较好地反映了商品生产企业或商品销售企业的经营状况,据此数据来评定商户的信用等级或信用风险在以往获得了较为满意的准确度。因此,对于从事贷款业务和投资业务的金融机构,如果能获得企业的电商交易数据就可以较便利地识别企业的经营风险。之所以仅提及电商是因为其上的交易数据是电子化的,并且数据管理集中、商品生产企业或商品销售企业的覆盖面较大。
除了上述各种已经存在的“大数据”类型外,权威机构的行业研究报告、行业的经济分析报告、国家宏观经济指标数据、市场利率、汇率以及其他的市场指数指标数据等也是揭示企业可能受此影响而面临特定风险的重要信号,也应该纳入大数据应用于风险管控的范畴。2.2.3 大数据专项技术及措施
在前述大数据采集、转换、存储的基础上,形成了面向风险管控应用的数据集合或数据仓库。然而要想迅捷、有效地使用这些数据为风险管理服务,还必须发展和创立一些专项的技术,包括大数据检索技术、基于大数据的风险识别模型以及风险预警机制等。1.大数据检索技术
大数据搜索引擎是大数据应用的基本工具,通过搜索引擎快速地提取我们需要的风险信号,进行风险分析和风险预警。市面上主流的Hadoop大数据搜索引擎,对于服务于风险管控的大数据而言有着成本过于高昂的缺点,需要发展一种专门用于二次信息采集、围绕着风险管控主题组织数据的低成本检索工具,作为各种风险管控应用提取所需信息的工具。2.风险识别模型
利用大数据来识别特定对象的风险,必然面临着风险信号出处多样、内容繁杂、质量良莠不齐的状况。在这种情况下,传统的风险识别模型往往不能胜任有效识别风险的任务,需要发展多种基于规则的、基于业务的、基于多种信息整合的以及基于统计学原理的大数据风险识别模型,才能保证大数据有效地服务于风险管控。3.风险预警机制
在风险识别模型的基础上,还需要开发出一整套基于大数据的风险管控系统,针对识别出的风险决策是否发出预警。在这个领域华博一直在研发华博大数据,有效突破了实时在线预警问题。作为一种集中式的大数据服务平台,由于其服务对象的多样性,风险容忍度必然是多样化的,这使得建立适用于多种服务对象的风险容忍度体系存在着工作量繁重、提取风险偏好困难的障碍,需要广泛地调查研究、收集信息来建立有实用价值的容忍度体系。
试读结束[说明:试读内容隐藏了图片]