尊敬的各位来宾、各位朋友，大家下午好！我是金蝶软件的曲海燕。非常高兴有这样一个机会在这个美丽的庄园和各位分享关于“集团企业风险管控”的话题。我今天向大家报告的主题是《管控风险，稳健扩张》，今天报告的主要内容分为两部分：第一部分和各位分析中国集团企业高速扩张的风险；第二部分将从“道、法、器、术”四个层次和大家探讨中国企业风险管控的解决之道。

刚才徐总谈到中国经济在改革开放30年来获得了持续、稳定、高速的增长，这个成就令世界瞩目。有人预言中华民族在21世纪将会进入继汉武中兴、开元盛世、康乾盛世之后第四个民族大发展的黄金时代。

我们很高兴地看到，过去的30年里，珠三角这片改革开放的前沿阵地上诞生了诸多的财富英雄和创业神话。

强势的经济拉动使得很多的中国企业在不知不觉中已经成为巨人，但核心竞争力不显著、管理能力相对滞后于业务的发展，成为中国企业的典型特征。

随着规模的扩大，风险如影相随。这些中国企业多数处在高速成长和扩张阶段。在高风险的笼罩之下，许多中国企业就像一个四面透风的大厦，一遇到暴风骤雨就可能发生倾覆的危险。那么，中国企业在风险管理方面，作为如何呢？根据德勤中国在07年开展的一项有关中国上市公司内部控制现状的调查，我们可以看到，大部分的上市公司清楚了解监管机构对内部控制的要求，但只有20%的上市公司认为自身现有的内部控制体系能够完全满足监管要求；76%的受访上市公司均表示不了解或不确定如何有效地进行风险管理工作；72%受访公司认为公司本身没有一个持续监控内部控制有效性的机制。据此，我们得出一个结论，多数的中国企业缺乏完善的风险管理体系，在此，我们呼吁：中国企业需要加强风险管控，确保在多变的环境中稳健扩张！

风险无处不在，管控风险从何做起呢？在此我们引入风险势能的概念：企业风险影响力从权力金字塔自上而下递减，处于高位发生风险的损失程度更大，处于低位发生风险的损失相对较小，风险影响力较大的因素称具有较高的风险势能，也是需要特别加以关注的因素。在企业中风险势能较大的要素依次是：公司治理、公司战略、组织管控、业务运营。鉴于此，在2004年COSO-ERM框架中特别对董事会和管理层在建立全面风险管理体系中的责任提出了一系列详尽而明确的要求。

在此，我们基于中国企业特殊的商业环境和各位共同分析中国集团企业发展的主要风险。

首先，从风险势能最高的公司治理层面来看，在公司治理层面，中国集团企业发展的主要风险具体表现在：公司治理结构不完善、监督和约束机制不健全；董事会、监事会、经济的角色高度重叠，监管虚化，决策风险大；人治色彩浓厚，制度的影响力有限。

在公司战略层面，风险的主要表现为：战略时尚化，投机性强，战略风险高；过度多元化，核心竞争优势不显著；业务关联度低，集团战略协同效应不显著；战略运营两张皮，缺乏精细化的战略执行。

在组织管控方面，表现为：组织管控模式选择失当，不能有效地支持战略；不能动态适应环境和业务的变化。另一方面，集团公司的总部功能定位不清，体现在中国集团企业的总部和下属机构处在不停的博弈状态，管理和沟通成本很高。第三方面，中国企业表现在管理的过度和风险监控的不足，管和控不能做到有机的平衡。要么管理过度，要么缺乏控制。第四方面，管控体系不完善，管控的手段比较落后，比较多地采用人去管理，或者是通过一些手工管理。后面我们将与各位分享如何建立集团管控体系。

在业务运营方面，表现为：业务模式不能动态应对环境变化；运营管理粗放，专业化、精细化程度低；业务预测和风险控制能力薄弱；信息技术的利用程度相对低。

上述是我们理解的中国集团企业在发展过程中的主要风险。

面对这样的风险，我们认为，应该从完善治理、明晰战略、高效组织、精细运营四个方面去构建全面风险管理体系，确保企业稳健扩张。

下面，我们谈一下集团企业如何建立全面风险管理体系。

全面风险管理的发展经历了五个阶段，第四个阶段是1992年美国发布的COSO内部控制整体框架阶段，财政部主要以此为蓝本，拟定中国企业的内部控制指引。第五个阶段，2004年COSO整体框架在1992年的基础上做了全面的修正，就是目前我们要和大家分享的COSO/ERM框架，对92年的框架有一个全面的更新和完善，主要增加了目标设置、事件辨识等三个要素。

全面风险管理的组织包括一个基础，三道防线。一个基础是以公司治理为基础，三道防线是指业务运作单位、风险管理单位和内部审计单位这三道防线。第一道防线是业务部门，由于业务部门会接触大量的公司资产和业务，并且与风险的距离最近，直接地接触外部的风险。同时对风险最敏感，能够及时发现潜在的风险，因此业务部门是第一道防线。在这道防线中，我们有必要把内部控制和风险管理的各种流程融入到业务运作的主要流程当中去，只有这样才能建好第一道屏障。第二道防线是在业务部门之上设立一个风险管理的专业职能组织，在这个方面，有些企业成立了风险管理委员会，比如信贷管理委员会、价格管理委员会等。第三道防线是审计管理委员会，一般来讲是内控、内审的专门组织，会独立于业务部门，专门对公司内控体系的建设和执行情况，以及公司所关注的相关风险进行监控。

刚才谈到了一个基础，三道防线是全面风险管理的组织框架，公司治理这个基础为什么是全面风险管理的基础呢？郞咸平教授认为：公司治理是公司权利和制衡的制度安排。它是风险管理的一个必要组成部分，它提供了对风险自上而下的监控与管理。公司治理涉及到公司的绩效表现，关系到一家公司如何得到有效管理，从而能够发挥最佳的绩效。另外，还涉及到责任的问题，关系到董事会和管理层如何向股东负责，而使股东从公司的绩效中获得收益。近年来，很多国家都订立了公司治理的最佳守则，包括美国、加拿大、英国。

既然风险管理对公司如此重要，如何构建一个有利风险管理的公司治理结构？基本上有三方面的内容：

建立一个健全的、以董事会为首的公司治理结构，明确企业的战略目标，包括企业的风险政策和极限，贯彻一套重视风险管理的企业文化和价值观。

由于COSO来源于美国，所以我们有必要对美国和中国企业的治理结构作一比较。在完善治理结构方面，对美国企业治理结构的完善，其要点和中国企业治理结构完善的要点可能有所不同。

美国企业治理结构中，没有独立的监事会，监事会是在董事会的领导下，不是独立于董理会的组织。股权分散，董事由经理推荐，经理的作用显著。大股东起约束作用。而大股东多数是机构投资者，这是美国企业治理结构的特点。

对德国企业而言，其治理结构的特点是基本上缺乏董事会，监事会起类似于董事会的作用。股票市场不发达，主银行起主导作用。

对日本企业而言，其治理结构的特点是：企业间相互持股、主银行作为财团的核心企业，股权约束弱化，银行作用强化。日本的企业没有股东大会。经理有很大的权力，对企业有相当大的控制权和法人代表权。

对于中国企业治理结构而言，中国企业和美国企业不同，它的股权相对集中，一般都有控股股东。第二方面，银行是主要的融资渠道，但是债权人的影响力非常弱，经理人和董事会的

成员高度重叠，决策的风险很大。监事会的独立性不足，外部治理环境和内部治理机制双重弱化。

我们认为，美国企业治理结构的完善和中国企业治理结构的完善重点是有所不同的。

上面我们谈了全面风险管理一个基础，三道防线。除此之外，全面风险管理的主要内容包括八个要素：

第一方面，内部环境的建设，主要是阐明了董事会和管理层在风险管理、管理哲学、文化价值观的导入、授权和职责方面的职责和作用。

第二到第六方面主要是从风险管理的流程方面来阐述的，包括目标设定、风险识别、风险量度、风险策略、控制行为等几个方面。

第七个方面的内容是信息和沟通。

第八个方面是需要建立持续的监控体系。

现在我们做一个小结，刚才阐述了如何建立全面风险管理的体系，这个体系简而言之是一个基础，三道防线和八个要素。

下面，我们和各位分享一下关于全面风险管理的策略和方法。

首先，我们看一个案例，关于全面风险管理的策略和方法，我们仍然从公司治理的策略方法谈起。

美国世通公司是美国第二大电信企业。02年，世通公司被发现财务舞弊，于02年末申请破产保护，成为美国历史上最大的破产个案。

是什么原因导致世通事件呢？调查发现，世通的董事会持续地赋予公司CEO权力，让他一人独揽大权，世通完全没有监督制衡的机制，董事会没有负起监督的责任。

从上述我们分析的美国企业治理结构，如果董事是由经理提名的话，从感情和动力上都没有动因对管理层提供制衡。另外，这样的大公司股权非常分散，因此，CEO具有绝对的权力。对中国企业，我们可以探讨一下有哪些启示，绝对的权力必然产生绝对的腐败。权力制衡要落到实处，三元结构可有效地规避风险。

我们看到，美国的企业是缺乏独立的监事会，所以基本上类似于二元结构，二元结构没有办法有效地规避风险。

我们再来看一下中国的企业，中国企业的治理结构也同样存在一个问题，监事会相对弱化。在监事会相对弱化的情况下，权力制衡的机制没有办法有效发挥作用，因此，可能造成董事会和管理层之间的博弈。这种博弈的结果，如果董事会比较强势，风险主要表现为决策风险。在很多企业，我们都知道，特别是一股独大的股权结构的企业，基本上大股东制订了决策的话，就被执行，没有制衡和评估、监控机制。第二种情况，如果说在董事会和管理层之间的博弈中管理层占强势地位的话，法人财产就有流失的风险。因此，二元结构最终会流于一元结构。所以，公司治理的要素是风险管理里面风险势能最高的要素。

规避公司治理方面的风险，我们要建立一个健全的、以董事会为首的完善的公司治理结构，明确董事会和管理层的权责，健全监督和约束机制；引入独立董事，保持董事会、监事会、专业委员会的独立性，确保控制体系有效性，订立企业的目标和战略，包括企业的风险政策和极限；贯彻一套重视风险管理的企业文化和价值观、制度体系；通过信息系统实现IT环境下的公司治理。

关于制度方面，我们特别要强调，刚才谈到中国的管理文化是情、理、法，情在前，所以在中国，要克服一个文化的壁垒，就是制度的影响力的问题。制度是企业兴衰成败的生命。成功的企业源于卓越的管理，卓越的管理源于优异的制度。制度的主要作用是规范行为，规避道德性风险。

刚才我们谈到了公司治理风险控制的主要策略首先是完善公司治理结构，那么中国企业要建立怎样的公司治理结构呢？董事会作为决策机构，经理作为执行机构，监事会在股东大会的授权之下，对董事会和经理进行监督，仅仅设立这样一个“三权四会”的结构，可能还是不足够的。很多企业也有这样的结构，在公司章程里面都有明确的描述，但是关键在于，这样一个治理结构是不是得到了落实。对于公司治理结构来讲，对于各个组织的成员结构、人员遴选，特别是董事会、监事会和管理层的决策流程、议事规则、权责体系是否清晰？我们认为中国企业普遍比较缺乏。

通过公司治理的完善，以及公司治理风险的控制和防范体系的建设，我们可以构建一个基于所有者的控制体系。我们认为，一个全面风险管理体系在整个企业里面分为三个层次：

第一个层次是所有者控制体系，控制主体是股东，控制个体是经营者与企业的经营活动。

第二个层面是经营者的控制体系。

第三个层面是管理者的控制体系。

通过这三个体系的建立，才能把一个基础、三道防线真正地落到实处。

下面分享一下关于公司战略方面风险管理的案例。

首先，我们看一个经典的案例，日本八百伴公司。在90年代，八百伴是日本最大的百货公司之一。1997年9月，宣布破产。前面我们讲到了美国企业的最大破产案，这是日本企业的最大破产案。破产是什么原因呢？是因为八百伴低估了经营非核心业务的风险，低估了扩张业务的风险，也低估了开发新兴市场的风险。

在中国东莞，相比看集团公司成立条件。有一个太阳神集团，93年营业额达到创记录的13亿元，在保健品行业的占有率达到了67%，到现在为止，这还是令很多保健品公司望其项背的。此时，太阳神向多元化进军，以纵向发展与横向发展齐头并进为战略，一年内上马了包括石油、房地产、化妆品、电脑、边贸、酒店业在内的20个项目，并进行大规模的收购和投资活动。太阳神向以上这些项目投入资金达3.4亿元，而这3.4亿元几乎全部打了水漂。

这是一个过度多元化的典型案例。从这个案例我们可以得出什么结果呢？中国企业在战略风险管理上，在制订战略方面不能片面地强调外部的机会，企业自身的内部资源优势是不是与这个产业的核心优势相匹配，这是企业家所需要深思的。另一方面，对项目风险评估，中国企业还是比较弱化，科学化、系统化、理性化方面做得不是很充足，这就导致了集团企业的战略风险。

刚才谈到，多度多元化会导致投资收益率低，失控风险和资金风险加大。就像很多制造型企业盲目进入房地产行业一样，房地产是对资金需求非常大的高风险产业，最后导致房地产板块包括主业都限于资金链崩溃的边缘。

对战略性风险的管理，表现在各个方面上。首先，战略是否明晰。多元化还是专业化，是否制订了清晰的战略。在员工素质和能力方面。我们认为中国企业由于发展得过快，在战略规划后组织的能力不能支撑战略是个很严重的问题。很多学者认为，这一点是中国企业在战略实现方面最大的障碍。所以，在与一些企业家沟通的过程中，我向他们征询，在未来30年里，企业高速扩张的主要瓶颈是什么？有不少的企业家都不约而同地给我结论：缺乏人才。

在风险管理的策略和方法方面，我们认为公司需要理性地制订公司战略，建立与组织能力相匹配的战略，避免盲目多元化；谨慎地、集中化地管理投资项目，通过投资管理委员会等决策流程降低投资风险；集团企业需要关注业务板块间的战略协同效应；精细化、动态地进行战略性风险管理。

第三个层次，在组织管控风险方面我们再看一个案例，英国的巴林银行在90年代前是英国最大的银行之一，有超过200年的历史。92-94年期间，巴林银行新加坡分行的总经理里森从事日本大阪及新加坡交易所之间的日经指数期货套期对冲和债券买卖活动，累计亏损超过10亿美元，导致巴林银行于95年2月破产。

对于巴林银行破产来讲

，这绝对不是一个偶然的因素。对于一个高风险的全球性金融机构来讲，风险管理机制和风险管理体系非常薄弱，这样的金融机构破产将只是时间问题。

巴林银行的经验对中国企业有何启示呢？总部应健全对下属机构的业务风险管控体系，对可能产生重大风险的业务进行集中管理或分级监控。总部应对下属机构建立风险预警机制，必要时启动第二或第三道防线及时控制风险。

在此，我们和各位分享一个案例，我们可以把目前中国房地产行业的旗舰万科和几年之前与他并驾齐驱的顺驰进行比较。

万科聚焦于住宅地产领域，选择了集权化的管控模式，而顺驰投资领域不仅在住宅地产、商业地产而包括工业地产，它采用了分权化的管控模式。在投资决策权方面，万科进行总部集中控制，顺驰是由子公司决策。在资金管理权方面，万科由总部统一结算、集中调度，而顺驰是各地区机构分散管理，资金不能共享。恰恰因为这个原因，顺驰因为资金链的断裂而低价销售高价圈来的土地。在财务管理方面，万科进行总部集中垂直化管理，顺驰的区域子公司拥有财务决策权。在人力资源管理方面，万科的作法是机构分公司的干部由总部派出干部进行管理，而顺驰是在当地招聘子公司的经理和负责人，这样的做法使得机构的人员对总部政策的理解力和执行力较弱，沟通成本很高。在产品规划和质量监督方面，万科采取总部集中进行产品设计研发和质量监控，而顺驰，由于质量决策是区域子公司自行决策的，因此产生了很大的风险，一些项目受到客户投诉，对公司品牌有不良损害。在项目审批与发展方面，万科是总部集中控制，而顺驰是区域子公司决策，风险较大。组织架构方面，万科是矩阵式组织结构，而顺驰是区域项目子公司的组织结构。其结果是万科成为市值超过2000亿元的世界型企业，顺驰已经不能和万科同日而语。

在集团组织管控方面，刚才谈到中国企业的一些表现，管控模式选择失当，不能有效支持战略；总部功能定位不清、组织运营低效化，等等。那么，我们要采取什么方法来应对呢？我们认为，要正确地选择管控模式，使之能支持公司战略；明确总部功能定位，分清总部与下属机构的管理权责，并辅以绩效管理；建立系统化的监控体系，并通过信息系统实现IT环境下的管控；根据公司战略进行组织能力建设和人员配置，使之足以支撑战略发展所需。

如何建立完善的集团管控体系呢？首先，集团公司战略是集团管控模式的基础和依据。治理结构是一个权力和制衡的制度安排，对管控模式也有着非常大的决定和影响作用。组织管控模式多数会以组织架构的形式直接地表现出来。同时，管控模式还需要通过总部的功能定位、主要部门的职责，以及对关键资源和核心业务的权责分配方式具体表现。

那么，集团管控要管控什么呢？包知四个方面：资源管控、战略管控、业务管控和文化管控。

首先，集团企业需要对投资人的资产安全和收益负责，所以，需要对集团的资源进行管控，这个方面包括财务管理、人力资源管理、资产管理和信息管理。

第二个方面，集团整体形成步调一致的战略协同，因此需要进行战略管控，包括战略的规划、投资管理、预算管理、绩效管理。

第三个方面，对于相关多元化和单一产业集团，集中化的管控业务可以有效地规避经营风险，实现规模经济效应、范围经济效应和协同效应。

第四个方面，集团总部还需要强化公司的核心价值观，强化文化管控，使得整个集团总部和下属机构在文化价值观上最终融为一体。

刚才我们谈到了组织管控体系的风险管理，通过建立一个完善有效的组织管控体系，可以构建经营者控制体系。

在业务运营方面，会涉及到市场风险、信贷风险、以及操作风险.操作风险主要指的是一些业务层次的风险，是企业内部流程、人为错误或外部因素而令公司产生经济损失的风险，包括公司的流程风险、人为风险、系统风险、事件风险和业务风险等。在这个方面，风险管理和控制的方法和经验与策略都是比较成熟的，因此在这里不再赘述。

刚才阐述了全面风险管理的策略与方法，包括公司治理、公司战略、组织管控、业务运营。同时，在这四个方面的建设中，我们可以构建三个层次的控制体系：所有者风险控制体系、经营者风险控制体系、管理者风险控制体系。

下面，我们谈一下关于全面风险管理的技术层面

有了完整的体系和方法之后，我们提供一个优越的技术支撑，会使风险管理的科学化、理性化水平有一个很大的提高。

首先在风险识别方面，可以采用风险地图法。这个方法主要是在风险的影响程度以及风险发展的可能性两个维度上对企业所存在的潜在风险进行定位和识别。

另外，在风险度量方面，我们可以通过风险指标法，比如图中提供的企业财务失败预警模型，即阿尔特曼模型。还可以采用一些敏感度分析法或者概率分析法，包括β分析法等等。

在风险处理方面，刚才我们通过风险地图的方式，把风险的影响程度和可能性做了描述。对于不同类别的风险，通过风险度量可以提出建议。对于可能性高的风险进行避免和转移，做好关键风险的控制。

控制活动是确保管理阶层的指令得以执行的政策及程序，如核准、授权、验证、调节、复核营业绩效、保障资产安全及职务分工等，关于控制活动包括十个方面内容。其它的顾问会与大家分享。

小结一下，前面我们探讨了全面风险管理的技术，包括风险识别的技术、风险地图法、风险量度的技术、风险处理的方法、10项控制活动等。

明确了风险管理的道、法、术，我们还需要有一个良好的工个来支撑企业全面风险体系的建设，这就是集团管理信息系统。

COBIT对公司层面的信息技术控制的要求，包括控制环境、风险评估管理机制、信息系统与沟通、监控管理方面几个方面。

控制环境方面包括：信息技术战略规划对业务战略规划的关注度；信息技术治理制度体系的建设；信息技术部门的组织结构和关系；信息技术治理相关职权与责任的分配；信息技术人力资源管理；对用户的信息技术教育和培训等。

中国国内的集团企业前几年多是采用了分散化的信息系统的建设，先有局部性的系统，最后才逐步建立全面的系统，这样会产生巨大的集成难度和复杂的系统管理。

我们认为：集团企业信息系统的建设和单一企业有所不同，应该是自上而下的整体规划，再去分步实施。不能从下而上建信息孤岛。

在信息系统的管控体系建立上，我们认为集团对于有控制力的分支机构和下属机构，信息系统应用集团化管理。主要考虑表现在四个层面，对于信息技术项目的集中化，对于系统预算的集中化，对于信息化资产的集中化以及对于信息化人员的集中化管理。这样的管控方式能够很大程度上实现信息资源的标准化，包括资源的共享，以使信息系统的建设和公司整体规划战略保持高度的一致。

信息系统与沟通层面包括：信息系统架构及其对财务；业务流程的支持程度；管理层及治理层的信息沟通模式；信息技术政策、信息安全制度的传达与沟通等。

IT技术管控方面，很多企业缺乏一个完整的体系化的IT系统管控的模式，并且在刚才所谈到的很多技术、政策、沟通方式，包括管控体系、安全制度方面存在很多不完善的地方。这是中国集团企业信息化管理中需要加强的方面。

IT系统对公司治理有哪些方面的支持呢？IT系统可以通过信息共享降低信息的成本，减少信息不对称风险；IT系统可通过管理透明化降低代理成本。

刚才我们谈到的问题，需要在集团层面建立一个IT技术管控的体系和治理规范。因为IT系统对公司治理有很大的支持，另外，不仅对于公司治理，对于集团管控方面，也有非常巨大的作用。IT系统对集团管控有哪些方面的作用呢？

1、通过流程可视、过程透明实现IT环境下的公司治理，一定程度上解决了信息不对称和内部人控制的问题；

2、通过参数设置可以实现管控模式的选择，对财权、人权、业务的集中管理程度；

3、通过集团法人组织、业务组织、核算组织等多组织的定义实现组织结构的扁平化，精细化地考核责任中心的绩效，通过业务组织的灵活定义可以实现虚拟组织和矩阵式组织的管理。实现纵向授权，业务垂直管理；

4、通过多层级权限体系和流程自定义可以实现集团管控权责的分配；

5、通过集团资金、人力资源、资产管理实现集团核心资源集中掌控，实时动态的集中化管理，在很大程度上规避资源分散管理的代理风险；

6、通过战略管理、预算管理、投资管理、绩效管理，强以战略管理为核心的总部职能，绩效分解和评估量化程度提高，数据可垂直采集，信息获得成本低、效率高。真实性得到保证；

7、通过集团财务的集中管理，实现会计核算的标准化，财务波高的精确化，财务管理的精细化；

8、通过集团供应链的管理，实现集团运营的高效率的运营，凸显集团规模优势，实现协同效应。

现在对本次报告做一小结：我们今天的主要观点是：

高速扩张的中国集团企业需要加强全面风险管理；

全面风险管理需要高度关注风险势能较高的要素；

公司治理、战略管理、组织管控、业务运营是风险管理的重点；

IT系统是实现企业全面风险管理的有力工具；

金蝶EAS可以帮助企业有效地管控风险。

我的报告到此结束，谢谢各位