对大数据与互联网金融浪潮下企业内部控制的几点思考
【摘要】目前我国乃至全球都在经历以互联网技术为特征的第三次技术革命。这场技术革命带给我们的除了经济模式的转变外,对于企业内部控制也提出了新的要求和新的思路。本文将从内部控制五个要素出发,分别分析大数据和互联网技术可能带给企业内部控制的新的问题和想法。
【关键词】企业内部控制 大数据 互联网金融
最近大数据、互联网金融、企业创新等名词,在媒体、企业、投资人眼中都成了极度热门的词汇,不管你身处哪个行业,似乎都回避不了这一系列新兴技术和行业环境转变的冲击。笔者从事的投融资咨询、管理咨询类的金融服务企业,面对的客户众多。在与他们沟通的过程当中,我们发现,企业对于大数据和互联网金融如何与自身发生关系比较关注,却较少关注这一波技术革命对于企业面临的市场环境风险和对于企业内部控制建设的影响。事实上,笔者认为,技术的革新对于内控五个要素的影响也是革命性的,在此只提出一些粗浅的思考。
一、控制环境(内部环境):中小企业应加强包括治理结构在内的内部环境建设
控制环境是企业对控制的认知,在这个环境中人们进行经营活动并履行控制职责。我们知道,控制环境一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。这是企业实施内部控制的重要基础,表明企业实施内部控制,应先从治理结构等入手。
以笔者自身亲历的与客户沟通的经验来说,目前很多中小企业对于内部控制的认识虽然在提高,但总体来说还处于较为薄弱的阶段。主要是在于对于控制环境的认识上,在企业的整个经营中,没有把内部控制放在一个应有的地位上。很多企业没有规范的公司治理结构和议事规则,也没有建立适当的审批权限和授权机制,或是建立而不执行、执行效果差。
而另一方面,企业面临的市场环境变化非常迅速,包括大数据和互联网在内的技术革新日新月异,产业生态调整使得产业内之间企业的界限变得模糊―导致产业上下游之间整合加剧。如曾经的巨头摩托罗拉、诺基亚也会被谷歌这样的技术背景企业收购。有很多分析认为这些企业的衰落在于他们的促销没做好,技术投入过大。笔者认为,很大的可能还是由于他们了陷入战略的误区,组织结构的设计也不利于企业对于市场变化作出反应。而且制定战略忽视成本因素,系统风险大,成本高,耗资大。此外,没有实现工业品向消费品的转型。每个月推出新产品难以被现有体系支撑;营销战略失误。降价使摩托罗拉失去消费者信任。也不像苹果那样重视用户需求。
因此,在内部环境的建设上面,企业应当做到:
一是企业治理和组织结构的设计:企业治理结构应当有效指导企业运营,组织结构的设计应当有利于企业对市场环境做出快速反应。重视战略,机会与风险平衡。
二是系统策划战略转型。合理设置组织结构为战略转型作保证,充分调研,广泛征求意见。客观评价风险因素。加强战略时期的风险研判,切实执行三重一大的决策机制,加强对下属公司的战略管控。
三是建立以客户为中心运营机制。根据用户体验及时升级产品。
四是制定和实施有利于企业可持续发展的人力资源政策。
二、风险评估:建立起迅速反应的风险机制
风险评估就是辨识和评估实现企业目标的风险,作为制定风险管理措施的依据。
如上文提到的,目前的技术革命带来的是市场机制上的根本转变,即是“公理”变化。比如企业面对的行业假设变了,在社交媒体时代,压缩推销的市场空间,可以在微信微博上对你指手画脚。
从公司层面来说,公司必须制定目标,必须设立可辨认、分析和管理相关风险的机制,以了解自身所面临的风险,并适时加以处理。在目前的市场环境下,企业面临的机遇很多但不可预测的风险也随之增加。有效的内部控制为企业希望实现的目标提供指导,应当设计预算,战略和业务计划相一致的内部控制制度。
风险评估需要对外部的内部影响企业运营,财务报告和法规遵循的因素进行评估。可能采用的方法包括风险识别、风险评估和风险管理的技术控制自我评估。
首先是识别风险。在互联网金融产品层出不穷的今天,识别风险比以往变得更加困难。比如包括微信等在内的社交媒体的风险―信息的泄漏。由于市场信息丰富导致的新的机会和新的风险。企业要警惕的已经不仅是行业环境变化,也要学会识别是市场机制的变化还是单个行业的变化。不管是传统行业还是新兴行业,面临海量信息之下,更要提高自身识别风险的能力和水平。
第二步,风险评估,对于很多中小企业来说,首先依赖于企业家和管理层关注的焦点,以及决策的能力。
对于风险管理而言,常见的管理方面包括资信管理和供应链管理等。笔者的某客户曾遭遇由于供应商资信调查不足,实物监控缺失,没有实物调查而被供应商骗取了货款的实例。对于供应链方面就要加强业务模式风险的识别与管控、确保社会贸易的银货两讫、加强对货物所有权的监管和定期开展供应商资信调查。参考著名企业如上海通用等企业,其就不考虑博弈性采购,签订五年期的不变价格合同,实行长单和短单的结合。或如欧洲的第一大钢铁制造商安塞洛米塔尔当供应商超过40%时系统就会亮黄灯,反映供应商依赖度过大。
信用风险的控制包括定期催款:询问,电子邮件,催款函等,事实证明,应收账款只有再刚发生时最容易收回。
我们建议中小企业的管理者要判断紧急状态:到达一定时期不以毛利率为考量,而是以现金流为考量。要保证客户,赶走竞争对手。停止供应商付款。
而投资方面的风险管理也是现今随着并购的热潮兴起而成为更多企业面临到的问题。笔者所在团队就建议企业的管理层和董事会必须高度重视投资风险,投资管理职能要重视风险评估,并及时终止一个预判不成功的项目。
由于收入规模与风险息息相关,企业也要警惕过分追求规模的风险。因为策略传递的不匹配,经营单元决策层对市场风险的判断如果不能及时、准确传达到中层管理人员,则中层管理人员可能认为市场形势并不很严峻。市场剧烈波动时,企业客户的经营状况可能发生较大变化,基于其资金压力或诚信等方面的因素,此时客户的信用风险可能急剧上升。因此需要公司调整信用策略甚至管理体系(如业务审批的授权)。由于社交媒体的强大,外界对于诸如315晚会此类的宣传性节目的反应非常迅速有时甚至过激,舆情传播力非常之大。面临这样的舆论传导机制,企业需要更迅速地做出反应,才能在市场中立于不败之地。
三、控制活动:加强预防型控制和系统型控制
控制活动指能够帮助确保公司应对风险的方法,会被及时执行的政策和步骤。我们知道,主要控制类型包括:预防型控制、检查型控制、手工型控制和系统型控制。
由于控制活动导致的内控问题,比较典型是中信泰富“澳元门”:由于中信泰富的财务董事没有遵循金融交易产品的审批手续,只有电话请示董事长,没有经过董事会讨论。导致交易亏损后董事长荣智健辞职。当然这其中既有评估经营风险不当的问题,中信泰富既没有合理评估交易对手,也没有选择基础性风险管理工具,而是选择是奇异金融衍生产品这一自己并不熟悉的产品。然而更重要的是,内部没有遵循决策机制。
更有去年著名的光大乌龙指事件,也没有对交易有头寸控制,而导致了这场耸人听闻的新闻事件。
在以上的案例当中,一般控制活动:授权、批准、核准和确认都没有被正确的执行。
在第二部分中我们提到,以投资活动为例,投资策略防范的第一要素是投资决策是否正确,即决策层能否准确判断市场趋势,提出正确的投资、资产处置策略。该策略正确与否主要取决于决策层的智慧与战略洞察力而非管理流程(管理体系本身只能减少决策失误的可能性,无法直接提升决策的质量)。做正确的事,这就是做决策,需要智慧。如柯达不做数码相机,为了怕影响其胶卷的市场,尽管数码相机是其发明的。
内控活动讲求的是正确地做事,即管理体系的有效性。因为投资策略需要依靠具体投资项目、资产处置项目来落实和体现。投资、资产处置项目执行过程的各个环节存在管理风险。以并购为例:评估论证阶段的尽职调查如果未能发现并购目标的潜在风险,可能造成并购失败。因此需要通过完善管理体系来规避。正确的做事就是专业的管理执行。专业管理领域的风险防范也是依托于各专业领域的管理体系:即便市场不发生波动,如果内部管理流程存在薄弱环节,依然会产生风险,需要加以防范。
内部控制活动包括直接职能管理或活动管理:绩效指标审阅、资产安全、职责分工和信息系统控制。如世界知名的三井物产集团采用了包括在线控制,市场测试,测评信用风险和国家风险控制手段等。中台管制单收货发货(章也是中台管理),后台也管理严格。
因此,在大数据和互联网金融时代,能够预先制止潜在问题或损失发生的活动的预防性控制和设定在软硬件中自动化控制手段的系统型控制显得更为重要。
四、信息与沟通:重视包括移动互联和社交媒体在内的信息传播和沟通方式
在以往,信息与沟通的方式主要包括匿名举报,举报热线电话号码、邮箱向全体员工传达和向客户、供应商等外部利益相关方公开。考虑举报渠道的独立性和保密性,举报及其调查结果记录在案并定期向审计委员会报告,如跨组织、单位和语言的考虑。
如今,信息与沟通的方式则不仅仅如此。如上文提到的,政府部门的工作人员态度明显好转―就是因为随时可以通过微信和微博等社交媒体将其不良行为曝光,也就是不良行为空间被压缩。政府执政方式,与民众沟通的方式也在改变。企业的角度也是如此,不掌握员工和客户等利益相关方的行为变化和规律则不能应对新兴市场。
如现在很多企业建立了自己的公众微博和微信订阅号,与外部利益相关者进行信息互动。企业面临的市场波动风险点,也常常通过微信的转发为员工所知,因此,除了传统的邮箱和电话等形式以外,在考虑独立性和私密性的基础上,企业更应该注重利用新型的媒体社交来加强与员工和客户供应商等的沟通。
五、内部监督
持续监督的目的是确定内部控制是否被恰当的设计和执行,以及内部控制是否有效和适用。整个内部控制的过程必须施以恰当的监督包含两层意思:一是持续的管理层自我监控,包括管理层日常履行控制活动时执行的监控如复核审阅等,以及定期的内控自我评估,如对于大型央企就有公司做内控自我评估的法定要求;二是相对独立部门的监督和审查,如集团审计检查对内控的有效性开展的工作。监督应当融入企业正常的持续的运营活动中,而对于发现的缺陷,应设置上报和追踪改正机制。如中钢集团深陷山西中宇预付款事件,提前预付两个月预付款,包销山西中宇的钢材,就是通过集团审计发现的。
合规性是各种经验教训总结出来的,要遵守议事规则。对于重大经营风险要及时报告最高管理层。
六、小结
为应对大数据和互联网金融行业趋势变化,公司可通过商业模式创新来应对,但商业模式创新的过程存在管理风险,需要加以防范。
每个企业都会面临内控的问题,不管时代怎么改变,这个问题永远不会过时,怎么强调也不过分。很多企业的并购尽职调查因内控混乱而终止,很多上市的项目也因为内控不到位而被退回。我国中小民营企业的内部控制尚处于比较初级的阶段,又遇到了这样的变化剧烈的时代,因此更要加强内部控制意识和内控制度建设,才能做大做强,更好地与资本市场对接,成为未来的成长之星。