企业内控该怎么做
- 来源:计算机世界
- 关键字:
- 发布时间:2009-09-01 09:25
“自2009年7月1日起在上市公司范围内施行,鼓励非上市的大中型企业执行”。2008年5月20日,由财政部、证监会、审计署、银监会和保监会五部委联合发布的《企业内部控制基本规范》中这样说。
这个“期限”一度引起了国内企业尤其是上市公司的恐慌。因为这个规范被称为中国版的萨班斯法案,预计将对上市公司的信息透明、运作规范起到有力的约束。
7月1日临近了,预期中的风暴却并未来临。几个月前,该规范被推迟到2010年1月1日施行,据信是国家有关部门担心法规遵循工作给面临金融危机的上市企业带来过重的经济负担。
尽管很多人怀疑这个实施时间仍有可能继续推迟,但是,企业加强内部控制的趋势却不可逆转。因此,晚做不如早做,只有提前练好内功,企业才能在规范真正实施之后从容应对。
为了探讨企业内控与IT建设之间的关系,给上市企业、大中型企业的IT负责人提供经验借鉴,6月23日,计算机世界报召开了一个小型研讨会。会上既有中国人寿、中石化等有着萨班斯法案遵循经验的大型企业,也有安永、德勤、埃森哲等咨询公司,同时,SAP、CA、EMC、东软、浪潮、慧点等IT企业还带来了IT治理的理念与产品。
明确内控的目标
两年前,记者采访中国人寿萨班斯法案遵循工作时,一位信息技术负责人感叹说,一直以为中国人寿的IT控制程序相对其它企业而言已经较为完善了,但当他看到《萨班斯法案》的要求后,却傻眼了,因为他自以为很严格的公司治理与《萨班斯法案》的要求相差太远了。很多时候,IT部门的工作重点仍然是满足业务系统的功能需求,还远远谈不上IT内控体系的建设和完善。
萨班斯法案要求在美国上市的企业,建立起包括控制环境、风险评估、控制活动、信息沟通以及监督等内容的完整、有效的内部控制体系,管理层要对内控责任和有效性发表意见,并承担相应法律责任,所有内控的实质性漏洞必须予以披露。
中国的《基本规范》在大体框架上与萨班斯法案类似,指出“企业内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略”。
从这个目标看,内控首先影响到的是财务报告和审计工作,那么,内控与IT的关系又在哪里呢?
IDS Sheer大中国区总经理洪钟认为,内部控制有三个关键词:内控、信息系统和风险。“内控是一种行为和手段,而目标是控制风险,信息系统既是一种控制手段,又是控制的对象,所以企业的IT系统本身要是有效的,要独立运行”。
Aryasec2005年的一份调查显示,萨班斯法案遵循对企业不同部门的影响程度并不一样,其中,对财务部门的影响为100%,紧随其后的就是对IT部门的影响,高达95.7%。也就是说,IT部门是受法规遵循影响最大的部门之一。
在当前环境下,IT系统已经贯穿于企业业务的开始、授权、记录、处理和报告一整套过程中,并为有效的财务报告内部控制系统提供强有力的支持,极大地影响公司数据的完整性。也就是说,企业越来越多的业务流程都建立在IT系统之上,管理业务就是管理IT。考虑到IT在建立与保持有效的财务报告内部控制方面所发挥的重要作用,必须要对IT内部控制的有效性予以评估。
安永高级经理李文宁有过为20多家国内外企业提供内控咨询工作的经验,他认为,“从风险角度去做的控制涉及公司的业务、财务、人事、销售等所有部门,而IT内部控制涉及公司所有业务部门,如果IT有问题,将对公司有直接影响。”
李文宁认为,缺乏适当的IT内部控制,公司将面临业务、财务等方面的风险,比如因为缺乏严格责任分离或者不适当用户授权带来的舞弊风险,或者因为没有使用入侵检测系统以及不合适授权带来的数据修改风险等。
他也看到,国内企业内控建设的现状并不乐观,控制体系的建设远远赶不上业务发展的速度,大部分公司想着怎么赚钱,怎么做大业务,却很少关注IT内部,管理层不重视企业内控,公司也没有建立专门的风险管理部门和团队。
那么,公司应该怎么正确看待内控法规遵循工作呢?
“如果把萨班斯法案看作是一场考试,一般人应对考试有两种措施,一种是只练习考试要考查的内容,不考的就不练,还有一种方法,就是全面增强自己的能力,这样无论考什么内容都能通过”,中国石油化工股份有限公司信息系统管理部副总工程师吴正宏表示。在他看来,中石化不是为了通过外审而去做加强内控管理的工作的,更希望借此强化内部管理,建立自己的内控体系,约束员工和下属企业。
因此,完善公司治理决不仅仅是应对监管机构的“被迫”和“暂时”之举,更是一个公司快速、健康发展的内在要求,只不过,外部监管环境的变化加快了上市公司加强内部控制的步伐。
吴正宏也提到一个问题,企业内部的很多IT系统是在内控基本规范出台之前上的,实施系统时不可能考虑到今天适应内控管理的需要,这就需要企业花大力气改造原有系统,以符合规范的要求。“IT系统普遍重视功能性要求,比如是否能够出单,是否安全,反应速度如何,至于是否满足审计要求,过程是否可追溯等非功能性要求却不被重视,这些恰恰是需要加强的。”
《基本规范》之后,国家相关部门也出台了《企业内部控制应用指引》、《企业内部控制评价指引》、《企业内部控制鉴证指引》三个征求意见稿,其中《应用指引》对各个重要的业务、财务、信息系统方面分别提供了内部控制设计和实施的指导和参考。参照指引,公司IT系统的控制内容有五大方面:岗位分工与授权审批;系统开发、变更与维护控制;信息系统访问安全,硬件管理;会计信息化及控制。
加强内控的四大困惑
IDS Sheer大中国区总经理洪钟在德国工作了20年,两年前回到中国。他与中国客户交流时发现,企业对内部控制这个课题的理解很有趣,“既模糊又清晰”。他说,“清晰在于有明确的文件加以规定;模糊,则来自于大家不知道内部控制是怎么发展来的,也不了解其目的”。
困惑重重,就是国内企业对于内部控制管理认识的真实写照。
困惑一,内控到底做到什么程度?
法规遵循是一项既费时间又费精力的工作。中国人寿2006年为萨班斯法案遵循付出的费用是7000万元,而这还只是显在的成本。潜在成本包括备份体系的建立、安全措施的整改、人员补充等“良性增长”,也包括额外工作的支出,如整改、流程明确、管理层测试等带来的人员、成本投入,数额相当巨大。
“如果我自己开个小公司,我肯定不会设内控部门,因为企业永远以赚钱为第一目的,如果生存都成问题,更不会去做内控了。那么,如何对中国大量中小企业进行管控?企业内控和IT建设要做到什么程度?我们一定要找到最具性价比的方案”,EMC的专家指出。
中科软科技股份有限公司总裁左春认为,《基本规范》中既有全面性原则,也有重要性原则,说明了内部控制应该有所取舍,应该关注重要业务事项和高风险领域。“比如萨班斯法案的遵循中,审计都是抽查的,最后审计公司出具的无保留意见,并不意味着真的没问题,只是说没有检查到而已。”因此,虽然中国人寿共有60多个信息系统,但是接受萨班斯法案测试的应用系统只有CBPS8、CBPS7等9个重要的系统。
困惑二,人工干预与IT工具的自动控制之间,如何平衡?
安永的李文宁指出,在实施信息系统内部风险控制时,既可以选择人工控制,也可以选择系统自动控制。前者需要企业投入较多的人力成本,控制实施的效率较低,并且容易出错;后者可以帮助降低成本,提高控制的效率和可依赖程度。至于具体选择哪种方式,就需要企业根据自身情况,平衡成本效率和风险控制要求,选择合理的组合。
那么,人的控制主要体现在哪里?中国人寿保险股份有限公司信息技术部信息安全处经理杨芳表示,人工依赖系统控制主要包括追踪解决计算机产生的异常报告问题、审阅系统产生的账龄列表以及管理层审阅执行报告等。
记者此前采访中也获悉,法规的具体实施标准更多取决于公司的认识。比如一项工作应该由谁来审批,这是需要公司决定的,最终对风险进行认定和分析的还是公司。中国IT治理研究中心副主任孟秀转则从控制环境的角度,强调了执行的重要性,以及文化对执行有效性的重要影响。
“在企业内部控制的人、技术、流程三大因素中,人是最主要的因素”,孟秀转说。即使采用了一些IT系统和IT工具,相关的文档、日志也在系统里保留下来了,最后还需要人去对这些信息进行深层次的挖掘,包括问题在哪里,是流程的问题还是执行的问题,这些都只有人才能判断。因此,流程和制度只是内控的第一步,最关键的是执行,是公司形成一种规范运作、合法合规的文化。
困惑三,内控与管理到底什么关系?
曾经有企业困惑地询问孟秀转,我们是否应该应对内控的要求,设置首席内控官、或者首席风险管理官?还有的单位内部有法规部、风险控制部等好几个职责相近的部门,他们弄不明白,不同部门该如何定位?
“很多困惑,来自于各种内控法规要求让企业对于如何管理企业产生了怀疑,根本问题在于,他们把内控与管理分割开了。其实,内控与管理是一回事。管理最重要的是对人的管理,实现效率最大化,风险可控化。无论何时,企业都不应该忘记自己最核心的目标和最核心的战略,毕竟合法、合规只是企业效率最大化的支撑而已”,孟秀转表示。
她强调说,IT的目的是支持企业发展,创造企业的核心竞争力,而不是为了一份满足审计部门要求的财务报告。可以说,企业的业务战略是主目标,在实现主目标的过程中,可以兼顾到合法合规、信息真实披露等子目标。但是,企业决不能盲目应付国家各种法律法规的要求而忘记了企业本来的目的。
吴正宏则指出,法规经常推陈出新,但这并不意味着企业就要疲于应付。“那些内部管理比较完善的企业,通过各种认证都很容易,因此,IT管理部门要从规划和管理体制做起,搭建一个好的管理体系,这样才能以不变应万变。”
内控产品准备就绪
最近几年,GRC的概念开始慢慢升温。GRC(Governance,Risk and Compliance)以企业管控、风险和法规遵从为对象,为企业提供综合的流程控制解决方案。SAP、CA、慧点、东软等企业都已形成了专门的解决方案,其它一些软件企业则在自己的企业管理软件产品中融入了管控的理念。
SAP方案和架构设计部行业售前经理张跃介绍说,SAP已经形成了ERP、EPM(企业绩效管理)和GRC共同发挥作用的全面解决方案。2006年,SAP就推出了GRC解决方案,并且专门成立了一个新部门负责这条产品线。GRC可以集中管理单记录系统中的 GRC 信息,包括公司策略、法规、合规和控制框架、业务流程以及风险和控制库;能够前瞻性识别、分析和监控,以预测潜在威胁并予以响应;可以自动控制以确保适当的用户访问和授权;监控业务流程以促进所需的行为并使结果最大化等,实现了端到端的GRC 活动自动化。
自身为萨班斯法案遵循付出了巨大代价、曾经受到美国证券监督管理委员会高达18亿美元罚款的CA 公司,自2005年以来,不仅在自身加强风险管控方面做了很多工作,设置了首席风险官等职位,还将自己的产品线从1000多个产品缩减到IT治理、IT安全和IT管理三大系列解决方案。
CA大中华区总经理檀林表示,CA的GRC产品强调风险的可视化、风险管理流程改善、以及IT系统的自动化,以满足合规要求并降低成本。此外,CA还建立了一个整合的全球法规遵循知识库,这个知识库整合了全球各行业的最佳实践和法规要求,如银行业的巴塞尔协议2、以及医疗、能源行业等一共400多个法规,建立了一万多个控制点,可以简化企业风险合规性管理的实施平台。
2007年,Oracle也在美国宣布推出一款金融服务业的GRC软件,是一款面向解决银行、保险、资本市场等金融服务机构特有的关键GRC问题的产品。它可以从全局出发判断基于内部和外部法令的管理策略和工作程序的有效性,帮助职能部门实施与业务有关的法规并跟踪法规遵从情况。
在国内,有关产品也相继问世。2008年,慧点科技的GRC产品与“中国管理软件推动中国企业走向世界”的发展愿景一起面世。慧点的GRC包含三大基石性的管理支撑系统方案,即面向业务执行的办公自动化系统,面向业务监控的内控/风控系统和面向决策和管理的绩效管理系统。慧点认为,它将使管理软件跳出之前的执行层功能应用层面,对企业进行多层面的管控和管理。
东软表示,东软也有自己的GRC产品,在不久前的大连软交会上正式露面,只是还没有展开大张旗鼓的宣传。东软从2007年就开始了相关的产品研发,目前已经拥有了现实的客户。他认为,国内企业做的多说的少,导致外国企业在GRC市场发出的声音更大。
其它一些企业虽然没有打出GRC的旗号,做的事情却都是瞄准了国家加强监管之后,企业加强内部控制所产生的IT市场。2008年11月,用友推出了NC5.5暨内控与风险管理解决方案。用友宣称这是“中国国内第一套全面支持《企业内部控制基本规范》的企业管理软件,在针对集团企业的NC系列ERP上加入内控管理元素。
精彩言论:
中国IT治理研究中心副主任孟秀转
在企业内部控制的人、技术、流程三大因素中,人是最主要的因素。其实,内控与管理是一回事。管理最重要的是对人的管理,实现效率最大化,风险可控化。
中国石油化工股份有限公司信息系统管理部副总工程师吴正宏
如果把法规遵循看作是一场考试,有的人只练习考试要考查的内容,不考的就不练,还有的人全面增强自己的能力,这样无论考什么内容都能通过。中石化更希望借法规遵循的机会强化内部管理。
CA大中华区总经理檀林
CA的GRC产品强调风险的可视化、风险管理流程改善、以及IT系统的自动化,以满足合规要求并降低成本。
中国人寿保险股份有限公司信息技术部信息安全处经理杨芳
法规遵循对中国人寿来说积极的意义更大。我们梳理形成了信息技术管理制度,IT部门在公司的地位也获得了认可,有了更多话语权。去年,信息技术部新成立了信息安全处,专门负责信息安全内控审计的工作。
中科软科技股份有限公司总裁左春
《基本规范》中既有全面性原则,也有重要性原则,说明了内部控制应该有所取舍,应该关注重要业务事项和高风险领域。
安永高级经理李文宁
缺乏适当的IT内部控制,公司将面临业务、财务等方面的风险,比如因为缺乏严格责任分离或者不适当用户授权带来的舞弊风险,或者未授权的数据修改风险等。
IDS Sheer大中国区总经理洪钟
内部控制有三个关键词:内控、信息系统和风险。内控是一种行为和手段,而目标是控制风险,信息系统既是一种控制手段,又是控制的对象。
关注读览天下微信,
100万篇深度好文,
等你来看……