“自2009年7月1日起在上市公司范围内施行,鼓励非上市的大中型企业执行。”2008年5月20日,由财政部、证监会、审计署、银监会和保监会五部委联合发布的《企业内部控制基本规范》(下文简称《规范》)中这样写道。这个“期限”一度引起了国内企业尤其是上市公司的恐慌。因为这个规范被称为“中国版的萨班斯法案”,预计将对上市公司的信息透明、运作规范等进行有力的约束。7月1日临近了,预期中的风暴却并未来临。几个月前,该规范被推迟到2010年1月1日施行,据传这是因为国家有关部门担心法规遵循工作会给面临金融危机的上市企业带来过重的经济负担。
尽管很多人怀疑这个实施时间仍有可能继续推迟,但是,企业加强内部控制的趋势却不可逆转。因此,晚做不如早做,只有提前练好内功,企业才能在规范真正实施之后从容应对。
明确企业内控目标
《萨班斯法案》要求在美国上市的企业,建立起包括控制环境、风险评估、控制活动、信息沟通以及监督等方面在内的完整、有效的内部控制体系,管理层要对内控责任和有效性发表意见,并承担相应的法律责任,所有内控的实质性漏洞必须予以披露。
中国的《规范》在大体框架上与《萨班斯法案》类似,指出“企业内部控制的目标是合理保证企业经营管理合法合规、资产安全
、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略”。 从这个目标看,内控首先影响到的是财务报告和审计工作,那么,内控与IT的关系又在哪里呢?IDS Sheer大中国区总经理洪钟认为,内部控制有三个关键词: 内控、信息系统和风险。“内控是一种行为和手段,而目标是控制风险,信息系统既是一种控制手段,又是控制的对象,所以企业的IT系统本身要是有的,要独立运行。”
Aryasec2005年的一份调查显示,萨班斯法案对企业不同部门的影响程度并不一样,其中,对财务部门的影响为100%,紧随其后的就是对IT部门的影响,高达95.7%。也就是说,IT部门是受法规遵循影响较大的部门之一。
在当前环境下,IT系统已经贯穿于企业业务的开始、授权、记录、处理和报告等一整套过程中,并为有效的财务报告内部控制系统提供强有力的支持,保证公司数据的完整性。考虑到IT在建立与保持有效的财务报告内部控制方面所发挥的重要作用,必须对IT内部控制的有效性予以评估。
安永科技与信息安全咨询服务经理李文宁有过为20多家国内外企业提供内控咨询工作的经验,他认为:“IT内部控制涉及公司所有业务部门,如果IT有问题,将对公司有直接影响。”
李文宁认为,缺乏适当的IT内部控制,公司将面临业务、财务等方面的风险,比如因为缺乏严格责任分离或者不适当用户授权带来的舞弊风险,或者因为没有使用入侵检测系统以及不合适授权而带来的数据修改风险等。
他也看到,国内企业内控建设的现状并不乐观,控制体系的建设远远赶不上业务发展的速度,大部分公司只想着怎么赚钱、怎么做大业务,却很少关注IT内部,管理层不重视企业内控,公司自然也就没有建立专门的风险管理部门和团队。
那么,公司应该怎么正确看待内控法规遵循工作呢?
“如果把萨班斯法案看做是一场考试,一般人应对考试有两种措施: 一种是只练习考试要考查的内容,不考的就不
练; 还有一种方法,就是全面增强自己的能力,这样无论考什么内容都能通过。”中国石油化工股份有限公司信息系统管理部副总工程师吴正宏表示。在他看来,中石化不是为了通过外审而去做加强内控管理工作的,而是更希望借此强化内部管理,建立自己的内控体系,约束员工和下属企业。因此,完善公司治理决
不仅仅是应对监管机构的“被迫”和“暂时”之举,更是一个公司快速、健康发展的内在要求。吴正宏也提到一个问题,企业内部的很多IT系统是在内控基本规范出台之前上的,而当时企业实施系统时不可能考虑到今天适应内控管理的需要,这就需要企业继续花大力气改造原有系统,以符合《规范》的要求,这给企业带来了很大的困难。其实《规范》出台之后,国家相关部门也出台了《企业内部控制应用指引》、《企业内部控制评价指引》、《企业内部控制鉴证指引》三个征求意见稿,其中《应用指引》对各个重要的业务、财务、信息系统方面分别提供了内部控制设计和实施的指导和参考。参照指引,公司IT系统的控制内容有五大方面: 岗位分工与授权审批; 系统开发、变更与维护控制; 信息系统访问安全,硬件管理; 会计信息化及控制。
内控的三大困惑
IDS Sheer大中国区总经理洪钟在德国工作了20年,两年前回到中国。他与中国客户交流时发现,企业对内部控制这个课题的理解很有趣,“既模糊又清晰。”他说,“清晰在于有明确的文件加以规定;模糊,则来自于大家不知道内部控制是怎么发展来的,也不了解其目的。”困惑重重,是目前国内企业对于内部控制管理认识的真实写照。
困惑一,内控到底该做到什么程度?法规遵循是一项既费时间又费精力的工作。中国人寿2006年为萨班斯法案遵循付出的费用是7000万元,而这还只是显在的成本。潜在成本则无法计算。
“如果我自己开个小公司,我肯定不会设内控部门,因为企业永远是以赚钱为第一目的,如果生存都成问题,更不会去做内控了。那么,如何对中国大量中小企业进行管控?企业内控和IT建设要做到什么程度?我们一定要找到最具性价比的方案。”EMC全球服务部、大中国区咨询服务总监马隽指出。
中科软科技股份有限公司总裁左春认为,《规范》中既有全面性原则,也有重要性原则,说明了企业内部控制应该有所取舍,应该关注重要业
务事项和高风险领域。虽然中国人寿共有60多个信息系统,但是接受萨班斯法案测试的应用系统只有CBPS8、CBPS7等9个重要的系统。
困惑二,人工干预与IT工具的自动控制之间,如何平衡?
安永的李文宁指出,在实施信息系统内部风险控制时,既可以选择人工控制,也可以选择IT系统自动控制。前者需要企业投入较多的人力成本,控制实施的效率较低,并且容易出错; 后者可以帮助降低成本,提高控制的效率和可依赖程度。至于具体选择哪种方式,就需要企业根据自身情况,平衡成本效率和风险控制要求,选择合理的组合。那么,人的控制主要体现在哪里?中国人寿保险股份有限公司信息技术部信息安全处经理杨芳表示,人工控制主要包括追踪、解决计算机产生的异常报告、审阅系统产生的账龄列表以及管理层审阅执行报告等。
中国IT治理研究中心副主任孟秀转则从控制环境的角度,强调了企业内控执行的重要性,以及公司文化对执行有效性的重要影响。
“在企业内部控制的人、技术、流程三大因素中,人是最主要的因素。”孟秀转说。即使采用了一些IT系统和IT工具,相关的文档、日志也在系统里保留下来了,最后还得需要人去对这些信息进行深层次的挖掘,包括“问题出在哪里”、“是流程的问题还是执行的问题”,这些都只有人才能判断。因此,流程和制度只是内控的第一步,最关键的是执行,是公司形成一种规范运作、合法合规的文化。
困惑三,内控与管理到底是什么关系?曾经有企业很困惑地询问孟秀转,我们在应对内控的要求时,是否应该设置首席内控官,或者首席风险管理官?有的企业内部设有法规部、风险控制部等好几个职责相近的部门,他们弄不明白,不同部门该如何定位?
“很多困惑,来自于内控法规的要求让企业对于如何管理企业产生了怀疑。根本问题在
于,他们把内控与管理分割开了。其实,内控与管理是一回事。管理最重要的是对人的管理,实现效率最大化,风险可控化。无论何时,企业都不应该忘记自己最核心的目标和最核心的战略,毕竟合法、合规只是企业效率最大化的支撑而已。”孟秀转表示。
她强调说,IT的目的是支持企业发展,创造企业的核心竞争力,而不是为了一份满足审计部门要求的财务报告。可以说,企业的业务是主目标,在实现主目标的过程中,可以兼顾到合法合规、信息真实披露等子目标。但是,企业决不能因为盲目应付国家各种法律法规而忘记了企业本来的目的。吴正宏则指出,法规经常推陈出新,但这并不意味着企业就要疲于应付。“那些内部管理比较完善的企业,通过各种认证都很容易。因此,IT管理部门要从规划和管理体制做起,搭建一个好的管理体系,这样
才能以不变应万变。”产品准备就绪
最近几年,GRC的概念开始慢慢升温。GRC(Governance,Risk and Compliance)是以企业管控、风险和法规遵从为对象,为企业提供综合的流程控制解决方案。SAP、CA、慧点、东软等企业都已形成了专门的解决方案,其他一些软件企业则在自己的企业管理软件产品中融入了管控的理念。
SAP方案和架构设计部行业售前经理张跃介绍说,SAP已经形成了ERP、EPM(企业绩效管理)和GRC共同发挥作用的全面解决方案。2006年,SAP就推出了GRC解决方案,并且专门成立了一个新部门负责这条产品线。该方案可以集中管理记录系统中的 GRC 信息,包括公司策略、法规、合规和控制框架、业务流程以及风险和控制库; 能够前瞻性地识别、分析和监控,以预测潜在威胁并予以响应; 可以自动控制以确保适当的用户访问和授权; 监控业务流程以促进所需的行为并使结果最大化等,实现了端到端的GRC 活动自动化。
自身为遵循萨班斯法案付出了巨大代价、曾经受到美国证券监督管理委员会高达18亿美元罚款的CA 公司,自2005年以来,不仅在自身加强风险管控方面做了很多工作,设置了首席风险官职位,还将自己的产品线从1000多个产品缩减到IT治理、IT安全和IT
管理三大系列解决方案。
CA大中华区总经理檀林表示,CA的GRC产品强调风险的可视化、风险管理流程改善,以及IT系统的自动化,以满足合规要求并降低成本。此外,CA还建立了一个整合的全球法规遵循知识库,这个知识库整合了全球各行业的最佳实践和法规要求,如银行业的巴塞尔协议,以及医疗、能源等行业一共400多个法规,建立了一万多个控制点,及可以简化企业风险合规性管理的实施平台。
2007年,Oracle也在美国宣布推出一款金融服务业的GRC软件,它是一款面向银行、
保险、资本市场等金融服务机构解决其特有的关键GRC问题的产品。它可以从全局出发判断基于内部和外部法令的管理策略和工作程序的有效性,帮助职能部门实施与业务有关的法规并跟踪法规遵从情况。
在国内,有关产品也相继问世。2008年,慧点科技的GRC产品与“中国管理软件推动中国企业走向世界”的发展愿景一起面世。慧点的GRC包含三大基石性的管理支撑系统方案,即面向业务执行的办公自动化系统,面向业务监控的内控/风控系统和面向决策和管理的绩效管理系统。慧点认为,它将使管理软件跳出之前的执行层功能应用层面,对企业进行多层面的管控和管理。东软表示,东软也有自己的GRC产品,
在不久前的大连软交会上已正式露面,只是还没有展开大张旗鼓的宣传。东软从2007年就开始了相关产品的研发,目前已经拥有了现实的客户。
据记者了解,还有其他一些企业虽然没有打出GRC的旗号,做的事情却都是瞄准了国家加强监管之后,企业为加强内部控制所衍生的IT市场。2008年11月,用友推出了NC5.5暨内控与风险管理解决方案。用友宣称这是“中国国内第一套全面支持《企业内部控制基本规范》的企业管理软件。
因篇幅问题不能全部显示,请点此查看更多更全内容