2005年中国公司治理暨IT治理年会（G2峰会）-会议介绍-会议序言

首页

会议报道

原文

演讲主题：内部控制体系构建方法和工具

演讲者： Oracle 公司治理高级咨询顾问 Jonathan Chen (陈庆寒)

各位领导、各位来宾下午好。我今天要谈的话题是如何用甲骨文公司的内控系统来完善企业的内控能力。先讲一下企业文化的转变，这个对中国公司是一个很大的挑战，因为我们的文化和西方的文化可能有很大的不一样。我们的文化是要求个人承担起自己的责任。
最后一个话题就是技术支撑平台的有效利用。我想在座的各位已经参与了这个项目，在做的过程中会发觉当我的公司很小的时候，这个问题不大。但是当我的公司是几十万个员工的时候，我怎么去管理这个项目本身就是一个很难的问题。这个时候我们就要考虑一个技术平台支撑的作用。

那么甲骨文在2002年就开始着重于内控体系的研发平台的创建。我们在业界是很有地位的。我们的系统叫ORCM，就是内部控制管理系统。首先我会讲一下它的架构。我们这样的一个系统是一个很综合的系统平台，他是满足多方面用户的需求。比如说我们第一个是完善内部审计系统的要求。第二方面是IT系统审计，这个前面的各位演讲者已经讲过了，IT系统会变的越来越重要。如何去审计你的IT系统，这是一个很难的问题。第三个方面是业务流程责任人。每个人要对自己的流程负责，去做签字确认。最后一个层面就是我们的高管，他要从很高的角度看他的集团公司，他要知道大部分的问题在哪里，他需要有一个概括性的展示工具告诉他这些情况。

我们的系统提供了一些架构。最下面的就是内控基础，这个是我们整个内控系统的平台，这个时候我们要在这里维护我们的数据，以便我们将来进一步的运作。第二个方面就是我们的审计执行。我们需要去评估我们的内控环境，我们需要在系统内做职责分离的测试，我们需要监控我们的应用系统是不是有人动过，我们需要去管理我们内控项目中的点。最后一个方面就是认证管理，一个是业务流程的认证，一个是高管的认证。业务流程就是每个人对自己负责的领域都要认证，层层累计，这样老板得到的认证才是真实的。高管认证就是CEO要看到整个企业的问题。

我们这个系统提供了一个连续的支持能力，从开始建立和维护你的基础知识库、做一个评估和调研，到做IT系统的审计和控制。然后我们去做真正的审计性和实际性工作，还有报表的分析。所有这些过程中都支撑着一个系统的平台。我想今年以前我们大部分的企业都在做这个库，那么我们现在的工具也是OFFICE的文档。接下来一个问题就是可能有几十万的文档分散在企业的各个部分，那么我怎么样去管理这些文档，或者是怎么样去管理他们上下级之间的差异化。所以我们首先建立一个电子化的知识库来帮助我们管理。

我们的知识库中包含了四个主要的因素，流程、风险、控制和程序。我们在这四个要素之间建立他们之间逻辑的匹配关系，这样我们做具体的审计测试的时候我们才能抓住一点。

这个是我们的界面，我们是通过树型的界面展示出企业流程的关系。接下来我们可能会有一级流程，或者是二级流程。这样我们整个企业的各个方面的流程可以很逻辑化的组织起来，接下来我们就可以看到风险有哪些，会不会影响到报表的签署。

一个很具体的问题就是流程化的管理。但是在中国的集团公司很难做到这一点。我们的系统提供了一种工具，可以让你定义下属机构适用的流程和风险控制，但是他应该是可以告诉你，这个特殊流程是根据哪的标准流程演变过来的，而不是我自创的东西。这样在审计的时候我很清楚的知道这个组织中例外流程有多少，同时那个流程是我突出的重点。

接下来的问题就是说当我是一个企业，我建立好风险库的时候，我怎么样去管理集团公司中央和地方的版本差异问题。如果管理不善的话，这个知识库建立起来很快就会作废掉。因为版本一旦冲突你再想找出来就很难。所以我们就要通过绩效系统控制它，怎么样去更新或者是刷新系统的版本。比如说广东分公司感觉有一个流程比集团公司的流程更好。如果集团公司认为确实是这样，就可以授权广东公司刷新集团公司的流程。

那么我们甲骨文在系统流程的后台提供了一个文档管理的工具，帮助集团公司来完成文档的交换。建立了一个完整的知识库以后，第二步要做的一个就是初审的评估和调研。所以我们提供了一种电子的平台帮助我们做一些调研。从一开始建立审计问卷，到最后确定调研对象是谁，然后可以通过这个平台把调研结果的问卷收回来。收回来以后如果靠人力分析这个问卷就会很累，我们可以通过系统来分析这些问卷，这样就可以省很多的人力。

下面就是当我们的业务越来越依靠我们的IT系统的时候，我们如何控制我们的IT系统。因为如果IT系统一旦失控，那么业务就会瘫痪。所以我们就会开始越来越关注系统的控制。那么甲骨文提供了一些系统的支持工具来帮助我们完成类似的工具。比如说第一个职责分明的测试。比如说中国移动可能有上万个员工，我怎么样保证这些员工的职责不冲突。那么我们的系统提供了一种工具，当你把这些规则定义好以后，把它录入到我们的系统，然后系统会自动的检查在这个系统中是否存在这个表格中所违例的事项。所以这样最后报告你一个报告谁有哪些职责，我们应该怎么改。

再比如说系统应用的控制和监控。我们知道其实我们越来越多的ERG系统一开始人工的制订一些流程，然后我们在实施的时候把这些流程、要求和控制放到我们的系统当中去，由系统去控制。这种规则最后会形成我们系统的控制。当一个集团公司，比如说我们的电信运营商在全国有30多个系统，你怎么样去控制你上海分公司的系统，你怎么样确保上海分公司的系统控制还是你原来看到的那样。这里有两种可能，第一种可能是无意识的更改。第二种就是可能有意识的去更改选项而改变控制。问题就是我在北京公司，我怎么样可以控制上海分公司的系统呢。那么我们的系统可以对每个你设定的参数进行比较，最后告诉你哪个参数变了，什么时候被改的，被谁改的。这个时候你就可以看到整个系统的环境状态。我们通过这个工具一个平台可以追踪到你下面的文档，然后向你报告。这样你也可以告诉你的审计者我是如何确保我的系统在我的控制之中的。

接下来我们会有一个测试与审计。这个过程中我们会有项目的管理，每一个审计都是一个小的项目，有每个人工作进度完成情况的管理，还有每个人问题的管理。这个过程中的管理也需要一套项目的管理机制，那么甲骨文系统提供了一个从项目到任务到审计程序到具体步骤的过程。

这是一个系统界面，他就告诉我们整个项目的进度情况。告诉我们哪些项目已经完成，还有完成的进度等等。这样我就可以知道我们在项目的审计上做到了哪些程度。这个界面是告诉我们一个企业可能有三个机构，一个总部两个分公司，每个分公司可能是有两个大的业务流程。那么我作为总部的领导，你告诉我哪个分公司做得好，哪个分公司的哪个业务流程做得不好。现在的问题是如果明年七月审计，我明年六月份再告诉领导，那肯定来不及。但是我们的系统可以很及时的告诉你问题在那。

我们的系统是由总部的管理层发出一个流程的确认，确认以后这就是你的责任，如果出了问题就是一查到底。这样最后省公司去确认市公司的管理，最后形成一个金字塔的结构。每个人在每个领域去确认，确认以后我们就可以看到每个流程人可察看自己下属确认的状态和问题。这样我们就可以制订一些修改计划和弥补计划。这个事情基本上在华外资企业都在自己做。

在前面我们做了这么多工作以后，我后面接着有一个问题，就是你报表的签署。就是我们的CEO或者是CFO会看到什么东西。这个时候我们需要提供一个仪表盘告诉他你工作的进度。那么我们财务报表的确认和认证是一种集成的关系。通过这样的一种图表告诉他，作为整个公司不太完善的流程是多少，比重是多少，重大缺陷是多少，比重是多少。这样这个图出来以后就可以知道整个集团的状态。

这个图是从一个资产负债表的角度来看我们的萨班斯条款。我们从这个资产负债表当中可以看到每个报表的哪一项是有问题的，为什么会有这个问题。当你的流程不确认的时候，比如说收入的时候我的收费系统不确认稳定性的时候，我就没有办法确认收入的准确性。

从公司的结构去看，我可以看到中国哪个分公司管理得好，哪个公司管理得不好。最后一个就是我们的报表和分析，在这里我们提供了一些相应的统计报表和分析报表来便于我们的工作。前面我们展示过了这种图表。系统可以帮助你打印出审计项目的进度表，作为你审计项目执行的依据，提供给外部审计师做检查，告诉他内部审计师已经做了这些工作，并且告诉他这些结果所对应的历史状态。这样外部审计师会减少很多的工作量，同时他对你的信心也会提高很多。

另外我们还提供了一些预设的报表为我们的审计使用。然后还有我们的系统可扩展性，数据属性都是可拓展的。那么我们甲骨文提供了从建立知识库，到建立评估问卷，到做具体的审计工作，到最后报表的生产，这样的一个流程的覆盖和功能的支持。会为我们每一个步骤提供强有力的支持。我们的观点就是我们的系统是一个有效、透明的、可持续的系统平台。

我们的甲骨文系统目前在全球有广泛的应用，到今年已经超过了200个客户在应用。现在市场上没有任何一个公司比我们有更多的客户。我们的客户包括很多的电信、电器公司，还有银行、石油企业都在用甲骨文系统来完善内控系统。最后非常感谢大家。