2005年中国公司治理暨IT治理年会（G2峰会）-会议介绍-会议序言

首页

会议报道

原文

演讲主题：符合SOX法案的企业信息系统控制体系构建及其价值探讨

演讲者： 毕博管理咨询大中国区经理 池邦劳

各位领导、各位来宾大家早上好。首先我先自我介绍一下，我是毕博管理咨询公司负责战略和管理的经理迟帮劳。我的发言包括三大块的内容，首先我们简单回顾一下<<萨班斯法案>>对美国上市公司的一些要求。同时我们针对我们今天大会的主题 IT 治理这块我们所需要做的事情，以及毕博在这块实施的一些方法论。因为我们很多是做信息化工作的，刚才孙强先生也提到了对于萨班斯法案实施的话，每个部门都有不同的看法。所以最终我们还要看一下，这个体系的构建到底对我们信息化的工作是促进作用还是有一定的阻碍作用？我想就这个问题和大家做一下探讨。

首先就是萨班斯法案，它的起因大家都很清楚，主要是因为安然公司的丑闻所出现的。有人认为他是自 1930 年以来发布的最严格的一项法案。这个法案对整个公司管理层对内控体系和信息披露提出了严格的要求。并且对这个要求提出了监管和惩罚的措施。这就使得它的目标是为了恢复整个公众的信心，同时也是对各个上市公司提出了很强烈的要求。这个要求主要的出发点是基于这三点。第一个主要考虑到整个外部的独立监控不充分，同时也发现整个公司的内部治理结构有缺陷，同时整个公司以及整个企业的管理环境存在一定的风险，这些风险使整个公司的高层管理直接成为管控的对象。

大家知道萨班斯法案一直在发展过程中，目前对整个企业影响最大的是两个条款，一个是 302 条款，一个是 404 条款。 302 条款主要是要求企业的高管签署对企业重要事情不存在遗留。 404 条款要求企业管理层对企业必须建立一个有效的内控体系，并且对这个内控体系要进行评估。

为了配合萨班斯法案的要求，美国的证监会成立了一个会计监管委员会，同时也对外部的审计师也提出了一些要求。因此萨班斯法案对的企业的内部控制提出了一个标准的管理。因为在此之前各个企业都或多或少的有一种企业自身的内控措施。但是这些措施不是体系化的，而是相对的零散的方式。

一般来说，一个企业为了符合萨班斯法案的要求，要完成大量的工作，其中分为六大步骤。第一个首先要制订相关的一些规划，对整个工作范围进行界定。这个工作范围包括对一些关键的财务流程，关键的财务科目，关键的业务单位，还有我们很多的大型企业的子公司进行了一些界定和要求。同时一个很大的工作量是要记录现有的内部控制措施是什么，并且这个记录要进行相关的存储，作为今后整个内控体系进行评估的重要依据。之后就需要对内部的自控实施有效性进行研究。然后在测试过程中，我们可以发现基本上 100 ％的企业都存在或多或少的缺陷。对这种存在的缺陷要求进行相应的整改。整改的结果要对内控做相应的报告，这个报告完成以后就相当于我们在企业内部已经建立了相应的体系，然后可以接受外部的审计机构进行审计，然后由外部的审计机构出台一个独立的审计意见。

在 2002 年萨班斯法案发布以后，美国的上市公司已经非常积极的实施了这样的法案合规要求。在中国也有大量的在美国上市的公司也已经实施了这方面的项目。那么在这个过程中我们发现最大的挑战之一就是时间和资源的投入，因为这个投入会大大超过在实施之前的估算。另外一个就是内部的监控流程是参差不齐的。特别是对于大型企业来说，里面有一些分公司和子公司虽然有相同的业务流程，但是有不同的业务处理手段的，那么怎么样保证不同的业务处理手段的记录，和控制的有效是一个很大的问题。另外一个就是不同部门的人对法案的实施过程付出程度往往是大不相同的。

另外就是上市公司需要投入的成本。我们可以看一下统计的数据，可以发现 2005 年公布的数据要比 2004 年要高，这说明在 2004 年大家对萨班斯法案投入的成本是估计不足的。销售额超过 50 亿美元的公司，在实施萨班斯法案的第一年平均就要花 467 万美元。但是根据 ARC 的调研，在 2005 年对 2870 家公司发布的财务报表进行分析以后发现，这个数据比原来估计的要高。大概的数据就是每实现 10 亿美元的销售收入中，就需要支付 100 万美元给外部的人员，这个外部的人员就是帮助实施的咨询公司的人员。还有支付给外部审计师的相关费用。实施一个萨班斯法案牵扯到大量的内部人员进行文档的记录和相关的控制措施的改进，这就会增加大量的内部人员管理费用。所以基本上大量的管理费用的增加是有 5 ％到 10 ％。

虽然投入很巨大，但是很多公司还是存在内控无效的风险。内控的实质性缺陷外部审计师可能会发表有保留意见的评估报告。这样对整个公司的影响是非常大的。首先就是在整个资本市场上造成股价和信用的下降。我非常同意孙强先生说的风险和内控的透明度和你的股价有很大的关联关系。如果你的内控不透明，外部投资者就很难分析风险，这样就会低估你股价的水平。同时对客户也会产生很大的影响，他会对你有疑问，失去了客户对你的信心。

为什么说萨班斯是从公司会计的流程角度出发的，为什么会涉及到信息系统呢？目前越来越多的企业是用信息系统来支撑企业运作的，而信息系统里面存在相应的风险，所以就要建立一个信息系统的控制体系。首先萨班斯法案就是要求财务报表的准确性。而财务报表又是有业务流程支撑的，而业务流程支撑又是由信息系统支撑的。信息系统总体控制是针对信息系统共性的内容，比如说所有的信息系统都要有相应的数据库和服务器。对这些总体控制是不是能够达到相关的要求，也需要在信息系统上作一些相关的控制。

因此要构建萨班斯法案的内控系统需要三个内容。第一个就是公司层面上，第二个就是在业务流程上，第三个就是在信息系统总体控制上。这些控制措施基本上是形成一个金字塔性的结构。由信息系统总体控制来支撑信息系统应用控制的有效性，应用控制的有效性支撑业务流程的有效性，业务流程的有效性来保证财务报表的准备性。

下面我们介绍一下信息系统控制的有效性。它是一个内控的重要组成部分，也是上市公司会计监管委员会对上市公司监管的一个重要领域。在这块我们可以简要介绍它包含哪些内容。首先就是要有一个信息系统的总体控制环境，包括你的 IT 总体规划、信息与沟通、组织架构，另外还要进行 IT 的风险评估，同时对整个过程要进行监控。另外还有项目建设管理，项目变更，日常运作，还有最终用户这块都有一些相应的要求。

要建立一个内控体系的话，也要遵循相应的框架。美国的证监会要求各个上市公司在建立内控体系的时候要遵循相应的内控框架。其中 COSO 框架是国际上比较流行的内控框架。基本上我们整个的企业都会遵循这个框架来建立内控体系。COSO 框架内容可以归纳为两点，第一个是三目标，目标就是运行效率的效果，财务报表的有效性，还有企业要遵循相关的法规。为实现这三个目标还要包括五个要素：控制环境，风险评估，控制活动，信息与沟通，监管。那么在 IT 治理领域，我们另外还有一个标准就是CobiT ，这个是由美国的信息系统与审计协会提出来的，他把整个的 IT 过程和相关的准则联系起来形成一个体系结构。而且这个体系结构不只是一个框架，这个框架分四个领域细化到 318 个控制目标。这个控制体系和 COSO 的框架可以相互补充，来构建一个符合萨班斯法案要求的内控体系。

毕博对遵循上市公司的法案也提供了一些相应的咨询服务。根据我们的经验， CobiT 提出的要求是远远的超过了萨班斯法案要求。所以我们是根据企业的具体需要进行了一些选择，比如说一个企业很多自身的业务都是自身完成的，所以对第三方的控制目标要求就强调的少一些。

毕博为全球的十几家大型的跨国公司也提供了 COSO 的咨询服务。同时在国内也为多家国有大型企业提供了相关咨询服务。在这个过程中，开发了我们整个毕博 CobiT 的方法论。这个方法论的实施是为整个的项目的实施提供了一个很好的成功保证。

大家可以看到我们的方法论包括四个阶段。第一个要进行相关的调研和范围的界定。第二个分析并设计一个适合内控要求的，并且满足企业自身需求的内控体系。那这个内控体系关键问题就不仅仅是落实在纸面上，而且要到各个部门测试，如果在测试过程中发现有缺陷的话就要进行一些相关的修改。

那么对于这个方法论，我们在实施过程中到底要关注哪些内容呢？首先就是整个的范围界定非常重要，这个是基础。这个范围界定主要包括对组织机构范围的界定，特别是像上市公司都是一些大型的企业，包括总部、分公司、子公司还有一些参股公司。对这些组织机构里面到底怎么样界定？哪些组织机构是重点的？哪些组织机构是一般的都要做界定。另外对 IT 管控我们要看涉及哪些机房。同时我们对应用系统和电子表格也进行了相应的调研，在这个调研过程中我们发现有几点可能需要大家注意的，第一个就是要跟外审的充分沟通，因为外审也是要了解企业的内部环境的。外审在整个审计过程中可以很顺利的签署到一些内控有效的评价，关键是提高外审的信心。

第二就是目前为止，特别是国内的公司大部分是处于第一年测试的过程，那么在整个应用系统范围过程中是要尽可能的缩小范围，这样使得我们整个需要进行审计的工作量和风险可以降低。但是这个缩小范围要有充分的理由，比如说我可能要增加一些弥补性的控制措施来缩小范围。

第二个实施和整改是一个关键。我们要设计一个符合内控要求的，符合萨班斯法案的内控体系。那么这个体系可能最终的体现就是一些规章制度和要求。这个是纸面上的，刚才孙先生也提到了，整个内控体系是一个过程，而不是体现在一堆的文档上。针对大型企业有不同的地区公司，他们就不同的业务环境和管理水平，怎么样保证所有的地区公司都能达到内控的要求，这个是有很大挑战的。

另外我们在实施过程中发现信息系统和财务系统的审计是有很大的差别的。信息系统本身从建设方面来说发展时间就很短，之前我们信息系统的建设更多的是体现在建设上，而没有体现在控制上。我给大家介绍一个例子，我们碰到一个企业，领导特别得意的说我们有一个 IT 高手，这个 IT 高手从数据库、网络运行都特别厉害，所以有什么问题找他就可以了。但是从控制角度来说这个人就存在很大的风险，就是这个 IT 高手的职责是不分明的，如果他要进行舞弊的话别人是无法发现的。另外就是这个 IT 高手可能掌握了大量的信息，那么他要进行数据库的修改可能别人不会发现，这样就会出现舞弊的风险。

另外一个需要强调的就是信息系统控制体系的建立不是一个一次性的工作。可能很多部门都认为这次内控体系建完以后就可以了，我能对付检查就可以了。但是整个信息系统审计的过程不只说是第一年要做，第二年、第三年，每一年都要进行信息系统的审计，所以我们要建立一个长效机制。

另外对一些 IT 的人员，包括我们的 CIO 和信息的建立人员可能是习惯性的做一些事情，但是不喜欢留下相关的文章做测试证据。但是从审计角度来说，没有测试证据你整个控制的有效性就很难证明。这块会对前期整个的一些习惯产生比较大的影响。比如说之前我们是更多的想把事情做好，而没有想到说我证明已经把这个事情做好了。

第三个就是整个测试以及测试以后发现有意外情况的评估。这个内容是我们工作当中难度最大的内容。一般在测试人员中要对相关的人员进行访谈，还有对相关的系统进行审查，甚至对有一些系统还要重新执行。我们的经验就是在测试和评估的过程中，这个测试的方案和方法也要和外审进行沟通。这样内控通过外审的可能性就会大大增加。

前面我们介绍了一下毕博的方法论和在实施这个方法论当中一些需要注意的因素。在座的很多的 CIO 碰到内控体系建设的时候，可能会有一个问题。就是我只要把信息系统建好就可以了，为什么还要注重内控呢？只有相关的管理和组织配套起来以后，才能使硬件和软件发挥作用。因此整个内控体系和萨班斯法案的要求，对企业的 IT 管理提出相应的一些要求，同时也为企业的 IT 管理水平提高和 IT 组织的优化提供了一些契机。因此在这个过程中我们要树立近期目标和长远目标。我们的近期目标可能是要进行萨班斯的合规，我们要通过一些持续的业务流程改造和优化，以及一个信息系统的优化，提升 IT 的评审。但是这个 IT 的近期目标和长远目标可以表现在两个点上。第一个是在整个的要求范围之内，我们只是说合理的保证内控有效性的要求，首先我们就是满足合规的要求，但是如果你提了一个特别高的要求达不到，那么这个从内控体系的要求来说你这个是无效性的。但是要把内控体系提高到更大的范围，我们就要以国际最佳的实践作为标杆，并且要企业向这些标杆进行靠拢，来逐渐提高我们信息化的水平。

基本上就是前期我们主要介绍了一些萨班斯法案的要求，这里我们可能会有很多的疑问，就是萨班斯法案到底是一件好事还是坏事？我们中国的词里面蕴含着很多哲学的味道，一般出现一个事情我们认为是一个危机，危机是一个危险也是一个挑战。萨班斯法案当中既为企业提出了一个合规的挑战，同时也为企业的 IT 管理的提高，以及 IT 组织机构的优化提供了机遇。因此我想把这两个字送给大家。危机：危旁边就是一个机遇，谢谢大家。