您现在的位置:ITGov-IT治理研究中心>> 研究>> IT治理>>正文内容
专家破解萨班斯“加时赛”战术 180天冲刺
发布时间:2009年05月08日点击数: 作者:ITGov中国IT治理研究中心 来源:ITGov中国IT治理研究中心
【字体: 收藏 打印文章 查看评论( 0 )】
摘要:
7月15日,萨班斯法案在中国正式生效。按照萨班斯法案的要求,中国在美国上市的44家公司均应该已经建立起完善有效的内部控制体制。由于我国实行的是自然会计年度,所以对内部控制有效性评估的证明报告将与年度审计报告同时发表。 因此,从某种意义上讲,中国的企业相应地又多了接近半年的时间完善其内部控制体制。

  冲刺:力求执行有效

  ITGov中国IT治理研究中心专家孟秀转博士则指出,目前运营商针对萨班斯法案而建立的内部控制的政策设计已经完成,剩余的6个月的时间内应该是正在积累内控执行有效的证据。因为对内控的评价不仅包括内控政策设计有效,也包括相应的执行有效,而执行有效的检查方式就是至少三个月的执行有效证明(包括文档,形成执行轨迹等等)。同时,通过测试,可以根据COSO框架评价设计的有效性,进行查缺补漏。

  另一方面,为达到企业整体口径一致目的而进行的运营商人员培训也应该结束。孟秀转博士认为,到目前为止,人员的大量培训也基本上完成,剩余的时间主要是协同外部审计人员做关键程序的穿行测试,创造一个制度良好的环境证据。

  上述运营商的财务人员也证明了这一点,目前外审已经入驻现场,在外审进行开始测评的同时,内审仍在执行其几轮的测试整改工作。所以从这个意义上而言,剩余的几个月时间可以说是运营商的萨班斯法案执行冲刺期。

  除此之外,运营商应借助剩余的几个月做一些相应的测试、模拟实施,进行自我审查。这既是内部控制体系的一部分,属于监控的性质;又是应对外部审查的一个有效方式。通过自我审查,运营商可以借机查缺补漏,避免外审进驻时出现突发的事件。

  但是,绎明宇则指出,这多出的几个月时间,对各大运营商的作用是有限的,最直接的仅仅是减少了相应的时间压力。

  从IT治理的角度,孟秀转博士认为,在剩下不多的时间内,运营商应该梳理其IT治理系统,关注IT治理系统与其他系统之间的整合,使得IT治理系统真正融合到运营商具体的内部控制体系之中。

  现状:测试有效的设计

  某运营商的内部财务人员指出,目前,运营商的内部控制设计和建设工作已经基本结束,而包括外审和内审在内的内部控制测试工作还正在进行。

  此前,各大运营商都已经针对萨班斯法案进行了很大投入,各个运营商都在积极调整内控系统方案。

  从萨班斯法案项目小组2004年下半年进驻各大运营商开始,在将近两年的时间内,萨班斯项目小组分步骤建立和完善了各运营商的内部控制体系。

  第一步,根据运营商的业务品种、业务状况建立运营商的业务流程,同时设定相关的子流程,根据子流程设定符合萨班斯法案的内部控制体系目标,同时将内控流程用文档描述出来,以证明控制了风险。

  一位参与某运营商内部控制项目小组的咨询人士指出,这一过程非常重要。首先因为,目标的设定将关系到最终内控制度的体系;其次,因为进行了文档的描述,企业的执行总监和财务总监在年底签署内控有效报告的时候才有据可依。

  第二步,向运营商各相关部门进行调研摸底,根据所调研运营商的实际情况以及控制目标,建立其实际的流程标准模板,建立标准的控制程序。

  该咨询人士同时还指出,这些标准模板形成的最终结果将根据内审设计项目组的不同而不同(不同的咨询公司,会计公司都是各有特色),但基本上会包括文字描述、流程图描述等等内容。

  第三步,根据流程标准模板指导运营商进行本地“移植”。也就是一个“手把手”教授的过程,一般意义上,控制程序执行是否有效,就取决这个本地化的过程成功与否。

  第四步,进行测试,形成测试底稿。测试底稿是外审检查内部控制是否执行有效的重要依据之一,这种测试一般分成几轮,是一个查缺补漏的过程。

  目前,四大运营商的前三个步骤已经基本完成,内审工作的测试也已经接近尾声。内审最终还会通过测试结果,以及与外审的对接,进行局部控制程序和控制关键点的局部改动。

  萨氏法案是一个双刃剑

  此次中国在美国上市地企业在萨氏法案地要求下建立内部控制,绎明宇认为,这一企业行为的作用和影响是双面的。从长远看来,是有利的,有助于企业整体治理水平的实质性提高。一方面,萨班斯法案对企业防止突发事件,降低财务风险有很大作用,可以有效遏制出现财务卷款潜逃的恶劣行为,避免给企业带来不可挽救损失。另一方面,萨班斯法案要求企业建立实时可控的信息反映系统,这一系统的建立,可以帮助企业的管理层改变决策环境,提高决策反应速度。

  但是就短期而言,此项内部控制制度的建设成本是相当大的。中国企业大多处于发展之中,而发展中的企业会经常调整业务、策略等等,各大电信企业也不例外。目前运营商的信息系统多是面向对象的、面向组件的,最终需要调整为面向服务的,这是一个运营系统、信息系统、管理系统多方面的集成协调的过程,其工作量非常大,难度也很大,是一项系统工程。

  此外,电信企业也需要投入大量的时间、人力和财力,还要直接支付给外脑一定的费用和相关的支出,而间接成本则包括了内部员工的投入、内部资源的动用等等,基于萨班斯法案的时间限制,这些间接成本也相当高。因为内部资源的频繁使用多是以牺牲企业内部效率为代价的,这种间接成本很难估计。

  当然,投入必然会有回报。通过建立系统的内部控制体系之后,中国电信运营商的治理水平将得到很大提高,而且建立了符合萨班斯法案的内部控制制度,也有助于中国电信企业更顺利地开展国际化经营。

  链接:惊人的测试工作量

  目前,各运营商都在进行内控测试。由于在美国上市的我国运营商都是规模很大的公司,需要测试所有重要的控制点。以一个运营商有30个省级公司或分公司计算(固网运营商分公司数量会相对较少),每个省级公司又有十几个地市级公司,从流程上讲每个省级公司以及分公司都会有至少10个或者更多的业务流程。每个流程又有5至10个重要的控制点。

  如果用3至4个小时测试一个控制点计算,测试的工作量将以万作为数量单位。在此之后,还需要对测试发现的问题进行改进,随后对改进的情况还需要进行再测试,从而达到没有重大控制缺陷。而会计事务所做的测试和审计工作,还会包括IT层面、公司治理层面控制的内容,从而使整个测试的规模更加惊人。

分享到:
点击按钮自动加关注代码——新浪微博 点击这里给我发消息
相关文章
    没有关键字相关信息!
推荐文章
订阅
  关于ITGov | 联系ITGov | 收藏本站 | 服务条款 | 隐私保护 | 人员招聘 | 网站地图

京ICP备06004481号   Copyright 2002 - By ITGov.org.cn, All Rights Reserved

 

我要啦免费统计