如何成就中国的萨班斯法案

来源:用户上传      作者:

　　时间：2007年5月25日
　　地点：赛迪大厦18层会议室
　　形式：中计在线嘉宾现场对话
　　对话嘉宾：
　　王卫乡
　　中国中信集团公司管理信息部副主任
　　周梓滔
　　德勤华永会计师事务所有限公司企业风险管理服务高级经理
　　钱晨
　　科索路咨询公司副理
　　田海波
　　北京锐思盈泰科技有限公司董事副总经理
　　
　　无内控等于慢性自杀
　　
　　主持人：企业内部控制的目的是什么？有什么需求？
　　钱晨：企业内部控制的目的是在保证实现公司战略目标前提下，对存在的风险进行控制。无论董事会还是全体员工都要对企业披露的信息的可靠性负责，但最终责任会落在董事会上。
　　IT内审的引入是因为在给上市公司内控评估时，IT是其中的一个重要的组成部分和方法。
　　主持人：请德勤公司的周经理谈谈中国企业的内控跟国外企业的有什么差异？
　　周梓滔：主要是在理解法案、标准时可能会不一样，因为中国的国情和中国企业的管理方法跟国外企业不尽相同。比如说，国外企业可能会成立专门的审计委员会，但国内企业可能会把审计委员会放在某一个组织里面，如在财务部，这就造成了独立性的不同。
　　主持人：作为用户的代表，请王主任讲讲中信集团在内控方面是怎么考虑的？
　　王卫乡：目前中信集团有好几家上市公司，如刚上市的中信银行，中信证券、中信国安等。我们一直非常关注企业内控，其中包括IT内审和萨班斯法案。我们的审计部是唯一一个由集团公司董事长直接分管的部门。
　　实际上，从我们公司上一任董事长王军开始就一直特别强调内控。他曾指出：“没有发展的内控等于慢性自杀，没有内控的发展，发展越快损失越大”。中信集团自1979年成立到现在快30年了，一直都保持快速发展。在高速发展的20世纪90年代中期，我们深感管理手段和发展的速度不匹配，导致有些项目最后失去控制，并造成很大的损失。
　　现在我们已经采取了一些技术手段，并引进了一些软件来加强审计，如加拿大的ACL审计软件。我们的内部审计目前主要强调的内容包括：离任审计――像下属的子公司领导任期换届，中长期项目在项目实施过程中是否存在重大失误的专项审计，其他的，如下属的公司层面，因资产的分布不是很均衡，金融业务领域是由金融控股公司的风险管理部来主抓。
　　主持人：各位嘉宾能否总结一下信息技术对企业内部控制的价值是什么？
　　钱晨：IT是企业内控的一个重要内容和手段。现在多数企业都会用到IT系统，很多流程都嵌入到IT系统中，企业内部控制也应该对IT系统进行控制。同时，我们在进行内部控制的时候，也应该通过IT手段来辅助实现。
　　周梓滔：我们看到一个很重大的改变：以前内部控制都是通过手工来实现的，非常复杂；现在借助IT系统来实现内控，效率大大提高了。另外，对IT系统进行控制，可以优化系统，提高系统性能。
　　王卫乡：任何事情都有两面性，IT技术可以帮助我们进行内部审计、获取更加及时、有效的信息，但是如果不加强对IT本身的审计，可能会被人利用，拿这个工具去做不正当的事情。所以要从观念上重视IT内审。
　　田海波：从客户的反应上也可以看到IT内审的价值。我们之前是做电信行业的BOSS系统的，在跟客户接触过程中发现客户对IT内审的需求很大。因为客户觉得内控工作非常烦琐，希望能够借助有效的工具来帮助他们轻松实现。
　　主持人：那么，企业应该怎样进行IT内审呢？
　　周梓滔：如钱经理所言，IT审计有两个方面，一个是对IT进行审计，另外一个是利用IT技术来进行审计。首先要看IT有什么东西要做审计：现在很多ERP系统中已经就内部控制做了设置；另外可以利用DQI方法(利用数据库、程序去运行大量数据可以帮助企业分析发现业务上的问题，以供企业进行调整)。这是一个非常有效的审计方法。
　　对IT进行审计是指对整个IT环境各方面的审核工作，如信息安全、软件开发、系统维护等。
　　钱晨：也有说法认为IT控制有两个方面：一个是应用控制，即IT必须对业务流程进行某些控制；另一个是通常性控制，对于支撑公司运作的IT基础技术架构平台进行有效管理控制。
　　主持人：我听一个在香港上市的企业的CIO说，IT内审对他们来说就是会计师事务所给他们提供一个与IT相关的表格，他们只需按照这个表格的要求来执行就可以了。是这样的吗？
　　王卫乡：没有这么简单。这可能要牵扯到两个部门：一个是IT部门，一个是审计部门，实际上这是跨两个领域的事情。
　　周梓滔：我们给企业做IT内审的时候，要先了解被审企业的情况，了解他们的业务范围是什么，管理层对IT管控持什么样的看法，然后再按我们的方法论对风险较高的地方进行审计。
　　业务不同，IT审计的策略也就不同。比如一个企业拥有大型的数据中心，并依赖该数据中心为客户提供服务，那么该数据中心的物理环境安全就是非常重要的环节。但如果是一个销售企业，他们的IT系统会相对简单，数据中心的物理安全也会影响他们的财务数据，但要求就不那么高了。
　　
　　IT内审谁在喝彩
　　
　　主持人：去年大家都对IT内审比较关注，但是最近好像没什么大动静了。实际情况是这样吗？出现这种情况的原因又是什么呢？
　　周梓滔：我看到的情况有点不同。刚才王总说得很对，现在做IT审计的人并不多。企业如果成立专门的IT内审部门成本太高，所以往往会外包给一些第三方公司来做。
　　上交所、深交所要求他们的上市公司也要进行内控，其中IT内审是很重要的环节。有些母公司在国外的跨国企业在IT内审方面做得比较多，因为他们的网络、系统是全球化的，要符合母公司所在地相关法规的规定。
　　国内的一些大型企业在这方面也有很大的改善。但我们发现需求增加的速度比IT内审提高的速度要快很多。其中很重要的原因就是专业IT审计人才的缺乏。比如说有个全国性的银行，他们的IT审计部门只是一个小组，很难进行大的推动。
　　王卫乡：银行、电信企业强调IT审计取决于他们的业务特点。银行的服务器坏了可能会影响一大片。
　　此外，企业本身环境的要求或者政府的管制要求也很重要。美国政府已经以法案的形式来进行约束。其实国内前几年也发生过不少因为内控失效造成重大损失的案例，那在目前牛市的情况下，如果还不加强控制的话，影响就会更大。
　　没人喝彩好像是没有动静，但不能说就没有行动。我相信政府一直在推动，我们企业也在考虑怎么加强这方面的工作。当然，如果将政府和企业两者结合起来，推动的效果会更好。
　　田海波：我们涉及这块业务是因为我们有一个电信客户希望能从数据模型角度来评估系统设计是否满足其业务需求，要对软件实施过程中阶段性成果进行验证。这是IT内审的一部分。
　　主持人：在国内上市的公司也同样那么重视IT内审吗？
　　周梓滔：深交所、上交所的《指引》中提出的内控要求主要是针对上市企业。但是随着相关法案的出台，越来越多的国内上市企业意识到了IT 审计的重要作用和影响，很多公司已经开始了相关的工作。
　　王卫乡：我觉得企业进行内控往往从自发和自觉两个角度出发。从自觉的角度来做内控的企业，很明白内控对企业发展的好处。如果企业要发展，是不可能不去做这方面工作的，应该是一个自发的行为。有些上市公司大张旗鼓地宣扬自己的内控做得怎么好，这实际上是他们自己应该做的。
　　主持人： IT内审的推广还有哪些比较现实的问题呢？
　　王卫乡：我觉得最难的还是观念问题。如果在观念上没有重视这个事情，其他的技术再高超、完善，但如果不去用，那就一点用都没有。
　　还有一个问题就是现在很多企业的信息化建设还不尽如人意，在这种情况下强调太多的IT审计还没有必要。
　　主持人：IT内审是一个中长期的工作，上市公司该怎么看IT内审的运作成本和收益？
　　王卫乡：我个人认为这个投入非常值得，既能够维持公司良好的运转，又能够比较好地监控公司运转的状况。IT审计是一个提供保障的机制，不会直接创造效益，但是它至少不会让已经创造的效益流失。
　　钱晨：对。也许企业什么都不做也能成功运转很长时间，但风险永远是存在的，像“9•11”那样的小概率事件也是会发生。
　　王卫乡：为此，我们公司建立了金融的灾备中心，是和运营中心分开的。这应该是IT审计或者企业内控的一个重要组成部分，而且尤其对大型企业来说特别重要。
　　周梓滔：当企业很大程度上依赖IT的时候，IT内控不但能够帮助企业理顺业务流程、培养人才和提高技术能力，能够降低风险、提升能力，还能推动业务模式的转变。我们有个客户，他们的IT部门原来是个成本中心，后来通过IT内审优化业务模式，使他们公司的服务达到了世界一流水平，很多国外公司都来找他们咨询。后来这个公司的IT部门因此慢慢成长为一个咨询公司。
　　
　　中国路线怎么走
　　
　　主持人：各位认为适合中国国情的IT内审规范应该是什么样的？
　　王卫乡：这个问题很难回答。但是全球化以后，很多中国企业都在海外上市，要求我们去适应海外交易所的法规，同时也会带来一些好的做法，我们可以借鉴一下。
　　主持人：那中国的IT内审规范应该怎么来做？
　　周梓滔：IT内审并不是因为萨班斯法案才有的，这在上个世纪80年代就开始有了。当时行内人已经为通过打孔机从电脑上提取数据的计算机进行IT审计。现在随着IT技术的发展，IT审计的内容、方法、技术等各方面都已经发生了变化。
　　钱晨：我们可以先西学中用，把国外做得好的拿过来借鉴，再对用得不好的加以改进。
　　田海波：我觉得中国IT内审如果能够形成一个大的产业链会更好，像当初推项目管理时那样，对相关的咨询、培训起了很大的推动作用。
　　主持人：很多企业不知道自己的IT内审该如何开始，请各位给他们提点建议。
　　周梓滔：首先可以找我们这样的专业机构来做。如果企业一定要内部自己做，自己培养人才，可以让IT部门负责信息安全的同事去学习一些审计知识――信息安全是IT审计的一部分。但这样有很多东西需要学习和推动，可能历时比较长。
　　主持人：内部控制标准委员会公布了《企业内部控制规范――基本规范》和17项具体规范(征求意见稿)。不知道各位对这个征求意见稿有什么期望？
　　周梓滔：征求意见稿不仅参考了萨班斯法案，还参考了很多其他地方的法规，对信息安全、系统运作、应用系统开发等各个方面都有所提及。但是有一点值得我们注意，很多法规都已经推行好几年了，我们应该充分吸取这些法规推行后的经验和教训，并加以消化吸收。比如说，要充分考虑企业内控的成本。
　　钱晨：我国对上市公司的内控监管还不够，远远达不到萨班斯法案那样的力度。
　　王卫乡：说到监管力度，我们可以分别来看看欧洲、美国和中国三块市场。对市场的监管力度最强的是美国，欧洲比较温和。从历史上看，欧洲的贵族文化本身对自律性要求比较高，在欧洲上市的公司如果运作不好，自动就退市了。美国虽然只有200多年的历史，但相关制度为他们的发展提供了有力的保障。如果运作不好就有强硬的措施逼着它退市。我觉得中国应该兼顾这两个市场的特点。我们有5000年的文化，好的地方要继承下来，不好的地方要通过制度来完善。希望现在的征求意见稿能起到这个作用，真正实现对上市企业的违规行为的约束。
　　详情请见中计在线“阡陌三人行”访谈实录(http://cio.ciw.com.cn/Special/InternalAuditing/)
　　链接:有关IT内审的外包
　　周梓滔：企业如果成立专门IT内审部门成本太高，可以外包给专业的第三方公司来做。
　　王卫乡：我赞成这个观点，IT内审业务的外包是比较可取的，因为这对技术要求很高，而且需要经验。
　　钱晨：IT审计外包更能够体现审计结果的独立性。如果IT部门本身既做系统管理又做系统的审计，这本身就是一个矛盾的问题，看问题就不会很客观，也会造成利益的冲突。
　　
　　中国中信集团公司管理信息部副主任 王卫乡
　　IT审计包括对IT系统的审计、通过IT辅助审计工作和审计管理的信息化。
　　
　　德勤华永会计师事务所有限公司企业风险管理服务高级经理 周梓滔
　　我们应充分吸取其他地方相关法规推行后的经验和教训，并加以消化吸收。
　　
　　科索路咨询公司副理
　　钱晨
　　内部控制的目标是在保证实现公司战略目标的前提下，对存在的风险进行控制。
　　
　　北京锐思盈泰科技有限公司董事副总经理 田海波
　　中国IT内审如果能够像项目管理那样形成一个大的产业链会更好。

转载注明来源:https://www.xzbu.com/8/view-8654565.htm