中國計算機報
天氣再熱也熱不過熱火朝天的中國證券市場。2007年,股票成為我國全民關注的焦點。股市火爆的背后,誰在冷靜思考?
2007年5月25日,企業內部控制標準委員會第三次全體會議在北京友誼賓館低調舉行。會議對企業內部控制規范征求意見稿和若干項具體規范討論稿進行了深入討論。可見,作為現代企業內控的重要手段和考量目標之一,IT內審重新引起了企業的廣泛關注。
本期專題,就IT內審的目的與現狀、中國企業IT內審的特點和難點、以及如何形成中國IT內審規范,展開了深入的探討和調查分析。
“中國薩班斯”進行時
證監會紀委書記、企業內部控制標準委員會副主席李小雪在企業內部控制標準委員會第三次全體會議上表示,建設企業內部控制標準體系是資本市場的一件大事——健全有效的內部控制可以提高上市公司財務報告的有效性;可以保障公司資產安全,減少舞弊事件發生,堵塞漏洞,有效提高風險防范能力,降低公司風險;可以提高公司經營效益及效率,提升上市公司質量。
我國對企業內部控制評價的關注始于上個世紀80年代末,但當時的評價大都流于形式。“銀廣夏”等上市公司財務舞弊事件、“中航油事件”等等因內部控制失效造成財產重大損失的案件,在一定程度上要歸咎于企業內控機制的不健全。
此后,我國政府開始重視內控評價的規范化建設。審計署、財政部、證監會、銀監會等組織均出臺了關于內部控制評價方面的規范,而2006年則是關于上市公司企業內控規范討論最為熱鬧的一年。
2006年6月5日,上海證券交易所出臺了《上海證券交易所上市公司內部控制指引》,對上市公司內控制度和風險管理制度出臺了重要規定,引起了業界的強烈反響。
在信息技術無處不在的今天,IT既是企業內控的一個有效手段,同時IT本身又充滿了風險,成為內控的重要目標之一。因此, IT內審引起了廣泛關注。科索路咨詢公司還專門對此發布了《IT內審調研報告》。
2006年7月15日,財政部聯合國資委、證監會、審計署、銀監會、保監會發起成立了“企業內部控制標準委員會”,旨在“基本建立一套以防范風險和控制舞弊為中心、以控制標準和評價標準為主體,結構合理、內容完整、方法科學的內部控制標準體系,推動企業完善治理結構和內部約束機制”。委員會的成立被視為中國版“薩班斯法案”即將出臺的前兆,中國內部審計協會會長王道成當時曾向媒體表示,3年之內中國就會有自己的“薩班斯法案”。
2006年9月28日,深圳證券交易所《上市公司內部控制指引》發布,規定深市主板上市公司要建立完備的內部控制制度。在2007年7月1日文件正式生效后,上市公司均需按要求披露內控制度制訂和實施情況。
很多人都相信,具有強制效力的中國上市公司內控法規就要形成,甚至有很多企業或個人認為隨著企業內控法規的形成,與IT內審相關的咨詢或者軟件將是一個很好的市場機會,并雄心壯志地投身到這一領域。
但是到了2007年,在股市熱潮背后,關于企業內控和IT內審規范工作似乎處于停滯狀態。有些曾經看好IT內審市場機會的公司開始后悔自己當初的決定。這不禁讓人懷疑,難道牛市的今天企業內控就不那么重要了?IT內審的熱潮從此告一段落?
審迫在眉睫
事實遠非如此。
2007年3月,企業內部控制標準委員會公布了《企業內部控制規范——基本規范》和17項具體規范(征求意見稿),并開始向有關單位和專家征求意見。
2007年5月25日,由企業內部控制標準委員會主席、財政部副部長王軍親自參加的企業內部控制標準委員會第三次全體會議在北京友誼賓館低調舉行,會議對企業內部控制規范征求意見稿和若干項具體規范討論稿進行了深入討論。
財政部還表示,將根據本次會議討論的情況盡快修訂企業內部控制規范征求意見稿和討論稿,抓緊建立中國企業內部控制標準體系。所有這一切都證明,盡管沒有聲勢浩大的活動進入人們的視野,但“中國的薩班斯法案”依舊在緊鑼密鼓地醞釀中。
業內人士分析,盡管今天企業內部控制規范征求意見稿依舊在討論中,但是一旦被確定,肯定會和薩班斯法案一樣對上市企業具有強制性的約束。毫無疑問,盡管還有上市公司對IT內審沒有足夠重視,但IT內審是否規范必將成為上市公司存在的必要條件之一。
現代企業的經營越來越依賴于信息系統,除了傳統意義上的經營風險、控制風險和財務風險,企業信息系統的安全性導致的信息風險日益增長。同時對大部分企業來說,信息技術已經融入到企業各項業務中。IT內審作為企業內部控制的一個重要手段和對象,已經得到政府相關機構、企業和咨詢機構普遍認可。
目前的《企業內部控制具體規范(征求意見稿)》中,專門提出了計算機信息系統的征求意見稿,就總則,崗位分工與授權審批,信息系統開發、變更與維護控制,信息系統訪問安全,硬件管理和會計電算化及其控制等六個方面提出了43條詳細征求意見。
企業表現各不相同
“招聘資深內審員,要求具有5年以上跨國公司會計與財務方面工作經驗,并有IT系統審計方面的工作經驗”。最近,“IT內審員”的新鮮職位已經開始出現在各大招聘網站。
很多被訪企業表示,他們已經或者正在考慮采用新的技術手段來輔助企業內部控制工作,比如說中信集團公司早已經在2005年就開始采用加拿大審計軟件ACL、易通審計軟件開展審計。
承接企業內控咨詢業務的會計師事務所或咨詢公司表示,他們所接觸的IT內審業務在明顯增加。
……
種種跡象表明,IT內審規范的推動并沒有停滯不前,之所以讓人感覺“停滯”,主要是因為以下幾方面的原因:
首先,很多企業對于內部控制仍然采取比較被動的態度。對于那些早在國內上市的企業,由于上交所和深交所出臺的《指引》對他們沒有強制性的約束,沒有對內控的緊迫感。而那些在海外上市或者新上市的企業,大都是為了滿足上市條件或者相關法規而被迫進行內部控制和IT內審。在香港上市的某公司的CIO告訴記者,對他們來說,IT內審就是每隔一段時間按照會計師事務所提供的一張單子中對IT的要求落實就可以了。
其次,目前大部分企業的IT內審工作主要是交給第三方機構來辦理的。很多在海外上市或者被外資公司控股,特別是在美國上市的企業,早已經通過第三方機構在IT審計方面走在了前面。第三方機構對這塊業務駕輕就熟,更多的企業選擇IT內審對他們來說只是業務量的增加,因而沒有引起大范圍的討論。
第三,很多企業雖然已經意識到IT內審的重要性,但是苦于IT基礎太差、缺乏相關經驗而暫時擱置。亞新科工業技術有限公司是一家總部設在北京的外資企業。為了讓企業健康穩定地發展,公司從1999年就已經建立了完整的內部制度,并且還專門成立了內控部。但是,公司內控部總監麻蔚冰告訴記者,目前他們還沒有實現IT內審。他認同隨著信息技術在企業廣泛應用,IT內審是企業內部控制的必然趨勢。亞新科從去年就開始關注這一趨勢,但由于公司內部的IT建設還不夠完善,再加上IT內審所牽涉的東西非常復雜,暫時也沒有好的經驗可以借鑒,所以目前尚處在探索中。
規范形成尚待時日
那么,適合中國的IT內審到底該怎么做?如何形成適合中國國情的IT內審?
很多企業都希望 《企業內部控制具體規范(征求意見稿)》能夠給他們未來的IT內審提供有用的參考。
王軍在企業內部控制標準委員會第三次全體作會議上也強調,內部控制標準體系建設要著力處理好借鑒國際和順應國情的關系。目前,在尚未形成自己的規范并且沒有更好的辦法之前,業界已經認識到“西學中用”是最好的選擇。
德勤咨詢公司企業風險管理服務高級經理周梓滔告訴記者,目前的征求意見稿中不僅參照了薩班斯法案,還參照了很多地方的相關法規。
但是業內人士分析,畢竟中國企業有很強的特色,必須在參照這些經驗的同時充分考慮中國企業自身的特色。
記者就IT內審規范這個問題撥通財務部會計司企業內部控制標準委員會某一負責人的電話時,得到回答是,征求意見稿中“計算機信息系統”部分還只是“征求意見稿”,希望有經驗的咨詢公司和專業人員能夠積極參與,提供有用的建議。
在訪談了一些內控咨詢專家、企業內控工作者后,記者認為以下幾個方面是在建立IT內審規范過程中最不能忽視的:首先,企業對IT內審的重視不夠;其次,企業的IT建設不夠完善,建立像美國上市公司那樣的IT內審難度較大;第三,企業IT內審部門的歸屬問題不明確:目前國內企業審計部門獨立的就比較少,而IT內審既涉及審計又涉及IT,歸屬問題就更加不好確定;第四,IT內審的投入成本大,美國的大型公司僅在第一年建立內部控制系統的平均成本就高達430萬美元,這對規模偏小的中國上市企業來說是不現實的……
由此可見,我國要建立完善的IT內審規范還需時日,但對于企業來講,未雨綢繆卻必不可少。否則具有法律約束力的規范一旦執行,臨時抱佛腳幾乎是不可行的——因為企業的IT建設本身就不是一蹴而就的事情。
鏈接:關于薩班斯法案
2002年7月25日,美國國會通過了《2002年薩班斯—奧克斯利法案》(也稱《2002年公眾公司會計改革和投資者保護法案》,簡稱《薩班斯法案》)。該法案由美國總統布什在2002年7月30日簽署成為美國正式法律。《薩班斯法案》不僅對《證券法》(1933)和《證券交易法》(1934)這兩部證券監管的重要法律做了修改和補充,而且還對會計行業的監督、審計獨立性、財務信息披露、公司責任、證券分析師行為、證券交易委員會的權利和責任等諸多方面做了新的規定。
