迫在眉睫的企业内控与跃跃欲试的IT
听到消息说中国财政部、证监会等部门已联合开班,开始对中国A+H上市公司总裁、财务总监等高管进行企业内控知识培训。从4月底发布内控指引到7月开展培训,很高兴中国的企业内控得到高效地推进。
中国企业与内控法案的亲密接触
说到内控法,我想最先对其有所感知的中国企业恐怕当属那些在美上市的公司。02年美国颁布著名的SOX法案要求所有在美上市公司,包括境外公司,都必须采取严格的企业内部控制措施,以保证提供的财务报告真实有效。为此,这些公司开始投入人力物力财力摸索SOX法案的遵从之道,其中有中国人寿、华能集团等成功过关者,但更多的则“铩羽疆场”:有的如华晨宝马,因巨大成本压力而黯然退出美国股市;有的原本意图赴美上市,却因该法而改道香港或新加坡。
各国颁布企业内控法,是为了避免企业出现因经营者徇私舞弊、财务欺诈而损害股东利益,避免因管理不当导致公司名誉受损,避免法律违规等等。从美国的实践经验看,内控法确实对防患和降低企业经营风险起到了不小作用。而在中国,虽然也有企业因为缺乏内控机制而导致破产的事件频频发生,但立法的推动却步履维艰。
其实对于中国改革开放30年里成长起来的大批企业来说,或多或少都会缺少规范的管理积淀,要想仅仅通过一部法律,使它们一夜之间拥有规范的内部管理体制显然也不太现实。但随着中国企业国际化进程的不断加速,学习国际通行的“游戏规则”是必不可少的。因而,在我看来,中国内控法(C-SOX)的推出也许正是瞄准了这样一个不错的契机。
内控法五要素及与IT的关联
拨开神秘外衣,内控法实际脱胎于最早在美国倡导的COSO(即“虚假财务报告委员会下属发起人委员会”)框架,它明确表示:
“从会计和审计的角度,内部控制被定义为是一种流程,它受到企业组织结构、工作和权力流、人员和管理信息系统等影响,被设计出来帮助组织达成其特定目的或目标。”
为了指导企业进行内部控制,COSO列出了5大要素:
“控制环境”给组织定下了实施企业内控的基调,即文化,通过它来影响人们控制的意识,是内部控制其他部分的基础。
“风险评估”是对达成目标的相关风险,即对坏的影响进行定义和分析,形成进行风险管理的基础,以便采用适当的措施。
“信息与沟通”是指采用系统或流程来帮助人们在一定形式和时间范围内进行信息识别、获取和交换,以使人们可以履行他们的责任。举例来说,将阻碍行为(例如权利/性骚扰)的禁令文档化,使组织中的举报、汇报及咨询等行为平稳顺利。
“控制活动”是用来确保管理指令得以执行的政策与程序,即:表明谁是责任人,及这个人能够控制状况。
“监督”则是用来评估长期内部控制质量的流程,对内控质量进行评价和监督,即:使内部或外部审计不受干扰。
从这5大要素中可以看出,企业实施内控的关键是定制度和流程,以及如何保障定下的流程制度得到有效执行。在信息化普及之前,企业所有流程制度都在纸质形态上进行,为人为操纵提供可能,因而控制力度势必大打折扣,但所幸此时的商业环境也相对单纯许多,企业面临的风险也没有当今社会繁杂。而IT技术出现之后,财务系统、销售系统包括日常办公等均高度依赖IT,通过IT来对各个环节加以控制成为可能,同时借助IT的强制性特点,也更有助于实现控制目的。
事实上,在COSO中也有对IT作用的特别阐述。比如COSO指明,企业要通过密码机制,安全防患措施,访问修改权限机制,物理保护等,全面保障企业业务数据、财务数据的原始性和安全。在SOX法案中,更是将IT控制细化为IT一般控制和IT应用控制。
IT从何帮助内控
虽然企业内控法的直接目的是确保财务报告的真实、准确,但由于IT在其中发挥着十分重要的作用,也就难怪内控法的实施对企业信息部门的影响仅次于财务部门了!
那么信息部门该从何入手?我认为最首要的是建立IT标准化。标准化看上去事小,却足以影响全局。只有整个公司的IT实现了标准化,才能方便顺畅地在全公司推行各种内控制度,并保障流程制度的执行。
实际案例也证明了这点。记得曾经听朋友讲起中国人寿的故事,在该公司准备通过美国SOX法案之初,存在着大量与信息系统相关联的实质性漏洞,如密码更新不及时、安全隐患现象普遍等,为了消除这些不合规的现状,中国人寿是颇费了一番周章。而这些漏洞之所以出现,正是由于IT系统的集中管理程度不够,各分公司各有一套IT制度,管理混乱,无法保证内控措施得到充分落实。
企业内控是复杂的系统工程,在制定制度流程之时需要公司管理层和外面咨询公司的智慧,在实施过程中,则会更多依靠IT手段。这也是为什么各国内控法的出台,都给咨询企业和IT软件及服务企业创造了如此多的业务机会。
国家层面的积极推进,让企业实施内控显得迫在眉睫,虽然大多数企业对如何着手仍然一片茫然,但显然已有人在等待着大显身手了——他就是“IT”。
T. Kato, EVP,Gamutsoft Corporation
金道执行副总裁 加藤恒雄
我的专栏:http://www.gamutsoft.com/expert/index.aspx?nodeid=5