《企业内部控制基本规范》重新上路
《 企业内部控制基本规范》已经发布快2年了。这个规范经常被称作是中国版的萨班斯法案,可见业内人士对其期待之高。也难怪,《规范》的出台经历了一个 漫长曲折的过程:
2010年4月15日,财政部等联合印发通知,推出了《规范》的系列配套指引3个。应该说,《规范》的 系列配套指引出台,标志着《规范》的落地又超前迈出了一步,使得《规范》的执行更具可操作性。
针对配套指引, 财政部会计司司长刘玉廷有一个 指引解读 ,值得一看。
根据刘司长的说明,配套指引由21项应用指引(此次发布18项,涉及银行、证券和保险等业务的3项指引暂未发布)、《企业内部控制评价指引》和《企业内部控制审计指引》组成。其中,应用指引是对企业按照内控原则和内控“五要素”建立健全本企业内部控制所提供的指引,在配套指引乃至整个内部控制规范体系中占居主体地位;企业内部控制评价指引是为企业管理层对本企业内部控制有效性进行自我评价提供的指引;企业内部控制审计指引是为注册会计师和会计师事务所执行内部控制审计业务的执业准则。三者之间既相互独立,又相互联系,形成一个有机整体。
其中,应用指引可以划分为三类,即内部环境类指引、控制活动类指引、控制手段类指引,基本涵盖了企业资金流、实物流、人力流和信息流等各项业务和事项。
作为IT人士,我比较关注IT相关的内容。在控制手段类指引中,明确给出了 信息系统指引,指出 除了要利用信息系统强化内部控制外,更要关注信息系统自身的控制。这段文字比较清晰的说明了IT与内控之间的关系:
首先, 企业内审必须依靠IT:在内控体系中,内部审计是一个重要的机构和环节。内部审计是一项具有独立性的经济监督活动,以会计准则和审计准则以及有关的法律法规为依据,对企业、机关、事业单位等的财政、财务收支以及经营管理进行审核和检查,并在审核检查完毕后提出内审报告。一个标准的内部审计过程是十分繁琐和复杂的,如果不借助计算机自动化的手段,对现代企业的内审几乎不可能完成。依托计算机信息化技术,通过对所需数据的适时采集、处理加工,形成正确的审计结论和审计评价,从而提高内审工作效率,把内审人员从烦琐的数据运算、法规查证中解放出来,使审计工作的质量有所保证;通过对内审业务过程的计算机化管理,实现对整个内审项目的动态管理、对风险点的实时控制,实现对内审工作任务的合理分解,整合审计资源,促进部门管理责任制的落实,从而便于业绩的考核和评估,做好风险防范。
其次, IT系统自身必须纳入企业内控的范畴:当今大部分企业(尤其是美国大企业、上市公司,内控一词主要来自美国)的生产经营都已经极大程度的依赖于IT。可以说,如果IT失效,企业的生产经营活动将会受到极大的影响。因此,针对企业内控有很重要一个环节就是要求IT治理与IT内控,确保IT与企业的业务战略保持一致。而在这里,信息系统审计是企业和组织IT内控过程中最关键的环节。信息系统审计通过对关键控制点的符合性测试来判断IT内控的目标及其控制措施是否有效。
关于信息系统(IT)与内控的关系,在我写过的《 内控与IT安全的关系,IT内控与安全审计的关系 》一文中已有论述,在接受《信息安全与通讯保密》 采访时也表述过。
进一步分析信息系统指引,可以看到,对信息系统自身控制的要求包括以下几个方面:
1)企业应当根据信息系统建设整体规划提出项目建设方案,明确建设目标、人员配备、职责分工、经费保障和进度安排等相关内容,按照规定的权限和程序审批后实施。
2)企业开发信息系统,应当将生产经营管理业务流程、关键控制点和处理规则嵌入系统程序,实现手工环境下难以实现的控制功能。
3)企业应当加强信息系统开发全过程的跟踪管理,组织开发单位与内部各单位的日常沟通和协调,督促开发单位按时保质完成编程工作,对配备的硬件设备和系统软件进行检查验收,组织系统上线运行等。企业还应当组织独立于开发单位的专业人员对开发完成的信息系统进行验收测试,并做好信息系统上线的各项准备工作。
4)企业应当加强信息系统运行与维护的管理,制定信息系统工作程序、信息管理制度以及各模块子系统的具体操作规范,及时跟踪、发现和解决系统运行中存在的问题,确保信息系统按照规定的程序、制度和操作规范持续稳定运行。
5)企业应当重视信息系统运行中的安全保密工作,确定信息系统的安全等级,建立不同等级信息的授权使用制度、用户管理制度和网络安全制度,并定期对数据进行备份,避免损失。对于服务器等关键信息设备,未经授权,任何人不得接触。
显然,对于信息系统的控制,可以借鉴ISO20000,ISO27000的思想来切入,并且,一定要强调IT审计的重要性。而这也是为什么IT厂商,尤其是安全厂商热衷于IT审计的原因之一。关于内控与IT审计的关系,我在文章《 内控、安全审计、<企业内部控制基本规范>与市场分析 》中亦有分析。
无论如何,《规范》配套指引的颁布,使得“中国的萨班斯法案”重新上路。《规范》这个上市公司的紧箍咒再次响起,必将提升我国上市公司的治理水平,也会繁荣我国的内控,包括IT内控与安全审计市场。
【 后记】
关于内控、“中国萨班斯法案”,安全审计等内容,需要厘清以下几点:
1)本质上,这个《规范》并不与美国的萨班斯法案等价。《规范》尚不是法律(法案),没有提请全国人大审议通过,不是立法形式确定的法律条文,只是一个“规定”,在形式上比“法律”要低一层。而美国的萨班斯法案是真正的法律,是经过美国国会批准,总统签字的,其约束力显然更强。虽然该规范还不能称作是完整意义上的法案,而只是规范性文件,但是他对于国内企业、尤其是大企业的公司治理、风险控制、IT内控,包括信息系统安全审计都起到了极大的推进作用。
2)内控,或者说IT内控与安全(包括IT安全与审计)是不等价的。 内控不等于安全!其实,说到内控,在信息安全界更多提到的词应该是合规(Compliance)。对于内控和安全的区别,我以后会专门论述。
- 2004年12月份银监会发布了《商业银行内部控制评价试行办法》;
- 2006年6月5日,上海证券交易所出台了《上海证券交易所上市公司内部控制指引;
- 2006年6月6日国资委发布了《中央企业全面风险管理指引》;
- 2006年7月15日,财政部联合国资委、证监会、审计署、银监会、保监会发起成立了“企业内部控制标准委员会”,旨在“基本建立一套以防范风险和控制舞弊为中心、以控制标准和评价标准为主体,结构合理、内容完整、方法科学的内部控制标准体系,推动企业完善治理结构和内部约束机制”。
- 2006年9月28日,深圳证券交易所《上市公司内部控制指引》发布,规定深市主板上市公司要建立完备的内部控制制度;
- 2007年4月保监会发布《保险公司风险管理指引(试行)》和《保险公司内部审计指引(试行)》;
- 2007年5月14日银监会颁布了《商业银行操作风险管理指引》;
- 2007年7月3日,银监会发布《商业银行内部控制指引》;
- 2007年10月25日银监会发布了《商业银行合规风险管理指引》;11月1日发布了《银行业金融机构信息系统风险管理指引》;
- 2008年7月证监会发布《证券公司合规管理试行规定》;
- 2006年关于内控的相关标准的呼声已经达到了一个高潮,而从这一年“企业内部控制标准委员会”成立开始,“中国版萨班斯”真正开始酝酿,直到2008年由财政部、证监会、审计署、银监会、保监会五大部委联合发布《企业内部控制基本规范》(简称《规范》)终于初揭面纱,真正来到了台前。
- 《规范》出台的时候是定在2009年7月1日开始实施;
- 后来,有媒体转载《中国经营报》的报道,实施时间推迟半年,称被改到2010年1月1日实施, 同时执行对象的范围也缩小到了境外上市公司;
- 随着2010年4月15日《规范》配套指引的出台,实施时间又再次被推迟1年,指出自2011年1月1日起在境内外同时上市的公司施行,自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市公司施行。注意,实施范围再次缩小,是境内外同时上市的公司。而主板上市公司则要到2012年,中小板和创业板就没有时间表了。
2010年4月15日,财政部等联合印发通知,推出了《规范》的系列配套指引3个。应该说,《规范》的 系列配套指引出台,标志着《规范》的落地又超前迈出了一步,使得《规范》的执行更具可操作性。
针对配套指引, 财政部会计司司长刘玉廷有一个 指引解读 ,值得一看。
根据刘司长的说明,配套指引由21项应用指引(此次发布18项,涉及银行、证券和保险等业务的3项指引暂未发布)、《企业内部控制评价指引》和《企业内部控制审计指引》组成。其中,应用指引是对企业按照内控原则和内控“五要素”建立健全本企业内部控制所提供的指引,在配套指引乃至整个内部控制规范体系中占居主体地位;企业内部控制评价指引是为企业管理层对本企业内部控制有效性进行自我评价提供的指引;企业内部控制审计指引是为注册会计师和会计师事务所执行内部控制审计业务的执业准则。三者之间既相互独立,又相互联系,形成一个有机整体。
其中,应用指引可以划分为三类,即内部环境类指引、控制活动类指引、控制手段类指引,基本涵盖了企业资金流、实物流、人力流和信息流等各项业务和事项。
作为IT人士,我比较关注IT相关的内容。在控制手段类指引中,明确给出了 信息系统指引,指出 除了要利用信息系统强化内部控制外,更要关注信息系统自身的控制。这段文字比较清晰的说明了IT与内控之间的关系:
首先, 企业内审必须依靠IT:在内控体系中,内部审计是一个重要的机构和环节。内部审计是一项具有独立性的经济监督活动,以会计准则和审计准则以及有关的法律法规为依据,对企业、机关、事业单位等的财政、财务收支以及经营管理进行审核和检查,并在审核检查完毕后提出内审报告。一个标准的内部审计过程是十分繁琐和复杂的,如果不借助计算机自动化的手段,对现代企业的内审几乎不可能完成。依托计算机信息化技术,通过对所需数据的适时采集、处理加工,形成正确的审计结论和审计评价,从而提高内审工作效率,把内审人员从烦琐的数据运算、法规查证中解放出来,使审计工作的质量有所保证;通过对内审业务过程的计算机化管理,实现对整个内审项目的动态管理、对风险点的实时控制,实现对内审工作任务的合理分解,整合审计资源,促进部门管理责任制的落实,从而便于业绩的考核和评估,做好风险防范。
其次, IT系统自身必须纳入企业内控的范畴:当今大部分企业(尤其是美国大企业、上市公司,内控一词主要来自美国)的生产经营都已经极大程度的依赖于IT。可以说,如果IT失效,企业的生产经营活动将会受到极大的影响。因此,针对企业内控有很重要一个环节就是要求IT治理与IT内控,确保IT与企业的业务战略保持一致。而在这里,信息系统审计是企业和组织IT内控过程中最关键的环节。信息系统审计通过对关键控制点的符合性测试来判断IT内控的目标及其控制措施是否有效。
关于信息系统(IT)与内控的关系,在我写过的《 内控与IT安全的关系,IT内控与安全审计的关系 》一文中已有论述,在接受《信息安全与通讯保密》 采访时也表述过。
进一步分析信息系统指引,可以看到,对信息系统自身控制的要求包括以下几个方面:
1)企业应当根据信息系统建设整体规划提出项目建设方案,明确建设目标、人员配备、职责分工、经费保障和进度安排等相关内容,按照规定的权限和程序审批后实施。
2)企业开发信息系统,应当将生产经营管理业务流程、关键控制点和处理规则嵌入系统程序,实现手工环境下难以实现的控制功能。
3)企业应当加强信息系统开发全过程的跟踪管理,组织开发单位与内部各单位的日常沟通和协调,督促开发单位按时保质完成编程工作,对配备的硬件设备和系统软件进行检查验收,组织系统上线运行等。企业还应当组织独立于开发单位的专业人员对开发完成的信息系统进行验收测试,并做好信息系统上线的各项准备工作。
4)企业应当加强信息系统运行与维护的管理,制定信息系统工作程序、信息管理制度以及各模块子系统的具体操作规范,及时跟踪、发现和解决系统运行中存在的问题,确保信息系统按照规定的程序、制度和操作规范持续稳定运行。
5)企业应当重视信息系统运行中的安全保密工作,确定信息系统的安全等级,建立不同等级信息的授权使用制度、用户管理制度和网络安全制度,并定期对数据进行备份,避免损失。对于服务器等关键信息设备,未经授权,任何人不得接触。
显然,对于信息系统的控制,可以借鉴ISO20000,ISO27000的思想来切入,并且,一定要强调IT审计的重要性。而这也是为什么IT厂商,尤其是安全厂商热衷于IT审计的原因之一。关于内控与IT审计的关系,我在文章《 内控、安全审计、<企业内部控制基本规范>与市场分析 》中亦有分析。
无论如何,《规范》配套指引的颁布,使得“中国的萨班斯法案”重新上路。《规范》这个上市公司的紧箍咒再次响起,必将提升我国上市公司的治理水平,也会繁荣我国的内控,包括IT内控与安全审计市场。
【 后记】
关于内控、“中国萨班斯法案”,安全审计等内容,需要厘清以下几点:
1)本质上,这个《规范》并不与美国的萨班斯法案等价。《规范》尚不是法律(法案),没有提请全国人大审议通过,不是立法形式确定的法律条文,只是一个“规定”,在形式上比“法律”要低一层。而美国的萨班斯法案是真正的法律,是经过美国国会批准,总统签字的,其约束力显然更强。虽然该规范还不能称作是完整意义上的法案,而只是规范性文件,但是他对于国内企业、尤其是大企业的公司治理、风险控制、IT内控,包括信息系统安全审计都起到了极大的推进作用。
2)内控,或者说IT内控与安全(包括IT安全与审计)是不等价的。 内控不等于安全!其实,说到内控,在信息安全界更多提到的词应该是合规(Compliance)。对于内控和安全的区别,我以后会专门论述。