这个被称为“中国版SOX”的规范,被无数人寄予了期望,未来5年内,基本规范的实施将对中国的上市公司和大型企业的规范化运作带来实质性推动。
由比特网( )主办的2009中国企业内控市场高峰ITIL先锋论坛于2009年5月8日隆重举行,此次大会比特网以在线的模式进行制作与推广,邀请诸多行业专业人士进行访谈,以《企业内部控制基本规范》条令的颁布结合中国现阶段内控发展为主旨,探讨现阶段中国企业所面临的内控危机以及在未来将如何有效治理并规范相关制度为目的。
2008年6月28日,财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》。基本规范自2009年7月1日起先在上市公司范围内施行,鼓励非上市的其他大中型企业执行。这个被称为“中国版SOX”的规范,被无数人寄予了期望,未来5年内,基本规范的实施将对中国的上市公司和大型企业的规范化运作带来实质性推动。这是我国继实施与国际接轨的企业会计准则和审计准则之后,在会计审计领域推出的又一与国际接轨的重大改革。这部规范的推出,意味着中国企业内部控制规范体系建设正在向国际标准靠拢。
这套适用于中国企业的内部控制体系,其基本规范借鉴了COSO报告五要素框架和风险管理八要素框架;具体规范以财务报告内部控制为主线,对与企业财务报表项目相关的、可能会对财务报告真实可靠性产生较大影响的经济业务事项以及与财务报表编报相关的业务活动提出具体的控制规范,并对为实现有效的财务报告内部控制的事前、事中和事后制度支持提出控制要求。企业的内部控制,应该贯穿于企业经营活动的决策、执行和监督的始终,涵盖企业各种业务和事项。企业每一项经营活动,从工作的效率性及风险的控制性来讲,都应强调过程控制,包括宏观上公司治理结构的确立、机构设置及权责分配、人力资源政策、企业文化等,也包括微观上企业股东会和董事会的决策程序,经理层及员工的执行程序和要求,监事会、内部审计委员会的监督程序,员工奖励计划,以及违反公司内部控制体系的罚则等等。
那么,对于企业内部的IT建设与控制而言,企业内部控制规范的实施会带来怎样的影响呢?CIO们如何系统考虑从企业IT的内部控制建设来保障企业内部控制。本文从IT内部控制与IT风险管理的角度,阐述企业IT控制与企业内部控制之间的关系。
企业内部控制规范与IT内部控制的关系
企业内部控制基本规范包含的五要素框架:
(一)内部环境。内部环境是影响、制约企业内部控制建立与执行的各种内部因素的总称,是实施内部控制的基础。内部环境主要包括治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审计机构设置、反舞弊机制等。
(二)风险评估。风险评估是及时识别、科学分析和评价影响企业内部控制目标实现的各种不确定因素并采取应对策略的过程,是实施内部控制的重要环节。风险评估主要包括目标设定、风险识别、风险分析和风险应对。
(三)控制措施。控制措施是根据风险评估结果、结合风险应对策略所采取的确保企业内部控制目标得以实现的方法和手段,是实施内部控制的具体方式。控制措施结合企业具体业务和事项的特点与要求制定,主要包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。
(四)信息与沟通。信息与沟通是及时、准确、完整地收集与企业经营管理相关的各种信息,并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程,是实施内部控制的重要条件。信息与沟通主要包括信息的收集机制及在企业内部和与企业外部有关方面的沟通机制等。
(五)监督检查。监督检查是企业对其内部控制的健全性、合理性和有效性进行监督检查与评估,形成书面报告并作出相应处理的过程,是实施内部控制的重要保证。监督检查主要包括对建立并执行内部控制的整体情况进行持续性监督检查,对内部控制的某一方面或者某些方面进行专项监督检查,以及提交相应的检查报告、提出有针对性的改进措施等。企业内部控制自我评估是内部控制监督检查的一项重要内容。
IT内部控制实施思路
企业内部控制规范并没有对IT控制的目标和相关的控制活动做出明确的规定。国外上市公司会计监管委员会在审计准则中提及COSO内控框架可以作为评估内控的标准,但是COSO并没有提供IT 控制方面的详细控制目标和控制方法,从而进行IT治理。直到 COBIT(直译为信息及相关技术的控制目标)被提出来以后,IT 治理才有了一个开放性的标准,目前其已成为国际上公认的最先进、最权威的信息安全与信息技术管理和控制的标准。该标准不仅可以指导企业有效地利用信息资源,而且可以指导企业有效地控制与信息相关的风险。所以建设和完善IT内部控制体系的指导框架必须同时结合企业内控框架和COBIT标准。
我们建议国内企业采用企业内部控制规范作为内控评估标准,结合国际上普遍采用COBIT框架作为IT 控制的标准,将COBIT的相关IT控制目标与COSO五个要素关联起来,设计符合规范要求的IT内部控制体系。COBIT是一个很丰富IT内控框架,包括四个域、34个IT控制流程和318个详细的控制目标,是一个相当全面的信息系统内控框架体系。对于想遵循内部控制规范的企业来说,该体系所提供的控制目标和考虑一般会超过其需求。
建议首先需要对IT相关的风险进行评估,建立IT控制矩阵,以COBIT为参照依据,选取其中适合本身业务特点、复杂性和需求的控制流程和控制目标为对象,建立IT内部控制框架,作为后续制定控制文档体系和测试的基础。同时,在具体控制措施上可融合ISO27001(信息安全管理体系)、ISO20000(IT服务管理体系)、Prince2(IT项目管理)、CMMI(软件开发过程控制)等具体控制框架,分阶段分步骤的实施。
另外一般企业或多或少已经建立了一些具体的IT控制措施,在建立IT内部控制体系时要充分考虑并整合企业原有的控制措施。针对每个风险点建立控制措施,逐步从技术和管理两方面落实具体措施,并建立体系化运作与审核办法。
IT内部控制体系建设包括以下主要阶段:
阶段一:现状调研及诊断。本阶段主要实施任务是对IT内控现状进行了解,确认IT控制的相关范围,审阅相关政策和程序,调研和识别企业内部控制规范所要求范围内的重点应用系统及模块清单,对信息系统的相关控制设计情况进行了解,在现有的业务流程控制文档基础上,识别的有关自动/半自动活动控制活动描述,提出调研报告和改进建议。
阶段二:风险识别与分析。本阶段主要实施任务是在对现有的信息系统建设、实施与支持运维各个流程进行充分的风险评估、调研及访谈的基础上,找到现有内控体系与完善的内控体系之间的差距,并分析所得到的差距结果,建立IT风险控制矩阵。
阶段三:IT内部控制体系设计与整改方案。本阶段主要实施任务是参照《企业内部控制规范》及COBIT框架要求,结合ISO20000与ISO27001标准,设计一套具有比较完善严谨、实际操作性以及可推广性的IT内部控制体系。主要工作就是建立IT内部控制体系框架文档体系,该文档体系是未来建立IT控制管理细则文档系统的基础和指导准则。
阶段四:培训宣贯与运行推广实施。本阶段的主要实施任务通过宣讲、培训等方式,对企业各单位和人员进行内控流程设计和相关制度介绍和学习,在领导统一的部署下,督导其改进流程的实施。并根据建立好的IT控制框架体系进行试运行,推广实施。
阶段五:体系改进修正和监督优化。本阶段的实施任务是在IT内控体系试运行一段时间的基础上,通过测试,出具评估报告,并将各个部门和终端操作人员在试运行阶段发现的问题、产生的问题及反馈意见,经过讨论研究,出具试运行阶段评估分析报告。结合反馈意见汇总评估报告和企业内部控制案要求,进行讨论研究,通过分析问题,进而对整个ERP内控体系进行有针对性改进或修正,进而对流程的实际可操作性和可行性进一步的优化和完善。
小结
金融风暴引起了业界对企业内部控制的广泛关注,中国《企业内部控制基本规范》今年的正式实施将给国内企业的CIO与IT行业带来新的要求,也将带来新的活力与新的思路。国外SOX法案对IT控制与IT审计大大推动的现象在国内也将逐步重现,或许这也是金融风暴的正面影响之一吧。
|