2002年,在安然事件后的一片混乱中,美国颁布了萨班斯-奥克斯利法案(以下简称“萨班斯法案”)。该法案对美国商业界影响巨大,以致于美国总统布什在签署萨班斯法案的新闻发布会上称,“这是自罗斯福总统以来美国商业界影响最为深远的改革法案”。从表面来看,它的初衷并不激进:即提高经理对股东的责任,并由此解决人们在丑闻发生之后对美国资本市场的信任危机。然而,法案的方法却很偏激,而其中的404条款也因其严厉性和高昂的执行成本饱受争议。
最复杂的条款
作为萨班斯法案中最重要的条款之一, 404条款明确规定了管理层应承担设立和维持一个应有的内部控制结构的职责。该条款要求上市公司必须在年报中提供内部控制报告和内部控制评价报告\;上市公司的管理层和注册会计师都需要对企业的内部控制系统作出评价,注册会计师还必须对公司管理层评估过程以及内控系统结论进行相应的检查并出具正式意见。显然,404条款对于公司内部控制情况作出严厉要求是为了使得公众更易于察觉到公司的欺诈行为,并确保公司财务报告的可靠性。而上市公司为了遵循该条款将付出沉重的代价,包括大量的时间和人力、财力的投入。
对于上市公司来说,404条款的实施是一个重要的举措,必须由公司董事、管理层、404项目小组、内审总监与其他人士积极监察和参与。404条款的遵照执行有四个区分明显的阶段:1.公司应制定内部控制详细目录,确定内部控制是否足够,然后将这些控制与诸如COSO委员会之类的内部控制研究机构的内部控制框架进行对照\; 2.公司被要求记录控制措施评估方式,以及未来将被用来弥补控制缺陷的政策和流程(如果有的话)\; 3.公司必须进行测试工作,以确保控制措施和补救手段起到预期作用\; 4.管理层必须将前述三个阶段的各项活动情况整理成为一份正式的报告。
最昂贵的规则
404条款被认为是《萨班斯法案》所有条款中最严厉、最昂贵的条款。
该条款要求,每个公司都要将公司任何一个岗位的职务、职责描述得一目了然,而这项工作需要大量材料和文件支持。同时,为了达到404条款的要求,上市公司要保证在对交易进行财务记录的每一个环节都有相应的内部控制制度(例如产品销售的条件、记录付款的时间和人员等)。此外,还要指出内部控制的缺陷所在。显然,要完成这些工作绝非易事,特别是对于组织分散,业务范围复杂的大型公司而言,组织越分散,业务越复杂就意味着要做的工作越繁杂,这促使他们不得不投入更多来实施404条款所要求的内部控制措施。而业务简单、管理集中的小型公司虽然实施工作会相对简单,却恰恰可能是受到最猛烈冲击的。受规模所限,他们在执行404条款中更显捉襟见肘,所要花费的遵循成本可能将占收入更大的比重。
不过,虽然404条款的遵循成本每年都会发生,但遵循的第一年是代价最高的,其中包括关键内部控制的初始存档和补救,应对新的复杂报告要求的一般挑战和关于对‘多少才是足够’的把握的不确定情况。一年过后遵循成本会大幅度减少,甚至可能会下降高达50%。
404条款究竟有多昂贵?根据国际财务执行官(FEI)对321家企业的调查结果,每家需要遵守萨班斯法案的美国大型企业第一年实施第404节的总成本将超过460万美元。这些成本包括35000小时的内部人员投入、130万美元的外部顾问和软件费用以及150美元的额外审计费用(增幅达到35%)。全球著名的通用电气公司就表示,404条款致使公司在执行内部控制规定上的花费已经高达3000万美元。
备受争议的条款
高昂的执行成本令404条款备受诟病。很多公司抱怨说,这笔花费价值不大。另外一些公司选择了退市来表达不满和无奈。1999年美国股市中的退市公司仅有30家,2004年已经升至135家。不过,并没有证据表明导致这135家上市公司退市的原因都是缘自于404条款的高额费用。
不少原计划赴美上市的海外公司也纷纷改变了上市地点。有消息称中国国航股份就是因为“404条款造成的高额财务费用和较为苛刻的内控要求”,从而决定将上市地点从原先的香港和美国修改为香港和英国。而原计划在纽约上市的中行和建行也传言准备放弃美国市场。
当然,也有人对404条款表示了欢迎。
从404条款中获益匪浅的中介审计机构就有着不同的看法。同时,股权持有者们也认为新法案的代价是值得的,推行404条款会带来一个前所未有的好光景。从长远来看,或许更多人会认同404条款对于美国资本市场健康发展的作用。毕竟,一旦发生公司丑闻,投资者的损失将远远超过公司目前付出的成本。
按照萨班斯法案生效时的约定,数千家大中型美国本土上市公司必须在2004年11月15日后结束的财政年度中遵守404条款\; 其他一些中小型公司和非美国本土公司的遵守日期则约定在2005年7月15日。
考虑到在美上市的海外公司和中小型本土公司执行起来的困难,纽约证券交易所极力游说美国证交会(SEC)。今年3月,SEC同意将原先拟定的生效日期延期一年至2006年7月15日。
其实,这已经是SEC对404的执行时间作出的第二次延期。去年2月,SEC就曾宣布将提前备案的大中型美国本土上市公司执行404条款的时间由2004年6月15日推迟至2004年11月15日。
执行第1年
尽管对于海外公司来说,目前距离最后的执行日期尚有1年的时间。美国数千家大中型本土公司却已经在2004年度报告中经历了404条款的考验。
截至2005年5月15日,2963家提前申报的公司已经披露了他们的404条款审计意见。其中,12.25%(即363家公司)获评不合格(实质性缺陷意见)。考虑到未及时申报公司(超过43家)预期的重大缺陷意见,以及预期的伴随财务报告调整而进行的404条款意见的调整(超过5家),这一比率将超过14%。这似乎比预期要乐观不少。
此外,已经有500多家公司披露了内部控制缺陷。其中一个有意思的现象就是很多公司选择了提前披露内控缺陷。有超过200家公司在2004年的尾季就已经披露了他们的内控缺陷。在已经报告的这些缺陷里,有些属于诸如某岗位设置不合理、某两个部门职责重复效率不高等小问题,这些问题容易改正;而有些则是较大的问题,可能需要公司追溯调整过去的财务结果。
为了遵循404条款,不少公司更新了财务报告系统,更多以前未被发现的内控缺陷被暴露出来。另外,一些公司披露出的问题已经构成了“实质性缺陷”,这意味着这些公司薄弱的内部控制系统将很可能无法预防年报中存在的重大虚假陈述。
与众多公司高层先前悲观的预测相比,市场对披露内控缺陷的上市公司作出了温和的反应。大部分公司并未因为披露了自己内部控制的缺陷而受到明显影响,一些公司在披露内控缺陷后的股价甚至不降反升,原先担心的缺陷报告披露之后会众叛亲离的现象并未发生在大部分公司的身上。这或许与大部分公司已经提出了改正缺陷的详尽补救措施有关。毕竟,在这一萨班斯法案中最严厉条款执行的初期,公众对于上市公司是抱有相当宽容度的。
这些可以让我们对404条款带来的影响保持乐观。而尤为令人欣慰的改善是,长期以来,很多上市公司在重大且复杂的会计问题上更依赖注册会计师的意见。现在,他们更加勇于承担会计决策的责任,努力增强会计控制能力,并加大对会计基础制度方面的投资,以满足提交更优质财务报告的需要。
中国公司任务重
截至今年3月底,内地和香港一共有70余家公司在美国上市,其中包括多家大型国有企业,如中海油、东方航空、中国人寿、中国移动等。与所有在美国上市的海外公司一样,这些公司已被放宽至明年7月15日起开始执行404条款。这一年的宽限期对大部分中国公司来说都弥足珍贵。
事实上,一直以来,中国公司在内部控制方面相对其他一些大型跨国公司都显得薄弱。去年3月,中国人寿因财务违规行为被股东提起了集体诉讼。而在今年前两个月,更是连续有UT斯达康、中航油、前程无忧网站、新浪等数家公司在美遭遇“提供虚假信息”和“隐瞒重大事实”的集体诉讼。
有调查显示,40%在美国上市的海外公司在原定期限前难以达到404条款的要求,其中中国公司的情况就更为紧迫。中国公司内部控制薄弱,整体准备状况较差,进展缓慢。如果没有延期,他们中的大多数或都无法在规定时间内达到404要求。
虽然额外获得的延期一年时间已经令大部分中国公司暂时得以喘息,但真正要在2006年7月15日前达标,对他们而言时间未必富裕。404看似简单的条款背后牵扯着公司整体内控流程和财务体系的重整,这意味着他们必须快马加鞭、夜以继日地工作以更好地达到404要求,因为,与国际大公司相比,我国公司在内部控制系统方面的差距不是短时间内就可以消弭的。
萨班斯法案
为了应对安然财务丑闻及随后的一系列上市公司财务欺诈事件所造成的美国股市危机,重树投资者对股市的信心,2002年7月26日,美国国会以绝对多数通过了关于会计和公司治理一揽子改革的《萨班斯-奥克斯利公司治理法案》(简称《萨班斯法案》)。四天后,布什总统在白宫签署法案,使其正式生效。
萨班斯法案是一部涉及会计职业监管、公司治理、证券市场监管等方面改革的重要法律。由于该法案在颁布时没有提出具体的适用豁免条件,这就意味着目前所有在美国上市的公司,包括在美国注册的上市公司和在外国注册而于美国上市的公司,都必须遵守该法案。
萨班斯法案的第一句话是:“遵守证券法律以提高公司披露的准确性和可靠性,从而保护投资者及其他目的。”这句话较好地阐述了萨班斯法案的基本目标。
萨班斯法案为公众公司的外部审计师创建了一个新的监督体制,并把对财务报告的内部控制作为关注的具体内容,不仅要求管理层报告公司对财务报告的内部控制,而且要求外部审计师证实管理层报告的准确性。
美国企业界普遍认为,《萨班斯法案》是自20世纪30年代通过证券法案以来,对美国商界和会计界影响最为巨大的一次立法。《萨班斯法案》完善了现行美国法规在处理虚假财务报表、虚假财务审计、销毁财务证据等方面的漏洞。
萨班斯法案第404条: 管理层对公司内部控制的评估
1.内部控制方面的要求-- 要求公司年报中包括一份“内部控制报告”,该报告应包括以下内容::
(1)明确指出公司管理层对建立和保持一套完整的与财务报告相关的内部控制系统和程序所负有的责任;
(2)包含管理层在财务年度期末对公司财务报告相关内部控制体系及程序的有效性的评估。
2.内部控制评价报告
受托的上市公司审计师应按照上市公司会计监管委员会对审核约定所发布或采用的准则就管理层关于内部控制的评估进行测试和评价,并出具评价报告。上述评价过程不应当作为一项单独的业务。
SEC在提交的法案相关的报告中这样解释此条立法:“委员会不希望审计师(对内部控制报告的)评估形成单独一份约定或者因此而导致审计费用的增加。”
指导SEC进一步要求上市公司披露其是否为高级财务官员制定职业操守规范以及该规范的内容;
指导SEC修改其以8-K表格进行即时披露的相关规则, 从而要求上市公司对任何职业操守规范的修改或废止事项立即进行披露。
安永就404条款对美国上市海外公司进行调研的重要发现
●海外公司在SEC最近宣布延后实施日期前,已经大幅度调高了要按原日期完成404项目所需的预计投入力度\;其中有不少公司预期他们只能在发布声明报告日期前的一、两个月完成。延后实施能够舒缓一定的时间压力,但是,美国快速申报公司当初也面临了同样类似的延后措施,造成一些公司放慢了进度,导致在我们调研的公司中,许多公司反而预期要在差不多限期届满前才能完成所有的工作。
●大部分海外公司都采用不一致的信息系统,高度依赖基于信息技术的控制措施,并大量外包信息技术工作。为保证有充足的时间实施或整改信息技术系统,公司应尽早关注处理这个问题,并预留出所需的专用资源。
●由于涉及到大量的与404项目相关的测试和认证工作,内审部门功能将会有大幅度增长。而在这方面建立一个可持续使用的、有效和高效率的资源库是非常困难的。内审部门应该从战略角度来解决这个问题。
==========================================================
SOX 404与流程管理
SOX介绍
2002 年,美国国会通过了Sarbanes-Oxley 法案(Sarbanes-Oxley Act, 简称SOX 法案),该法案要求组织机构使用文档化的财务政策和流程来改善可审计性,并更快地拿出财务报告。SOX要求企业针对产生财务交易的所有作业流程,都做到能见度/透明度、控制、通讯、风险管理和诈欺防治,且这些流程必须详加记录到可追查交易源头的地步。
SOX法案不仅适用美国的所有在市场上进行公开交易的公司,还适用于在美国证券交易所登记的非美国公司。也就是说,凡在美国上市的公司都要受此法案约束。
对于那些已开始SOX合规(SOX Compliance)的公司来说,IT很显然地在内部控制方面扮演一个至关重要的角色。IT专家,尤其是处于经理级职位上的专家,需要非常精通内部控制理论和实践来迎合SOX法案的需求。CIO们(Chief Information Officer,首席信息执行官)需要接受以下挑战:
提高与内部控制相关的知识;
理解公司的总体SOX合规计划;
制定一项有关IT控制的合规计划;
把该IT控制计划与公司总体SOX合规计划集成在一起。
围绕SOX法案的讨论大多集中在第302节和第404节。
决胜工作流:梅特勒—托利多案例介绍
——透析梅特勒—托利多公司BPM系统
近来,梅特勒—托利多集团在全球邀请普华永道对自己的内部流程进行审计,作为一个日益受到的重视的市场增长点,梅特勒—托利多(常州)称重系统设备有限公司(以下简称“梅特勒—托利多公司”)自然也在这次内部审计的范围之内。内部审计是对一个公司内部管理和流程规范性的苛刻考评,但是,梅特勒—托利多公司并不担心这次苛刻考评的到来,因为他们已经做好了准备。
随着梅特勒—托利多公司Ultimus BPM(Business Process Management,或企业流程管理,以下简称“BPM”)解决方案的实施,内部审计中可能遇到的很多棘手的问题已经被解决了。在普华永道帮助梅特勒—托利多公司进行正式内部审计之前,梅特勒—托利多集团已经对梅特勒—托利多公司进行过了一次预审,集团对梅特勒—托利多公司实施的BPM项目非常满意,称赞说,“即便在欧洲,梅特勒—托利多集团的企业流程管理也没有做到这么高的水平。”
业务变化催生BPM需求
梅特勒—托利多公司成立于1987年,是中国衡器行业第一家中外合资企业。投资方梅特勒—托利多集团,是世界上最大的称重设备及实验室仪器制造商,年营业额达11.5亿美元。同样,在中国,梅特勒—托利多公司也是占据了超过20%的市场份额,连续12年成为衡器市场中的领跑者,公司销售额是市场第二名的两倍。为了顺应集团内部发展的需要和国内市场竞争的压力,梅特勒—托利多公司孜孜不倦于先进技术、营销技巧和管理水平的提升,公司把IT技术的应用提升到战略的高度,认为IT技术的合理应用是打造管理水平和市场竞争力的基础。
在成功实施ERP、CRM、EHR等项目之后,梅特勒—托利多公司的业务开始发生变化。为了更快地发展,公司对业务进行横向分拆和纵向整合,将常州公司分拆成两个制造公司,在上海成立梅特勒—托利多仪器(上海)有限公司。分拆业务的目的在于将产品进行细分,每个制造公司负责一类产品的制造。同时,上海的公司也是梅特勒—托利多在中国区的管理总部,主要职能是整合公司的内外部资源,提升公司管理水平。但是一个新的问题开始出现了,公司组织架构的重大变化带来企业流程的重新整合,很多流程从本地处理变成异地处理,其中尤为突出的是审批流程,原本常州公司内部的审批,现在变成在不同公司之间进行审批,审批流程变得冗长和复杂,原先手工纸张审批的方式已经不能满足业务发展的要求。
沈剑军,梅特勒—托利多公司管理信息部负责人。作为梅特勒—托利多公司“元老级”的员工,他参与实施过公司每一个重大的IT项目,因此,他不仅精通管理软件及其实施,对公司的业务也是非常熟悉。早在2002年的时候,他已经意识到公司流程已经不能满足公司的发展需求,很多流程亟待重新设计和管理,为了规范、高效地处理公司流程,部署一套能够管理公司业务流程的IT系统变得非常迫切。光有感觉还不够,这一年,沈剑军领导的IT部门对公司业务部门进行业务调研,选择跟踪一批具有代表意义的手工纸张单据审批流程,发现一张单据的平均审批时间约为五个工作日左右,不仅业务部门对如此漫长的审批过程难易忍受,公司领导层也对繁复的审批流程头痛不已。手工纸张形式的审批流程已经没有效率优势。2002年底,在规划2003年部门工作规划的时候,沈剑军将BPM项目作为部门的工作重点之一。无巧不成书,梅特勒—托利多公司的CEO也在年度工作规划中提出,“管理信息部应该着手调研并实施工作流系统(E-Admin),以规范和提高公司的流程管理水平”。由于符合公司各个层面用户的需求,BPM项目被一锤定音地定为公司信息系统建设的一件大事。
Ultimus解围
立项后的第一件事就是选型。对IT部门来说,对管理软件的选型和对供应商的选择一直是个难题。当时BPM在国内还是一个全新的理念,很多号称能提供BPM解决方案的供应商都不能不清楚什么是BPM,更别说有多少用户能真正理解BPM的内涵了。得知梅特勒—托利多公司要实施BPM项目,很多供应商闻讯而至,经过细致研究,管理信息部发现,很多供应商提供的解决方案其实就是一个办公自动化(OA)产品,在路由判断方面有严重缺陷。沈剑军最终把目光锁定的两三家国外供应商上,他把自己的需求通过邮件发给这几家供应商。很快,有一家供应商做了回复,他们称自己可以帮助梅特勒—托利多公司实施BPM项目。这家公司正是Ultimus公司,此时Ultimus已经在欧美BPM市场拥有绝对领先优势,是业界公认的BPM专家。与Ultimus形成对比的是,另外几家国外公司都没有及时对梅特勒—托利多公司的需求做出反馈。事实证明,选择Ultimus是一个正确的抉择。
按照梅特勒—托利多公司管理信息部的规划,BPM系统必须能处理公司E-HR以外的所有流程,而不是针对不同性质的流程实施不同的系统。Ultimus BPM Suite正好能满足这个要求,这是因为Ultimus的产品具有极大的灵活性和开放性,与一般产品化软件相比,Ultimus BPM Suite是一个开发平台,用户可以结合公司流程的变化,基于这个平台开发不同的应用。这正是梅特勒—托利多公司所需要的。很快,Ultimus的实施人员进驻梅特勒—托利多公司,开始调研用户需求,设计业务流程,项目紧张有序地实施起来。根据梅特勒—托利多公司管理信息部备案的BPM一期项目的 “项目进度表”,可以看出Ultimus执行了非常严格的实施规范,对用户的每一个需求都分流程设计、流程自动化、流程管理、流程优化四个步骤进行实施。严格的实施规范保证了项目的安全性,一期项目中的五个功能模块全部成功上线,实现了手工纸张流程向自动化、无纸化流程的迁移。
只是能实现公司流程向自动化迁移还是远远不够的。Ultimus BPM Suite是一个开发的平台,可以方便地与用户其他的信息系统进行整合。由于梅特勒—托利多公司的信息系统应用已经非常丰富,除了有ERP和CRM系统之外,还部署了财务系统、固定资产管理系统、E-HR系统以及PDM系统等,BPM系统涉及公司各个部门的业务,BPM和公司已有的信息系统数据库进行无缝整合后,最大限度内挖掘了公司流程的效率和连带效应。
流程变革
从2003年7月开始,到九月一期项目实施结束,历时仅两个月。单就公司的一个信息系统而言,两个月可能很难对公司的管理有明显影响。但实施BPM的这个两个月对梅特勒—托利多公司来说,却是一次公司流程的变革。根据2003年上半年的用户调研和需求分析,梅特勒—托利多公司和Ultimus共同决定在一期项目先对四大重要企业流程进行实施,包括:零星物流采购流程;物料清单(BOM)更改流程;固定资产申请审批和固定资产报废申请审批流程;突发性项目审批流程。
零星物料采购流程。在梅特勒—托利多公司,物料采购包括两个部分,一部分是生产物料、辅料采购,这部分采购由ERP系统管理,除生产物料以外的物料称“零星物料”,包括办公用品、工程辅料等。在实施BPM项目之前,零星物料采购审批都是采用传真件的形式,经常出现单据在审批过程中丢失、审批结果石沉大海的情况。实施BPM项目之后,审批流程都在Ultimus系统中进行,每一个审批流程都有案可稽,再也不会出现单据丢失的情况了。
物料清单(BOM)更改流程。生产物料在进入公司ERP系统之前,必须编写物料编号。实施BPM项目之前,生产物料采购实行的是纸张书面申请,生产物料的编号由手工编写,汇集成纸面的物料清单,送由信息管理部专人向ERP系统中录入。这样的流程非常容易产生申请单据丢失和物料编号出错的情况。BPM系统彻底扭转了这一状况,物料申请在系统中进行,不会发生信息丢失的情况,物料编号也在BPM系统中进行,然后导入ERP系统中,降低了错误编号在ERP系统中出现的几率。
固定资产审批和固定资产申请报废流程。BPM系统整合了公司已有的固定资产管理系统,改变了固定资产管理系统是一个信息孤岛的状况,把固定资产的数据管理和申请审批管理全部整合在信息系统中进行。
突发性项目审批流程。每年年底,梅特勒—托利多公司财务部门会汇合业务部门需求,对下一年会发生的项目做预算。但实际操作中,会产生一些“预算之外的预算”,也就是突发性项目。在实施BPM系统之前,对突发性项目预算的处理基本有两种方式,一是把项目A的预算临时挪借给突发性项目B;二是特事特办,越过公司的财务部门,直接找总经理特批。BPM系统解决了这个一直困扰公司业务部门的大问题。BPM系统配合公司的财务系统,设计了突发性项目审批流程,并在系统中实现,既保证了业务的灵活性,又保证了操作突发性项目的规范性。
成效卓越
尽管公司的架构重组后,异地审批加大了审批流程的复杂程度,但是系统上线之后,审批的效率和精确程度反而比以前本地审批更高。管理信息部负责人沈剑军介绍,原先审批流程的周期为五个工作日,实施BPM系统之后,审批周期立即缩短到两天,没有系统,这几乎是不可能实现的。
BPM一期项目结束以后,梅特勒—托利多公司立即开始为在上海新成立的公司实施二期项目,两期项目的功能模块大致相同,不同的是,二期项目的实施人员是梅特勒—托利多公司管理信息部的技术人员。Ultimus的产品具有开放性,在一期项目中,用户的信息技术部门可以掌握开发实施的方法,结合公司新出现的流程,自行开发相应的应用。“目前,业务部门尝到了使用BPM系统的甜头,新出现需求应接不暇,我们已经实施了近20个流程。” 说到这里,沈剑军颇为自得。
梅特勒—托利多公司BPM系统的一期项目的实施效果是立竿见影的。即使梅特勒—托利多公司的CEO也抑制不住对这个项目的赞赏之情,在集团的内部会议上,他专门介绍了公司的BPM项目,引起了其他梅特勒—托利多集团分支机构的浓厚兴趣,不久,梅特勒—托利多集团的日本分支机构拍板上马Ultimus BPM Suite。
梅特勒—托利多公司BPM项目的意义远不止是应付一次内部审计那样简单。对此,沈剑军深有感触。他说:“Ultimus BPM Suite不止是一个产品,它还规范了我们的业务流程,使得规范化操作的理念植入每个员工的思想中。公司规模越大,规范化运作就越显得重要。”
IT技术与SOX法案遵循
视野讯 - 大约一半的美国公司高管都承认他们公司对于帮助遵循SOX法案404条款的IT技术的使用仅仅是达到满意的水平。但近期普华永道管理晴雨表指出SOX法案第二年IT技术应用会大大加强,且四分之三的美国跨国企业将对其IT技术做重大改变,方向主要集中在内控环境和遵循SOX法案的过程上。
Jacqueline Olynyk(普华永道会计事务所合伙人)指出:“遵循SOX法案让企业自我揭示出商业流程和内控中的缺陷,同时也促进公司对此加以解决。总的说来,受调查企业为遵循SOX法案在不同程度上运用了IT技术,但未来仍有许多值得提高之处。高层将改进IT技术视为加强遵循SOX法案和改善商业程序的效率和效用的难得良机。对于那75%将对IT技术做重大改善的企业来说,优化控制环境和将自动化控制程序嵌入跨公司的商业流程,这些都将产生巨大且长期的影响。”
调查还包括以下内容:
1,高管使用IT技术的感受
47%对遵循SOX法案IT技术的使用感到满意;38%认为他们IT技术的使用非常出色;10%的人坦言IT技术给他们带来了麻烦,他们需要对技术做重大改进。
2,IT技术的效能
40%的企业认为IT部门能为他们找到更好遵循SOX法案和改善控制环境的方式;21%的企业认为他们的IT部门能预先找出更有效使用技术的途径。
3,跨国公司未来对IT技术的改进
75%被调查的跨国公司表示将在遵循SOX法案第二年里对IT技术做重大改进;其中47%的公司将同时加强控制环境和遵循过程的改进;18%的公司将仅加强遵循过程的改进;10%的公司则是强调控制环境;21%的公司表示不会进行重大改变。
================================================
SOX法案 促进IT治理的完善
为符合SOX法案第404条款的要求,相关公司在IT治理的改善上做了很大的努力,主要表现在IT一般性控制和应用系统/业务流程层面的自动控制的改进。
所谓IT一般性控制,包括IT的控制环境、对程序和数据的访问、程序开发、程序变更和计算机日常运作和最终用户计算环境。而应用系统/业务流程层面的自动控制则主要和应用系统的功能特点相关,并和IT治理间接相关。这些合规性的实践,极大地丰富了IT治理实践的内容。
笔者结合自身的工作实践,提出下列体会供探讨。
SOX法案第404条款合规性实践提出了一种检验IT治理成效的方法
总的说来,IT治理是一种高层次的理念,比较理论化,衡量IT治理的成熟度模型所采用的指标大都是定性指标而非量化的指标。因此IT治理成效难以得到合理的判断和认可。
不过近年来SOX法案第404条款的合规性实践,展示了改善IT治理和判断IT治理成效的一种有效方法。虽然SOX法案第404条款合规性的要求有其特有的局限性,因为其主要关注的是和财务报告相关的信息系统,但是由此产生的方法论和合规性实践,对IT治理的理论发展和实践很有借鉴意义。
公司IT治理的一个重要部分是IT的一般性控制,其中包括IT控制环境、对程序和数据的访问、程序开发、程序变更、计算机操作和最终用户计算环境等领域。在SOX法案第404条款的合规性实践中,上述领域的IT一般性控制已经被发展成非常具体的控制要求了。
SOX法案第404条款要求的IT一般性控制的合规性实践往往采用下列的方法。
首先是做一次IT一般性控制的现状分析。然后参照COBIT的要求建立公司的IT控制目标以便进行差距分析,并在此基础上找出和确定能涵盖这些控制目标的IT一般性控制的关键控制点。
每个关键控制点的控制活动都被清晰地描述和文档化,同时这些控制活动还必须具备可操作性和可检验性,最终形成所谓的IT控制矩阵(IT Control Matrix)。
相关公司都必须完成一整套与IT控制相关的文档,即所谓的SOX法案合规性文档,如IT政策、IT控制矩阵、IT控制活动描述、IT控制的测试方法等。随后通过细致扎实的工作落实已被确定的IT控制点,从而使IT控制得到贯彻实施。
根据SOX法案第404条款的要求,管理层必须每年对这些控制点进行测试和评估,对测试得出的控制缺陷,则需要增设补救和改进措施,并再次测试。如果在规定的期限内,控制缺陷还是不能得到改正,外部审计师将根据情况,针对控制缺陷和程度发表审计意见。
笔者从相关工作中体会到,将相关的IT控制措施文档化并加以实施,再加上对IT控制进行测试和控制缺陷的补救改进工作,这可以在很大程度上将公司IT治理落到实处。
确认公司的IT控制目标是落实公司IT治理架构的重要基础工作
在SOX法案第404条款的合规性实践中,很多公司以COBIT为参照标准,根据其具体情况确定必要的IT控制目标。由于在美国上市的公司分布在不同行业,公司的规模相差悬殊,信息系统的应用范围也有很大的不同,故对不同的公司而言,在合规性的要求下要实现的IT控制目标的范围有很大的差异。
公司要实现的IT控制目标,与公司IT应用的情况和公司的IT管理运作方式有关。在确定了要实现的IT控制目标后,接下来就是要发现和确认相关的IT控制点和控制活动。实现任何一个IT控制目标可能需要一个或多个相关的控制点,这取决于控制目标的要求和控制点的控制方式。以上工作的结果可以产生所谓的IT控制目标矩阵或IT控制矩阵。
确认公司的IT控制目标是落实公司IT治理架构的一个重要基础工作。在此基础上制定合理的IT控制矩阵是一项很重要的工作,它对落实公司IT治理架构和SOX法案第404条款的合规性实践有很大的实践意义,整个合规性活动的工作量,也与此密切相关。
定期测试IT控制活动的有效性是检验公司IT治理成效的试金石
在SOX法案第404条款的合规性实践中,对IT控制活动进行定期测试是重要的一环。IT控制活动的测试分为管理层的自我评估测试和外部审计师的合规性审计测试。
无论是上述何种测试,都将根据IT控制活动发生的频率,决定样本的大小,并对抽取的样本按照设计的测试步骤进行测试。IT控制的设计有效性和运行有效性二个方面将被分别测试。
按照重要性原则,公司属下的分公司、子公司或者分支机构,将会有选择地接受测试。这样的测试,一般每年进行一次,公司的管理层和公司的外部审计师都将为测试付出很大的努力。
任何被检测出的IT控制缺陷,需要在规定的期限前改正和接受再测试。控制缺陷如果不能在规定的期限前通过改正和测试,外部审计师会发表相应的审计意见。因此可以说,定期测试IT控制活动对公司的IT治理的落实和改进有极大的帮助,是检验公司IT治理成效的一个试金石。
===================================
第404节 管理层对内部控制的评价
(a) 内部控制方面的要求——SEC应当相应的规定,要求按《1934年证券交易法》第13节(a)或15节(d)编制的年度报告中包括内部控制报告,包括:
(1) 强调公司管理层建立和维护内部控制系统及相应控制程序充分有效的责任;
(2) 发行人管理层最近财政年度末对内部控制体系及控制程序有效性的评价;
(b) 内部控制评价报告——――
对于本节(a)中要求的管理层对内部控制的评价,担任公司年报审计的会计公司应当对其进行测试和评价,并出具评价报告。上述评价和报告应当遵循委员会发布或认可的准则。上述评价过程不应当作为一项单独的业务。 |
|
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
