论文部分内容阅读
被喻为“疯狂法律”的萨班斯法案,犹如悬在中国“国际化”企业头上的达摩克利斯之剑。7月5日,中国第一家海外上市公司华晨中国汽车控股有限公司宣布,不堪萨班斯法案高昂的遵循成本,从美国纽约证券交易所退市。在法规遵循的大趋势下,用IT系统帮助企业符合萨班斯法案的要求和在萨班斯法案中寻找IT的商机,是眼下业界热衷讨论的问题。
然而——
7月5日,中国第一家海外上市公司——华晨中国汽车控股有限公司从美国纽约证券交易所退市了!
一位在美国上市的中国公司的财务管理人员告诉记者,让华晨不堪重负的,正是为了遵循《萨班斯—奥克斯利法案》(简称萨班斯法案)而不得不向审计公司支付的巨额咨询、审计费用,以及高昂的内部遵循成本。与这笔支出相比,华晨在纽约交易所融到的资金却非常有限。
这边是退市,那边却是欢庆通过萨班斯法案。仅今年上半年,就先后有华能国际电力股份有限公司、中国网通集团(香港)有限公司、中国人寿保险股份有限公司、中国石油天然气股份有限公司等大型企业通过了萨班斯法案。
然而,同样是通过萨班斯法案,各公司不仅实施的成本不同,对IT手段的依赖程度也各不相同。有的企业除了已有的IT系统外,并没有为萨班斯法案采购新的IT设备,而是通过人工的手段完成控制点的文档收集和整理;有的企业则采用了一些基本的协同工具,分担一部分人力工作。
慧点科技商业流程与控制事业部总经理吴大军指出,如何利用IT系统来帮助企业符合萨班斯法案的要求,也正是企业头疼的问题。“第一年法规遵循的时候,首先解决的是从0到1的问题,企业为了通过萨班斯法,甚至直接让咨询公司采用手工的方式先把报告交出来。如今,企业已经有时间来思考,到底怎么利用IT工具提高效率。”这位人士表示。
渐显IT“智障”
缺乏内控的IT系统,是中国企业在遵循萨班斯法案过程中所遇到的最大挑战。中国企业IT系统重建设、轻维护的老传统,使得IT系统不能完整实现其管理功能,在业务与IT密不可分的趋势下,传统IT系统渐显“弱智”。
如果有人告诉你,中国企业在遵循萨班斯法案过程中,遇到最大的挑战是IT系统,你是否会非常惊讶?
2002 年7 月通过的萨班斯法案本意是促使在美国上市的公司通过加强内部控制,来改进自己的治理状况,提高治理水平,恢复投资者对美国资本市场的信心。一般来说,萨班斯法案会涉及公司层面、业务流程及IT管理3大方面。
“信息化投资占企业整体投资的比例越来越大,企业中越来越多的业务流程都建立在IT系统之上,管理业务就是管理IT,两者不可割裂。”ITGov中国IT治理研究中心专家孟秀转表示。但她同时指出,在任何一家公司里,财务控制都是管理的重头,相关的规章制度也非常严格,而IT内控更是很缺乏,面临的挑战也要大得多。
2005年初,在美国纽约证券交易所上市的中国人寿保险股份有限公司启动了萨班斯法案遵循工作。“当时的现状很不乐观。”中国人寿萨班斯法案404项目组的一位负责人这样评价。中国人寿2005年的年度报告显示,根据香港准则与美国公认会计准则统计的数字出现了重大差异,作为外审机构的普华道,也指出了中国人寿与信息系统相关联的实质性漏洞。
导致这个漏洞的主要原因,就是IT系统的集中管理程度不够。中国人寿信息技术部项目管理处的一位负责人解释说,这与中国人寿总部信息技术部一直立足于服务的角色定位有关,而按照萨班斯法案的要求,信息技术部更应侧重于管理,包括加大对分公司信息系统、系统建设、运维、数据等集中管理的力度,降低分散管理隐含的风险。
2005年,中国人寿制定了一份《信息技术管理制度》。“这是一件开历史先河的事情。”404项目组的负责人表示。以往,中国人寿并不是没有IT方面的制度,但是相关的制度很零散,如分别面向防火墙、IT采购、安全备份等方面的。而这套新制度涵盖了IT的各方面,梳理出了公司应该具备的流程和控制点。这个管理制度解决了管控范围、管控思路以及管控标准的问题,只要达到这些控制点,至少能保证不会出错。
“外审公司披露的漏洞对中国人寿的帮助还是很大的,我们试图从中理解外审做出这样评价的意图,从而分析外审会更注意哪些问题,这些经验也为公司2006年年报的顺利过关提供了经验。”该负责人表示。
当然,从理论上来说,全国数据大集中的实现是这个漏洞的终极解决方案。因为一旦大集中,公司总部就能从数据层面掌控所有资源,把管理风险从分散的地方完全集中到总部。据了解,中国人寿计划在全国建立南北两大数据中心,目前选址已经完成,正在进行前期筹备工作。
今年3月底通过萨班斯法案的中海油,同样面临着IT治理和IT控制这个新问题的挑战。“我们刚开始做萨班斯法案遵从的时候,并没有把IT当成非常复杂的工作,做了以后才发现,萨班斯对国企IT的管控架构产生了很大影响。”中国海洋石油有限公司萨班斯法案404实施项目组的一位负责人如是说。
让他印象最深的有一点:过去IT系统往往重建设、轻维护。过去员工使用IT系统的时候,往往认为,“谁建的系统谁负责”,而一些系统管理员拥有超乎一切的权限,成为IT系统里的“领导”;实际上,根据职责不相容的原则,IT系统的应用层和后台管理必须严格分开。
以前,中国人寿的IT人员较欠缺,尤其在分公司层面,往往会出现一个人兼数岗的情况,从开发、应用,到运维、硬件管理都要负责。根据萨班斯法案404内控的要求,数据库、操作系统可以是一个人负责,但是应用系统与数据库管理员这样的前台操作和后台管理一定不能是同一个人。否则应用系统维护人员修改数据时,又能从后台数据库的行为日志里清除数据,从而增加了很多风险。
搬走“绊脚石”
根据萨班斯法案的要求,参照COSO模型和COBIT框架进行整改,是在美上市企业无法回避的选择。中海油和中国人寿搬走“绊脚石”的方法不尽相同,但殊途同归,借助IT系统的强制性,来规范管理。
虽然萨班斯法案直指的是财务报告的真实、准确,但是很多公司的财务报告流程都是由IT系统驱动的。可以说,IT是保证财务报告内部控制的有效性的基础,IT的控制至关重要。
这也是很多在美上市公司根据萨班斯法案的要求进行整改时,参照COSO模型和COBIT框架的原因。参照COSO框架很好理解,因为它包括控制环境、风险评估、控制活动、信息交流、监督等5项要素,已经成为世界通用的内部控制权威文献。
而COBIT(Control Objectives for Information and related Technology,信息及相关技术的控制目标)很明显是一个IT治理的框架。问世11年的COBIT,从规划与组织、采集与实施、交付与支持、监控4个方面确定了34个处理过程以及318个详细控制目标,并能将IT流程、IT资源及信息与企业的策略与目标联系起来,在企业业务战略指导下,对信息及相关资源进行规划与处理。
我们从中可以看出,COSO与COBIT的映射关系。这些现成的流程和框架有助于中国公司初步梳理出流程,外审公司会帮助做一个控制矩阵。中国人寿把这个控制矩阵与公司的制度做了映射,明确指出一个控制点应该对应制度的哪些条款,并从2006年初开始在全国大力扩展。
中海油为了萨班斯法案的遵循工作,采用了IBM的WBCR系统。这个2005年开始建的系统,于去年7月通过验收。项目小组把它当做一个文档管理、数据管理、测试结果集中的平台,能够对一个项目组的工作起到协同的作用。“我们可以把控制、风险都放在同一个系统中,比如哪些控制点需要测试、什么时间测试的、测试的结果如何。否则,我们可能还在用EXCEL表格,那样至少需要1~2个人专门进行文档更新等工作。”其项目组的一位负责人表示。
然而——
7月5日,中国第一家海外上市公司——华晨中国汽车控股有限公司从美国纽约证券交易所退市了!
一位在美国上市的中国公司的财务管理人员告诉记者,让华晨不堪重负的,正是为了遵循《萨班斯—奥克斯利法案》(简称萨班斯法案)而不得不向审计公司支付的巨额咨询、审计费用,以及高昂的内部遵循成本。与这笔支出相比,华晨在纽约交易所融到的资金却非常有限。
这边是退市,那边却是欢庆通过萨班斯法案。仅今年上半年,就先后有华能国际电力股份有限公司、中国网通集团(香港)有限公司、中国人寿保险股份有限公司、中国石油天然气股份有限公司等大型企业通过了萨班斯法案。
然而,同样是通过萨班斯法案,各公司不仅实施的成本不同,对IT手段的依赖程度也各不相同。有的企业除了已有的IT系统外,并没有为萨班斯法案采购新的IT设备,而是通过人工的手段完成控制点的文档收集和整理;有的企业则采用了一些基本的协同工具,分担一部分人力工作。
慧点科技商业流程与控制事业部总经理吴大军指出,如何利用IT系统来帮助企业符合萨班斯法案的要求,也正是企业头疼的问题。“第一年法规遵循的时候,首先解决的是从0到1的问题,企业为了通过萨班斯法,甚至直接让咨询公司采用手工的方式先把报告交出来。如今,企业已经有时间来思考,到底怎么利用IT工具提高效率。”这位人士表示。
渐显IT“智障”
缺乏内控的IT系统,是中国企业在遵循萨班斯法案过程中所遇到的最大挑战。中国企业IT系统重建设、轻维护的老传统,使得IT系统不能完整实现其管理功能,在业务与IT密不可分的趋势下,传统IT系统渐显“弱智”。
如果有人告诉你,中国企业在遵循萨班斯法案过程中,遇到最大的挑战是IT系统,你是否会非常惊讶?
2002 年7 月通过的萨班斯法案本意是促使在美国上市的公司通过加强内部控制,来改进自己的治理状况,提高治理水平,恢复投资者对美国资本市场的信心。一般来说,萨班斯法案会涉及公司层面、业务流程及IT管理3大方面。
“信息化投资占企业整体投资的比例越来越大,企业中越来越多的业务流程都建立在IT系统之上,管理业务就是管理IT,两者不可割裂。”ITGov中国IT治理研究中心专家孟秀转表示。但她同时指出,在任何一家公司里,财务控制都是管理的重头,相关的规章制度也非常严格,而IT内控更是很缺乏,面临的挑战也要大得多。
2005年初,在美国纽约证券交易所上市的中国人寿保险股份有限公司启动了萨班斯法案遵循工作。“当时的现状很不乐观。”中国人寿萨班斯法案404项目组的一位负责人这样评价。中国人寿2005年的年度报告显示,根据香港准则与美国公认会计准则统计的数字出现了重大差异,作为外审机构的普华道,也指出了中国人寿与信息系统相关联的实质性漏洞。
导致这个漏洞的主要原因,就是IT系统的集中管理程度不够。中国人寿信息技术部项目管理处的一位负责人解释说,这与中国人寿总部信息技术部一直立足于服务的角色定位有关,而按照萨班斯法案的要求,信息技术部更应侧重于管理,包括加大对分公司信息系统、系统建设、运维、数据等集中管理的力度,降低分散管理隐含的风险。
2005年,中国人寿制定了一份《信息技术管理制度》。“这是一件开历史先河的事情。”404项目组的负责人表示。以往,中国人寿并不是没有IT方面的制度,但是相关的制度很零散,如分别面向防火墙、IT采购、安全备份等方面的。而这套新制度涵盖了IT的各方面,梳理出了公司应该具备的流程和控制点。这个管理制度解决了管控范围、管控思路以及管控标准的问题,只要达到这些控制点,至少能保证不会出错。
“外审公司披露的漏洞对中国人寿的帮助还是很大的,我们试图从中理解外审做出这样评价的意图,从而分析外审会更注意哪些问题,这些经验也为公司2006年年报的顺利过关提供了经验。”该负责人表示。
当然,从理论上来说,全国数据大集中的实现是这个漏洞的终极解决方案。因为一旦大集中,公司总部就能从数据层面掌控所有资源,把管理风险从分散的地方完全集中到总部。据了解,中国人寿计划在全国建立南北两大数据中心,目前选址已经完成,正在进行前期筹备工作。
今年3月底通过萨班斯法案的中海油,同样面临着IT治理和IT控制这个新问题的挑战。“我们刚开始做萨班斯法案遵从的时候,并没有把IT当成非常复杂的工作,做了以后才发现,萨班斯对国企IT的管控架构产生了很大影响。”中国海洋石油有限公司萨班斯法案404实施项目组的一位负责人如是说。
让他印象最深的有一点:过去IT系统往往重建设、轻维护。过去员工使用IT系统的时候,往往认为,“谁建的系统谁负责”,而一些系统管理员拥有超乎一切的权限,成为IT系统里的“领导”;实际上,根据职责不相容的原则,IT系统的应用层和后台管理必须严格分开。
以前,中国人寿的IT人员较欠缺,尤其在分公司层面,往往会出现一个人兼数岗的情况,从开发、应用,到运维、硬件管理都要负责。根据萨班斯法案404内控的要求,数据库、操作系统可以是一个人负责,但是应用系统与数据库管理员这样的前台操作和后台管理一定不能是同一个人。否则应用系统维护人员修改数据时,又能从后台数据库的行为日志里清除数据,从而增加了很多风险。
搬走“绊脚石”
根据萨班斯法案的要求,参照COSO模型和COBIT框架进行整改,是在美上市企业无法回避的选择。中海油和中国人寿搬走“绊脚石”的方法不尽相同,但殊途同归,借助IT系统的强制性,来规范管理。
虽然萨班斯法案直指的是财务报告的真实、准确,但是很多公司的财务报告流程都是由IT系统驱动的。可以说,IT是保证财务报告内部控制的有效性的基础,IT的控制至关重要。
这也是很多在美上市公司根据萨班斯法案的要求进行整改时,参照COSO模型和COBIT框架的原因。参照COSO框架很好理解,因为它包括控制环境、风险评估、控制活动、信息交流、监督等5项要素,已经成为世界通用的内部控制权威文献。
而COBIT(Control Objectives for Information and related Technology,信息及相关技术的控制目标)很明显是一个IT治理的框架。问世11年的COBIT,从规划与组织、采集与实施、交付与支持、监控4个方面确定了34个处理过程以及318个详细控制目标,并能将IT流程、IT资源及信息与企业的策略与目标联系起来,在企业业务战略指导下,对信息及相关资源进行规划与处理。
我们从中可以看出,COSO与COBIT的映射关系。这些现成的流程和框架有助于中国公司初步梳理出流程,外审公司会帮助做一个控制矩阵。中国人寿把这个控制矩阵与公司的制度做了映射,明确指出一个控制点应该对应制度的哪些条款,并从2006年初开始在全国大力扩展。
中海油为了萨班斯法案的遵循工作,采用了IBM的WBCR系统。这个2005年开始建的系统,于去年7月通过验收。项目小组把它当做一个文档管理、数据管理、测试结果集中的平台,能够对一个项目组的工作起到协同的作用。“我们可以把控制、风险都放在同一个系统中,比如哪些控制点需要测试、什么时间测试的、测试的结果如何。否则,我们可能还在用EXCEL表格,那样至少需要1~2个人专门进行文档更新等工作。”其项目组的一位负责人表示。