專家破解薩班斯“加時(shí)賽”戰(zhàn)術(shù)

　　7月15日，薩班斯法案在中國正式生效。按照薩班斯法案的要求，中國在美國上市的44家公司均應(yīng)該已經(jīng)建立起完善有效的內(nèi)部控制體制。由于我國實(shí)行的是自然會(huì)計(jì)年度，所以對內(nèi)部控制有效性評估的證明報(bào)告將與年度審計(jì)報(bào)告同時(shí)發(fā)表。因此，從某種意義上講，中國的企業(yè)相應(yīng)地又多了接近半年的時(shí)間完善其內(nèi)部控制體制。

　　沖刺：力求執(zhí)行有效

　　IT治理研究中心專家孟秀轉(zhuǎn)則指出，目前運(yùn)營商針對薩班斯法案而建立的內(nèi)部控制的政策設(shè)計(jì)已經(jīng)完成，剩余的6個(gè)月的時(shí)間內(nèi)應(yīng)該是正在積累內(nèi)控執(zhí)行有效的證據(jù)。因?yàn)閷?nèi)控的評價(jià)不僅包括內(nèi)控政策設(shè)計(jì)有效，也包括相應(yīng)的執(zhí)行有效，而執(zhí)行有效的檢查方式就是至少三個(gè)月的執(zhí)行有效證明(包括文檔，形成執(zhí)行軌跡等等)。同時(shí)，通過測試，可以根據(jù)COSO框架評價(jià)設(shè)計(jì)的有效性，進(jìn)行查缺補(bǔ)漏。

　　另一方面，為達(dá)到企業(yè)整體口徑一致目的而進(jìn)行的運(yùn)營商人員培訓(xùn)也應(yīng)該結(jié)束。她認(rèn)為，到目前為止，人員的大量培訓(xùn)也基本上完成，剩余的時(shí)間主要是協(xié)同外部審計(jì)人員做關(guān)鍵程序的穿行測試，創(chuàng)造一個(gè)制度良好的環(huán)境證據(jù)。

　　上述運(yùn)營商的財(cái)務(wù)人員也證明了這一點(diǎn)，目前外審已經(jīng)入駐現(xiàn)場，在外審進(jìn)行開始測評的同時(shí)，內(nèi)審仍在執(zhí)行其幾輪的測試整改工作。所以從這個(gè)意義上而言，剩余的幾個(gè)月時(shí)間可以說是運(yùn)營商的薩班斯法案執(zhí)行沖刺期。

　　除此之外，運(yùn)營商應(yīng)借助剩余的幾個(gè)月做一些相應(yīng)的測試、模擬實(shí)施，進(jìn)行自我審查。這既是內(nèi)部控制體系的一部分，屬于監(jiān)控的性質(zhì)；又是應(yīng)對外部審查的一個(gè)有效方式。通過自我審查，運(yùn)營商可以借機(jī)查缺補(bǔ)漏，避免外審進(jìn)駐時(shí)出現(xiàn)突發(fā)的事件。

　　但是，賽迪顧問電信咨詢總監(jiān)繹明宇則指出，這多出的幾個(gè)月時(shí)間，對各大運(yùn)營商的作用是有限的，最直接的僅僅是減少了相應(yīng)的時(shí)間壓力。

　　從IT治理的角度，孟秀轉(zhuǎn)認(rèn)為，在剩下不多的時(shí)間內(nèi)，運(yùn)營商應(yīng)該梳理其IT治理系統(tǒng)，關(guān)注IT治理系統(tǒng)與其他系統(tǒng)之間的整合，使得IT治理系統(tǒng)真正融合到運(yùn)營商具體的內(nèi)部控制體系之中。

　　現(xiàn)狀：測試有效的設(shè)計(jì)

　　某運(yùn)營商的內(nèi)部財(cái)務(wù)人員指出，目前，運(yùn)營商的內(nèi)部控制設(shè)計(jì)和建設(shè)工作已經(jīng)基本結(jié)束，而包括外審和內(nèi)審在內(nèi)的內(nèi)部控制測試工作還正在進(jìn)行。

　　此前，各大運(yùn)營商都已經(jīng)針對薩班斯法案進(jìn)行了很大投入，各個(gè)運(yùn)營商都在積極調(diào)整內(nèi)控系統(tǒng)方案。

　　從薩班斯法案項(xiàng)目小組2004年下半年進(jìn)駐各大運(yùn)營商開始，在將近兩年的時(shí)間內(nèi)，薩班斯項(xiàng)目小組分步驟建立和完善了各運(yùn)營商的內(nèi)部控制體系。

　　第一步，根據(jù)運(yùn)營商的業(yè)務(wù)品種、業(yè)務(wù)狀況建立運(yùn)營商的業(yè)務(wù)流程，同時(shí)設(shè)定相關(guān)的子流程，根據(jù)子流程設(shè)定符合薩班斯法案的內(nèi)部控制體系目標(biāo)，同時(shí)將內(nèi)控流程用文檔描述出來，以證明控制了風(fēng)險(xiǎn)。

　　一位參與某運(yùn)營商內(nèi)部控制項(xiàng)目小組的咨詢?nèi)耸恐赋觯@一過程非常重要。首先因?yàn)椋繕?biāo)的設(shè)定將關(guān)系到最終內(nèi)控制度的體系；其次，因?yàn)檫M(jìn)行了文檔的描述，企業(yè)的執(zhí)行總監(jiān)和財(cái)務(wù)總監(jiān)在年底簽署內(nèi)控有效報(bào)告的時(shí)候才有據(jù)可依。

　　第二步，向運(yùn)營商各相關(guān)部門進(jìn)行調(diào)研摸底，根據(jù)所調(diào)研運(yùn)營商的實(shí)際情況以及控制目標(biāo)，建立其實(shí)際的流程標(biāo)準(zhǔn)模板，建立標(biāo)準(zhǔn)的控制程序。

　　該咨詢?nèi)耸客瑫r(shí)還指出，這些標(biāo)準(zhǔn)模板形成的最終結(jié)果將根據(jù)內(nèi)審設(shè)計(jì)項(xiàng)目組的不同而不同(不同的咨詢公司，會(huì)計(jì)公司都是各有特色)，但基本上會(huì)包括文字描述、流程圖描述等等內(nèi)容。

　　第三步，根據(jù)流程標(biāo)準(zhǔn)模板指導(dǎo)運(yùn)營商進(jìn)行本地“移植”。也就是一個(gè)“手把手”教授的過程，一般意義上，控制程序執(zhí)行是否有效，就取決這個(gè)本地化的過程成功與否。

　　第四步，進(jìn)行測試，形成測試底稿。測試底稿是外審檢查內(nèi)部控制是否執(zhí)行有效的重要依據(jù)之一，這種測試一般分成幾輪，是一個(gè)查缺補(bǔ)漏的過程。

　　目前，四大運(yùn)營商的前三個(gè)步驟已經(jīng)基本完成，內(nèi)審工作的測試也已經(jīng)接近尾聲。內(nèi)審最終還會(huì)通過測試結(jié)果，以及與外審的對接，進(jìn)行局部控制程序和控制關(guān)鍵點(diǎn)的局部改動(dòng)。

　　薩氏法案是一個(gè)雙刃劍

　　此次中國在美國上市地企業(yè)在薩氏法案地要求下建立內(nèi)部控制，繹明宇認(rèn)為，這一企業(yè)行為的作用和影響是雙面的。從長遠(yuǎn)看來，是有利的，有助于企業(yè)整體治理水平的實(shí)質(zhì)性提高。一方面，薩班斯法案對企業(yè)防止突發(fā)事件，降低財(cái)務(wù)風(fēng)險(xiǎn)有很大作用，可以有效遏制出現(xiàn)財(cái)務(wù)卷款潛逃的惡劣行為，避免給企業(yè)帶來不可挽救損失。另一方面，薩班斯法案要求企業(yè)建立實(shí)時(shí)可控的信息反映系統(tǒng)，這一系統(tǒng)的建立，可以幫助企業(yè)的管理層改變決策環(huán)境，提高決策反應(yīng)速度。

　　但是就短期而言，此項(xiàng)內(nèi)部控制制度的建設(shè)成本是相當(dāng)大的。中國企業(yè)大多處于發(fā)展之中，而發(fā)展中的企業(yè)會(huì)經(jīng)常調(diào)整業(yè)務(wù)、策略等等，各大電信企業(yè)也不例外。目前運(yùn)營商的信息系統(tǒng)多是面向?qū)ο蟮?、面向組件的，最終需要調(diào)整為面向服務(wù)的，這是一個(gè)運(yùn)營系統(tǒng)、信息系統(tǒng)、管理系統(tǒng)多方面的集成協(xié)調(diào)的過程，其工作量非常大，難度也很大，是一項(xiàng)系統(tǒng)工程。

　　此外，電信企業(yè)也需要投入大量的時(shí)間、人力和財(cái)力，還要直接支付給外腦一定的費(fèi)用和相關(guān)的支出，而間接成本則包括了內(nèi)部員工的投入、內(nèi)部資源的動(dòng)用等等，基于薩班斯法案的時(shí)間限制，這些間接成本也相當(dāng)高。因?yàn)閮?nèi)部資源的頻繁使用多是以犧牲企業(yè)內(nèi)部效率為代價(jià)的，這種間接成本很難估計(jì)。

　　當(dāng)然，投入必然會(huì)有回報(bào)。通過建立系統(tǒng)的內(nèi)部控制體系之后，中國電信運(yùn)營商的治理水平將得到很大提高，而且建立了符合薩班斯法案的內(nèi)部控制制度，也有助于中國電信企業(yè)更順利地開展國際化經(jīng)營。

　　鏈接：驚人的測試工作量

　　目前，各運(yùn)營商都在進(jìn)行內(nèi)控測試。由于在美國上市的我國運(yùn)營商都是規(guī)模很大的公司，需要測試所有重要的控制點(diǎn)。以一個(gè)運(yùn)營商有30個(gè)省級(jí)公司或分公司計(jì)算(固網(wǎng)運(yùn)營商分公司數(shù)量會(huì)相對較少)，每個(gè)省級(jí)公司又有十幾個(gè)地市級(jí)公司，從流程上講每個(gè)省級(jí)公司以及分公司都會(huì)有至少10個(gè)或者更多的業(yè)務(wù)流程。每個(gè)流程又有5至10個(gè)重要的控制點(diǎn)。

　　如果用3至4個(gè)小時(shí)測試一個(gè)控制點(diǎn)計(jì)算，測試的工作量將以萬作為數(shù)量單位。在此之后，還需要對測試發(fā)現(xiàn)的問題進(jìn)行改進(jìn)，隨后對改進(jìn)的情況還需要進(jìn)行再測試，從而達(dá)到?jīng)]有重大控制缺陷。而會(huì)計(jì)事務(wù)所做的測試和審計(jì)工作，還會(huì)包括IT層面、公司治理層面控制的內(nèi)容，從而使整個(gè)測試的規(guī)模更加驚人。
 　 
　　文章來源：
 
責(zé)任編輯：