專家破解薩班斯“加時賽”戰(zhàn)術
——
7月15日,薩班斯法案在中國正式生效。按照薩班斯法案的要求,中國在美國上市的44家公司均應該已經(jīng)建立起完善有效的內部控制體制。由于我國實行的是自然會計年度,所以對內部控制有效性評估的證明報告將與年度審計報告同時發(fā)表。因此,從某種意義上講,中國的企業(yè)相應地又多了接近半年的時間完善其內部控制體制。
沖刺:力求執(zhí)行有效
IT治理研究中心專家孟秀轉則指出,目前運營商針對薩班斯法案而建立的內部控制的政策設計已經(jīng)完成,剩余的6個月的時間內應該是正在積累內控執(zhí)行有效的證據(jù)。因為對內控的評價不僅包括內控政策設計有效,也包括相應的執(zhí)行有效,而執(zhí)行有效的檢查方式就是至少三個月的執(zhí)行有效證明(包括文檔,形成執(zhí)行軌跡等等)。同時,通過測試,可以根據(jù)COSO框架評價設計的有效性,進行查缺補漏。
另一方面,為達到企業(yè)整體口徑一致目的而進行的運營商人員培訓也應該結束。她認為,到目前為止,人員的大量培訓也基本上完成,剩余的時間主要是協(xié)同外部審計人員做關鍵程序的穿行測試,創(chuàng)造一個制度良好的環(huán)境證據(jù)。
上述運營商的財務人員也證明了這一點,目前外審已經(jīng)入駐現(xiàn)場,在外審進行開始測評的同時,內審仍在執(zhí)行其幾輪的測試整改工作。所以從這個意義上而言,剩余的幾個月時間可以說是運營商的薩班斯法案執(zhí)行沖刺期。
除此之外,運營商應借助剩余的幾個月做一些相應的測試、模擬實施,進行自我審查。這既是內部控制體系的一部分,屬于監(jiān)控的性質;又是應對外部審查的一個有效方式。通過自我審查,運營商可以借機查缺補漏,避免外審進駐時出現(xiàn)突發(fā)的事件。
但是,賽迪顧問電信咨詢總監(jiān)繹明宇則指出,這多出的幾個月時間,對各大運營商的作用是有限的,最直接的僅僅是減少了相應的時間壓力。
從IT治理的角度,孟秀轉認為,在剩下不多的時間內,運營商應該梳理其IT治理系統(tǒng),關注IT治理系統(tǒng)與其他系統(tǒng)之間的整合,使得IT治理系統(tǒng)真正融合到運營商具體的內部控制體系之中。
現(xiàn)狀:測試有效的設計
某運營商的內部財務人員指出,目前,運營商的內部控制設計和建設工作已經(jīng)基本結束,而包括外審和內審在內的內部控制測試工作還正在進行。
此前,各大運營商都已經(jīng)針對薩班斯法案進行了很大投入,各個運營商都在積極調整內控系統(tǒng)方案。
從薩班斯法案項目小組2004年下半年進駐各大運營商開始,在將近兩年的時間內,薩班斯項目小組分步驟建立和完善了各運營商的內部控制體系。
第一步,根據(jù)運營商的業(yè)務品種、業(yè)務狀況建立運營商的業(yè)務流程,同時設定相關的子流程,根據(jù)子流程設定符合薩班斯法案的內部控制體系目標,同時將內控流程用文檔描述出來,以證明控制了風險。
一位參與某運營商內部控制項目小組的咨詢人士指出,這一過程非常重要。首先因為,目標的設定將關系到最終內控制度的體系;其次,因為進行了文檔的描述,企業(yè)的執(zhí)行總監(jiān)和財務總監(jiān)在年底簽署內控有效報告的時候才有據(jù)可依。
第二步,向運營商各相關部門進行調研摸底,根據(jù)所調研運營商的實際情況以及控制目標,建立其實際的流程標準模板,建立標準的控制程序。
該咨詢人士同時還指出,這些標準模板形成的最終結果將根據(jù)內審設計項目組的不同而不同(不同的咨詢公司,會計公司都是各有特色),但基本上會包括文字描述、流程圖描述等等內容。
第三步,根據(jù)流程標準模板指導運營商進行本地“移植”。也就是一個“手把手”教授的過程,一般意義上,控制程序執(zhí)行是否有效,就取決這個本地化的過程成功與否。
第四步,進行測試,形成測試底稿。測試底稿是外審檢查內部控制是否執(zhí)行有效的重要依據(jù)之一,這種測試一般分成幾輪,是一個查缺補漏的過程。
目前,四大運營商的前三個步驟已經(jīng)基本完成,內審工作的測試也已經(jīng)接近尾聲。內審最終還會通過測試結果,以及與外審的對接,進行局部控制程序和控制關鍵點的局部改動。
薩氏法案是一個雙刃劍
此次中國在美國上市地企業(yè)在薩氏法案地要求下建立內部控制,繹明宇認為,這一企業(yè)行為的作用和影響是雙面的。從長遠看來,是有利的,有助于企業(yè)整體治理水平的實質性提高。一方面,薩班斯法案對企業(yè)防止突發(fā)事件,降低財務風險有很大作用,可以有效遏制出現(xiàn)財務卷款潛逃的惡劣行為,避免給企業(yè)帶來不可挽救損失。另一方面,薩班斯法案要求企業(yè)建立實時可控的信息反映系統(tǒng),這一系統(tǒng)的建立,可以幫助企業(yè)的管理層改變決策環(huán)境,提高決策反應速度。
但是就短期而言,此項內部控制制度的建設成本是相當大的。中國企業(yè)大多處于發(fā)展之中,而發(fā)展中的企業(yè)會經(jīng)常調整業(yè)務、策略等等,各大電信企業(yè)也不例外。目前運營商的信息系統(tǒng)多是面向對象的、面向組件的,最終需要調整為面向服務的,這是一個運營系統(tǒng)、信息系統(tǒng)、管理系統(tǒng)多方面的集成協(xié)調的過程,其工作量非常大,難度也很大,是一項系統(tǒng)工程。
此外,電信企業(yè)也需要投入大量的時間、人力和財力,還要直接支付給外腦一定的費用和相關的支出,而間接成本則包括了內部員工的投入、內部資源的動用等等,基于薩班斯法案的時間限制,這些間接成本也相當高。因為內部資源的頻繁使用多是以犧牲企業(yè)內部效率為代價的,這種間接成本很難估計。
當然,投入必然會有回報。通過建立系統(tǒng)的內部控制體系之后,中國電信運營商的治理水平將得到很大提高,而且建立了符合薩班斯法案的內部控制制度,也有助于中國電信企業(yè)更順利地開展國際化經(jīng)營。
鏈接:驚人的測試工作量
目前,各運營商都在進行內控測試。由于在美國上市的我國運營商都是規(guī)模很大的公司,需要測試所有重要的控制點。以一個運營商有30個省級公司或分公司計算(固網(wǎng)運營商分公司數(shù)量會相對較少),每個省級公司又有十幾個地市級公司,從流程上講每個省級公司以及分公司都會有至少10個或者更多的業(yè)務流程。每個流程又有5至10個重要的控制點。
如果用3至4個小時測試一個控制點計算,測試的工作量將以萬作為數(shù)量單位。在此之后,還需要對測試發(fā)現(xiàn)的問題進行改進,隨后對改進的情況還需要進行再測試,從而達到?jīng)]有重大控制缺陷。而會計事務所做的測試和審計工作,還會包括IT層面、公司治理層面控制的內容,從而使整個測試的規(guī)模更加驚人。
評論