[注意]科索路咨询专家访谈：如何成就中国的萨班斯法案

中计在线嘉宾现场对话邀请科索路咨询公司副理钱晨
全文请参见：http://cio.ciw.com.cn/coveragepage/20070604090959.shtml

无内控等于慢性自杀

主持人：企业内部控制的目的是什么？有什么需求？
钱晨：企业内部控制的目的是在保证实现公司战略目标前提下，对存在的风险进行控制。无论董事会还是全体员工都要对企业披露的信息的可靠性负责，但最终责任会落在董事会上。
IT内审的引入是因为在给上市公司内控评估时，IT是其中的一个重要的组成部分和方法。
主持人：作为用户的代表，请王主任讲讲中信集团在内控方面是怎么考虑的？
王卫乡：目前中信集团有好几家上市公司，如刚上市的中信银行，中信证券、中信国安等。我们一直非常关注企业内控，其中包括IT内审和萨班斯法案。我们的审计部是唯一一个由集团公司董事长直接分管的部门。
实际上，从我们公司上一任董事长王军开始就一直特别强调内控。他曾指出：“没有发展的内控等于慢性自杀，没有内控的发展，发展越快损失越大”。中信集团自1979年成立到现在快30年了，一直都保持快速发展。在高速发展的20世纪90年代中期，我们深感管理手段和发展的速度不匹配，导致有些项目最后失去控制，并造成很大的损失。
现在我们已经采取了一些技术手段，并引进了一些软件来加强审计，如加拿大的ACL审计软件。我们的内部审计目前主要强调的内容包括：离任审计——像下属的子公司领导任期换届，中长期项目在项目实施过程中是否存在重大失误的专项审计，其他的，如下属的公司层面，因资产的分布不是很均衡，金融业务领域是由金融控股公司的风险管理部来主抓。
主持人：各位嘉宾能否总结一下信息技术对企业内部控制的价值是什么？
钱晨：IT是企业内控的一个重要内容和手段。现在多数企业都会用到IT系统，很多流程都嵌入到IT系统中，企业内部控制也应该对IT系统进行控制。同时，我们在进行内部控制的时候，也应该通过IT手段来辅助实现。
王卫乡：任何事情都有两面性，IT技术可以帮助我们进行内部审计、获取更加及时、有效的信息，但是如果不加强对IT本身的审计，可能会被人利用，拿这个工具去做不正当的事情。所以要从观念上重视IT内审。
主持人：那么，企业应该怎样进行IT内审呢？
钱晨：也有说法认为IT控制有两个方面：一个是应用控制，即IT必须对业务流程进行某些控制；另一个是通常性控制，对于支撑公司运作的IT基础技术架构平台进行有效管理控制。
主持人：我听一个在香港上市的企业的CIO说，IT内审对他们来说就是会计师事务所给他们提供一个与IT相关的表格，他们只需按照这个表格的要求来执行就可以了。是这样的吗？
王卫乡：没有这么简单。这可能要牵扯到两个部门：一个是IT部门，一个是审计部门，实际上这是跨两个领域的事情。

IT内审谁在喝彩

主持人：去年大家都对IT内审比较关注，但是最近好像没什么大动静了。实际情况是这样吗？出现这种情况的原因又是什么呢？
王卫乡：银行、电信企业强调IT审计取决于他们的业务特点。银行的服务器坏了可能会影响一大片。
此外，企业本身环境的要求或者政府的管制要求也很重要。美国政府已经以法案的形式来进行约束。其实国内前几年也发生过不少因为内控失效造成重大损失的案例，那在目前牛市的情况下，如果还不加强控制的话，影响就会更大。
没人喝彩好像是没有动静，但不能说就没有行动。我相信政府一直在推动，我们企业也在考虑怎么加强这方面的工作。当然，如果将政府和企业两者结合起来，推动的效果会更好。
主持人：在国内上市的公司也同样那么重视IT内审吗？
王卫乡：我觉得企业进行内控往往从自发和自觉两个角度出发。从自觉的角度来做内控的企业，很明白内控对企业发展的好处。如果企业要发展，是不可能不去做这方面工作的，应该是一个自发的行为。有些上市公司大张旗鼓地宣扬自己的内控做得怎么好，这实际上是他们自己应该做的。
主持人： IT内审的推广还有哪些比较现实的问题呢？
王卫乡：我觉得最难的还是观念问题。如果在观念上没有重视这个事情，其他的技术再高超、完善，但如果不去用，那就一点用都没有。
还有一个问题就是现在很多企业的信息化建设还不尽如人意，在这种情况下强调太多的IT审计还没有必要。
主持人：IT内审是一个中长期的工作，上市公司该怎么看IT内审的运作成本和收益？
王卫乡：我个人认为这个投入非常值得，既能够维持公司良好的运转，又能够比较好地监控公司运转的状况。IT审计是一个提供保障的机制，不会直接创造效益，但是它至少不会让已经创造的效益流失。
钱晨：对。也许企业什么都不做也能成功运转很长时间，但风险永远是存在的，像“9·11”那样的小概率事件也是会发生。
王卫乡：为此，我们公司建立了金融的灾备中心，是和运营中心分开的。这应该是IT审计或者企业内控的一个重要组成部分，而且尤其对大型企业来说特别重要。

中国路线怎么走

主持人：各位认为适合中国国情的IT内审规范应该是什么样的？
王卫乡：这个问题很难回答。但是全球化以后，很多中国企业都在海外上市，要求我们去适应海外交易所的法规，同时也会带来一些好的做法，我们可以借鉴一下。
主持人：那中国的IT内审规范应该怎么来做？
钱晨：我们可以先西学中用，把国外做得好的拿过来借鉴，再对用得不好的加以改进。
主持人：内部控制标准委员会公布了《企业内部控制规范——基本规范》和17项具体规范(征求意见稿)。不知道各位对这个征求意见稿有什么期望？
钱晨：我国对上市公司的内控监管还不够，远远达不到萨班斯法案那样的力度。
王卫乡：说到监管力度，我们可以分别来看看欧洲、美国和中国三块市场。对市场的监管力度最强的是美国，欧洲比较温和。从历史上看，欧洲的贵族文化本身对自律性要求比较高，在欧洲上市的公司如果运作不好，自动就退市了。美国虽然只有200多年的历史，但相关制度为他们的发展提供了有力的保障。如果运作不好就有强硬的措施逼着它退市。我觉得中国应该兼顾这两个市场的特点。我们有5000年的文化，好的地方要继承下来，不好的地方要通过制度来完善。希望现在的征求意见稿能起到这个作用，真正实现对上市企业的违规行为的约束。

详情请见中计在线“阡陌三人行”访谈实录(http://cio.ciw.com.cn/Special/InternalAuditing/)

想了解更多信息 敬请联系
科索路咨询
电子邮箱：consulting@cosolu.com
联系电话：400-820-7889
推荐到鲜果：