论文部分内容阅读
[摘 要]很多国内上市公司的管理者发现,在执行萨班斯法案后,公司管理更加有效,执行效力明显提高。原因在于这些企业在执行萨班斯法案时,对原有的IT内部控制架构进行了合理的改进,其中最为关键的就是将原有的手工控制活动改为自动控制活动。本文主要讨论自动控制活动相对手工控制活动的优势,提出将手工控制改进为自动控制的步骤。
[关键词]萨班斯法案;内部控制;自动控制;手工控制
[中图分类号]F270.7
[文献标识码]A
[文章编号]1673-0194(2009)05-0063-04
1 介 绍
如何建立或者保持一个严格有效的IT内部控制体系现已成为企业IT管理者面临的最为紧迫的问题之一[1]。自2002年萨班斯法案(Sarbanse-OxleyAct)颁布以及2004-2005年度该法案首次执行以来,上市公司纷纷竭尽全力来建立或完善自己的IT内控体系来满足法案要求。在这个过程中,最为关键的部分在于IT安全政策和程序如何来支持企业内部各个部门的业务流程。据估计,2005年用于执行萨班斯法案的总成本高达60亿美元[1],平均每个企业需要花费780万美元来通过该法案[2],可见萨班斯法案的执行给上市公司带来很高成本。
萨班斯法案对于上市公司是一场灾难还是一种幸运[3]?国外CFO服务研究所等研究机构共同提出的一份关于180个企业的萨班斯项目的调查报告表明,许多国外上市公司通过控制机制优化,业务流程改进以及自动控制等方法纠正了原有的流程缺点或管理漏洞,在执行法案后的两三年内,由控制机制改善带来的可见的和不可见的利益完全超过了执行萨班斯法案带来的成本。其中2/3的回答者表示通过针对萨班斯法案的IT内部控制制度的改进,使他们可以更加细致清晰地了解公司内部的业务流程并促进了领导层与职员之间的沟通[4]。
无论是完全采用新系统来改变流程,还是针对原有流程或信息系统进行改进优化,自动控制无疑是上述改进的关键所在。本文主要研究自动控制与手动控制的区别、自动控制为公司内控体系带来的优势以及建立自动控制的方法。希望本研究能够促进国内上市公司的管理效率,改善公司内部业务流程,使上市公司在执行萨班斯法案后获得持久效益,使萨班斯法案真正成为提高公司竞争力的有力武器。
2 手工控制带来的问题
造成萨班斯法案以及相应的内部控制项目执行成本如此之高的一个主要原因在于,许多公司仍然严重依靠手工控制来管理业务流程和数据(采用手工控制的控制活动占公司全部内部控制活动的70%~80%[5])。例如,国内许多公司仍依靠手工控制来检查应用程序或数据库中的日志文件。如果处于一种分布式的管理环境中,这就需要整理数目庞大的数据文件,而进行这项整理工作的人员必须能够发现其中的问题,并对检查结果负责。根据萨班斯法案的要求,为了证明内部控制的有效性,所有控制活动都必须有文档记录或系统日志来证明其有效性,所以上述数据检查工作必须保有检查过程和结果的记录,而结果的正确性也由于有人为干预的出现存在着一定风险性(参与人员在检查过程中发生渎职行为等情况)。这样,一个数据检查控制就附带了时间成本、人力资源成本和相应的风险成本。
手工控制造成高昂成本的另一个原因是手工控制容易带来很大的冗余问题[6]。数据或者文件的关键程度是不一样的,对于一个业务流程或者控制活动来说,往往一个关键数据或文件的控制就能起到主要作用。但是手工控制无法有效地将关键数据从众多数据中迅速分离出来,从而造成了大量的重复劳动。
另外,萨班斯法案的执行过程是一个循环的过程,并不是一个短期的项目活动,它需要公司每年进行相同的事项来保证IT内部控制的有效性。在第一年项目执行过程中手工控制也许可以最低成本(相对于更改业务流程和控制制度,改进原有信息系统,开发新系统所带来的成本)来达到最后的审计要求,但是从长远角度来考虑,手工控制的高成本和效率低问题会给公司带来深远的影响。
公司审计委员会和公司上级管理者纷纷要求公司的执行官在提高萨班斯法案和内控项目的效率的同时,降低其操作运行成本[7]。那么利用什么方法或技术能够解决这个问题呢?自动控制是解决这个问题的一个关键性措施,根据大多数成功执行萨班斯法案的上市公司这两年的经验,增加自动控制能够有效地控制成本,提高效率。图1表示了在自动控制和手工控制给公司带来的成本关系。
通过对比可以看出手工控制和自动控制的优势与劣势。如果一个稳定的内部控制体系可以维持5年不发生重大变化,那么在这个例子中,该公司在第一年执行项目时采用了自动控制,那么它将节省1 250个小时,而在第二年将节省2 250小时(从第二年开始在执行项目的过程中不必对各个控制点进行文档记录,所以整理文档的时间可以忽略不计),5年内一共可以节约10 250小时的时间。
所以,无论从长远的成本角度考虑,还是整体工作量和工作时间的角度设想,自动控制无疑给上市公司带来了难以估计的利益。
3.2 将手工控制转为自动控制的过程
将现有内部控制体系中的手工控制部分转化为自动控制的过程是相当复杂和消耗时间的,并不是所有的手工控制都可以并需要转换为自动控制。
第一步,认识自动控制具体的类型和意义。根据萨班斯法案要求,自动控制分为以下两种类型:
(1)自动化控制,指由信息系统或计算机自动进行操作的活动。比如,对数据输入合法性和准确性的检测,操作人员权限设置等;
(2)需要IT支撑的手工控制(手工/自动控制),指在原有手工操作的基础上需要计算机或者信息系统进行支持的业务流程。
第二步,与公司上层管理者进行有效沟通交流,得到有力的支持。
内部控制体系的改进是一个庞大的项目,它不但需要高额的经费对其改进过程进行支撑,还需要企业内各个部门所有职员的理解和配合。因为在整个改进和变革过程中,往往会对公司制度和职员等造成一定程度的影响,其中包括对现有管理制度的调整,业务处理流程的变化,信息系统的改进或整合,职员工作的调整,甚至是放弃原有业务流程或信息系统,建立新的管理制度和业务流程或信息系统。这些通常会引发管理层和职员的强烈抵触情绪,使整个改进过程面对重重阻力。
因此,在开始进行改进之前,必须与公司上层管理者进行有效的沟通,阐述改进的必要性,得到上层管理者的有力支持。这样,在改进过程中,如果遇到上述情况,也可以及时处理,保证改进过程的连续性,减少项目风险。
第三步,选择需要转换的控制流程或控制点。
这个步骤是整个改进过程中任务最为繁重,处理最为复杂的过程。具备什么条件的手工控制活动需要转化为自动控制活动是一个令众多内控项目组成员头痛的问题。一些研究表明[9],对于具备以下情况的控制点,建议采用自动控制:
(1)业务流程的运作与多个信息系统有关,可以通过信息系统集成复杂的处理过程(如ERP系统);
(2)运行和测试成本明显超出一般水平的控制点;
(3)与年度财务报告密切相关的控制点,特别是那些直接影响最终财务报告的控制活动;
(4)外部审计师比较关注的要素,比如职权的分离问题;
(5)现阶段经常发生问题的已有的流程缺陷,以及通过经验分析有可能发生问题的操作流程;
(6)不需要过多人工干预的处理流程。
上述只是部分需要考虑的情况,往往在实际操作过程中会遇到许多不可预期的困难(比如项目预算的限制,流程涉及的部门繁多,信息系统改进需要一个比较长的时间,这些问题往往造成无法在一个审计年度中将所有需要转换的控制点进行改进),此时需要准确发现所有控制活动中的关键控制点。本文推荐采用“矩阵映射”(Matrix Mapping)的方法[9]来选择需要转换的手工控制活动。确定了需要转换的控制流程之后,接着就需要对这些控制流程进行重新设计,确定控制力度、控制方式和测试手段、测试频率等问题。
第四步,流程变更以及信息系统改进。
在选取了需要转换的控制活动和业务流程并确定了改进方案后,就可以对手工控制活动进行,改进使其成为自动化控制或者手工/自动控制形式。从变更的复杂程度来说,可以分为以下3种方式。
(1)内部控制体系的重建。这种方式主要针对的是第一年执行萨班斯法案的公司。由于原有内部控制体系经过分析后,完全无法达到或者大部分控制达不到萨班斯法案的要求,因此需要大范围更改原有内控体系,甚至重建整个内控架构。在更改或重建内控架构时,可以参照COSO等研究机构所提出的新的内控架构进行设计。所以这种方式最为彻底,效果也非常明显,但甚成本负担也令许多公司难以承受(这也是许多上市公司选择退市的原因)。
(2)开发新的信息系统或原有系统整合。适用的公司其内部控制体系比较完善,但部分业务流程的没有信息系统支撑或涉及多个信息系统,且缺少交互。开发一个新的信息系统来实现这些流程,或者将原有的几个信息系统进行整合,可以达到自动控制的目的。这种方式适用于简单的业务流程或者容易被替代的信息系统,需要公司具备一定的技术力量和开发时间。
(3)在原有信息系统上增加控制功能。现实总是错综复杂的,对于那些已经具备完善内控体系,习惯于原有流程,并且使用ERP、SCM等综合信息系统多年的上市公司来说,如果发现原有控制活动存在漏洞,而现有信息系统已无法满足自动控制的要求,但要重新建立内控体系或开发新系统,是不可能实现的,此时公司可以选择在执行项目的第一年通过修改现有的信息系统的功能模块,将关键控制点的手工控制改进为手工/自动控制,来满足外部控制的要求,然后在未来的时间内,逐步完善现有系统。
第五步,改进后的控制活动的有效性评估和未来的监控措施。
改进的控制活动,需要通过严格的评估制度进行有效性测试,来证明这些控制活动达到了萨班斯法案的要求。其实这个步骤并不是最后一个步骤,它必须并行于第三、第四步,做到实时监控和评价,来保证改进过程的准确进行。
4 总 结
随着萨班斯法案的执行,越来越多的国内上市公司将会面对原有IT内部控制体系改革的考验。采用什么样的方式通过萨班斯法案的审计,会给公司带来不同的影响。要想从这个法案的执行中获得效益,而不是被这个法案拖累,则需要对公司内部的控制活动和信息系统进行深层次的分析和改进。无论是采用新的信息技术或信息系统来支撑执行萨班斯项目,还是在原有信息系统和管理制度上进行缺陷改进,自动控制都必须被所有人重视。它带来的长期效益和有效的管理制度,简单的业务处理方式都将使萨班斯法案和内部控制成为公司获得长期竞争力和效益的有效手段。
主要参考文献
[1]S J Hussain,M S Siddiqui.Quantified Model of COBIT for Corporate IT Governance[C].The First International Conference on Information and Communication Technologies,2005:158-163.
[2]R Agrawal,C Johnson,J Kiernan,et al.Taming Compliance with Sarbanes-Oxley Internal Controls Using Database Technology[C].Proceedings of the 22nd International Conference on Data Engineering,2006.
[3]Richard Power and Dario Forte.Sarbanes-Oxley: Maybe a Blessing,Maybe a Curse[J].Computer Fraud
[关键词]萨班斯法案;内部控制;自动控制;手工控制
[中图分类号]F270.7
[文献标识码]A
[文章编号]1673-0194(2009)05-0063-04
1 介 绍
如何建立或者保持一个严格有效的IT内部控制体系现已成为企业IT管理者面临的最为紧迫的问题之一[1]。自2002年萨班斯法案(Sarbanse-OxleyAct)颁布以及2004-2005年度该法案首次执行以来,上市公司纷纷竭尽全力来建立或完善自己的IT内控体系来满足法案要求。在这个过程中,最为关键的部分在于IT安全政策和程序如何来支持企业内部各个部门的业务流程。据估计,2005年用于执行萨班斯法案的总成本高达60亿美元[1],平均每个企业需要花费780万美元来通过该法案[2],可见萨班斯法案的执行给上市公司带来很高成本。
萨班斯法案对于上市公司是一场灾难还是一种幸运[3]?国外CFO服务研究所等研究机构共同提出的一份关于180个企业的萨班斯项目的调查报告表明,许多国外上市公司通过控制机制优化,业务流程改进以及自动控制等方法纠正了原有的流程缺点或管理漏洞,在执行法案后的两三年内,由控制机制改善带来的可见的和不可见的利益完全超过了执行萨班斯法案带来的成本。其中2/3的回答者表示通过针对萨班斯法案的IT内部控制制度的改进,使他们可以更加细致清晰地了解公司内部的业务流程并促进了领导层与职员之间的沟通[4]。
无论是完全采用新系统来改变流程,还是针对原有流程或信息系统进行改进优化,自动控制无疑是上述改进的关键所在。本文主要研究自动控制与手动控制的区别、自动控制为公司内控体系带来的优势以及建立自动控制的方法。希望本研究能够促进国内上市公司的管理效率,改善公司内部业务流程,使上市公司在执行萨班斯法案后获得持久效益,使萨班斯法案真正成为提高公司竞争力的有力武器。
2 手工控制带来的问题
造成萨班斯法案以及相应的内部控制项目执行成本如此之高的一个主要原因在于,许多公司仍然严重依靠手工控制来管理业务流程和数据(采用手工控制的控制活动占公司全部内部控制活动的70%~80%[5])。例如,国内许多公司仍依靠手工控制来检查应用程序或数据库中的日志文件。如果处于一种分布式的管理环境中,这就需要整理数目庞大的数据文件,而进行这项整理工作的人员必须能够发现其中的问题,并对检查结果负责。根据萨班斯法案的要求,为了证明内部控制的有效性,所有控制活动都必须有文档记录或系统日志来证明其有效性,所以上述数据检查工作必须保有检查过程和结果的记录,而结果的正确性也由于有人为干预的出现存在着一定风险性(参与人员在检查过程中发生渎职行为等情况)。这样,一个数据检查控制就附带了时间成本、人力资源成本和相应的风险成本。
手工控制造成高昂成本的另一个原因是手工控制容易带来很大的冗余问题[6]。数据或者文件的关键程度是不一样的,对于一个业务流程或者控制活动来说,往往一个关键数据或文件的控制就能起到主要作用。但是手工控制无法有效地将关键数据从众多数据中迅速分离出来,从而造成了大量的重复劳动。
另外,萨班斯法案的执行过程是一个循环的过程,并不是一个短期的项目活动,它需要公司每年进行相同的事项来保证IT内部控制的有效性。在第一年项目执行过程中手工控制也许可以最低成本(相对于更改业务流程和控制制度,改进原有信息系统,开发新系统所带来的成本)来达到最后的审计要求,但是从长远角度来考虑,手工控制的高成本和效率低问题会给公司带来深远的影响。
公司审计委员会和公司上级管理者纷纷要求公司的执行官在提高萨班斯法案和内控项目的效率的同时,降低其操作运行成本[7]。那么利用什么方法或技术能够解决这个问题呢?自动控制是解决这个问题的一个关键性措施,根据大多数成功执行萨班斯法案的上市公司这两年的经验,增加自动控制能够有效地控制成本,提高效率。图1表示了在自动控制和手工控制给公司带来的成本关系。
通过对比可以看出手工控制和自动控制的优势与劣势。如果一个稳定的内部控制体系可以维持5年不发生重大变化,那么在这个例子中,该公司在第一年执行项目时采用了自动控制,那么它将节省1 250个小时,而在第二年将节省2 250小时(从第二年开始在执行项目的过程中不必对各个控制点进行文档记录,所以整理文档的时间可以忽略不计),5年内一共可以节约10 250小时的时间。
所以,无论从长远的成本角度考虑,还是整体工作量和工作时间的角度设想,自动控制无疑给上市公司带来了难以估计的利益。
3.2 将手工控制转为自动控制的过程
将现有内部控制体系中的手工控制部分转化为自动控制的过程是相当复杂和消耗时间的,并不是所有的手工控制都可以并需要转换为自动控制。
第一步,认识自动控制具体的类型和意义。根据萨班斯法案要求,自动控制分为以下两种类型:
(1)自动化控制,指由信息系统或计算机自动进行操作的活动。比如,对数据输入合法性和准确性的检测,操作人员权限设置等;
(2)需要IT支撑的手工控制(手工/自动控制),指在原有手工操作的基础上需要计算机或者信息系统进行支持的业务流程。
第二步,与公司上层管理者进行有效沟通交流,得到有力的支持。
内部控制体系的改进是一个庞大的项目,它不但需要高额的经费对其改进过程进行支撑,还需要企业内各个部门所有职员的理解和配合。因为在整个改进和变革过程中,往往会对公司制度和职员等造成一定程度的影响,其中包括对现有管理制度的调整,业务处理流程的变化,信息系统的改进或整合,职员工作的调整,甚至是放弃原有业务流程或信息系统,建立新的管理制度和业务流程或信息系统。这些通常会引发管理层和职员的强烈抵触情绪,使整个改进过程面对重重阻力。
因此,在开始进行改进之前,必须与公司上层管理者进行有效的沟通,阐述改进的必要性,得到上层管理者的有力支持。这样,在改进过程中,如果遇到上述情况,也可以及时处理,保证改进过程的连续性,减少项目风险。
第三步,选择需要转换的控制流程或控制点。
这个步骤是整个改进过程中任务最为繁重,处理最为复杂的过程。具备什么条件的手工控制活动需要转化为自动控制活动是一个令众多内控项目组成员头痛的问题。一些研究表明[9],对于具备以下情况的控制点,建议采用自动控制:
(1)业务流程的运作与多个信息系统有关,可以通过信息系统集成复杂的处理过程(如ERP系统);
(2)运行和测试成本明显超出一般水平的控制点;
(3)与年度财务报告密切相关的控制点,特别是那些直接影响最终财务报告的控制活动;
(4)外部审计师比较关注的要素,比如职权的分离问题;
(5)现阶段经常发生问题的已有的流程缺陷,以及通过经验分析有可能发生问题的操作流程;
(6)不需要过多人工干预的处理流程。
上述只是部分需要考虑的情况,往往在实际操作过程中会遇到许多不可预期的困难(比如项目预算的限制,流程涉及的部门繁多,信息系统改进需要一个比较长的时间,这些问题往往造成无法在一个审计年度中将所有需要转换的控制点进行改进),此时需要准确发现所有控制活动中的关键控制点。本文推荐采用“矩阵映射”(Matrix Mapping)的方法[9]来选择需要转换的手工控制活动。确定了需要转换的控制流程之后,接着就需要对这些控制流程进行重新设计,确定控制力度、控制方式和测试手段、测试频率等问题。
第四步,流程变更以及信息系统改进。
在选取了需要转换的控制活动和业务流程并确定了改进方案后,就可以对手工控制活动进行,改进使其成为自动化控制或者手工/自动控制形式。从变更的复杂程度来说,可以分为以下3种方式。
(1)内部控制体系的重建。这种方式主要针对的是第一年执行萨班斯法案的公司。由于原有内部控制体系经过分析后,完全无法达到或者大部分控制达不到萨班斯法案的要求,因此需要大范围更改原有内控体系,甚至重建整个内控架构。在更改或重建内控架构时,可以参照COSO等研究机构所提出的新的内控架构进行设计。所以这种方式最为彻底,效果也非常明显,但甚成本负担也令许多公司难以承受(这也是许多上市公司选择退市的原因)。
(2)开发新的信息系统或原有系统整合。适用的公司其内部控制体系比较完善,但部分业务流程的没有信息系统支撑或涉及多个信息系统,且缺少交互。开发一个新的信息系统来实现这些流程,或者将原有的几个信息系统进行整合,可以达到自动控制的目的。这种方式适用于简单的业务流程或者容易被替代的信息系统,需要公司具备一定的技术力量和开发时间。
(3)在原有信息系统上增加控制功能。现实总是错综复杂的,对于那些已经具备完善内控体系,习惯于原有流程,并且使用ERP、SCM等综合信息系统多年的上市公司来说,如果发现原有控制活动存在漏洞,而现有信息系统已无法满足自动控制的要求,但要重新建立内控体系或开发新系统,是不可能实现的,此时公司可以选择在执行项目的第一年通过修改现有的信息系统的功能模块,将关键控制点的手工控制改进为手工/自动控制,来满足外部控制的要求,然后在未来的时间内,逐步完善现有系统。
第五步,改进后的控制活动的有效性评估和未来的监控措施。
改进的控制活动,需要通过严格的评估制度进行有效性测试,来证明这些控制活动达到了萨班斯法案的要求。其实这个步骤并不是最后一个步骤,它必须并行于第三、第四步,做到实时监控和评价,来保证改进过程的准确进行。
4 总 结
随着萨班斯法案的执行,越来越多的国内上市公司将会面对原有IT内部控制体系改革的考验。采用什么样的方式通过萨班斯法案的审计,会给公司带来不同的影响。要想从这个法案的执行中获得效益,而不是被这个法案拖累,则需要对公司内部的控制活动和信息系统进行深层次的分析和改进。无论是采用新的信息技术或信息系统来支撑执行萨班斯项目,还是在原有信息系统和管理制度上进行缺陷改进,自动控制都必须被所有人重视。它带来的长期效益和有效的管理制度,简单的业务处理方式都将使萨班斯法案和内部控制成为公司获得长期竞争力和效益的有效手段。
主要参考文献
[1]S J Hussain,M S Siddiqui.Quantified Model of COBIT for Corporate IT Governance[C].The First International Conference on Information and Communication Technologies,2005:158-163.
[2]R Agrawal,C Johnson,J Kiernan,et al.Taming Compliance with Sarbanes-Oxley Internal Controls Using Database Technology[C].Proceedings of the 22nd International Conference on Data Engineering,2006.
[3]Richard Power and Dario Forte.Sarbanes-Oxley: Maybe a Blessing,Maybe a Curse[J].Computer Fraud