论文部分内容阅读
乍一看,萨班斯法案对国内IT企业带来的商机并不太大。毕竟截止到目前,在美国纽约证券交易所和纳斯达克两地上市的中国公司不过80家左右,可以说是一个小众市场。
然而,Thomson Financial的数据显示,今年在美国进行首次公开募股(IPO)的中国公司已经达到了10家,远高于去年的7家,也突破了创下最高纪录的2004年的9家。同时,2007年美国上市的外国公司中,中国公司数量是最多的。
不仅在美国上市的中国公司数量呈增长态势,中国的上交所、深交所以及政府相关部门也正在出台措施,督促企业加强内控。这样,上市公司必须考虑,如何采取有效的工具和手段,以最低的成本,达到公司内部控制的有效与合规。这个市场的成长性隐约可见。
严格监管的大趋势
“如果把萨班斯法案看做是一场考试,一般人应对考试有两种措施,一种是只练习考试要考查的内容,不考的就不练,还有一种方法,就是全面增强自己的能力,这样无论考什么内容都能通过。”中国石油化工股份有限公司信息系统管理部副总工程师吴正宏表示。在他看来,中石化不是为了通过外审而去做加强内控管理的工作的,更希望借此强化内部管理。
去年6月5日,上海证券交易所率先发布了《上海证券交易所上市公司内部控制指引》,对上市公司建立健全和有效实施内部控制制度提供了原则性指导,明确了公司董事会对公司内控制度所负的责任,并要求上市公司从2006年年度报告起,披露内部控制自我评估报告和会计师事务所对自我评估报告的核实评价意见。
表面上看,指引所规定的内容已经与萨班斯法案404条款的要求非常接近了,只是在标准的严厉程度上有所差异。
除此之外,国务院、财政部、国资委、证监会等国家有关部门也相继出台了以加强企业内控为目的的政策。去年7月,财政部联合证监会、国资委、审计署、银监会、保监会等部门成立了企业内部控制标准委员会,财政部还在今年4月公布了《企业内部控制规范(征求意见稿)》。据悉,企业内部控制标准委员会正在着手探索以政府部门为引导、广大企业主动参与的内部控制实施体系。
同样是去年,国资委公布了《中央企业全面风险管理指引》,提出风险管理的总体目标,包括编制和提供真实、可靠的财务报告,确保将风险控制在与总体目标相适应并可承受的范围内。
慧点科技对市场空间持非常乐观的态度,“据预测今年在纳斯达克上市的国内企业将有20家,这是一个很庞大的数据。”慧点科技商业流程与控制事业部总经理吴大军告诉记者,此外,慧点科技还根据国家各部委出台的文件能够覆盖的企业数量进行了预估,“国资委的文件能够覆盖约150家,证监会的文件大约覆盖1400家,财政部政策的覆盖面就更广了”,而这些呈现出增长趋势的市场,都是象慧点科技这样的IT工作流工具企业预期的市场。
IT企业嗅到商机
麦肯锡2002年的一项调查显示,机构投资者在做投资决策时,公司治理水平和财务表现是两项同等重要的标准,而那些有良好公司治理和内控措施的公司的股价表现会比同行高出12~14%。也就是说,虽然监管越来越严格,但是上市公司的投资者对这种监管表现出了欢迎。
“目前IT厂商在萨班斯法案遵循中做的工作并不多,但是企业第一年通过之后,企业的关注点就会转移到怎样把流程与企业信息系统的建设结合起来、怎样把IT系统与企业内部管理统一起来,这其中蕴含着一些商机。”吴正宏表示。
在达成这些目标的过程中,可能会涉及流程管理、建模工具、工作流的使用。大企业的流程成千上万,工作流工具可以保证这些流程之间更有效地衔接、更规范地操作、执行活动的可监控性更好等。
对于客户的类别,慧点科技也有自己的分类:在纳斯达克上市的企业以IT企业居多,因为规模较小,信息化系统给他们带来的价值没有太明显的提升;而中国人寿、中海油等大型IT企业的投入都在千万元以上,IT系统的采用给它们带来的直接成本的节省会非常明显,对IT系统的需求也就更迫切一些。
慧点科技推荐采用的是IBM的WBCR(Workplace for Business Control and Reporting)产品,这一产品可以帮助企业展开内部控制的规划、估算、测试、评估、监控等活动。针对萨班斯法案,SAP也制定了一套Compliance Management for SOA的软件,赛门铁克也提供了能够帮助客户对往来的电子文档进行归档、存储、备份、迅速发现、分析的软件工具。
市场研究公司Forrester Research的调研报告显示,和萨班斯法案相关的软件开发速度将加快。2005年,该法案分别对内容管理软件和商业智能软件产生了15%和9%的需求增量影响。而在萨班斯法案的带动下,全球身份识别和访问管理软件市场也呈现出增长趋势,CA、IBM、HP、Novell、RSA等IT厂商都已经进入这个市场。
当然,与国外企业相比,国内软件企业缺乏萨班斯法案的实施经验,因此在相关产品和解决方案的推出上落后一步还是可以理解的。然而,萨班斯法案会激发中国企业对内容管理软件及商业智能软件的需求,上市公司都在寻求更好的方法获取并监控企业内部海量的数据,从而增强对企业财务报告的内部管理。可以说,留给国内IT厂商的机会还有很多。
评论:IT内控只是第一步
为了遵循萨班斯法案的要求,在美国上市的中国公司不得不付出高昂的遵循成本,上市公司付出的人力、资本成本更是难以想像。华晨中国汽车控股有限公司从美国纽约证券交易所的退市就是一个缩影。
上市公司组建的SOX404实施小组前后都要进行多次大规模的内控矩阵及流程图的修订,会详细地梳理出流程、子流程、控制点的具体数量,涵盖了公司层面、业务流程及IT管理3大方面,并对所有的控制点进行内控测试。
如果IT系统能够分担一部分工作,将给公司带来效率提高、成本降低、及时发现问题等诸多好处。IT控制是公司治理及IT治理必不可少的组成部分,上市公司的董事会首先也面临着整合企业的内部控制和管理信息系统这个大任务,因为董事会需要企业的审计系统来保证财务数据的完整性和对会计原则的遵循。
但是,IT工具和IT手段的应用,仍然只能在一定程度上解决萨班斯法案的遵循问题,而不是公司内部控制问题的全部。IT内部控制并不是孤立的,而是公司以业务目标为主导的整体内部控制项目的一部分。
在企业整体的内部控制过程中,首先,企业必须确定公司的主要经营活动以及与这些经营活动相关的业务流程和活动,划分内部控制的工作范围。其次,企业在这个工作范围内定义具体的控制对象。第三,针对控制对象,进行风险分析、评估,决定每项风险的管理策略,制定企业具体的控制程序、控制目标以及审计标准。然后,对现行的运作进行评估,实施变革以达到预定目标。最后,评价控制措施的实施后果,加以巩固或改进。相对应地,IT的内部控制必须遵循公司的内部控制策略,确保IT控制符合公司内部控制的要求。
如果意识不到这个问题,而是过度地依赖IT,那么企业的内部控制状况仍然堪忧。任何内部管理制度,能不能落到实处、达到效果,关键因素还是在于人。作为制度的制订者和监督者,董事会和高管层首先要带头遵守,才能上行下效,保证制度的真正落实和贯彻。(文/陈淑娟)
然而,Thomson Financial的数据显示,今年在美国进行首次公开募股(IPO)的中国公司已经达到了10家,远高于去年的7家,也突破了创下最高纪录的2004年的9家。同时,2007年美国上市的外国公司中,中国公司数量是最多的。
不仅在美国上市的中国公司数量呈增长态势,中国的上交所、深交所以及政府相关部门也正在出台措施,督促企业加强内控。这样,上市公司必须考虑,如何采取有效的工具和手段,以最低的成本,达到公司内部控制的有效与合规。这个市场的成长性隐约可见。
严格监管的大趋势
“如果把萨班斯法案看做是一场考试,一般人应对考试有两种措施,一种是只练习考试要考查的内容,不考的就不练,还有一种方法,就是全面增强自己的能力,这样无论考什么内容都能通过。”中国石油化工股份有限公司信息系统管理部副总工程师吴正宏表示。在他看来,中石化不是为了通过外审而去做加强内控管理的工作的,更希望借此强化内部管理。
去年6月5日,上海证券交易所率先发布了《上海证券交易所上市公司内部控制指引》,对上市公司建立健全和有效实施内部控制制度提供了原则性指导,明确了公司董事会对公司内控制度所负的责任,并要求上市公司从2006年年度报告起,披露内部控制自我评估报告和会计师事务所对自我评估报告的核实评价意见。
表面上看,指引所规定的内容已经与萨班斯法案404条款的要求非常接近了,只是在标准的严厉程度上有所差异。
除此之外,国务院、财政部、国资委、证监会等国家有关部门也相继出台了以加强企业内控为目的的政策。去年7月,财政部联合证监会、国资委、审计署、银监会、保监会等部门成立了企业内部控制标准委员会,财政部还在今年4月公布了《企业内部控制规范(征求意见稿)》。据悉,企业内部控制标准委员会正在着手探索以政府部门为引导、广大企业主动参与的内部控制实施体系。
同样是去年,国资委公布了《中央企业全面风险管理指引》,提出风险管理的总体目标,包括编制和提供真实、可靠的财务报告,确保将风险控制在与总体目标相适应并可承受的范围内。
慧点科技对市场空间持非常乐观的态度,“据预测今年在纳斯达克上市的国内企业将有20家,这是一个很庞大的数据。”慧点科技商业流程与控制事业部总经理吴大军告诉记者,此外,慧点科技还根据国家各部委出台的文件能够覆盖的企业数量进行了预估,“国资委的文件能够覆盖约150家,证监会的文件大约覆盖1400家,财政部政策的覆盖面就更广了”,而这些呈现出增长趋势的市场,都是象慧点科技这样的IT工作流工具企业预期的市场。
IT企业嗅到商机
麦肯锡2002年的一项调查显示,机构投资者在做投资决策时,公司治理水平和财务表现是两项同等重要的标准,而那些有良好公司治理和内控措施的公司的股价表现会比同行高出12~14%。也就是说,虽然监管越来越严格,但是上市公司的投资者对这种监管表现出了欢迎。
“目前IT厂商在萨班斯法案遵循中做的工作并不多,但是企业第一年通过之后,企业的关注点就会转移到怎样把流程与企业信息系统的建设结合起来、怎样把IT系统与企业内部管理统一起来,这其中蕴含着一些商机。”吴正宏表示。
在达成这些目标的过程中,可能会涉及流程管理、建模工具、工作流的使用。大企业的流程成千上万,工作流工具可以保证这些流程之间更有效地衔接、更规范地操作、执行活动的可监控性更好等。
对于客户的类别,慧点科技也有自己的分类:在纳斯达克上市的企业以IT企业居多,因为规模较小,信息化系统给他们带来的价值没有太明显的提升;而中国人寿、中海油等大型IT企业的投入都在千万元以上,IT系统的采用给它们带来的直接成本的节省会非常明显,对IT系统的需求也就更迫切一些。
慧点科技推荐采用的是IBM的WBCR(Workplace for Business Control and Reporting)产品,这一产品可以帮助企业展开内部控制的规划、估算、测试、评估、监控等活动。针对萨班斯法案,SAP也制定了一套Compliance Management for SOA的软件,赛门铁克也提供了能够帮助客户对往来的电子文档进行归档、存储、备份、迅速发现、分析的软件工具。
市场研究公司Forrester Research的调研报告显示,和萨班斯法案相关的软件开发速度将加快。2005年,该法案分别对内容管理软件和商业智能软件产生了15%和9%的需求增量影响。而在萨班斯法案的带动下,全球身份识别和访问管理软件市场也呈现出增长趋势,CA、IBM、HP、Novell、RSA等IT厂商都已经进入这个市场。
当然,与国外企业相比,国内软件企业缺乏萨班斯法案的实施经验,因此在相关产品和解决方案的推出上落后一步还是可以理解的。然而,萨班斯法案会激发中国企业对内容管理软件及商业智能软件的需求,上市公司都在寻求更好的方法获取并监控企业内部海量的数据,从而增强对企业财务报告的内部管理。可以说,留给国内IT厂商的机会还有很多。
评论:IT内控只是第一步
为了遵循萨班斯法案的要求,在美国上市的中国公司不得不付出高昂的遵循成本,上市公司付出的人力、资本成本更是难以想像。华晨中国汽车控股有限公司从美国纽约证券交易所的退市就是一个缩影。
上市公司组建的SOX404实施小组前后都要进行多次大规模的内控矩阵及流程图的修订,会详细地梳理出流程、子流程、控制点的具体数量,涵盖了公司层面、业务流程及IT管理3大方面,并对所有的控制点进行内控测试。
如果IT系统能够分担一部分工作,将给公司带来效率提高、成本降低、及时发现问题等诸多好处。IT控制是公司治理及IT治理必不可少的组成部分,上市公司的董事会首先也面临着整合企业的内部控制和管理信息系统这个大任务,因为董事会需要企业的审计系统来保证财务数据的完整性和对会计原则的遵循。
但是,IT工具和IT手段的应用,仍然只能在一定程度上解决萨班斯法案的遵循问题,而不是公司内部控制问题的全部。IT内部控制并不是孤立的,而是公司以业务目标为主导的整体内部控制项目的一部分。
在企业整体的内部控制过程中,首先,企业必须确定公司的主要经营活动以及与这些经营活动相关的业务流程和活动,划分内部控制的工作范围。其次,企业在这个工作范围内定义具体的控制对象。第三,针对控制对象,进行风险分析、评估,决定每项风险的管理策略,制定企业具体的控制程序、控制目标以及审计标准。然后,对现行的运作进行评估,实施变革以达到预定目标。最后,评价控制措施的实施后果,加以巩固或改进。相对应地,IT的内部控制必须遵循公司的内部控制策略,确保IT控制符合公司内部控制的要求。
如果意识不到这个问题,而是过度地依赖IT,那么企业的内部控制状况仍然堪忧。任何内部管理制度,能不能落到实处、达到效果,关键因素还是在于人。作为制度的制订者和监督者,董事会和高管层首先要带头遵守,才能上行下效,保证制度的真正落实和贯彻。(文/陈淑娟)