中国IT内审暗流涌动

来源 :中国计算机报 | 被引量 : 0次 | 上传用户:xianghh
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  天气再热也热不过热火朝天的中国证券市场。2007年,股票成为我国全民关注的焦点。股市火爆的背后,谁在冷静思考?
  2007年5月25日,企业内部控制标准委员会第三次全体会议在北京友谊宾馆低调举行。会议对企业内部控制规范征求意见稿和若干项具体规范讨论稿进行了深入讨论。可见,作为现代企业内控的重要手段和考量目标之一,IT内审重新引起了企业的广泛关注。
  本期专题,就IT内审的目的与现状、中国企业IT内审的特点和难点、以及如何形成中国IT内审规范,展开了深入的探讨和调查分析。
  
  “中国萨班斯”进行时
  
  证监会纪委书记、企业内部控制标准委员会副主席李小雪在企业内部控制标准委员会第三次全体会议上表示,建设企业内部控制标准体系是资本市场的一件大事——健全有效的内部控制可以提高上市公司财务报告的有效性;可以保障公司资产安全,减少舞弊事件发生,堵塞漏洞,有效提高风险防范能力,降低公司风险;可以提高公司经营效益及效率,提升上市公司质量。
  我国对企业内部控制评价的关注始于上个世纪80年代末,但当时的评价大都流于形式。“银广夏”等上市公司财务舞弊事件、“中航油事件”等等因内部控制失效造成财产重大损失的案件,在一定程度上要归咎于企业内控机制的不健全。
  此后,我国政府开始重视内控评价的规范化建设。审计署、财政部、证监会、银监会等组织均出台了关于内部控制评价方面的规范,而2006年则是关于上市公司企业内控规范讨论最为热闹的一年。
  2006年6月5日,上海证券交易所出台了《上海证券交易所上市公司内部控制指引》,对上市公司内控制度和风险管理制度出台了重要规定,引起了业界的强烈反响。
  在信息技术无处不在的今天,IT既是企业内控的一个有效手段,同时IT本身又充满了风险,成为内控的重要目标之一。因此, IT内审引起了广泛关注。科索路咨询公司还专门对此发布了《IT内审调研报告》。
  2006年7月15日,财政部联合国资委、证监会、审计署、银监会、保监会发起成立了“企业内部控制标准委员会”,旨在“基本建立一套以防范风险和控制舞弊为中心、以控制标准和评价标准为主体,结构合理、内容完整、方法科学的内部控制标准体系,推动企业完善治理结构和内部约束机制”。委员会的成立被视为中国版“萨班斯法案”即将出台的前兆,中国内部审计协会会长王道成当时曾向媒体表示,3年之内中国就会有自己的“萨班斯法案”。
  2006年9月28日,深圳证券交易所《上市公司内部控制指引》发布,规定深市主板上市公司要建立完备的内部控制制度。在2007年7月1日文件正式生效后,上市公司均需按要求披露内控制度制订和实施情况。
  很多人都相信,具有强制效力的中国上市公司内控法规就要形成,甚至有很多企业或个人认为随着企业内控法规的形成,与IT内审相关的咨询或者软件将是一个很好的市场机会,并雄心壮志地投身到这一领域。
  但是到了2007年,在股市热潮背后,关于企业内控和IT内审规范工作似乎处于停滞状态。有些曾经看好IT内审市场机会的公司开始后悔自己当初的决定。这不禁让人怀疑,难道牛市的今天企业内控就不那么重要了?IT内审的热潮从此告一段落?
  
  审迫在眉睫
  
  事实远非如此。
  2007年3月,企业内部控制标准委员会公布了《企业内部控制规范——基本规范》和17项具体规范(征求意见稿),并开始向有关单位和专家征求意见。
  2007年5月25日,由企业内部控制标准委员会主席、财政部副部长王军亲自参加的企业内部控制标准委员会第三次全体会议在北京友谊宾馆低调举行,会议对企业内部控制规范征求意见稿和若干项具体规范讨论稿进行了深入讨论。
  财政部还表示,将根据本次会议讨论的情况尽快修订企业内部控制规范征求意见稿和讨论稿,抓紧建立中国企业内部控制标准体系。所有这一切都证明,尽管没有声势浩大的活动进入人们的视野,但“中国的萨班斯法案”依旧在紧锣密鼓地酝酿中。
  业内人士分析,尽管今天企业内部控制规范征求意见稿依旧在讨论中,但是一旦被确定,肯定会和萨班斯法案一样对上市企业具有强制性的约束。毫无疑问,尽管还有上市公司对IT内审没有足够重视,但IT内审是否规范必将成为上市公司存在的必要条件之一。
  现代企业的经营越来越依赖于信息系统,除了传统意义上的经营风险、控制风险和财务风险,企业信息系统的安全性导致的信息风险日益增长。同时对大部分企业来说,信息技术已经融入到企业各项业务中。IT内审作为企业内部控制的一个重要手段和对象,已经得到政府相关机构、企业和咨询机构普遍认可。
  目前的《企业内部控制具体规范(征求意见稿)》中,专门提出了计算机信息系统的征求意见稿,就总则,岗位分工与授权审批,信息系统开发、变更与维护控制,信息系统访问安全,硬件管理和会计电算化及其控制等六个方面提出了43条详细征求意见。
  
  企业表现各不相同
  
  “招聘资深内审员,要求具有5年以上跨国公司会计与财务方面工作经验,并有IT系统审计方面的工作经验”。最近,“IT内审员”的新鲜职位已经开始出现在各大招聘网站。
  很多被访企业表示,他们已经或者正在考虑采用新的技术手段来辅助企业内部控制工作,比如说中信集团公司早已经在2005年就开始采用加拿大审计软件ACL、易通审计软件开展审计。
  承接企业内控咨询业务的会计师事务所或咨询公司表示,他们所接触的IT内审业务在明显增加。
  ……
  种种迹象表明,IT内审规范的推动并没有停滞不前,之所以让人感觉“停滞”,主要是因为以下几方面的原因:
  首先,很多企业对于内部控制仍然采取比较被动的态度。对于那些早在国内上市的企业,由于上交所和深交所出台的《指引》对他们没有强制性的约束,没有对内控的紧迫感。而那些在海外上市或者新上市的企业,大都是为了满足上市条件或者相关法规而被迫进行内部控制和IT内审。在香港上市的某公司的CIO告诉记者,对他们来说,IT内审就是每隔一段时间按照会计师事务所提供的一张单子中对IT的要求落实就可以了。
  其次,目前大部分企业的IT内审工作主要是交给第三方机构来办理的。很多在海外上市或者被外资公司控股,特别是在美国上市的企业,早已经通过第三方机构在IT审计方面走在了前面。第三方机构对这块业务驾轻就熟,更多的企业选择IT内审对他们来说只是业务量的增加,因而没有引起大范围的讨论。
  第三,很多企业虽然已经意识到IT内审的重要性,但是苦于IT基础太差、缺乏相关经验而暂时搁置。亚新科工业技术有限公司是一家总部设在北京的外资企业。为了让企业健康稳定地发展,公司从1999年就已经建立了完整的内部制度,并且还专门成立了内控部。但是,公司内控部总监麻蔚冰告诉记者,目前他們还没有实现IT内审。他认同随着信息技术在企业广泛应用,IT内审是企业内部控制的必然趋势。亚新科从去年就开始关注这一趋势,但由于公司内部的IT建设还不够完善,再加上IT内审所牵涉的东西非常复杂,暂时也没有好的经验可以借鉴,所以目前尚处在探索中。
  
  规范形成尚待时日
  
  那么,适合中国的IT内审到底该怎么做?如何形成适合中国国情的IT内审?
  很多企业都希望 《企业内部控制具体规范(征求意见稿)》能够给他们未来的IT内审提供有用的参考。
  王军在企业内部控制标准委员会第三次全体作会议上也强调,内部控制标准体系建设要着力处理好借鉴国际和顺应国情的关系。目前,在尚未形成自己的规范并且没有更好的办法之前,业界已经认识到“西学中用”是最好的选择。
  德勤咨询公司企业风险管理服务高级经理周梓滔告诉记者,目前的征求意见稿中不仅参照了萨班斯法案,还参照了很多地方的相关法规。
  但是业内人士分析,毕竟中国企业有很强的特色,必须在参照这些经验的同时充分考虑中国企业自身的特色。
  记者就IT内审规范这个问题拨通财务部会计司企业内部控制标准委员会某一负责人的电话时,得到回答是,征求意见稿中“计算机信息系统”部分还只是“征求意见稿”,希望有经验的咨询公司和专业人员能够积极参与,提供有用的建议。
  在访谈了一些内控咨询专家、企业内控工作者后,记者认为以下几个方面是在建立IT内审规范过程中最不能忽视的:首先,企业对IT内审的重视不够;其次,企业的IT建设不够完善,建立像美国上市公司那样的IT内审难度较大;第三,企业IT内审部门的归属问题不明确:目前国内企业审计部门独立的就比较少,而IT内审既涉及审计又涉及IT,归属问题就更加不好确定;第四,IT内审的投入成本大,美国的大型公司仅在第一年建立内部控制系统的平均成本就高达430万美元,这对规模偏小的中国上市企业来说是不现实的……
  由此可见,我国要建立完善的IT内审规范还需时日,但对于企业来讲,未雨绸缪却必不可少。否则具有法律约束力的规范一旦执行,临时抱佛脚几乎是不可行的——因为企业的IT建设本身就不是一蹴而就的事情。
  
  链接:关于萨班斯法案
  
  2002年7月25日,美国国会通过了《2002年萨班斯—奥克斯利法案》(也称《2002年公众
  公司会计改革和投资者保护法案》,简称《萨班斯法案》)。该法案由美国总统布什在2002年7月30日签署成为美国正式法律。《萨班斯法案》不仅对《证券法》(1933)和《证券交易法》(1934)这两部证券监管的重要法律做了修改和补充,而且还对会计行业的监督、审计独立性、财务信息披露、公司责任、证券分析师行为、证券交易委员会的权利和责任等诸多方面做了新的规定。
其他文献
数据是企业最重要的资产,数据中心作为企业网络的中枢系统汇聚了最昂贵的服务器和存储及网络设备,担负了越来越重要的任务。在企业的IT基础架构中,数据中心是数据及业务应用的总控中心。数据中心的建设要面向企业业务的发展,并为企业提供全面的业务支撑。这种支撑涵盖了客户、企业业务、企业数据和决策支持等层面。我们正处在一个信息爆炸的时代,数据的存储量用KB、MB、GB甚至TB来计算,在将来,人们所谈论的将是PB
关键字:ERP/微软/IBM     4月9日,微软签约上海宝信,后者成为微软在中国的第6个全球战略合作伙伴。微软在中国推进的合作计划让国内软件厂商感受到了压力。  而微软商务管理解决方案的成型更让这种压力变成威胁,竞争与合作都摆在面前,国内的软件厂商如何应对?  最近微软的全球战略合作伙伴计划进展迅速,虽然大部分是技术、人才等领域的合作,但对国内企业潜在的威胁不容忽视。“本土厂商迟早要面对IBM
固定内容的定义是不发生改变的信息,包括数字媒体(图像、音频、视频等)、法律和参考文档、医疗影像、电子邮件、银行票据、卫星云图等。固定内容是近年来全球数据爆炸的主要因素。据IDC最新报告显示,2006年全球创建的数字信息总量为161EB(1EB=10亿GB),到2010年将达到988EB。固定内容则占所有数字信息的95%和企业数据量的80%以上。    固定内容存储的需求与现状    与需要不断改变
如果把物物通信作为一场世界杯比赛的话,快速发展但仍旧略显稚嫩的RFID无疑是一颗最耀眼的新星。但是从新星,到争取出线权,直到最后夺得冠军,RFID还需要过五关斩六将。球队按照规则配备球员、整体实力的提升、传接配合的默契、知己知彼的准备,都是赢得出线权的前期准备。    配合    北京时间2006年7月10日凌晨,当格罗素射入第5个点球时,意大利终于打破了点球不胜的宿命,登上了世界足球之颠。那一刻
本报讯 日前,《经济学家》公布的一项名为“首席执行官情况——企业2006年及更远的未来所关注的重点”的调查结果显示,53%的首席执行官认为扩大市场份额是“当今首要目标”。“但这个目标实现起来很困难,基本费用的控制、公司的组织架构和文化建设甚至业务的模式如何做都需要考虑。任何一个以服务为导向的企业要想做到这些就必须先以服务导向架构(SOA)的方式构建其业务模式,使业务更加敏捷。” 甲骨文公司大中华区
网管软件,其本质是运维支持系统,也可称为行为支持系统。它是专门为运维人员设计的,帮助运维人员进行自动化的网络监测和管理,最终目的是减少故障,从而提高IT效率。  Q:企业信息化建设中选购网管软件可以带来哪些好处?  A:企业网络管理软件的作用主要体现在:准确地反映网络故障,整合系统管理,支持Web网管与面向业务的网管等。  Q:多大的网络规模需要网管软件?  A:凡是网络存在的地方,有服务器或应用
《电子签名法》通过确立电子签名法律效力,规范电子签名行为,维护有关各方合法权益,从而从法律制度上保障了电子交易安全,促进了电子商务和电子政务的发展,同时也为电子认证服务业的发展创造了良好的法律环境。  《电子签名法》解决了五个方面的问题:(一)确立了电子签名的法律效力;(二)规范了电子签名行为;(三)明确了认证机构的法律地位及认证程序;(四)规定了电子签名的安全保障措施;(五)明确了电子认证服务行
苏宁与IBM的合作反映出国内家电连锁企业的竞争重点发生转变。  疯狂的门店扩张速度今后将不再是苏宁电器与国美电器之间竞争的主要特点,双方竞争将从开店数量的比拼转向更深层次的内部管理的竞争。  6月17日,苏宁电器与IBM在南京宣布建立战略合作伙伴关系,启动为期五年的“蓝深计划”。根据该计划,双方将在企业管理、流程变革、应用系统开发与IT管理等领域开展密切合作。IBM将为苏宁提供一整套涵盖人力资源、
《电子签名法》及《电子认证服务管理办法》颁布实施以来,一方面从根本上确立了电子签名的法律效力,为电子认证行业树立了良好的法律环境;另一方面,通过两年多对《电子签名法》的宣传,电子签名法、数字证书、电子认证等已越来越被人们认知和接受。但是仍然有不少工作要开展:一是《电子签名法》专业性、技术性较强,仍须进一步扩大宣传;二是与《电子签名法》相配套的法律法规,特别是涉及电子商务、电子政务应用层面的法律法规
新加坡电子公民中心是一个三维虚拟社区,政府部门是电子公民人生旅途上的一个个站点。  在现代政府服务过程中,业务关联度日益提高,各部门的相互依存度增强,单部门单项服务的突破不能独柱擎天,必须要通过整合相关配套服务、建立相应的管理模式,才能有效提高政府的执行力和竞争力。将集成创新的思路应用于当前的政府服务中,将集成思想与电子政务相结合,可以有效地利用技术和新的商业模式来提升政府内部流程的效率,提升政府