專(zhuān)家破解薩班斯“加時(shí)賽”戰術(shù)

　　7月15日，薩班斯法案在中國正式生效。按照薩班斯法案的要求，中國在美國上市的44家公司均應該已經(jīng)建立起完善有效的內部控制體制。由于我國實(shí)行的是自然會(huì )計年度，所以對內部控制有效性評估的證明報告將與年度審計報告同時(shí)發(fā)表。因此，從某種意義上講，中國的企業(yè)相應地又多了接近半年的時(shí)間完善其內部控制體制。

　　沖刺：力求執行有效

　　IT治理研究中心專(zhuān)家孟秀轉則指出，目前運營(yíng)商針對薩班斯法案而建立的內部控制的政策設計已經(jīng)完成，剩余的6個(gè)月的時(shí)間內應該是正在積累內控執行有效的證據。因為對內控的評價(jià)不僅包括內控政策設計有效，也包括相應的執行有效，而執行有效的檢查方式就是至少三個(gè)月的執行有效證明(包括文檔，形成執行軌跡等等)。同時(shí)，通過(guò)測試，可以根據COSO框架評價(jià)設計的有效性，進(jìn)行查缺補漏。

　　另一方面，為達到企業(yè)整體口徑一致目的而進(jìn)行的運營(yíng)商人員培訓也應該結束。她認為，到目前為止，人員的大量培訓也基本上完成，剩余的時(shí)間主要是協(xié)同外部審計人員做關(guān)鍵程序的穿行測試，創(chuàng )造一個(gè)制度良好的環(huán)境證據。

　　上述運營(yíng)商的財務(wù)人員也證明了這一點(diǎn)，目前外審已經(jīng)入駐現場(chǎng)，在外審進(jìn)行開(kāi)始測評的同時(shí)，內審仍在執行其幾輪的測試整改工作。所以從這個(gè)意義上而言，剩余的幾個(gè)月時(shí)間可以說(shuō)是運營(yíng)商的薩班斯法案執行沖刺期。

　　除此之外，運營(yíng)商應借助剩余的幾個(gè)月做一些相應的測試、模擬實(shí)施，進(jìn)行自我審查。這既是內部控制體系的一部分，屬于監控的性質(zhì)；又是應對外部審查的一個(gè)有效方式。通過(guò)自我審查，運營(yíng)商可以借機查缺補漏，避免外審進(jìn)駐時(shí)出現突發(fā)的事件。

　　但是，賽迪顧問(wèn)電信咨詢(xún)總監繹明宇則指出，這多出的幾個(gè)月時(shí)間，對各大運營(yíng)商的作用是有限的，最直接的僅僅是減少了相應的時(shí)間壓力。

　　從IT治理的角度，孟秀轉認為，在剩下不多的時(shí)間內，運營(yíng)商應該梳理其IT治理系統，關(guān)注IT治理系統與其他系統之間的整合，使得IT治理系統真正融合到運營(yíng)商具體的內部控制體系之中。

　　現狀：測試有效的設計

　　某運營(yíng)商的內部財務(wù)人員指出，目前，運營(yíng)商的內部控制設計和建設工作已經(jīng)基本結束，而包括外審和內審在內的內部控制測試工作還正在進(jìn)行。

　　此前，各大運營(yíng)商都已經(jīng)針對薩班斯法案進(jìn)行了很大投入，各個(gè)運營(yíng)商都在積極調整內控系統方案。

　　從薩班斯法案項目小組2004年下半年進(jìn)駐各大運營(yíng)商開(kāi)始，在將近兩年的時(shí)間內，薩班斯項目小組分步驟建立和完善了各運營(yíng)商的內部控制體系。

　　第一步，根據運營(yíng)商的業(yè)務(wù)品種、業(yè)務(wù)狀況建立運營(yíng)商的業(yè)務(wù)流程，同時(shí)設定相關(guān)的子流程，根據子流程設定符合薩班斯法案的內部控制體系目標，同時(shí)將內控流程用文檔描述出來(lái)，以證明控制了風(fēng)險。

　　一位參與某運營(yíng)商內部控制項目小組的咨詢(xún)人士指出，這一過(guò)程非常重要。首先因為，目標的設定將關(guān)系到最終內控制度的體系；其次，因為進(jìn)行了文檔的描述，企業(yè)的執行總監和財務(wù)總監在年底簽署內控有效報告的時(shí)候才有據可依。

　　第二步，向運營(yíng)商各相關(guān)部門(mén)進(jìn)行調研摸底，根據所調研運營(yíng)商的實(shí)際情況以及控制目標，建立其實(shí)際的流程標準模板，建立標準的控制程序。

　　該咨詢(xún)人士同時(shí)還指出，這些標準模板形成的最終結果將根據內審設計項目組的不同而不同(不同的咨詢(xún)公司，會(huì )計公司都是各有特色)，但基本上會(huì )包括文字描述、流程圖描述等等內容。

　　第三步，根據流程標準模板指導運營(yíng)商進(jìn)行本地“移植”。也就是一個(gè)“手把手”教授的過(guò)程，一般意義上，控制程序執行是否有效，就取決這個(gè)本地化的過(guò)程成功與否。

　　第四步，進(jìn)行測試，形成測試底稿。測試底稿是外審檢查內部控制是否執行有效的重要依據之一，這種測試一般分成幾輪，是一個(gè)查缺補漏的過(guò)程。

　　目前，四大運營(yíng)商的前三個(gè)步驟已經(jīng)基本完成，內審工作的測試也已經(jīng)接近尾聲。內審最終還會(huì )通過(guò)測試結果，以及與外審的對接，進(jìn)行局部控制程序和控制關(guān)鍵點(diǎn)的局部改動(dòng)。

　　薩氏法案是一個(gè)雙刃劍

　　此次中國在美國上市地企業(yè)在薩氏法案地要求下建立內部控制，繹明宇認為，這一企業(yè)行為的作用和影響是雙面的。從長(cháng)遠看來(lái)，是有利的，有助于企業(yè)整體治理水平的實(shí)質(zhì)性提高。一方面，薩班斯法案對企業(yè)防止突發(fā)事件，降低財務(wù)風(fēng)險有很大作用，可以有效遏制出現財務(wù)卷款潛逃的惡劣行為，避免給企業(yè)帶來(lái)不可挽救損失。另一方面，薩班斯法案要求企業(yè)建立實(shí)時(shí)可控的信息反映系統，這一系統的建立，可以幫助企業(yè)的管理層改變決策環(huán)境，提高決策反應速度。

　　但是就短期而言，此項內部控制制度的建設成本是相當大的。中國企業(yè)大多處于發(fā)展之中，而發(fā)展中的企業(yè)會(huì )經(jīng)常調整業(yè)務(wù)、策略等等，各大電信企業(yè)也不例外。目前運營(yíng)商的信息系統多是面向對象的、面向組件的，最終需要調整為面向服務(wù)的，這是一個(gè)運營(yíng)系統、信息系統、管理系統多方面的集成協(xié)調的過(guò)程，其工作量非常大，難度也很大，是一項系統工程。

　　此外，電信企業(yè)也需要投入大量的時(shí)間、人力和財力，還要直接支付給外腦一定的費用和相關(guān)的支出，而間接成本則包括了內部員工的投入、內部資源的動(dòng)用等等，基于薩班斯法案的時(shí)間限制，這些間接成本也相當高。因為內部資源的頻繁使用多是以犧牲企業(yè)內部效率為代價(jià)的，這種間接成本很難估計。

　　當然，投入必然會(huì )有回報。通過(guò)建立系統的內部控制體系之后，中國電信運營(yíng)商的治理水平將得到很大提高，而且建立了符合薩班斯法案的內部控制制度，也有助于中國電信企業(yè)更順利地開(kāi)展國際化經(jīng)營(yíng)。

　　鏈接：驚人的測試工作量

　　目前，各運營(yíng)商都在進(jìn)行內控測試。由于在美國上市的我國運營(yíng)商都是規模很大的公司，需要測試所有重要的控制點(diǎn)。以一個(gè)運營(yíng)商有30個(gè)省級公司或分公司計算(固網(wǎng)運營(yíng)商分公司數量會(huì )相對較少)，每個(gè)省級公司又有十幾個(gè)地市級公司，從流程上講每個(gè)省級公司以及分公司都會(huì )有至少10個(gè)或者更多的業(yè)務(wù)流程。每個(gè)流程又有5至10個(gè)重要的控制點(diǎn)。

　　如果用3至4個(gè)小時(shí)測試一個(gè)控制點(diǎn)計算，測試的工作量將以萬(wàn)作為數量單位。在此之后，還需要對測試發(fā)現的問(wèn)題進(jìn)行改進(jìn)，隨后對改進(jìn)的情況還需要進(jìn)行再測試，從而達到?jīng)]有重大控制缺陷。而會(huì )計事務(wù)所做的測試和審計工作，還會(huì )包括IT層面、公司治理層面控制的內容，從而使整個(gè)測試的規模更加驚人。
 　 
　　文章來(lái)源：
 
責任編輯：