【计世网 独家】(记者 陈淑娟)
为了遵循萨班斯法案的要求,在美国上市的中国公司不得不付出高昂的遵循成本,上市公司付出的人力、资本成本更是难以想像。华晨中国汽车控股有限公司
从美国纽约证券交易所的退市就是一个缩影。
上市公司组建的SOX404实施小组前后都要进行多次大规模的内控矩阵及流程图的修订,会详细地梳理出流程、子流程、控制点的具体数量,涵盖了公司层面、业务流程及IT管理3大方面,并对所有的控制点进行内控测试。
如果IT系统能够分担一部分工作,将给公司带来效率提高、成本降低、及时发现问题等诸多好处。IT控制是公司治理及IT治理必不可少的组成部分,上市公司的董事会首先也面临着整合企业的内部控制和管理信息系统这个大任务,因为董事会需要企业的审计系统来保证财务数据的完整性和对会计原则的遵循。
但是,IT工具和IT手段的应用,仍然只能在一定程度上解决萨班斯法案的遵循问题,而不是公司内部控制问题的全部。IT内部控制并不是孤立的,而是公司以业务目标为主导的整体内部控制项目的一部分。
在企业整体的内部控制过程中,首先,企业必须确定公司的主要经营活动以及与这些经营活动相关的业务流程和活动,划分内部控制的工作范围。其次,企业在这个工作范围内定义具体的控制对象。第三,针对控制对象,进行风险分析、评估,决定每项风险的管理策略,制定企业具体的控制程序、控制目标以及审计标准。然后,对现行的运作进行评估,实施变革以达到预定目标。最后,评价控制措施的实施后果,加以巩固或改进。相对应地,IT的内部控制必须遵循公司的内部控制策略,确保IT控制符合公司内部控制的要求。
如果意识不到这个问题,而是过度地依赖IT,那么企业的内部控制状况仍然堪忧。任何内部管理制度,能不能落到实处、达到效果,关键因素还是在于人。作为制度的制订者和监督者,董事会和高管层首先要带头遵守,才能上行下效,保证制度的真正落实和贯彻。
点击排行
