|
“全球在非美国上市的企业,有51%企业的IT(信息技术)内部控制存在问题,主要包括系统开发、网络及应用安全、应用设置与控制、用户准入和安全、程序变更管理等方面。”目前,安永会计师事务所高级合伙人梅放,发表了以上观点。
IT使企业透明
为什么企业需要在内部控制方面进行投入?对此,梅放认为,内部控制的价值主要体现在消除问题与隐患,并改善公司业务。在消除问题方面,公司通过较好的内部控制,可以发现以前年度财务报表的错误,规避更高额的罚款与赔偿;可以发现更多或需要遵守的更严格的法律法规,避免公司资产与价值的损失;也可以避免灾难性的名誉损失以及因此导致的对公司董事和管理层的刑事诉讼。而企业有效地运用IT手段,可以形成系统的风险控制、完善的业务流程、并能优化内部控制,也有助于完善风险回报与信息披露机制,使变革更加有效地执行。
在过去两年对全球137家主要机构投资者调研,安永发现:82%的机构投资者表示,他们愿意为那些能够展示其有效风险控制的企业付出溢价;69%的机构投资者表示,企业透明度是投资决策考虑的首要因素,其重要性超过企业长期记录和业务模式;61%的机构投资者表示他们没有对那些风险控制不善的企业进行投资。企业通过IT消除企业内部信息的“孤岛”,让企业更加透明,使投资人更加放心。
确保法律遵循,减少漏洞
从企业自身来说,对相关法律法规的遵循是首要因素。同时,企业通过IT提高了透明度、降低了意外事件的风险,对增强投资者信心有积极影响;通过更好地理解风险与控制,建立问责机制,为董事会、审计委员会及管理层提供支持;能更加及时地提供可靠的财务报告;可以消除过时的、冗余的和无效的控制;通过完善流程与控制架构,提升运营效率,降低成本;对重大资本支出和变革进行有效管理与执行。这些都是企业在实际运营当中通过对内部控制进行投入,就能带来的企业价值。它不仅仅是为了保证对相关法律法规的遵循。这是安永通过对企业高管的访谈得出的结论。
梅放提供了一张表格,描述公司高管对内部控制投入会给企业带来的各项价值的认可情况,其中,“满足合规要求”只能排到第3位,“优化流程和改善内部控制”及“更好理解企业面对的风险”两项得到了更高的认可。
一份企业内部控制状况的调研报告显示,美国萨班斯法案实施后,在2005年-2007年3年中,凡是萨班斯法案审计没有通过的在美上市企业,都需要披露一个财务报告内部控制实质性漏洞。
报告透露了一个有意思的现象——这3年间,在美上市公司披露的内部控制实质性漏洞数量有所降低,如2005年有约13%的企业披露内部控制无效或是存在漏洞,到2007年时降低到了6%左右。在披露的漏洞内容方面,企业也逐渐集中在与财务报告相关的内部控制内容上,如会计凭证、财务制度的相关政策、大量的审计调整事项等。
IT内控有效性也受质疑
在美国上市的企业进行内部控制测试有了新趋势。在关键控制的标准方面,他们在全公司范围内通过关键控制的对比及标准变化,降低了404条款的项目成本,提高了管理的标准;在自我评价的应用方面,许多公司在一些低风险领域开始通过控制自我评价的方式来进行404条款的合规测试工作,并将之作为主要的测试工具;在内部审计方面,审计的角色也发生了变化,逐步减少对低风险的测试工作,关注高风险领域,并在管理层的自我评估工作中起到质量保证作用;在企业执行层次方面,管理层开始研究如何有效利用日常监督控制并将之作为控制测试的手段之一,充分发挥监督控制的效用;在流程的集中化方面,上市企业的管理层开始考虑流程和IT系统的标准化与集中化。
对于在非美国上市的企业来说,他们没有萨班斯法案那样硬性的要求。那么,他们是怎么执行内部控制的?安永调查了100多家非美国上市企业后发现,在部分业务和经营领域内部控制的有效性中,约半数的在非美上市企业高管们在企业的扩张、IT的升级与应用、持续经营计划等方面,对本企业的内部控制有效性心存疑问,而这些方面恰好是企业生存发展最为关键的因素。
高管们缺乏系统开发的信心
有会计师事务所专门对在非美国上市企业的部分IT领域中的内部控制有效性进行了调查。他们发现,在IT系统开发方面,高达48%的企业高管对现在的内部控制有效性缺乏信心。在网络及应用安全、应用设置与控制、用户准入和安全、程序变更管理等方面,对内部控制有效性缺乏信心的企业高管分别占到了总数的41%、43%、43%和36%。
既然发现了问题,那应该如何解决?如何有效开展内部控制的建设和评估?他们调研后认为,国际上实行了一套自上而下、以风险为导向的方法,即自上而下地进行风险评估、识别并评估公司层面的控制,最后基于风险设定具体工作范围和制定控制测试策略的方法。
梅放特别强调IT。他认为,IT是整个内部控制中非常重要的组成部分。目前,越来越多的企业施行ERP,很多已经上线或正在上线或打算上线。IT控制分为一般控制、应用程序以及人工控制,对流程、应用程序、数据或数据库、硬件平台、网络安全和物力安全等方面都需要考虑。目前,IT被当作与财务报告相关的内部控制中的重要部分时,认识有局限。其实,IT所涉及的领域特别是在金融效率的效果方面,它所涉及内容一般要比我们根据萨班斯法案时考虑的IT内涵更加广泛。因此,在考虑业务内部控制时应当特别重视IT。
|
