【IT168 信息化】

    在《萨班斯法案》方面，管理层每年要出局一个年度报告，包括一下内容，我们总结一下就是要求管理层要承担两个重要责任，一个建立一个有效的监督组织，第二每年对内控的有效性能进行评估，管理层公司控制有效性作出评价包括公司层面控制，业务流程层面，公司层面的评估和信息系统层面监督。既然开展内部评估，在美国上市公司监督委员会审核中要求管理层采取适当的框架管理工作。但是一个强制目标不是COSO。

    这个图就是COSC的三维内部控制框架，标准和COSC 04的关系。COSC的三维内部控制框架中5大要素是和我们关系非常紧密，我们可以看到控制活动其他要素非常核心的地位。刚才我谈到我们开展内部公司控制评估，多数是采用COSC方案，这是针对一个企业开展内控评估一个整体的框架，一直到开展IT层面评估，我们经常使用另外一个指标是有名的控制协会推出的COBIT的三维控制框架。

    第二部分我想简单介绍2005年美国公司404公司内控报告的披露情况，因为2005年是美国公司开展404第一年，他们遇到问题有可能是我们中国公司第一年会遇到的。这个图我们可以看出来，在第一年美国的公司中，404报告中的披露情况。这个调查针对美国一些大型企业开展并不是美国所有企业。这个ABCD是比较知名的会计师事务所，即使在非常文明的美国大型企业，一年也有16%的企业没有顺利通过404审计。这张图是对他们所被评估中发现的漏洞一个简单分类，我们可以看到因为404思想之一关注与财务报告相关内容控制，所以实质性漏洞就是与财务相关的事情。

    美国公司实施404遵循工作的主要问题与挑战，第一年识别了大量内控缺陷，其中20%内控是与IT相关，一个企业想摆脱IT是不可能。第二个特点是工作量大，投入高，有一些简单数据，在美国公司开展相关工作投入成本是非常高的。以上我简单关于《萨班斯法案》方案做了一些介绍。

    下面我们就中国铝业信息系统开展内部控制项目情况给大家做一个介绍。中国铝业是国内最早开始做SOX合规工作的公司之一，从2004年开始已经流程层面的文档记录工作，最开始没有涉及到IT系统方面工作。但是自从2005年开始，我们公司的信息化建设出现重大变化，开展大规模信息化基础设施建设，以及更为重要的是在总部和十几家公司开始大规模ERP实施，这种情况下信息系统它的组织结构，流程等等方面发生了非常激烈变化。同时在短期内公司业务运营对于信息系统依赖程度也飞速增加，所以从2005年开始我们公司开展404增加了GCC的工作，并且2005年成立了GCC的项目工作组，并且开展相关工作。

    这就是我们公司开展GCC项目总体想法，可以说开展这个项目来源是首先是来自于外部的遵循法律法规要求，《萨班斯法案》404，不仅仅是唯一一个理由。刚才我已经说过我们信息系统日趋复杂，业务对IT系统的依赖性增强，这种情况下实施GCC项目变得非常迫切，所以我们实施GCC项目主要最终的目的是希望建立一个IT体系达到组织结构统一化，管理制度流程标准化，人员配制合理化，最终使信息系统有效可靠运行，在此基础上顺理成章通过404年度审计。

    信息系统控制的项目主要内容，不管在我们公司还是其它公司都是一样，公司层面，一般控制和应用系统控制，公司层面控制是关注与公司层面跟IT相关的问题，组织机构，IT治理，法规、制度等等，一些基础性的建设，它的控制好坏对整个IT控制结果会产生最大影响。下面就是IT一般控制，保证IT应用控制持续有效性，比较常见是变更管理、系统开发、IT安全等等，相关的问题。应用系统控制是我们常说IT AC和相应对是关于主应用系统程序执行的一些控制，直接关注到财务报表、数据准确性、安全性、一致性等等。

    下面我介绍一下开展项目的工作，大家都是采用类似的框架目录开展相关工作，项目实施方法基本上是都是一样，常规404项目工作方法我们可以从这个张图看出来。不管是左边公司层面业务层面控制，还是公司层面IT工作，IT层面来说大家使用方法是基本一致的。经过了几个结论都是一样，预评估，详细评估，整改和再测试、管理层报告。在IT层面开展预评估和业务流程小组有一个比较紧密合作关系，因为在IT层面看相关工作的时候，确定关联业务流程，风险评估都是必须根据业务，《萨班斯法案》关注是财务报表，相关的一些控制。换句话说这个问题再严重主要财务报表没有直接关系，那么《萨班斯法案》不会对这个问题发生任何，所以我们IT首先要看这个控制是不是跟财务报表有紧密关系，这个阶段需要有一个紧密配合关系这个常用的常见阶段做事情和产出。比如说项目范围，评估生产报告，整改，制定管理制度，最后是测试记录，生成年底测试报告，数据管理层报告。

    这张图是我们当时开展这个项目一个整体工作计划一个示意图是完全符合我讲到开展404项目整体的方法论。实际上开展这个项目主要做两个层面工作，一个是IT风险评估，一个是缺陷评估分析。IT层面评估分两个层面，一个是一般控制层面，一个是应用控制层面。至于为什么公司层面没有单独列里面，我们考虑公司层面问题一般是比较高层的问题，和整个404项目层面是合并在一起工作，没有单独对这个项目来开展，其中一些和IT相关比较密切工作也分在密切工作中开展。

    我们在开展404条款对内部控制的要求分为5个阶段，我们主要都做了哪些工作。第一阶段是项目启动和评估，成立项目组聘请顾问，制定项目章程，对总部和分公司进行初步评估，了解了从风险管理角度初步对信息系统现状进行分析，根据现状分析制定标准制度和流程，完善IT整个架构。这个阶段对于他的重点在于是一个评估一个是制定标准。为什么这么说呢，当时在中国铝业开展这个项目面对挑战就是，从IT里面管理流程说，并是一个完全实现流程管理部门，信息化基础相对薄弱，内控意识也不是很强。在这种情况下想建立内控，第一要做的事情要建立一个内控体系，在中国来说，要建立一个所谓体系或者框架，往往比较容易是要建立一套制度。在这一阶段我们通过大量工作，制定了21个与信息化相关的标准制度，从物理基础上做好了开展下一步工作这样一个准备。第二阶段进行一般制度认证完善推广和培训工作，我们对于制定制度选择一些试点，收集反馈意见，根据反馈意见修订之后在公司内推广相应制度流程标准，让大家试运行，让大家进行一个热身。第三阶段是进行控制措施和缺陷整改工作，我们制定了严格详细各项控制要求文档，但是第一次开展工作企业当中，说东话西，大部分东西都流于形式，原因是在中国企业缺少这种执行文化和流行问题，与前几个月对于执行制度的检查，会发现大量问题，各个控制点的问题，合理相应整改措施进行整改。在整改以后做第四阶段工作，同样进行测试继续整改是我们常用概念，提出比较GCC这样一个循环。这样一个循环一直到年底，形成年底测试工作。从SOX审计要求讲，是可以出现缺陷和问题的，只要及时整改是没有问题的，在年底最后一次的年底测试中，它出现的问题不能再回避，必须承认进行相应风险的评估看它的严重性。

    同样在IT应用控制层面，也开展了类似的工作，只不过针对控制点有一些差距。我们接下来讲年终测试以后我们进行一个重要的工作就是内部缺陷分析，年底要出一个内部评估报告，不是把你测试发现问题列在上面，你在分析影响程度，每一个问题不管是直接还是间接必须分析清楚，定义它是一个严重问题，重大问题，一般缺陷，如果出现几个重大或者一个实质性漏洞基本可以导致你404无法通过。所以我们在06年底完成年终测试以后。

    从我们分析发现的缺陷进行分析情况下，我们分享我们经常遇到的问题，一发现缺陷是由于基础设施方面，主要原因是因为前期相关技术流程执行得不够彻底、不够完善造成的，IT用户欧层面我们测试四个方面的主要问题，系统配置，关键报表，权责分离和关键事物代码。ITAC方面大家可能发现最多集中在关键事物代码，往往你是你信息化水平越高，用的系统越先进，集成这两快问题就越严重，你看重的是非常初级的信息化，或者你信息项目是没有集成这两块问题很少。我们当时有6000个帐号，其中有1500帐号都出现相关问题，这个也是比较好理解，上弦没有充分考虑到《萨班斯法案》内控相关要求体现在SAT项目当中。我们付出大量分析劳动，在权责分离，业界常见接触上我们通过分析有39对权限都是出现一个人身上。

    第三就是基准方案，我们同时做两件事情，基于我们开展SAT上线是咨询公司或者做外部审计、内部审计都是知名公司，没有一个公司是两个同时进行的，最终还能顺利通过404是非常困难。为了保证每项工作都有好的结果，第一SAT可以可靠上线，第二上线也完全符合404要求，所以我们公司管理层确定一个制定要有一个基本方案，对于系统配置，报表，数据维护等等方面，划定一个日期，在此之前SAT上线的项目，所有工作可以按照它的项目规划，业务需求去做，我们划定是2006年9月1日，所有的配置，控制要经过全面严格测试，确保这一点在这个时间所有SAT相关配置都是符合相关要求，之后所有相关工作变动必须经过404相关标准进行审核，确保是符合要求，这是我们做具体方案一个初衷，结果非常圆满完成了审核要求。

    下面我们讲一下通过实施这样一个GCC项目的效果首当其冲实现目标就是通过404审计，在美国上市公司，把风险做这样一个法律强制要求，相关工作不一定能够得到高层领导的这么大的支持，虽然我们要我们建立一个高效运行IT体系，如果只靠这个目标，而没有通过404可以说我们这个项目是完全失败的。

    下面是对于我们作为信息化工作非常关注的一点，就是非常好的效果，我们制定了一套非常好标准制度和流程，并且在各个公司推广，通过流程推广基本建立一套体系规范信息系统管理，因为COSO我在国外财政部网站看到了，他们要推迟到大陆应用的时间，但是我们作为一个国家主要大型企业，已经在2006年按照北京市要求，在2008年开展中国版《萨班斯法案》工作，已经出具符合中国四部委办法的基本规范，要求内部控制评估报告，在开展这项工作过程中我们感觉到及时，无论我们说的COSO还是美国的《萨班斯法案》等等，只要你有一套可靠内部控制体系，并不是太需要关注你通过是什么样的法案，去年我们通过中国的《萨班斯法案》，我们可以看到说我们没有做任何附加工作。

    第三制定了总部和分子公司信息部组织架构和岗位设置参考模型，还有一个我们基本方案讲到相关从另外一个层面验证我们使用ERP安全性，可靠性，相关部门可以接受IT部门的风险评估。通过资质建立我们有建立了一套可靠的流程和相关工作。

    404审计并不是一个一劳永逸的工作，是每年要进行的相关工作，从我自己分析看这两年工作还是要开展相关工作，我认为是大家需要注意的。第一是及时调整项目问题，从SOX要求不是对你所有企业所有业务进行评估有一个重要标准你销售收入高出5%以上，在中国高速发展阶段，企业主要业务变化每一年都比较大的变化，一定要提前关注并有预见性，在明年哪些企业、流程、业务可能会跳出SOX的范围。同时，根据上一年分析结果改进原来缺陷，按照以往的技术严格的执行。

    还要风险管理工作因为第一年通过SOX法案，比我们企业来说我们现在总部大概花费很多钱，如果每年搞运营形式，我们总部付出工作量，包括我们分公司下面工作量，把一定要将风险控制、内部控制工作常规化。

    最后我想跟大家分享一下，我们开展这项工作以后得到的经验或者是教训，希望大家要做或者即将要做这项工作的比较关注的事情，首先就是大家预示到开展相关工作的重要性，困难想对超出大多数人做这项工作的想象，一定要有足够资源保障，一要找好优秀外部力量帮助。第二点我觉得还需要关注项目进行准确的界定，什么流程，什么业务需要进行评估，它和你财务报表重要程度紧密相关的，如果你这个做不好，你做半年，10月、11月份测试的时候，突然告诉你现在的关联度没有达到，你从来没有关注流程，没有处理最后统计局发现有漏洞，这个时候你根本没有办法挽回，到了年底你才发现有错误，这个时候就是很危险。

    开展相关工作在有审计师一些工作也会发生一些变化，实际要跟外界及时沟通。信息系统是也许由信息部管，但是从控制关注角度讲，信息系统主要是业务部门使用，它的控制点主要在业务部门，如果业务部门不充分理解相关重要性、相关知识，那么信息部门根本无法做好这项工作。

    最后不得不提醒大家一点，如果大家使用大型ERP系统，全线管理和系统变更管理会经常出现很多问题，大家一定要有心理准备。另外刚才我要讲第一年你可以完成依靠顾问，第二年会请一些顾问，但是每一年都靠外部力量完成，最后一定要实现常规化，我们在2008年开了外部工作，全部工作全部由内部员工完成。