如今全球各主要资本市场均要求上市公司加强内部控制体系建设,同时要求披露外部审计上市公司的内控情况并进行评估已成为一种世界潮流;但由此也带来了高昂成本的付出,根据AMR Research①的调查,85%的在美国上市的公司为符合SOX(即美国的《萨班斯—奥克斯利法案》,简称SOX)的要求计划改造其IT系统,其中财富1 000强公司会支出25亿美元用于与SOX相关的工作上。SOX带来的高昂的公司治理成本,甚至导致了创新科技(Creative Technology)这样一家在纳斯达克(Nasdaq)上市11年的全球最大的声卡制造商,在2003年退出了纳斯达克②。那么,中国的上市公司是否能够用合理的成本达到市场和政府对企业内部控制的监管要求?显然是需要研究的问题。 通过信息化工具的高效率来抵御管理成本的上升,这是常见的一种解决思路。目前实施内控体系建设的企业急需有一种信息化工具,能够帮助企业较轻松地建立和维护内控手册、辅助企业高质量地实施内控评估、进行缺陷报告等功能。国外的一些大型软件商虽迅速提供有针对SOX的软件包,不过国内上市公司适用的法律规范和实际情况与在美国等上市的企业不尽相同(当然也有两地同时上市的公司),而国内目前专注于内控方面的软件企业并不多见。国内企业可否以不高的代价较快地获得一种适合国内企业运用的内控工作信息化工具,来帮助企业内控部门从成堆的表格、如山的文档中解脱出来呢?下面笔者抛砖引玉地提出自己的一点思路,希望对上市企业、软件开发商或者监管部门在实际工作中实现内控工作信息化有所帮助。 一、内控工作的内容和现状 目前内控工作所需要完成的工作内容大类上分有以下两项:第一项是内控手册的建立和维护。企业通过访谈调查、问题整改、制度修订等一系列工作之后编制完成内控手册。内控手册包括各业务流程的风险描述、控制目标、控制活动描述、相关制度、相关文档等要素,并根据日后实际工作情况进行手册维护。第二项是内控评估和报告。(1)依赖内控手册,企业设计出评估测试工作底稿,并组织内控评估测试,发现控制风险和控制缺陷。(2)整理评估结果,报告识别出来的控制风险,提出对降低控制风险的解决方案,并根据需要更正实际执行或修订制度或修订内控手册。 一些企业内控手册的编制、维护大都使用的是Word等文字处理软件,而内控评估程序和工作底稿的编制,普遍使用的是以Excel等电子表格软件,这些桌面办公软件虽然单独使用非常方便,但在作为企业内控信息化工具上仍有一些不足,造成工作效率难以提高,其问题列举如下:(1)文字处理软件编写的内控手册中的各种内部控制要素仅仅是文本,评估测试如果需要自动调用某个“元素”(比如某个控制活动)就比较难以做到;内控手册初步建立时,需要多个部门共同编写、频繁修订;或手册维护时,对于重复出现的内容需要修订或删除,这些工作文字处理软件可以完成但还可以寻求一种更为严谨的方式完成,比如数据库。(2)电子表格不适于呈现内容量极大的文件,呈现为超长超宽且页面繁多的表格,对使用者而言非常不“友好”,增添了查询、填写这些表格的困难。(3)受制于电子表格的数据存储方式,实现电子表格输入、存盘校验时会顾虑到是否会影响整个工作簿的保存,实际工作中仍然要依靠内控评估人员的人工检查来保证工作底稿填写的质量。人工检查工作底稿不仅费时、费力、容易疏漏,而且属于一种“事后控制”了。(4)单机版本电子表格没有“工作流”的概念,需要把表格根据工作分配依靠人工来进行分拆,再通过电子邮件从测试人到复核人再到汇总人之间进行传递,当参与内控评估的子公司层次较多、部门较多、人员较多,且在审核或汇总时发现问题又需要退回更改时,文件流转就显得较为纷乱,很难保证工作底稿数据的及时更新,最后工作底稿还需要手工合并汇总成缺陷汇总表,这也需要不少的工作量。(5)随着参与评估的单位、部门、工作人员的数量越多,出现不同版本的电子表格不兼容问题的可能性也越大。(6)测试文件的附件需要文件编号并予以标注等工作,由于附件数量巨大(往往几百甚至上千页),人工处理容易出错且耗时颇大,存储查阅也非常麻烦。 在没有特别的信息工具的情况下,内控评估前的培训不得不一再重复于表单填写、附件编号等方面的培训内容,使得内控评估相关的培训工作投入较大,实际操作比较费时费力,工作结果受人员变动的影响较大。 二、基于内控系统的软件系统 内控工作的信息化工具我们假设称其为内控系统,设想该系统包括如下功能:(1)手册要素的创建(维护)、删除、查询(显示);(2)评估测试程序的创建(维护);(3)各种评估测试表格的填写,表格附件的上传;(4)评估测试报告(缺陷汇总)的生成。 根据上述设计,内控系统可以分为“内控手册”和“内控评估”两大模块。 B/S模式(浏览器/服务器模式)的自动化表单软件系统(常见于企业OA系统中),可以通过表单图像设计模块,让用户基本不用编程就能通过简单易用的界面,迅速设计出规范统一、便于计算机处理的网页表单(如图1)。而配合上内置的工作流软件,设计出来的表单可以根据规定的流程经由各相关人员填写或审核。表单上的数据将存入后台的数据库系统,连接上报表系统后,数据库系统里的数据就能被分析生成报表和图表。由于基于自动化表单系统的开发较为快速,开发成本也较低。加上能很好地利用企业原有的OA系统平台,系统软硬件平台不需要重复投资。所以自动化表单系统作为内控系统的开发平台很合适。
图1 图形化设计表单 基于自动化表单系统开发的内控系统相应于前面谈到的电子表格有如下优点: 1.系统的发布、运行、维护都集中于一台网络服务器,避免了软件发布到个人电脑本地安装时出现不兼容的情况,减少了将来分散运行、维护的麻烦(如图2)。
图2 网页表单界面 2.建立数据库作为后台,用于数据存储,提供高效率的数据存储、查询服务。而在前台手册的建立、维护是按照数据库格式来实现的,很好地解决了数据冗余的情况(例如相同的控制活动被不同的控制目标行所引用,更新时容易忽略这类问题);表单输入界面通过严格的校验机制,控制表单填写的质量。 3.依靠工作流来解决大量表单分配、递交审核和汇总的问题。 4.所有表单按树状目录管理,便于查看、填写(如图3)。
