张 琦 那 罡

《企业内部控制基本规范》虽然延迟执行,但到2010年年底,执行企业要出具内控自我评价报告,并不充裕的时间或许会大量激发国内安全审计的市场需求。

2009年7月1日,在《深圳证券交易所创业板股票上市规则》正式实施的这一天,原定同日施行的《企业内部控制基本规范》(以下简称《内控规范》)却被悄然推迟至2010年1月1日,而许多企业到目前为止,却并不知道这个信息。

根据官方的说法,延期实施主要是因为还有大量的准备工作要做,一些专业人士则指出,《内控规范》出台多少有些生不逢时,对于身处全球金融危机中的企业来说,这样一部加强监管的法案给他们带来的是太多的“麻烦”。不过总体来看,如果针对企业的IT系统建设而言,这却是一次“以退为进”的机会。

统一口径:“准备不足”

被称为中国版《萨班斯法案》的《内控规范》在当初确定将被实施的时候,业界普遍认为这将是巩固企业防范风险舞弊的“防火墙”,甚至是促进我国资本市场健康稳定发展的“安全网”。可见业界对它的期待有多么高,对于国内企业、尤其是大企业的公司治理、风险控制、IT内控,包括信息系统安全审计都将起到很大的推进作用。

据笔者了解,目前的《内控规范》许多官方的配套文件还没完成,相对指导细节和可借鉴的对象很少,而且大部分企业也都没有准备好,这应该是官方对于延迟根本原因的统一解释。这种解释,也不是不无道理,作为《内控规范》制定的管理层,如果强加实施不但会在监督时缺乏统一标准,而且会影响大批企业的业务流程,如急于推行只会流于形式。

某海外上市公司的财务总监在听到延迟的消息后,表示:“准备好和没有准备好要分对象,作为海外上市的企业,早在2008年6月28日(《内控规范》发布)前我们就非常积极地准备了,由于要在全球范围内设立我们的办事机构,而一些发达国家的法规早就实施了,必须按照相应的流程去进行管理,其对应的成本早就投入了。”

与早期境外上市的企业形成了鲜明对比,对于国内大部分中小企业而言,其内部控制程序需重新设计,财务内控和业务流程相配合,改动非常大,在对应产品投入和部署上都将花费大量人力和财力。

有些公司的财务主管表示,在金融危机已经触及到我们的时候,公司甚至都没有把这项预算做到今年内,此时自保才是最重要的,否则为企业经营带来负面影响。

IT安全不健全直接影响实施

众所周知,《萨班斯法案》因为过于严格,近几年美国SEC(美国证券交易委员会)也一直在研究如何调整该法案,以适当减轻企业的负担,但该法案的威慑力对创造一个健全的资本市场也起到了积极的作用。

在现代企业所有权与经营权分离的背景下,为了防范并揭露错误与弊端,逐步形成了企业内部控制制度,范围涉及公司治理、内部控制、财务报告、管理流程、信息系统、法律责任等各个方面。不少企业的CFO和CIO认为,对于身处全球金融危机中的中国企业来说,在压缩成本的时期,IT系统作为数据保护和法规遵从的支撑系统,如果强制实施《内控规范》,投入比例显然过大。

公司的内控管理必须切实做到保护财务数据、维护系统安全、保护客户数据免遭盗窃与破坏,以提高公司披露的准确性和可靠性,但很多公司的安全架构很不完善。

国内一家房地产公司的CIO表示:“由于需要进行流程重组或构建,并运用新的技术手段和工具构建新的系统,实现管理流程的透明度,以确保企业在包括财务管理的战略管理过程中,增强内部控制的同时还要保证数据沟通环节的安全。其中很重要的一个部分是强制、严密的审计管理和对文档的规范性管理,公司不但要对现在的ERP、身份认证系统进行升级,新购置的产品也要涉及数据防泄露、数据归档等多个方面,而这些产品的价格确实不菲。

RSA全球产品管理与策略副总裁Sam Curry指出,根据国外的经验,企业有大量的法规和政策需要遵从,例如支付卡行业数据安全标准(PCI DSS)、内部政策、合作伙伴政策、数据隐私法规、巴塞尔II规则等。传统的方法是,逐个满足这些法规的要求。但是法规层出不穷,企业会疲于应对,而且成本高昂。根据Gartner的估计,如果企业单个地解决IT合规的问题,由于重复劳动带来的开销将超过150%。

这位CIO的言论具有普遍性,实现内控,企业在组织与制度上可能会积极配合,但长期以来的IT系统安全问题却无法保证制度的实施。例如,企业若实行全面预算管理和成本实时监控,必须有功能强大的计算机网络系统支持,这样就可以很好地从“人控”转为“机控”,实现网络连接、信息传输、实时查询和过程控制,保证预算的编报、审批、执行、控制都能通过网络系统实现。

信息安全审计大多为空白

内控不等于信息安全控制,更不等于信息安全审计,但它们之间存在着传导关系。信息审计通过对关键控制点的符合性测试来判断IT内控的目标及其控制措施是否有效,这就是我们所说的“合规”。

国内企业的安全审计建设与审计产品都处在起步期,在“合规”产品市场中,大多都是“定制性”的项目,为了满足某些有特点或者超前需求的客户,如电信、金融行业中的垄断企业,而其他行业中有些企业甚至对审计并不了解。

在问及一位笔记本配件制造厂商的IT主管时,他只能回答在服务器上启用了审计日志,而对于其他信息传输的环节,想不出来还有什么需要审计的东西。并且他表示如果没有什么特殊的法规限制,加入审计模块纯粹是给自己找麻烦。

Sam Curry的建议是,在底层实施防数据泄漏,然后对敏感数据加密,对密钥进行统一管理,再往上分别进行访问控制、身份认证、监控/报告/审计。这一套框架适用于所有的法规。接受检查时,根据不同法规提供相应的报告就可以了。这样大大减少重复劳动,可以快速地满足新法规的要求,而且降低合规成本。

按照Sam Curry的思路,可以用一套通用的框架来解决所有的合规问题,从而简化合规,降低成本,可以用五个核心模块来最终实现企业IT合规,它们分别是:信息盘点与风险评估、政策与分类、发现、执行控制以及监控、管理和改进,如图所示。

激发审计市场需求

很多人担心,由于公司信息数据已经100%电子化,因此就需要配套的IT系统予以落实,但国内的一些企业中信息化建设水平和信息安全管理水平并不像有些报道中的那么高,达到“合规”要求的系统很少。

任何一个标准的出台,实际上是出于不同的角度提出的控制体系,基于这些控制体系可以有效地控制企业可能遭受的风险。内部环境在企业IT领域主要包括IT治理架构、IT组织与职责、IT决策机制、IT合规与IT审计等。但不论是IT风险评估还是IT控制措施,企业都必须针对每个风险点建立控制措施,逐步从技术和管理两方面落实具体措施,并建立体系化运作与审核办法。

《内控规范》虽然延迟,但到2010年年底,执行企业要出具内控自我评价报告,并不充裕的时间或许会大量激发国内安全审计市场的需求。这包括审计方法的应用、审计成本的节约和审计风险的控制,同时也包括信息安全审计产品。作为审计的一个过程,审计人员会询问关键职员,实施漏洞评估,给现有的安全政策和控制造册,检查IT资产。

很多情况下,审计很大程度上依赖于技术工具产品。在审计环节上的大量资金投入会造成审计成本的增加,这也包括昂贵的咨询费,因此,只遵从《内控规范》并且不是在海外上市的企业,在购买产品上也应偏重于请国内的机构来帮助他们做这件事。