中国IT内审暗流涌动

天气再热也热不过热火朝天的中国证券市场。2007年，股票成为我国全民关注的焦点。股市火爆的背后，谁在冷静思考？

2007年5月25日，企业内部控制标准委员会第三次全体会议在北京友谊宾馆低调举行。会议对企业内部控制规范征求意见稿和若干项具体规范讨论稿进行了深入讨论。可见，作为现代企业内控的重要手段和考量目标之一，IT内审重新引起了企业的广泛关注。

本期专题，就IT内审的目的与现状、中国企业IT内审的特点和难点、以及如何形成中国IT内审规范，展开了深入的探讨和调查分析。

“中国萨班斯”进行时

证监会纪委书记、企业内部控制标准委员会副主席李小雪在企业内部控制标准委员会第三次全体会议上表示，建设企业内部控制标准体系是资本市场的一件大事――健全有效的内部控制可以提高上市公司财务报告的有效性；可以保障公司资产安全，减少舞弊事件发生，堵塞漏洞，有效提高风险防范能力，降低公司风险；可以提高公司经营效益及效率，提升上市公司质量。

我国对企业内部控制评价的关注始于上个世纪80年代末，但当时的评价大都流于形式。“银广夏”等上市公司财务舞弊事件、“中航油事件”等等因内部控制失效造成财产重大损失的案件，在一定程度上要归咎于企业内控机制的不健全。

此后，我国政府开始重视内控评价的规范化建设。审计署、财政部、证监会、银监会等组织均出台了关于内部控制评价方面的规范，而2006年则是关于上市公司企业内控规范讨论最为热闹的一年。

2006年6月5日，上海证券交易所出台了《上海证券交易所上市公司内部控制指引》，对上市公司内控制度和风险管理制度出台了重要规定，引起了业界的强烈反响。

在信息技术无处不在的今天，IT既是企业内控的一个有效手段，同时IT本身又充满了风险，成为内控的重要目标之一。因此， IT内审引起了广泛关注。科索路咨询公司还专门对此了《IT内审调研报告》。

2006年7月15日，财政部联合国资委、证监会、审计署、银监会、保监会发起成立了“企业内部控制标准委员会”，旨在“基本建立一套以防范风险和控制舞弊为中心、以控制标准和评价标准为主体，结构合理、内容完整、方法科学的内部控制标准体系，推动企业完善治理结构和内部约束机制”。委员会的成立被视为中国版“萨班斯法案”即将出台的前兆，中国内部审计协会会长王道成当时曾向媒体表示，3年之内中国就会有自己的“萨班斯法案”。

2006年9月28日，深圳证券交易所《上市公司内部控制指引》，规定深市主板上市公司要建立完备的内部控制制度。在2007年7月1日文件正式生效后，上市公司均需按要求披露内控制度制订和实施情况。

很多人都相信，具有强制效力的中国上市公司内控法规就要形成，甚至有很多企业或个人认为随着企业内控法规的形成，与IT内审相关的咨询或者软件将是一个很好的市场机会，并雄心壮志地投身到这一领域。

但是到了2007年，在股市热潮背后，关于企业内控和IT内审规范工作似乎处于停滞状态。有些曾经看好IT内审市场机会的公司开始后悔自己当初的决定。这不禁让人怀疑，难道牛市的今天企业内控就不那么重要了？IT内审的热潮从此告一段落？

审迫在眉睫

事实远非如此。

2007年3月，企业内部控制标准委员会公布了《企业内部控制规范――基本规范》和17项具体规范(征求意见稿)，并开始向有关单位和专家征求意见。

2007年5月25日，由企业内部控制标准委员会主席、财政部副部长王军亲自参加的企业内部控制标准委员会第三次全体会议在北京友谊宾馆低调举行，会议对企业内部控制规范征求意见稿和若干项具体规范讨论稿进行了深入讨论。

财政部还表示，将根据本次会议讨论的情况尽快修订企业内部控制规范征求意见稿和讨论稿，抓紧建立中国企业内部控制标准体系。所有这一切都证明，尽管没有声势浩大的活动进入人们的视野，但“中国的萨班斯法案”依旧在紧锣密鼓地酝酿中。

业内人士分析，尽管今天企业内部控制规范征求意见稿依旧在讨论中，但是一旦被确定，肯定会和萨班斯法案一样对上市企业具有强制性的约束。毫无疑问，尽管还有上市公司对IT内审没有足够重视，但IT内审是否规范必将成为上市公司存在的必要条件之一。

现代企业的经营越来越依赖于信息系统，除了传统意义上的经营风险、控制风险和财务风险，企业信息系统的安全性导致的信息风险日益增长。同时对大部分企业来说，信息技术已经融入到企业各项业务中。IT内审作为企业内部控制的一个重要手段和对象，已经得到政府相关机构、企业和咨询机构普遍认可。

目前的《企业内部控制具体规范(征求意见稿)》中，专门提出了计算机信息系统的征求意见稿，就总则，岗位分工与授权审批，信息系统开发、变更与维护控制，信息系统访问安全，硬件管理和会计电算化及其控制等六个方面提出了43条详细征求意见。

企业表现各不相同

“招聘资深内审员，要求具有5年以上跨国公司会计与财务方面工作经验，并有IT系统审计方面的工作经验”。最近，“IT内审员”的新鲜职位已经开始出现在各大招聘网站。

很多被访企业表示，他们已经或者正在考虑采用新的技术手段来辅助企业内部控制工作，比如说中信集团公司早已经在2005年就开始采用加拿大审计软件ACL、易通审计软件开展审计。

承接企业内控咨询业务的会计师事务所或咨询公司表示，他们所接触的IT内审业务在明显增加。

……

种种迹象表明，IT内审规范的推动并没有停滞不前，之所以让人感觉“停滞”，主要是因为以下几方面的原因：

首先，很多企业对于内部控制仍然采取比较被动的态度。对于那些早在国内上市的企业，由于上交所和深交所出台的《指引》对他们没有强制性的约束，没有对内控的紧迫感。而那些在海外上市或者新上市的企业，大都是为了满足上市条件或者相关法规而被迫进行内部控制和IT内审。在香港上市的某公司的CIO告诉记者，对他们来说，IT内审就是每隔一段时间按照会计师事务所提供的一张单子中对IT的要求落实就可以了。

其次，目前大部分企业的IT内审工作主要是交给第三方机构来办理的。很多在海外上市或者被外资公司控股，特别是在美国上市的企业，早已经通过第三方机构在IT审计方面走在了前面。第三方机构对这块业务驾轻就熟，更多的企业选择IT内审对他们来说只是业务量的增加，因而没有引起大范围的讨论。

第三，很多企业虽然已经意识到IT内审的重要性，但是苦于IT基础太差、缺乏相关经验而暂时搁置。亚新科工业技术有限公司是一家总部设在北京的外资企业。为了让企业健康稳定地发展，公司从1999年就已经建立了完整的内部制度，并且还专门成立了内控部。但是，公司内控部总监麻蔚冰告诉记者，目前他们还没有实现IT内审。他认同随着信息技术在企业广泛应用，IT内审是企业内部控制的必然趋势。亚新科从去年就开始关注这一趋势，但由于公司内部的IT建设还不够完善，再加上IT内审所牵涉的东西非常复杂，暂时也没有好的经验可以借鉴，所以目前尚处在探索中。

规范形成尚待时日

那么，适合中国的IT内审到底该怎么做？如何形成适合中国国情的IT内审？

很多企业都希望 《企业内部控制具体规范(征求意见稿)》能够给他们未来的IT内审提供有用的参考。

王军在企业内部控制标准委员会第三次全体作会议上也强调，内部控制标准体系建设要着力处理好借鉴国际和顺应国情的关系。目前，在尚未形成自己的规范并且没有更好的办法之前，业界已经认识到“西学中用”是最好的选择。

德勤咨询公司企业风险管理服务高级经理周梓滔告诉记者，目前的征求意见稿中不仅参照了萨班斯法案，还参照了很多地方的相关法规。

但是业内人士分析，毕竟中国企业有很强的特色，必须在参照这些经验的同时充分考虑中国企业自身的特色。

记者就IT内审规范这个问题拨通财务部会计司企业内部控制标准委员会某一负责人的电话时，得到回答是，征求意见稿中“计算机信息系统”部分还只是“征求意见稿”，希望有经验的咨询公司和专业人员能够积极参与，提供有用的建议。

在访谈了一些内控咨询专家、企业内控工作者后，记者认为以下几个方面是在建立IT内审规范过程中最不能忽视的：首先，企业对IT内审的重视不够；其次，企业的IT建设不够完善，建立像美国上市公司那样的IT内审难度较大；第三，企业IT内审部门的归属问题不明确：目前国内企业审计部门独立的就比较少，而IT内审既涉及审计又涉及IT，归属问题就更加不好确定；第四，IT内审的投入成本大，美国的大型公司仅在第一年建立内部控制系统的平均成本就高达430万美元，这对规模偏小的中国上市企业来说是不现实的……

由此可见，我国要建立完善的IT内审规范还需时日，但对于企业来讲，未雨绸缪却必不可少。否则具有法律约束力的规范一旦执行，临时抱佛脚几乎是不可行的――因为企业的IT建设本身就不是一蹴而就的事情。

链接:关于萨班斯法案

2002年7月25日，美国国会通过了《2002年萨班斯―奥克斯利法案》(也称《2002年公众

公司会计改革和投资者保护法案》，简称《萨班斯法案》)。该法案由美国总统布什在2002年7月30日签署成为美国正式法律。《萨班斯法案》不仅对《证券法》(1933)和《证券交易法》(1934)这两部证券监管的重要法律做了修改和补充，而且还对会计行业的监督、审计独立性、财务信息披露、公司责任、证券分析师行为、证券交易委员会的权利和责任等诸多方面做了新的规定。