王　薇　周　力

[摘 要]很多國內(nèi)上市公司的管理者發(fā)現(xiàn)，在執(zhí)行薩班斯法案后，公司管理更加有效，執(zhí)行效力明顯提高。原因在于這些企業(yè)在執(zhí)行薩班斯法案時(shí)，對原有的IT內(nèi)部控制架構(gòu)進(jìn)行了合理的改進(jìn)，其中最為關(guān)鍵的就是將原有的手工控制活動改為自動控制活動。本文主要討論自動控制活動相對手工控制活動的優(yōu)勢，提出將手工控制改進(jìn)為自動控制的步驟。

[關(guān)鍵詞]薩班斯法案；內(nèi)部控制；自動控制；手工控制

[中圖分類號]F270.7

[文獻(xiàn)標(biāo)識碼]A

[文章編號]1673-0194(2009)05-0063-04

1 介 紹

如何建立或者保持一個(gè)嚴(yán)格有效的IT內(nèi)部控制體系現(xiàn)已成為企業(yè)IT管理者面臨的最為緊迫的問題之一^[1]。自2002年薩班斯法案(Sarbanse-OxleyAct)頒布以及2004-2005年度該法案首次執(zhí)行以來，上市公司紛紛竭盡全力來建立或完善自己的IT內(nèi)控體系來滿足法案要求。在這個(gè)過程中，最為關(guān)鍵的部分在于IT安全政策和程序如何來支持企業(yè)內(nèi)部各個(gè)部門的業(yè)務(wù)流程。據(jù)估計(jì)，2005年用于執(zhí)行薩班斯法案的總成本高達(dá)60億美元^[1]，平均每個(gè)企業(yè)需要花費(fèi)780萬美元來通過該法案^[2]，可見薩班斯法案的執(zhí)行給上市公司帶來很高成本。

薩班斯法案對于上市公司是一場災(zāi)難還是一種幸運(yùn)^[3]?國外CFO服務(wù)研究所等研究機(jī)構(gòu)共同提出的一份關(guān)于180個(gè)企業(yè)的薩班斯項(xiàng)目的調(diào)查報(bào)告表明，許多國外上市公司通過控制機(jī)制優(yōu)化，業(yè)務(wù)流程改進(jìn)以及自動控制等方法糾正了原有的流程缺點(diǎn)或管理漏洞，在執(zhí)行法案后的兩三年內(nèi)，由控制機(jī)制改善帶來的可見的和不可見的利益完全超過了執(zhí)行薩班斯法案帶來的成本。其中2/3的回答者表示通過針對薩班斯法案的IT內(nèi)部控制制度的改進(jìn)，使他們可以更加細(xì)致清晰地了解公司內(nèi)部的業(yè)務(wù)流程并促進(jìn)了領(lǐng)導(dǎo)層與職員之間的溝通^[4]。

無論是完全采用新系統(tǒng)來改變流程，還是針對原有流程或信息系統(tǒng)進(jìn)行改進(jìn)優(yōu)化，自動控制無疑是上述改進(jìn)的關(guān)鍵所在。本文主要研究自動控制與手動控制的區(qū)別、自動控制為公司內(nèi)控體系帶來的優(yōu)勢以及建立自動控制的方法。希望本研究能夠促進(jìn)國內(nèi)上市公司的管理效率，改善公司內(nèi)部業(yè)務(wù)流程，使上市公司在執(zhí)行薩班斯法案后獲得持久效益，使薩班斯法案真正成為提高公司競爭力的有力武器。

2 手工控制帶來的問題

造成薩班斯法案以及相應(yīng)的內(nèi)部控制項(xiàng)目執(zhí)行成本如此之高的一個(gè)主要原因在于，許多公司仍然嚴(yán)重依靠手工控制來管理業(yè)務(wù)流程和數(shù)據(jù)(采用手工控制的控制活動占公司全部內(nèi)部控制活動的70%～80%^[5])。例如，國內(nèi)許多公司仍依靠手工控制來檢查應(yīng)用程序或數(shù)據(jù)庫中的日志文件。如果處于一種分布式的管理環(huán)境中，這就需要整理數(shù)目龐大的數(shù)據(jù)文件，而進(jìn)行這項(xiàng)整理工作的人員必須能夠發(fā)現(xiàn)其中的問題，并對檢查結(jié)果負(fù)責(zé)。根據(jù)薩班斯法案的要求，為了證明內(nèi)部控制的有效性，所有控制活動都必須有文檔記錄或系統(tǒng)日志來證明其有效性，所以上述數(shù)據(jù)檢查工作必須保有檢查過程和結(jié)果的記錄，而結(jié)果的正確性也由于有人為干預(yù)的出現(xiàn)存在著一定風(fēng)險(xiǎn)性(參與人員在檢查過程中發(fā)生瀆職行為等情況)。這樣，一個(gè)數(shù)據(jù)檢查控制就附帶了時(shí)間成本、人力資源成本和相應(yīng)的風(fēng)險(xiǎn)成本。

手工控制造成高昂成本的另一個(gè)原因是手工控制容易帶來很大的冗余問題^[6]。數(shù)據(jù)或者文件的關(guān)鍵程度是不一樣的，對于一個(gè)業(yè)務(wù)流程或者控制活動來說，往往一個(gè)關(guān)鍵數(shù)據(jù)或文件的控制就能起到主要作用。但是手工控制無法有效地將關(guān)鍵數(shù)據(jù)從眾多數(shù)據(jù)中迅速分離出來，從而造成了大量的重復(fù)勞動。

另外，薩班斯法案的執(zhí)行過程是一個(gè)循環(huán)的過程，并不是一個(gè)短期的項(xiàng)目活動，它需要公司每年進(jìn)行相同的事項(xiàng)來保證IT內(nèi)部控制的有效性。在第一年項(xiàng)目執(zhí)行過程中手工控制也許可以最低成本(相對于更改業(yè)務(wù)流程和控制制度，改進(jìn)原有信息系統(tǒng)，開發(fā)新系統(tǒng)所帶來的成本)來達(dá)到最后的審計(jì)要求，但是從長遠(yuǎn)角度來考慮，手工控制的高成本和效率低問題會給公司帶來深遠(yuǎn)的影響。

公司審計(jì)委員會和公司上級管理者紛紛要求公司的執(zhí)行官在提高薩班斯法案和內(nèi)控項(xiàng)目的效率的同時(shí)，降低其操作運(yùn)行成本^[7]。那么利用什么方法或技術(shù)能夠解決這個(gè)問題呢?自動控制是解決這個(gè)問題的一個(gè)關(guān)鍵性措施，根據(jù)大多數(shù)成功執(zhí)行薩班斯法案的上市公司這兩年的經(jīng)驗(yàn)，增加自動控制能夠有效地控制成本，提高效率。圖1表示了在自動控制和手工控制給公司帶來的成本關(guān)系。

3 自動控制

3.1 自動控制的優(yōu)勢

自動控制能為絕大多數(shù)的組織帶來巨大的利益。這些利益包含以下幾個(gè)方面：

(1)減少針對冗長乏味的手工控制的人員指導(dǎo)和管理問題；

(2)通過采用信息化技術(shù)和網(wǎng)絡(luò)技術(shù)建立的有效控制方式代替原有的、緩慢的、手工操作的、容易出錯(cuò)的測試手段，減少了年度評估的成本；

(3)避免由于人為的操作失誤，甚至是欺詐行為給內(nèi)部控制帶來的高風(fēng)險(xiǎn)；

(4)采用自動控制可以更快捷地檢測錯(cuò)誤，有效防止錯(cuò)誤再次發(fā)生，減少重復(fù)工作來提高操作的質(zhì)量；

(5)提高信息系統(tǒng)和商業(yè)流程的有機(jī)整合，通過將原有手工處理事務(wù)轉(zhuǎn)化為由信息系統(tǒng)進(jìn)行控制，理順業(yè)務(wù)流程，簡化操作復(fù)雜度，提高流程處理效率；

(6)信息安全性提高，具有更高的可信度；

(7)增強(qiáng)外部審計(jì)師的信心。

要對現(xiàn)有內(nèi)部控制體系進(jìn)行改革，將手工控制活動改為自動控制活動面臨著許多阻力，如內(nèi)部控制項(xiàng)目團(tuán)隊(duì)的人員反感，自動控制變革帶來的成本等方面。但是，除了外部審計(jì)師要求上市公司采用更多的自動控制外，長期成本的節(jié)約所帶來的利益也是不容忽視的。

手工控制活動和自動控制活動互有利弊。在某些情況下，特別是面對并不復(fù)雜的流程或者規(guī)模較小的公司時(shí)，手工控制活動更容易進(jìn)行文檔記錄和證據(jù)收集。然而，在面對流程復(fù)雜或規(guī)模龐大的公司時(shí)，通過手工控制活動來進(jìn)行流程的文檔管理和證據(jù)收集將花費(fèi)成倍的勞動力和時(shí)間。從測試角度來看，無論任何規(guī)模的公司，手工控制活動需要周期性地頻繁進(jìn)行測試活動來證明這個(gè)控制的有效性和準(zhǔn)確性，而自動控制活動也許在相當(dāng)長的時(shí)間內(nèi)只需要進(jìn)行一次測試(除非發(fā)生流程變更、信息系統(tǒng)升級改版、新系統(tǒng)上線等情況，一般不進(jìn)行頻繁的測試活動)。再者，在證明控制活動有效的過程中，在樣本數(shù)量的確定方面，手工控制活動也比自動控制活動需要更多的樣本數(shù)。頻繁的測試和大樣本的收集又從另一個(gè)方面增加了公司的成本負(fù)擔(dān)。舉例來說，一個(gè)公司在執(zhí)行薩班斯法案的過程中需要對500個(gè)控制活動進(jìn)行設(shè)計(jì)和測試，為了決定是否采用自動控制，它對手工控制和自動控制進(jìn)行對比分析，結(jié)果見表1^[8]。

通過對比可以看出手工控制和自動控制的優(yōu)勢與劣勢。如果一個(gè)穩(wěn)定的內(nèi)部控制體系可以維持5年不發(fā)生重大變化，那么在這個(gè)例子中，該公司在第一年執(zhí)行項(xiàng)目時(shí)采用了自動控制，那么它將節(jié)省1 250個(gè)小時(shí)，而在第二年將節(jié)省2 250小時(shí)(從第二年開始在執(zhí)行項(xiàng)目的過程中不必對各個(gè)控制點(diǎn)進(jìn)行文檔記錄，所以整理文檔的時(shí)間可以忽略不計(jì))，5年內(nèi)一共可以節(jié)約10 250小時(shí)的時(shí)間。

所以，無論從長遠(yuǎn)的成本角度考慮，還是整體工作量和工作時(shí)間的角度設(shè)想，自動控制無疑給上市公司帶來了難以估計(jì)的利益。

3.2 將手工控制轉(zhuǎn)為自動控制的過程

將現(xiàn)有內(nèi)部控制體系中的手工控制部分轉(zhuǎn)化為自動控制的過程是相當(dāng)復(fù)雜和消耗時(shí)間的，并不是所有的手工控制都可以并需要轉(zhuǎn)換為自動控制。

第一步，認(rèn)識自動控制具體的類型和意義。根據(jù)薩班斯法案要求，自動控制分為以下兩種類型：

(1)自動化控制，指由信息系統(tǒng)或計(jì)算機(jī)自動進(jìn)行操作的活動。比如，對數(shù)據(jù)輸入合法性和準(zhǔn)確性的檢測，操作人員權(quán)限設(shè)置等；

(2)需要IT支撐的手工控制(手工/自動控制)，指在原有手工操作的基礎(chǔ)上需要計(jì)算機(jī)或者信息系統(tǒng)進(jìn)行支持的業(yè)務(wù)流程。

第二步，與公司上層管理者進(jìn)行有效溝通交流，得到有力的支持。

內(nèi)部控制體系的改進(jìn)是一個(gè)龐大的項(xiàng)目，它不但需要高額的經(jīng)費(fèi)對其改進(jìn)過程進(jìn)行支撐，還需要企業(yè)內(nèi)各個(gè)部門所有職員的理解和配合。因?yàn)樵谡麄€(gè)改進(jìn)和變革過程中，往往會對公司制度和職員等造成一定程度的影響，其中包括對現(xiàn)有管理制度的調(diào)整，業(yè)務(wù)處理流程的變化，信息系統(tǒng)的改進(jìn)或整合，職員工作的調(diào)整，甚至是放棄原有業(yè)務(wù)流程或信息系統(tǒng)，建立新的管理制度和業(yè)務(wù)流程或信息系統(tǒng)。這些通常會引發(fā)管理層和職員的強(qiáng)烈抵觸情緒，使整個(gè)改進(jìn)過程面對重重阻力。

因此，在開始進(jìn)行改進(jìn)之前，必須與公司上層管理者進(jìn)行有效的溝通，闡述改進(jìn)的必要性，得到上層管理者的有力支持。這樣，在改進(jìn)過程中，如果遇到上述情況，也可以及時(shí)處理，保證改進(jìn)過程的連續(xù)性，減少項(xiàng)目風(fēng)險(xiǎn)。

第三步，選擇需要轉(zhuǎn)換的控制流程或控制點(diǎn)。

這個(gè)步驟是整個(gè)改進(jìn)過程中任務(wù)最為繁重，處理最為復(fù)雜的過程。具備什么條件的手工控制活動需要轉(zhuǎn)化為自動控制活動是一個(gè)令眾多內(nèi)控項(xiàng)目組成員頭痛的問題。一些研究表明^[9]，對于具備以下情況的控制點(diǎn)，建議采用自動控制：

(1)業(yè)務(wù)流程的運(yùn)作與多個(gè)信息系統(tǒng)有關(guān)，可以通過信息系統(tǒng)集成復(fù)雜的處理過程(如ERP系統(tǒng))；

(2)運(yùn)行和測試成本明顯超出一般水平的控制點(diǎn)；

(3)與年度財(cái)務(wù)報(bào)告密切相關(guān)的控制點(diǎn)，特別是那些直接影響最終財(cái)務(wù)報(bào)告的控制活動；

(4)外部審計(jì)師比較關(guān)注的要素，比如職權(quán)的分離問題；

(5)現(xiàn)階段經(jīng)常發(fā)生問題的已有的流程缺陷，以及通過經(jīng)驗(yàn)分析有可能發(fā)生問題的操作流程；

(6)不需要過多人工干預(yù)的處理流程。

上述只是部分需要考慮的情況，往往在實(shí)際操作過程中會遇到許多不可預(yù)期的困難(比如項(xiàng)目預(yù)算的限制，流程涉及的部門繁多，信息系統(tǒng)改進(jìn)需要一個(gè)比較長的時(shí)間，這些問題往往造成無法在一個(gè)審計(jì)年度中將所有需要轉(zhuǎn)換的控制點(diǎn)進(jìn)行改進(jìn))，此時(shí)需要準(zhǔn)確發(fā)現(xiàn)所有控制活動中的關(guān)鍵控制點(diǎn)。本文推薦采用“矩陣映射”(Matrix Mapping)的方法^[9]來選擇需要轉(zhuǎn)換的手工控制活動。確定了需要轉(zhuǎn)換的控制流程之后，接著就需要對這些控制流程進(jìn)行重新設(shè)計(jì)，確定控制力度、控制方式和測試手段、測試頻率等問題。

第四步，流程變更以及信息系統(tǒng)改進(jìn)。

在選取了需要轉(zhuǎn)換的控制活動和業(yè)務(wù)流程并確定了改進(jìn)方案后，就可以對手工控制活動進(jìn)行，改進(jìn)使其成為自動化控制或者手工/自動控制形式。從變更的復(fù)雜程度來說，可以分為以下3種方式。

(1)內(nèi)部控制體系的重建。這種方式主要針對的是第一年執(zhí)行薩班斯法案的公司。由于原有內(nèi)部控制體系經(jīng)過分析后，完全無法達(dá)到或者大部分控制達(dá)不到薩班斯法案的要求，因此需要大范圍更改原有內(nèi)控體系，甚至重建整個(gè)內(nèi)控架構(gòu)。在更改或重建內(nèi)控架構(gòu)時(shí)，可以參照COSO等研究機(jī)構(gòu)所提出的新的內(nèi)控架構(gòu)進(jìn)行設(shè)計(jì)。所以這種方式最為徹底，效果也非常明顯，但甚成本負(fù)擔(dān)也令許多公司難以承受(這也是許多上市公司選擇退市的原因)。

(2)開發(fā)新的信息系統(tǒng)或原有系統(tǒng)整合。適用的公司其內(nèi)部控制體系比較完善，但部分業(yè)務(wù)流程的沒有信息系統(tǒng)支撐或涉及多個(gè)信息系統(tǒng)，且缺少交互。開發(fā)一個(gè)新的信息系統(tǒng)來實(shí)現(xiàn)這些流程，或者將原有的幾個(gè)信息系統(tǒng)進(jìn)行整合，可以達(dá)到自動控制的目的。這種方式適用于簡單的業(yè)務(wù)流程或者容易被替代的信息系統(tǒng)，需要公司具備一定的技術(shù)力量和開發(fā)時(shí)間。

(3)在原有信息系統(tǒng)上增加控制功能?，F(xiàn)實(shí)總是錯(cuò)綜復(fù)雜的，對于那些已經(jīng)具備完善內(nèi)控體系，習(xí)慣于原有流程，并且使用ERP、SCM等綜合信息系統(tǒng)多年的上市公司來說，如果發(fā)現(xiàn)原有控制活動存在漏洞，而現(xiàn)有信息系統(tǒng)已無法滿足自動控制的要求，但要重新建立內(nèi)控體系或開發(fā)新系統(tǒng)，是不可能實(shí)現(xiàn)的，此時(shí)公司可以選擇在執(zhí)行項(xiàng)目的第一年通過修改現(xiàn)有的信息系統(tǒng)的功能模塊，將關(guān)鍵控制點(diǎn)的手工控制改進(jìn)為手工/自動控制，來滿足外部控制的要求，然后在未來的時(shí)間內(nèi)，逐步完善現(xiàn)有系統(tǒng)。

第五步，改進(jìn)后的控制活動的有效性評估和未來的監(jiān)控措施。

改進(jìn)的控制活動，需要通過嚴(yán)格的評估制度進(jìn)行有效性測試，來證明這些控制活動達(dá)到了薩班斯法案的要求。其實(shí)這個(gè)步驟并不是最后一個(gè)步驟，它必須并行于第三、第四步，做到實(shí)時(shí)監(jiān)控和評價(jià)，來保證改進(jìn)過程的準(zhǔn)確進(jìn)行。

4 總 結(jié)

隨著薩班斯法案的執(zhí)行，越來越多的國內(nèi)上市公司將會面對原有IT內(nèi)部控制體系改革的考驗(yàn)。采用什么樣的方式通過薩班斯法案的審計(jì)，會給公司帶來不同的影響。要想從這個(gè)法案的執(zhí)行中獲得效益，而不是被這個(gè)法案拖累，則需要對公司內(nèi)部的控制活動和信息系統(tǒng)進(jìn)行深層次的分析和改進(jìn)。無論是采用新的信息技術(shù)或信息系統(tǒng)來支撐執(zhí)行薩班斯項(xiàng)目，還是在原有信息系統(tǒng)和管理制度上進(jìn)行缺陷改進(jìn)，自動控制都必須被所有人重視。它帶來的長期效益和有效的管理制度，簡單的業(yè)務(wù)處理方式都將使薩班斯法案和內(nèi)部控制成為公司獲得長期競爭力和效益的有效手段。

主要參考文獻(xiàn)

[1]S J Hussain，M S Siddiqui.Quantified Model of COBIT for Corporate IT Governance[C].The First International Conference on Information and Communication Technologies，2005：158-163.

[2]R Agrawal，C Johnson，J Kiernan，et al.Taming Compliance with Sarbanes-Oxley Internal Controls Using Database Technology[C].Proceedings of the 22nd International Conference on Data Engineering，2006.

[3]Richard Power and Dario Forte.Sarbanes-Oxley： Maybe a Blessing，Maybe a Curse[J].Computer Fraud & Security，2005(9)：4-7.

[4]S Sahibudin，M Sharifi，M Ayat.Combining ITIL，COBIT and ISO/IEC 27002 in Order to Design a Comprehensive IT Framework in Organizations[C].Second Asia International Conference on Modeling & Simulation，2008：749-753.

[5]Ivy Xiying Zhang.Economic Consequences of the Sarbanes–Oxley Act of 2002[J].Journal of Accounting and Economics，2007，44(1/2)：74-115.

[6]Ellen Engel，Rachel M Hayes，Xue Wang.The Sarbanes–Oxley Act and FirmsGoing-private Decisions[J].Journal of Accounting and Economics，2007，44(1/2)：116-145.

[7]Christian Leuz.Was the Sarbanes–Oxley Act of 2002 Really This Costly? A Discussion of Evidence from Event Returns and Going-private Decisions[J].Journal of Accounting and Economics，2007，44(1/2)：146-165.

[8]Lawrence A Gordon，Martin P Loeb，William Lucyshyn，et al.The Impact of the Sarbanes-Oxley Act on the Corporate Disclosures of Information Security Activities[J].Journal of Accounting and Public Policy，2006，25(5)：503-530.

[9]K Fink，K Ploder.Decision Support Framework for the Implementation of IT-Governance[C].Proceedings of the 41st Annual Hawaii International Conference on System Sciences，2008.