【赛迪网讯】7月15日,萨班斯法案在中国正式生效。按照萨班斯法案的要求,中国在美国上市的44家公司均应该已经建立起完善有效的内部控制体制。由于我国实行的是自然会计年度,所以对内部控制有效性评估的证明报告将与年度审计报告同时发表。因此,从某种意义上讲,中国的企业相应地又多了接近半年的时间完善其内部控制体制。
冲刺:力求执行有效
IT治理研究中心专家孟秀转则指出,目前运营商针对萨班斯法案而建立的内部控制的政策设计已经完成,剩余的6个月的时间内应该是正在积累内控执行有效的证据。因为对内控的评价不仅包括内控政策设计有效,也包括相应的执行有效,而执行有效的检查方式就是至少三个月的执行有效证明(包括文档,形成执行轨迹等等)。同时,通过测试,可以根据COSO框架评价设计的有效性,进行查缺补漏。
另一方面,为达到企业整体口径一致目的而进行的运营商人员培训也应该结束。她认为,到目前为止,人员的大量培训也基本上完成,剩余的时间主要是协同外部审计人员做关键程序的穿行测试,创造一个制度良好的环境证据。
上述运营商的财务人员也证明了这一点,目前外审已经入驻现场,在外审进行开始测评的同时,内审仍在执行其几轮的测试整改工作。所以从这个意义上而言,剩余的几个月时间可以说是运营商的萨班斯法案执行冲刺期。
除此之外,运营商应借助剩余的几个月做一些相应的测试、模拟实施,进行自我审查。这既是内部控制体系的一部分,属于监控的性质;又是应对外部审查的一个有效方式。通过自我审查,运营商可以借机查缺补漏,避免外审进驻时出现突发的事件。
但是,赛迪顾问电信咨询总监绎明宇则指出,这多出的几个月时间,对各大运营商的作用是有限的,最直接的仅仅是减少了相应的时间压力。
从IT治理的角度,孟秀转认为,在剩下不多的时间内,运营商应该梳理其IT治理系统,关注IT治理系统与其他系统之间的整合,使得IT治理系统真正融合到运营商具体的内部控制体系之中。
现状:测试有效的设计
某运营商的内部财务人员指出,目前,运营商的内部控制设计和建设工作已经基本结束,而包括外审和内审在内的内部控制测试工作还正在进行。
此前,各大运营商都已经针对萨班斯法案进行了很大投入,各个运营商都在积极调整内控系统方案。
从萨班斯法案项目小组2004年下半年进驻各大运营商开始,在将近两年的时间内,萨班斯项目小组分步骤建立和完善了各运营商的内部控制体系。
第一步,根据运营商的业务品种、业务状况建立运营商的业务流程,同时设定相关的子流程,根据子流程设定符合萨班斯法案的内部控制体系目标,同时将内控流程用文档描述出来,以证明控制了风险。
一位参与某运营商内部控制项目小组的咨询人士指出,这一过程非常重要。首先因为,目标的设定将关系到最终内控制度的体系;其次,因为进行了文档的描述,企业的执行总监和财务总监在年底签署内控有效报告的时候才有据可依。
1
2
下一页>>
