|
浅谈合规管理合规管理,是企业对各项法规、行业规定以及资本市场对上市公司信息披露和内部控制要求等的遵从工作的管理。萨班斯法案掀开了在美上市公司完善企业合规管理的变革序幕。 一家美国本土上市公司,为了遵从萨班斯法案的要求投入了大量的人力、时间和财力,而结果却没有通过内控审计。对在美上市公司而言,萨班斯法案到底意味着什么?为什么会出现这样的情况呢? 2001年,在美国发生了安然事件等一系列财务丑闻,投资者对美国资本市场失去了信心,导致美国股市暴跌。为了恢复投资者的信心,美国最终于2002年7月30日,由布什正式签署并出台了萨班斯法案即《2002年萨班斯-奥克斯利法案》(Sarbanes-Oxley Act of 2002)。萨班斯法案对在美上市公司的内部控制提出了苛刻的要求,并强制要求所有上市公司遵从。然而,萨班斯法案并不那么可怕,关键看企业是否真正做到了有效的内部控制,而不是仅仅制定许多内部控制制度。而要做到这一点,不在于投入多少人力、财力,关键在于方法。要做到萨班斯法案遵从,就要做到对企业所处的宏观环境和整体风险的充分认识,更要结合所处行业的特点和企业自身特点切实做好内部控制。为了遵从萨班斯法案也就是达到合规的目标,企业需要一个从合规管理战略制定、合规管理组织建设到企业合规管理系统设计与实施的全面合规管理解决方案。 合规管理,是企业对各项法规、行业规定以及资本市场对上市公司信息披露和内部控制要求等的遵从工作的管理。萨班斯法案掀开了在美上市公司完善企业合规管理的变革序幕。由于萨班斯法案对在美上市公司的苛刻要求使得所有在美上市公司不得不开展了以萨班斯法案遵从为主的合规管理工作。 很多公司选择了信息技术提供商来帮助他们进行合规管理。因为,如果没有IT系统的支撑,很难对大量内控文档进行有效管理和及时更新,测试工作也全部需要手工完成,效率很低。众多上市公司,如西门子、AXA、ING等纷纷采用了一种先进的解决方案(即集成内控管理平台和测试平台的合规管理解决方案)来支持内控文档的管理和内控审计测试工作。在国内,位列世界500强的一家中国公司也率先采用了这种解决方案,取得了很好的效果。 以前,在没有IT系统支持的情况下,这家在美上市公司的合规管理也遇到了很多挑战。如,由于内控文档覆盖面广,分散且难于管理,文档的更新与维护相当复杂;测试记录工作中有很多重复的手工工作等。这些工作不仅耗费了相关人员的大量时间和精力,而且加大了总体合规成本。通过应用了集成内控管理平台和测试平台的合规管理信息系统,这家公司的内控管理和测试工作变得更加高效,合规成本大幅降低。 首先,内控部门将所有内控要素集成在内控管理平台,将流程、风险、控制、测试建立关联,将内控要素和财务科目、组织结构、应用系统建立关联,使得流程、风险、控制和测试之间的对应关系更直观、更清晰,也为测试工作打下了良好的基础。同时,还制定了通过内控管理平台进行内部控制手册的版本变更、集中维护和统一发布的机制,这样公司总部可以很好地监控下属公司内部控制手册的修改工作,保证了内控体系的设计、执行和测试所依据的内部控制手册版本的一致性及测试结果的准确性。 这家公司对合规工作十分重视,注重结合所处行业的特点和企业自身特点真正做到有效的内部控制。随着合规工作的推进,内控部门也认识到,要做到有效的内控管理,必须对内控管理的主要对象——流程进行有效的管理。但由于原来公司总部和下属各级公司间的流程架构不统一并且原有的流程描述还不够规范,使得风险的识别难度和工作量很大,也增加了测试工作的复杂度。这家公司重新统一了流程架构并建立了统一的流程规范,将内控文档管理和流程管理相结合,通过流程的统一规范增强了内控管理的效力。任何业务流程的变更或对合规相关问题的提出等都被集成在内控信息系统平台中,这样就确保了内控系统是一个动态更新的、及时反映企业业务变化的管理平台。 其次,在做好内控文档管理和流程管理之后,一项重要的工作就是内部控制测试,它是检查内控系统有效性和不断完善内控体系的重要一环。这家公司原来大量的测试组织、记录、报告工作都需要手工完成,非自动化的测试工作又造成了大量的重复工作甚至错漏现象的发生,内控部门一方面要忙于应对不断发现的控制缺陷,另一方面又要忙于纠正由于手工工作导致的错漏。公司将内控管理平台和测试平台集成在一起以后,相关测试数据能够从内控管理平台同步到测试平台,工作人员在测试平台就可以执行内控测试工作。数据同步减少了很多重复工作,极大地提高了测试工作的效率。 这种集成内控管理平台和测试平台的合规管理解决方案在文档管理、流程管理、信息共享、内控测试与报告等方面的优势能够很好地满足上市公司合规管理的需求。而且,这种方案是基于流程以风险管理为核心的,有很好的可扩展性,能够支持全面风险管理。集成各内控要素的信息系统可以满足包括国资委《中央企业全面风险管理指引》、上海证券交易所或深圳证券交易所《上市公司内部控制指引》、萨班斯法案、新巴塞尔协议等国内外多项合规要求。同时,这种基于流程的解决方案也能够支持企业ERP系统及其他IT应用系统,可以实现对企业IT应用系统流程的有效监控,保证蓝图与系统运行的一致性。与IT应用系统的集成可以让企业更好地强化内控管理。 企业合规管理不仅仅是为了满足外部监管机构的要求,更是企业完善公司治理,提高内部控制管理水平的重要手段。企业可以借助IT系统从深层次上真正完善内部控制体系,结合所处行业的特点和企业自身特点切实有效地提升公司的内部控制管理水平,真正做到持续有效的合规管理。
IDS Scheer 中国 高级咨询顾问 刘佰强 责编:张赛静 微信扫一扫实时了解行业动态 微信扫一扫分享本文给好友 |
|
|