法规遵从，要想针对上市法规、行业法规、国外法规、行业标准等每一个法规都重新做一套体系是不可能的，企业惟有练好内功，才能以不变应万变。

　　就企业内控话题，记者先后采访了先声药业、恒瑞医药、广深铁路股份有限公司三家企业，其中广深铁路在美国纽约、中国香港和上海三地上市，先声药业在美国纽交所上市，恒瑞医药在国内上市。三家公司基本涵盖了三种类型的上市企业。

　　因为在美国上市，广深铁路和先声药业都有萨班斯法案的遵循经历，也不必针对中国的《企业内部控制基本规范》另起炉灶。这些企业在准备上市过程中，为法规遵从都经历了痛苦的过程。他们的经验和教训，对那些计划实施内控的企业，相信有很多启示。

　　从哪里开始

　　“从哪里开始，这是企业最紧迫要思考的问题。”慧点科技副总裁韩国权表示。

　　采访对象不约而同地表示，与关注财务报告真实性的萨班斯法案相比，中国的《基本规范》范围更广、力度更大，它不仅关注财务报告，更关注企业内部控制全过程的有效性，实施难度也更大。

　　根据《基本规范》，企业内部控制的目标是: “合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。”同时，规范明确了企业建立与实施有效的内部控制，应当包括内部环境、风险评估、控制活动、信息与沟通、内部监督等五大要素。

　　面对这样一个框架性、宏观的《基本规范》，很多企业都不清楚到底应该从何入手。

　　不久前，韩国权率领团队帮一个企业梳理了大约几百个流程，这些具体的业务流程都有公司的管理制度进行约束，但是，有制度无执行却是这家企业乃至中国很多企业的现状。

　　比如，这家企业大约50%～60%的管理要求都没有落实在业务流程里。以合同管理为例，业务部门签订合同，法律部门审批合同，财务部门从财务角度审视，还有监控合同执行情况。但是，财务部并不了解供应商的资质与付款能力，法律部门也不了解最低付款比例是否会带来财务风险。

　　“从单独的部门看，每个部门的业务执行都没有问题，但对公司来说，合同管理一定要有完整的管理控制过程，变分段管理为交叉式的管理。”韩国权表示。这样，企业要把内控当成实现高端管理的手段，而不是单纯的被动遵从，企业的积极性会更高，内控工作的现实意义也更明显。

　　从公司战略做起，形成一个整体的风险管理与内控管理框架，再往下落实到具体业务过程中。这种从公司战略入手开始风险内控建设的工作，被称做是“自上而下”的方式。这也是西方提出的“大GRC”理念，即从公司战略定位开始，自上而下地建立一整套IT系统，与自下而上的ERP对接，形成完整的企业信息化系统。这也是咨询公司的普遍做法，即先搭框架，再去落实。一旦搭起框架后，从管理框架落实到具体的业务过程时往往会带来较高的成本，但同时也会有较高的收益。

　　另一种方式，则是“自下而上”，即从具体的业务流程的管控做起，从单点慢慢扩展到公司全部。这种做法更实际，见效也更快。韩国权认为，内控的好与不好并不是绝对的，任何一个企业都会有一部分内部控制做得相当好，尤其是主营业务上的控制。如果能让企业先从控制较好的业务做起，让企业看到内控的效果，接受内控的理念，并最终将控制扩展到整个企业，不失为一种现实可行的方法。

　　CA中国区销售总监檀林认为，要做内控与风险管理，企业应该首先算清家底: 企业目前已有哪些控制手段; 有多少达到了合规要求，哪些还没有达到，其中有什么风险; 一旦发生风险，企业是否有补救和应急措施？摸清家底后，才可以有针对性地弥补、改进和提高。

　　IT的角色

　　IT在加强内控中的作用是毋庸置疑的。《基本规范》第七条指出，企业应当运用信息技术加强内部控制，建立与经营管理相适应的信息系统，促进内部控制流程与信息系统的有机结合，实现对业务和事项的自动控制，减少或消除人为操纵因素。

　　恒瑞医药CIO王卫列认为，企业内部控制的五个要素中，除了内部环境外，其他都在强调IT。而IT工作本身就包含了很多管理和控制的要素，企业信息化做到高端集成后的目的之一，就是加强企业的内部规范。

　　反过来，IT对于企业加强内控也有着重要作用。

　　用友GBU内控总监刘巍认为，IT工具对内控有两大作用: 一是将管理机制固化下来，防止因为人的变化导致内控方式的变化，确保内控制度长期执行下去; 二是加速信息的传递与沟通，降低运营成本。

　　韩国权指出，对于内控来说，IT能解决的问题是可视化、自动化，最后才是集成化。“集成化是最难建立的，需要与企业不同的业务系统建立接口，进行数据交换、应用集成，也需要得到业务部门的大力支持。”韩国权说。

　　现实中，广深铁路股份有限公司从2007年开始采用慧点的GRC产品，审计部部长苏方云表示，这套系统已经在广深铁路内控中发挥了主渠道作用，很多数据可以自动生成，或者人工导入，对下属所有企业、各个层级的管理系统都可以控制，提高了控制工作的效率。此外，华能、中海油等众多美国上市的企业也都使用了慧点的产品。

　　这是否意味着，企业需要从头建立一套适应内部控制的信息系统？先声药业的回答是，不一定。“很多人有一个误区，认为要做内控就一定要更换、改进信息系统。事实上，如果公司有一套严格的内部控制管理规章制度，并严格执行，即使任何信息系统都没有，也一样可以实现内部控制的有效性。重新购买软件并不是一个必备条件。”先声药业信息部经理封磊说。

　　2007年4月，先声药业登录纽交所。当年8月，公司成立了专门的项目组，开始了萨班斯法案的遵循工作。开展法规遵循工作以来，先声药业先后实施了办公自动化、销售管理等信息系统，从项目管理、变更管理、权限申请审阅管理、数据安全管理等严格按照内控要求执行。对于市场上热炒的内控管理平台等软件，先声药业也有所考虑，但目前并未采购。

　　没有采用专门的内控软件，对公司的影响就是工作量较大，有时需要重复劳动。比如会计科目的变更，公司现有的ERP软件没有会计科目变更日志这一项，无法方便地记录下变更申请、批准的全过程。但是，人工操作一样可以实现这个关键点的控制。先声药业的做法是，变更申请人提出附签名的变更申请，交给上级主管审核，获得批准后，管理员在系统中做出变更。之后，申请人将变更后的页面截屏，再交给上级主管签字，中间的所有过程全部要进行存档保留，以确保申请变更与实际变更的一致性。

　　很多时候，内控的加强体现在意识、行为的具体环节中。以先声药业加强IT内控中的项目管理为例，项目管理涉及到可行性调研报告、立项报告、招标选型、计划管理、变更管理、测试报告、回退方案、项目验收等，按照内控的要求，中间所有过程都要有关键用户、业务部门负责人、信息部门负责人、双方的项目经理甚至公司更高级别的领导进行签字确认，而不像以前找家软件公司开发一套系统这么简单了。

　　这样看来，IT对于企业内控只是锦上添花，并不起着决定性的作用。封磊在法规遵循过程中感受到，“如果软件能够考虑到法规遵从的要求最好，毕竟可以降低工作量，降低人为操作不当带来的风险，但这并不意味着IT系统必须改造、升级。”

　　外脑的作用

　　遵循萨班斯法案的中国企业最常提到的几个名字，是安永、普华、毕马威等国际知名会计师事务所。当企业对如何进行法规遵从无所适从时，当企业自上而下进行内控遇到较大阻力时，这些相当有分量的外脑发挥了重要的作用，当然收费也非常昂贵。这些会计师事务所一般按照企业财务报表上的整个销售收入的一定百分比收费，如果是固定资产这样一个单项测试，就以这个单项额度的一定百分比收费。

　　但法规遵从不是一年两年的事情，而是一项长期进行的常态化的工作，不可能总是借助外脑，中国企业也在逐渐培养自己的一批内审人员，并最终由自己独立完成内审报告。广深铁路股份有限公司就遵循了这样的路线。

　　“前期主要依赖外部审计师、咨询师的力量，帮助我们建立符合国际惯例和标准的控制体系和制度。”广深铁路审计部部长苏方云表示。广深铁路聘请了普华作为外部审计师，安永作为咨询顾问，在它们的帮助下，制定了资产管理办法、预算管理办法和内部控制制度管理办法三个办法，并建立了相关的组织机构。

　　目前，广深铁路在审计部下面成立了一个内控管理办公室，与审计部是两块牌子、两套人马，充实了专门的内审人员。其中，审计部有8个人，内控管理办公室有9个人。当年度内控工作计划制定之后，内控管理办公室人员根据该计划定期到本部门、下面基层单位进行流程验证和控制点的测试检查，并将穿行测试中发现的问题反馈给审计部，两个部门实现资源共享。

　　在法规遵从工作中，由咨询机构帮忙进行的流程梳理工作被认为是工作量最大、也是最重要的工作。“外审和内控测试是非常务实的。他们到具体部门查看有关规章制度，了解业务和业务流程，找到岗位负责人、经办人、操作人，梳理出来关键的控制点，并通过IT系统设计出这些控制点。我们光前期梳理就做了3年，投入量很大。基础工作做好后，越往上走就越清晰。”苏方云说。

　　做完梳理工作后，企业就进入了测试、发现缺陷、整改的周期性工作状态。苏方云发现，问题一般有两种:一种是操作层面的，比如工作人员没有按照内控规范去做; 一种是设计层面的，属于制度设计不够完备。不同的控制点都有相应的权限、授权人，有些授权给站段的负责人、办公室主任或财务科长，每半年、三个月或一个月进行定期验证检查，定期提出内控检查的缺陷，由有关部门自行决定整改。

　　“去年下半年开始，我们的内控工作进入常态化，今年开始运行良好。今年仍然是安永和我们内部控制办公室一起完成内控报告，明年我们准备自己做。”苏方云说。

　　另一家在美上市的企业——先声药业聘请毕马威作为公司的外部审计师，安永作为内部咨询顾问，一起实施萨班斯404管理项目。先声药业共形成了56个业务流程、近1200个控制点，先在9家公司里实行，预计到2010年逐步完成整个集团的法规遵循工作。先声药业的404工作小组缺少的正是内控工作的方法论、对内控和会计准则的理解，而外部咨询商——安永的引入，弥补了这些不足。

　　成本有多高

　　如此细致的内部控制工作，其成本有多大？是否会成为企业不可承受之重？

　　中国人寿2006年为萨班斯法案遵循付出的费用是7000万元，而这还只是显性成本。审计成本、人力成本、管理成本、IT投资等，都构成了法规遵从的巨大成本。对于企业法规遵循成本太高的抱怨，慧点的韩国权有不同的看法。他认为，有些钱是必须花的，比如遵循萨班斯法案，这就跟成本无关了，“成本的高低是跟企业需求的紧迫度相关的”。

　　“很多用户问，内控是不是意味着需要更多的人来做更多的检查、录入、核实的工作，付出更多的管理成本？其实，企业做内控和风险管理的时候一定要重视方式与方法，明白企业的目标是什么。”用友的刘巍说。

　　《基本规范》提到了企业建立与实施内部控制的五大原则，包括全面性原则、重要性原则、制衡性原则、适应性原则和成本效益原则。显然，重要性原则表明企业应该关注重要业务事项和高风险领域，而不是投入大量的人力、物力去控制所有的过程、流程和环节。成本效益原则更是直接指出企业应当以适当的成本实现有效控制。

　　那么，企业该如何平衡法规遵从的成本与相应的产出呢？封磊认为，一个重要的原则是既要遵从法规，又要实现工作的便捷和高效，当然，“放在第一位的是遵从法规，其次才是提高效率、降低成本”。他也看到，按照萨班斯法案的要求，有一部分工作属于形式上的整改。但是，为了满足上市的要求，第一年企业会多做一些工作、成本也相对较高，第二年之后再慢慢做减法与优化。

　　尽管如此，第一年度萨班斯实施过程中存在的成本高、时间长、代价大的问题，也引起了先声药业的注意。他们发现，大量的关键控制点、高昂的咨询成本，使得企业付出了太大的代价，也让他们思考实现合规的目的与为企业创造价值之间的关系。

　　为此，先声药业总结了一些可以控制成本的地方。

　　总结起来，一个节省成本的方向是测试的范围。企业可以对常规类交易以及复杂性较低的业务所涉及的控制依赖管理层监督，仅对复杂性较高、风险非常高和需要更多判断能力的复杂领域严格地执行客观性测试。

　　另外一个方向，就是在企业内普及风险管理及控制意识，使整个企业形成控制的文化，完善公司层面的控制，降低风险的发生。中国IT治理研究中心副主任孟秀转表示，一些企业认为内控只要有流程、制度、文档就可以了，其实不然，内控最关键的是执行，而对执行起决定作用的就是文化。这需要管理者以身作则，需要企业全员加强控制意识，提高对内部控制缺陷和控制风险的警觉性。

　　此外，先声药业计划通过开展更多的常规审计项目，以实现对那些涵盖在内审年度计划中、同时涉及404的流程关键控制点的评估工作。针对子公司在相近流程中关键控制数量差异较大的现状，先声药业考虑将一些流程和IT系统标准化与集中化，提高流程评估的效率和效益，减少以后年度的404合规成本。

　　美国有萨班斯法案，中国也出台了《基本规范》，银行业需要遵循新巴塞尔协议，企业需要遵循的法规层出不穷。显然，企业不可能针对每个法规的出台重新做一次法规遵循工作，最经济的做法，就是练好内功，以满足各种法规的要求。

　　苏方云指出，广深铁路已经在萨班斯法案遵循工作中形成了三大管理办法，因此不会专门针对《基本规范》再做一次法规遵从的工作，否则成本代价太高了。目前，《基本规范》还只是一个框架性的约束，相关的具体指引还未出台，正因为如此，企业的内控人员或管理层更要把握一个度，在符合基本规范要求的同时，衡量成本与回报之间的关系。