首页>网上期刊>期刊名称>期刊内容> 正文

中海油WBCR案例介绍

2007-2-20 17:33 《新理财》·尉敏 【 】【打印】【我要纠错

  针对安然、世通等系列丑闻及不断出现的公司内部控制失灵现象,美国国会和政府加速通过了一系列法案,其中包括《萨班斯——奥克斯利法案》(简称SOX法案)。该法案在会计职业监管、公司治理、证券市场监管等方面做出了许多新的规定,既有实质性的要求,又有改善内部控制环境的员工素质和道德规范要求,对在美国上市的公司具有很强的约束力。SOX法案中的404条款要求上市公司在年报中增加对公司当年内控机制有效性进行评估的内容,评价结果还需要经过审计师的审计。这样,上市公司除了必须履行传统的美国证券市场监管法案所规定的义务之外,还必须履行一系列由萨班斯法案规定的义务,比如CEO和CFO必须签字确认公司内部控制的有效性,并为此承担相应的民事和刑事责任,在提供年度财务报告之外还必须向美国证券交易委员会(SEC)提交内控报告等。因此,无论是美国本土的上市公司,还是在美国上市的非美国公司,包括目前在美国上市的70多家中国企业,都必须遵从萨班斯法案的规定,面临着同样巨大的考验。

  在国内,银广夏、中航油、蓝田股份等公司内部控制失败的案例同样令人触目惊心。越来越多的业内人士认识到,企业自身内部控制制度、监督管理系统的有效性是防范舞弊行为的关键。

  项目背景

  中国海洋石油有限公司(以下简称“中海油”)于1999年8月在香港成立,为中国主要的石油及天然气生产商,同时也是全球最大的独立原油及天然气开发及生产公司之一,通过自营和与外国伙伴合作的方式,中海油在勘探、开发和生产领域取得了长足进步。该公司主要在中国近海以下四个地区开展其勘探、开发及生产业务:渤海湾、南中国海西部、南中国海东部及中国东海,同时也是印度尼西亚最大的海上原油生产商之一。其母公司——中国海洋石油总公司仅通过中海油在国内外进行石油、天然气的勘探、开发生产和销售工作。

  中海油分别在美国纽约交易所(股票代码“CEO”)和香港联合交易所(代码“883”)上市。萨班斯法案出台后,中海油全面展开SOX404条款的实施工作。公司管理层对404实施工作十分重视,强调实施404条款的意义不仅限于遵循海外资本市场监管机构的法律要求,更为重要的是,这是公司进一步加强内部控制,提升风险管理水平的良好契机。

  在公司管理层的号召与精心组织下,中海油遵从404条款的内控实施工作紧锣密鼓地展开了。项目启动之初,中海油成立了“404工作小组”,便于项目的日常组织和沟通协调,404工作小组制定了详细的项目实施计划,以确保项目能够及时、高效地顺利完成。在404工作小组的组织下,中海油公司首先对当前内部控制的现状进行了详细分析,并对404实施项目的工作量进行了估算:

  1.实施工作涉及面广,工作量大。404实施工作涵盖了公司所有重要的业务流程,需要找出每个业务单元的重要业务流程,识别和确认其对应的控制目标、风险因素及关键控制点,同时需要各部门、各家分公司的积极参与和密切配合。此外,各业务流程负责人还需对其所负责的业务流程绘制流程图、填写内控自我评价模板,并对存在的内控弱点提出改进计划。在此基础上,公司组织独立人员对重要控制程序在设计及执行上的有效性进行测试和评价。

  2.人力资源紧张,文档处理任务繁重。由于中海油公司各业务单元、重要业务流程的所有内部控制描述、测试和评价都在EXCEL电子表格中进行,按照现有的人员配置,记录、测试与确认这些表格的工作十分繁重,而且这些表格比较分散,对其进行手工整合的难度很大,时效性差。此外,公司内部虽有很多的政策和流程文档,但并不统一,与SOX法案的要求还存在相当差距,而按业务流程对这些文件进行重新分类、归档也存在相当难度。

  3.内部控制评价和报告体系尚不完整,没有规范的机制来检查、评估和报告内部控制设计和执行的有效性,影响了内控评价的效率和效果。

  项目实施

  由于企业执行SOX法案有着严格的时间限制,中海油404实施项目工作的进展刻不容缓。为了更好地实施萨班斯法案的遵从项目,降低法案遵从成本,提高实施工作的效率和效力,规范404条款实施项目管理工作,以及为公司内部控制评价和报告体系建立一个可持续发展的平台,中海油于2005年8月决定,通过信息化系统来进一步推动公司内控的实施工作。

  一、明确系统目标,定义系统功能

  在公司内部控制、风险管理目标的总揽下,参照萨班斯法案的相关规定,通过对公司各业务流程和内部控制现状进行详细的调查、分析,404工作小组确定了该系统需要达到的目标:

  ■ 能够帮助管理层评估公司遵守404条款的情况,保证内控报告的质量,提升管理层签署内控报告的信心

  ■ 公司高级管理层能够系统、实时、主动地检查公司内控信息,并可发布相关工作指令

  ■ 能够记录公司业务流程、识别风险和控制方法,实现内控评价流程的标准化、自动化

  ■ 提高实施文档处理的自动化程度,实现集中性的文档维护和管理

  ■ 明确业务流程、部门甚至是个人控制的责任,提高内部控制的透明度

  ■ 规范公司404测试工作程序,提高404测试工作效率,加强工作质量保证

  ■ 降低沟通、协调的人力成本,提供方便、快捷的查询功能

  ■ 能够根据系统生成的内部控制报告进行分析

  ■ 降低遵从SOX法案的长期成本,提高内部控制环境的整体效率

  在明确内部控制系统目标的基础上,404工作小组结合内部控制要点和各业务流程的控制要求,对系统功能进行了详细定义:

  ? 用户界面易于使用

  ? 工作流管理能力

  ? 项目管理能力

  ? 生成报告能力

  ? 文档管理能力

  ? 技术集成能力

  ? 安全控制要求

  ? 系统的可扩展能力和其他方面

  清晰的系统目标和完备的功能定义,为后续的系统选型和其他项目实施的顺利完成奠定了坚实的基础。

  二、系统选型

  在目标明确、功能定义的基础上,中海油便开始着手系统选型工作。公司重点考察了软件遵从404条款的有效性、软件对公司内部控制管理评估的有效性、软件的先进性以及可扩展性等方面。经过几轮筛选,中海油决定使用IBM的SOX法案遵从软件WBCR来辅助其内控工作的管理和评估,由北京慧点科技开发有限公司(慧点科技)负责实施。

  三、做好系统实施前的准备

  中海油公司自上至下对WBCR系统的实施都非常重视。在软件实施之前,中海油对软件实施涉及的范围、工作内容和应用效果进行了详细调查,为下一步软件实施计划的制定做好了充足准备。接着,就是着手制定软件实施计划的。有时,我们会借口“计划不如变化”而不去制定详细的实施计划,然而这种观念是错误的。其实,周密的实施计划、充分的资源保障,既可以对实施方和客户方起到一定的鞭策作用,避免实施进度失控;同时也能够提前预见一些事情的发生,避免遇到具体问题无人解决的尴尬。

  结合公司既定的404实施项目的目标,考虑公司目前的状况,中海油与慧点科技紧密合作,制定了详细的软件实施方案,将WBCR软件的实施分为需求分析、系统安装、系统设置、数据导入、系统测试和知识转移等几个阶段。围绕实施方案,对实施方的工作与需要客户方配合的工作进行了详细的界定和划分。

  四、系统实施

  制定好详细的实施方案并经实施方和客户方确认后,即进入具体的系统实施阶段。

  1.需求分析阶段。需求分析对于系统实施的重要性如同了解病情之于医生提供治疗方案的重要性。需求分析是系统实施中的关键步骤。在需求分析阶段,项目实施人员主要解决了以下问题:

  ● 根据中海油的需求确定实施方案,搭建测试环境

  ● 制定产品定制方案和辅助工具的需求,进行文档分析

  ● 定制产品,并尽量使产品符合中海油的使用习惯

  ● 根据中海油的管理模式确立权限方案

  ● 做好数据导入工作准备,进行文档收集、整理和有效性校验

  ● 针对中海油的需求,开发了导入、导出控制矩阵,财务科目关联设置等辅助工具

  ● 制定最终目标,使产品更好地贴合中海油的实际内控工作

  2.系统安装阶段。这一阶段的工作,主要是对系统环境评估,确认环境具备安装条件,制定安装计划,提交环境评估报告。在此基础上,安装相应软件。

  3.系统设置和数据初始化阶段。 根据前期需求分析阶段确定的产品定制和实施方案,在确定的内控范围内进行内控数据的初始化设置,包括组织机构创建、财务报告数据导入、内部控制制度的初次导入、用户创建、职责定义和权限分配等。

  4.系统测试阶段。系统设置和初始化工作完成后,中海油公司对系统进行了详细检查,并对产品功能定制、初始化数据内容、权限方案是否符合前期确认的需求等进行了确认,以确保系统能满足内控工作的使用需求。

  5.知识转移阶段。良好的知识转移是项目成功的重要条件之一,也是系统得以不断完善、持续发展的基础。为此,大量的培训工作应贯彻项目始终,以使系统的投资尽快转化为内部控制管理效率和公司绩效的提升。中海油根据公司内部控制管理的实际,提出了培训需求,并且提出培训对象不应只局限于404工作小组和系统管理员,而是包括内控业务参与人员和普通用户的全体员工。为保证培训工作质量,中海油对培训目标、培训工作量、受训人员组织、培训计划、培训考核都进行了周密布署。

  系统实施效果

  目前,中海油的WBCR系统已经实施完毕,正式投入使用,404小组成员正在使用本系统进行内控文档的调整和2006年的内部控制测试工作。WBCR系统基本实现了中海油预定的目标,其为中海油公司带来的价值主要体现在以下方面:

  ● 有效保证了公司政策的上下贯通以及标准的统一,缓解了实施工作涉及面广、工作量大的困难;

  ● 使用统一的平台管理方式,确保公司相关文档和资料的及时更新,便于文档的日常维护,简化了繁重的文档处理工作;

  ● 规范了内控工作的操作,使内控工作完成状况非常透明;

  ● 明晰的职责分配,便于追究责任,较从前的工作方式节省了相当的沟通成本;

  ● 各种实时报告保证了相关信息的及时披露,方便公司的及时整改和资源的及时调配;

  ● 使用一套完整的内部控制评价和报告体系,确立了一些规范的机制来检查、评估和汇报内部控制的设计和执行的有效性。