中海油WBCR案例介紹

　　針對安然、世通等系列丑聞及不斷出現(xiàn)的公司內部控制失靈現(xiàn)象，美國國會和政府加速通過了一系列法案，其中包括《薩班斯——奧克斯利法案》（簡稱SOX法案）。該法案在會計職業(yè)監(jiān)管、公司治理、證券市場監(jiān)管等方面做出了許多新的規(guī)定，既有實質性的要求，又有改善內部控制環(huán)境的員工素質和道德規(guī)范要求，對在美國上市的公司具有很強的約束力。SOX法案中的404條款要求上市公司在年報中增加對公司當年內控機制有效性進行評估的內容，評價結果還需要經過審計師的審計。這樣，上市公司除了必須履行傳統(tǒng)的美國證券市場監(jiān)管法案所規(guī)定的義務之外，還必須履行一系列由薩班斯法案規(guī)定的義務，比如CEO和CFO必須簽字確認公司內部控制的有效性，并為此承擔相應的民事和刑事責任，在提供年度財務報告之外還必須向美國證券交易委員會（SEC）提交內控報告等。因此，無論是美國本土的上市公司，還是在美國上市的非美國公司，包括目前在美國上市的70多家中國企業(yè)，都必須遵從薩班斯法案的規(guī)定，面臨著同樣巨大的考驗。

　　在國內，銀廣夏、中航油、藍田股份等公司內部控制失敗的案例同樣令人觸目驚心。越來越多的業(yè)內人士認識到，企業(yè)自身內部控制制度、監(jiān)督管理系統(tǒng)的有效性是防范舞弊行為的關鍵。

　　項目背景

　　中國海洋石油有限公司（以下簡稱“中海油”）于1999年8月在香港成立，為中國主要的石油及天然氣生產商，同時也是全球最大的獨立原油及天然氣開發(fā)及生產公司之一，通過自營和與外國伙伴合作的方式，中海油在勘探、開發(fā)和生產領域取得了長足進步。該公司主要在中國近海以下四個地區(qū)開展其勘探、開發(fā)及生產業(yè)務：渤海灣、南中國海西部、南中國海東部及中國東海，同時也是印度尼西亞最大的海上原油生產商之一。其母公司——中國海洋石油總公司僅通過中海油在國內外進行石油、天然氣的勘探、開發(fā)生產和銷售工作。

　　中海油分別在美國紐約交易所（股票代碼“CEO”）和香港聯(lián)合交易所（代碼“883”）上市。薩班斯法案出臺后，中海油全面展開SOX404條款的實施工作。公司管理層對404實施工作十分重視，強調實施404條款的意義不僅限于遵循海外資本市場監(jiān)管機構的法律要求，更為重要的是，這是公司進一步加強內部控制，提升風險管理水平的良好契機。

　　在公司管理層的號召與精心組織下，中海油遵從404條款的內控實施工作緊鑼密鼓地展開了。項目啟動之初，中海油成立了“404工作小組”，便于項目的日常組織和溝通協(xié)調，404工作小組制定了詳細的項目實施計劃，以確保項目能夠及時、高效地順利完成。在404工作小組的組織下，中海油公司首先對當前內部控制的現(xiàn)狀進行了詳細分析，并對404實施項目的工作量進行了估算：

　　1.實施工作涉及面廣，工作量大。404實施工作涵蓋了公司所有重要的業(yè)務流程，需要找出每個業(yè)務單元的重要業(yè)務流程，識別和確認其對應的控制目標、風險因素及關鍵控制點，同時需要各部門、各家分公司的積極參與和密切配合。此外，各業(yè)務流程負責人還需對其所負責的業(yè)務流程繪制流程圖、填寫內控自我評價模板，并對存在的內控弱點提出改進計劃。在此基礎上，公司組織獨立人員對重要控制程序在設計及執(zhí)行上的有效性進行測試和評價。

　　2.人力資源緊張，文檔處理任務繁重。由于中海油公司各業(yè)務單元、重要業(yè)務流程的所有內部控制描述、測試和評價都在EXCEL電子表格中進行，按照現(xiàn)有的人員配置，記錄、測試與確認這些表格的工作十分繁重，而且這些表格比較分散，對其進行手工整合的難度很大，時效性差。此外，公司內部雖有很多的政策和流程文檔，但并不統(tǒng)一，與SOX法案的要求還存在相當差距，而按業(yè)務流程對這些文件進行重新分類、歸檔也存在相當難度。

　　3.內部控制評價和報告體系尚不完整，沒有規(guī)范的機制來檢查、評估和報告內部控制設計和執(zhí)行的有效性，影響了內控評價的效率和效果。

　　項目實施

　　由于企業(yè)執(zhí)行SOX法案有著嚴格的時間限制，中海油404實施項目工作的進展刻不容緩。為了更好地實施薩班斯法案的遵從項目，降低法案遵從成本，提高實施工作的效率和效力，規(guī)范404條款實施項目管理工作，以及為公司內部控制評價和報告體系建立一個可持續(xù)發(fā)展的平臺，中海油于2005年8月決定，通過信息化系統(tǒng)來進一步推動公司內控的實施工作。

　　一、明確系統(tǒng)目標，定義系統(tǒng)功能

　　在公司內部控制、風險管理目標的總攬下，參照薩班斯法案的相關規(guī)定，通過對公司各業(yè)務流程和內部控制現(xiàn)狀進行詳細的調查、分析，404工作小組確定了該系統(tǒng)需要達到的目標：

　　■ 能夠幫助管理層評估公司遵守404條款的情況，保證內控報告的質量，提升管理層簽署內控報告的信心

　　■ 公司高級管理層能夠系統(tǒng)、實時、主動地檢查公司內控信息，并可發(fā)布相關工作指令

　　■ 能夠記錄公司業(yè)務流程、識別風險和控制方法，實現(xiàn)內控評價流程的標準化、自動化

　　■ 提高實施文檔處理的自動化程度，實現(xiàn)集中性的文檔維護和管理

　　■ 明確業(yè)務流程、部門甚至是個人控制的責任，提高內部控制的透明度

　　■ 規(guī)范公司404測試工作程序，提高404測試工作效率，加強工作質量保證

　　■ 降低溝通、協(xié)調的人力成本，提供方便、快捷的查詢功能

　　■ 能夠根據(jù)系統(tǒng)生成的內部控制報告進行分析

　　■ 降低遵從SOX法案的長期成本，提高內部控制環(huán)境的整體效率

　　在明確內部控制系統(tǒng)目標的基礎上，404工作小組結合內部控制要點和各業(yè)務流程的控制要求，對系統(tǒng)功能進行了詳細定義：

　��？ 用戶界面易于使用

　　？ 工作流管理能力

　　？ 項目管理能力

　　？ 生成報告能力

　　？ 文檔管理能力

　　？ 技術集成能力

　��？ 安全控制要求

　　？ 系統(tǒng)的可擴展能力和其他方面

　　清晰的系統(tǒng)目標和完備的功能定義，為后續(xù)的系統(tǒng)選型和其他項目實施的順利完成奠定了堅實的基礎。

　　二、系統(tǒng)選型

　　在目標明確、功能定義的基礎上，中海油便開始著手系統(tǒng)選型工作。公司重點考察了軟件遵從404條款的有效性、軟件對公司內部控制管理評估的有效性、軟件的先進性以及可擴展性等方面。經過幾輪篩選，中海油決定使用IBM的SOX法案遵從軟件WBCR來輔助其內控工作的管理和評估，由北京慧點科技開發(fā)有限公司（慧點科技）負責實施。

　　三、做好系統(tǒng)實施前的準備

　　中海油公司自上至下對WBCR系統(tǒng)的實施都非常重視。在軟件實施之前，中海油對軟件實施涉及的范圍、工作內容和應用效果進行了詳細調查，為下一步軟件實施計劃的制定做好了充足準備。接著，就是著手制定軟件實施計劃的。有時，我們會借口“計劃不如變化”而不去制定詳細的實施計劃，然而這種觀念是錯誤的。其實，周密的實施計劃、充分的資源保障，既可以對實施方和客戶方起到一定的鞭策作用，避免實施進度失控；同時也能夠提前預見一些事情的發(fā)生，避免遇到具體問題無人解決的尷尬。

　　結合公司既定的404實施項目的目標，考慮公司目前的狀況，中海油與慧點科技緊密合作，制定了詳細的軟件實施方案，將WBCR軟件的實施分為需求分析、系統(tǒng)安裝、系統(tǒng)設置、數(shù)據(jù)導入、系統(tǒng)測試和知識轉移等幾個階段。圍繞實施方案，對實施方的工作與需要客戶方配合的工作進行了詳細的界定和劃分。

　　四、系統(tǒng)實施

　　制定好詳細的實施方案并經實施方和客戶方確認后，即進入具體的系統(tǒng)實施階段。

　　1.需求分析階段。需求分析對于系統(tǒng)實施的重要性如同了解病情之于醫(yī)生提供治療方案的重要性。需求分析是系統(tǒng)實施中的關鍵步驟。在需求分析階段，項目實施人員主要解決了以下問題：

　　● 根據(jù)中海油的需求確定實施方案，搭建測試環(huán)境

　　● 制定產品定制方案和輔助工具的需求，進行文檔分析

　　● 定制產品，并盡量使產品符合中海油的使用習慣

　　● 根據(jù)中海油的管理模式確立權限方案

　　● 做好數(shù)據(jù)導入工作準備，進行文檔收集、整理和有效性校驗

　　● 針對中海油的需求，開發(fā)了導入、導出控制矩陣，財務科目關聯(lián)設置等輔助工具

　　● 制定最終目標，使產品更好地貼合中海油的實際內控工作

　　2.系統(tǒng)安裝階段。這一階段的工作，主要是對系統(tǒng)環(huán)境評估，確認環(huán)境具備安裝條件，制定安裝計劃，提交環(huán)境評估報告。在此基礎上，安裝相應軟件。

　　3.系統(tǒng)設置和數(shù)據(jù)初始化階段。 根據(jù)前期需求分析階段確定的產品定制和實施方案，在確定的內控范圍內進行內控數(shù)據(jù)的初始化設置，包括組織機構創(chuàng)建、財務報告數(shù)據(jù)導入、內部控制制度的初次導入、用戶創(chuàng)建、職責定義和權限分配等。

　　4.系統(tǒng)測試階段。系統(tǒng)設置和初始化工作完成后，中海油公司對系統(tǒng)進行了詳細檢查，并對產品功能定制、初始化數(shù)據(jù)內容、權限方案是否符合前期確認的需求等進行了確認，以確保系統(tǒng)能滿足內控工作的使用需求。

　　5.知識轉移階段。良好的知識轉移是項目成功的重要條件之一，也是系統(tǒng)得以不斷完善、持續(xù)發(fā)展的基礎。為此，大量的培訓工作應貫徹項目始終，以使系統(tǒng)的投資盡快轉化為內部控制管理效率和公司績效的提升。中海油根據(jù)公司內部控制管理的實際，提出了培訓需求，并且提出培訓對象不應只局限于404工作小組和系統(tǒng)管理員，而是包括內控業(yè)務參與人員和普通用戶的全體員工。為保證培訓工作質量，中海油對培訓目標、培訓工作量、受訓人員組織、培訓計劃、培訓考核都進行了周密布署。

　　系統(tǒng)實施效果

　　目前，中海油的WBCR系統(tǒng)已經實施完畢，正式投入使用，404小組成員正在使用本系統(tǒng)進行內控文檔的調整和2006年的內部控制測試工作。WBCR系統(tǒng)基本實現(xiàn)了中海油預定的目標，其為中海油公司帶來的價值主要體現(xiàn)在以下方面：

　　● 有效保證了公司政策的上下貫通以及標準的統(tǒng)一，緩解了實施工作涉及面廣、工作量大的困難；

　　● 使用統(tǒng)一的平臺管理方式，確保公司相關文檔和資料的及時更新，便于文檔的日常維護，簡化了繁重的文檔處理工作；

　　● 規(guī)范了內控工作的操作，使內控工作完成狀況非常透明；

　　● 明晰的職責分配，便于追究責任，較從前的工作方式節(jié)省了相當?shù)臏贤ǔ杀荆?/p>

　　● 各種實時報告保證了相關信息的及時披露，方便公司的及時整改和資源的及時調配；

　　● 使用一套完整的內部控制評價和報告體系，確立了一些規(guī)范的機制來檢查、評估和匯報內部控制的設計和執(zhí)行的有效性。