美国东部时间2007年4月20日上午9时30分，纽约证券交易所，先声药业集团公司（以下简称“先声药业”）董事会主席兼总裁任晋生按响开市铃声，先声药业成功登陆纽约证券交易所，成为中国化学生物药领域第一家在纽交所上市的公司。
　　然而，在美国资本市场掘金的同时，先声药业也面临了更加严格的合规要求。根据美国法律的要求，任何一家在美国证券交易所上市的公司，都必须遵从SOX法案。按照法案要求，企业须按期出具包括内部控制报告在内的年度报告，而企业内控又包括企业层面、业务流程层面和信息技术层面。
　　由此，在赴美上市成功的同时，先声药业也拉开了实施企业内控的探索之路。在企业内控的诸多层面中，IT内控无疑是与信息化和IT部门关系最为紧密的环节。
　　启动IT内控
　　2007年8月4日，先声药业正式启动SOX法案404条款的合规项目，并成立了以CFO为首、内控审计部牵头，由财务部门、信息部门、业务部门以及外部咨询小组共同组成的IT内控项目小组。
　　在项目启动大会上，任晋升表示，启动404内控项目不仅是国际资本市场对先声药业的要求，也是先声药业走健康规范的可持续发展之路的内部需求，项目的推进将大大提升投资者对先声药业的信心，有利于企业的长远发展。
　　先声药业集生产、研发、销售为一体，拥有6家通过GMP认证的现代化药品生产企业、两家全国性的药品营销企业、1家药物研究院。“404项目的实施，涉及先声药业全部9家公司、56个业务流程、近1200个控制点，与IT层面相关或间接相关的控制点则超过一半以上。”先声药业信息部经理封磊说，他在404项目中受命担任IT审计小组组长。
　　对于封磊来说，先声药业IT内控项目小组工作最重要的内容，就是检查企业内部关于IT方面的控制设计及实施是否有效，为公司管理层最终发表内控有效性声明提供支持证据，为外部审计师对管理层评估测试发表审计意见提供依据。
　　“IT控制不足直接导致了22%的公司存在重大内部控制缺陷。”封磊进一步解释说，导致企业重大IT内控缺陷的原因，83%与不恰当的职责分工及应用系统访问授权有关、22%与变更管理失当有关、21%与应用系统基础设施安全管理失当有关、11%与数据保护措施失效有关。
　　先声药业启动整体项目计划后，项目组根据财务交易活动，确定了关键的业务流程、支持系统和所在位置，在选定范围内进行风险评估，辨别出潜藏的内在风险与残存风险。“对于公司和IT系统来说，存在三种控制，即公司级控制、应用控制和通用控制，对这些流程和系统进行风险和控制评估后，就可以制定风险控制矩阵，为公司相关的风险、需要达到的控制及当前控制状态等提供控制范例。”封磊介绍说。
　　随后，IT内控小组从企业层面控制、应用程序控制、IT一般控制三个层面，针对IT组织、IT风险管理架构、IT相关整体规范、输入与校验控制、 接口传输控制、系统自动计算、权限控制及职责分工、系统开发和程序变更控制、逻辑访问控制、IT操作控制等进行评估，并反馈回相应整改意见。
　　第一张SOX成绩单
　　从2007年8月到2009年2月，经过一年多的探索，先声药业在2008财年的404合规正式完成，整个项目组已经掌握了企业内控的方法论，逐步建立起了与财务报告相关的内部控制框架体系及内部控制评价体系，促进公司将风险控制在可承担的范围之内，为公司财务报告数据的真实性、准确性、可靠性提供合理的保证。
　　而在封磊看来，先声药业在第一年的内控框架还只是模糊的概念，项目实施的过程还有一定缺陷，而在整改过程中也困难颇多。“我们毕竟是第一年实施企业内控，很多新东西都要我们去学习和更新，我们当时的企业风险控制意识和接受能力，与法案中提出的一些内部风险控制点的标准，还有一些差距。”封磊说。
　　然而，也正是因为员工在风险意识上的不足，给身为信息部经理的封磊平添了许多烦恼——信息部门想要将每一个新上线的信息系统快速部署下去，让用户尽快使用这些系统；但与此同时，IT部门却还要基于加强网络信息安全的考虑，加大用户登录信息系统的难度。“以前用户密码设成简单的数字就可以了，现在必须要输入数字和字母的组合，而且密码还有安全有效期，你最好还要使用动态密码卡。”封磊认为，正是大家在企业风险意识上的薄弱，IT部门在推动信息系统时，不得不从安全和风险的角度进行相应的控制。
　　为此，先声药业在企业内部想方设法加强内部管理意识的学习，同时聘请内部审计师，针对性地对企业实施内控提供方案和指导，并不定期地对公司信息人员、财务人员、审计人员做相关培训和学习，增加对内部控制真实含义的宣传，纠正员工对企业内控理解的偏差。
　　尽管做足了准备工作，但第一年实施企业内控，先声药业面对外部审计师提出的整改意见，仍然感到压力颇大。“外部审计师提出的整改意见很中肯，但是实际情况是，我们无法在整改意见提出后就立即行动，我们只能将存在的缺陷在未来的工作中一步一步改善和加强。”针对外部审计师提出的先声药业机房安全与国家安全机房标准有差距这一问题，2009年下年半，信息部门开始了对机房进行整改规划，预计至2010年建立起一个高标准的、与信息系统发展相适应的专业机房。
　　SOX法案将企业内控审计报告评定为四个等级，即无保留意见审计报告、有保留意见审计报告、未通过和无法根据企业所提供的信息进行评估。经过2008年全员努力，先声药业得到了一张“无保留审计报告”的“成绩单”，意味着先声药业在上市的第一年就通过了SOX法案的审计。
　　IT内控的价值
　　在先声药业实施企业内控的过程中，因为没有采用专门的内控软件，一些工作无法通过系统实现，只能借由手工操作。例如会计科目的变更，公司现有ERP软件没有会计科目变更日志这一项，无法方便、详细地记录下变更申请、批准的全过程。于是实际操作对会计科目进行变更时，会计科目变更的申请人提出申请后，交给上级主管进行审批，若获得批准，管理员在系统中进行相关配置的同时，还要将操作过程的屏幕截取，并返还上级主管签字确认，以确保申请变更与实际操作相一致。
　　“目前看来，这的确增加了相关人员的工作量，延长了他们的工作时间和劳动强度，而且在短期内，实施企业内控所创造的效益是很难看到的。但是经过一年的努力和探索，如今回头来看，实施企业内控还是给我们带来了很大的帮助，从企业长期发展的角度来看，是很有帮助的。”封磊坦诚表示，企业内控给企业带来的都是一种潜在价值，
　　在封磊看来，企业建立起了内控管理体系，也就意味着已经建立起了风险意识。每一个问题发生之后，都有一个相应的风险流程去处理问题。“如果一个车间库房着火了或者数据被人窃取了，都有一整套的处理机制。”封磊认为，内控管理体系更多的是跟风险联系在一起的，尽管它很难解决企业当前面临的困难，但它却使企业内部人员通过确认、评估与管理风险，在将管理风险和提高组织目标实现机会与控制过程相结合的过程中，得到了锻炼，获取了经验，并建立了系统化的内部控制管理方法，提升了公司基础管理水平，提高了运营效率。
　　据了解，在做企业内控之前，先声药业曾发生过两次数据意外丢失的情况，由于没有做数据存储和备份，数据丢失后无法及时恢复到被破坏前的状态，给先声药业造成了一定的损失。而企业内控项目的启动，加快了先声药业数据存储和备份项目的实施。“不实施内控的话，现在可能没什么问题，但是却无形中加大了企业的管理风险。”封磊说。
　　尽管没有指标可以对企业内控所创造的价值进行量化，但是它却能够加强对企业风险的掌控，避免企业忽视一些风险和危机，并且给财务报告、报表的真实性、可靠性和准确性提供保障。这对于一个上市公司来说，无疑给投资者增加了无可估量的信任砝码。
　　“以前我们的财务报表可能有经过人为加工和过滤的风险，但实施了内部控制流程后，每个人所拥有的权限不一样了，我们提供的报表就是完全真实可靠的，这对于公众形象的提升、增强投资者信心和企业长期发展都是有意义的。”封磊认为，内部控制还加速了企业的全面流程化，减少了人为因素的影响，特别是逐步由纸质流程转变为系统流程后，人为干扰因素就更少了。
　　内控成为习惯
　　随着企业内控的实施，先声药业对SOX法案404条款也有了更深刻的认识。法案要求企业每天对关键业务信息系统中应用系统日志、数据库日志、操作系统日志的运行状况等信息进行查看，每个月还要对日志进行审核，查看是否有不正常现象或人员登录异常现象发生。
　　“在项目推进前期，我们认为这是一种形式上的操作，但是后来有一段时间我们的服务器出现访问不了的现象，信息部门需要业务部门的反馈才能获知。现在我们建立了主动巡检查看机制，有了数据日志，信息系统可以迅速分析出问题源，大大方便了我们快速识别和解决问题。”封磊说。
　　在企业内控的内容中，包含着企业层面、业务流程层面、信息技术层面三个层面。而随着信息技术越来越广泛地应用于日常交易处理中，IT已经是涉及财务报表交易流程的重要组成部分，影响财务数据的一致性、完整性和准确性，管理层在进行决策时所依据的数据很大部分也来源于信息系统，在整个内控管理体系中，IT的角色也越来越重要。
　　在封磊看来，对信息系统的理解不能停留在“仅仅是管理工具”的层面，信息系统的使用与管理模式、方法的变革相互依存和相互制约，彼此的互动性很强。“对从事信息工作的人员来说，要很好地理解公司的各项业务特点和运营模式。对管理者和业务工作人员来说，要清醒地认识到IT技术所能带来的管理手段变革，两者是互动的关系，不是哪一方单纯依托与哪一方的关系，这一切的变化首先要从建立IT意识开始。”封磊说。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。