2005-08-19 14:59
去年年底,UT斯达康(中国)有限公司启动了代号为“SOX”的项目。这个项目是它今年重点关注的内部管理项目之一,它涉及到所有影响财务报表生成的业务部门。“它的目标是使企业除了有正确完整的财务报表外,还要 有确保报表正确而完整的控制体系。”由于现代企业多是通过信息技术来处理、编辑和管理信息,因此这个看起来像是财务或审计的项目与IT架构和建设有千丝万缕的联系。于是,UT斯达康的IT高级总监汪拥君和他所辖的IT部门为之投入了大把精力。
其实,在国内,除了UT斯达康,亚信、新浪、搜狐、中国联通、中石油、中石化等都在今年初或更早时候陆续启动了代号“SOX”的项目。看似神秘的“SOX”其实是美国2002年夏季颁布的Sarbanes-Oxley法案(萨班斯-奥克斯利法案)的缩写。该法案的法律效力适用于在美国证券交易委员会注册的约14000家公司,其中包括大量非美国公司。在美国上市的UT斯达康、亚信、新浪、搜狐、中国联通、中石油、中石化等都是它约束的对象。对它们而言,SOX法案最实质的影响莫过于要求企业的CEO、CFO个人对财务报告承担责任,还加强了对上市公司欺诈的刑事惩罚。对没有遵从法案要求而受到外部监督机构质疑的公司,谁都无法预计资本市场和投资者对它的反应。
SOX法案出台的背景有二:其一,安然、世通等的破产揭露出一系列财务虚假案;其二,一系列公司假账丑闻暴露出公司治理结构不平衡和外部监督缺失。为了提高民众对美国金融市场及对政府经济政策的信心,美国立法和管理部门亡羊补牢,颁布了包括SOX法案的一系列法律法规。
SOX法案最核心之处在于,保证企业为编制和记录财务信息而制定的内部控制措施的有效性,从而改善公司透明度和创造良好的公司治理环境。该法案规定,为了满足企业员工、股东和政府的期望,公司需要实时而系统地向管理当局提供业绩信息。根据它的要求,UT斯达康、新浪、搜狐等在美国注册的公司须从2004财年开始遵从其要求;而中石油、中石化、中国联通等在美上市的海外企业则可推迟1年执行。
“修身、齐家、治国、平天下”是传统中国知识分子的人生哲理,SOX法案就犹如美国上市企业必须遵从的“修身、齐家”的座右铭。对于企业管理人员来说,这个法案意味着企业提供的账目要更加准确,且CEO和CFO个人要对公司披露的信息负责。因此,企业必须以此为契机,彻底检查内控、监视和报告的流程。
SOX法案明确规定,外部审计人员必须检查和证实一个公司的内部财务控制的有效性,这其中就包括信息系统。SOX法案强调企业的信息技术策略和系统中的内部控制,以及对审计过程存档的要求,即企业的内控活动(不论是人还是机器)的操作流程都必须明白地定义并保存相关记录,而后才能实施。这样要求是为了让企业管理者了解内部状况,以便在对网页、防火墙、笔记本电脑、数据再恢复、保密安全性及密码等进行必要审计时提供支持。出于安全考虑,企业还需要不断地跟踪记录,定期检查软件、服务和人事情况。
为了符合法案的要求,企业需要做很多细节上的准备。“标准和文件的建设、实现和评估工作量巨大。”作为高管人员,汪拥军今年大约有1/5的时间需要投入在SOX项目上,除了软件开发部门,他手下的员工也大多参与了“SOX”项目。
事实上,对于大部分国外公司来说,“为SOX法案所做的准备工作相对少一些”,普华永道全球风险管理合伙人刘祖新说。因为国外公司已基本建立了规范和齐全的内控标准,并将其融入到流程和信息系统设计与改进中。但由于中国公司普遍缺乏强化内控标准的外部环境,致使它们尽管建立了内控机制,但都不尽完善,尤其在信息系统和审计环节上比较薄弱。
在刘祖新看来,“信息系统访问控制权限、访问密码的长度、更换密码的时间等细节需要考虑;而SOX法案所强调的流程设计文档和业务实现轨迹,如良好的复核验证程序、定期报告和记录程序、权限管理等也需要一一实现。”所以,为了符合SOX法案的要求,企业IT部门要根据业务流程的改进,改善账务处理、电子信息及沟通等内控措施的评估、设计和实施。
今年,普华永道中国区运营和系统风险管理经理杨丰禹帮几个国内企业建立、完善其内控机制。在他看来,“中国企业遵守SOX法案的难点在于,依照法案所推荐和要求对照的美国COSO报告的理论体系,建立内控体系。”据COSO的研究成果,企业内控体系包括控制环境、风险评估、控制活动、信息与沟通和监督5要素。“目前,国内企业的内控程序多是基于流程,而不是基于风险点设计的。”他说。
显然,SOX法案增加了企业的IT投入。Forrester Research在调查了800多家北美公司后发现,将近1/3的调研对象表示将在2004年增加IT支出,其中为遵守SOX法案而进行的投入是一个重要项目。“为了SOX法案,我们增添了很多安全软件,以保障系统安全。”汪拥君说。他相信,为了实现内控的实时性和有效性,国内很多公司将会添置大量软件。类似情况在美国企业中也存在。一家名为Progress Rail的铁路产品和服务供应商为改善其子公司的记账情况,放弃了以前使用的手工程序和电子数据表格。它还安装了财务数据整合和分析软件,使用了平衡记分卡系统。这些系统可使其CFO近乎实时地了解企业的财务状况,及时洞察问题。而以前问题只有在每季度审计后才能水落石出。这些系统已花费了Progress Rail约50万美元。但这只是个开始。为了遵守法案,它还将对影响财务结果的系统进行一次从上到下的检查。
很多中国企业有着与Progress Rail类似的情形——“缺乏有效的财务管理及内控工具”,一位咨询顾问说。在他看来,国内企业中,引进预算管理、关键业绩指标、内部控制标准、财务预警机制等工具和技术的很少。
SOX法案自出台以来,促使在美国上市的企业在公司治理和透明度上有所改善,但业界对其带来的管理成本增加及矫枉过正的负面评价一直不断。不过,对IT厂商们而言,它却像一个福音。微软也在为遵守SOX法案而紧锣密鼓地着手准备着,但这并不影响它于去年12月宣布,交付一款Office System的附加软件,以帮助各公司满足SOX法案对财务报告的要求。去年,Oracle公司也从信息技术角度,提出了公司治理3要素及解决方案。刘祖新指出,“通用软件只能解决通用问题,企业还需根据自身情况建设控制流程,并保证其与标准运营集成,进而建立可靠的财务报告机制。”他还提醒正埋首应对SOX法案的众公司,“企业内控体系的完善远不是一次性通过SOX法案的要求那么简单,它是一个不断自我完善的长期过程。”
对于力图进入全球投资者视野、冲击海外资本市场的中国企业来说,要想成为赢家,就必须了解游戏规则。刚在纳斯达克上市的掌上灵通公司自去年下半年就开始为SOX法案做了大量准备,其CEO杨镭说:“SOX法案的目标就是一切围绕股东利益,追求股东利益最大化。”这其实是SOX法案、也是所有上市企业努力的起点和终点。
来源:CCW