您现在的位置:ITGov-IT治理研究中心>> 研究>> 全面风险管理>>正文内容
四运营商面临萨班斯法案大考 中移动4地试点
发布时间:2005年10月10日点击数: 作者:顾莹 来源:通信产业报
【字体: 收藏 打印文章 查看评论( 0 )】
摘要:
实证明,自“萨班斯法案”生效以来,美国上市企业的CEO几乎都是在战战兢兢中度过每一个财年,其中仍有超过500家企业的财务问题被揭露。而9个月后,在美国上市的中国四大运营商也将同样接受近乎残酷的萨式考验。

  据“萨班斯法案”404条款,现在距离在美上市的外国公司提交财务报表内控报告即“萨班斯法案”404条款最后的期限——2006年7月15日已为时不远,尽管记者得到的最新消息是:年销售收入在5亿美元以下的企业,可以再推迟一年,即到2007年7月15日再提交内控报告,但显然年利润都不止这个数目的,已在美以ADR形式上市的我国四大运营商无法享受这一优惠政策。

  在这种压力下,中国移动率先在福建、天津、湖北、山西等4家省级公司开始设立“萨班斯法案”试点单位。据了解,中国移动已决定在此4个试点运营和效果评估之后,将在2006年内在各省级公司全面推广“萨班斯法案”企业内部控制管理项目。而其他运营商也在纷纷加强企业内部财务管理,以顺利通过萨式大考。

  对此,中国IT治理研究中心专家孟秀转表示,中国移动先行试点,说明他们此前的准备工作进展顺利,但试点运营之后肯定还要有相当长的一段反复修订的过程,时间非常紧迫。而这也正是其他运营商将要面对的难题。

  牵一发动全身

  有人曾经评价“萨班斯法案”是代表了一个新的资本市场监管时代的到来,因为它明显改变了以往会计公司实行自我管理的做法。事实证明,自“萨班斯法案”生效以来,美国上市企业的CEO几乎都是在战战兢兢中度过每一个财年,其中仍有超过500家企业的财务问题被揭露。

  而“萨班斯法案”中404条款更将目标锁定在所有在美国上市的企业。该条款规定:在美上市企业必须保证公司管理层建立和维护内部控制系统及相应控制程序充分有效的责任体系,同时提供管理层最近财年对内部控制体系及控制程序有效性的证明及内控机制评价报告。

  如此苛刻和严厉的404条款几乎成了所有在美上市公司的一个坎,中国的四大电信运营商也不例外。

  中国移动副总裁薛涛海表示,中国移动此次实行的主要试点项目将涉及涵盖企业经营、IT系统控制、投融资管理、财务监控、法律法规监督等13个大类、38个细项,一旦投入实施,必将引起企业整体控管流程的重组,人员岗位职责的改变。

  孟秀转解释说,建立符合“萨班斯法案”的流程基本一致,首先要确定企业的范围,比如哪些系统影响对企业的财务报表,然后评估企业现有的内部控制,分析高风险点在哪,如何去弥补等等。弥补之后,尽量将这个流程固定下来,接下来是像中国移动这样,设置试点。试点试运行一段时间之后,最关键的是评估过程,观察该新系统的执行有效性,若无效就要反复分析、解决、修正。

  “所以整个过程是一个PDCA过程。”孟秀转表示,“即Plan do cake action,是一个循环螺旋式上升的过程。”

  与时间赛跑

  很显然,“时间紧,任务重”已成为运营商最为头疼的问题。

  以中国移动选择的福建、天津、湖北、山西4省市为例,4地因为用户基数较大,IT系统状况基本处于主机数量多、网络分布广,网络结构复杂;多种系统及网络协议并存等状况。但又因为他们业务开展程度和侧重点不同,收益也相差较大。

  而其他即将加入的广东、辽宁、西藏等地的移动分公司,不论是内部流程梳理、财务投资监管,还是资源分配更是不能同日而语。

  赛迪顾问的咨询专家告诉记者,如果把每个流程的程序都列出来,一个大的企业有几千个风险点。在内控上,绝不是运营商集团公司统一一套程序就可以,每个地方运营商因为地域环境和业务重点不同,内控测评同样不同,“30多个省下来,没有1年以上是不可能的。”

  然而只剩下9个月了,如何有效地利用这有限的时间?该专家认为,发展较好的地方运营商需要弥补的地方不多,跟“萨班斯法案”要求的差距不大,不具有推广性,相对差的地方运营商则可弥补项较多。因此选择试点单位时,应该将各方面的因素考虑进去,才能相对有效地节省时间,且比较稳妥。

  CIO角色变换

  事实上,每个运营商或多或少会都有一些IT内部控制制度,但以往这些制度基本是由技术管理者制定,他们缺乏规范化风险管理的经验,因此IT控制制度不规范,控制政策程序不完善,缺乏从公司透明度角度出发的、结合支持业务流程的完整的内部控制制度等等问题比较突出。这也是我国运营商,包括所有上市企业普遍存在的顽症,因此,实施“萨班斯法案”之路也就十分难走。

  为此,专家特别提出应该将CEO、CFO等公司高层管理者的监管力度部分转嫁到与企业信息资源直接相关的CIO身上。其中,最为显著的变化是董事会不仅关注企业反映各项业务活动效果的数据、报表,更应该逐渐重视对业务活动本身的监控,即这些信息的来源,首当其冲的就是企业内部的信息系统。

  孟秀转认为,这种形势将对企业内部的权力转移也造成一定影响,CIO将以相对独立的监管者身份出现在企业的董事会中。只有充分发挥出监管者的权力,才能真正解决内部控制的问题。

  目前,中国电信、中国网通和中国联通都在不同程度地进行调整内部管控体系的工作,试图将财务管理由单一的内部核算型向综合管理服务型的转变。中国联通计费、客服与信息系统部副总经理李旭表示,传统电信企业的内部流程往往是自我封闭式的,这样的内部流程在企业透明度方面存在着明显的缺陷,已经成为了企业发展和信誉提升的极大障碍。针对这种状况,内部流程再造已经被中国联通作为了管理变革过程中非常重要的任务。

  “萨班斯法案”留给我国运营商的时间只剩下9个月,在这9个月中,电信运营商需要做的事情还很多。

  -链接:通过萨班斯的三道关

  “萨班斯法案”的出台,对企业的公司治理、IT治理及IT内控提出了更严格的要求,在美上市的企业必须符合以下的要求才能顺利过关:

  1.公司治理方面:上市公司必须建立审计委员会,并对审计委员会的人员组成做出规定,保证审计委员会的独立性,同时赋予审计委员会更多的责任,并增加高管人员及董事会的责任。

  2.内控方面:针对法案302条款,公司管理层应该设计所需的内部控制,并保证首席官员能知道公司及其合并报表子公司的所有重大信息,尤其是报告期内的重大信息;保证评价公司的内部控制在签署报告前90天内的有效性。

  针对法案404条款,公司管理层应该建立和维护内部控制系统及相应控制程序充分有效的责任;发行人管理层要对最近财政年度末对内部控制体系及控制程序有效性的评价。

  3.审计师方面:增加审计师对信息系统的审计,要求审计师必须了解业务如何穿过系统,而不是绕过系统。审计师必须了解业务流程,评价IT应用控制与一般控制的设计及效果。评价IT控制设计效果,确定这些控制设计是否适当地实现相关目标,实施IT控制执行效果测试。

分享到:
点击按钮自动加关注代码——新浪微博 点击这里给我发消息
下一篇:IBM灾难恢复方案
相关文章
推荐文章
订阅
  关于ITGov | 联系ITGov | 收藏本站 | 服务条款 | 隐私保护 | 人员招聘 | 网站地图

京ICP备06004481号   Copyright 2002 - By ITGov.org.cn, All Rights Reserved

 

我要啦免费统计