——G2峰会将再次聚焦公司治理暨IT治理    

背景--2002年安然、世通等公司造假案件和安达信事件震惊了整个世界, 美国政府认为这是公司上下串通、内外勾结的严重结果, 所以法案对公司治理、内部控制及外部审计同时做出了严格的要求。明确规定要求建立独立称职的审计委员会，管理层要负责内控系统的完善和落实，并对财务报告的真实性负刑事责任 。综观整个法案, 最主要的是对公司内控系统的要求, 主要体现在302条款和404 条款。法案对公司内控系统不但规定严格, 而且实施要求和指南也在相续出台, 如SEC 于2003年6月5日根据法案的要求颁布了404条的细化条例, PCAOB于2004 年3月9日发布第2号审计准则, 对公司管理层提出了更明确的要求。
      萨班斯法案的出台，使全球各国监管部门、企业和投资者都把眼球关注在公司治理和全面风险管理上。为保护投资者、降低风险，各国纷纷效仿萨班斯法案，出台自己公司治理广泛要求以及全面风险管理指南。被称为“自罗斯福总统以来美国商业界影响最为深远的改革法案” 的“SOX法案”引发了全球公司治理与风险管理翻天覆地的变化。如何更好地规范公司治理、完善公司全面风险管理框架，如何发挥信息技术在公司治理和风险管理中的作用，是目前理论界与实务界普遍关注的话题。公司治理与IT治理，IT治理与目前风险管理等议题正逐渐成为人们关注的焦点。公司内部从董事会到CEO、CFO、到CIO等高级管理人员都参与到公司治理、合法合规等实践中来，打破了原有职责范围的局限，重新认识自己的责任定位。

      萨班斯方案的遵从
        302条款的要求： 
      该条款要求由首席执行官和财务主管在内的企业管理层，对公司财务报告的内部控制按季度和年度就以下事项发表声明（予以证实）：
  • 对建立和维护与财务报告有关的内部控制负责。
  • 设计了所需的内部控制，以保证这些官员能知道该公司及其并表子公司的所有重大信息，尤其是报告期内的重大信息；
  • 与财务报告有关的内部控制的任何变更都已得到恰当的披露，这里的变更指最近一个会计季度已经产生，或者合理预期将对于财务报告有关的内部控制产生重大影响的变更。
      在当前环境下，IT系统驱动着财务报告的流程。诸如ERP之类的IT系统紧密地贯穿于企业经济业务的开始、授权、记录、处理和报告一整套过程中。就其本身而言，IT系统和整个财务报告流程也是紧密联系的，为了遵循萨班斯法案，也要对IT内部控制的有效性予以评估。
      为强调这一点，PCAOB第2号审计标准讨论了IT以及IT在测试内部控制设计合理性及运行有效性时的重要意义，并强调指出：[部分]
      …内部控制，包括与财务报告中所有重要账户及披露内容相关的控制政策与程序，都应该予以测试。
      一般而言，这样的控制包括IT一般控制，以及其他控制所依赖的控制。

       404条款管理要求
      萨班斯法案的404条款要求，管理层在其年度文件中提供关于与财务报告有关的内部控制的年度评估报告。管理层的年度报告要求包括以下内容：
  • 管理层有责任为企业建立和维护恰当的财务报告有关的内部控制。
  • 识别管理层所采用的内部控制框架以便按要求评估公司与财务报告有关的内部控制的有效性。
  • 对从一上个会计年度未以来，与财务报告有关的内部控制的有效性予以评估，其内容也包括有关与财务报告有关的内部控制是否有效的公开声明。
  • 年度审计报告中，注册会计师事务所发表的财务审计报告，包括管理层对与财务报告有关的内部控制有效性评估的证明报告。
  • 管理层关于公司针对财务报告内部控制有效性评估的书面结论，应包含在其对财务报告内部控制的报告和其对审计师的信函中。这一书面结论可采取多种形式，但是管理层对公司面向财务报告的内部控制的有效性必须发表直接意见
  • 如果与财务报告有关的内部控制中有一个或多个重要缺陷，管理层将不能对财务报告的内部控制有效性做出评估结论，而且，管理层应该披露自最近一个会计年度未以来财务报告内部控制方面的所有重要缺陷。
　　显然，404条款对于公司内部控制情况做出严厉要求，目的是为了使得公众更易于察觉到公司的欺诈行为，并确保公司财务报告的可靠性。而上市公司为了遵循该条款将付出沉重的代价，包括大量的时间和人力、财力的投入。

       在SOX404项目中的IT
      事实上早在1994年TSE发布的题为“董事何去何从？提高加拿大公司治理的指南”中就认为：整合企业的内部控制和管理信息系统是董事会的5个“首要责任”之一，对此责任的解释是有效地履行董事会的责任需要有效的控制和信息系统来支持。例如，在批准企业战略时，董事会需明确各种评价战略的标准和监督执行战略的体系；同样，在审查和批准财务信息时，董事会需要企业的审计系统来通报数据的完整性和对会计原则的遵循。总之，该指南认为董事会必须关注内部控制和信息系统，因为它是履行其他责任必须依靠的机制。该报告对董事会责任的界定提高了内部控制在加拿大上市公司中的重要性，并有助于改善公司的控制环境
在萨班斯法案中，我们看到了一脉相承的要求，只不过这些要求是以前所未有的法律的形式固定下来的，良好的公司治理和高管层对IT的职责再也不是一个可有可无的美好远景。

  • 公司数据的完整性受到公司IT控制的充分性影响；
  • 公司交易从交易开始、记录、处理到报告全程应用IT；
  • 加快并支持财务报告的IT的控制
  • IT控制有效性记录与评价的要求
  • IT一般控制与应用控制
  • 利用IT自动记录并监控控制制度的执行

      因此，萨班斯方案开始要求CIO必须成为管理控制专家，不仅要参与到公司治理领域，以使IT与业务一致，还要在完善内部控制和全面风险管理体系中发挥作用。IT也成为公司治理、全面风险管理关注的新领域。
眼下，我国几十家在美国上市的企业正在紧锣密鼓地忙“符合SOX法案”的项目。对于“符合SOX法案”项目而言，更引起广泛关注的是上市公司管理当局要评价信息时代财务报告内部控制的设计与执行的有效性，并对此负责，外部审计师要连同财务报告审计一起审计内部控制。这主要是针对SOX404条款的遵从，所以很多“符合SOX法案”的项目也称为“SOX404” 项目。
SOX法案最主要的特征表现在：法案要求组织机构使用文档化的财务政策和流程来改善可审计性，并更快地拿出财务报告。要求企业针对产生财务交易的所有作业流程，都做到高透明度、可控制、实时风险管理并防治诈欺，并且这些流程必须有可追查到交易源头的详细记录。
      对于这些在海外上市的中国企业而言，必须在2006财年结束前通过此项法案的认证，否则，证券市场会认为企业财务管理不规范、报表值得怀疑、股价不可信。如果中国企业大量不合规范，可能影响对中国企业整体的信任。严格的披露要求、紧迫的披露时限和严重的违规处罚，令在美国的上市公司加紧“萨班斯符合项目”，未通过的加紧建设完善内部控制体系，特别是IT内部控制体系，已通过的公司正在寻求如何加强持续符合萨班斯法案。
SOX的实施问题
　　　对于上市公司来说，SOX404条款的实施是遵从萨班斯法案的一个重要举措，必须由公司董事、管理层、SOX404项目小组、内审总监与其他人士积极监察和参与。SOX404条款的遵照执行有四个区分明显的阶段：

1.公司应制定内部控制详细目录，确定内部控制是否足够，然后将这些控制与诸如COSO委员会之类的内部控制研究机构的内部控制框架进行对照;
2.公司被要求记录控制措施评估方式，以及未来将被用来弥补控制缺陷的政策和流程(如果有的话);
3.公司必须进行测试工作，以确保控制措施和补救手段起到预期作用;
4.管理层必须将前述三个阶段的各项活动情况整理成为一份正式的报告。

在SOX404项目中，企业应该考虑以下问题：
 • Sarbanes-Oxley法案需要对各个部门的员工和管理者进行培训。
 • 要求管理者和审计师增加文档纪录、测试和检查。
 • 纠正在检查中发现的任何潜在缺陷。
 • 完善风险评估和控制行为的测试与监督战略
 • 投入更高的审计费用
 • 法规遵从软件的购买 –——买哪一种?
 • 利用COSO建立的内部控制框架给IT部门的系统控制带来的变更

   完善内部控制可能需要几年的时间实现完全转变，并且可能要有很大的投入。从国内外的实施经验来看，基于风险的、由上至下的确定范围和测试策略的方法将减少目前工作所需的时间。
 • 优化关键控制
 • 优化应用控制
 • 实施持续控制监督
 • 重新设计控制
 • 使流程和系统合理化

      萨班斯遵从成本
　　萨班斯的严厉性和高昂的执行成本从一开始就遭人诟病，已有包括新加坡“创新科技”在内的一批著名公司主动申请摘牌退市，更多的中国国企和银行也毫不犹豫地放弃了在美国上市的既定计划。该成本之高昂，据安永的调查显示：收入超过50亿美元的公司中，四分之一的公司在萨班斯符合项目启动之前弥补了500多个单独控制； 超过70%的公司在萨班斯符合项目启动之前对IT系统和控制进行了重大修改，在这70%的公司中，与404条款有关的成本耗费要比最初预计值高出50%；58%的年收入不足50亿的公司把超过半数的内部审计资源用于与404条款相关的活动中；76%的公司期望使用一些控制自评估(CSA)的表格来满足目前404条款的符合； 53% 的企业想在一年内开展企业风险管理 (ERM)； 87%的企业想通过由404条款带来的职责分明和控制负责人的推动获取价值。

来自普华永道的另一份调查清晰地描述了萨班斯遵从的投入，如下表：

 
      根据国际财务执行官(FEI)对321家企业的调查结果，每家需要遵守萨班斯法案的美国大型企业第一年实施第404节的总成本将超过 460万美元。这些成本包括 35000小时的内部人员投入、 130万美元的外部顾问和软件费用以及 150美元的额外审计费用 (增幅达到35%)。全球著名的通用电气公司就表示，404条款致使公司在执行内部控制规定上的花费已经高达3000万美元。

      欧洲最大的金融机构之一荷兰国际集团(ING)负责人也抱怨说，随着银行和保险业忙于采用一批新规则，这些行业会出现“监管疲劳”。  欧洲各银行在承担了实施萨班斯-奥克斯利(Sarbanes-Oxley)公司治理法以及转向国际会计准则所带来的成本后，现在又面临着引入巴塞尔 2号协议而产生的成本。有关规章变化的速度使法律、财务和合规部门员工疲于应付。

　　 该集团首席执行官陶曼特 (Michel Tilmant)表示，  “你需要让机构适应这些监管变化，”陶曼特先生表示，“你必须确保正确执行了规定，并有时间调整心态。 ” 

　　股权持有者们认为新法案的代价是值得的，推行404条款会带来一个前所未有的好光景。因为 萨班斯法案的本质是对企业管理全方位的要求，比如企业是不是设计了一套完善的内部控制框架，这个框架是不是在企业内有效运营，并能够防止企业在内部控制流程中的一些风险。 从长远来看，会提升公司治理水平 ，或许更多人会认同404条款对于美国资本市场健康发展的作用。毕竟，一旦发生公司丑闻，投资者的损失将远远超过公司目前付出的成本。

      中国在美上市企业的“生死时速”