“萨班斯”来了!这部被认为是继上世纪30年代大萧条以来,美国政府制定的范围最广、措施最为严厉的公司法律,其严厉的监管对在美国上市的企业来说,是一场残酷的考验;而对帮助企业信息化的软件厂商来说,新的商机也正浮出水面。
“不能通过《萨班斯-奥克斯利法案》(以下简称《萨班斯法案》)的公司轻则被投资人‘用脚投票’,股价下跌,重则将被追究刑事责任,甚至从股市上摘牌。”ITGov(中国)IT治理研究中心首席专家孙强告诉记者:“如果中国在美企业有较多没有通过,则会影响中国企业在世界的声誉,不利于中国企业对外融资和走向世界。”
7月15日起,按照美国证券交易委员会(SEC)的要求,美国《萨班斯法案》将对在美国上市的外国企业开始实施。
这个被美国总统布什称为“自罗斯福总统以来对美国商业界影响最为深远的改革法案”,自出台后已让大多数在美上市的企业大伤脑筋,92%的美国上市公司已经认识到其内部控制框架与《萨班斯法案》的规定之间存在的差距。在2004财年,总计526家公司被迫披露其内部控制措施存在重要缺陷。
有调查显示,多达40%的在美国上市的海外公司难以在原定期限达到《萨班斯法案》的要求,而中国公司的状况则更为严重。中国公司内部控制薄弱,整体准备状况较差,进展缓慢。孙强表示,如果没有延期,他们中的大多数都无法在规定时间内达到该要求。《萨班斯法案》是柄双刃剑
在《萨班斯法案》的404条款中,对IT部门的法规有19条。自从千年虫以来,在IT界还没有什么比这19条法规激发更多波澜的事件呢。
通用电气公司就表示,404条款致使公司在执行内部控制规定上的花费已经高达3000万美元。我们国内也有很多大型企业为此投入了大量的人力、物力,“甚至有些人笑谈他们的工作内控几乎是悬在头上的一把剑,压力很大,甚至做梦都在进行内部控制措施。”孙强说。
根据国际财务执行官组织(Financial Executives International ,FEI)对217家平均年收入为50亿美元的上市公司进行的调查,《萨班斯法案》的遵循成本比最初认为的要高很多,因为遵循内控强制规定的平均成本上升到了436万美元,比2004年的估计值上升了39%。这一费用是在公司财务报表审计费之外的。预算外的增长主要是因为咨询、软件和其它供应商等外部成本增长了66%,而支付给外部审计者的费用上升了58%。
高昂的合规成本,让很多公司都选择了退市或在上市前止步:1999年美国股市中的退市公司仅有30家,从《萨班斯法案》实行后,2004年已经升至135家。在因该法案而引起的退市潮中,就包括已经在纳斯达克上市11年、全球最大的计算机声卡制造商新加坡创新科技公司。
AMT研究院咨询师陈琦认为:“《萨班斯法案》明确规定,外部审计人员必须检查和证实一个公司内部财务控制的有效性,这其中就包括信息系统的可靠性。《萨班斯法案》强调企业的信息技术策略和企业内控活动(不论是人还是机器)的操作流程都必须明白地定义并保存相关记录,而后才能实施。这样要求是为了让企业管理者了解内部状况,以便在IT审计时提供及时支持。但是,在提高IT审计效率的同时,CIO仍需考虑为之投入的成本问题。”
《萨班斯法案》对上市企业的益处在于以法律形式强化了公司内部的风险控制,也同时将企业IT治理的重要性提高到前所未有的高度。“几乎所有上市公司的核心业务运作都依赖IT系统,信息资产成为企业的核心价值资产。关键在于建立更好的内部过程控制视图,同时提高效率并且把IT与这些过程关联起来。”中国惠普有限公司资深IT服务管理咨询顾问庄丽娟向记者介绍说:“要让企业通过IT将所有工作有效整合,不只是一套软件能实现的,需要后期大量的IT服务管理工作。”“几乎所有上市公司的核心业务运作都依赖IT系统,信息资产成为企业的核心价值资产。关键在于建立更好的内部过程控制视图,同时提高效率并且把IT与这些过程关联起来。”
软件厂商新商机
《萨班斯法案》虽然对在美国上市的企业提出了极高的要求,但同时也为帮助增强企业IT治理的软件企业创造了新的商机。
据安永公司的调查显示:收入超过50亿美元的公司中,25%的公司在《萨班斯法案》合规项目启动之前弥补了500多个单独控制;超过70%的公司在《萨班斯法案》合规项目启动之前对IT系统和控制进行了重大修改;76%的公司期望使用一些控制自评估(CSA)的表格来满足目前404条款的规定;53%的企业想在一年内开展企业风险管理 (ERM);87%的企业想通过由404条款带来的职责分明以及控制负责人的推动来获取价值。
来自市场研究公司Forrester Research的调研报告显示,在针对企业内部控制的评估技术趋于成熟之际,关于《萨班斯法案》的第二波IT技术浪潮已经爆发:和《萨班斯法案》相关的软件将加快开发的速度。在2005年,该法案分别对内容管理软件和商业智能软件产生了15%及9%的需求增量影响。越来越多的企业将通过各种自动手段(如访问控制,交易分析,执行规则和电子表格控制)和不间断的监控来实施管理。
在增长的市场面前,解决方案供应商们展开了激烈的争夺。IBM采取了一种集成的方法来帮助客户遵守《萨班斯法案》。IBM通过IBM Global Services的Business Consulting Services工具、Tivoli管理解决方案和Lotus Workplace进行集成,用来指导公司遵守法案并完善内部控制。
SAP也针对《萨班斯法案》制定了一套名为Compliance Management for SOA的软件。今年4月,SAP还收购了风险管理提供商Virsa Systems用以加强其在企业协同和风险管理方面的实力,该行为被分析家们认为是为了进一步强调其对《萨班斯法案》的重视。
甲骨文大中华区总经理李翰璋向记者介绍说:甲骨文发布了一整套帮助企业遵循《萨班斯法案》的管理工具。该工具可对不良债权减少的目标和收款核算管理流程进行比较,以判断在实现目标的过程中可能出现的风险,并导入适当的规则,简化复杂的业务流程和风险评估的定义及管理。
惠普结合已经在公司内部广泛采用的“关键控制指标”(KCI)和“关键风险指标”(KRI),推出OpenView Compliance Manager解决方案,该方案能够直接对《萨班斯法案》遵从风险进行评测,使内控管理系统中的法规监测过程实现自动化,并就法规符合情况进行报告。从而降低法规遵从成本。
《萨班斯-奥克斯莱法案(Sarbanes-Oxley Act)》
《萨班斯法案》源于2001年美国安然公司倒闭后引起的美国股市剧烈动荡。为防止和保证上市公司财务丑闻不再发生,由美国参议员Sarbanes和美国众议员Oxley联合提出了一项法案,该法案即以他们的名字命名。
《萨班斯-奥克斯莱法案》中,针对上市公司CEO?穴首席执行官?雪和CFO?穴首席财务官?雪有两条严格规定:一是要求上市公司CEO和CFO保证向SEC(美国证监会)提交的财务报告真实可靠;另一条是,要求上市公司CEO做出与财务相关的内控有效的声明。如果出现问题,CEO和CFO将为此承担最高至500万美元的罚款和上至20年的监禁刑事责任。
符合《萨班斯法案》的核心是404条款,而404遵循中的重点和难点是IT管理控制体系的有效性。因此,研究IT治理,加强IT控制,降低风险,有效地实现公司治理,成为CIO和CSO 要高度关注的命题。ITGov(中国)IT治理研究中心首席专家孙强认为要探讨和推广“三个结合”:即公司治理与IT治理相结合,全面风险管理与IT治理相结合以及“六方”(CEO、CFO、CIO、COO、CKO、CMO)相结合的理念、技术与最佳实践。
-
没有关键字相关信息!
- 信息系统运维预算定额参考标准研究[04-09]
- 第2章 跨文化管理理论和实践[01-14]
- 16:什么是关键成功因素法(CSF)?[06-09]
- 24:eSCM-SP(服务提供商外包能力模型)有哪些…[06-10]
- 第4章 跨文化沟通[01-14]
- 治理评论第一期[01-20]
- 治理评论第二期[01-20]
- 治理评论第五期[01-20]
- 治理评论第三期[01-20]
- 治理评论第六期[01-20]
- 治理评论第四期[01-20]
- 太极凭什么中标12306? [09-26]
- 中国国际航空股份有限公司--书评[11-01]