专家破解“过关”之路 人人都要“萨班斯”

发布时间：2009年05月07日点击数： 作者：ITGov中国IT治理研究中心 来源：ITGov中国IT治理研究中心

【字体：小 大】 【收藏】 【打印文章】 【查看评论( 0 )】

摘要:

近日，一位地市运营商的朋友告诉记者，他所在的公司正在组织开展内控制度设计和培训活动，截止到六月底，该公司各部门结合当前开展的内控等工作累计立项课题达50多项，内容涉及到企业经营管理、客户服务、工程建设(运维)等三大方面50多个工作点(流程)。从上述运营商的动作中也可以感觉到，已经延期两次的萨班斯法案终于“来”了。这个月十五号，这个又名“公众公司会计改革和投资者保护法案”将正式生效。

　　内控建设加速萨班斯之路

　　目前，我国四大电信运营商已经全部在美国上市，对于上市的中国电信运营商而言，萨班斯法案是一个必须攀越的高山，否则就会面临停牌的危险。

　　北京邮电大学文法经济学院法学教研室主任肖毅敏指出，国内的电信运营商建立一个符合萨班斯法案基本要求的内部控制体系要分多步走。

     首先，要强化控制环境。建立对财务报告、内部控制和高层管理者行为的监督机制。这一点与公司治理结构的进步息息相关。其次，健全风险管理机制。我国企业一般对风险管理不够重视，没有设立有效的风险监控职能，电信企业也不例外。再次，建立信息技术内部控制。要从大规模的信息技术建设上面转移到对信息化的管理工作的关注上来，并且遵循思想、目标、流程、模型、信息系统的正确方法论，分步实施、合理、有效地组织。最后，建立有效的监督机制。内部控制的设计的充分性需要定期检查，而监督机制的建立要注重自我监督与独立评估并重。企业应考虑建立和完善内部审计职能，使内部审计的独立评估成为企业内控监督机制中的重要力量。企业还应着重建立有效的舞弊汇报、监察机制，使各种舞弊事件或舞弊迹象能够迅速、有效地汇报给有能力采取行动的管理层级甚至董事会。

　　虽然国内电信企业的内部控制体制的现状不是很好，中国IT治理研究中心专家孟秀转则对电信企业内部控制管理表示乐观，国内电信运营企业相对其他行业企业而言还是比较完善的。她指出，由于企业自身情况和环境的变化，电信企业建立健全内部控制体制是一个长期的过程，目前完善IT治理机制以及建立良好的公司层面的内部控制这两个关键性因素可以加速电信企业的萨班斯之路。

　　孟秀转认为，电信企业可以从IT战略规划、IT组织与关系、人力资源管理以及教育和培训用户等方面着手建立公司层面的控制框架，以实现公司整体层面的控制目标，同时这也是公司治理最高层面的内容。

　　塑造软环境

　　内部控制评价的高低主要取决于两点：一是，内部控制设计是否合理；二是，内部控制制度是否得到有效执行。其中控制环境是内部控制的关键，对内部控制其他四个因素有着广泛的影响。

　　孟秀转认为，包括企业高层经营理念与管理风格，职业经理人的职业道德，诚实品质，胜任能力等在内的软控制因素决定了内部控制的设计执行是否有效。另外领导者的品质也决定了内部控制执行的有效性。如果视内部控制制度如无物，我行我素，那么再完善的制度都将是一摞摞文档。中航油的陈久霖就是例证。

　　针对执行效率，孟秀转提出，电信公司必须建立一套自我监控、自我评价的机制，评价内部控制系统设计、执行是否有效，以支持管理层的声明。自我评估机制可以帮助公司发现控制弱的区域，以及控制漏洞，及时审势度势，弥补内控系统的缺陷，确保内部控制系统持续有效。

　　这也是萨班斯法案所要求的。控制自我评估(CSA)是指企业内部为实现目标、控制风险而对内部控制系统的有效性和恰当性实施自我评估的方法。传统的内控评价方法只能用来评价诸如财务报告，资产与记录的接触、使用与传递，授权授信，岗位分离，数据处理与信息传递等的“硬控制”。在新的内部控制模式下，迫切需要评价包括公司治理、高层经营理念与管理风格、职业道德、诚实品质、胜任能力、风险评估等的“软控制”。在这种情况下，作为一种既可以用来评价传统的硬控制，又可以用来评价非正式控制即软控制的机制，CSA得到了普遍的信赖。

　　须加强培训

　　萨班斯法案对公司员工提出了巨大的挑战，遵循萨班斯的内部控制完善之路需要企业的每一个人，包括技术管理者和普通员工。如何让技术能手、业务能手成为内控制专家，必须要通过教育和培训，使各部门明确其在符合萨班斯过程中的职责，对其职责所在的节点控制程序非常了解并且熟练执行。孟秀转认为，通过各部门分层培训，使电信员工在操作上以及风险控制上有整体的理解和认识，不仅可以帮助电信企业各部门员工接受内部控制检查时作出正确的回应，而且能够在具体的业务操作实践中有效执行控制程序，可谓一举两得。

　　同时，肖毅敏也指出，国内电信业想要通过萨班斯法案的审查，首要的是观点的改变，要认识到这是整个公司的事情，需要各部门都参与其中，不能认为这仅仅是财务部门的事情。整个团队合作无间，在实施SOX法案时一定要全员投入，同时也需要公司高层高度关注。

　　萨班斯法案为公众公司的外部审计师创建了一个新的监督体制，并把对财务报告的内部控制作为关注的具体内容，不仅要求管理层报告公司对财务报告的内部控制，而且要求外部审计师证实管理层报告的准确性。因此，我们构建IT内部控制系统时必须从全局考虑，借鉴国际内部控制框架及国际最佳实践经验，构建一套系统化、标准化、可审计、可持续改进的IT内部控制系统。

　　孟秀转指出，中国的电信企业都已经针对萨班斯方案成立了项目组，进行了差距分析和期限弥补，例如中国移动去年进行的四省试点工作，今年全国性开展了内部控制管理项目，而其他三家电信企业也正在进行内部控制有效性测试，为迎接外审师的到来作最后的准备。

　　可以说，萨班斯法案从根本上改变了企业的经营环境和法律环境，其目的在于通过加强内部控制，来改进公司治理状况，并最终加强公司的责任。

　　记者观察:不惜千金买制度

　　遵守萨班斯法案到底需要付出多大代价？

　　根据国际财务执行官(FEI)对321家企业的调查结果，每家遵守萨班斯法案的美国大型企业第一年的平均总成本超过460万美元。而运营商作为中国的大型央企，由于公司治理方面相对较弱，其在人力、时间、资源方面的投入将更高。

　　如此巨大的投入，换来的是一种防范风险的机制。

　　中国网通总会计师郎李福申告诉记者，遵守萨班斯法案的好处，在于它能够促进企业责任感，完善内部控制，提高财务报告和审计的质量及透明度，而这也是中国的电信运营商最迫切需要加强的环节之一，“只有接受这种挑战，央企的机制和观念转变才能真正到位”。

　　香港经济学家郎咸平曾提出过一个著名论断：“如果中国国有企业的信托体系不健全，那么中国经济发展的前景是菲律宾而不是美国。”也就是说，如果没有有效的信托体系，我们不但实现不了做大做强的愿望，反而可能成为金融危机中最先受到打击的对象。然而就目前来说，这种风险防范机制在国内还没有自动生成的可能，引入萨班斯法案这一美国制度也就成了必然的选择。

　　中国运营商投入如此巨资去执行一项境外监管制度，在历史上可谓前无古人，这也注定了运营商的萨班斯之路不会一帆风顺。