自“薩班斯法案(SOX法案)”生效以來,美國上市企業的CEO幾乎都是十分謹慎地度過每一個財務年度,然而仍有超過500家企業的內控問題被揭露。在美國上市的中國幾大電信企業也要接受近乎殘酷的SOX法案煎熬。既然法案執行是外部強制性的要求,電信企業就必須面對這個挑戰,因此關鍵是如何做好準備,迎接挑戰,并以法案的執行為契機,切實提高自身管理水平,幫助電信企業更快地實現成為世界一流信息運營商的目標。
一、SOX法案的主要要求和影響
SOX法案對美國的本土上市公司和中國的四大美國上市的電信企業皆產生如此大的震動,最大根由在于其從對上市公司的信息披露管理,轉向對公司的實質性內部運作管制。具體影響如下:
第一,為公司治理帶來巨大的變革壓力。我國幾大電信企業中,雖然公司治理制度在股份制改造過程中已得到發展,盡管已有中國移動和中國電信進入財富500強,且幾大運營商均已上市并實現了公司化治理,但由于其脫胎于舊的國有企業,并處于社會轉型特定時期,公司治理水平與日、美等發達國家存在差距,公司管理能力和治理結構有待提高。
第二,加強了對高管人員的約束機制,強化了高管人員信息披露的法律責任。在SOX法案正式生效之前,美國的上市公司定期信息披露并不需要CEO/CFO簽字。因此當上市公司的財務丑聞被揭發,其CEO/CFO往往以自己不知情來開脫個人的法律責任;另一方面由于專業性強,程序復雜,一般很難找到直接證據來證明CEO/CFO明知或故意披露虛假財務信息。結果,美國無罪推定的司法原則使監管部門常常無計可施。與此同時,許多上市公司都給CEO/CFO甚至前任CEO/CFO提供了極高的報酬或福利,多數與其信息報告相關聯,正向激勵的約束平衡顯然不夠,也給資本市場信心帶來負面影響。SOX法案要求在上市公司公開披露的信息中,須附有首席執行官(CEO)和首席財務主管(CFO)的承諾函,保證所提交的定期信息披露報告的真實性,這樣監管者即使找不到或不需找財務欺詐的直接證據,也可要求CEO/CFO本人承擔法律責任,為監管機構查處財務欺詐提供強有力的法律武器,彌補監管體系上的漏洞,使公司的激勵機制與責任追究機制達成某種平衡。
第三,加強了公司內控制度建設方面的要求。根據法案404條款的規定:建立足夠的內控程序并維持其有效。這個條款牽扯著公司整體管控流程和財務體系的重整,在此形勢下,公司內部管理體系尚未理順就使之透明化,面臨困境不足為奇。盡管在美上市的四大運營商都相繼完成了上市的征程,成長很快,但都是從大型的國有企業轉換而來,并沒有從根本上脫離傳統的管理模式,在管理理念上仍未清晰到位,管理細節方面仍然粗糙,這種傳統管理模式的缺陷以及龐大的機構管理體系成為它們順利通過薩班斯法案考驗的第一個障礙。
另外,美國安然和世通公司事件,皆反映出一個令人擔憂又總被忽視的問題:內部控制缺失或存在重大缺陷。在應對和防范這種因內部控制缺陷而造成的重大風險方面,美國政府從內部控制的根本——政策的角度,以立法的形式來強制推行和實施有效的內部控制制度;從內部控制的有效運行——日常檢查的角度,以管理層自身的評估報告和注冊會計師對管理層內部控制評估報告提交審計報告雙重制約來強化內部控制的有效存在。在此法律效力之下,四大電信企業須進一步細化電信企業的管理,提高企業自身的內部管控能力,將嚴格的控制活動融入公司層面及各項日常管理活動中,以符合法案要求。
第四,對IT系統架構提出了更高的要求。由于法案增加了審計師信息系統審計的要求,要求審計師穿過信息系統,進行IT控制執行效果測試,對公司所有的IT建設提出了更高的要求,在多數業務系統中,不僅要求業務需要層面的滿足,而且也需控制層的滿足,對原應用系統進行擴充和完善,以加強整體信息層面的控制。在物理層、邏輯層和應用層均有要求,并進行管理控制、開發變更、維護與報告等方面的整體性控制。
二、上市電信企業所面臨的挑戰
SOX法案的實施,對于中國的電信企業,不僅有影響,更是一項挑戰。
第一,在管理模式上,中國的電信企業主要還是粗放型管理的模式,在公司發展方面基本上還是追求規模效應,靠經驗、拍腦門式的投資管理模式在某些地區、某些運營商中還存在。SOX法案的頒布要求公司在內部控制方面必須嚴格精細化,運營的每個環節必須在公司可控的范圍內,這無疑是一個重大挑戰。
第二,在內控體系上,目前電信企業的主要管理方法,都是基于KPI驅動的管理方法,最上層的集團公司通過考核指標的設計和每年對考核重點的變動,實現對公司整體的驅動,省公司對市公司的管理基本上也是拷貝。基層執行人員日常的工作目標主要是完成自己的考核指標,但在如何完成指標的方法上卻無太大的限制,有個形象的比喻就是“鐵路警察,各管一段”,將一個完整流程分割,并沒有真正評估和分析可能遇到的整體風險,這樣的控制管理體系很難達到法案的實施要求。
第三,在成本負擔上,由于SOX法案的執行需要大量人力物力投入,特別是在控制點的建立上,而中國的幾個電信企業,都是集團、省、市(縣)三(四)級設置,在組織結構上呈現出分散而龐大的特征,關鍵控制點多,管理成本巨大。另外,根據國際財務執行官(FEI)對321家企業的調查結果,需要遵守薩班斯法案的美國大型企業平均第一年實施第404節的總成本超過460萬美元。如此大的財務壓力,對企業來說也是一道坎。
第四,在IT應用技術上,電信企業不可避免地要應用大量的業務和管理系統。這些系統的主要目是為了提高效率并滿足不斷增長的客戶需要,通常不能提供必要數量的控制程序,但卻與保持有效的財務報告內部控制方面緊密聯系。因此對其改造完善的工作勢在必行。但不論什么系統,一旦進行調整,都將面臨巨大的挑戰,尤其是短期內的調整,對于現有海量規模數據的系統來說,是一項繁雜而又充滿風險的工作。
三、上市電信企業的應對措施
如何應對這些挑戰,是現在四大電信企業必須面對的課題,電信企業的出路在哪里?有什么對策?從實現和正在實施公司的經驗來看,電信企業要跨過“SOX”這道坎,必須做好以下幾個方面。
(一)完善公司治理機制
公司治理機制是對公司管理和運營進行監督和控制的一種體系,其核心是在所有權和經營權分離的前提下,解決好所有者、經營者之間利益不一致而產生的委托—代理關系。由于委托人(所有者)和代理人(經營者)是不同的利益主體,委托人又相對處于信息劣勢,代理成本或激勵問題必然產生。現今我國電信企業中,通常是集黨委書記、總經理、董事長于一身,約束機制主要來源于上層,內部下層以及除上級外的外部組織,在制衡上無能為力。KPI的目標導向驅動,使高層通常忽視或并未將內部治理提到應有的高度。
在公司治理方面:一是健全公司內部治理的規則和程序、建立公司合法守規管理、完善約束與激勵機制、加強公司內部控制體系以及建立公司風險管理與控制機制。雖然在現有的公司治理結構中,有些公司也有審計委員會、獨立董事等監督機制,但這些人員的任職資格、發揮作用的程度、以及職責定位等都需改進。二是加強信息披露,增加公司內部決策的透明性。SOX法案強化公司治理要求的目的也是提高上市公司透明度,加強信息披露,從而保護投資者的利益。電信企業應在這方面著手,重視委托代理之間的信息不對稱問題,通過對公司重要信息有效的傳遞、鑒別和處理,使代理成本最小化,從制度上有序完善公司治理機制,建立良好的內部控制環境。
(二)利用信息技術,完善公司監控體系
SOX302、404以及409等條款對公司的要求,主要體現在公司信息真實與準確性及處理與傳遞效率方面,IT在公司治理機制中的作用日益凸現。特別是在電信企業中,生產和經營管理基本上都是依賴IT系統來實現的,IT治理已成為完善公司治理的重要手段,成為實現IT與業務的匹配管理、IT價值貢獻管理、IT風險管理、IT績效管理等的重要保證。但由于信息技術在治理方面所具有的復雜性,完善IT治理機制,以符合SOX法案要求本身也是一件系統工程。
1.進一步完善原有IT系統。對于在電信企業中大量運行的信息系統,不能直接摒棄原有的IT控制而另搞一套。為滿足SOX法案的要求,對員工觀念和企業文化進行宣貫調整,同時需要對IT系統和處理流程作一些改進,改進包括其控制設計、控制文件、控制文件的保留,以及IT控制的評估等方面。這是一個循序漸進的過程,不能將原有的一切推倒重來。
2.選擇好內控框架。SOX法案并未規定公司須選擇怎樣的內控框架,企業自行抉擇。我國電信企業主要選擇的是COSO控框架。COSO認為內控是由企業董事會、經理層和其他員工實施的,為營運的效率效果、財務報告的可靠性及相關法令的遵循性等目標的達成提供合理保證的過程。通過引入COSO內控要素,形成一個相互聯系、綜合作用的控制整體,使控制活動與企業環境、管理目標及控制風險相結合,形成一套不斷改進、自我完善的內控機制。
3.建立自評估機制,確保內部控制系統持續有效。企業的發展階段和管理狀況,以及外部環境的變化都是企業內控系統建立和運行有效的前提。任何內部控制系統都只在一個特定的歷史階段有效。公司必須建立一套自我評價機制,評價內部控制系統設計、執行是否有效,以支持管理層對內部控制有效性的聲明。同時自我評估機制也可幫助公司發現控制弱的區域,以及控制漏洞,及時審時度勢,彌補內控系統的缺陷,確保內部控制系統持續有效。
(三)再造公司流程,提高公司管理水平
首先,配備一定素質的人才,熟悉和研究《薩班斯—奧克斯利法案》和PCAOB的《審計準則》及規則,明確其對有效的內部控制體系具有什么樣的要求。其次,在明確這些要求的基礎上,結合公司的具體情況,從公司法人治理結構著手,按照業務流程再造的思想來再造內部控制體系,實施全面風險管理,全面分析公司在現在或未來可能面臨的風險,使得在此分析基礎上重建的內部控制體系能夠有效地應對可能會對公司、投資者或國家造成重大損失的風險。
(四)重視公司戰略管理
戰略管理工作對“SOX法案”的有效執行有重要支撐作用。公司內控系統所解決的更多的是公司在運營中的風險防范問題,除此之外,更重要的還須依靠戰略管理工作,來確定公司的未來發展方向,并通過方向的控制,實現運營活動的正確性。戰略管理工作還有助于集團公司、省級公司、地市公司的思路統一,避免資本市場的各類要求在基層組織執行中走形。電信企業均已實施了戰略管理,現在需要的只是將風險管理納入其中,從公司的戰略層、控制(管理)層和執行層等這幾個層次來設立立體的內部控制結構,把內部控制制度真正“植入”公司的經營體系,既可使內控體系貫徹到公司的所有層面,又能夠保證內控在建立之后能被切實的執行并不斷得到更新。
SOX法案來了,作為率先跨入美國資本市場的中國電信企業,代表著中國國有企業的總體形象,必須經得起SOX的挑戰,做到知己知彼。SOX并不可怕,它既是挑戰,更是機遇。
【參考文獻】
[1] 陸建橋.后安然時代的會計與審計——評美國《2002年薩班斯—奧克斯利法案》及其對會計、審計發展的影響[J].會計研究,2002(5).
[2] 朱榮恩,賀欣.內部控制框架的新發展——企業風險管理框架[J].審計研究,2003(6).
