被喻為“瘋狂法律”的薩班斯法案,猶如懸在中國“國際化”企業頭上的達摩克利斯之劍。7月5日,中國第一家海外上市公司華晨中國汽車控股有限公司宣布,不堪薩班斯法案高昂的遵循成本,從美國紐約證券交易所退市
。在法規遵循的大趨勢下,用IT系統幫助企業符合薩班斯法案的要求和在薩班斯法案中尋找IT的商機,是眼下業界熱衷討論的問題。
然而——
7月5日,中國第一家海外上市公司——華晨中國汽車控股有限公司從美國紐約證券交易所退市了!
一位在美國上市的中國公司的財務管理人員告訴記者,讓華晨不堪重負的,正是為了遵循《薩班斯—奧克斯利法案》(簡稱薩班斯法案)而不得不向審計公司支付的巨額咨詢、審計費用,以及高昂的內部遵循成本。與這筆支出相比,華晨在紐約交易所融到的資金卻非常有限。
這邊是退市,那邊卻是歡慶通過薩班斯法案。僅今年上半年,就先后有華能國際電力股份有限公司、中國網通集團(香港)有限公司、中國人壽保險股份有限公司、中國石油天然氣股份有限公司等大型企業通過了薩班斯法案。
然而,同樣是通過薩班斯法案,各公司不僅實施的成本不同,對IT手段的依賴程度也各不相同。有的企業除了已有的IT系統外,并沒有為薩班斯法案采購新的IT設備,而是通過人工的手段完成控制點的文檔收集和整理;有的企業則采用了一些基本的協同工具,分擔一部分人力工作。
慧點科技商業流程與控制事業部總經理吳大軍指出,如何利用IT系統來幫助企業符合薩班斯法案的要求,也正是企業頭疼的問題。“第一年法規遵循的時候,首先解決的是從0到1的問題,企業為了通過薩班斯法,甚至直接讓咨詢公司采用手工的方式先把報告交出來。如今,企業已經有時間來思考,到底怎么利用IT工具提高效率。”這位人士表示。
漸顯IT“智障”
缺乏內控的IT系統,是中國企業在遵循薩班斯法案過程中所遇到的最大挑戰。中國企業IT系統重建設、輕維護的老傳統,使得IT系統不能完整實現其管理功能,在業務與IT密不可分的趨勢下,傳統IT系統漸顯“弱智”。
如果有人告訴你,中國企業在遵循薩班斯法案過程中,遇到最大的挑戰是IT系統,你是否會非常驚訝?
2002 年7 月通過的薩班斯法案本意是促使在美國上市的公司通過加強內部控制,來改進自己的治理狀況,提高治理水平,恢復投資者對美國資本市場的信心。一般來說,薩班斯法案會涉及公司層面、業務流程及IT管理3大方面。
“信息化投資占企業整體投資的比例越來越大,企業中越來越多的業務流程都建立在IT系統之上,管理業務就是管理IT,兩者不可割裂。”ITGov中國IT治理研究中心專家孟秀轉表示。但她同時指出,在任何一家公司里,財務控制都是管理的重頭,相關的規章制度也非常嚴格,而IT內控更是很缺乏,面臨的挑戰也要大得多。
2005年初,在美國紐約證券交易所上市的中國人壽保險股份有限公司啟動了薩班斯法案遵循工作。“當時的現狀很不樂觀。”中國人壽薩班斯法案404項目組的一位負責人這樣評價。中國人壽2005年的年度報告顯示,根據香港準則與美國公認會計準則統計的數字出現了重大差異,作為外審機構的普華道,也指出了中國人壽與信息系統相關聯的實質性漏洞。
導致這個漏洞的主要原因,就是IT系統的集中管理程度不夠。中國人壽信息技術部項目管理處的一位負責人解釋說,這與中國人壽總部信息技術部一直立足于服務的角色定位有關,而按照薩班斯法案的要求,信息技術部更應側重于管理,包括加大對分公司信息系統、系統建設、運維、數據等集中管理的力度,降低分散管理隱含的風險。
2005年,中國人壽制定了一份《信息技術管理制度》。“這是一件開歷史先河的事情。”404項目組的負責人表示。以往,中國人壽并不是沒有IT方面的制度,但是相關的制度很零散,如分別面向防火墻、IT采購、安全備份等方面的。而這套新制度涵蓋了IT的各方面,梳理出了公司應該具備的流程和控制點。這個管理制度解決了管控范圍、管控思路以及管控標準的問題,只要達到這些控制點,至少能保證不會出錯。
“外審公司披露的漏洞對中國人壽的幫助還是很大的,我們試圖從中理解外審做出這樣評價的意圖,從而分析外審會更注意哪些問題,這些經驗也為公司2006年年報的順利過關提供了經驗。”該負責人表示。
當然,從理論上來說,全國數據大集中的實現是這個漏洞的終極解決方案。因為一旦大集中,公司總部就能從數據層面掌控所有資源,把管理風險從分散的地方完全集中到總部。據了解,中國人壽計劃在全國建立南北兩大數據中心,目前選址已經完成,正在進行前期籌備工作。
今年3月底通過薩班斯法案的中海油,同樣面臨著IT治理和IT控制這個新問題的挑戰。“我們剛開始做薩班斯法案遵從的時候,并沒有把IT當成非常復雜的工作,做了以后才發現,薩班斯對國企IT的管控架構產生了很大影響。”中國海洋石油有限公司薩班斯法案404實施項目組的一位負責人如是說。
讓他印象最深的有一點:過去IT系統往往重建設、輕維護。過去員工使用IT系統的時候,往往認為,“誰建的系統誰負責”,而一些系統管理員擁有超乎一切的權限,成為IT系統里的“領導”;實際上,根據職責不相容的原則,IT系統的應用層和后臺管理必須嚴格分開。
以前,中國人壽的IT人員較欠缺,尤其在分公司層面,往往會出現一個人兼數崗的情況,從開發、應用,到運維、硬件管理都要負責。根據薩班斯法案404內控的要求,數據庫、操作系統可以是一個人負責,但是應用系統與數據庫管理員這樣的前臺操作和后臺管理一定不能是同一個人。否則應用系統維護人員修改數據時,又能從后臺數據庫的行為日志里清除數據,從而增加了很多風險。
搬走“絆腳石”
根據薩班斯法案的要求,參照COSO模型和COBIT框架進行整改,是在美上市企業無法回避的選擇。中海油和中國人壽搬走“絆腳石”的方法不盡相同,但殊途同歸,借助IT系統的強制性,來規范管理。
雖然薩班斯法案直指的是財務報告的真實、準確,但是很多公司的財務報告流程都是由IT系統驅動的。可以說,IT是保證財務報告內部控制的有效性的基礎,IT的控制至關重要。
這也是很多在美上市公司根據薩班斯法案的要求進行整改時,參照COSO模型和COBIT框架的原因。參照COSO框架很好理解,因為它包括控制環境、風險評估、控制活動、信息交流、監督等5項要素,已經成為世界通用的內部控制權威文獻。
而COBIT(Control Objectives for Information and related Technology,信息及相關技術的控制目標)很明顯是一個IT治理的框架。問世11年的COBIT,從規劃與組織、采集與實施、交付與支持、監控4個方面確定了34個處理過程以及318個詳細控制目標,并能將IT流程、IT資源及信息與企業的策略與目標聯系起來,在企業業務戰略指導下,對信息及相關資源進行規劃與處理。
我們從中可以看出,COSO與COBIT的映射關系。這些現成的流程和框架有助于中國公司初步梳理出流程,外審公司會幫助做一個控制矩陣。中國人壽把這個控制矩陣與公司的制度做了映射,明確指出一個控制點應該對應制度的哪些條款,并從2006年初開始在全國大力擴展。
中海油為了薩班斯法案的遵循工作,采用了IBM的WBCR系統。這個2005年開始建的系統,于去年7月通過驗收。項目小組把它當做一個文檔管理、數據管理、測試結果集中的平臺,能夠對一個項目組的工作起到協同的作用。“我們可以把控制、風險都放在同一個系統中,比如哪些控制點需要測試、什么時間測試的、測試的結果如何。否則,我們可能還在用EXCEL表格,那樣至少需要1~2個人專門進行文檔更新等工作。”其項目組的一位負責人表示。
目前中國人壽還沒有進行額外的IT采購以應對薩班斯法案,但這并不表明中國人壽沒有考慮這個問題。
“從2005年開始,我們就有了這樣的想法,即最好是通過一個IT管理平臺實現流程的自動化管理,覆蓋發起、辦理、審批、評估、定期抽樣檢查這樣一個工單處理的全過程,這與紙質管理將完全是兩個概念。”中國人壽404項目小組的某位負責人表示。這個自動化管理,被中國人壽稱為ITI,也就是IT系統自己的信息化,已從今年開始正式啟動。
當然,美國企業在IT采購上行動得更早,比如購買Movaris公司的Certainty法規遵從工具。AMR研究公司的分析師John Hagerty說,購買404條款法規遵從跟蹤工具平均需要花費10萬~15萬美元。
那么,類似的IT工具和IT系統能夠給企業帶來什么好處呢?
首先,公司的管理將更加規范。一項管理的內容,從公司的總部傳達到各省分公司,再到各地市級公司,最后落實到一個個具體的人,中間將跨越眾多環節,也很容易發生管理的失效。采用信息系統則能把所有的管理都固化下來,如果下一級機構不按照這個流程去做,就沒有辦法進行下去。在IT系統的強制下,管理會更加規范。
其次,公司的效率將得到提高。“中國人壽全國35個省級分公司,加上總部一共是36個點,每個點需要2~3人。這些人需要檢測每個控制點是否都具有支撐性文檔、控制是否有效,一次管理層測試就要耗時2~4周。”中國人壽404小組的某位負責人表示。
如果沒有IT工具做支撐,工作人員必須用手工翻閱的原始的紙質文檔。上了信息系統之后,信息可以分門別類地在信息系統中管理起來,能夠方便地查詢和調用。企業還可以對不同人的權限加以區分,有效地提升企業的管理效率。
第三,有利于公司的整改。企業在遵循薩班斯法案的過程中,首先要將公司內部控制的現狀和外審公司給出的目標進行對比,并從有問題的流程入手進行整改。然而,導致公司某個流程出現問題的原因有兩方面,一是公司原來流程的設計有問題,二是員工的執行力過弱,導致控制結果沒有達到預期。
在過去,一個問題從它發生的節點反饋到業務部門,至少需要一個月的時間,而采用信息系統以后,管理人員只要擁有權限,就能隨時查看,到底是哪里出現了缺陷,并針對性地采取措施。
關鍵在“人”
遵循薩班斯法案的內控要求,即使采用了IT系統和IT工具,相關的文檔、日志也在系統里保留下來,但最后還需要人去對這些信息進行深層次的挖掘。因此在企業內控的人、技術、流程3大因素中,核心因素在“人”。
“很多企業第一年做薩班斯,往往關注硬性指標,如定制度、買設備、定流程,甚至寄希望于一套設備幫忙固化流程。然而,如果人沒有風險意識,這些東西都是白搭。”ITGov中國IT治理研究中心專家孟秀轉說。
因此,她格外強調控制環境的重要性。中海油的思路與她的觀點不謀而合。“其實404的實施標準并不是審計師來制定的,而是取決于公司管理層的認識。”中海油薩班斯法案404實施項目組的一位負責人說。比如一項工作應該由誰來審批,這些內容都是公司決定的,一般外審會給出建議,如果這么做,可能存在怎樣的風險,但是最終對風險進行認定和分析的還是公司。
中國人壽薩班斯法案404項目組的某位負責人認為,薩班斯法案帶來的最大改變,就是很多工作都需要審批。這使得以前那種以工作內容為中心的工作流程,變成了規范而一致的辦公流程。以往,領導安排一項工作可能只需要口頭通知或者EMAIL通知,如今卻必須按照相關的流程,說明布置這項工作的理由,受理該工作者必須簽字確認。
記者在采訪過程中,深刻地感覺到薩班斯法案改變了公司員工遵守內控制度的態度。一位受訪者要求記者的稿件發表之前,必須接受公司相關部門的確認,“這個流程是我們項目組提出來的,如果不這么做,就是在這個控制點上出現了內控失效。”
這也正是孟秀轉反復強調的,“在企業內部控制中,在人、技術、流程三大因素中,人是最主要的因素。”即使采用了一些IT系統和IT工具,相關的文檔、日志也在系統里保留下來了,最后還需要人去對這些信息進行深層次的挖掘,包括問題在哪里,是流程的問題還是執行的問題,這些都只有人才能判斷。
專家們認為,遵循薩班斯法案的巨額資金投入中,比例最大的其實是支付給咨詢公司和審計公司的費用,而不是IT投資和IT內控上的費用。在這些投入中,除了資金、人力成本外,還包括公司上上下下的工作人員為配合404項目的工作而付出的工時,這些潛在的成本會更大。
“其中一部分成本投入,如備份體系的建立、安全措施的整改、人員補充等,是有利于企業發展的,我們叫良性增長。但是還有一些屬于現有工作外的額外工作,如整改、流程明確、管理層測試等帶來的人員、成本投入,數量也相當大。”中國人壽404項目組的某位負責人表示。
而這部分不屬于“良性增長”的成本投入,正成為很多公司抵觸薩班斯法案的原因。在吸取了上市公司和審計公司的意見之后,今年上半年,美國證券交易委員會(SEC)通過了一份新的財務報告內部控制管理層評估指南,美國公眾公司會計監督委員會(PCAOB)也通過了審計準則第五號,以替代原來的審計準則第二號文件。
這兩個調整,也被業界認為是薩班斯法案的有利變化。具體來說,新的第五號準則要求審計師采用從上到下的、風險導向的方法,引導上市公司將精力集中于那些可能導致重大錯報的領域。而新的評估指南則指出,審計師不一定需要對管理層內部控制評價程序的恰當性發表意見。
以往判斷一個公司內控有效的前提,就是審計師通過管理層評估來判斷這一公司的內控運作是否有效。如果管理層評估的結果不好,就算審計師沒有發現問題,也要對此進行說明。在新規定的框架下,上市公司可以結合公司的業務采取更靈活的措施,把注意力集中于更重要的領域,而不是重形式、輕內容。
相比于第一年通過法案時的興師動眾,上市公司第二年的遵循工作將遵循減法的原則。“第一年不理解,什么都算控制點,會把自己累死的。第二年,公司就要學會對關鍵控制點和非關鍵控制點進行區分。”中國人壽404項目組的這位負責人總結說。可以想像,法規遵循工作將日益成為一項日常性的管理工作。 (ccw)
