“竞业禁止”法规遵从进行时
对于中国企业来说,法规遵从不是结果,而是过程。以法规遵从为契机,深入研究IT治理,加强IT控制,降低风险,把公司治理与IT治理相结合、全面风险管理与IT治理相结合的理念彻底贯彻下去,中国企业必将有更加良好的发展前景。
今年7月,萨班斯-奥克斯利法(以下简称“萨班斯法”)正式开始实施。该法案对美国上市企业的监管产生深刻影响,这当中自然包括在美国上市的中国企业。据了解,中国目前在美上市企业都正在加紧建立和完善内部管控机制,以遵从该法案的要求。
萨班斯法案不仅给公司财务提出了严格的要求,更是对CIO们提出了挑战。国外媒体称,萨班斯法案是2005年CIO最为关注的几件事情之一。美国IT治理协会(IT Governance Institute)发报告指出,法规遵从给CIO带来最少四方面的新挑战: 第一,必须加强对内控知识的掌握程度; 第二,理解企业遵从萨班斯法的全面计划; 第三,推动特定IT控制环节的法规遵从计划; 第四,努力使自己所承担的计划融入企业的整体法规遵从计划当中。
究竟如何应对萨班斯法给企业监管和IT治理带来的新挑战?究竟如何看待萨班斯法背后的影响实质,它将带给中国企业和政府部门什么样的启发和思考?如何借鉴其中的先进经验?带着这些问题,《计算机世界》报社CIO俱乐部于近日举办了“萨班斯与法规遵从高峰论坛”,邀请各方专家共同商讨解决之道。
法规遵从无法回避
2005年3月,美国投资人RoyVan-Broekhuizen委托Milberg Weiss律师事务所向纽约南区地方法院提起诉讼,以“未适当披露审计信息,违反1934年美国证券法为由”对中国人寿股份有限公司提起诉讼。中国人寿并不是Milberg Weiss集体诉讼的第一家中国公司,据悉,Milberg Weiss曾经发动投资者控诉网易,最终达成和解,网易为此付出了435万美元。
受到这部法案影响的中国企业远不止这两家在美国上市的中国公司。今年年初,就连续有UT斯达康、中航油、前程无忧网站、新浪等数家公司在美遭遇“提供虚假信息”和“隐瞒重大事实”的集体诉讼。
业内人士指出,集体诉讼的风险在美国比在世界的任何其他国家都大。在美国上市的外国企业遭到集体诉讼的可能性有10%。调查显示,40%在美国上市的海外公司在原定期限前难以达到404条款的要求,中国企业与同他们具有相似风险级别的外国竞争者相比,对法律风险预防投入的资源更少,起步也更晚,所以中国企业实际上面临着遭受更大损失的风险。
虽然美国联邦证券交易委员会将在美国上市的外国公司按照萨班斯法案要求提交年报的履行期限从2005年7月15日延迟到今年7月15日,对于中国企业而言依然是一个严峻的挑战。更为重要的是,萨班斯法案揭开了中国企业必须去面对的问题——法规遵从。
中国企业如果不直接赴美国上市,这样是否就能避免法律遵从对中国企业可能造成的影响呢?
事实并非如此,上海证券交易所和香港联交所,都已先后公布了与萨班斯法案类似的相关法规,对上市公司建立内部稽核制度和信息披露要求进行了探讨,也对与财务报告相关的IT控制提出了要求。
在全球公司治理趋同的监管环境下,越来越严格的法规规范是全球化趋势,靠短暂地逃离严厉监管永远不能解决问题。完善公司治理IT治理,完善内部控制不仅是资本市场的要求,更是中国企业国际竞争力的重要要素之一。因此,中国的企业最终也要适应这一游戏规则。在萨班斯法案生效的7月15日,由财政部牵头发起,证监会、国资委共同参与成立的“企业内部控制标准委员会”正式在北京成立,这预示着中国企业也即将面对一部类似美国萨班斯法案的标准体系。
国资委政策法规局副处长王黎晓介绍,如今法规遵从已经成为全球性的规则,中国的企业要走出去,首先法律要走出去。国家对法律遵从方面的问题一直很重视。黄菊副总理在2005年国务院国资委会议上专门强调要加强企业监管,完善内部管理制度,高度重视风险的防范,要建立法律顾问制度,增强企业管理水平。国务院2005年国防9号文件也专门提出,要积极推进企业法律顾问建设,建立健全法律风险防范机制。目前国资委也在大力推行企业法律建设制度,今年国资委将面向全球为11家中央企业招聘法律顾问。以期使企业高度重视法律风险,加强法律风险机制建设。这一切,都是为中国企业顺利走出去所必须奠定的基础。
“要真正把合规做好,必须让合规能够对企业产生效应,能够推动企业前进,这样才会有动力。” 中石化信息系统管理部副总工程师吴正宏指出,中国企业在美国上市需要经历非常严格的考核。这对中国企业来说有两个作用: 一是加强公司的内部管理,使得公司良性发展; 二是使公司从人治型的公司向法治型公司转变。合规的过程对中国企业而言是一个很大的挑战,同时也是一个很大的机遇。
规避解决不了中国企业的根本问题,无论是在国内还是国外,法规遵从都已成为悬在准备上市的中国企业头顶的达摩克斯之剑。对于在美国上市的中国企业和即将赴美国上市的企业而言,萨班斯是横在面前的一座大山。到目前为止,在美国上市的中国企业中,只有搜狐、新浪、亚信等寥寥几家通过了萨班斯法案。如何改善公司治理结构,以及改进与此相关的IT控制和完善IT治理,开始进入更多中国公司董事会和管理层的议事日程。
萨班斯法案与IT治理
帮助企业规避风险、完善内部控制,是萨班斯法案的核心内容。而另一方面,法规遵从将会大幅提升企业对IT资源的需求。由于企业的业务运作已经越来越依赖于IT系统,以至于IT控制成为企业内部控制的重要组成部分。萨班斯法案与IT管控之间的关系也越来越多地引起企业管理层的重视。
事实上,那些已经开始法规遵从过程的企业,都立即意识到IT的重要性,因为实现萨班斯法案合规,涉及到所有影响财务报表生成的业务部门,譬如302条款对财务报告的提供,404条款对内控报告的提供,409条款实时披露材料的变更,802条款为审计和评审员保留相关的记录等。
中国IT治理研究中心副主任孟秀转接受采访时说,“无论持续监控也好,还是持续审计也好,都离不开IT治理。对企业而言,网络、应用系统、操作系统、数据库实际上是大楼的基石上,上面是应用软件,再上面才是业务流程和财务。”IT系统、数据和基础设施的状况都直接影响到财务报告的生成过程。一个企业对于IT的运用特性,将直接决定企业内控与财务报告的质量。
赛门铁克公司政府解决方案及战略部高级总监Lawrence Dietz认为,对用户来讲,在法规遵从过程中往往会遇到几个问题: 首先是时间和成本的问题,其次是复杂性的问题,再次是实施效率的问题。而这些都与IT部门息息相关。“除了财务部门,IT部门在企业中也占有非常重要的地位,企业必须先从治理流程开始,没有治理流程的话,法规遵从也无从谈起。一个企业的运作很多时候是靠数字化的内容来体现的。IT就像一个企业运行的血液。”
吴正宏认为,萨班斯法对中国企业可能产生的影响主要有四个方面。
首先是对财务系统有比较大的影响,是不是符合法律的要求,财务流程是不是按照法案要求进行优化,财务数据是不是进行了整合,能够很方便地进行审计,能不能保证正确性,都是中国企业应该注意的问题。
第二是对于内控管理相关的应用系统,特别是跟业务流程有关的系统的影响。要建立很多审批流程,特别是与财务活动相关的信息功能,包括采购、销售、库存等。这都需要应用系统的支撑,这些系统如果做得不严格,审计的时候也很难通过。
第三是对基础设施的影响,可以分两部分: 一部分是物理基础设施,包括基础软件、硬件、存储等; 另一个是安全访问的平台,包括对用户身份的管理、对信息访问控制、存储机制等。现在应用系统的安全访问控制,基本上都是分散在各个应用系统里,没有实现统一的集中管理,这会带来很多不安全隐患。
第四个就是整个企业的IT治理,要保证做好前三点,除了要做好应用系统,服务器、存储、物理设施也必须跟上,“只有符合一系列标准,才能够保证IT系统的强健。要建立一个能够符合法规政策要求的系统,IT治理必不可少”。
IT部门的庞大任务
企业的IT部门要支持公司高管、财务和内外部审计人员的需求,确保影响财务报表的业务流程、应用和信息基础设施的完整性、可用性和可审计性,保证内控报告和内控程序的完成,并能够对外部审计需求做出积极响应。
一个更好的会计标准和更及时的信息披露要求将大大减轻经理人与外部投资者之间的信息不对称。因此,公司治理的核心问题是信息不对称性或不完全性,解决公司治理问题,最核心的是公司信息的真实、准确以及处理与传递的效率问题,而IT技术在实现透明度原则和体现监控力度上正日益成为有效的工具。
IT部门需要在许多方面有所准备,譬如如何优化财务流程,完善财务应用系统,在财务应用的基础上,实现财务数据整合和统计分析告; 如何建立内部控制体系并引入内控管理信息系统,创建和记录企业内部业务流程,使公司的CEO、CFO、员工和审计人员能够实时识别、分配、测试并监视内部控制与流程,确保业务流程根据内控标准执行; 如何收集并监视控制信息,使管理人员能够快速查看流程、组织、控制和风险的实时状态; 如何对影响财务报告的信息系统的IT控制,完善治理机制,进行IT内部控制和信息系统审计,以保证达到萨班斯法案对IT的基本要求。
IT控制既是萨班斯法案的重要内容,也和企业IT治理架构的建立有密切的关系。IT既是一种手段,也是一个控制的对象。在依赖先进的IT方法,提高内部控制效果的同时,可以迅速地查找问题和监控问题,提高相互交流和信息传递的效率。同时因为IT所占据的重要地位,由此产生的风险又造成了企业新的灾难性的风险。如果系统的安全性存在问题,就可能有未经授权的数据更改或程序更改。如果系统开发流程存在问题,则会影响到整个系统的运行操作,从而影响到应用系统本身。
总而言之,计算机信息系统介入管理层对内部控制的评估,是一个非常复杂的过程,而IT系统本身不完善所造成的限制,又可能造成内部控制本身的水平降低、被测试者的效益降低、费用增加等一系列问题。
如何平衡IT部门与企业各部门之间的协作关系,保证各部门之间交流顺畅、监管明晰,并保证系统的安全可靠,对信息化建设相对薄弱的中国企业的IT部门来说,无疑是一个十分庞大的任务。
事实上,如果中国企业能够顺利通过萨班斯法的审计工作,深入研究IT治理,加强IT控制,降低风险,有效地实现公司治理,把公司治理与IT治理相结合、全面风险管理与IT治理相结合以及“六方”(CEO、CFO、CIO、COO、CKO、CMO)相结合的理念彻底贯彻下去,中国企业必将有更加美好的发展前景。
法规遵从并非一个项目
很多在美上市的企业正在“痛苦”地准备,以期望度过萨班斯法的大考。那么,企业该如何改变,才能通过萨班斯法案的考验呢?
孟秀转等专家认为,企业一定要端正一个观点: 法规遵从本身不是一个项目,一次合规并不可能一劳永逸。
如何做到持续合规,才应该是中国企业真正的目的所在。“有的企业高层,先砸一大笔钱,先把今年过了,明年再说。这种观点是有害的。”但目前为止,国内几个大的中央企业,在萨班斯的遵从项目方面已经做了大量的工作,但目前绝大多数企业都是以项目方式来进行的。
“不是项目,要持续合规。”这种观点也得到了搜狐首席财务官余楚媛的认可。搜狐是最早通过萨班斯法案的中国企业之一。早在2005年,搜狐和新浪就通过了萨班斯法案的考验。
余楚媛介绍,搜狐自从2004年开始萨班斯法的遵从准备工作。其间走过不少弯路,在实施过程中,仅咨询顾问公司就更换了三个。“企业在遵从萨班斯法时,走第一步就该想到第一百步的样子。如果能做到这一点,就可以简化一些工作。”
“企业又要经营,又要合法合规,只有把合规落实到日常管理当中,完善公司的IT治理、风险管理以及IT治理机制,加强人才储备,以不变应万变才是根本之道。”孟秀转说。
怎样才能够把法规遵从由项目变成持续合规的流程呢?
孟秀转说,规范化过程当中应该考虑到与绩效管理、全面风险管理机制等相结合,将职责描述、培训、绩效评价与持续合规结合起来。优化控制,从流程的标准化、文档的标准化、测试的标准化当中获得收益,同时建立风险管理和控制预警系统,在风险发生之前就及时进行处理。这要求两个方面共同努力: 一是持续性的监控,二是持续性的审计。这就要求管理层要持续地监控,内部审计部门要持续地审计,由此来实现持续合规。
萨班斯出台的源动力是为了保护投资者。Lawrence Dietz说,对于中国公司来说,首先要明白的问题是对萨班斯的认识。中国企业为什么要去做法规遵从?是因为要在美国上市,还是企业本身内部的自发动力,是不是要把自己当作管理和控制的典范?
不管是不是有自发的动力,中国企业最终都要付出实践,尽管所有的结果都是为了对公司更好地管理,最开始所抱有的目的还是会直接影响到最终的效果。国家会计学院教授郑洪涛指出,中国企业内部控制方面存在的问题,第一就是错位,目的倒置,“我们的目的不是解决根本的问题,而是为了完成任务。”郑洪涛说。只有先解决了目的倒置的问题,中国企业今后才会有更好的发展。
软件厂商的新商机
萨班斯法虽然对在美国上市的企业提出了极高的要求,但同时也为帮助增强企业IT治理的软件企业创造了新的商机。
有数据显示: 收入超过50亿美元的公司中,25%的公司在萨班斯法合规项目启动之前弥补了500多个单独控制; 超过70%的公司在萨班斯法合规项目启动之前对IT系统和控制进行了重大修改; 76%的公司期望使用一些控制自评估的表格来满足目前404条款的规定; 53%的企业想在一年内开展企业风险管理; 87%的企业想通过由404条款带来的职责分明以及控制负责人的推动来获取价值。法规遵从大大刺激了企业的IT支出,这对于低迷已久的IT业来说,或许能够成为一个扭转颓势的良好契机。
有企业开始专门针对萨班斯法案开发平台软件,以帮助上市公司更快、更顺利地完成这一极为复杂的工作过程。IBM、惠普等IT企业纷纷推出应对萨班斯和法规遵从的解决方案及相关的培训。赛门铁克也提供了能够帮助客户对所有安全事件(包括往来的电子文档)进行归档、存储、备份、迅速发现,乃至进行分析的软件工具。
计世资讯(CCW Research)认为,对于大多数中国企业来说,类似萨班斯法案的法规遵从要求目前还比较遥远,但毫无疑问,实现法规遵从是未来的一个趋势。萨班斯法案会激发中国企业对内容管理软件及商业智能软件的需求,因为许多上市公司都在寻求更好的方法以获取并监控企业内部海量的数据,从而增强对企业财务报告的内部管理。
链 接:高昂的法规遵从成本
1997年亚洲金融危机、2002年美国出现世通和安然事件后,凸现了公司治理的重要性。萨班斯法案在此背景下出台。萨班斯法案的根本目的是遵守证券法律,以提高公司披露的准确性和可靠性,从而达到保护投资者及其他目的。
萨班斯法案最重要的两个条款是302条款和404条款。其中302条款规定上市公司的CEO和CFO在其年报中必须签名并认证其财务报表,表明其不含有任何不真实的并导致其财务报表误导公众的重大错误或遗漏; 而404条款它成立了一个独立的上市公司会计监督委员会(PCAOB)来监管审计,加强审计师的独立性,规定上市公司的公司管理层及外部审计师必须在年报中就公司产生财务报告的内控系统分别做出评价和报告,外部审计师还必须对公司管理层评估过程以及内控系统结论进行相应的检查并出具正式意见。
这项制度在增加审计公司收入的同时,也在增加上市公司的合规性成本。有调查表明,实施萨班斯法案给上市公司带来的合规性成本平均为460万美元左右,这些成本包括3.5万小时的内部人员投入、130万美元的外部顾问和软件费用以及150万美元的额外审计费用(增幅达到35%)。对于年度营业收入超过50亿美元的公司而言,这个数字则为平均800万美元左右。通用电气公司曾表示,404条款致使公司在执行内部控制规定上的花费已经高达3000万美元。
高昂的合规成本,让很多公司都选择了退市或在上市前止步: 1999年美国股市中的退市公司仅有30家,从萨班斯法实行后,2004年已经升至135家。在因该法案而引起的退市潮中,就包括已经在纳斯达克上市11年、全球最大的计算机声卡制造商——新加坡创新科技公司。
萨班斯法案的实施和可能引起的诉讼也导致一部分中国企业停下了赴美上市的脚步。虽然此前,中国企业已成为美国股市日益重要的新股发行来源,但越来越高的门槛已使得不少中国企业望而却步。现在,一些准备上市的中国企业决定放弃在美国上市的计划,转而去欧洲或中国香港上市。
就短期而言,此项内部控制制度的建设成本是相当大的。中国企业大多处于发展之中,而发展中的企业会经常调整业务、策略等。此外,中国企业在遵从法规过程中需要投入大量的时间、人力和财力,基于萨班斯法案的时间限制,这些间接成本也相当高。但从长远看来,萨班斯法案对企业防止突发事件、降低财务风险有很大作用,可以有效遏制出现财务卷款潜逃的恶劣行为,避免给企业带来不可挽救的损失,帮助企业的管理层改变决策环境,提高决策反应速度。 (ccw)
- 1监控软件怎么选
- 2IT业引发的道德困境
- 3构建企业开源VoIP
- 4怎样计算企业实施安全风险控管机制新增成本
- 5龙虾小贩与IT咨询顾问
- 62008年ERP市场容量预计达5.5亿美元
- 7目标存货投资的优化
- 8软件方案商如何走出转型“泥沼”
- 9用质量管理风险
- 10提升IT部门竞争力的五个手段
- 11电子电器 OA办公软件协同OA建设目标
- 12企业电子用户的工作环境
- 13标准化的是与非
- 14VoIP也外包:既省钱又灵活
- 15怎样给IT系统一个新视角
- 16企业ERP软件的三种模式
- 17CIO怎样缩小目标与结果之间的差距
- 18当web2.0遇上企业时
- 19如何在企业内部进行权限的配发和管理?
- 20美国应急管理署的信息化之路
- 21赢得安全投资的技巧
- 22企业网站如何“安家”最合适
- 23四大步骤提高IE以及Email安全性
- 24移动名片”如何“动”
- 25Linux版中小企业管理软件适用吗?
- 26中小企业常见的信息安全威胁
- 27OA使会议计划以快捷的方式传播给与会人员
- 28如何让中小企业选到更合脚的ERP
- 29OA系统可以指定代理人,在委托时间里
- 30ERP实施中的两种极端方式