SOX法案明年7月大考美上市中企IT治理迫在眉睫

申请免费试用、咨询电话：400-8352-114

“《萨班斯法案》（以下简称SOX法案）在美国生效日期是2004年11月15号，国外的企业以及美国一些小型企业原来是2005年7月15号，今年3月份美国证监会决定把实施生效日期往后推一年，所以中国在美国上市企业在2006年7月15号或者以后结束的财政年度开始生效。”

9月9日IBM软件集团与北京慧点科技开发有限公司在北京共同宣布：基于IBM WBCR （IBM  Workplace for Business Controls and Reporting）软件平台为华能国际电力有限公司（中国在美上市企业）成功定制实施了一套企业内控系统解决方案。

当天，普华永道环球风险管理部合伙人季瑞华对《财经时报》记者介绍了SOX法案对中国在美国上市企业的生效时间，并随后进一步解释称，“如果有中国企业财政年度为6月30号，第一年要做内控报告的是2007年的财政年度。但是大部分企业当年财经年度的结束日期为12月31号，所以第一个年度要从2006年开始遵守。”

资料显示，截至今年3月底，内地和香港一共有70余家公司在美国上市，其中包括多家大型国有企业，如中海油、东方航空、中国人寿、中国移动等。对这七十多家中国公司来讲，明年七月SOX法案将对他们是一个严峻的考验。

财务丑闻的催生品

2001年12月，美国最大的能源公司——安然公司，突然申请破产保护，此后，公司丑闻不断，规模也“屡创新高”。

2002年6月美国世界通信会计丑闻事件，更“彻底打击了（美国）投资者对（美国）资本市场的信心”。

一系列公司假账丑闻暴露出诸多上市公司治理结构不平衡和外部监督缺失。为了改变这一局面，美国国会和政府加速通过了SOX法案，该法案的另一个名称是“公众公司会计改革与投资者保护法案”。法案的第一句话就是“遵守证券法律以提高公司披露的准确性和可靠性，从而保护投资者及其他目的。”

美国总统布什在签署“SOX法案”的新闻发布会上曾称“这是自罗斯福总统以来美国商业界影响最为深远的改革法案 ”。

SOX法案的内容分为两部分，一是主要涉及对会计职业及公司行为的监管，包括：建立一个独立的“公众公司会计监管委员会”，对上市公司审计进行监管；通过签字合伙人轮换制度以及咨询与审计服务不兼容等提高审计的独立性；对公司高管人员的行为进行限定以及改善公司治理结构等，以增进公司的报告责任；加强财务报告的披露；通过增加拨款和雇员等来提高证券交易委员会的执法能力。

二是提高对公司高管及白领犯罪的刑事责任，比如，规定销毁审计档案最高可判10年监禁、在联邦调查及破产事件中销毁档案最高可判20年监禁；为强化公司高管层对财务报告的责任，要求公司高管对财务报告的真实性宣誓，并就提供不实财务报告分别设定了10年或20年的刑事责任。这与持枪抢劫的最高刑罚一样了。

复杂莫过404

对于在美上市的相关企业来讲，最难操作、最复杂、成本最高的则是该法案中对企业要求的完善内部控制，即404条款。

作为萨班斯法案中最重要的条款之一，404条款明确规定了管理层应承担设立和维持一个应有的内部控制结构的职责。

该条款要求上市公司必须在年报中提供内部控制报告和内部控制评价报告；上市公司的管理层和注册会计师都需要对企业的内部控制系统作出评价，注册会计师还必须对公司管理层评估过程以及内控系统结论进行相应的检查并出具正式意见。

有专家认为，中国企业遵守SOX法案的难点在于，依照法案所推荐和要求对照的美国COSO报告的理论体系，建立内控体系。据COSO的研究成果，企业内控体系包括控制环境、风险评估、控制活动、信息与沟通和监督5要素。

据悉，404条款的遵照执行有四个区分明显的阶段:

第一、公司应制定内部控制详细目录，确定内部控制是否足够，然后将这些控制与诸如COSO委员会之类的内部控制研究机构的内部控制框架进行对照；

第二、公司被要求记录控制措施评估方式，以及未来将被用来弥补控制缺陷的政策和流程(如果有的话)；

第三、公司必须进行测试工作，以确保控制措施和补救手段起到预期作用；

第四、管理层必须将前述三个阶段的各项活动情况整理成为一份正式的报告。

业内专家介绍，同时404条款也是企业耗资最大的条款。

根据国际财务执行官(FEI)对321家企业的调查结果，每家需要遵守SOX法案的美国大型企业第一年实施第404节的总成本将超过460万美元。这些成本包括35000小时的内部人员投入、130万美元的外部顾问和软件费用以及150美元的额外审计费用(增幅达到35%)。

全球著名的通用电气公司就表示，404条款致使公司在执行内部控制规定上的花费已经高达3000万美元。

据悉，单就这一条款就使得一些公司望而却步。数据显示，1999年美国股市中的退市公司仅有30家，2004年已经升至135家。虽然并没有证据表明导致这135家上市公司退市的原因都是缘自于404条款的高额费用，不过这些公司选择在SOX法案生效之时退市还是让人不能不与其联想到。

而全球最大的计算机声卡制造商——新加坡创新科技在美国纳斯达克上市11年后，选择在SOX法案生效之前退市可以算是最明显的代表。

创新科技的董事长兼首席执行官沈望傅曾解释退市的原因时明确表示，是由于美国企业丑闻事件爆发后，美国通过了影响广泛的萨班斯法案，导致创新科技在纳斯达克上市成本高昂。

同时不少原计划赴美上市的海外公司也纷纷改变了上市地点。有消息称中国国航股份就是因为“404条款造成的高额财务费用和较为苛刻的内控要求”，从而决定将上市地点从原先的香港和美国修改为香港和英国。而原计划在纽约上市的中行和建行也传言准备放弃美国市场。

企业信息化的商机

虽然404条款对上市企业提出了很高的要求，不过从另一个方面来讲，却为提高企业信息化乃至增强IT治理提供了一个很好的机会，尤其是对软件企业创造了新的商机。

据悉，SOX法案增加了企业的IT投入。Forrester Research在调查了800多家北美公司后发现，将近1/3的调研对象表示将在2004年增加IT支出，其中为遵守SOX法案而进行的投入是一个重要项目。

为了SOX法案，我们增添了很多安全软件，以保障系统安全。”有业内人士称。他相信，为了实现内控的实时性和有效性，国内很多公司将会添置大量软件。

类似情况在美国企业中也存在。一家名为Progress Rail的铁路产品和服务供应商为改善其子公司的记账情况，放弃了以前使用的手工程序和电子数据表格。它还安装了财务数据整合和分析软件，使用了平衡记分卡系统。这些系统可使其CFO近乎实时地了解企业的财务状况，及时洞察问题。而以前问题只有在每季度审计后才能水落石出。这些系统已花费了Progress Rail约50万美元。但这只是个开始。为了遵守法案，它还将对影响财务结果的系统进行一次从上到下的检查。

而从供给方也能看出这种商业机会。如IBM的WBCR软件平台就是应SOX法案而生的。据悉，IBM WBCR软件平台使用最广泛的SOX法案遵从软件平台，迄今为止已有百余家美国上市企业采用该平台并通过了首次SOX法案的遵从认证。华能国际的实施方案为IBM WBCR在国内首例应用，也开创了国内企业在完整的IT平台之上开展SOX法案遵从工作的先河。

事实上不仅IBM，软件巨头SAP、ORACLE都有专门针对SOX法案404条款提供的软件。SAP为自己的软件命名为Compliance Management for SOA。SAP(北京)公司高级应用咨询顾问马方介绍说，尽管这一软件主要是针对《萨班斯法案》而制定，但实际上很多的内容已经包含在SAP以往的软件当中。SAP在2004年推出mySAP ERP软件时，就已经包含了关于《萨班斯法案》的新需求，而使用原有R/3软件的客户则需要再购买一个软件包。

2003年6月2日，Oracle在美国发布内部控制管理应用软件（Oracle Internal Controls Manager），称可以帮助企业有效地执行SOX法案404条款的要求。

“全球有100多家公司提供404条款的解决方案。”IBM大中华区软件集团Lotus软件总经理刘秋美介绍称。

她同时解释，“有一些是从ERP或者数据库就可以做出来，有一些类似有一些平台开发出来。我认为整个优势本身，要看背后的意义和经验，这个业务整合就很复杂了，现在很多客户跟我们谈整合，这就不是简单ERP的数据，牵涉很多框架上的平台整合，如果真的要把这事情做好，还需要更多自己动化，更多整合。其实我们现在成功的客户里面只是实施一部分，没有完全的自动化。”

BPM即将走来

从去年下半年开始，用友、金蝶等管理软件厂商将关注重点放在了BPM之上。BPM为“Business Performance Management”的缩写，亦即“企业绩效管理”。

所谓BPM，就是管理者通过一定的方法和制度，确保企业及各子系统的绩效成果能够与企业的战略目标保持一致，并促进企业战略目标实现的过程。

企业对战略执行和企业绩效管理的需求由来已久，但BPM市场的真正兴起还是近几年的事。BPM最早从BI(商业智能)软件发展而来，IDC在2002年1月的研究报告称“BPM是BI的扩展”，并预测从2000年到2005年，BPM将保持24%的复合年增长率。然而，从Gartner提供的数字来看，即使在美国，到2002年底也只有不到10%的企业实施了BPM。

据悉在美国，已经有BPM Partners、BPM Forum等专业组织向用户提供BPM选型指导、实施咨询。

进入2004年，管理软件厂商围绕BPM展开的争夺似乎进入了高潮。而其导火线则是SOX法案。依照该法404条款的要求，“每一家上市公司应制定一份证明公司内部财务控制得力的年度报告，该条款的实施时间是2004年6月”。这促使上市公司开始考虑采用BPM来实现公司业务的可控性和可见性，并催生了BPM的专业组织——BPM forum。

由此，市场分析公司META集团判断“BPM在2004年的增长速度将远高于2003年”。而且据META 2003年的市场分析报告，SOX法案是很多企业实施BPM的一个影响因素。

据悉，BPM在欧美已经形成一个包括专业组织、咨询服务商、软件厂商的完整的生态链。但在中国，目前谈BPM的机构、组织很多，但没有一个统一的标准。BPM仍然停留在“国际先进的管理思想”的层次。

不过随着明年SOX法案对中国在美国上市企业的正式生效，这一块市场也会迅速启动起来，同时BPM也有可能成为继ERP之后的软件企业争夺的又一个热点。

成功者的启示

由此不难看出，虽然SOX法案以及其404条款极为苛刻，但是了随着各软件企业的介入以及部分上市企业的先行探路，中国在美上市企业顺利通过SOX法案还是很有可能的。

事实上作为在美国注册的搜狐公司等一些企业在2004年就得面对SOX法案的考验，不过好在通过努力，该公司已经顺利通过了其2004年的内控报告。对于搜狐之所以能顺利通过的原因，该公司CFO余楚媛称有两点：

首先是要认识到这是整个公司的事情，需要各部门都参与其中，不能认为这仅仅是 财务部门的事情。

第二个成功的原因得益于整个团队合作无间，由于这之中所涉及的一些会计制度是美国特点的，而作为中国公司还需要变通过来才能很好的交流，因为需要灵活变通一下。

同时，对于即将面临SOX考验的其他在美上市的中国公司，余楚媛建议，在实施SOX法案时一定要全员投入，同时也需要公司高层高度关注。

 链接：

1、　萨班斯法案

全称萨班斯·奥克斯莱法案（Sarbanes－Oxley Act），起源于美国安然公司倒闭后引起的美国股市剧烈动荡。投资人纷纷抽逃资金。为防止和保证上市公司财务丑闻不再发生，由美国参议员Sarbanes和美国众议员Oxley联合提出了一项法案，该法案即以他们的名字命名。

萨班斯·奥克斯莱法案中，针对上市公司CEO(首席执行官)和CFO(首席财务官)有两条严格规定：一是要求上市公司CEO和CFO保证向SEC(美国证监会)提交的财务报告真实可靠；另一条是，要求上市公司CEO做出与财务相关的内控有效的声明。

如果出现问题，CEO和CFO将为此承担刑事责任。

巨大压力迫使公司高层在公司内控机制和财务控制方面，必须花费大量精力建立起基础性和长期性的可监控体系。

2、SOX法案对遵从企业的要求

成立独立的合格的董事会审计委员会

由内部人士及时汇报公司的证券交易（2天内）

全面记录内部控制/披露程序

具备遵从这些控制所需的审计能力

记录主要控制的设计方法

评估控制的设计和效力

识别随之而来的控制问题并监控相应的修复措施控相应的修复措施

记录流程和控制的变化；发现任何相关问题

记录控制设计效力测试的结果

披露任何主要缺陷，获取外部审计公司审核以证明相关报告

3、COSO模型

1992年，美国五家会计协会（注会协会、会计协会、内部审计师协会、管理会计协会以及财务管理协会）组成了一个委员会叫COSO （Committee of Sponsoring Organizations）。

COSO提出了著名的COSO模型，认为内部控制主要由控制环境、风险评估、控制活动、信息交流、监督五项要素构成。

来源：财经时报