以美国安然和世通公司为代表的公司财务丑闻在这个世纪初引发了强烈的震荡,当公司财务被少数人任意操控时,其恶果不仅仅是世界前500强的几家公司的轰然倒下,更是对整个社会的严酷践踏。于是我们看到了萨班斯-奥克斯利(Sarbanes-Oxley,简写为SOX)法案的出台。SOX出台已有4周年,它在极力避免财务欺诈的同时,也让公司承受着高昂的遵从成本。
2001年12月2日,美国安然公司向纽约破产法院申请破产保护,破产申请文件中开列的资产总额为498亿美元,是美国有史以来最大宗的破产申请案。
然而,在这宗破产案背后,美国媒体和司法机关却揭出了层层黑幕。除了公司本身的财务造假和审计黑幕之外,还牵扯到美国会250多名议员,最后甚至牵扯上了布什总统本人。2002年1月25日,安然前副董事长克里福德·巴克斯特在汽车中自杀身亡。这看上去很像是一出政治黑幕电影中的场景……
5个月后,即在2002年的6月25日,美国电信业巨头世通公司(WorldCom)又爆出财务丑闻。其CEO和CFO后来皆锒铛下狱。
2002年7月30日,也就在揭开世通财务丑闻的1个月零5天之后,萨班斯-奥克斯利(Sarbanes-Oxley,简写为SOX)法案正式成为美国法律。这样的立法速度在美国似乎是空前绝后的。这部法律从此改变了无数IT经理人的职业生涯。
SOX法案的目的是为了尽可能地减少企业的财务欺诈行为。其中有一条是企业须承担各项烦琐法律义务的条款,那就是404条款。该条款要求企业必须确保内部控制的及时有效,以保障财务报告的全过程透明无欺诈。
而从IT的角度来看,遵从404条款意味着更严格的系统访问控制;更严格的责任分离;以及更好的系统配置,并可能导致管理行为的改变。
高昂的遵从成本
但是自从SOX法案获得通过以来,它便招致了众多上市公司几乎是愤怒的指责。诋毁者们尤其反对404条款。因为遵从该条款将会给企业带来不堪重负的成本。按照分析师们的估算,企业每收入10亿美元,其中因遵从SOX而累积的成本就约为100万美元。
AMR市场分析公司的统计显示,2003年,美国企业用于SOX遵从的支出为25亿美元,2004年为55亿美元,2005年为61亿美元。今年则估计为60亿美元,这些支出的具体分配大约是内部员工(39%)、技术(32%)和外部咨询(29%)。
自SOX颁布以来,上市公司支付给经理们的薪酬大幅攀升,因为经理们为了法规遵从需要花费更多的时间并承担更大的责任。对于小公司而言,经理人的年薪在2001到2005年间平均增长了71%,中型企业平均增长了64%,大型企业平均增长了58%。
而无论对于何种规模的企业来说,审计费用都是额外增加费用中的大头。法律公司Foley&Lardner所做的调查显示,对于小公司来说,审计费用增加了22%,中型企业增加了6%,而大型企业则增加了4%。
Foley&Lardner的调查还显示,有21%的企业说它们正在考虑退市。此外还有计划出售公司的(10%)或者计划与其他公司合并的(8%)。比如在纳斯达克上市已有11年之久的新加坡创新科技公司就已经决定要退出纳市了。
面对有关高昂成本和实施困难所招致的如潮抱怨,美国政府的监管者们说他们将考虑修改与SOX相关的监管规则和审计标准。
美国证券交易委员会(SEC)和美国上市公司审计监督委员会(PCAOB)也已开始制定SOX的实施指导,其目的是让企业将主要精力放在最有可能出现财务欺诈风险的某些关键领域上。这将会逐步地降低企业在法规遵从上可能产生的成本。
当然,对企业来说也有好的消息,那就是有多家咨询公司研究发现,从第二年开始,法规遵从的成本会呈现逐年下降的趋势。
著名会计公司安永最近对255家美国企业进行了一项关于SOX法规遵从的调查,结果有81%的企业认为他们在SOX实施的第二年用于法规遵从的人员工时减少了;近一半(46%)的企业说所节省的工时数大约为10%到25%;另有30%的企业说他们节省的工时数为25%到50%;有5%的企业甚至节省了50%以上的工时。
美国Nicor天然气公司负责企业网络的经理Mark Guth做过估算,认为他们IT部门2005年用于SOX法规遵从的费用大约为IT部门全部运行费用的2%,比2004年略有下降。
Guth说:“我们发现,法规遵从的入门成本非常之高,一旦我们步入了正轨,让法规遵从成了日常运营的组成部分之后,对人力资源的需求立刻就下降了90%。”
2004年,Nicor的IT部门花了大约8500人员工时用于各种法规遵从问题。“而在2005年,我们只用了大约900个人员工时来实施所有这些监察工作,遵从的结果水准与2004年一样。事实上,从遵从的角度来看甚至更好。”Guth说。
虽然从法规遵从的第二年开始,遵从成本有下降趋势,平均降幅在16%,但也并非所有的企业均会出现下降。比如GE在2004年花费的法规遵从成本大约为3300万美元,2005年此项费用持平,未见下降。
不过GE的遵从成本虽然并未下降,但他们还是从SOX法案的实施中获得了积极的结果。两年来,他们对企业内部财务报告过程的控制非常有效。
财务管理国际公司(FEI)在对274家上市公司进行调查后也得出了类似的结果。有44%的企业认为财务报告更为可信了,33%的企业认为遵从404条款已帮助他们防止了或者检查到了可能的过失。
但是对于小公司来说,SOX的遵从成本高昂是不争的事实。因为很多小公司没有专门从事法规遵从的人手,所以不得不外包给咨询公司来做这些事情,这就增加了它们的成本。比如Macrovision公司的CEO William Krepick说,他们需要花费110万美元雇用咨询公司帮他们实施法规遵从,另外为了实施404条款还得花费数千人员工时。
SOX的影响涉及方方面面
SOX法案对于商业社会的方方面面都将产生重大的影响,而对于IT来说,法规遵从将会大幅提升企业对IT资源的需求。Gartner的调查显示,多数企业的CIO们认为,他们2006年的IT预算中将会有10%以上的部分专门用于SOX遵从。
Gartner的一位研究副总裁French Caldwell指出,这意味着没有法规遵从功能的IT项目会被搁浅。“27%的CIO说他们今年可以获得专门用于法规遵从的资金;22%的CIO则说不知道这笔钱应从哪儿出,其余人则说,只能按照排序的重要性抽调其他项目的资金来实施法规遵从。”
实施法规遵从,对于能够增强系统的安全管理和安全审计性能的软件产品来说是个利好消息。
比如上面提到的Nicor的IT部门就采用了一种叫做ArcSight企业安全管理的软件工具,可帮助收集并分析来自企业的防火墙、路由器、交换机和服务器的各种安全数据。Nicor利用这种工具修正了一些相关的安全信息和资源漏洞,尤其是与系统访问请求有关的一些漏洞。
哥伦比亚Micro系统公司也部署了OpenPages的软件产品,可帮助管理Micro在全球60个分部的内部控制文档和认证信息。
对于企业的IT系统来说,SOX所造成的负担不只涉及不同的部门和不同的项目,在某些情况下,法规遵从还有可能导致IT生产效率的降低。
美国芝加哥的金融服务公司ADMIS是美国大型农产品加工企业ADM的全资子公司,拥有自己的IT系统。ADMIS的技术副总裁Sam Helmich说:“在过去,有自己的IT系统是一个巨大的优势,因为我们是一家小公司,在改变业务模式的时候要比大公司灵活快捷得多。但现在,我们已经失去了生产效率。”
由于需要法规遵从,Helmich的15人团队不得不花费大量时间做很多文书性质的工作,并等待审批和分阶段程序的交接,据说这是为了遵从法规所规定的责任分离。“这可是个耗费时间的事情。因为要遵从SOX,我们的生产效率已降低了20%。”Helmich说。
责任分离还导致了ADMIS对IT设备的投资增加。Helmich现在必须为研发部门和检查部门提供单独的系统。“我不能让研发人员在同一个系统上运行。即使他们已经分离而且根本不可能影响到生产数据,我也不能让他们访问同一个系统。”他说。
这意味着ADMIS需花费50万美元来升级公司去年才买的IBM Syctemi服务器。“我得买一台性能比我原先的实际需要强上三四倍的机器,再利用虚拟技术把研发、检查和生产环境完全隔离开。”他带着无奈的神情说。
那么,在萨班斯法案的紧缚下,企业的未来生存到底会是什么样?本报资深评测工程师荣钰在他的博客(hp/109">http://blog.cnw.cn/index.php/109)上写了一篇文章“嗨,你的电话在被窃听!”,幽默地描述了企业在加强了内部控制和监管之后的生存状况:“看来以后的上市公司,要做很多内部的审计和监控工作,监控文件、监控邮件、监控电话、监控MSN……所以以后别用公司的办公电话打私人电话,否则你这里情意绵绵,那边IT的同事们正偷着乐呢。”
他还提到了未来在企业中可能盛行的一些网络安全技术,比如思科和微软等公司的NAC、NAP技术、集成式监控软件、协同办公软件、安全审计协调网关等……
SOX的法规遵从无疑会大大刺激企业的IT支出,这对于低迷已久的IT业来说,或许能够成为扭转颓势的一个很好的契机。