今年,在美国上市的众多中国企业正在为通过萨班斯-奥克斯利法的要求而紧张筹备。企业内部控制成为CIO必备的新知识。
目前在美国纽约证券交易所挂牌交易的中国企业共有17家,主要分布在电信、能源、金融和交通等行业,而且大多为国有企业背景。如中国移动、中国网通、中石油、中石化、中国建设银行、中国人寿、东方航空等。而在Nasdaq挂牌的则多为信息通信类的新兴高科技企业,以私营企业居多,如搜狐、新浪、百度、亚信、UT斯达康等。据亚信财务部门一名员工讲,到目前为止,中国仅有少数几家企业达到了合规性要求,即著名的404条款对企业内部控制(简称内控)管理规范要求;多数在美上市的中国企业现在正处于紧张的培训、筹备认证过程当中,并且为此付出高昂的成本。
2003年前后,世通、安然等公众公司的轰然倒塌,是导致萨班斯-奥克斯利法出台的直接原因。萨班斯-奥克斯利法的目标是通过一系列可度量的手段,加强企业内部控制与平衡,从而最终强化企业的透明度和责任感,使得企业对投资者更富有吸引力。
萨班斯-奥克斯利法不仅对美国本土的公众企业,也给在美国上市的全球企业带来了震荡波,因此上述中国企业概莫能外。而之所以产生如此影响,是因为萨班斯-奥克斯利法从根本上改变了商业规范环境。如果仅仅认为萨班斯-奥克斯利法改变的是企业财务、审计等业务层面的规范性问题,则有失偏颇。同样在2003年前后,与萨班斯-奥克斯利法几乎同步,美国还出台了其他众多有关不同行业企业的监管规范,这些规范都对相关领域的组织机构共同推动了企业IT治理的需求。
那么,萨班斯-奥克斯利法究竟是怎样通过业务层面的规范最终触动到企业的 IT神经呢?7月4日,美国IT治理协会(IT Governance Institute)颁布了《IT Control Objectives for Sarbanes-Oxley》第三版。这个指导性文件认为,法规遵从给CIO带来最少四方面的新挑战:第一,必须加强对内控知识的掌握程度;第二,理解企业遵从萨班斯-奥克斯利法的全面计划;第三,推动特定IT控制环节的法规遵从计划;第四,努力使自己所承担的计划融入企业的整体法规遵从计划当中。
事实上,那些已经开始法规遵从过程的企业,都立即意识到IT的根本重要性,因为IT系统、数据和基础设施的状况都直接影响到财务报告的生成过程。一个企业对于IT的运用特性,将直接决定企业内控与财务报告的质量。这意味着,对于企业执行层,尤其是CIO们而言,他们必须精通内控理论,并且在实际工作中努力去满足萨班斯-奥克斯利法的要求。(T228)