SOX法案及对中国企业的影响
针对安然、世通等财务欺诈事件,美国国会于2002 年出台了《公众公司会计改革和投资者保护法案》。该法案由美国众议院金融服务委员会主席奥克斯利和参议院银行委员会主席萨班斯联合提出,因此又被称作《萨班斯—奥克斯利法案》(Sarbanes-Oxley Act)。该法案对组织治理、财务会计、监管审计制定了新的准则,并要求组织治理核心如董事会、高层管理、内外部审计在评估和报告组织内部控制的有效性和充分性中发挥关键作用。
为了提高上市公司的透明度,防止类似事故的发生,除美国之外,英国和日本等国也先后颁布了类似的企业内部控制法案。中国也在2008年颁布了《企业内控基本法案》,又称China SOX或C-SOX法案,希望通过法律的形式来强制相关公司进行严格内部管理,以保障公司投资者利益。2010年4月,财政部、证监会、审计署、银监会、保监会等五部门又联合发布了《企业内部控制配套指引》,并制定出确切实施时间表:自2011年1月1日起企业内部控制首先在境内外同时上市的公司实施,自2012年1月1日起扩大到上交所、深交所主板上市的公司。
SOX法案对企业管理的挑战
SOX法案中的404条款,是公认的最难操作、最复杂、耗费成本最高的一个条款。条款规定,在美上市企业,要建立内部控制体系,其中包括控制环境、风险评估、控制活动、信息沟通以及监督5个部分。简言之,SOX对企业的最主要的要求就是内控与审计:一方面企业要有足够简洁与有效的手段实现内控;另一方面,对所有的操作都需要有记录,以便随时审核、审查。
为应对第404条款的要求,所有对财务报告有影响的人员操作、IT系统操作都应有明确的定义,并对这些定义进行记录,同时对这些操作要有过程审计记录(包括事前、事中、事后)。要在短时间内满足审计要求,对企业而言是极大的挑战。国内的许多企业在实施SOX项目时,普遍暴露出了一些问题:
一是普遍缺乏对信息系统从招投标建设到上线实施再到验收之后的运行维护的一整套成体系的IT管理制度。
二是员工的工作习惯问题。由于普遍具有的国有背景的特点,长期以来养成的工作习惯无法符合第404条款或是现代企业管理制度的要求。如有些系统维护人员在进行系统检查时发现了问题,随即进行排查和解决,却未留下任何的检修记录;如根据领导一个电话就为某位员工开通某个系统权限等。而《萨班斯法案》要求所有的操作都遵循一定控制要求来执行,所有的工作必须责任到人,对重要工作要留下相应的痕迹。
三是系统普遍未达到第404条款的要求。出于对财务报表相关的披露信息的关注和重视,第404条款要求企业通过公司层面的监督、信息与沟通、控制活动、风险评估和控制环境控制,以及信息技术一般性控制层面和业务应用层面的控制来确保构成财务报表的信息系统源数据以及计算逻辑准确和完整。而国内企业的系统和流程都存在着不少的问题,比如系统的密码策略没有固化、数据的备份策略不完整等。
SOX法案对IT运维管理的挑战
在IT运维管理方面,国内的企业也普遍存在着各个业务系统各自为政的情况——各自有一套用户信息数据,管理本系统内的账号和口令,并孤立地以日志形式审计操作者在系统内的操作行为。这种分散式的账号口令管理、访问控制及审计措施不仅严重影响了IT运维管理的效率,提升了运维成本,也难以满足SOX法案的相关要求。主要表现在以下几方面:
1、大量的网络设备、主机系统和应用系统分属不同的部门或业务系统,认证、授权和审计方式没有统一,当需要同时对多个系统进行操作时,工作复杂度成倍增加。
