高昂成本 萨班斯法案威逼中国企业美退市

　　7月5日，中国第一家海外上市公司——华晨中国汽车控股有限公司从美国纽约证券交易所退市了！

　　一位在美上市的中国公司的财务管理部人员告诉记者，让华晨不堪重负的，正是为了遵循《萨班斯—奥克斯利法案》(简称萨班斯法案)而不得不向审计公司支付的巨额咨询、审计费用，以及高昂的内部遵循成本。与这笔支出相比，华晨在纽约交易所融到的资金却非常有限。

　　这边是退市，那边却是欢庆通过萨班斯法案。仅今年上半年，就先后有华能国际电力股份有限公司、中国网通集团(香港)有限公司、中国人寿保险股份有限公司、中国石油天然气股份有限公司等大型企业通过了萨班斯法案。

　　然而，同样是通过萨班斯法案，不仅实施的成本不同，各公司对IT手段的依赖程度也各不相同。有的企业除了已有的IT系统外，并没有为萨班斯法案采购新的IT设备，而是通过人工的手段完成控制点的文档收集和整理；有的企业则采用了一些基本的协同工具，分担一部分人力工作。

　　慧点科技某负责人指出，如何利用IT系统来帮助企业符合萨班斯法案的要求，也正是企业头疼的问题。“第一年法规遵循的时候，首先解决的是从0到1的问题，企业为了通过甚至直接让咨询公司采用手工的方式先把报告交出来。如今，企业已经有时间来思考，到底怎么利用IT工具提高效率”，这位人士表示。

　　渐显IT“智障”

　　缺乏内控的IT系统，是中国企业在遵循萨班斯法案过程中所遇到的最大挑战。中国企业IT系统重建设、轻维护的老传统，使得IT系统不能完整实现其

　　管理功能，在业务与IT密不可分的趋势下，传统IT系统渐显“弱智”

　　如果有人告诉你，中国企业在遵循萨班斯法案过程中，遇到挑战最大的方面反而是IT系统，你是否会非常惊讶？

　　2002年7月通过的萨班斯法案本意是促使在美国的上市公司通过加强内部控制，来改进自己的治理状况，提高治理水平，恢复投资者对美国资本市场的信心。一般来说，萨班斯法案会涉及公司层面、业务流程及IT管理3大方面。

　　“信息化投资占企业整体投资的比例越来越大，企业中越来越多的业务流程都建立在IT系统之上，管理业务就是管理IT，两者不可割裂”，ITGov中国IT治理研究中心专家孟秀转表示。但她同时指出，在任何一家公司里，财务控制都是管理的重头，相关的规章制度也非常严格，而IT内控则是很缺乏的，面临的挑战也要大得多。

　　2005年初，在美国纽约证券交易所上市的中国人寿保险股份有限公司启动了萨班斯法案遵循工作。“当时的现状很不乐观”，负责公司404项目组的一位负责人这样评价。中国人寿2005年的年度报告显示，根据香港准则与美国公认会计准则统计的数字出现了重大差异，作为外审机构的普华，也指出了中国人寿与信息系统相关联的实质性漏洞。

　　导致这个漏洞的主要原因，就是IT系统的集中管理程度不够。中国人寿信息技术部项目管理处的负责人解释说，这与中国人寿总部信息技术部一直立足于服务的角色有关，而按照萨班斯法案的要求，信息技术部更应侧重于管理，包括加大对分公司信息系统、系统建设、运维、数据等集中管理的力度，降低分散管理隐含的风险。

　　2005年，中国人寿制定了一份《信息技术管理制度》，“这是一件开历史先河的事情”，404项目组的负责人表示。以往，中国人寿并不是没有IT方面的制度，但是相关的制度很零散，如分别面向防火墙、IT采购、安全备份等方面的。而这套新制度涵盖了IT的各方面，梳理出了公司应该具备的流程和控制点。这个管理制度解决了管控范围、管控思路以及管控标准的问题，只要达到这些控制点，至少能保证肯定不会出错。

　　“外审公司披露的漏洞对中国人寿的帮助还是很大的，我们试图从中理解外审做出这样评价的意图，从而分析外审会更注意哪些问题，这些经验也为公司2006年年报的顺利过关提供了经验”，该负责人表示。

　　当然，从理论上来说，全国数据大集中的实现是这个漏洞的终极解决方案，因为一旦大集中，公司总部就能从数据层面掌控所有资源，把管理风险从分散的地方完全集中到总部。据了解，中国人寿计划在全国建立南北两大数据中心，目前选址已经完成，正在进行前期筹备工作。

　　今年5月底通过萨班斯法案的中海油，同样面临着IT治理和IT控制这个新问题的挑战。“过去我们做萨班斯的时候并没有把IT当成非常复杂的工作，做完之后才发现，萨班斯对国企IT的管控架构产生了很大影响”，中国海洋石油有限公司财务管理部内部控制经理陈震如是说。

　　让他印象最深的有一点：过去IT系统往往重建设、轻维护。具体地说，过去员工使用IT系统的时候，往往认为，谁建的系统谁负责，而一些系统管理员拥有超乎一切的权限，可以说是IT系统里的领导；实际上，根据萨班斯法案岗位分离的原则，IT系统的应用层和后台管理必须要严格分开。

　　以前，中国人寿的IT人员较欠缺，尤其在分公司层面往往会出现一个人兼岗的情况，从开发、应用，到运维、硬件管理都要负责。根据404内控的要求，数据库、操作系统可以是一个人负责，但是应用系统与数据库管理员这样的前台操作和后台管理一定不能是同一个人。否则应用系统维护人员修改数据时，又能从后台数据库的行为日志里清除数据，无端增加了很多风险。

　　搬走“绊脚石”

　　根据萨班斯法案的要求，参照COSO模型和COBIT框架进行整改，是在美上市企业无法回避的选择。中海油和中国人寿搬走“绊脚石”的方法不尽相同，但殊路同归，借助IT系统的强制性，来规范管理。

　　虽然萨班斯法案直指的是财务报告的真实、准确，但是很多公司的财务报告流程都是由IT系统驱动的。可以说，IT是保证财务报告内部控制的有效性的基础，IT的控制至关重要。

　　这也是很多在美上市公司根据萨班斯法案的要求进行整改时，参照COSO模型和COBIT框架的原因。参照COSO框架很好理解，因为它包括控制环境、风险评估、控制活动、信息交流、监督等5项要素，已经成为世界通用的内部控制权威文献。