最近在中央一套的早新闻里和其他主要媒体里大家可以注意到审计署对中央各部委审计结果的公布：卫生部、水利部、财政部、国家发改委、中国人民银行、国家体育总局、科技部都被查出了违规现象，违规资金高达90亿6000万元，被查出问题的单位还有金融资产公司、高校和卫生部直属的大医院。总结起来，共有六大严重问题：预算制度出现“黑洞”、转移支付制度有待规范、投资体制急需提高效益、监督体制形同虚置、问责制度未落实处、政务公开制度欠缺持久深入。这个信号告诉我们，从2002年一批跨国公司的财务丑闻开始，到2004年美国证券市场年开始实施近十年来最严厉的针对公司财务和公司治理的塞班斯法案，这个全球的企业内控风暴已经开始登陆我国。

 

　　其实，从去年开始，国内众多的已经和将要在美国上市的企业已经开始接受塞班斯法案的洗礼了，明年底更是这些企业的最后期限。所以让我们一起来解读一下这个来自世界上法律最全的国家的最严厉的法案，希望对正在面对它的企业有所裨益，对其他国内的企业也能起到它山之石可以攻玉的效果。

 

　　塞班斯法案其关键是404条款，就其条款原文来说其实只有2条3句话：

 

　　1. 任何向SEC提交的年度报告必须包含一份内控报告，其中必须：

 

　　a) 明确指出公司管理层负有建立和维护一套针对财务报告的内控体系和流程

 

　　b) 包含最近一个财年的对此内控体系和流程有效性的评估报告

 

　　2. 对于第一条所谈到的内控评估报告，任何准备或签署审计报告的会计事务所必须证明并报告评估是由公司的管理层完成的。其证明必须符合公司董事会所签署或采纳的雇佣证明标准。任何此类证明不可以与其他雇佣合同的内容有联系。

 

　　条款读上去比较拗口，但说白了就是要求上市公司每年必须出具一份由独立董事签署的代表董事会的报告，说明该上市公司在财务管理和其它重要管理方面主要弊端在哪里，明确公司管理层对此的全责。同时还要求加强外部审计师的独立性和有效性，每年上市公司必须出具一份自我披露弱点的报告，外部审计师还要独立再出一份报告。

 

　　由于一直在内控及信息安全非常严格的银行领域工作，2004年收到企业同行们的邀请为他们做了一些塞班斯法案咨询和预审的工作。其中我发现我国公司里面主要存在的误区和薄弱环节主要有以下四个方面：

 

　　首先也是最根本的方面是责任不明确，CEO，CFO等公司管理高层没有明确自身对此的职责，对整个内控系统和流程的建设的支持和监管不够;业务部门不认为自己才是信息系统的所有者，觉得这些只是信息部门的事情。因此就算信息部门有心大力进行内控安全的建设，最后也只是一个曲高和寡的局面。

 

　　其次也是实施中最大的障碍是风险意识薄弱，具体体现就是责权不分离。许多企业为了节省开支或简化流程，在人员配备上都忽视了责权分离这个大原则。甚至在信息部门内部这种现象也是非常严重，比如几乎所有的公司的系统管理员都拥有所有系统的administrator的权限，这也就是说对于信息系统而言，系统管理员可以为所欲为，在出现重大问题的时候，他/她根本无法证明与此无关!

 

　　第三也是所有企业最容易虎头蛇尾的地方是文档不健全，大多数企业在建立之初的文档管理都是相对不错的，但随着时间的推移，这些制度也就成了纯粹形式主义的摆设，文档缺失，没有签名授权等现象比比皆是。而其实这是外部审计师们最关注的一个方面。

 

　　最后也是企业在塞班斯法案审计中最无奈的部分，就是外部审计师往往死扣法案的实施细则，不结合中国的实际国情，提出的整改建议的成本过高，让企业无所适从。这也是众多还没有直接面对这个“紧箍咒”的企业采取回避态度的主因之一。

 

　　毛泽东曾经说过，对于任何问题，应该在战略上藐视它，在战术上重视它。对于塞班斯法案我们也不要把它当成洪水猛兽，避之唯恐不及，而应该采取迎头而上的姿态，从容化解，直至让它为我所用。对于上述四个无法回避的矛盾，其实有一个非常实用的方法可以化解，这就是进行切实有效的周期性风险评估(RA – Risk Assessment)和业务影响分析(BIA – Business Impact Analysis)

 

　　对于第一个问题，今年来众多“前驱”企业的惨痛事例应该已经让老总们有了职责的清醒意识，但这还只是意识上的，有了风险评估和业务影响分析的具体结果，才能将这个问题在老总心理面真正的数字化，才能在内控这个“一把手”工程里面得到老总们切实有效的支持。对于第二点，通过评估和分析可以有效地提高整个企业的风险意识，明确责权，在各个业务部门，管理部门和信息部门之间建立一套共同的风险管理语言，有了理解，实施自然就能顺利许多;另外，完善的职权分离制度也为企业在人员备份上提供了保障，降低了企业因人员流动问题带来的经营风险。第三，周期性的评估和分析对文档自然是高要求的，这就形成了一个对文档管理的有效的强制性的检查措施。最后，有了评估和分析的数据，在和外部审计师沟通的过程中，就可以根据所有会计和审计准则的第一条“重大性原则”，避免那些在枝枝末节问题上的纠缠。

 

　　而且风险评估和业务影响分析还可以为企业的长期的健康发展带来更多的好处，这就是《信息周刊》所提倡的“可视化你的企业”的概念。同时，如果这个评估和分析是由信息部门来主导的，这将是一个绝好的学习管理、学习业务，扩大在公司影响的机会，成功将使信息部门在公司内的地位大大地提高。

 

　　本文开篇所述之审计署公布的新闻说明了中国政府对内控和监管的重视，而六大问题中除了投资体制和政务公开外，其他都正是塞班斯法案所覆盖的范围。而且2005年10月，国际会计准则委员会就将应中国财政部邀请，派专家小组与中方讨论国际会计准则与中国会计准则的融合问题，这一切让我们看到了强烈的中国市场规则和监管与国际融合的信号。“紧箍咒”离我们不远了，中国的“塞班斯法案”不远了，无论是否外资企业，无论是否上市公司，最终都不得不面对内控管理这个这个话题，面对各种类似的“法案”所带来的约束，面对承担历史管理不善所引发的后果。与其坐以待毙，不若主动出击，这才是一个企业要做强做大应采取的正途。