电信业应对萨班斯法案 四大运营商率先试点

mdreamj

电信业应对萨班斯法案 四大运营商率先试点 [复制链接]

 通信产业报：

      在中国移动内部流传着这样一个笑话，一员工因为长期从事萨班斯法案(SOX)遵循工作，受内控思想熏陶，要求妻子每月更换一次家中电子防盗密码锁，每周更改一次密码，买任何东西均须留有书面记录并让卖方签字确认。

　　虽然只是一个笑话，但是从中可见，萨班斯法案对运营商造成的精神压力之巨大。萨班斯法案提出了三项基本要求：首先，公司要有自己的内控体系，并有规范标准；其次，该规范标准被严格执行；第三，所有的执行都可以被审计验证。

　　事实上，萨班斯法案遵循几乎成为运营商内部持续时间最长的一项整改行动，很多地方公司从去年开始进行，无停顿地持续到今年。参与人数多、流程多、文档多、会议多，成为这一时期的重要特点。动辄集中二三百人，花费数十万元，内控项目则直接计入各级人员的考核，这些都让运营商内部员工叫苦连天。

　　即便在美国，萨班斯法案也被称作一部恶法。今年5月，在企业界的集体压力下，美国证券交易委员会(SEC)和公众公司会计监管委员会(PCAOB)专门征求了对SOX第404条款的反馈意见，并表示将考虑修改法规，甚至对小型上市公司给予一定的豁免。

　　而对于像国内四大运营商这样的大型公司来说，“越是组织分散、业务范围复杂，要做的工作越繁杂。”国浩律师集团主任律师刘维表示。

　　流程梳理

　　在诸多繁杂工作中，流程梳理无疑是第一步.


      作为萨班斯法案中最难操作、最复杂、耗费成本最高的一个条款，“404条款”要求每个公司都要将公司任何一个岗位的职务、职责描述得一目了然，还要保证在对交易进行财务记录的每一个环节都有相应的内部控制制度，从而引起整个企业流程的改变。

　　按照萨班斯要求，上市公司要对其目前执行的内部控制流程与COSO(《企业风险管理--整合框架》)的框架进行对比，指出存在的不足和改进措施。而只有进行流程梳理，找出关键控制点以及需要规避什么样的风险，然后才能着手设计内控制度。

　　而在央企传统管理模式中，由于不重视流程，交易和决策过程往往缺少记录，一些决策甚至靠拍脑袋进行。

　　国际财务管理师协会中国总部秘书长何巧莎也强调改善公司治理结构对萨班斯遵循的益处。她表示，萨班斯法案要求的公司治理结构与许多中国企业传统的公司治理结构有较大的差异，中国的企业文化与西方企业文化的内涵也不尽相同。为了少走一些弯路，中国公司应从一开始就注重实施公司治理结构层面的改进工作。

　　根据她的建议，运营商的高级管理层应成为遵守内部控制制度的表率并接受相应的监督和约束，充分发挥审计委员会和内部审计的作用，重视对员工遵守职业道德的培训，严格执行职责分离、工作分配、职责描述等方面的规章制度，在公司内部形成一个自上而下有效贯彻内部控制的过程。

mdreamj

内部审计 　　德勤华永会计公司企业风险管理方面负责人赵善强先生，则重点指出了内部审计的参与和作用。他认为，在遵循404条款时，内部审计的有效性是应考虑的重要因素，这对于是否可以通过404条款的内部控制测评也非常重要。如果某公司的内部审计做得不好，将会影响该公司通过404条款的测评。 　　对于内部审计的作用，他解释说，主要有两点：第一，内部审计会参与前期的文档记录和提意见；第二，在管理层测试时会介入其中的工作。按照PCAOB第2号审计标准要求，执行内部控制的人和做测试的人要相对分开，以保持内部控制测试的客观性。 　　某地方运营商审计部门负责人表示，中国公司的内部审计在传统职能上可能与独立性要求还有一些差距。配合萨班司法案的执行，运营商的内审制度应该实现三大转变： 　　首先，由查错纠弊为主向管理审计转变。就是要将过去以查处违纪金额、审阅会计事项、审计经济活动结果为主，逐步向各个管理环节渗透。改变过去审计仅查阅账簿、凭证、报表的状况，将调查、询问、测试、广泛阅读资料等结合起来；　　其次，由以监督为主向监督与评价并重转变。就是要在监督的基础上，对经济事项进行评价、分析，为管理层的评价、决策提供可测量的信息来源；最后，由事后审计为主向事前、事中审计转变。就是要以经济活动的流向为主线，抓住主要环节，适时监控，及时反映，提高企业抗风险能力。 　　IT治理 　　目前越来越多的企业依靠信息系统支撑业务运作，因此，IT治理在建立与保持有效的内部控制方面也发挥着重要的作用，建立针对信息系统的控制体系就成为遵循萨班斯的必然要求。 　　IT治理研究中心研究员李长征表示，萨班斯法案强调企业的信息技术策略和系统中的内部控制，以及对审计过程存档的要求，即包括机器运行中的企业的内控活动的操作流程必须明白地定义并保存相关记录。 　　比如，萨班斯法案就要求财务报表的准确性，财务报表靠业务流程，而业务流程又是由信息系统支撑的。 　　德勤企业风险管理服务经理薛梓源表示，为了应对萨班斯等国际法案对企业内控提出的更高要求，必须加大信息系统在总体控制方面的责任，在信息系统对管理流程的介入程度上，采取自上而下的基于风险管理的分配原则，尽量缩减成本，同时实现内控的合理化。实现流程和控制的集中化，建立一个好的集中身份管理措施和授权措施，以及加强包括用户身份、网络安全、系统安全在内的保护措施都是建立好的管理流程的要素。 　　事实上，信息化本身的目的之一，就是促使企业将好的管理做法固化为信息化中的规则与流程，并进而形成公司的管理习惯，以提升公司的管理水平。 　　“当某一天，人们已经感觉不到SOX有什么专门提的必要，一切都默认按照SOX规定的做的时候，也许就是由优秀走向卓越的那一天。”一位运营商员工如此表示。 　　链接：四大运营商的萨班斯之旅 　　中国电信：重视自我评估 　　为规范企业的内部管理，中国电信股份有限公司从2003年8月开始就启动了“中国电信与财务报告相关的内部控制项目”。2004年7月底，中国电信完成内部控制纲领性文件《股份公司内部控制手册》，并组织各省级子公司编写内部控制手册实施细则。 　　中国电信每年都进行内控体系的自我评估，对于发现的问题，层层分解到各级企业。对于制度本身存在的缺陷，中国电信主动修改制度；对于制度执行过程中存在的问题，中国电信加大了执行的力度。对于内控的重大缺陷以及重大、实质性的漏洞，中国电信还在对省公司和部门的绩效考核中给予大力度的扣分加以惩罚。 　　中国网通：建立终身负责制 　　中国网通自2004年11月即着手推进内控体系建设，成立了集团、省、地市三级内控项目组织机构，全集团近万名员工参加了各级内控管理培训，有5000多名员工直接参与了内控项目推广工作。2005年，在集团总部和7个省市进行了调研试点及试推广工作，共形成内控文档22套，其中流程描述860个、流程图1262个，发现了诸多管理层面及业务流程层面的缺陷。 　　结合内控体系建设，网通集团出台了《网通铁律》，制定并印发了《中国网通集团信息质量问责管理若干规定》，建立了层层报告、一级对一级负责的信息质量责任声明和传导机制，规定公司所有人员均对披露和提供的信息质量签名承诺，并终身负责，有力地推动了内控体系的建立。 　　中国移动：全面试点 　　中国移动2005年9月在福建、天津、湖北、山西等4家省级公司开始萨班斯全面试点。试点涵盖企业经营、IT系统控制、投融资管理、财务监控、法律法规监督等13个大类、38个细项，对于企业内部流程梳理、加强财务投资监管、协调内部资源分配、提高管理透明度等方面都具有相当大的影响。 　　为了实施“萨班斯法案”，中国移动从公司总部到试点省级公司均成立了专项运营小组，挑选出大量的专业人员专门负责整个项目试点工作，并且引入毕马威公司作为执行顾问，对试点工作以及未来的全面正式运营提供指导和规范。 　　中国联通：具体到有控制力的人 　　中国联通从2003年年底开始准备按照404条款完善公司的内部控制制度。首先是梳理会计政策、业务流程和揭示风险。从2004年开始，中国联通开始按照COSO框架的要求完善公司的内部控制制度。一方面，围绕防范达致经营效果和效率、财务报告真实性、遵从法律法规三个目标的各类风险为目的，建立一套渗透所有业务和场所的内部控制制度和管控机制以及分散的控制责任体系，而不是仅靠领导讲话和指示作为经济活动的管理标准和工作规则。 　　针对有实质控制权力的人，包括总公司高级管理层、各省管理层和一些关键岗位的部门，中国联通建立了一套反舞弊的管理办法，在履行控制程序时去发现、避免造假的发生。