上市公司如何避免sox法案的制裁 郭建荣 A公司是一家财富500强企业.docVIP

上市公司如何避免sox法案的制裁？ 郭建荣 A公司是一家财富500强企业，全球五大制药公司之一。公司在全球拥有58000余名员工，年销售收入超过180亿美元，年利润超过40亿美元。这样一家大公司，你是否想过会在一夜之间不复存在？这绝对不是天方夜潭，安然事件就是前车之鉴。而最无辜的受害者就是投资者了。 为了提高公司财务透明度、挽救投资者信心，美国国会于2002年7月25日最终通过了《2002年萨班斯-奥克斯利法案》（SOX法案）。它对公司治理有着极为严格和苛刻的要求，它要求公司针对产生财务交易的所有作业流程，都做到能见度、透明度、控制、通讯、风险管理和欺诈防范，且这些流程必须详加记录到可追查交易源头的地步。该法案影响的范围涉及所有在美国上市的公司，包括那些非美国的上市公司 投资者手里有了法宝，上市公司的执行管理层头上却多了一个紧箍咒。如何建立和维护财务报告的内部控制，评估内部控制的有效性，并在年度报表中做出内部控制的有效性的书面评估报告呢？ A公司的最佳实践提供了很好的参照。A公司2004年在全球信息服务（IS）部门推行SOX合规项目。可能令你费解的是为什么是信息服务（IS）部门呢？ 所有人都清楚IT在现代企业中扮演着重要的角色，很难想象一个成功的企业没有一定级别的IT系统支撑。在很多公司架构中，财务报告流程是由IT系统驱动的，如图1。无论是ERP还是其他系统，都与财务交易中的开始、批准、记录、处理、和报告等活动紧密集成。可以说，IT是保证财务报告内部控制的有效性的基础。因此对于大多数公司来说，为了达成SOX法案的内部控制要求，IT控制至关重要。同时，SOX法案也要求对IT进行审计。 图1：IT控制，来源：IT治理研究院（ITGI） 那在IT控制方面，如何治理IT以保证财务报告内部控制的有效性？对于欲实施SOX合规项目的公司来说，应该如何改进自身的IT控制水平？ A公司把COSO作为内部控制的标准框架，在IT内部控制方面采用COBIT框架来衡量，按图2所示的步骤在全球信息服务（IS）部门推行SOX合规项目。 图2：A公司SOX合规项目达成步骤，来源：AMT－企业资源管理研究中心 理解内部控制 随着企业业务流程与IT集成越来越紧密，在内部控制的层次中，企业整体的应用控制与通用控制通常与IT的应用控制和通用控制是密不可分的。根据内部控制的层次，IT控制通常可以分为： 公司级IT控制：IT制度与其他企业级指南，这些控制遍及整个企业。 IT应用控制：与业务流程的应用系统相关的IT控制。 IT通用控制：与IT基础设施服务相关的控制。 IT控制的范围：IT控制环境、计算机运维、系统和数据的访问、系统开发和系统变更。 IT控制的关键环节：理解公司内部控制系统和财务报告流程；把IT系统和财务报告流程匹配起来；识别IT系统相关的风险；设计和实施IT控制，减少识别出来的风险；使IT控制形成文档，测试IT控制；IT控制随着内部控制或财务报告流程的变更而变更；持续监控IT控制以保持控制的有效性；IT管理人员参与到SOX项目管理委员会中。 彻底地审视公司的IT控制流程并将之形成文档将是一件非常费时的事情。没有适当的知识和指导，公司可能会冒着做得过多或过少的风险。当那些负责人缺乏IT控制的评估与设计经验或者缺少必需的技能时，这个风险会变得更大。如果你是CIO，你是否可以承受以下挑战：提高与内部控制相关的知识；理解公司的总体SOX合规（Compliance）计划；制定有关IT控制的合规计划；把该IT控制计划与公司总体SOX合规计划集成在一起。 SOX法案要求对IT控制采用一个合适的IT治理框架。它并没有要求采用一个特别的IT治理框架，但是COBIT框架可以适用于SOX法案。COBIT的全称是信息及相关技术的控制目标（Control Objectives for Information and related Technology），它是一个被广泛接受的IT控制框架。 COBIT将IT流程、IT资源及信息与企业的策略与目标联系起来。它在企业业务战略的指导下，对信息及相关资源进行规划与处理，从规划与组织、采购与实施、提供与支持、监控等四个域确定了34个IT流程，每个流程还包括一个高级别的控制目标和3到30个不等的详细的控制目标，共计318个详细的控制目标，其中的164个控制目标与SOX法案相关。 表1详细列出了COBIT流程与SOX法案主要要素之间的关系（以COSO内部控制框架作为SOX法案控制目标的基础）。 控制 COBIT流程 COSO要素（SOX） 公司级 行动级 控制环境 风险评估 控制活动 信息与沟通 监控 规划与组织 √ 制定IT战略计划 √ √ √ √ √ 定义信息体系结构 √ √ 确定技术方向 √ 定义IT组织与关系 √ √ 管理IT投资 √