2006年7月15日,萨班斯法案第404条款对在美国证券交易所上市的中国企业正式生效。自此,无论是已在美国上市的企业还是将要赴美国上市的企业,都要面临萨班斯法案的大考。
德勤会计师事务所北京分所审计合伙人林国恩在财务审计领域工作了17年,从事美国会计工作大约10年。2002年,萨班斯法案出台后,他即开始关注该领域,并帮助很多中国企业做了一些应对萨班斯法案的就绪工作。目前,他最主要的工作是帮一些国内企业去美国上市,以及帮助这些企业做好上市之后的公司财务审计工作,主要专注于高科技、传媒、电信等行业。
“中国企业要从企业文化的角度来真正达到萨班斯法案的要求,而并非只是按部就班地去靠拢。”林国恩说,“我接触过很多国内企业,它们的管理层制定的计划不只是应对萨班斯法案这么简单,它们一般会进行长远规划,从而提高企业的内部控制和生产能力,以及公司运作的能力,因为这些企业已开始认识到内部控制对公司发展的重要性。”
近日,就中国企业应对萨班斯法案所需面临的问题,CIO INSIGHT与林国恩进行了一次交谈。在交谈过程中,他多次引用到德勤会计师事务所北京分所企业风险管理部合伙人周永汉的观点。周永汉在审计领域工作了将近17年,现在他的主要工作是为企业做内部控制和IT审计工作。
CIOI:中国准备赴美国上市的企业与萨班斯法案的要求相比,还存在哪些差距?
林国恩:根据美国证交会条例,国内企业要想去美国证券交易所上市,财务报告方面需要符合美国的会计准则。与萨班斯法案第404条款要求相比,目前国内企业普遍存在两个不足:一个是在中国企业中,了解美国会计准则及美国证交会条例的人才比较少,那些能够按照美国会计准则及美国证交会条例要求做出财务报表的人才还非常欠缺;另外一个是企业审计委员会的能力相对来说也比较欠缺。通常情况下,国内企业在赴美国上市之前,在审计委员会的人员配备方面还没有达到萨班斯法案对上市公司的要求。
与萨班斯法案的要求相比,这些企业应对会计准则方面的能力还有相当大的差距。它们对审计师的依赖性也比较强。很多企业希望我们审计师把中间这部分差距给填充起来,但事实上,这些工作我们也不能帮他们做太多。因为萨班斯法案有一个明确的规定,即审计师要具有独立性,不能帮助准备上市的公司做特别详细和具体的会计工作,所以差距是目前很多即将面临萨班斯法案大考的企业存在的一个很大的问题。此外,很多企业在内部控制方面也存在一些不足。
CIOI:通过什么措施,它们才能有效缩小与萨班斯法案的差距?
这些公司可以任用一名熟悉美国会计准则和美国证交会条例的CFO,而且他自身要具备非常强的能力。这很重要,因为他在企业整体上市过程中发挥着一个非常重要的角色,他要处理一些会计方面的问题,要去跟投资银行沟通,跟市场上其他准备为该企业投资的投资者沟通。
CIOI:那么这些企业在内部控制方面的不足,主要体现在哪些方面?
萨班斯法案对跟财务报告相关的内部控制(以下简称内部控制)的要求是一个总体的、自上而下的体系,是一个很系统的东西。但是不少准备上市的中国企业大多是新兴企业或者发展尚在初级阶段的企业,在内部管理和控制方面非常明显的一个缺陷就是:混乱、不成体系。如我们在给他们做审计时。需要他们提供一些文档,这时混乱之态就体现出来。企业在进行文档管理的过程中,都需要有一些规范,但是现在,这些企业往往只有一些口头上的框架、口头上的流程和程序,在一些很规范的表格、表单和文档等方面,则是非常欠缺的,这是一个比较严重的问题。
我的同事周永汉先生认为,文档上的混乱只是一种表象,这些企业之所以在某些细节上出现如此糟糕的局面,归根结蒂还是东方和西方管理模式的不同。我们在为企业做审计时,其实发现他们在内控方面都规划了一个清晰的框架,只是在内部控制的细节方面还有很多欠缺。
萨班斯法案对内部控制的精神是需要最高层的管理者去推行内部控制。按照萨班斯法案的要求,一家在美国上市的公司的CEO和CFO需要对公司内部控制情况出具保证声明,这也就要求从CEO、CFO等最高层一起去推行内部控制的工作,这是一个自上而下的监督和负责制。
最高管理层如CEO、CFO同意并支持内部控制,有利于公司内部控制工作的顺利开展。在此基础上,公司管理层才会拿出一定资源去推广内部控制的工作,因为内部控制会涉及到不同部门之间的协作与配合。所以公司在开展内部控制过程中,坚持自上而下这个流程是很重要的。在中国的传统文化中,可能比较重视某一个人的作用,比较看重的是某些人怎么去管理另外一些人,但是对整个公司层面的控制和管理却不太重视。这也是西方管理与中国传统的管理方法不一样的文化的差异。
同时,IT管理也是内部控制非常重要的一个表现。
CIOI:你刚才提到IT管理是萨班斯法案中一个非常重要的要求,那么中国的企业在IT管理方面,与萨班斯法案的要求有哪些差距?
目前,中国的很多企业在IT管理上存在许多不足之处。其实,很多企业已意识到IT系统是一个很重要的领域,但是企业的CEO和CFO等对IT系统的了解和控制还比较少,很多时候他们都把那些责任放到CIO身上。刚才提到,萨班斯法案要求实行企业 CEO、CFO等最高层负责制,所以如果他们对IT系统不了解的话,在内部控制方面也是一个问题。
此外,我接触过的很多企业高层,他们对公司的一些规范,了解得比较清楚;但是在IT系统的构成、功能、对业务部门的作用,以及借助一些复杂的IT系统能实现什么样的内部控制等方面,却并不太了解。在很大程度上,这些企业还在依赖一些手工控制,但是从内控的角度来讲,如果不借助于IT系统,很多手工控制根本无法100%地满足企业内控的要求。
在整个过程中,CEO、CFO是最终负责人,但是在具体工作中,在某种程度上他们需要借助于IT系统获得所需财务报告方面的信息和资料。因为根据萨班斯法案的规定,公司要想赴美国上市,财务报告方面的控制是非常重要的。而现在一些公司的财务报告,特别是上市的大公司,都是借助于IT系统提取这些资料的。但是通常情况下,这些CEO、CFO并不一定精通IT系统,所以他们就需要一个能力很强的CIO。CIO的职责主要有两方面:一方面,可以提供一些信息或材料给CEO和CFO;另一方面,可以进一步满足CEO和CFO对内部控制的需求。
在企业进行内部控制的过程中,有一个非常重要的环节是对披露信息的控制,即公司要把一些重要数据、重要资料披露给投资方。大公司一般会依赖IT系统去收集这些信息,然后再发布给外面,如果其IT系统出现问题,一定会影响对公司信息披露的控制。如果披露有影响的话,就不能达到萨班斯法案的要求,所以企业CIO在进行企业发布信息控制过程中的职责非常重要。
周永汉先生认为,在高科技如此发达的时代,企业对IT系统的依赖性越来越高。IT系统跟业务是手牵着手的、并行的。的确如此,随着企业业务不断发展壮大,它们越来越需要借助一些成熟的IT系统处理业务中的问题。IT系统主要有两方面的功能:一个是促进业务发展,另一个是优化企业现有的工作模式和运作方式。这必然对IT系统的成熟度和复杂性提出了更高的要求。
在这种状况下,CIO在不断改进和提高对IT系统理解的同时,也要强化IT部门员工控制系统的能力,从而适应业务发展的需要。
CIOI:CIO要想更好地实现IT部门和业务部门的合作,需要从哪些方面提升自己的能力?
协调IT部门与业务部门的合作,是CIO一项非常重要的技能。因为现在在很多企业,业务部门和IT部门之间都是有一点断层的,IT部门所做的系统,业务部门并不一定了解。在很多企业,IT部门已经上了很多IT系统,运作一段时间后,却并未起到任何效果。
这时,CIO必须要发挥一个引导作用,促进IT部门更有效地与业务部门沟通。当然,这也需要业务部门下大力去推行。现在国外很多大公司里面,就有专门的人负责IT部门和业务部门之间的沟通,发挥一个桥梁作用,而且,他必须既了解业务运作,又熟悉IT系统的特点。如果业务部门需要上一套新的IT系统,这个人就会去跟IT部门沟通,但有时候不了解IT系统的业务部门的员工不能很好将所需要的系统告诉IT部门。这种沟通,可以帮助企业有效地消除业务部门和IT部门的断层现象,将两边的需求对应匹配起来。
由此可见,IT部门和业务部门的沟通是非常重要的,而且沟通是内部控制非常重要的一环,“合规、改造和优化”这六个字可以总结整个沟通过程。
在整个过程中,CEO发挥一个什么样的作用?
CEO是大局的掌控者,拥有先进思想的CEO可以有效地推进IT部门和业务部门之间的匹配。中国很多传统企业的CEO,认为IT系统仅仅是一个工具。当企业需要上一套财务系统时,就上财务系统,然后对它进行维护;当企业需要上ERP系统时,就上一套ERP系统,然后再进行维护。在这种情况下,CIO仅感觉到自己处于一个支持的地位。这样,企业很难实现业务部门和IT部门的协调发展。因为如果CEO用这种心态看待IT系统,那么他们对企业业务的发展就缺乏一个长远规划,从而很难实现利用信息技术,提升企业业务、促进企业业务改善和良性发展的目标。
如果CEO有比较先进的思想,他们能够认识到企业业务跟IT系统是手牵着手、并行的,IT是业务的工作伙伴,而不仅仅是工具,那么CIO的潜能就很容易地被激发出来。因为当公司最高层授予CIO权力时,CIO的责任感也会增强了。
作为一个法律,萨班斯法案对企业的IT系统建设提出的是一个基本要求,但如果企业高层领导能够把对IT系统的要求提升到超越最基本的法律要求,那么它就可以充分促进业务的发展。因为萨班斯法案主要针对的是财务报表的内部控制,它不会直接关切到公司的业务和运作。企业如果实现这些IT系统与业务更好匹配,并制定一个长远规划,就可以进一步促进IT系统对企业业务的有效发展。
CIOI:中国已上市的企业,今后如何进一步应对萨班斯法案第404条款?
萨班斯法案要求在美国上市的企业的CEO和CFO每年都要对财务报告及内部控制做一个声明。
企业在上市之前,从法律角度来讲,是不用按照萨班斯法案的要求运作的。但是一些投行和投资者一般来说都希望这些未上市企业也能按照萨班斯法案的要求运作,从而可以帮助企业顺利上市。
说到底,萨班斯法案的一些规则是根据美国国情制定的,如果把其中一些很具体的要求,直接放到中国内地来,不一定符合中国本土化的要求,反而容易出现有些水土不服。其实,内控是一个概念、一个过程,怎么成功地控制企业的风险,中国有自己的特色,所以要想使西方的一套理念或一种模式符合中国的国情和文化,这是一个挺大的挑战。比如用人问题,东、西方就有显著差异。几千年以来,中国人用人采取的是“任人唯亲”的哲学,即企业的最高层相信一个人,那人可能是他的亲戚或结拜兄弟,几十年都在重用这一个人,而整个企业采取的是一种家族式管理。萨班斯法案恰恰与之相反,它重视程序、基础设施和监督机制,强调企业要有一个授权机制,监控整个企业的运营。中国企业要想进一步适应萨班斯法案的要求,就要实现一个转变,即将企业从家族企业或兄弟情谊式的管理,转变为一种更规范化的管理。(CIO Insight)
