解读SOX法案对中国运营商的影响
 
  摘要:SOX法案出台的主要目的是要通过补充一系列完善的公司管理机制,从而提升公司透明度来恢复投资者对上市公司的信心。 2004年11月中旬,以中国网通顺利于美国上市为标志,包括中国电信、中国移动、中国联通以及中国网通这中国四大基础电信运营商的上市征程终告完满。但这仅仅是一个开始,等待这些运营商的仍有诸多挑战,而萨班斯法案恰恰是国内运营商们需要跨越的第一道门坎。
  关键词:SOX法案; 302条款; 404条款; 内部控制 COSO
  SOX法案出台背景
  2001年是美国最灾难的一年,除了举世震惊的9?11恐怖袭击事件,更令世界大跌眼镜的是接踵而至的上市公司系列财务丑闻案,首先是11月份美国前500强的能源公司(安然)因财务丑闻案申请破产保护,接着是国际五大会计师事务所之一的美国安达信会计公司的审计丑闻案导致其申请破产,这一系列事件导致美国公民乃至全球的投资者对市场投资缺乏安全感,令美国股市暴跌。系列丑闻充分暴露了会计诚信危机,在这种股市接连遭挫的背景下,布什总统和美国国会、美国会计总署、美国证券交易委员会(SEC)、美国财务会计准则委员会(FASB)等单位迅速提出与制定各种对策,最终于02年7月30日,布什正式签署并出台了SOX法案即《2002年萨班斯-奥克斯利法案》(Sarbanes-oxley Act of 2002)。
  SOX法案主要内容
  SOX法案主要是从规定公司管理层与会计师事务所的相关责任以及加大处罚力度等几个方面入手,旨在加强公司责任,保护公众公司投资者的利益免受公司高管及相关机构的侵害。试图重新恢复投资者对股票市场的信心,提升市场对会计职业界的信任。SOX法案的主要目的是加强企业内部控制,相关的主要条款是302条款和404条款。
  302条款
  302条款明确了公司对于财务报告的责任。它要求由包括首席执行官和财务主管在内的企业管理层,就以下事项予以证实:
  建立和维护与财务报告有关的内部控制;
  设计了所需的内部控制,以保证管理层能知道该公司及其子公司的所有重大信息,尤其是报告期内的重大信息;
  与财务报告有关的内部控制的任何变更都已得到恰当的披露。
  404条款
  404条款是SOX法案中最严厉、最昂贵的条款。它要求上市公司建立内部控制体系,内部控制活动记录不仅要细化到像产品付款时间这样的细节,而且对重大缺陷都要予以披露。根据国际财务执行官(FEI)对321家企业的调查结果,每家需要遵守SOX法案的美国大型企业第一年实施404条款的总成本超过460万美元。
  404条款要求进行评价的内部控制包括针对与会计报表中所有重要科目和信息披露相关的所有会计认定所实施的内部控制,包括:
  在财务报告中主要交易是如何启动、授权、记录、处理和报告的;
  用以防范或找出与重要账户、交易种类和披露相关的错误或舞弊的内部控制措施;
  其它重要内控措施所依赖的内部控制,包括一般性控制,例如信息系统控制;
  非经常性、非系统交易或财务估计的内控措施;
  财务报表关账和汇总过程中的内控措施;
  资产保护的控制措施;
  公司层面的控制措施。
  很明显SOX法案的目标对象主要为财务系统,是一个会计改革法案,但该法案的出台会对企业的各个部门产生巨大的影响,SOX法案对不同部门的影响程度可以看出,实际上企业财务系统的准确性和可靠性最终取决于企业的IT支撑系统,所以整个萨班斯法案符合性最终落地必然是在企业的IT支撑系统安全,必须要求加强企业的内部控制。
  
  SOX法案对电信运营商的影响
  此法案内容不仅对美国公司具有约束力,对在美国上市的外国企业,也有同样的法律约束效力,目前包括中国移动、中国电信、中国网通和中国联通这四大中国电信运营商均已在美国上市,SOX法案对于中国电信运营商来说,似乎要更特殊一些。这种特殊就在于国内企业的管理制度不同于美国的企业,另外,运营商自身的转型与发展也注定了自身的管理体制与IT建设必须要适应SOX法案的需要。
  国内电信运营商至少要符合四大基本条件方能顺利通过SOX法案的审核:
  在公司治理方面,上市公司必须建立独立的审计委员会;
  在IT内控方面,针对302条款,公司管理层应该设计所需的内部控制;
  针对404条款,公司管理层应该有保证内部控制系统及相应控制程序充分有效的责任;
  在审计方面,增加审计师对信息系统的审计,要求审计师必须了解业务系统的运作。
  详细举例来看,依照SOX法案,对电信运营商来说,财务数据从BOSS系统产生,到最终传递到财务部门的过程中必须保证安全性,这就要求BOSS系统提供的报表在产生、运行过程中需确保数据不被非法修改;从BOSS系统本身的操作员管理、系统备份、程序管理等各个环节要确保规范化的管理和操作,所以需要对BOSS的操作人员进行明确的职责分工定义,确保操作人员和审查人员分开,程序开发人员和维护人员分开等职责分工机制;对BOSS系统的相关配置数据,如资费数据、结算规则数据、相关局数据、系统运行参数等对BOSS系统最终运行结果产生影响的数据需要确保其准确性,在配置过程中需要经过相应的核查环节。这些都要求不同的人具有不同的权限,各人只能进行职责内的操作,不可越权,并且可以对操作人员的行为进行审核,记录下的行为操作具有不可抵赖性。
  因此对BOSS系统实施统一的用户身份管理、身份识别控制、网络准入与业务系统准入是保证 BOSS系统可以通过SOX法案的基本需求。从以上例证可以明显看出,SOX法案对电信业有着深远而深刻的影响。首先,SOX法案对促进中国电信企业完善内部管理、建立现代企业制度具有推动意义。其次,IT内部安全管控标准的执行尽管在一定程度上增加了企业的成本,但有利于运营商提高自身的服务能力和信息安全,为实现持续健康的发展提供了有力有效的保障。
  综上所述,抛开SOX法案严格的标准化要求,仅从规范的角度来看,符合SOX法案的要求似乎正在通过这样的“矫枉过正”实现对企业管理的革新。电信运营商若能轻松下来,把符合SOX法案的要求更多的作为一种改进管理的手段,而不仅仅是目的,反而有可能通过一系列的过程,最终取得让运营商受益良久的效果。