去年看到的文章，不过仍然有参考价值，收录在此。

警钟已经敲响！为了应对SOX法案，在美国上市的中国企业必须从2006年4月开始进行业务流程整改工作，因此从现在到明年4月的半年时间内，这些企业将面临着准备应对SOX法案的“生死”考验。 

　　警钟已经敲响！到2006财年结束的时候，美国审计师会计师就会按照《萨班斯-奥克莱法》（SOX法案）对中国在美上市企业进行审计认证了。如果一个企业没通过SOX法案，美国证券交易委员会就将在该上市公司公告中公布这一信息，这就代表着该企业的财务管理不合规范、财务报表被置疑、公司股价不可信任等多重含义。更重要的是，中国在美上市公司能不能通过SOX法案还背负着海外投资对中国企业整体的信任。

　　“从目前来看，留给中国在美上市企业的准备时间已经不多了。” 北京慧点科技总裁姜晓丹说，尽管2006年10月在美上市企业才开始做最后的报告整理，但由于之前的业务流程整改和企业内部测评各需要3个月的时间，实际上2006年4月在美上市企业就应该完成所有应对SOX法案的准备工作。然而，大多数已经在美上市或准备上市的中国企业对于SOX法案的含义、SOX法案的惩罚后果、SOX法案遵从的具体过程、遵从过程中谁唱主角等问题还并不清晰。

　　于是，从现在到明年4月的半年时间内，中国在美上市企业将面临着“生死”考验。

SOX法案明年大考
　　SOX法案又称《2002年公众公司会计改革和投资者保护法》，该法案颁布的背景是源于安然、世通等美国企业巨头会计丑闻事件的曝光。这一系列公司假账丑闻暴露出诸多上市公司治理结构不平衡和外部监督缺失，为了改变这一局面，美国国会和政府加速通过了SOX法案。该法案要求组织机构使用文档化的财务政策和流程来改善可审计性，并更快地拿出财务报告；要求企业针对产生财务交易的所有作业流程，都做到透明化、可控制、有效风险管理和欺诈防治，并且这些流程必须详细记录，乃至到可追查交易源头。

　　对于中国在美国上市企业来说，SOX法案将在2006年7月15日或者以后结束的财政年度开始生效。普华永道环球风险管理部合伙人季瑞华分析认为，“如果中国企业财政年度截止到6月30日，那么要做内控报告的第一年就是2007财年。但由于我国大部分企业当年财政年度的结束日期为12月31日，所以实际上该法案从2006财年就开始生效了。”

　　资料显示，截至今年3月底，内地和香港一共有70余家公司在美国上市，其中包括多家大型国有企业，如中海油、东方航空、中国人寿、中国移动等。对他们来说，明年七月SOX法案将是一个严峻的考验。

SOX法案遵从如何走
　　在回顾搜狐公司2004年手工完成SOX遵从认证的整个过程时，搜狐公司内审部经理张昕用“噩梦般的痛苦”来形容她所经历的一切。普华永道的合伙人季瑞华先生认为，SOX法案遵从难就难在法案中没有明确写明企业要具体完成哪些条件，而对于在美上市的中国企业来讲，最难操作、最复杂、成本最高的则是该法案中对企业完善内部控制的要求，即404条款。该条款强调企业必须要完善其对财务报告相关的内部控制，即不但所有的财务数据要准确，而且企业还要有证明财务数据正确的证据，企业的CEO、cfo target=_blank class=link_tag>CFO要能实时监控财务数据。

　　SOX遵从的整个过程涵盖了从范围界定到流程梳理，再到档案存储、测试、报告等方面。具体来说，SOX遵从工作的启动通常是由企业的审计师提出，并告之法案中相对应的要求；随后，企业CEO、CFO确定一个内控组织，同时启动这个项目的培训学习；紧接着，企业在审计师的指导下选择一个咨询公司，该公司来确定这个项目的范围，并根据COSO内控体系框架确定出五方面内容，即企业整个业务流程、流程中需标识的风险、风险的控制、测试和评估。

　　这一过程实际上是对企业做一个整体的梳理，而在了解清楚公司整个治理环境后，就要研究企业内部的流程，进行流程的梳理。对大多数中国的海外上市企业来说，流程梳理的过程因为其数量众多的分支机构而变得尤其繁琐，工作量也非常的大。因此，大多数企业在流程梳理完之后就需要用IT系统把这一流程整体“固化”下来。

SOX法案遵从谁唱主角
　　在美国上市企业中，SOX法案遵从过程的主要执行者是谁呢？一般认为，是上市企业的CEO、CFO、首席风险控制官等等。但也有专家预言，cio很快将以相对独立的监管者身份出现在企业的董事会中。试想，SOX法案给上市企业带来最为显著的变化是董事会不仅关注企业各项业务活动的数据、报表，更要重视对业务活动本身的监控，而这一过程必须依赖于企业内部的信息系统，于是CIO在这场变革中顺理成章的走向前台。换言之，如果SOX法案的目标之一是为了在董事会与CEO、CFO等企业高管之间建立起“诚信”，那么CIO在他们之间应充分利用IT技术起到“第三方监督”的作用。Forrester Research公司最近几次的调查表明，在众多影响IT投入增长的因素之中，SOX法案逐渐进入各CIO的视野。

　　纵观一个在美上市的中国企业完成SOX法案的整个遵从过程，实际上会涉及到四组人员的分工与合作：首先企业内部要成立一个专门的组织，如内部控制部等，这个组织被CEO、CFO赋予了很大的权利，它可以改动、诊断和调整企业的流程；其次，企业还会聘请独立的咨询公司，具体咨询人员会告诉企业SOX法案遵从过程需要注重和落实的很多细节；第三组人员是审计师，他们通常来自于国际四大会计师事务所；最后一组就是SOX法案遵从的IT解决方案的实施人员。Forrester预测2005年SOX法案会激发对内容管理软件（上涨15%）及商业智能软件(上涨9%)的需求，因为许多上市公司都在寻求更好的方法以获取并监控企业内部海量的数据，从而增强对企业财务报告的内部管理。

SOX法案遵从调动哪些IT预算
　　经过四个月的努力，9月9日华能国际电力有限公司成为中国在美上市企业中第一个完成了SOX法案遵从应用软件平台实施的企业。但华能国际的财务部副经理黄历新先生对此却非常低调。他表示，一方面，完成SOX法案遵从应用软件平台实施并不表示华能国际就可以顺利通过2006年的SOX法案认证；另一方面，IT实施也只是SOX法案遵从全过程的一小步，其中的IT预算更是整个投入的一小部分。

　　目前，慧点科技基于IBM WBCR（ Workplace for Business Controls and Reporting）平台为华能国际完成了企业内控系统，主要包括业务流程的发布，未来它还要完成流程更改的版本控制。此后，企业还要完成更重要的工作，即在交报告之前要做一个内部测试或评估，以此证明内控系统的有效性。对于该测试过程， SOX法案执行委员会有一个很详细的要求，比如对每一个类型的财务数据一年中要抽取多少次，抽查的过程是不是有效等都需要用IT系统记录下来。数据统计、测试、评估之后，企业总部的CEO、CFO还需实时查看、监控测试评估的有效性。最后，企业内控人员、管理者、外审人员、审计师等将从不同角度给企业审计机构和美国证券交易委员会提交报告。

　　在SOX法案影响下，大部分中国海外上市企业都已经开始相关资金预算。那么CIO未来更应关注哪些IT预算呢？ Forrester预测，2005年IT投入增加的各项费用大致来自5个方面：一是人力资源配置，由于所有信息系统中的文档都需要归档保存，IT部门为了完成这项复杂工作，CIO可考虑重新配置各岗位人力资源或者招募新员工；二是审计成本，当企业有新的业务需求或者流程变革时，需要审计师的参与，对该变革的必要性做出评估，并监督变革是否符合相应的法规；三是咨询费用，由于审计师并不能设计他们审计的对象，因而咨询顾问的参与必不可少，相应的预算也是必备的；四是培训费用，仅仅设计出合理的IT治理框架是不够的，关键还需要员工的有力执行，因此针对性的培训能有效降低实施风险；最后是软件工具，为了应对外界环境的变化和提高企业内部的运作效率，必须利用高效的软件工具，商业智能等IT系统将得到广泛运用。

 

资 料
　　SOX法案的内容分为两部分，一是主要涉及对会计职业及公司行为的监管，包括：建立一个独立的"公众公司会计监管委员会"，对上市公司审计进行监管；通过签字合伙人轮换制度以及咨询与审计服务不兼容等提高审计的独立性；对公司高管人员的行为进行限定以及改善公司治理结构等，以增进公司的报告责任；加强财务报告的披露；通过增加拨款和雇员等来提高证券交易委员会的执法能力。

　　二是提高对公司高管及白领犯罪的刑事责任，比如，规定销毁审计档案最高可判10年监禁、在联邦调查及破产事件中销毁档案最高可判20年监禁；为强化公司高管层对财务报告的责任，要求公司高管对财务报告的真实性宣誓，并就提供不实财务报告分别设定了10年或20年的刑事责任。这与持枪抢劫的最高刑罚一样。

推荐到鲜果：