您的位置: 公司治理不当的"地雷"既然被埋下,如果不及时排除,总会有引爆的那一天。在这个暴雨与骄阳交加的6月,中国航油(新加坡)股份有限公司(中航油)"触雷"事件让不少企业高管感受到了经营风险可能引发的人生巨变。
不久之前,荚长斌,中航油的母公司--中国航空油料集团公司的总经理为公司治理不当付出了巨大代价,他与中航油原总裁陈久霖、财务主管林中山等高管被新加坡警方逮捕,原因是在导致中航油巨亏5亿美元的石油衍生品交易丑闻中,涉嫌违规。
最近,负责调查中航油事件的普华永道所出具的报告显示,尽管陈久霖对此事件负有主要责任,但由于公司其他高管、交易员和董事多次未能履行应尽的公司治理职责,也应承担相应的责任。普华永道指出,中航油缺乏适当的风险管理机制并对公司已有的风险管理制度置之不理是其巨亏的主要原因。
坦率地说,中航油在管理机制上所凸现的弊病在国内企业中并非绝无仅有,然而公司的CEO、CFO等高管由于公司治理不当,在国外齐刷刷地被捕、遭到起诉,还是"前无古人"。中航油事件表明,CEO、CFO等企业高管须为经营风险承担责任已不再是一句空话。随着国内企业海外上市数量的增长,成熟的资本市场针对公司治理、会计监管、市场规范方面的惩罚性规则距离国内企业管理者越来越近。
另外,随着中国资本市场的开放,市场规则与国际接轨已是大势所趋。中国有关监管部门也许很快就会出台针对企业内控的相关措施。2005年10月,国际会计准则委员会将应中国财政部邀请,派专家小组与中方讨论国际会计准则与中国会计准则的融合问题。这被认为是中国市场规则与国际融合的信号之一。可见,现在尚未带上"洋紧箍咒"的中国企业高管们隔岸观火的日子不会太多了。
洋紧箍咒的压力
近几年,中国企业对海外资本市场可谓趋之若鹜。据IDC统计,中国企业2004年在海外IPO的企业有84家,募集资金总额超过910亿元人民币,比2003年增加62%。中国企业在海外上市的地点分散在香港、新加坡、纽约、伦敦等,它们有着不同的监管规则,不熟悉或不遵从当地规则的企业都将面临处罚风险。2001年6月29日,中华网被告上美国法庭之后,网易、中国人寿、UT斯达康、中航油、新浪、前程无忧等海外上市企业相继因为"虚假、隐瞒信息,信息披露不当,信息披露不及时,信息不完整"等原因遭遇到了诉讼。
就在它们纷纷应对诉讼之际,那些在美国上市的公司又迎来了更大的挑战:2004年,美国证券市场开始实施近10年来最严厉的针对上市公司财务和公司治理的Sarbanes-Oxley(塞班斯法案)。该法案规定,企业的首席执行官和财务总监必须对呈报给美国证券交易委员会(SEC)的财务报告予以保证,以确保其"完全符合证券交易法,在所有重大方面公允地反映财务状况和经营成果"。它还规定,上市公司的财务报告必须包括一份内控报告,并明确规定公司管理层对建立和维护财务报告的内部控制体系及相应控制流程负有完全责任;此外,财务报告中必须附有其内控体系和相应流程有效性的年度评估。塞班斯法案对违规企业的高管做出了轻则罚款、重则牢狱的惩罚规定。它的出台意味着在美国上市的公司不仅要保证其财务报表数据的准确,还要保证内控系统能通过相关审计。
这个法案不但让在美上市的外国企业感到棘手,即使是在美国这个成熟市场环境中成长起来的本土企业想过关也非易事。本来塞班斯法案从2004年开始实施,但由于大部分在美国有经营业务的上市公司都达不到其要求,因此,SEC决定其执行期延至2005年,那些只在美国上市而在美国没有业务的公司遵从塞班斯法案的时间则被顺延到2006年。
尽管,执行时间被延迟,但塞班斯法案成为在美上市企业躲不过去的坎,它们迟早要补其在企业内控上落下的课。于是,所有国内在美上市的企业目前都不同程度地开始了提高内控水平、应对塞班斯法案的准备工作。据悉,它们的准备工作主要集中在保证财务信息准确的内控系统建设及内审流程的完善上。
网易作为在美上市的公司,其塞班斯法案的准备工作早在2002年就开始了。2001年11月,李廷斌出任网易公司集团财务总监,2002年4月,他被任命为集团董事及首席财务执行官。他到网易的主要使命之一就是建设内控体系。2001年9月4日到2002年1月2日,被网易创始人及首席架构设计师丁磊称作公司历史上最严重的危机时段。在那段时间内,网易因为违反美国的联邦证券法规,虚报2000年的营收,被纳斯达克宣布暂停交易。因此加强内部监管与控制被网易视为那时的当务之急。恰巧此时塞班斯法案中关于企业内控要求的404条款被作为议案提出。于是,从2002年开始,李廷斌以这个议案为依据,在网易内部开始建设内控体系。
网易内部负责塞班斯法案项目的是一个四人小组,成员都曾是国际四大会计师事务所的高级经理。这个小组直接向CFO李廷斌汇报,他直接向网易董事会中的审计委员会汇报。在网易,尽管塞班斯法案项目是由CFO挂帅实施的,但李廷斌承认,企业内控建设离不开信息系统的支撑。这种载体与目的的关系,强生集团北亚区区域首席信息官冯太川体会最深,"遵从塞班斯法案,提升企业的内控能力其实是CIO与CEO、CFO同舟共济、共同'排雷'的过程。对于业务流程复杂的公司来说,脱离CIO的支持,提升内控水准是难以想像的"。
CIO的责任
强生集团规定,CIO每年必须在《内控系统有效性责任书》上签字。这个规定使得冯太川于2002年在其合资企业--西安杨森制药公司实施ERP时,就开始着力建立企业的内控体系了。为了保证数据不损坏、不丢失,冯太川还实施了周全的数据备份方案。此外,他还在西安复制了一套灾难备分系统,以便能在紧急情况下,保持业务运作的连续性。冯太川还要求IT人员整理出所有信息系统开发、变更等的详细文档。同时,他还为操作系统的人员制定了培训、考试计划,获得合格证书的人才能上岗。完成了这些控制内控系统有效性的步骤后,他才放心地在《内控系统有效性责任书》上签下自己的名字。
在冯太川的着力控制下,西安杨森成为强生全球分支机构中第一个通过塞班斯法案审查的子公司。由于西安杨森的内控系统自动化程度很高,第三方审计只用了6天时间就完成了以前需要3个星期才能做完的审计工作。
当时,冯太川也没有料到,塞班斯项目的实施还成为了其职业增值的砝码:他凭此成为西安杨森的核心管理者之一;2004年10月,他又从西安杨森信息资讯部总监的位置升任其母公司--美国强生集团公司药品部北亚区的CIO,开始在更大范围内,对强生集团的内控有效性进行负责。
在企业提升内控能力的过程中,CIO的责任和机会,不仅冯太川领略到了,贝塔斯曼文化实业有限公司IT总监江玮也意识到了。在江玮看来,"对CIO来说,这是一个绝好的学习管理、熟悉业务,扩大公司内影响力的机会。平时,CIO很少有理由指挥业务部门,塞班斯项目给我提供了这个的机会。"
尽管贝塔斯曼还不是美国上市公司,但江玮觉得加强内控是企业迟早要面对的要务。2004年12月,江玮到任时,贝塔斯曼由于之前内部出现的一些问题,正处于对内控有强烈需要的阶段,这也成了他抓住机会的契机。
经过半年对内部信息系统的整顿后,江玮开始把工作重心转移到加强内控上。在江玮看来,转变业务部门的工作理念是加强内控的关键。正如塞班斯法案要求得那样--让企业所有高管意识到并承认其对公司风险所负有的责任,并清楚不同责任的大小。为此,从2005年5月开始,江玮在全公司范围内展开了BIA(Business Impact Analysis,业务影响分析)。
他给每个部门发放了两类问卷:第一类问卷是针对整个部门业务的,他要求部门管理者填写。问题主要涉及部门业务目标、定位、支持部门目标的流程和功能,未来24个月内,预计增加或减少的功能和流程以及对IT系统的依赖程度;第二类问卷针对的是每个具体流程或功能,问题包括"如果这个环节出现问题,对公司的影响是什么?公司会在多长时间内感受到这个影响?需要恢复吗?由此增加多少费用?损失多少资产?"
江玮在来贝塔斯曼之前,曾在一家法国银行负责其亚太地区的信息安全和内控。根据以往的经验,他给BIA问卷回收留出了4个月时间,他还指派信息安全官全程跟踪与协助这项工作。"当业务部门认真面对这两份问卷时,他们就必须开始思考相关问题了;当他们真正用笔写下相关答案时,就达到了我帮他们理清思路的目的了。"
江玮知道,回答问卷的过程将向所有高管清晰有力地说明有效的内控制度不会增加成本,反而能极大地降低风险成本。此外,根据业务答卷制订的企业内控方案的有效性将显而易见的。"以后,拿着问卷数据跟业务部门沟通将会容易很多。"江玮决定,为了确保内控制度的有效性,BIA每年必须做一次。
除了做自己所在企业的内控工程,江玮有时还会去别的企业客串一下塞班斯法案的预审计工作。那些对自身内控管理水平底气不足的企业不敢一下引进独立的第三方审计来审查自己的内控流程和系统,因此,像江玮这样有着丰富银行内控经验的专家就成为它们的座上宾。目前,国内非常缺乏江玮这种塞班斯项目第三方顾问。因此,这也是塞班斯法案衍生出来的商机之一。
目前,那些正在实施塞班斯项目的国内企业几乎都有"曲高和寡"的感觉,能理解它们在内控上所感受到的压力的企业微乎其微。日前,记者电话采访了几个在国内上市的企业,它们中的大部分都没把类似塞班斯法案的资本市场规则当回事,似乎中航油的"爆炸"声还没有让它们回过神来。不过,越来越多的有识之士开始不断向企业界发出警示--公司管理不严、治理不当之"地雷"既然被埋下,如果不及时排除,它总会有被引爆的那一天。"与其被动引爆,不如主动提前排除。"其实,国内股市的持续低靡,已经在不断提醒那些想做大做强的企业,该是排"雷"的时候了。
正在实施塞班斯项目的国内企业几乎都有"曲高和寡"的感觉,能理解它们在内控上所感受到的压力的企业微乎其微。
来源:CCW
