网通过关<萨班斯法案>404 通关密径是什么

  5月31日，普华永道会计师事务所对中国网通集团(香港)有限公司财务报告的内控审计出具了零缺陷的测试结果，这意味着中国网通成功过关美国《萨班斯法案》404条款，成为率先通过该条款的国内电信运营商。

    “其实，《萨班斯法案》的精髓就体现在302条款和404条款的规定上。302条款要求公司高管在定期财务公告出来的时候附一份个人签署的书面认证文件，声明其对财务报告的真实性负责。404条款则是要求在定期财务报告出台之后，再由公司出具一份内部控制评价报告。”海问律师事务所律师刘剑向记者介绍，“404条款要求所有在美国上市的企业，公司管理层每年需就财务报告内部控制出具评估报告，并要求独立外部审计师对管理层的报告发表声明，其内容包括建立和维护有效内部控制的责任声明、内部控制评估标准、管理层评估结论和外部审计师意见等”。

    刘剑表示，对于执行者来说，《萨班斯法案》404条款的严苛之处就在于———其难以操作，往往需要企业建立完善的法人治理结构；也最为复杂，因为在建立法人治理结构的过程中包含着行政、审计、IT治理等一系列工作。也正因此，想要通过404条款需要付出巨大的人力和财力代价。如此一来，404条款就成为外国公司迈入美国股市的“高门槛”。

    2006年，中国网通在内的中国四大电信运营商开始执行该法案，如何能够迈过《萨班斯法案》的“高门槛”，成为企业头疼的问题。时隔一年，中国网通以零缺陷的完美姿态过关《萨班斯法案》404条款，这让人想要一探中国网通的“通关密径”。

    流程梳理第一步

    2004年11月16日，中国网通正式在美国纽约证券交易所挂牌交易。当时，像中国网通这样的“境外企业”尚不用执行《萨班斯法案》。但《萨班斯法案》对公司治理结构的严苛标准，使中国网通在踏上美国资本市场的第一天就意识到公司治理的重要性。

    据记者了解，2004年年底，中国网通即未雨绸缪地着手推进内控体系建设。“在诸多繁杂工作中，流程梳理无疑是第一步。”网通相关负责人说。

    “萨班斯法案中404条款要求每个公司都要将公司任何一个岗位的职务、职责描述得一目了然，还要保证在对交易进行财务记录的每一个环节都有相应的内部控制制度。按照《萨班斯法案》的要求，上市公司要对其目前执行的内部控制流程与《企业风险管理———整合框架》的框架进行对比，指出存在的不足和改进措施。而只有进行流程梳理，找出关键控制点以及需要规避什么样的风险，然后才能着手设计内控制度。”刘剑向记者解释。   在央企传统管理模式中，由于不重视流程，交易和决策过程往往缺少记录，一些决策甚至靠拍脑袋进行。在这样一种模式下，要想适应萨班斯法案，必将引起企业整体控管流程的重组，人员岗位职责的改变。因此，对于企业内部流程梳理、加强财务投资监管、协调内部资源分配、提高管理透明度等方面都将具有相当大的影响。

    网通相关负责人表示，对于中国网通这样的大型企业来说，如果要真正实施《萨班斯法案》的话，将涉及涵盖企业经营、IT系统控制、投融资管理、财务监控、法律法规监督等十几个大类、几十个细项。为了配合整个项目的实施，中国网通从公司总部到试点省级公司均成立了专项运营小组，挑选出大量的专业人员专门负责整个项目试点工作，明确各级单位自身战略定位。

    在近三年的时间里，中国网通完成了147个单位的内控体系建设，共梳理内控流程6920个，对近16000个关键控制活动进行了测试。

    改革内部控制体系

    适应《萨班斯法案》要求，改革公司内部控制体系，对企业制度化生存提出了更高更严更细的要求，也预示着在美上市的中国企业将要展开新一轮的管理变革。

    当记者问及作为电信运营商，网通是如何理解《萨班斯法案》下的内部风险控制体系的概念？网通相关负责人表示，萨班斯是契机，目的是加强企业基础管理。企业管理纲举目张，内控是纲。如果说公司治理是搭建体系架构，内控就是精装修，要将内控融入到每个管理细节中去，通过内控机制化解经营风险。做到经营数据真实、披露及时,如果数据不真实要有具体的人负责，小到行政处罚、大到承担法律责任。 

    2005年中国网通曾在集团总部和7个省市进行了调研试点及试推广工作。据介绍，当时共形成内控文档22套，其中流程描述860个、流程图1262个，发现了诸多管理层面及业务流程层面的缺陷。网通集团随后出台了网通铁律，制定并印发了《中国网通集团信息质量问责管理若干规定》，建立了层层报告、一级对一级负责的信息质量责任声明和传导机制，规定公司所有人员均对披露和提供的信息质量签名承诺，并终身负责，有力地推动了内控体系的建立。

 在中国网通推进内部控制体系改革时，张春江董事长亲自挂帅，担任内控项目领导小组组长。集团、省、地市分公司成立三级项目组织机构，建立项目组织机构和管理团队。在整个过程中，有十余万名员工先后参加了各级内控管理培训，有5000多名员工直接参与了内控项目工作。

    中国网通相关负责人表示，中国网通将传统的管理模式与现代国际惯例、法规相结合，实现了经营机制的转换，加强了企业管理，提高了企业经营业绩。建立了统一规范、完整的内部控制体系和完善的内部控制制度，使集团公司各项规章制度成为系统性、可操作性和包容性很强的内部管理制度。

    布局IT治理

    事实上，在《萨班斯法案》第404条款的合规性实践中，对IT控制活动进行定期测试是重要的一环。赛迪顾问公司IT服务资深顾问李长征认为，《萨班斯法案》强调企业的信息技术策略和系统中的内部控制，以及对审计过程存档的要求，即包括机器运行中的企业的内控活动的操作流程必须明白定义并保存相关记录。比如，《萨班斯法案》就要求财务报表的准确性，财务报表靠业务流程，而业务流程又是由信息系统支撑的。

    “《萨班斯法案》有很多条，有的是希望企业能够快速和准确地提供财务报表，这是一个整合和集成的系统，而不是独立的系统，这就要求在IT方面有很大的投入。另外一方面要建立一个公司内部的控制体系，要有足够的文档，在某一些条款中要先做文档，并不是刚开始就做系统。要适应《萨班斯法案》的某一个方面，在文档上做好，再把它移植到系统当中，作为系统来说是一个整合的系统，从另外一个角度说是要从文档上适应法律的规定。”中国网通相关负责人说。

    对于中国网通能够以零缺陷通过404条款，网通相关负责人表示，“中国企业在境外上市后，按照美国《萨班斯法案》的要求，必须适应国际化经营与资本市场对风险管理和内部控制的要求，引入风险控制的理念和方法，建立与上市公司管理模式相适应、为投资人充分信任、符合最新监管要求的内部控制体系。作为国有境外上市公司，中国网通既然选择了国际化发展的道路，就必须遵循国际资本市场的游戏规则，忠实于股东、忠实于投资人，这是全球化对我们提出的一个要求”。