萨班斯·奥克斯利法案：驱动金融业迈向精细化管理

　　2002年，美国企业界发生了一件不仅对企业财务工作人员，而且对整个企业的管理层影响巨大的事件——为了解决因财务丑闻而产生的信任危机，消除人们对上市公司财务报表真实性的担忧，美国出台了旨在降低公司财务报告中的欺诈和疏漏行为的萨班斯·奥克斯利法案(简称SOX法案)。该法案的出台，标志着美国金融证券法律的根本思想，从信息披露转向实质性管制。

　　前不久，海波龙公司联手毕博咨询公司发布了一份白皮书，对金融企业如何因应SOX法案，做了全面的预测和分析。报告指出，SOX法案不应当被认为仅仅适用于在美国上市的公司，准备上市的公司和一些受限制的行业，如银行与保险业等，都将受SOX法案的制约。SOX法案第302条“公司对财务报告的责任”和第404条“管理层对内部控制的评价”，要求企业管理层定期对财务报告及内部控制的有效性进行评价，并要求披露对记录、处理、汇总及编报财务数据等功能产生负面影响的所有重大缺陷。

　　落实SOX法案，不但会促使财务管理机制的变革，还将引发企业从业务流程到技术架构的一系列变革。这是由于财务报告产生的整个流程依靠各类信息系统，如果没有可靠的信息系统和有效的IT控制，则无法产生准确可信的财务报告。为此，金融企业迫切需要有效的工具和系统，用以促进沟通、增强内部控制架构与流线型的财务和会计行为以及监控企业绩效。此外，为执行法案及监管机构的具体规定，金融机构还需要动员大量IT资源参与“遵从萨班斯法案路线图”的实施，这也引发了对IT控制从战略到流程的变更。包括重新理解和分析现有的财务报告流程及其内部控制，支持这些流程和控制的IT系统；识别和评估这些IT系统的风险；设计和执行用于减少已识别风险的控制并保证其持续有效；测试并记录IT控制；确保IT控制的更新与财务报告流程内部控制的更新同步等。

　　从上述角度看，为遵从SOX法案，金融企业必将展开一项系统工程，而且这一系统工程对IT控制的影响，也将会是全面、深入而复杂的。

　　财务合并

　　对于大多数全球性公司而言，越来越多的并购、重组以及不同地域的不同管理需求，迫使会计部门必须管理多个总账和代码组。因此，建立一个以数据合并和法定报告为目的的集中数据仓库非常必要。在美国，已有一些金融企业建立了一套标准的企业数据模型，包括会计科目，作为企业通用的报告语言。这个数据模型已经成为应用合并规则的财务合并平台基础。比如货币转换、公司内部和其他账目抵消，并且依此建立符合公认会计准则的财务报表。这套体系与SOX法案有着密切的关系，它扮演了“官方记录”的角色，并作为外部报告的第一手资料来源。

　　直到最近，越来越多的金融企业意识到，财务合并流程不仅繁杂，还充满各种问题，包括分类账的输入从根本上改变了总账的收支平衡、在从中心数据库下载相关数据时不明原因的中断、全球性合并和闭合状态不具可视性、缺乏针对业务单位总账数据与合并过的数据数目之间的核对、从业务单位到合并后数字之间的账目映射复杂或不一致、不平衡的公司间账目、业务单位之间缺少协作、缺乏针对政策或流程变更的沟通、缺乏可审计的签署流程、无法为内部控制提供一个一致的数据仓、无法自动进行数据保留和避免可能的记录破坏等。面向SOX法案的财务合并和内容管理软件的出现，改变了这种状况，它们解决了财务合并中的诸多基本问题，并显著提高了财务合并流程中的可见性和透明度。

　　应用系统整合

　　就财务合并而言，应用系统整合是指从原始总账资料中提取数据，使用当地货币，将其导入合并目标数据中。以往，企业是通过文档提取、电子表格或其他手工方式完成这项工作，并且没有任何自动化方式验证所提取的数据和合并结果。现在，新型的财务管理解决方案使整个流程自动化，比如提取、转化和导入，包括验证所提取的数据和导入的数据以及余额。这种类型的审计数据整合方式，可以确保公司的源系统数据与财务合并结果的一致。

　　流程管理

　　当前，金融企业所采用的流程无法保证财务数据的正确加载、合并以及数据验证。问题往往是在数据的初步合并后才会发现，这时需要数据重新加载和合并。但企业仍然需要依从SOX法案的要求，在更短时间内向监管机构提交财务报告，这使得当前的流程无法应对。

　　有一种新型的工作流工具可以解决此类问题。针对结构化的数据，工作流工具保证关账过程的可视化。这意味着高层管理人员可以实时了解关账情况。同时，还能够帮助确认所提交的报告是否满足SOX法案中报告的要求。在结构化的合并流程中，监控工作流的执行至关重要。工作流管理通过建立细分每个执行步骤的电子文档实现流程自动化。它能将每个步骤发给指定的用户，并附带该步骤需审查的所有文档的链接。系统能够自动登记并记录每一步的执行情况，然后递交管理权到下一任审批者。同时，能够记录任何一个步骤的失败情况，并中止流程直到问题被解决为止。通过这种方式，企业能够使流程高度自动化并符合外部审计人员的审计要求。

　　例外报告

　　金融企业和业务部门控制者往往需要花费大量的时间，对会计区间的数据进行详细的解释，包括澄清非正常的变化或需管理层注意的特殊项目。虽然这些细节在管理简报中是必要的，但控制者们经常发现追溯源头是件非常困难的事情。另外，完成这些最终注释，需要各业务部门的通力合作，这些细节通常在关账过程中就已经丢失，无法作为历史审查记录保存下来。然而，保存这些信息同时保留指定的数据元素的批注，可以保证高层管理人员有信心签署财务报告。面向SOX法案的财务管理解决方案，能够帮助金融企业注释指定的文字，并链接到相关的数据元素。比如说，一个控制者能为一个在关账过程中发现的较大差异进行注释，首席财务官能够审查这些注释并对源作者进行回应。系统能够把注释作为财务档案的一部分而保留下来，并生成历史报告。注释信息的共享，使得管理和沟通更有效。

　　IT系统架构

　　对于金融企业中各种类型的IT系统，要达到SOX法案的要求，一般可从IT控制环境、计算机操作、程序及数据的访问、程序开发及变更等四方面入手。IT控制环境包括信息系统战略计划、IT风险管理流程、IT政策、程序及标准及对上述流程的监督和报告，以保证IT与企业目标的一致。计算机操作包括对IT基础设施的定义、获取、安装、配置、整合及维护的控制，如服务水平管理、第三方服务管理、配置及系统管理、问题及事件管理等。另外，对操作系统、数据库管理系统、中间件、安全软件及等系统软件的获取、执行、配置、维护及其操作日志的保存，也应进行有效的控制。程序及数据的访问主要包括安全密码、防火墙、数据加密、用户账户及权限控制等访问控制措施。程序开发及变更包括新应用系统的开发、获取、执行和对现有系统的维护。为降低新系统开发失败的风险，必须应用一些能提供系统设计、需求定义、系统测试及批准、项目管理、项目风险评估等功能的开发及质量保证方法。对应用系统变更的控制和管理还需要结合其他控制流程，如问题及事件管理等。

　　面向SOX法案，最重要的是要建立一个可靠的、能够支持现有和未来内控框架的技术底层架构，如同会计和财务报表流程一样，这都是金融企业所必备的。从根本上讲，这个架构将可以创建高度自动化和能顺应SOX法案要求所必需的可靠环境。对此，专家特别指出，金融企业在实施遵从SOX法案项目时，要充分考虑财务成本因素。事实上，大多数金融企业已存在一些IT控制，只是缺乏足够的控制功能文档和证据来证明其有效性。因此，只需对这些流程和控制加以调整和完善，而没有必要“推倒重来”。