当电信业翻开SOX词典

　　萨班斯法案(SOX)的一些词语虽然已经为我们熟知，但由于其深植于美国的公司制度和治理理念，清晰地理解这些词语后面的概念和规则，并不是一件简单的事情。

　　通信产业报记者 王冀

　　302条款

　　302条款明确了公司对于财务报告的责任。它要求由包括首席执行官和财务主管在内的企业管理层，就以下事项予以证实：1.建立和维护与财务报告有关的内部控制；2.设计了所需的内部控制，以保证这些官员能知道该公司及其子公司的所有重大信息，尤其是报告期内的重大信息；3.与财务报告有关的内部控制的任何变更都已得到恰当的披露。

　　电信业解读

　　萨班斯法案(SOX)颁布迄今已有四年，302条款的内容开始具体落实。对于电信企业来说，遵守302条款就意味着对整个公司的管理模式要进行重新梳理，尤其是企业最高领导人的责任将明显加大。

　　404条款

　　404条款是SOX法案中最严厉、最昂贵的条款。它要求上市公司建立内部控制体系，内部控制活动记录不仅要细化到像产品付款时间这样的细节，而且对重大缺陷都要予以披露，每份年度报告都应包括内部控制报告，确保企业财务报告的可靠性。

　　根据国际财务执行官(FEI)对321家企业的调查结果，每家需要遵守SOX法案的美国大型企业第一年实施404条款的总成本超过460万美元。

　　电信业解读

　　404条款是SOX的核心内容。目前，四大运营商都已聘请外部

　　内部控制

　　“内部控制”是指企业组织机构的设计和企业内部采取的所有相互协调的方法和措施。1996年，美国注册会计师协会对“内部控制”的内涵做了进一步阐述：“由一个企业的董事长、管理层和其他人员实现的过程，旨在为下列目标提供合理保证：1.财务报告的可靠性；2.经营的效果和效率；3.符合适用的法律和法规。”

　　电信业解读

　　目前，四大运营商都在进行内部控制的建设，并由外部审计师进行内部控制审计。电信企业管理层要求各级单位强化内部控制，加强管理，对发现的问题进行整改，力保今年通过内部控制的审核工作。

　　内控框架

　　“内控框架”由“内部控制”引申而来，是对前者的进一步完善。“内控框架”的构成要素包括控制环境、风险评估、控制活动、信息和沟通以及监督五个方面。目前，国际上比较有名的内控模式有英国的Cadbury、美国的COSO和加拿大的COCO。其中，COSO模式得到了美国

　　电信业解读

　　内控框架体系非常庞大，国内运营商原有的内控框架并不规范，缺乏从公司透明度角度出发的、结合支持业务流程的完整的内控框架。这也是国内企业在遵循SOX法案的道路上，问题最多的领域。

　　控制活动

　　“控制活动”是内控框架的一个组成部分，指对企业对确认的风险采取必要的措施，以保证单位目标得以实现的政策和程序。

　　实践中，“控制活动”可归结为以下几类：1.业绩评价，是指将实际业绩与其他标准尺度进行比较；将不同系列的数据相联系，如经营数据和财务数据，对功能或运行业绩进行评价。2.信息处理，指保证业务在信息系统中正确、完全和经授权处理的活动。3.实物控制，包括实物安全控制、对计算机以及数据资料的接触予以授权、定期盘点以及将控制数据予以对比。4.职责分离，指将各种功能性职责分离，以防止单独作业的雇员从事或隐藏不正常行为。

　　电信业解读

　　控制活动内容繁杂，国内运营商面临的主要问题是对复杂的控制过程并不精通或了解，难负其责。因此，运营商的管理层应该按照审计所要求的形式进行正式的、规范化的风险管理。

　　自评估机制

　　SOX法案要求上市公司建立“自评估机制(CSA)”。它是指企业内部为实现目标、控制风险而对内部控制系统的有效性和恰当性实施自我评估的方法。

　　“自评估机制”最早出现在上世纪80年代末期，其最主要的发展是在90年代。当时，在新的内部控制模式下，企业迫切需要评价包括公司治理，高层经营理念与管理风格，职业道德，诚实品质，胜任能力，风险评估等的“软控制”。而“自评估机制”把原来财务模式自上而下的平面结构，发展为更具弹性的企业整体模式的立体框架，既可以用来评价传统的硬控制，又可以用来评价非正式控制即软控制的机制，得到了企业的普遍信赖。

　　电信业解读

　　为满足SOX的要求，电信运营商进行了大量的物理集中和管理集中的工作，而在这一过程中容易出现漏洞或重要缺陷。建立有效的自评估机制，可以防止系统数据的准确性和完整性出现问题。