萨班斯—奥克斯利法案(sox法案),一部来自美国,涉及会计职业监管、公司治理、证券市场监管等方面改革的重要法律,对在美上市企业的严厉监管,也打破了在美上市的中国it企业的平静。
尽管目前sox法案针对部分企业暂时给出延期的方案,但并没有提出任何企业有适用的豁免条件,因此不管怎样,时间的拖延只能解决暂时性问题,每个在美国上市的企业最终都要接受它的监管。sox法案更为深远的影响还在于,它掀起了全球的sox风潮,不论是欧洲、日本甚至中国都已经或者正在酝酿类似的监管措施。未来,一家正规发展的企业如果不对sox类别的方案有所了解与行动,终究会遇到成长的天花板,为此付出沉重代价。
在it领域,各种服务咨询类企业、不少从事法规遵循的新企业以及软件企业都开始从sox法案的各个角度出发,在市场上活跃起来。作为全球第四大独立软件供应商,赛门铁克对新颁布的sox法案有什么看法?对国内在美国上市的企业又有怎样的建议呢?近日,赛门铁克大中华区总裁郭尊华、政府解决方案和策略部门高级总监lawrence dietz以及亚太区安全方案高级技术总监tim hartman分别与记者就sox法案相关的热点问题进行了交流,探讨了目前国际上企业的普遍做法,并给予了深入分析。
it治理应对法案冲突
记者:sox法案对于上市企业的规定都是一致吗?有没有不同级别?我们知道全球还有很多地区都有类似sox方案的规定需要企业遵循,是否只有sox方案有这样的严厉规定:要求上市公司ceo做出与财务相关的内控有效的声明,如果出现问题,ceo和cfo将为此承担最高至500万美元的罚款和上至20年的监禁刑事责任。
赛门铁克:sox法案所管理的是所有在美国证券交易所上市的公司,这与公司本身处在哪个行业,它的规模有多大,或者是谁拥有都毫无关系。另外根据sox法案,受到sox法案管理的所有公司,他们在国外的分支机构同样也要遵守这个法案。据我们所知,只有sox法案让首席财务官cfo和首席运营官ceo个人对公司的法规遵从负责任,他们个人必须通过遵守sox法案的相关认证,有任何违反法案的情况,可以受到刑事处罚。在美国的法律框架下有两个部门:民法和刑法。在民法的审讯中,法庭中的对象可能是两个个人,两个公司,或者一个个人对一个公司,他们的特征就是都是私有单位。而在刑事法庭上,需要出现公诉方,公诉方代表的是政府。如在sox法案中,公诉方就是美国联邦政府,而不是美国的州政府,因此其法律效力极强。
记者:我们知道全球各个地区都已经或者正在制定类似sox法案的法律法规,而且根据企业所在的行业不同,不少企业在未来还将有许多法案需要遵从。
赛门铁克:从国际角度首先想到的是日本通过的一个相关法案,简称jsox。日本在观察世界形势方面做得非常好,这个jsox,也就是日本版的sox法案将在明年生效。它主要有三个目的:目的之一是促进日本所有机构能够产生良好的治理方式,目的之二是来解释良好的治理意味着什么,目的之三是希望在日本的法规跟其所有主要贸易伙伴之间建立和谐的关系。在英国,和sox法案对应的标准讲的是内部控制系统和披露。德国通过的公司治理法案中也有很多与sox法案内容相近的地方,同时它还批评了德国商业公司中存在的一些问题,特别是审计公司。澳大利亚证券交易所的中央公司治理法案也跟sox法案有很多相同之处。
另外,根据企业所在的不同行业,还有特定的国家地区和其他国家所制定的与it相关的法律。如果企业属于医疗卫生领域,就需要遵守hipaa法案,主要是来保护病人的私人信息。如果企业属于美国政府,首先要考虑到遵守联邦的信息安全管理法案,同时还要遵守国家科学技术研究院所制定的相关规则,以及遵守总统法令,它是以总统管理和预算办公室omb通知的形式发布的,它的代号是a123。
记者:除了sox法案,还有不同的行业要遵守的法案法律,它们之间是否存在冲突?
赛门铁克:it治理将是一个好的开始,是一个大的指导原则,可以解决很多问题。有些国际标准如iso 17799是来管理信息安全的,一些国家法规比如sox法案管理的是公开上市的公司,还有一些州法律管理在这些州做生意的公司,在欧洲还要考虑到巴塞尔协议2,美国还有glba法案……企业该怎么办呢?所以公司要采取两种方式来治理公司结构,才能够确保遵守所有的法律,这种治理一方面是法规遵从,另一方面是it遵从。it遵从是通过使用信息技术工具来确保执行管理层制定的相关政策。要有效管理一个公司不仅包括业务工作,还有流程工作和技术工作,只要做好it治理,公司就能够应付所有与it相关的法案。
sox法案需要长期计划
记者:企业要实现sox法案,是否需要很大的资金投入?或者这个资金投入在短期内见不到回报,用户会不会有这样的顾虑?
赛门铁克:sox法案不是一个详细的计划,而是一个长期的一整套计划,不是哪里疼就医哪里。我们认为,首先要巩固外围的环
