事实证明，自“萨班斯法案”生效以来，美国上市企业的CEO几乎都是在战战兢兢中度过每一个财年，其中仍有超过500家企业的财务问题被揭露。而9个月后，在美国上市的中国四大运营商也将同样接受近乎残酷的萨式考验。

　　据“萨班斯法案”404条款，现在距离在美上市的外国公司提交财务报表内控报告即“萨班斯法案”404条款最后的期限——2006年7月15日已为时不远，尽管记者得到的最新消息是：年销售收入在5亿美元以下的企业，可以再推迟一年，即到2007年7月15日再提交内控报告，但显然年利润都不止这个数目的，已在美以ADR形式上市的我国四大运营商无法享受这一优惠政策。

　　在这种压力下，中国移动率先在福建、天津、湖北、山西等4家省级公司开始设立“萨班斯法案”试点单位。据了解，中国移动已决定在此4个试点运营和效果评估之后，将在2006年内在各省级公司全面推广“萨班斯法案”企业内部控制管理项目。而其他运营商也在纷纷加强企业内部财务管理，以顺利通过萨式大考。

　　对此，中国IT治理研究中心专家孟秀转表示，中国移动先行试点，说明他们此前的准备工作进展顺利，但试点运营之后肯定还要有相当长的一段反复修订的过程，时间非常紧迫。而这也正是其他运营商将要面对的难题。

　　牵一发动全身

　　有人曾经评价“萨班斯法案”是代表了一个新的资本市场监管时代的到来，因为它明显改变了以往会计公司实行自我管理的做法。事实证明，自“萨班斯法案”生效以来，美国上市企业的CEO几乎都是在战战兢兢中度过每一个财年，其中仍有超过500家企业的财务问题被揭露。

　　而“萨班斯法案”中404条款更将目标锁定在所有在美国上市的企业。该条款规定：在美上市企业必须保证公司管理层建立和维护内部控制系统及相应控制程序充分有效的责任体系，同时提供管理层最近财年对内部控制体系及控制程序有效性的证明及内控机制评价报告。

　　如此苛刻和严厉的404条款几乎成了所有在美上市公司的一个坎，中国的四大电信运营商也不例外。

　　中国移动副总裁薛涛海表示，中国移动此次实行的主要试点项目将涉及涵盖企业经营、IT系统控制、投融资管理、财务监控、法律法规监督等13个大类、38个细项，一旦投入实施，必将引起企业整体控管流程的重组，人员岗位职责的改变。

　　孟秀转解释说，建立符合“萨班斯法案”的流程基本一致，首先要确定企业的范围，比如哪些系统影响对企业的财务报表，然后评估企业现有的内部控制，分析高风险点在哪，如何去弥补等等。弥补之后，尽量将这个流程固定下来，接下来是像中国移动这样，设置试点。试点试运行一段时间之后，最关键的是评估过程，观察该新系统的执行有效性，若无效就要反复分析、解决、修正。

　　“所以整个过程是一个PDCA过程。”孟秀转表示，“即Plan do cake action，是一个循环螺旋式上升的过程。”

与时间赛跑

　　很显然，“时间紧，任务重”已成为运营商最为头疼的问题。

　　以中国移动选择的福建、天津、湖北、山西4省市为例，4地因为用户基数较大，IT系统状况基本处于主机数量多、网络分布广，网络结构复杂；多种系统及网络协议并存等状况。但又因为他们业务开展程度和侧重点不同，收益也相差较大。

　　而其他即将加入的广东、辽宁、西藏等地的移动分公司，不论是内部流程梳理、财务投资监管，还是资源分配更是不能同日而语。

　　赛迪顾问的咨询专家告诉记者，如果把每个流程的程序都列出来，一个大的企业有几千个风险点。在内控上，绝不是运营商集团公司统一一套程序就可以，每个地方运营商因为地域环境和业务重点不同，内控测评同样不同，“30多个省下来，没有1年以上是不可能的。”

　　然而只剩下9个月了，如何有效地利用这有限的时间？该专家认为，发展较好的地方运营商需要弥补的地方不多，跟“萨班斯法案”要求的差距不大，不具有推广性，相对差的地方运营商则可弥补项较多。因此选择试点单位时，应该将各方面的因素考虑进去，才能相对有效地节省时间，且比较稳妥。

　　CIO角色变换

　　事实上，每个运营商或多或少会都有一些IT内部控制制度，但以往这些制度基本是由技术管理者制定，他们缺乏规范化风险管理的经验，因此IT控制制度不规范，控制政策程序不完善，缺乏从公司透明度角度出发的、结合支持业务流程的完整的内部控制制度等等问题比较突出。这也是我国运营商，包括所有上市企业普遍存在的顽症，因此，实施“萨班斯法案”之路也就十分难走。    

[1] [2] 下一页