几乎没有准备好应对萨班斯-奥克斯利法案 - 彭博社

bloomberg

2004-09-20

作者：阿梅伊·斯通

在美国企业的现代办公大楼内，远离大多数企业向外界展示的表象，上市公司正在与时间赛跑。他们的任务是：遵守他们所面临的最广泛的联邦监管变化，并在年底之前完成。许多高管感到胃部不适。

《萨班斯-奥克斯利法案》第404条款于2002年7月通过，背景是重大企业丑闻，要求任何在2004年11月15日或之后结束财政年度的大型上市公司的管理层评估其财务报告的内部控制。这些是管理支票发行和记录销售等行为的具体程序。然后，公司必须聘请独立审计师来“证明”管理层报告的准确性。管理层和审计师的评估都必须纳入2004年的年报中。

“这是一场消防演习，”波士顿AMR研究公司的分析师约翰·哈格提说。公司在过去18个月中大部分时间都在争分夺秒地遵守第404条的截止日期，该截止日期已经延长了两次。证券交易委员会已表示，这个截止日期不太可能再次推迟（见《商业周刊在线》，2004年9月20日，“应对合规压力”）。

“排队讲故事。”

即使截止日期延迟了两次，许多公司可能仍将被迫承认其内部控制存在缺陷——主要是因为他们没有时间在财政年度结束之前解决所有出现的问题。审计师估计，他们将在10%到20%的上市公司中报告不足之处。

“确实存在一些问题，”会计师事务所普华永道的合伙人林恩·埃德尔森表示。“我认为这很严重吗？不，我不这样认为。但肯定会有一些公司在其内部控制环境上获得不利意见。”埃德尔森指出，完成工作的时间表正在推迟，这些问题“在董事会层面引起了一些担忧。”

根据跟踪此类披露的通讯 合规周 的数据，今年以来，已有300多家公司在SEC文件中承认其内部控制存在一些弱点。仅在八月份，就有96家公司报告了问题——而每月的数字全年稳步上升。“看起来公司正在排队准备一个故事，”也许是为了预期他们需要在年度报告中报告内部控制缺陷， 合规周 的编辑斯科特·科恩表示，他指出最近的披露包括详细的计划来解决发现的问题。“市场讨厌意外，公司正在努力避免意外。”

第一年的宽容。

面临的风险包括公司的市场价值、与投资者和监管机构的声誉，以及可能面临的诉讼风险。尽管哈格提并不认为公司会实际错过SEC的提交截止日期，但如果他们报告弱点，实际上就会向公众发出信号，表明他们的财务报表可能不准确。然后，如果由于财务错误导致股价下跌，原告可以辩称公司应该有更强的内部控制。

如果公司完全错过了截止日期——可能是因为他们没有给审计师足够的时间来完成测试——从技术上讲，他们将不符合SEC的规定。考虑到可能的后果，SEC官员承诺在这一年中对出现的缺陷给予一些宽容。

为什么公司发现遵守第404条款如此困难？部分原因是他们处于一个阶段，在这个阶段，他们自己的内部测试以及审计师的测试（在他们正式声明控制措施到位之后进行）发现的问题比预期的要多。普华永道在7月底发布的一项针对大型跨国公司的调查显示，79%的公司表示他们仍需对流程进行改进——包括财务报告、审计、计算机控制和安全控制——以遵守第404条款。

“小缺陷。”

为了自我辩护，公司抱怨自萨班斯-奥克斯利法案首次通过以来，要求的范围已经扩大，而审计师的指导方针（仅在去年三月发布）比他们预期的更为严格。最初，公司认为他们只需改善财务部门的控制。现在，他们发现还必须加强运营和信息技术部门的控制，哈格提解释道。

“我们正在审视从工资到应收账款的所有内容，”卡车公司Yellow Roadway（YELL）的总法律顾问丹·丘雷说。“审计师非常保守，这迫使人们修复那些可能从未成为问题的小缺陷。这些并不是法律所意图关注的事情。”

解决问题的时间已经不多了。对于在月底进行的一些检查，审计师要求任何修复措施必须实施两个月。对于按日历年运营的公司来说，“这意味着他们必须在11月30日之前解决现在发现的问题，”明尼苏达州卡克托的Paisley Consulting首席执行官Tim Welu说。

视频问答：合规热潮

Paisley Consulting首席执行官Tim Welu谈为何许多公司在满足新的萨班斯-奥克斯利法案方面会迟到

安全失误。

一些公司可能已经没有时间了。如果他们的审计师要求某项控制措施连续两个季度没有问题地运行，而在九月份出现故障，即使在十二月份修复了该控制措施，该公司也可能无法获得2004年的清洁报告。“我认为我们没有任何问题，但这就是造成焦虑的事情，”Churay说。

更糟糕的是，“这些并不总是容易修复的，”普华永道的Edelson说。考虑安全许可作为一个需要修复的小领域。假设一名员工从一个部门调到另一个部门。理想情况下，公司会撤销该员工在旧职位上的所有安全许可。内部控制政策的一个基石是某些职责必须分开（例如，同一个人不能同时卸货和访问库存计算机记录，这样如果他或她从公司偷窃，就容易掩盖痕迹）。

问题：审计师发现公司必须回去修订许多程序的规则。“公司调动员工，但他们并不擅长回去清理他们的访问规则，”Edelson说。

对于一家拥有数千名员工的巨大跨国公司来说，这项工作本身就令人望而生畏。将这种修复的程度重复到数百个不同的内部控制流程中，你就能感受到整体挑战的艰巨。——阿梅·斯通

“迷失在森林中。”

公司在发出警报吗？大多数专家说还没有。“我相信，可能的恐慌程度远低于实际情况，”IT咨询公司Unisys（UIS）全球基础设施服务业务的合伙人巴里·卢里说。“我和一些客户交谈过，他们不确定需要走多远，”他说。“他们有点认为自己已经覆盖了。”

但他说，另一组人发现这个过程如同泥潭。“他们说，‘现在我们已经进入这个过程，我们迷失在森林中，找不到路径。’”

落后的公司正在拼命寻求帮助。在许多情况下，既没有经验丰富的审计师，也没有可用的软件工具。顾问和软件公司表示，他们每天接到请求合规帮助的电话，但往往不得不将来电者转回已经承担了所有工作的会计公司。“真正理解如何做这项工作的资源非常短缺，”Edelson说。

消耗时间。

即使是那些在第404条款上走在正轨的公司也对此不满意。成本是主要关注点。Hagerty的粗略估计是，每当公司收入达到10亿美元时，满足法规的费用将花费100万美元。贸易协会金融高管国际在8月份发现，合规成本平均超出预算计划62%，一家收入为25亿美元的公司通常花费约310万美元。

PSS世界医疗（PSSI），一家市场营销和分销医疗产品的公司，估计将花费150万美元来合规，到目前为止没有发现任何重大或显著的控制缺陷。“在我看来，我们之前的内部控制相当健全，”首席财务官大卫·布朗森说。“我很难找到这项投资的回报。”

他估计这占用了他作为首席财务官20%的时间，此外还涉及大多数高级管理人员的每周会议。此外，该公司的财政年度直到明年3月31日才结束。他说，PSS“基本上按时”。

被忽视的问题。

Churay不仅指出合规成本，还指出时间和精力，这使管理层的注意力从更有助于推动业务发展的工作中转移开。Yellow Roadway是在去年12月合并成立的。“由于在这个项目上投入的资源，可能会有来自合并的好处变得更难以实现，”他说。

安东尼·米勒，LRN的执行副总裁，担心由于对内部控制的过度关注，公司可能还有其他合规相关的风险未得到检查。“随着所有的关注和资源都花费在11月15日的截止日期上，其他领域存在重大风险的可能性很大，”他认为。

许多经济学家认为，遵守这些法规所需的大量关注对经济增长造成了拖累。穆迪投资服务公司在8月16日的一项分析中指出：“用于遵守合规要求的时间是用于产品开发和收入提升的时间。”软件行业受到的影响尤其严重。在哈盖提于9月进行的一项调查中，30%的公司表示由于第404条款推迟了软件采购，这一发现让他感到惊讶。

漫长而痛苦的道路。

明年，这项工作应该会顺利得多。软件公司正在竞相设计更好的工具，以帮助遵守萨班斯-奥克斯利法案，同时也从加强控制中获得好处。“这开始时是一个流程问题，而IT直到游戏的后期才参与进来，这很不幸，”卢里说。

最终，加强内部财务控制将对美国企业更为有利。“你希望有一个机制来防止像安然这样的滥用事件再次发生，”国际税务专家塞尔瓦·奥泽利说，他在研究公司RIA-汤姆森工作。“你不希望因为一些企业丑闻而让人们对市场经济失去信心。”

这无疑是一个值得追求的目标。但目前，公司们更关注于内部控制流程的细节，许多人对这一过程感到厌烦。虽然竞争正在进行，但为了赶上第404条款的截止日期，匆忙的步伐可能会掩盖其他一切。有人需要马洛克吗？

斯通是纽约商业周刊在线的高级撰稿人