在准备赴美上市的本土企业备受“萨班斯”煎熬时,旁观者中不乏有企业暗自窃喜:幸亏我不是美国的上市公司,想要海外上市完全可以“转道”其他市场。然而, “法规遵从”已经越来越成为企业无法逃避的选择。如此,“萨班斯”的意义就不仅仅对赴美上市的公司有价值,而值得引起所有“走惯了捷径”的本土企业认真思考。
《萨班斯-奥克斯利法案》出台四年来,一路历经风雨,对它或褒或贬的争论在企业界、学术界、会计审计行业界、IT技术领域以及政策制定机构之间从未平息过。在本土企业近年来如火如荼的IPO背景下,“萨班斯”作为一项立法的影响在中国也被无限地放大了。
2006年7月15日,美国“萨班斯”法案对流通市值大于等于7亿美元(大型加速编报公司)的国外发行商正式生效,所有这些公司都必须在2006年7月15日或之后结束的财政年度报告中得到外部审计师对“萨班斯”法案遵循情况的审计报告。至今一年的时间转瞬即逝,由于该法案对上市公司的内部控制、财务管理等 “极为苛刻”的要求,使得在美国上市的中国本土企业集体遭遇 “萨班斯”之痛——实际上,除了法规本身严苛的原因外,“痛”的根本在于中国本土企业内控体系远未达标,所以他们的投入和付出显得异常沉重。从这个角度看,“萨班斯”为增强企业治理、改变“人治管理”提供了一个绝好的机会。短期的付出,换来的是长期的风险规避。
在关于通关“萨班斯”或成或败的采访中,我们见到了太多的“控诉”,而百度的“萨班斯”团队在介绍他们的经历时,“阳光”、积极的心态着实有些出乎意料……
挑战VS.机会
“与其把‘SOX’看作是一个挑战,不如把它当作一个机会。”问及百度通关的经历,百度CFO王湛生这样开门见山地向记者袒露了心迹。这种积极的心态为百度顺利通过“萨班斯”的考验奠定了坚实的基础。
媒体的炒作以及法案本身的严苛要求和实施起来的庞杂艰辛的确给试图通过它的企业带来了不小的心理压力,不少企业浅尝辄止便望风而逃了。作为百度“萨班斯”项目的主导者,在王湛生看来,这其中的关键问题就是怎样正确看待“萨班斯”。“萨班斯”作为一个规范美国上市公司的法规,对于期待在海外上市的企业而言并非没有选择——你可以选择在美国上市,接受它的约束,也可以选择不上市或在其他市场上市。事实上,因为“萨班斯”选择避开美国,而是在本土、在欧洲或者其他资本市场上市的情况并不在少数。“但我们看中的是‘萨班斯’所倡导的企业合规运作、优化管理、风险防范和体现公开、公平、公正的精神。这正是百度一直以来所追求的。”
据介绍,百度的“萨班斯”项目正式在2004年底启动,当时的百度还只是一个400人的公司,正处于高速发展中,“公司的稳健发展,需要加强公司治理,建立良好的内控体系。我们认为”SOX“的本质与百度当时的需求不谋而合,实施”SOX“对于我们来说是一个绝好的规范公司治理的机会,因此公司上下都是抱着积极的心态来做这件事情的。”百度“萨班斯”项目的具体推进者、内审部高级经理何畏回忆说。
当记者谈及很多企业认为“SOX”是“大麻烦”时,何畏坦承:“我觉得所谓的‘麻烦’很多是基于”SOX“和公司管理本身必然存在的一个矛盾,即风险控制和高效运营之间的矛盾。”
风险控制就是要对业务的收益和风险进行评估,再通过控制流程把风险降到最低。表面看控制流程的设置要经过更多的审核,跨越多个部门,会影响运营的效率,但实质上它保证了运营的有效性和准确性,提高了运营的质量。
这两方面的矛盾导致刚开始执行“SOX”的公司产生了很多困惑,是否增加相应的控制流程会影响公司的速度和效率?很多公司在打问号的阶段对这个就产生了反感,尤其是运营和管理部门产生这种抵触情绪,或者认为是互相增加麻烦。
令记者吃惊的是,这个在众多公司普遍存在的抵触和麻烦心态在百度几乎看不到。对于百度这种“不同寻常”的积极心态,信息披露部高级经理韦方表示:“我发现实施这个项目在百度并不是那么困难,大家没有那么大的抵触情绪。尤其是技术部门和运营部门,都给予了很大的支持。而且他们很主动的来问问题:怎么来提高自己负责的业务流程的控制力度和效率。”这就说明要顺利实施,让参与其中的部门意识到这个项目对他们有很大的帮助,设立控制流程是必要的,而且是非常重要的。
“所以我觉得认为‘麻烦’是对‘SOX’没有透彻而正确的理解。理解正确自然就接受了,做自己认为正确的事,对自己的工作有长远好处的事,当然心态会积极。” 王湛生补充说。
积极来自于理解,而理解更要源自学习。成功理解“萨班斯”在很大程度上也得益于百度“好学”的企业文化。面对“SOX”,大家首先是想知道的是,美国那样成熟的市场是怎来要求一家公司的内部治理的,进而对“SOX404”是怎么回事,要求管理者如何做产生了兴趣,在某种程度上,百度是以一种学习的态度来进入和参与这个项目的。
于是,“萨班斯”这个传说中的洪水猛兽在百度就有了一个美好的开始。
“系统化”支持的力量
想像中无论多么美好的开始,在具体推进的时候还是会遇到不小的挑战。不少通过“SOX”的企业在描述攻关过程时难免会有一些 “悲壮”色彩,而在百度我们并没有遭遇到通常“痛说家史”的流程,这反而令记者们有些错愕了。
“其实也没什么秘诀,成功的前提就是大家对这个问题的观点要一致,无论是从董事会还是CEO Robin(李彦宏)还是我本人对‘SOX’合规项目都有一个鲜明的支持态度。”王湛生笑谈。
高层的支持固然重要,这种支持不仅是在高层会议上说说就完了,而是在后期的工作中非常积极的参与。很多时候,一些企业在“萨班斯”实施当中遇到困难并不是上面不支持,而是中层实施的时候不能有效地快速运行。很多控制都要由中层以上的人员具体实施,所以何畏感到:“我觉得百度中层以上人员的配合是非常重要的。他们要让每个参与者都意识到这件事情的实施与企业的长久发展关系密切,让每个参与者既看到困难也要看到意义,这样实施起来才会有足够的动力。”
此外百度的心得是,所有项目参与人员都要有“系统化”的理念。不能简单地认为这仅仅是某个部门的事情,而是全公司的大事,需要各部门都参与其中。业务部门、财务部、合同管理部、内审部门等各个部门之间要有一个非常密切的合作关系,共同为实施“SOX”服务。这种系统化的持续支持是很多企业忽略和难以做到的。
即便如此,实施“SOX”的流程仍然繁琐得令人难以承受。2005年百度用了将近半年的时间建立了一个体系,分析公司的业务流程应该如何根据“SOX404”的要求来划分,怎样设置是更科学的。同时要花费大量的时间推行管理理念、建立项目构架,包括从各个部门去选择专门的负责人,确认每个部门的责任和职责。接下来就是完成“SOX404”要求的最重要的文档资料:风险控制矩阵。这部分工作是最冗长而沉闷的。最终百度在2005年下半年到2006年的第一个季度间形成了近150个业务流程文档资料,确定了600多个需要测试的控制点并建立了风险控制矩阵。
之后,在2006年的第二季度用了将近一个季度的时间进行测试,针对发现的问题在2006年的第三季度进行了弥补和改善工作。正是有了这些充分的测试和“整改”工作,才保证了在2006年最后一个季度外部审计师的测试中全面通过。
回忆起当时的情景,王湛生颇有感慨:“我觉得我们‘404’团队里的每一个人在这个过程中所表现的投入和责任心是让我非常感动的。因为连续两年的时间里,紧张的时间压力、执行中面对不停的变动,以及大量的协调和沟通……我们的项目负责人会花很多时间帮助员工舒缓压力,比如带大家一起出去吃饭、看电影,放松一下,改变一下心情。这些细节很让我感动。”
或许,系统化的力量正是百度“萨班斯”项目得以顺利实施的驱动力。
“随需应变”的战术
公司能否通过“SOX404”最后是由外部审计师来发表独立意见的,但SEC和审计标准的制订机构当时出台的与“SOX404”相关的操作指南并不是很详尽,没有说明到底要求到什么程度,具体的操作方法怎样,同时又由于每个公司确实操作不一样,从而经常会导致外部审计师在具体的问题上观点趋于保守,过多地细化流程的文档要求和测试要求,从而导致了工作量大量的增加,以至于工作量中的相当部分已经偏离了原来的“404”初衷,从而导致了人员成本和资金成本的大量消耗。这也是“SOX”在美国饱受诟病的重要原因之一。
因此,通过“SOX404”没有现成的方案可循,只有整体的框架要求,所以企业要从自身的业务发展出发,根据实际情况不断的探索、不断的权衡。具体说来,就是在最严格、最标准的控制流程的基础上根据业务的实际情况和风险评估的结果,简化掉不必要或者不适用于企业的内容,向比较平衡的方向去调整。
此外百度的高速增长,通过“萨班斯”也提出了巨大的挑战。从400人到4000人,远不仅仅是人数的变化。业务模式、销售模式、技术创新都会给流程制订和执行带来新的挑战。百度的快速成长和不断变化的业务形态对流程控制的塑造和再造产生了很大的压力。
有的企业为了过“404”会要求所有流程在最后半年都不允许再改动了。百度在前期也有过这样的想法,但是项目过程中发现,做“404”的目的是为了业务更平稳的发展,而不能够为了“404”来限制业务。令人惊喜的是,围绕这种更新,业务部门参与“SOX”建设的积极性真正的被调动起来了。经过反复循环,业务部门对流程的价值就越来越看重,“SOX”团队也得到了不断完善流程的反馈,这样阻力就越来越小,动力越来越大。
“有智慧地寻找解决办法和高效执行,根据业务实际对‘404’的框架性要求进行充分的客户化是保证了有效执行的关键。”何畏一语中的。
“SOX”的盛宴
从项目开始实施到通过,百度从400人到4000人,迈出了从一个创业型的公司向一个追求基业常青的世界级公司迈进的第一步。
究竟“萨班斯”是不是苦口良药,王湛生形象地给记者做了个比喻:“‘SOX’带给企业最大的收益在于建立起有效的内部控制系统,现在即使我一个月的时间在国外路演,不在办公室里也不用很担心公司的日常运营。公司的运作有的时候就像大家在建一座楼,各个工种的小组都在忙自己的事情,而‘SOX’的作用就是给这座大楼搭了一座内部钢梁。有了这个钢梁,就能够保证各个团队在一个统一的框架下做事情,按照规定的构架和流程工作,最终才能保证建立起来的大楼又快又好,不出问题。”
“SOX”使得一个公司,作为一个整体有了它自己刚性的框架和灵魂,最大限度地规避了人为的不利因素,而是用一套好的流程和机制来起作用。这样对人的依赖性就大大降低了,而这恰恰是一个公司长久发展的重要因素。
作为项目的具体推进者,在何畏看来,百度受益于 “SOX”最重要的一点体现在企业治理的提升上。首先是方法论和思维模式的灌输和建立,主要是指风险评估这方面的意识在日常管理中的建立和普及;其次,从具体的层面上说就是业务规范化。两者之间的关系是互动的,业务部门的业务需求和风险控制意识同步增长的时候,就会更主动的参与到流程的建设中来。
越来越多的问题其实不是内审部提出来的,而是业务部门提出来的。这说明通过这样实施“SOX”,其实是帮助企业的中高层管理者提升了风险管理的意识和能力,提升了责任感,提升了对新事物的接受和学习能力,以及通过现象看到风险本质的能力,“这对于刚刚接触国际规则的中国企业来说,中高层管理者才能的提升是公司最宝贵的财富。”何畏说。
CFO:“SOX”运筹帷幄者
从百度的经验看,掌控“SOX”如此复杂的项目,除了一些审计方面的专业技能和对“SOX”法案本身的了解以外,项目管理是非常重要的。因为整个项目需要多方的合作配合才能完成,从内部看,百度有超过50%的部门都参与到了项目中,有业务部门、管理部门、还有IT技术部门;从外部看,有聘请的外部咨询顾问,还有外部的独立审计师。虽然大家的目标是一致的,但是每一方在项目中真正关注的方面却是不同的。所以就需要项目管理者斡旋其中,不断地协调和管理。
而且,“SOX”项目是有截止日期的,为了保证年底最终测试通过这个大的里程碑,必须要保证过程中每个小的里程碑按时、保质保量的完成。你必须要把所有参与方都安排在正确的位置,才能保证他们能发挥出正确的作用。同时把每个阶段都管理的很好,才能保证在特定时点有正确的产出。
“从一开始,我们就没有为了做 ‘404’而做,而是把‘404’作为管理提升的一个过程和手段。”王湛生由衷地说。看似简单的一句话,实际上这并不是每个CFO都能有这样的想法和做法的。整个项目做下来,大家对他的初衷有了更深的体会。因为把“404”和业务绑的很紧,如果“404”推进的顺利,那么可能对双方都是有利的。但是如果“404”推进的不顺利,那么对双方的影响就会是非常不利的,某种程度上“SOX”是个双刃剑。尤其是在大家普遍认为“404”对业务有负面影响的环境下,还能坚持“404”对管理的提升作用,并且坚定地按照这个思路推行下去,是需要魄力和前瞻性眼光的。
“这个项目本身很多细节方面我不会参与特别多的,我更多的是把握方向,然后对于轻重缓急的目标来做出一个排序。”正如王湛生的介绍,CFO 的价值正在于制订战略、把握方向和节奏、了解自己该做什么,该做多少,之后就是凝聚一个高效团队彻底执行既定战略。
百度得益于“萨班斯”,既源自于全体员工的“合力”,也源自于高层运筹帷幄的远见与策略,两者缺一不可。
