CFOchina:微妙难题

  和CFO们谈谈业务连续性计划,看他们改变话题需要多少时间。当然,业务连续性计划属于风险控制问题,CFO们会毫不犹豫地表示这需要加以重视。不过,这可不是他们的事。业务连续性计划包括因通讯中断、自然灾害,甚至恐怖袭击而引起的危机处理方案,通常被视为技术问题。事实上,2005年一份针对1286名负责企业业务连续性计划的经理的调查显示,大部分被访对象不是IT经理就是技术人员,或是CIO。


     这种情况似乎正在发生变化。在一个谈论企业制度合规性的互联网聊天室里,大家就业务连续性计划讨论得热火朝天,制度是否合规当然是CFO们关心的事了。讨论的发起者想知道萨奥法案(Sarbanes-Oxley)是否要求上市公司建立灾难恢复计划或业务连续性计划。实际上,该项法案从未提及“灾难恢复计划”或“业务连续性计划”,而上市公司会计监督委员会(Public Company Accounting Oversight Board,PCAOB)的审计标准第二条也明确规定,关于财务报告方面的企业内部控制中不包括业务连续性计划(见框内文字:PCAOB如是说)。


  尽管看上去很简单,但有关此事的争论似乎越来越激烈了。美国反对虚假财务报告委员会(Treadway Commission)下设的内部控制问题研究委员会(Committee of Sponsoring Organization,COSO)提倡的内部控制构架,要求企业确认和监控内部和外部风险,企业对于该构架的依赖已成为争论的焦点之一。美国证券交易委员会(SEC)的沉默也令人费解,因为该委员会除了要求金融服务企业提供灾难恢复计划之外,并没有发布关于业务连续性计划的任何指导性文件。(SEC自己也曾在2003年因业务连续性计划马马虎虎而遭到外部审计师的批评。) 


  不仅公众对萨奥法案与业务连续性计划是否有联系争论不休,一些金融服务机构对此也不置可否。CFO杂志联系到了四大会计师事务所中的三家(安永拒绝发表评论),它们的答复各不相同。这一事实得到了客户的证实,一位客户在网上评论说,他们聘请的会计师事务所自己也承认,不同的会计师事务所会给客户不同的答案。 


    “是和不是”,究竟是不是


    在销售收入达70亿美元的货车运输公司YRC Worldwide Inc,根据萨奥法案制订的企业合规计划没有涉及业务连续性计划,原因听上去很简单:“该法案中没有关于灾难恢复计划的要求。”该公司CFO唐·巴格(Don Barger)表示。


    YRC的看法与普华永道会计师事务所的观点不谋而合,后者似乎严格遵循法律条文的每字每句。“企业可以——而且应该——确保自己制定了良好的业务连续性计划,”普华永道旗下顾问机构的合伙人马克·拉贝尔(Mark Lobel)说,“不过这不属于萨奥法案和企业合规制度的范畴,因为你无法测试它的效果。”


    其他事务所的合伙人则有不同的看法。德勤会计师事务所负责全美业务连续性计划的史蒂夫·罗斯(Steve Ross)指出,上市公司需要切实有效的业务连续性计划来充分贯彻萨奥法案关于数据备份、恢复以及业务记录管理的条款。同属四大会计师事务所的毕马威也告诉客户要把业务连续性计划作为企业合规事务处理。毕马威驻亚特兰大的顾问机构的合伙人格雷格·贝尔(Greg Bell)预言,财务报告截止日期的提前会加速业务连续性计划实施的进程。他指出,随着财务报告截止日期的提前,“能将业务中断缩减至最低程度的业务连续性计划变得越来越重要。”


    萨奥法案的409条款要求企业更加及时地披露重大事件,它也许在企业制度的合规性和业务连续性计划之间架起了桥梁。罗斯认为,当企业将重点从该法案的404条款转向409条款时,它们会更加关注发生意外事件后的处理措施。这位德勤的合伙人说,“没有什么比办公楼或数据中心遭遇爆炸对公司业务的冲击更大了。”


    SEC尚未对此类事件发表看法,我们还需拭目以待。在飓风卡特里娜袭击美国过后,该委员会延长了沿海地区企业提交业务报告的期限。但是,碰到诸如电脑病毒等较为常见的问题时也许就没有上述“礼遇”了。“当你准备发送业务报告的时候,你怎么能预测突然间出现的灾难呢?”尼古拉斯·贝文努托(Nicholas Benvenuto)说。他是风险管理公司甫瀚(Protiviti Inc)的执行董事。“SEC并不会说,‘哦,是的,你们碰到灾难了。’”


    YRC的CFO巴格指出,“有时候一些供应商试图利用萨奥法案来推销自己的方案,虽然该法案对此根本没有要求。”一些企业经理也许会有同感,不过了解相关法律规定以及良好业务经营的要素也许会帮助企业建立业务优先次序,并能更好地掌握“合规”这个令人难以捉摸的东西。


    PCAOB如是说 


    《审计准则》第2号原文如下:“此外,管理层对未来会计期间的财务报告可能产生影响的计划不能算是内部控制。例如,一间公司的业务持续计划或偶发事件规划,对于该公司当前发起、授权、记录、处理或报告财务数据的能力没有任何影响。因此,一间公司的业务持续计划或偶发事件规划,不构成其有关财务报告的内部控制机制的一部分。”


    会议为何总是不能按时开


    许多研究试图将雇员个人使用互联网的范围量化,但极少有研究能像软件公司Burstek那样全面。它调查了7个行业的10688名雇员,得到了有关雇员在电子邮件、聊天室、网上购物和娱乐性阅读方面的习惯的真实数据。调查涵盖安装以及没有安装网络过滤软件的公司,并按照雇员试图接入(有时成功接入,有时不成功)的网址分类列示。Burstek暗示,个人使用网络给公司带来的有害后果可以细分为3类:法律责任(网络黑客、色情网站、网上赌博等等);安全风险(间谍软件、文件共享、恶意代码),以及生产率的下降(发送电子邮件、网络购物,诸如此类)。——Scott Leibs

相关文章