“中国运营商迟早被《萨班斯法案》害死”;“每次都被萨班斯扒层皮”;“萨班斯,‘受过害’的人都知道”……当谈及萨班斯审计时,多位运营商亲历者如是说。
自2003年陆续引入《萨班斯法案》,中国移动等国内三大运营商已遵照执行了多年时间。总结运营商引入《萨班斯法案》的得与失,不少受访运营商人士告诉记者:“有得有失,成本过大,十分折腾,相较于表面的成绩,实际效果早已大打折扣。”
萨班斯的“八宗罪”
据记者了解,《萨班斯法案》实施以来,虽然运营商在公司管理流程、内部财务控制等方面取得了一定的成效,但也逐渐暴露出了以下多方面的问题。
首先,操作标准不明。《萨班斯法案》要求企业通过记录、保存日常业务数据、文档等以实现内部风险的有效控制,但目前在操作层面仍没有明确的标准或者操作标准往往滞后。
“萨班斯相关的大量的基础性工作,都是事后才明确标准,比如营业厅有价物料的交接手续、库存记录等,往往是待到审计时临时去补,一补就是半年、一年,有时甚至要推倒重来好几次。”浙江某运营商受访人士告诉记者。
上述受访人士进一步指出:“由于操作标准不明,很多工作大家谁也不知道做成怎样才合格,但又怕承担责任,于是自上而下层层加码,不断增加、细化要求,结果到一线任务已相当繁重,使得一线员工疲于应付。”
第二,标准过高。“目前企业内部关于萨班斯的程序和要求,在一线根本不可能得到落实(如要求某些工作必须两人同行并相互监督),而为了完成任务、通过检查,基层往往批量、集中地补做大量的工作,在员工看来,这并没有给企业带来贡献,没有意义,有时甚至会出现多次的返工,非常折腾。”上述受访人士指出。
第三,风险控制点过多、缺乏必要的灵活度。“《萨班斯法案》的核心就是企业风险的内控,而要进行风险内控,就需要公司进行庞大的组织架构改造和流程细化,要求内部流程细化到具体细节。于是目前运营商往往尽量多地设置风险控制点,但这样一来在有效稀释基层权限以及控制风险的同时,也极大地影响了电信业务的灵活性与时效性,”中国移动研究院相关受访人士表示,“例如,某电信运营商接客户需求需要临时在某处加装通信设备,但由于流程要求需要经过各级审批,结果当各级审批完成后已超出客户需求时间,进而导致无法按时为客户提供服务,无法获得收益,甚至被客户投诉,进而丢失部分市场。”
第四,执行过程流于形式。“《萨班斯法案》加强内控,本意不错,但由于目前运营商内部管理体系不能真正按照萨班斯要求执行,仍存在很多‘人治’和灵活的因素,所以普遍出现了审计之时临时‘补作业’的情况,颇有为了审计而审计的感觉。”某地方运营商高管告诉记者。
第五,缺乏信息化系统支撑。“目前,关于萨班斯的很多工作,都是想到哪里做到哪里,没有规范的信息化系统做记录和支撑。”浙江某运营商受访人士向记者表示。
第六,外行审内行。对此,某地方运营商网络部资深人士告诉记者:“萨班斯审计中的外审人员并不真正理解被审计对象的业务、流程等工作内容,也不考虑实际工作难度,嘴皮子上下一碰,就说这个不对、那个不对,并且由于基层电信工作专业化程度较高,内部员工不得不花费大量精力去培训审计人员,使其了解业务系统,从而证明资金收入和支出的有效性,同时,在面临审计人员的质疑时也需要花费大量的精力和提供大量的资料来进行解释说明。”
“事实上,除了给基层员工增加大量的工作量外,更为关键的是,由于不懂电信业务,外审人员往往不能如内审人员一样高效地找出关键风险点与要害问题,其只能事无巨细地逐个排查问题,这样很容易事倍功半。”广东移动相关受访人士表示。
