薩班斯法案及其對中國IT治理的影響

2014-11-08 20:49:25 大云網　點擊量：評論 (0)

1 薩班斯法案　　2002年，在安然事件后的一片混亂中，美國頒布了薩班斯一奧克斯利法案（簡稱薩班斯法案）。作為薩班斯法案中最重要的條款之一，404條款明確規定了管理層應承擔設立和維持一個應有的內部控制結構

1 薩班斯法案

　　2002年，在安然事件后的一片混亂中，美國頒布了薩班斯一奧克斯利法案（簡稱“薩班斯法案”）。作為薩班斯法案中最重要的條款之一，404條款明確規定了管理層應承擔設立和維持一個應有的內部控制結構的職責。該條款要求上市公司必須在年報中提供內部控制報告和內部控制評價報告；上市公司的管理層和注冊會計師都需要對企業的內部控制系統作出評價，注冊會計師還必須對公司管理層評估過程以及內控系統結論進行相應的檢查并出具正式意見。

　　薩班斯法案不僅給公司財務提出了嚴格的要求，更是對cio們提出了挑戰。國外媒體稱，薩班斯法案是2005年CIO最為關注的幾件事情之一。美國IT治理協會（IT Governance Institute）發報告指出，法規遵從給CIO帶來最少四方面的新挑戰：第一，必須加強對內控知識的掌握程度；第二，理解企業遵從薩班斯法的全面計劃；第三，推動特定IT控制環節的法規遵從計劃；第四，努力使自己所承擔的計劃融入企業的整體法規遵從計劃當中。

　　2 我國的相關法規

　　在薩班斯法案生效的2006年，上海證券交易所（2006年6月5日）《上海證券交易所上市公司內部控制指引》、深圳證券交易所（2006年9月28日）《深圳證券交易所上市公司內部控制指引》和香港聯交所，都已先后公布了與薩班斯法案類似的相關法規，對上市公司建立內部稽核制度和信息披露要求進行了探討，也對與財務報告相關的IT控制提出了要求。

　　2006年7月15日，由財政部牽頭發起，證監會、國資委共同參與成立的“企業內部控制標準委員會”正式在北京成立，這預示著中國企業也即將面對一部類似美國薩班斯法案的標準體系。在全球公司治理趨同的監管環境下，越來越嚴格的法規規范是全球化趨勢，靠短暫地逃離嚴厲監管永遠不能解決問題。完善公司治理IT治理，完善內部控制不僅是資本市場的要求，更是中國企業國際競爭力的重要要素之一。因此，中國的企業最終也要適應這一游戲規則。

　　2007年5月25日，財政部副部長王軍在企業內部控制標準委員會第三次全體會議上的講話中指出，自2008年起，率先以非正式方式發布基本規范、具體規范以及內部評價規范，并選擇在上市公司中試點。在給試點企業和會計師事務所留有相對寬裕的學習期、培訓期、試用期和完善期后，根據試點情況對內控規范及其適用范圍進行修正，初步設想于2010年以相關部委聯合發文的形式，正式發布內部控制規范體系，并在有關企業正式實施。

　　2006年6月國資委公布《中央企業全面風險管理指引》，指引提出具備條件的企業在董事會設風險管理委員會，企業總經理就全面風險管理工作的有效性向董事會負責。

　　《指引》包括中央企業開展全面風險管理工作的總體原則、基本流程等內容，并提出風險管理的目標，包括確保將風險控制在與總體目標相適應并可承受的范圍內；確保內外部，尤其是企業與股東之間實現真實、可靠的信息溝通。

　　其中第八章明確提出了建立風險管理信息系統的要求，“已建立或基本建立企業管理信息系統的企業，應補充、調整、更新已有的管理流程和管理程序，建立完善的風險管理信息系統；尚未建立企業管理信息系統的，應將風險管理與企業各項管理業務流程、管理軟件統一規劃、統一設計、統一實施、同步運行”。

　　此外，確保企業遵守有關法律法規；確保企業有關規章制度和為實現經營目標而采取重大措施的貫徹執行，保障經營管理的有效性；確保企業建立針對各項重大風險發生后的危機處理計劃，保護企業不因災害性風險或人為失誤而遭受重大損失。

　　《指引》借鑒了發達國家有關企業風險管理的法律法規、國外先進的大公司在風險管理方面的通行做法，以及國內有關內控機制建設方面的規定，對于中央企業建立健全風險管理長效機制，促進企業穩步發展，防止國有資產流失，保護投資者利益，都具有一定的意義。

　　在“2007大型企業風險管理高層論壇”上國務院國資委副主任邵寧表示，國資委將研究企業全面風險管理評價標準、范圍和方法，把對企業風險管理的評價與企業領導層的績效考核結合，將風險管理作為考核企業領導層的重要內容。加強中央企業全面風險管理是國資委履行出資人職責的一項重要工作，要逐步將風險管理作為考核企業領導人員的重要內容。

　　邵寧同時表示，還要加強責任追究制度，對于沒有按照去年6月頒發的《中央企業全面風險管理指引》的要求，重視和開展風險管理的中央企業，再出現重大風險損失事件，要嚴格追究企業領導人員的責任。要把風險管理工作與董事會試點工作緊密結合。企業管理層至少每年要向董事會提交一份完整的“企業全面風險管理年度工作報告”。國資委在聽取董事會工作情況時，要把這一報告作為關注的重點內容。

　　2007年2月國務院信息化工作辦公室發布《關于加強中央企業信息化工作的指導意見》（《意見》）的文件。《意見》要求，到2010年中央企業信息化要基本實現向整個企業集成、共享、協同轉變，建成集團企業統一集成的信息系統。《意見》還明確指出，有條件的中央企業須設由企業領導成員擔任的總信息師（CIO）崗位，并加強對基礎信息網絡和重要信息系統的安全考核，將信息化建設納入企業考核體系。

　　3 薩班斯法案與IT治理

　　幫助企業規避風險、完善內部控制，是薩班斯法案的核心內容。而另一方面，法規遵從將會大幅提升企業對IT資源的需求。由于企業的業務運作已經越來越依賴于IT系統，以至于IT控制成為企業內部控制的重要組成部分。薩班斯法案與IT管控之間的關系也越來越多地引起企業管理層的重視。

　　事實上，那些已經開始法規遵從過程的企業，都立即意識到IT的重要性，因為實現薩班斯法案合規，涉及到所有影響財務報表生成的業務部門，譬如302條款對財務報告的提供，404條款對內控報告的提供，409條款實時披露材料的變更，802條款為審計和評審員保留相關的記錄等。

　　而無論持續監控也好，還是持續審計也好，都離不開IT治理。對企業而言，網絡、應用系統、操作系統、數據庫實際上是大樓的基石上，上面是應用軟件，再上面才是業務流程和財務。IT系統、數據和基礎設施的狀況都直接影響到財務報告的生成過程。一個企業對于IT的運用特性，將直接決定企業內控與財務報告的質量。

　　薩班斯法對中國企業可能產生的影響主要有四個方面。

　　首先是對財務系統有比較大的影響，是不是符合法律的要求，財務流程是不是按照法案要求進行優化，財務數據是不是進行了整合，能夠很方便地進行審計，能不能保證正確性，都是中國企業應該注意的問題。

　　第二是對于內控管理相關的應用系統，特別是跟業務流程有關的系統的影響。要建立很多審批流程，特別是與財務活動相關的信息功能，包括采購、銷售、庫存等。這都需要應用系統的支撐，這些系統如果做得不嚴格，審計的時候也很難通過。

　　第三是對基礎設施的影響，可以分兩部分：一部分是物理基礎設施，包括基礎軟件、硬件、存儲等；另一個是安全訪問的平臺，包括對用戶身份的管理、對信息訪問控制、存儲機制等。現在應用系統的安全訪問控制，基本上都是分散在各個應用系統里，沒有實現統一的集中管理，這會帶來很多不安全隱患。

　　第四個就是整個企業的IT治理，要保證做好前三點，除了要做好應用系統，服務器、存儲、物理設施也必須跟上，“只有符合一系列標準，才能夠保證IT系統的強健。要建立一個能夠符合法規政策要求的系統，IT治理必不可少”。

　　4 IT部門的龐大任務

　　企業的IT部門要支持公司高管、財務和內外部審計人員的需求，確保影響財務報表的業務流程、應用和信息基礎設施的完整性、可用性和可審計性，保證內控報告和內控程序的完成，并能夠對外部審計需求做出積極響應。

　　一個更好的會計標準和更及時的信息披露要求將大大減輕經理人與外部投資者之間的信息不對稱。因此，公司治理的核心問題是信息不對稱性或不完全性，解決公司治理問題，最核心的是公司信息的真實、準確以及處理與傳遞的效率問題，而IT技術在實現透明度原則和體現監控力度上正日益成為有效的工具。

　　IT部門需要在許多方面有所準備，譬如如何優化財務流程，完善財務應用系統，在財務應用的基礎上，實現財務數據整合和統計分析告；如何建立內部控制體系并引入內控管理信息系統，創建和記錄企業內部業務流程，使公司的CEO、cfo target=_blank class=link_tag>CFO、員工和審計人員能夠實時識別、分配、測試并監視內部控制與流程，確保業務流程根據內控標準執行；如何收集并監視控制信息，使管理人員能夠快速查看流程、組織、控制和風險的實時狀態；如何對影響財務報告的信息系統的IT控制，完善治理機制，進行IT內部控制和信息系統審計，以保證達到薩班斯法案對IT的基本要求。

　　IT控制既是薩班斯法案的重要內容，也和企業IT治理架構的建立有密切的關系。IT既是一種手段，也是一個控制的對象。在依賴先進的IT方法，提高內部控制效果的同時，可以迅速地查找問題和監控問題，提高相互交流和信息傳遞的效率。同時因為IT所占據的重要地位，由此產生的風險又造成了企業新的災難性的風險。如果系統的安全性存在問題，就可能有未經授權的數據更改或程序更改。如果系統開發流程存在問題，則會影響到整個系統的運行操作，從而影響到應用系統本身。

　　總而言之，計算機信息系統介入管理層對內部控制的評估，是一個非常復雜的過程，而IT系統本身不完善所造成的限制，又可能造成內部控制本身的水平降低、被測試者的效益降低、費用增加等一系列問題。

　　如何平衡IT部門與企業各部門之間的協作關系，保證各部門之間交流順暢、監管明晰，并保證系統的安全可靠，對信息化建設相對薄弱的中國企業的IT部門來說，無疑是一個十分龐大的任務。

　　事實上，如果中國企業能夠順利通過薩班斯法的審計工作，深入研究IT治理，加強IT控制，降低風險，有效地實現公司治理，把公司治理與IT治理相結合、全面風險管理與IT治理相結合以及“六方”（CEO、CFO、CIO、COO、CKO、CMO）相結合的理念徹底貫徹下去，中國企業必將有更加美好的發展前景。

　　5 法規遵從并非一個項目

　　法規遵從本身不是一個項目，一次合規并不可能一勞永逸。如何做到持續合規，才應該是中國企業真正的目的所在。有的企業高層，先砸一大筆錢，先把今年過了，明年再說。這種觀點是有害的。但目前為止，國內幾個大的中央企業，在薩班斯的遵從項目方面已經做了大量的工作，但目前絕大多數企業都是以項目方式來進行的。

　　規范化過程當中應該考慮到與績效管理、全面風險管理機制等相結合，將職責描述、培訓、績效評價與持續合規結合起來。優化控制，從流程的標準化、文檔的標準化、測試的標準化當中獲得收益，同時建立風險管理和控制預警系統，在風險發生之前就及時進行處理。這要求兩個方面共同努力：一是持續性的監控，二是持續性的審計。這就要求管理層要持續地監控，內部審計部門要持續地審計，由此來實現持續合規。