萨班斯法案及其对中国IT治理的影响

2014-11-08 20:49:25 大云网　点击量：评论 (0)

1 萨班斯法案　　2002年，在安然事件后的一片混乱中，美国颁布了萨班斯一奥克斯利法案（简称萨班斯法案）。作为萨班斯法案中最重要的条款之一，404条款明确规定了管理层应承担设立和维持一个应有的内部控制结构

1 萨班斯法案

　　2002年，在安然事件后的一片混乱中，美国颁布了萨班斯一奥克斯利法案（简称“萨班斯法案”）。作为萨班斯法案中最重要的条款之一，404条款明确规定了管理层应承担设立和维持一个应有的内部控制结构的职责。该条款要求上市公司必须在年报中提供内部控制报告和内部控制评价报告；上市公司的管理层和注册会计师都需要对企业的内部控制系统作出评价，注册会计师还必须对公司管理层评估过程以及内控系统结论进行相应的检查并出具正式意见。

　　萨班斯法案不仅给公司财务提出了严格的要求，更是对cio们提出了挑战。国外媒体称，萨班斯法案是2005年CIO最为关注的几件事情之一。美国IT治理协会（IT Governance Institute）发报告指出，法规遵从给CIO带来最少四方面的新挑战：第一，必须加强对内控知识的掌握程度；第二，理解企业遵从萨班斯法的全面计划；第三，推动特定IT控制环节的法规遵从计划；第四，努力使自己所承担的计划融入企业的整体法规遵从计划当中。

　　2 我国的相关法规

　　在萨班斯法案生效的2006年，上海证券交易所（2006年6月5日）《上海证券交易所上市公司内部控制指引》、深圳证券交易所（2006年9月28日）《深圳证券交易所上市公司内部控制指引》和香港联交所，都已先后公布了与萨班斯法案类似的相关法规，对上市公司建立内部稽核制度和信息披露要求进行了探讨，也对与财务报告相关的IT控制提出了要求。

　　2006年7月15日，由财政部牵头发起，证监会、国资委共同参与成立的“企业内部控制标准委员会”正式在北京成立，这预示着中国企业也即将面对一部类似美国萨班斯法案的标准体系。在全球公司治理趋同的监管环境下，越来越严格的法规规范是全球化趋势，靠短暂地逃离严厉监管永远不能解决问题。完善公司治理IT治理，完善内部控制不仅是资本市场的要求，更是中国企业国际竞争力的重要要素之一。因此，中国的企业最终也要适应这一游戏规则。

　　2007年5月25日，财政部副部长王军在企业内部控制标准委员会第三次全体会议上的讲话中指出，自2008年起，率先以非正式方式发布基本规范、具体规范以及内部评价规范，并选择在上市公司中试点。在给试点企业和会计师事务所留有相对宽裕的学习期、培训期、试用期和完善期后，根据试点情况对内控规范及其适用范围进行修正，初步设想于2010年以相关部委联合发文的形式，正式发布内部控制规范体系，并在有关企业正式实施。

　　2006年6月国资委公布《中央企业全面风险管理指引》，指引提出具备条件的企业在董事会设风险管理委员会，企业总经理就全面风险管理工作的有效性向董事会负责。

　　《指引》包括中央企业开展全面风险管理工作的总体原则、基本流程等内容，并提出风险管理的目标，包括确保将风险控制在与总体目标相适应并可承受的范围内；确保内外部，尤其是企业与股东之间实现真实、可靠的信息沟通。

　　其中第八章明确提出了建立风险管理信息系统的要求，“已建立或基本建立企业管理信息系统的企业，应补充、调整、更新已有的管理流程和管理程序，建立完善的风险管理信息系统；尚未建立企业管理信息系统的，应将风险管理与企业各项管理业务流程、管理软件统一规划、统一设计、统一实施、同步运行”。

　　此外，确保企业遵守有关法律法规；确保企业有关规章制度和为实现经营目标而采取重大措施的贯彻执行，保障经营管理的有效性；确保企业建立针对各项重大风险发生后的危机处理计划，保护企业不因灾害性风险或人为失误而遭受重大损失。

　　《指引》借鉴了发达国家有关企业风险管理的法律法规、国外先进的大公司在风险管理方面的通行做法，以及国内有关内控机制建设方面的规定，对于中央企业建立健全风险管理长效机制，促进企业稳步发展，防止国有资产流失，保护投资者利益，都具有一定的意义。

　　在“2007大型企业风险管理高层论坛”上国务院国资委副主任邵宁表示，国资委将研究企业全面风险管理评价标准、范围和方法，把对企业风险管理的评价与企业领导层的绩效考核结合，将风险管理作为考核企业领导层的重要内容。加强中央企业全面风险管理是国资委履行出资人职责的一项重要工作，要逐步将风险管理作为考核企业领导人员的重要内容。

　　邵宁同时表示，还要加强责任追究制度，对于没有按照去年6月颁发的《中央企业全面风险管理指引》的要求，重视和开展风险管理的中央企业，再出现重大风险损失事件，要严格追究企业领导人员的责任。要把风险管理工作与董事会试点工作紧密结合。企业管理层至少每年要向董事会提交一份完整的“企业全面风险管理年度工作报告”。国资委在听取董事会工作情况时，要把这一报告作为关注的重点内容。

　　2007年2月国务院信息化工作办公室发布《关于加强中央企业信息化工作的指导意见》（《意见》）的文件。《意见》要求，到2010年中央企业信息化要基本实现向整个企业集成、共享、协同转变，建成集团企业统一集成的信息系统。《意见》还明确指出，有条件的中央企业须设由企业领导成员担任的总信息师（CIO）岗位，并加强对基础信息网络和重要信息系统的安全考核，将信息化建设纳入企业考核体系。

　　3 萨班斯法案与IT治理

　　帮助企业规避风险、完善内部控制，是萨班斯法案的核心内容。而另一方面，法规遵从将会大幅提升企业对IT资源的需求。由于企业的业务运作已经越来越依赖于IT系统，以至于IT控制成为企业内部控制的重要组成部分。萨班斯法案与IT管控之间的关系也越来越多地引起企业管理层的重视。

　　事实上，那些已经开始法规遵从过程的企业，都立即意识到IT的重要性，因为实现萨班斯法案合规，涉及到所有影响财务报表生成的业务部门，譬如302条款对财务报告的提供，404条款对内控报告的提供，409条款实时披露材料的变更，802条款为审计和评审员保留相关的记录等。

　　而无论持续监控也好，还是持续审计也好，都离不开IT治理。对企业而言，网络、应用系统、操作系统、数据库实际上是大楼的基石上，上面是应用软件，再上面才是业务流程和财务。IT系统、数据和基础设施的状况都直接影响到财务报告的生成过程。一个企业对于IT的运用特性，将直接决定企业内控与财务报告的质量。

　　萨班斯法对中国企业可能产生的影响主要有四个方面。

　　首先是对财务系统有比较大的影响，是不是符合法律的要求，财务流程是不是按照法案要求进行优化，财务数据是不是进行了整合，能够很方便地进行审计，能不能保证正确性，都是中国企业应该注意的问题。

　　第二是对于内控管理相关的应用系统，特别是跟业务流程有关的系统的影响。要建立很多审批流程，特别是与财务活动相关的信息功能，包括采购、销售、库存等。这都需要应用系统的支撑，这些系统如果做得不严格，审计的时候也很难通过。

　　第三是对基础设施的影响，可以分两部分：一部分是物理基础设施，包括基础软件、硬件、存储等；另一个是安全访问的平台，包括对用户身份的管理、对信息访问控制、存储机制等。现在应用系统的安全访问控制，基本上都是分散在各个应用系统里，没有实现统一的集中管理，这会带来很多不安全隐患。

　　第四个就是整个企业的IT治理，要保证做好前三点，除了要做好应用系统，服务器、存储、物理设施也必须跟上，“只有符合一系列标准，才能够保证IT系统的强健。要建立一个能够符合法规政策要求的系统，IT治理必不可少”。

　　4 IT部门的庞大任务

　　企业的IT部门要支持公司高管、财务和内外部审计人员的需求，确保影响财务报表的业务流程、应用和信息基础设施的完整性、可用性和可审计性，保证内控报告和内控程序的完成，并能够对外部审计需求做出积极响应。

　　一个更好的会计标准和更及时的信息披露要求将大大减轻经理人与外部投资者之间的信息不对称。因此，公司治理的核心问题是信息不对称性或不完全性，解决公司治理问题，最核心的是公司信息的真实、准确以及处理与传递的效率问题，而IT技术在实现透明度原则和体现监控力度上正日益成为有效的工具。

　　IT部门需要在许多方面有所准备，譬如如何优化财务流程，完善财务应用系统，在财务应用的基础上，实现财务数据整合和统计分析告；如何建立内部控制体系并引入内控管理信息系统，创建和记录企业内部业务流程，使公司的CEO、cfo target=_blank class=link_tag>CFO、员工和审计人员能够实时识别、分配、测试并监视内部控制与流程，确保业务流程根据内控标准执行；如何收集并监视控制信息，使管理人员能够快速查看流程、组织、控制和风险的实时状态；如何对影响财务报告的信息系统的IT控制，完善治理机制，进行IT内部控制和信息系统审计，以保证达到萨班斯法案对IT的基本要求。

　　IT控制既是萨班斯法案的重要内容，也和企业IT治理架构的建立有密切的关系。IT既是一种手段，也是一个控制的对象。在依赖先进的IT方法，提高内部控制效果的同时，可以迅速地查找问题和监控问题，提高相互交流和信息传递的效率。同时因为IT所占据的重要地位，由此产生的风险又造成了企业新的灾难性的风险。如果系统的安全性存在问题，就可能有未经授权的数据更改或程序更改。如果系统开发流程存在问题，则会影响到整个系统的运行操作，从而影响到应用系统本身。

　　总而言之，计算机信息系统介入管理层对内部控制的评估，是一个非常复杂的过程，而IT系统本身不完善所造成的限制，又可能造成内部控制本身的水平降低、被测试者的效益降低、费用增加等一系列问题。

　　如何平衡IT部门与企业各部门之间的协作关系，保证各部门之间交流顺畅、监管明晰，并保证系统的安全可靠，对信息化建设相对薄弱的中国企业的IT部门来说，无疑是一个十分庞大的任务。

　　事实上，如果中国企业能够顺利通过萨班斯法的审计工作，深入研究IT治理，加强IT控制，降低风险，有效地实现公司治理，把公司治理与IT治理相结合、全面风险管理与IT治理相结合以及“六方”（CEO、CFO、CIO、COO、CKO、CMO）相结合的理念彻底贯彻下去，中国企业必将有更加美好的发展前景。

　　5 法规遵从并非一个项目

　　法规遵从本身不是一个项目，一次合规并不可能一劳永逸。如何做到持续合规，才应该是中国企业真正的目的所在。有的企业高层，先砸一大笔钱，先把今年过了，明年再说。这种观点是有害的。但目前为止，国内几个大的中央企业，在萨班斯的遵从项目方面已经做了大量的工作，但目前绝大多数企业都是以项目方式来进行的。

　　规范化过程当中应该考虑到与绩效管理、全面风险管理机制等相结合，将职责描述、培训、绩效评价与持续合规结合起来。优化控制，从流程的标准化、文档的标准化、测试的标准化当中获得收益，同时建立风险管理和控制预警系统，在风险发生之前就及时进行处理。这要求两个方面共同努力：一是持续性的监控，二是持续性的审计。这就要求管理层要持续地监控，内部审计部门要持续地审计，由此来实现持续合规。