2002年，在安然事件后的一片混亂中，美國(guó)頒布了薩班斯一奧克斯利法案（簡(jiǎn)稱“薩班斯法案”）。作為薩班斯法案中最重要的條款之一，404條款明確規(guī)定了管理層應(yīng)承擔(dān)設(shè)立和維持一個(gè)應(yīng)有的內(nèi)部控制結(jié)構(gòu)的職責(zé)。該條款要求上市公司必須在年報(bào)中提供內(nèi)部控制報(bào)告和內(nèi)部控制評(píng)價(jià)報(bào)告；上市公司的管理層和注冊(cè)會(huì)計(jì)師都需要對(duì)企業(yè)的內(nèi)部控制系統(tǒng)作出評(píng)價(jià)，注冊(cè)會(huì)計(jì)師還必須對(duì)公司管理層評(píng)估過(guò)程以及內(nèi)控系統(tǒng)結(jié)論進(jìn)行相應(yīng)的檢查并出具正式意見。

　　薩班斯法案不僅給公司財(cái)務(wù)提出了嚴(yán)格的要求，更是對(duì)cio們提出了挑戰(zhàn)。國(guó)外媒體稱，薩班斯法案是2005年CIO最為關(guān)注的幾件事情之一。美國(guó)IT治理協(xié)會(huì)（IT Governance Institute）發(fā)報(bào)告指出，法規(guī)遵從給CIO帶來(lái)最少四方面的新挑戰(zhàn)： 第一，必須加強(qiáng)對(duì)內(nèi)控知識(shí)的掌握程度； 第二，理解企業(yè)遵從薩班斯法的全面計(jì)劃； 第三，推動(dòng)特定IT控制環(huán)節(jié)的法規(guī)遵從計(jì)劃； 第四，努力使自己所承擔(dān)的計(jì)劃融入企業(yè)的整體法規(guī)遵從計(jì)劃當(dāng)中。

　　2 我國(guó)的相關(guān)法規(guī)

　　在薩班斯法案生效的2006年，上海證券交易所（2006年6月5日）《上海證券交易所上市公司內(nèi)部控制指引》、深圳證券交易所（2006年9月28日）《深圳證券交易所上市公司內(nèi)部控制指引》和香港聯(lián)交所，都已先后公布了與薩班斯法案類似的相關(guān)法規(guī)，對(duì)上市公司建立內(nèi)部稽核制度和信息披露要求進(jìn)行了探討，也對(duì)與財(cái)務(wù)報(bào)告相關(guān)的IT控制提出了要求。

　　2006年7月15日，由財(cái)政部牽頭發(fā)起，證監(jiān)會(huì)、國(guó)資委共同參與成立的“企業(yè)內(nèi)部控制標(biāo)準(zhǔn)委員會(huì)”正式在北京成立，這預(yù)示著中國(guó)企業(yè)也即將面對(duì)一部類似美國(guó)薩班斯法案的標(biāo)準(zhǔn)體系。在全球公司治理趨同的監(jiān)管環(huán)境下，越來(lái)越嚴(yán)格的法規(guī)規(guī)范是全球化趨勢(shì)，靠短暫地逃離嚴(yán)厲監(jiān)管永遠(yuǎn)不能解決問題。完善公司治理IT治理，完善內(nèi)部控制不僅是資本市場(chǎng)的要求，更是中國(guó)企業(yè)國(guó)際競(jìng)爭(zhēng)力的重要要素之一。因此，中國(guó)的企業(yè)最終也要適應(yīng)這一游戲規(guī)則。

　　2007年5月25日，財(cái)政部副部長(zhǎng)王軍在企業(yè)內(nèi)部控制標(biāo)準(zhǔn)委員會(huì)第三次全體會(huì)議上的講話中指出，自2008年起，率先以非正式方式發(fā)布基本規(guī)范、具體規(guī)范以及內(nèi)部評(píng)價(jià)規(guī)范，并選擇在上市公司中試點(diǎn)。在給試點(diǎn)企業(yè)和會(huì)計(jì)師事務(wù)所留有相對(duì)寬裕的學(xué)習(xí)期、培訓(xùn)期、試用期和完善期后，根據(jù)試點(diǎn)情況對(duì)內(nèi)控規(guī)范及其適用范圍進(jìn)行修正，初步設(shè)想于2010年以相關(guān)部委聯(lián)合發(fā)文的形式，正式發(fā)布內(nèi)部控制規(guī)范體系，并在有關(guān)企業(yè)正式實(shí)施。

　　2006年6月國(guó)資委公布《中央企業(yè)全面風(fēng)險(xiǎn)管理指引》，指引提出具備條件的企業(yè)在董事會(huì)設(shè)風(fēng)險(xiǎn)管理委員會(huì)，企業(yè)總經(jīng)理就全面風(fēng)險(xiǎn)管理工作的有效性向董事會(huì)負(fù)責(zé)。

　　《指引》包括中央企業(yè)開展全面風(fēng)險(xiǎn)管理工作的總體原則、基本流程等內(nèi)容，并提出風(fēng)險(xiǎn)管理的目標(biāo)，包括確保將風(fēng)險(xiǎn)控制在與總體目標(biāo)相適應(yīng)并可承受的范圍內(nèi)；確保內(nèi)外部，尤其是企業(yè)與股東之間實(shí)現(xiàn)真實(shí)、可靠的信息溝通。

　　其中第八章明確提出了建立風(fēng)險(xiǎn)管理信息系統(tǒng)的要求，“已建立或基本建立企業(yè)管理信息系統(tǒng)的企業(yè)，應(yīng)補(bǔ)充、調(diào)整、更新已有的管理流程和管理程序，建立完善的風(fēng)險(xiǎn)管理信息系統(tǒng)；尚未建立企業(yè)管理信息系統(tǒng)的，應(yīng)將風(fēng)險(xiǎn)管理與企業(yè)各項(xiàng)管理業(yè)務(wù)流程、管理軟件統(tǒng)一規(guī)劃、統(tǒng)一設(shè)計(jì)、統(tǒng)一實(shí)施、同步運(yùn)行”。

　　此外，確保企業(yè)遵守有關(guān)法律法規(guī)；確保企業(yè)有關(guān)規(guī)章制度和為實(shí)現(xiàn)經(jīng)營(yíng)目標(biāo)而采取重大措施的貫徹執(zhí)行，保障經(jīng)營(yíng)管理的有效性；確保企業(yè)建立針對(duì)各項(xiàng)重大風(fēng)險(xiǎn)發(fā)生后的危機(jī)處理計(jì)劃，保護(hù)企業(yè)不因?yàn)?zāi)害性風(fēng)險(xiǎn)或人為失誤而遭受重大損失。

　　《指引》借鑒了發(fā)達(dá)國(guó)家有關(guān)企業(yè)風(fēng)險(xiǎn)管理的法律法規(guī)、國(guó)外先進(jìn)的大公司在風(fēng)險(xiǎn)管理方面的通行做法，以及國(guó)內(nèi)有關(guān)內(nèi)控機(jī)制建設(shè)方面的規(guī)定，對(duì)于中央企業(yè)建立健全風(fēng)險(xiǎn)管理長(zhǎng)效機(jī)制，促進(jìn)企業(yè)穩(wěn)步發(fā)展，防止國(guó)有資產(chǎn)流失，保護(hù)投資者利益，都具有一定的意義。

　　在“2007大型企業(yè)風(fēng)險(xiǎn)管理高層論壇”上國(guó)務(wù)院國(guó)資委副主任邵寧表示，國(guó)資委將研究企業(yè)全面風(fēng)險(xiǎn)管理評(píng)價(jià)標(biāo)準(zhǔn)、范圍和方法，把對(duì)企業(yè)風(fēng)險(xiǎn)管理的評(píng)價(jià)與企業(yè)領(lǐng)導(dǎo)層的績(jī)效考核結(jié)合，將風(fēng)險(xiǎn)管理作為考核企業(yè)領(lǐng)導(dǎo)層的重要內(nèi)容。加強(qiáng)中央企業(yè)全面風(fēng)險(xiǎn)管理是國(guó)資委履行出資人職責(zé)的一項(xiàng)重要工作，要逐步將風(fēng)險(xiǎn)管理作為考核企業(yè)領(lǐng)導(dǎo)人員的重要內(nèi)容。

　　邵寧同時(shí)表示，還要加強(qiáng)責(zé)任追究制度，對(duì)于沒有按照去年6月頒發(fā)的《中央企業(yè)全面風(fēng)險(xiǎn)管理指引》的要求，重視和開展風(fēng)險(xiǎn)管理的中央企業(yè)，再出現(xiàn)重大風(fēng)險(xiǎn)損失事件，要嚴(yán)格追究企業(yè)領(lǐng)導(dǎo)人員的責(zé)任。要把風(fēng)險(xiǎn)管理工作與董事會(huì)試點(diǎn)工作緊密結(jié)合。企業(yè)管理層至少每年要向董事會(huì)提交一份完整的“企業(yè)全面風(fēng)險(xiǎn)管理年度工作報(bào)告”。國(guó)資委在聽取董事會(huì)工作情況時(shí)，要把這一報(bào)告作為關(guān)注的重點(diǎn)內(nèi)容。

　　2007年2月國(guó)務(wù)院信息化工作辦公室發(fā)布《關(guān)于加強(qiáng)中央企業(yè)信息化工作的指導(dǎo)意見》（《意見》）的文件。《意見》要求，到2010年中央企業(yè)信息化要基本實(shí)現(xiàn)向整個(gè)企業(yè)集成、共享、協(xié)同轉(zhuǎn)變，建成集團(tuán)企業(yè)統(tǒng)一集成的信息系統(tǒng)。《意見》還明確指出，有條件的中央企業(yè)須設(shè)由企業(yè)領(lǐng)導(dǎo)成員擔(dān)任的總信息師（CIO）崗位，并加強(qiáng)對(duì)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全考核，將信息化建設(shè)納入企業(yè)考核體系。

　　3 薩班斯法案與IT治理

　　幫助企業(yè)規(guī)避風(fēng)險(xiǎn)、完善內(nèi)部控制，是薩班斯法案的核心內(nèi)容。而另一方面，法規(guī)遵從將會(huì)大幅提升企業(yè)對(duì)IT資源的需求。由于企業(yè)的業(yè)務(wù)運(yùn)作已經(jīng)越來(lái)越依賴于IT系統(tǒng)，以至于IT控制成為企業(yè)內(nèi)部控制的重要組成部分。薩班斯法案與IT管控之間的關(guān)系也越來(lái)越多地引起企業(yè)管理層的重視。

　　事實(shí)上，那些已經(jīng)開始法規(guī)遵從過(guò)程的企業(yè)，都立即意識(shí)到IT的重要性，因?yàn)閷?shí)現(xiàn)薩班斯法案合規(guī)，涉及到所有影響財(cái)務(wù)報(bào)表生成的業(yè)務(wù)部門，譬如302條款對(duì)財(cái)務(wù)報(bào)告的提供，404條款對(duì)內(nèi)控報(bào)告的提供，409條款實(shí)時(shí)披露材料的變更，802條款為審計(jì)和評(píng)審員保留相關(guān)的記錄等。

　　而無(wú)論持續(xù)監(jiān)控也好，還是持續(xù)審計(jì)也好，都離不開IT治理。對(duì)企業(yè)而言，網(wǎng)絡(luò)、應(yīng)用系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫(kù)實(shí)際上是大樓的基石上，上面是應(yīng)用軟件，再上面才是業(yè)務(wù)流程和財(cái)務(wù)。IT系統(tǒng)、數(shù)據(jù)和基礎(chǔ)設(shè)施的狀況都直接影響到財(cái)務(wù)報(bào)告的生成過(guò)程。一個(gè)企業(yè)對(duì)于IT的運(yùn)用特性，將直接決定企業(yè)內(nèi)控與財(cái)務(wù)報(bào)告的質(zhì)量。

　　薩班斯法對(duì)中國(guó)企業(yè)可能產(chǎn)生的影響主要有四個(gè)方面。

　　首先是對(duì)財(cái)務(wù)系統(tǒng)有比較大的影響，是不是符合法律的要求，財(cái)務(wù)流程是不是按照法案要求進(jìn)行優(yōu)化，財(cái)務(wù)數(shù)據(jù)是不是進(jìn)行了整合，能夠很方便地進(jìn)行審計(jì)，能不能保證正確性，都是中國(guó)企業(yè)應(yīng)該注意的問題。

　　第二是對(duì)于內(nèi)控管理相關(guān)的應(yīng)用系統(tǒng)，特別是跟業(yè)務(wù)流程有關(guān)的系統(tǒng)的影響。要建立很多審批流程，特別是與財(cái)務(wù)活動(dòng)相關(guān)的信息功能，包括采購(gòu)、銷售、庫(kù)存等。這都需要應(yīng)用系統(tǒng)的支撐，這些系統(tǒng)如果做得不嚴(yán)格，審計(jì)的時(shí)候也很難通過(guò)。

　　第三是對(duì)基礎(chǔ)設(shè)施的影響，可以分兩部分： 一部分是物理基礎(chǔ)設(shè)施，包括基礎(chǔ)軟件、硬件、存儲(chǔ)等； 另一個(gè)是安全訪問的平臺(tái)，包括對(duì)用戶身份的管理、對(duì)信息訪問控制、存儲(chǔ)機(jī)制等。現(xiàn)在應(yīng)用系統(tǒng)的安全訪問控制，基本上都是分散在各個(gè)應(yīng)用系統(tǒng)里，沒有實(shí)現(xiàn)統(tǒng)一的集中管理，這會(huì)帶來(lái)很多不安全隱患。

　　第四個(gè)就是整個(gè)企業(yè)的IT治理，要保證做好前三點(diǎn)，除了要做好應(yīng)用系統(tǒng)，服務(wù)器、存儲(chǔ)、物理設(shè)施也必須跟上，“只有符合一系列標(biāo)準(zhǔn)，才能夠保證IT系統(tǒng)的強(qiáng)健。要建立一個(gè)能夠符合法規(guī)政策要求的系統(tǒng)，IT治理必不可少”。

　　4 IT部門的龐大任務(wù)

　　企業(yè)的IT部門要支持公司高管、財(cái)務(wù)和內(nèi)外部審計(jì)人員的需求，確保影響財(cái)務(wù)報(bào)表的業(yè)務(wù)流程、應(yīng)用和信息基礎(chǔ)設(shè)施的完整性、可用性和可審計(jì)性，保證內(nèi)控報(bào)告和內(nèi)控程序的完成，并能夠?qū)ν獠繉徲?jì)需求做出積極響應(yīng)。

　　一個(gè)更好的會(huì)計(jì)標(biāo)準(zhǔn)和更及時(shí)的信息披露要求將大大減輕經(jīng)理人與外部投資者之間的信息不對(duì)稱。因此，公司治理的核心問題是信息不對(duì)稱性或不完全性，解決公司治理問題，最核心的是公司信息的真實(shí)、準(zhǔn)確以及處理與傳遞的效率問題，而IT技術(shù)在實(shí)現(xiàn)透明度原則和體現(xiàn)監(jiān)控力度上正日益成為有效的工具。

　　IT部門需要在許多方面有所準(zhǔn)備，譬如如何優(yōu)化財(cái)務(wù)流程，完善財(cái)務(wù)應(yīng)用系統(tǒng)，在財(cái)務(wù)應(yīng)用的基礎(chǔ)上，實(shí)現(xiàn)財(cái)務(wù)數(shù)據(jù)整合和統(tǒng)計(jì)分析告； 如何建立內(nèi)部控制體系并引入內(nèi)控管理信息系統(tǒng)，創(chuàng)建和記錄企業(yè)內(nèi)部業(yè)務(wù)流程，使公司的CEO、cfo target=_blank class=link_tag>CFO、員工和審計(jì)人員能夠?qū)崟r(shí)識(shí)別、分配、測(cè)試并監(jiān)視內(nèi)部控制與流程，確保業(yè)務(wù)流程根據(jù)內(nèi)控標(biāo)準(zhǔn)執(zhí)行； 如何收集并監(jiān)視控制信息，使管理人員能夠快速查看流程、組織、控制和風(fēng)險(xiǎn)的實(shí)時(shí)狀態(tài)； 如何對(duì)影響財(cái)務(wù)報(bào)告的信息系統(tǒng)的IT控制，完善治理機(jī)制，進(jìn)行IT內(nèi)部控制和信息系統(tǒng)審計(jì)，以保證達(dá)到薩班斯法案對(duì)IT的基本要求。

　　IT控制既是薩班斯法案的重要內(nèi)容，也和企業(yè)IT治理架構(gòu)的建立有密切的關(guān)系。IT既是一種手段，也是一個(gè)控制的對(duì)象。在依賴先進(jìn)的IT方法，提高內(nèi)部控制效果的同時(shí)，可以迅速地查找問題和監(jiān)控問題，提高相互交流和信息傳遞的效率。同時(shí)因?yàn)镮T所占據(jù)的重要地位，由此產(chǎn)生的風(fēng)險(xiǎn)又造成了企業(yè)新的災(zāi)難性的風(fēng)險(xiǎn)。如果系統(tǒng)的安全性存在問題，就可能有未經(jīng)授權(quán)的數(shù)據(jù)更改或程序更改。如果系統(tǒng)開發(fā)流程存在問題，則會(huì)影響到整個(gè)系統(tǒng)的運(yùn)行操作，從而影響到應(yīng)用系統(tǒng)本身。

　　總而言之，計(jì)算機(jī)信息系統(tǒng)介入管理層對(duì)內(nèi)部控制的評(píng)估，是一個(gè)非常復(fù)雜的過(guò)程，而IT系統(tǒng)本身不完善所造成的限制，又可能造成內(nèi)部控制本身的水平降低、被測(cè)試者的效益降低、費(fèi)用增加等一系列問題。

　　如何平衡IT部門與企業(yè)各部門之間的協(xié)作關(guān)系，保證各部門之間交流順暢、監(jiān)管明晰，并保證系統(tǒng)的安全可靠，對(duì)信息化建設(shè)相對(duì)薄弱的中國(guó)企業(yè)的IT部門來(lái)說(shuō)，無(wú)疑是一個(gè)十分龐大的任務(wù)。

　　事實(shí)上，如果中國(guó)企業(yè)能夠順利通過(guò)薩班斯法的審計(jì)工作，深入研究IT治理，加強(qiáng)IT控制，降低風(fēng)險(xiǎn)，有效地實(shí)現(xiàn)公司治理，把公司治理與IT治理相結(jié)合、全面風(fēng)險(xiǎn)管理與IT治理相結(jié)合以及“六方”（CEO、CFO、CIO、COO、CKO、CMO）相結(jié)合的理念徹底貫徹下去，中國(guó)企業(yè)必將有更加美好的發(fā)展前景。

　　5 法規(guī)遵從并非一個(gè)項(xiàng)目

　　法規(guī)遵從本身不是一個(gè)項(xiàng)目，一次合規(guī)并不可能一勞永逸。如何做到持續(xù)合規(guī)，才應(yīng)該是中國(guó)企業(yè)真正的目的所在。有的企業(yè)高層，先砸一大筆錢，先把今年過(guò)了，明年再說(shuō)。這種觀點(diǎn)是有害的。但目前為止，國(guó)內(nèi)幾個(gè)大的中央企業(yè)，在薩班斯的遵從項(xiàng)目方面已經(jīng)做了大量的工作，但目前絕大多數(shù)企業(yè)都是以項(xiàng)目方式來(lái)進(jìn)行的。

　　規(guī)范化過(guò)程當(dāng)中應(yīng)該考慮到與績(jī)效管理、全面風(fēng)險(xiǎn)管理機(jī)制等相結(jié)合，將職責(zé)描述、培訓(xùn)、績(jī)效評(píng)價(jià)與持續(xù)合規(guī)結(jié)合起來(lái)。優(yōu)化控制，從流程的標(biāo)準(zhǔn)化、文檔的標(biāo)準(zhǔn)化、測(cè)試的標(biāo)準(zhǔn)化當(dāng)中獲得收益，同時(shí)建立風(fēng)險(xiǎn)管理和控制預(yù)警系統(tǒng)，在風(fēng)險(xiǎn)發(fā)生之前就及時(shí)進(jìn)行處理。這要求兩個(gè)方面共同努力： 一是持續(xù)性的監(jiān)控，二是持續(xù)性的審計(jì)。這就要求管理層要持續(xù)地監(jiān)控，內(nèi)部審計(jì)部門要持續(xù)地審計(jì)，由此來(lái)實(shí)現(xiàn)持續(xù)合規(guī)。