2002年，在安然事件后的一片混亂中，美國頒布了薩班斯一奧克斯利法案（簡稱“薩班斯法案”）。作為薩班斯法案中最重要的條款之一，404條款明確規(guī)定了管理層應(yīng)承擔(dān)設(shè)立和維持一個應(yīng)有的內(nèi)部控制結(jié)構(gòu)的職責(zé)。該條款要求上市公司必須在年報中提供內(nèi)部控制報告和內(nèi)部控制評價報告；上市公司的管理層和注冊會計師都需要對企業(yè)的內(nèi)部控制系統(tǒng)作出評價，注冊會計師還必須對公司管理層評估過程以及內(nèi)控系統(tǒng)結(jié)論進(jìn)行相應(yīng)的檢查并出具正式意見。

　　薩班斯法案不僅給公司財務(wù)提出了嚴(yán)格的要求，更是對cio們提出了挑戰(zhàn)。國外媒體稱，薩班斯法案是2005年CIO最為關(guān)注的幾件事情之一。美國IT治理協(xié)會（IT Governance Institute）發(fā)報告指出，法規(guī)遵從給CIO帶來最少四方面的新挑戰(zhàn)： 第一，必須加強(qiáng)對內(nèi)控知識的掌握程度； 第二，理解企業(yè)遵從薩班斯法的全面計劃； 第三，推動特定IT控制環(huán)節(jié)的法規(guī)遵從計劃； 第四，努力使自己所承擔(dān)的計劃融入企業(yè)的整體法規(guī)遵從計劃當(dāng)中。

　　2 我國的相關(guān)法規(guī)

　　在薩班斯法案生效的2006年，上海證券交易所（2006年6月5日）《上海證券交易所上市公司內(nèi)部控制指引》、深圳證券交易所（2006年9月28日）《深圳證券交易所上市公司內(nèi)部控制指引》和香港聯(lián)交所，都已先后公布了與薩班斯法案類似的相關(guān)法規(guī)，對上市公司建立內(nèi)部稽核制度和信息披露要求進(jìn)行了探討，也對與財務(wù)報告相關(guān)的IT控制提出了要求。

　　2006年7月15日，由財政部牽頭發(fā)起，證監(jiān)會、國資委共同參與成立的“企業(yè)內(nèi)部控制標(biāo)準(zhǔn)委員會”正式在北京成立，這預(yù)示著中國企業(yè)也即將面對一部類似美國薩班斯法案的標(biāo)準(zhǔn)體系。在全球公司治理趨同的監(jiān)管環(huán)境下，越來越嚴(yán)格的法規(guī)規(guī)范是全球化趨勢，靠短暫地逃離嚴(yán)厲監(jiān)管永遠(yuǎn)不能解決問題。完善公司治理IT治理，完善內(nèi)部控制不僅是資本市場的要求，更是中國企業(yè)國際競爭力的重要要素之一。因此，中國的企業(yè)最終也要適應(yīng)這一游戲規(guī)則。

　　2007年5月25日，財政部副部長王軍在企業(yè)內(nèi)部控制標(biāo)準(zhǔn)委員會第三次全體會議上的講話中指出，自2008年起，率先以非正式方式發(fā)布基本規(guī)范、具體規(guī)范以及內(nèi)部評價規(guī)范，并選擇在上市公司中試點(diǎn)。在給試點(diǎn)企業(yè)和會計師事務(wù)所留有相對寬裕的學(xué)習(xí)期、培訓(xùn)期、試用期和完善期后，根據(jù)試點(diǎn)情況對內(nèi)控規(guī)范及其適用范圍進(jìn)行修正，初步設(shè)想于2010年以相關(guān)部委聯(lián)合發(fā)文的形式，正式發(fā)布內(nèi)部控制規(guī)范體系，并在有關(guān)企業(yè)正式實(shí)施。

　　2006年6月國資委公布《中央企業(yè)全面風(fēng)險管理指引》，指引提出具備條件的企業(yè)在董事會設(shè)風(fēng)險管理委員會，企業(yè)總經(jīng)理就全面風(fēng)險管理工作的有效性向董事會負(fù)責(zé)。

　　《指引》包括中央企業(yè)開展全面風(fēng)險管理工作的總體原則、基本流程等內(nèi)容，并提出風(fēng)險管理的目標(biāo)，包括確保將風(fēng)險控制在與總體目標(biāo)相適應(yīng)并可承受的范圍內(nèi)；確保內(nèi)外部，尤其是企業(yè)與股東之間實(shí)現(xiàn)真實(shí)、可靠的信息溝通。

　　其中第八章明確提出了建立風(fēng)險管理信息系統(tǒng)的要求，“已建立或基本建立企業(yè)管理信息系統(tǒng)的企業(yè)，應(yīng)補(bǔ)充、調(diào)整、更新已有的管理流程和管理程序，建立完善的風(fēng)險管理信息系統(tǒng)；尚未建立企業(yè)管理信息系統(tǒng)的，應(yīng)將風(fēng)險管理與企業(yè)各項(xiàng)管理業(yè)務(wù)流程、管理軟件統(tǒng)一規(guī)劃、統(tǒng)一設(shè)計、統(tǒng)一實(shí)施、同步運(yùn)行”。

　　此外，確保企業(yè)遵守有關(guān)法律法規(guī)；確保企業(yè)有關(guān)規(guī)章制度和為實(shí)現(xiàn)經(jīng)營目標(biāo)而采取重大措施的貫徹執(zhí)行，保障經(jīng)營管理的有效性；確保企業(yè)建立針對各項(xiàng)重大風(fēng)險發(fā)生后的危機(jī)處理計劃，保護(hù)企業(yè)不因?yàn)?zāi)害性風(fēng)險或人為失誤而遭受重大損失。

　　《指引》借鑒了發(fā)達(dá)國家有關(guān)企業(yè)風(fēng)險管理的法律法規(guī)、國外先進(jìn)的大公司在風(fēng)險管理方面的通行做法，以及國內(nèi)有關(guān)內(nèi)控機(jī)制建設(shè)方面的規(guī)定，對于中央企業(yè)建立健全風(fēng)險管理長效機(jī)制，促進(jìn)企業(yè)穩(wěn)步發(fā)展，防止國有資產(chǎn)流失，保護(hù)投資者利益，都具有一定的意義。

　　在“2007大型企業(yè)風(fēng)險管理高層論壇”上國務(wù)院國資委副主任邵寧表示，國資委將研究企業(yè)全面風(fēng)險管理評價標(biāo)準(zhǔn)、范圍和方法，把對企業(yè)風(fēng)險管理的評價與企業(yè)領(lǐng)導(dǎo)層的績效考核結(jié)合，將風(fēng)險管理作為考核企業(yè)領(lǐng)導(dǎo)層的重要內(nèi)容。加強(qiáng)中央企業(yè)全面風(fēng)險管理是國資委履行出資人職責(zé)的一項(xiàng)重要工作，要逐步將風(fēng)險管理作為考核企業(yè)領(lǐng)導(dǎo)人員的重要內(nèi)容。

　　邵寧同時表示，還要加強(qiáng)責(zé)任追究制度，對于沒有按照去年6月頒發(fā)的《中央企業(yè)全面風(fēng)險管理指引》的要求，重視和開展風(fēng)險管理的中央企業(yè)，再出現(xiàn)重大風(fēng)險損失事件，要嚴(yán)格追究企業(yè)領(lǐng)導(dǎo)人員的責(zé)任。要把風(fēng)險管理工作與董事會試點(diǎn)工作緊密結(jié)合。企業(yè)管理層至少每年要向董事會提交一份完整的“企業(yè)全面風(fēng)險管理年度工作報告”。國資委在聽取董事會工作情況時，要把這一報告作為關(guān)注的重點(diǎn)內(nèi)容。

　　2007年2月國務(wù)院信息化工作辦公室發(fā)布《關(guān)于加強(qiáng)中央企業(yè)信息化工作的指導(dǎo)意見》（《意見》）的文件。《意見》要求，到2010年中央企業(yè)信息化要基本實(shí)現(xiàn)向整個企業(yè)集成、共享、協(xié)同轉(zhuǎn)變，建成集團(tuán)企業(yè)統(tǒng)一集成的信息系統(tǒng)。《意見》還明確指出，有條件的中央企業(yè)須設(shè)由企業(yè)領(lǐng)導(dǎo)成員擔(dān)任的總信息師（CIO）崗位，并加強(qiáng)對基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全考核，將信息化建設(shè)納入企業(yè)考核體系。

　　3 薩班斯法案與IT治理

　　幫助企業(yè)規(guī)避風(fēng)險、完善內(nèi)部控制，是薩班斯法案的核心內(nèi)容。而另一方面，法規(guī)遵從將會大幅提升企業(yè)對IT資源的需求。由于企業(yè)的業(yè)務(wù)運(yùn)作已經(jīng)越來越依賴于IT系統(tǒng)，以至于IT控制成為企業(yè)內(nèi)部控制的重要組成部分。薩班斯法案與IT管控之間的關(guān)系也越來越多地引起企業(yè)管理層的重視。

　　事實(shí)上，那些已經(jīng)開始法規(guī)遵從過程的企業(yè)，都立即意識到IT的重要性，因?yàn)閷?shí)現(xiàn)薩班斯法案合規(guī)，涉及到所有影響財務(wù)報表生成的業(yè)務(wù)部門，譬如302條款對財務(wù)報告的提供，404條款對內(nèi)控報告的提供，409條款實(shí)時披露材料的變更，802條款為審計和評審員保留相關(guān)的記錄等。

　　而無論持續(xù)監(jiān)控也好，還是持續(xù)審計也好，都離不開IT治理。對企業(yè)而言，網(wǎng)絡(luò)、應(yīng)用系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫實(shí)際上是大樓的基石上，上面是應(yīng)用軟件，再上面才是業(yè)務(wù)流程和財務(wù)。IT系統(tǒng)、數(shù)據(jù)和基礎(chǔ)設(shè)施的狀況都直接影響到財務(wù)報告的生成過程。一個企業(yè)對于IT的運(yùn)用特性，將直接決定企業(yè)內(nèi)控與財務(wù)報告的質(zhì)量。

　　薩班斯法對中國企業(yè)可能產(chǎn)生的影響主要有四個方面。

　　首先是對財務(wù)系統(tǒng)有比較大的影響，是不是符合法律的要求，財務(wù)流程是不是按照法案要求進(jìn)行優(yōu)化，財務(wù)數(shù)據(jù)是不是進(jìn)行了整合，能夠很方便地進(jìn)行審計，能不能保證正確性，都是中國企業(yè)應(yīng)該注意的問題。

　　第二是對于內(nèi)控管理相關(guān)的應(yīng)用系統(tǒng)，特別是跟業(yè)務(wù)流程有關(guān)的系統(tǒng)的影響。要建立很多審批流程，特別是與財務(wù)活動相關(guān)的信息功能，包括采購、銷售、庫存等。這都需要應(yīng)用系統(tǒng)的支撐，這些系統(tǒng)如果做得不嚴(yán)格，審計的時候也很難通過。

　　第三是對基礎(chǔ)設(shè)施的影響，可以分兩部分： 一部分是物理基礎(chǔ)設(shè)施，包括基礎(chǔ)軟件、硬件、存儲等； 另一個是安全訪問的平臺，包括對用戶身份的管理、對信息訪問控制、存儲機(jī)制等。現(xiàn)在應(yīng)用系統(tǒng)的安全訪問控制，基本上都是分散在各個應(yīng)用系統(tǒng)里，沒有實(shí)現(xiàn)統(tǒng)一的集中管理，這會帶來很多不安全隱患。

　　第四個就是整個企業(yè)的IT治理，要保證做好前三點(diǎn)，除了要做好應(yīng)用系統(tǒng)，服務(wù)器、存儲、物理設(shè)施也必須跟上，“只有符合一系列標(biāo)準(zhǔn)，才能夠保證IT系統(tǒng)的強(qiáng)健。要建立一個能夠符合法規(guī)政策要求的系統(tǒng)，IT治理必不可少”。

　　4 IT部門的龐大任務(wù)

　　企業(yè)的IT部門要支持公司高管、財務(wù)和內(nèi)外部審計人員的需求，確保影響財務(wù)報表的業(yè)務(wù)流程、應(yīng)用和信息基礎(chǔ)設(shè)施的完整性、可用性和可審計性，保證內(nèi)控報告和內(nèi)控程序的完成，并能夠?qū)ν獠繉徲嬓枨笞龀龇e極響應(yīng)。

　　一個更好的會計標(biāo)準(zhǔn)和更及時的信息披露要求將大大減輕經(jīng)理人與外部投資者之間的信息不對稱。因此，公司治理的核心問題是信息不對稱性或不完全性，解決公司治理問題，最核心的是公司信息的真實(shí)、準(zhǔn)確以及處理與傳遞的效率問題，而IT技術(shù)在實(shí)現(xiàn)透明度原則和體現(xiàn)監(jiān)控力度上正日益成為有效的工具。

　　IT部門需要在許多方面有所準(zhǔn)備，譬如如何優(yōu)化財務(wù)流程，完善財務(wù)應(yīng)用系統(tǒng)，在財務(wù)應(yīng)用的基礎(chǔ)上，實(shí)現(xiàn)財務(wù)數(shù)據(jù)整合和統(tǒng)計分析告； 如何建立內(nèi)部控制體系并引入內(nèi)控管理信息系統(tǒng)，創(chuàng)建和記錄企業(yè)內(nèi)部業(yè)務(wù)流程，使公司的CEO、cfo target=_blank class=link_tag>CFO、員工和審計人員能夠?qū)崟r識別、分配、測試并監(jiān)視內(nèi)部控制與流程，確保業(yè)務(wù)流程根據(jù)內(nèi)控標(biāo)準(zhǔn)執(zhí)行； 如何收集并監(jiān)視控制信息，使管理人員能夠快速查看流程、組織、控制和風(fēng)險的實(shí)時狀態(tài)； 如何對影響財務(wù)報告的信息系統(tǒng)的IT控制，完善治理機(jī)制，進(jìn)行IT內(nèi)部控制和信息系統(tǒng)審計，以保證達(dá)到薩班斯法案對IT的基本要求。

　　IT控制既是薩班斯法案的重要內(nèi)容，也和企業(yè)IT治理架構(gòu)的建立有密切的關(guān)系。IT既是一種手段，也是一個控制的對象。在依賴先進(jìn)的IT方法，提高內(nèi)部控制效果的同時，可以迅速地查找問題和監(jiān)控問題，提高相互交流和信息傳遞的效率。同時因?yàn)镮T所占據(jù)的重要地位，由此產(chǎn)生的風(fēng)險又造成了企業(yè)新的災(zāi)難性的風(fēng)險。如果系統(tǒng)的安全性存在問題，就可能有未經(jīng)授權(quán)的數(shù)據(jù)更改或程序更改。如果系統(tǒng)開發(fā)流程存在問題，則會影響到整個系統(tǒng)的運(yùn)行操作，從而影響到應(yīng)用系統(tǒng)本身。

　　總而言之，計算機(jī)信息系統(tǒng)介入管理層對內(nèi)部控制的評估，是一個非常復(fù)雜的過程，而IT系統(tǒng)本身不完善所造成的限制，又可能造成內(nèi)部控制本身的水平降低、被測試者的效益降低、費(fèi)用增加等一系列問題。

　　如何平衡IT部門與企業(yè)各部門之間的協(xié)作關(guān)系，保證各部門之間交流順暢、監(jiān)管明晰，并保證系統(tǒng)的安全可靠，對信息化建設(shè)相對薄弱的中國企業(yè)的IT部門來說，無疑是一個十分龐大的任務(wù)。

　　事實(shí)上，如果中國企業(yè)能夠順利通過薩班斯法的審計工作，深入研究IT治理，加強(qiáng)IT控制，降低風(fēng)險，有效地實(shí)現(xiàn)公司治理，把公司治理與IT治理相結(jié)合、全面風(fēng)險管理與IT治理相結(jié)合以及“六方”（CEO、CFO、CIO、COO、CKO、CMO）相結(jié)合的理念徹底貫徹下去，中國企業(yè)必將有更加美好的發(fā)展前景。

　　5 法規(guī)遵從并非一個項(xiàng)目

　　法規(guī)遵從本身不是一個項(xiàng)目，一次合規(guī)并不可能一勞永逸。如何做到持續(xù)合規(guī)，才應(yīng)該是中國企業(yè)真正的目的所在。有的企業(yè)高層，先砸一大筆錢，先把今年過了，明年再說。這種觀點(diǎn)是有害的。但目前為止，國內(nèi)幾個大的中央企業(yè)，在薩班斯的遵從項(xiàng)目方面已經(jīng)做了大量的工作，但目前絕大多數(shù)企業(yè)都是以項(xiàng)目方式來進(jìn)行的。

　　規(guī)范化過程當(dāng)中應(yīng)該考慮到與績效管理、全面風(fēng)險管理機(jī)制等相結(jié)合，將職責(zé)描述、培訓(xùn)、績效評價與持續(xù)合規(guī)結(jié)合起來。優(yōu)化控制，從流程的標(biāo)準(zhǔn)化、文檔的標(biāo)準(zhǔn)化、測試的標(biāo)準(zhǔn)化當(dāng)中獲得收益，同時建立風(fēng)險管理和控制預(yù)警系統(tǒng)，在風(fēng)險發(fā)生之前就及時進(jìn)行處理。這要求兩個方面共同努力： 一是持續(xù)性的監(jiān)控，二是持續(xù)性的審計。這就要求管理層要持續(xù)地監(jiān)控，內(nèi)部審計部門要持續(xù)地審計，由此來實(shí)現(xiàn)持續(xù)合規(guī)。