“競業(yè)禁止”法規(guī)遵從進行時

申請免費試用、咨詢電話：400-8352-114

對于中國企業(yè)來說，法規(guī)遵從不是結果，而是過程。以法規(guī)遵從為契機，深入研究IT治理，加強IT控制，降低風險，把公司治理與IT治理相結合、全面風險管理與IT治理相結合的理念徹底貫徹下去，中國企業(yè)必將有更加良好的發(fā)展前景。

今年7月，薩班斯-奧克斯利法（以下簡稱“薩班斯法”）正式開始實施。該法案對美國上市企業(yè)的監(jiān)管產(chǎn)生深刻影響，這當中自然包括在美國上市的中國企業(yè)。據(jù)了解，中國目前在美上市企業(yè)都正在加緊建立和完善內部管控機制，以遵從該法案的要求。

薩班斯法案不僅給公司財務提出了嚴格的要求，更是對CIO們提出了挑戰(zhàn)。國外媒體稱，薩班斯法案是2005年CIO最為關注的幾件事情之一。美國IT治理協(xié)會(IT Governance Institute)發(fā)報告指出，法規(guī)遵從給CIO帶來最少四方面的新挑戰(zhàn): 第一，必須加強對內控知識的掌握程度; 第二，理解企業(yè)遵從薩班斯法的全面計劃; 第三，推動特定IT控制環(huán)節(jié)的法規(guī)遵從計劃; 第四，努力使自己所承擔的計劃融入企業(yè)的整體法規(guī)遵從計劃當中。

究竟如何應對薩班斯法給企業(yè)監(jiān)管和IT治理帶來的新挑戰(zhàn)？究竟如何看待薩班斯法背后的影響實質，它將帶給中國企業(yè)和政府部門什么樣的啟發(fā)和思考？如何借鑒其中的先進經(jīng)驗？帶著這些問題，《計算機世界》報社CIO俱樂部于近日舉辦了“薩班斯與法規(guī)遵從高峰論壇”，邀請各方專家共同商討解決之道。

法規(guī)遵從無法回避

2005年3月，美國投資人RoyVan-Broekhuizen委托Milberg Weiss律師事務所向紐約南區(qū)地方法院提起訴訟，以“未適當披露審計信息，違反1934年美國證券法為由”對中國人壽股份有限公司提起訴訟。中國人壽并不是Milberg Weiss集體訴訟的第一家中國公司，據(jù)悉，Milberg Weiss曾經(jīng)發(fā)動投資者控訴網(wǎng)易，最終達成和解，網(wǎng)易為此付出了435萬美元。

受到這部法案影響的中國企業(yè)遠不止這兩家在美國上市的中國公司。今年年初，就連續(xù)有UT斯達康、中航油、前程無憂網(wǎng)站、新浪等數(shù)家公司在美遭遇“提供虛假信息”和“隱瞞重大事實”的集體訴訟。

業(yè)內人士指出，集體訴訟的風險在美國比在世界的任何其他國家都大。在美國上市的外國企業(yè)遭到集體訴訟的可能性有10%。調查顯示，40%在美國上市的海外公司在原定期限前難以達到404條款的要求，中國企業(yè)與同他們具有相似風險級別的外國競爭者相比，對法律風險預防投入的資源更少，起步也更晚，所以中國企業(yè)實際上面臨著遭受更大損失的風險。

雖然美國聯(lián)邦證券交易委員會將在美國上市的外國公司按照薩班斯法案要求提交年報的履行期限從2005年7月15日延遲到今年7月15日，對于中國企業(yè)而言依然是一個嚴峻的挑戰(zhàn)。更為重要的是，薩班斯法案揭開了中國企業(yè)必須去面對的問題——法規(guī)遵從。

中國企業(yè)如果不直接赴美國上市，這樣是否就能避免法律遵從對中國企業(yè)可能造成的影響呢？

事實并非如此，上海證券交易所和香港聯(lián)交所，都已先后公布了與薩班斯法案類似的相關法規(guī)，對上市公司建立內部稽核制度和信息披露要求進行了探討，也對與財務報告相關的IT控制提出了要求。

在全球公司治理趨同的監(jiān)管環(huán)境下，越來越嚴格的法規(guī)規(guī)范是全球化趨勢，靠短暫地逃離嚴厲監(jiān)管永遠不能解決問題。完善公司治理IT治理，完善內部控制不僅是資本市場的要求，更是中國企業(yè)國際競爭力的重要要素之一。因此，中國的企業(yè)最終也要適應這一游戲規(guī)則。在薩班斯法案生效的7月15日，由財政部牽頭發(fā)起，證監(jiān)會、國資委共同參與成立的“企業(yè)內部控制標準委員會”正式在北京成立，這預示著中國企業(yè)也即將面對一部類似美國薩班斯法案的標準體系。

國資委政策法規(guī)局副處長王黎曉介紹，如今法規(guī)遵從已經(jīng)成為全球性的規(guī)則，中國的企業(yè)要走出去，首先法律要走出去。國家對法律遵從方面的問題一直很重視。黃菊副總理在2005年國務院國資委會議上專門強調要加強企業(yè)監(jiān)管，完善內部管理制度，高度重視風險的防范，要建立法律顧問制度，增強企業(yè)管理水平。國務院2005年國防9號文件也專門提出，要積極推進企業(yè)法律顧問建設，建立健全法律風險防范機制。目前國資委也在大力推行企業(yè)法律建設制度，今年國資委將面向全球為11家中央企業(yè)招聘法律顧問。以期使企業(yè)高度重視法律風險，加強法律風險機制建設。這一切，都是為中國企業(yè)順利走出去所必須奠定的基礎。

“要真正把合規(guī)做好，必須讓合規(guī)能夠對企業(yè)產(chǎn)生效應，能夠推動企業(yè)前進，這樣才會有動力。” 中石化信息系統(tǒng)管理部副總工程師吳正宏指出，中國企業(yè)在美國上市需要經(jīng)歷非常嚴格的考核。這對中國企業(yè)來說有兩個作用: 一是加強公司的內部管理，使得公司良性發(fā)展; 二是使公司從人治型的公司向法治型公司轉變。合規(guī)的過程對中國企業(yè)而言是一個很大的挑戰(zhàn)，同時也是一個很大的機遇。

規(guī)避解決不了中國企業(yè)的根本問題，無論是在國內還是國外，法規(guī)遵從都已成為懸在準備上市的中國企業(yè)頭頂?shù)倪_摩克斯之劍。對于在美國上市的中國企業(yè)和即將赴美國上市的企業(yè)而言，薩班斯是橫在面前的一座大山。到目前為止，在美國上市的中國企業(yè)中，只有搜狐、新浪、亞信等寥寥幾家通過了薩班斯法案。如何改善公司治理結構，以及改進與此相關的IT控制和完善IT治理，開始進入更多中國公司董事會和管理層的議事日程。

薩班斯法案與IT治理

幫助企業(yè)規(guī)避風險、完善內部控制，是薩班斯法案的核心內容。而另一方面，法規(guī)遵從將會大幅提升企業(yè)對IT資源的需求。由于企業(yè)的業(yè)務運作已經(jīng)越來越依賴于IT系統(tǒng)，以至于IT控制成為企業(yè)內部控制的重要組成部分。薩班斯法案與IT管控之間的關系也越來越多地引起企業(yè)管理層的重視。

事實上，那些已經(jīng)開始法規(guī)遵從過程的企業(yè)，都立即意識到IT的重要性，因為實現(xiàn)薩班斯法案合規(guī)，涉及到所有影響財務報表生成的業(yè)務部門，譬如302條款對財務報告的提供，404條款對內控報告的提供，409條款實時披露材料的變更，802條款為審計和評審員保留相關的記錄等。

中國IT治理研究中心副主任孟秀轉接受采訪時說，“無論持續(xù)監(jiān)控也好，還是持續(xù)審計也好，都離不開IT治理。對企業(yè)而言，網(wǎng)絡、應用系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫實際上是大樓的基石上，上面是應用軟件，再上面才是業(yè)務流程和財務?！盜T系統(tǒng)、數(shù)據(jù)和基礎設施的狀況都直接影響到財務報告的生成過程。一個企業(yè)對于IT的運用特性，將直接決定企業(yè)內控與財務報告的質量。

賽門鐵克公司政府解決方案及戰(zhàn)略部高級總監(jiān)Lawrence Dietz認為，對用戶來講，在法規(guī)遵從過程中往往會遇到幾個問題: 首先是時間和成本的問題，其次是復雜性的問題，再次是實施效率的問題。而這些都與IT部門息息相關?！俺素攧詹块T，IT部門在企業(yè)中也占有非常重要的地位，企業(yè)必須先從治理流程開始，沒有治理流程的話，法規(guī)遵從也無從談起。一個企業(yè)的運作很多時候是靠數(shù)字化的內容來體現(xiàn)的。IT就像一個企業(yè)運行的血液?！?

吳正宏認為，薩班斯法對中國企業(yè)可能產(chǎn)生的影響主要有四個方面。

首先是對財務系統(tǒng)有比較大的影響，是不是符合法律的要求，財務流程是不是按照法案要求進行優(yōu)化，財務數(shù)據(jù)是不是進行了整合，能夠很方便地進行審計，能不能保證正確性，都是中國企業(yè)應該注意的問題。

第二是對于內控管理相關的應用系統(tǒng)，特別是跟業(yè)務流程有關的系統(tǒng)的影響。要建立很多審批流程，特別是與財務活動相關的信息功能，包括采購、銷售、庫存等。這都需要應用系統(tǒng)的支撐，這些系統(tǒng)如果做得不嚴格，審計的時候也很難通過。

第三是對基礎設施的影響，可以分兩部分: 一部分是物理基礎設施，包括基礎軟件、硬件、存儲等; 另一個是安全訪問的平臺，包括對用戶身份的管理、對信息訪問控制、存儲機制等?，F(xiàn)在應用系統(tǒng)的安全訪問控制，基本上都是分散在各個應用系統(tǒng)里，沒有實現(xiàn)統(tǒng)一的集中管理，這會帶來很多不安全隱患。

第四個就是整個企業(yè)的IT治理，要保證做好前三點，除了要做好應用系統(tǒng)，服務器、存儲、物理設施也必須跟上，“只有符合一系列標準，才能夠保證IT系統(tǒng)的強健。要建立一個能夠符合法規(guī)政策要求的系統(tǒng)，IT治理必不可少”。

IT部門的龐大任務

企業(yè)的IT部門要支持公司高管、財務和內外部審計人員的需求，確保影響財務報表的業(yè)務流程、應用和信息基礎設施的完整性、可用性和可審計性，保證內控報告和內控程序的完成，并能夠對外部審計需求做出積極響應。

一個更好的會計標準和更及時的信息披露要求將大大減輕經(jīng)理人與外部投資者之間的信息不對稱。因此，公司治理的核心問題是信息不對稱性或不完全性，解決公司治理問題，最核心的是公司信息的真實、準確以及處理與傳遞的效率問題，而IT技術在實現(xiàn)透明度原則和體現(xiàn)監(jiān)控力度上正日益成為有效的工具。

IT部門需要在許多方面有所準備，譬如如何優(yōu)化財務流程，完善財務應用系統(tǒng)，在財務應用的基礎上，實現(xiàn)財務數(shù)據(jù)整合和統(tǒng)計分析告; 如何建立內部控制體系并引入內控管理信息系統(tǒng)，創(chuàng)建和記錄企業(yè)內部業(yè)務流程，使公司的CEO、CFO、員工和審計人員能夠實時識別、分配、測試并監(jiān)視內部控制與流程，確保業(yè)務流程根據(jù)內控標準執(zhí)行; 如何收集并監(jiān)視控制信息，使管理人員能夠快速查看流程、組織、控制和風險的實時狀態(tài); 如何對影響財務報告的信息系統(tǒng)的IT控制，完善治理機制，進行IT內部控制和信息系統(tǒng)審計，以保證達到薩班斯法案對IT的基本要求。

IT控制既是薩班斯法案的重要內容，也和企業(yè)IT治理架構的建立有密切的關系。IT既是一種手段，也是一個控制的對象。在依賴先進的IT方法，提高內部控制效果的同時，可以迅速地查找問題和監(jiān)控問題，提高相互交流和信息傳遞的效率。同時因為IT所占據(jù)的重要地位，由此產(chǎn)生的風險又造成了企業(yè)新的災難性的風險。如果系統(tǒng)的安全性存在問題，就可能有未經(jīng)授權的數(shù)據(jù)更改或程序更改。如果系統(tǒng)開發(fā)流程存在問題，則會影響到整個系統(tǒng)的運行操作，從而影響到應用系統(tǒng)本身。

總而言之，計算機信息系統(tǒng)介入管理層對內部控制的評估，是一個非常復雜的過程，而IT系統(tǒng)本身不完善所造成的限制，又可能造成內部控制本身的水平降低、被測試者的效益降低、費用增加等一系列問題。

如何平衡IT部門與企業(yè)各部門之間的協(xié)作關系，保證各部門之間交流順暢、監(jiān)管明晰，并保證系統(tǒng)的安全可靠，對信息化建設相對薄弱的中國企業(yè)的IT部門來說，無疑是一個十分龐大的任務。

事實上，如果中國企業(yè)能夠順利通過薩班斯法的審計工作，深入研究IT治理，加強IT控制，降低風險，有效地實現(xiàn)公司治理，把公司治理與IT治理相結合、全面風險管理與IT治理相結合以及“六方”（CEO、CFO、CIO、COO、CKO、CMO）相結合的理念徹底貫徹下去，中國企業(yè)必將有更加美好的發(fā)展前景。

法規(guī)遵從并非一個項目

很多在美上市的企業(yè)正在“痛苦”地準備，以期望度過薩班斯法的大考。那么，企業(yè)該如何改變，才能通過薩班斯法案的考驗呢？

孟秀轉等專家認為，企業(yè)一定要端正一個觀點: 法規(guī)遵從本身不是一個項目，一次合規(guī)并不可能一勞永逸。

如何做到持續(xù)合規(guī)，才應該是中國企業(yè)真正的目的所在?！坝械钠髽I(yè)高層，先砸一大筆錢，先把今年過了，明年再說。這種觀點是有害的?！钡壳盀橹梗瑖鴥葞讉€大的中央企業(yè)，在薩班斯的遵從項目方面已經(jīng)做了大量的工作，但目前絕大多數(shù)企業(yè)都是以項目方式來進行的。

“不是項目，要持續(xù)合規(guī)?！边@種觀點也得到了搜狐首席財務官余楚媛的認可。搜狐是最早通過薩班斯法案的中國企業(yè)之一。早在2005年，搜狐和新浪就通過了薩班斯法案的考驗。

余楚媛介紹，搜狐自從2004年開始薩班斯法的遵從準備工作。其間走過不少彎路，在實施過程中，僅咨詢顧問公司就更換了三個?！捌髽I(yè)在遵從薩班斯法時，走第一步就該想到第一百步的樣子。如果能做到這一點，就可以簡化一些工作?！?

“企業(yè)又要經(jīng)營，又要合法合規(guī)，只有把合規(guī)落實到日常管理當中，完善公司的IT治理、風險管理以及IT治理機制，加強人才儲備，以不變應萬變才是根本之道?！泵闲戕D說。

怎樣才能夠把法規(guī)遵從由項目變成持續(xù)合規(guī)的流程呢？

孟秀轉說，規(guī)范化過程當中應該考慮到與績效管理、全面風險管理機制等相結合，將職責描述、培訓、績效評價與持續(xù)合規(guī)結合起來。優(yōu)化控制，從流程的標準化、文檔的標準化、測試的標準化當中獲得收益，同時建立風險管理和控制預警系統(tǒng)，在風險發(fā)生之前就及時進行處理。這要求兩個方面共同努力: 一是持續(xù)性的監(jiān)控，二是持續(xù)性的審計。這就要求管理層要持續(xù)地監(jiān)控，內部審計部門要持續(xù)地審計，由此來實現(xiàn)持續(xù)合規(guī)。

薩班斯出臺的源動力是為了保護投資者。Lawrence Dietz說，對于中國公司來說，首先要明白的問題是對薩班斯的認識。中國企業(yè)為什么要去做法規(guī)遵從？是因為要在美國上市，還是企業(yè)本身內部的自發(fā)動力，是不是要把自己當作管理和控制的典范？

不管是不是有自發(fā)的動力，中國企業(yè)最終都要付出實踐，盡管所有的結果都是為了對公司更好地管理，最開始所抱有的目的還是會直接影響到最終的效果。國家會計學院教授鄭洪濤指出，中國企業(yè)內部控制方面存在的問題，第一就是錯位，目的倒置，“我們的目的不是解決根本的問題，而是為了完成任務?！编嵑闈f。只有先解決了目的倒置的問題，中國企業(yè)今后才會有更好的發(fā)展。

軟件廠商的新商機

薩班斯法雖然對在美國上市的企業(yè)提出了極高的要求，但同時也為幫助增強企業(yè)IT治理的軟件企業(yè)創(chuàng)造了新的商機。

有數(shù)據(jù)顯示: 收入超過50億美元的公司中，25%的公司在薩班斯法合規(guī)項目啟動之前彌補了500多個單獨控制; 超過70%的公司在薩班斯法合規(guī)項目啟動之前對IT系統(tǒng)和控制進行了重大修改; 76%的公司期望使用一些控制自評估的表格來滿足目前404條款的規(guī)定; 53%的企業(yè)想在一年內開展企業(yè)風險管理; 87%的企業(yè)想通過由404條款帶來的職責分明以及控制負責人的推動來獲取價值。法規(guī)遵從大大刺激了企業(yè)的IT支出，這對于低迷已久的IT業(yè)來說，或許能夠成為一個扭轉頹勢的良好契機。

有企業(yè)開始專門針對薩班斯法案開發(fā)平臺軟件，以幫助上市公司更快、更順利地完成這一極為復雜的工作過程。IBM、惠普等IT企業(yè)紛紛推出應對薩班斯和法規(guī)遵從的解決方案及相關的培訓。賽門鐵克也提供了能夠幫助客戶對所有安全事件（包括往來的電子文檔）進行歸檔、存儲、備份、迅速發(fā)現(xiàn)，乃至進行分析的軟件工具。

計世資訊(CCW Research)認為，對于大多數(shù)中國企業(yè)來說，類似薩班斯法案的法規(guī)遵從要求目前還比較遙遠，但毫無疑問，實現(xiàn)法規(guī)遵從是未來的一個趨勢。薩班斯法案會激發(fā)中國企業(yè)對內容管理軟件及商業(yè)智能軟件的需求，因為許多上市公司都在尋求更好的方法以獲取并監(jiān)控企業(yè)內部海量的數(shù)據(jù)，從而增強對企業(yè)財務報告的內部管理。

就短期而言，此項內部控制制度的建設成本是相當大的。中國企業(yè)大多處于發(fā)展之中，而發(fā)展中的企業(yè)會經(jīng)常調整業(yè)務、策略等。此外，中國企業(yè)在遵從法規(guī)過程中需要投入大量的時間、人力和財力，基于薩班斯法案的時間限制，這些間接成本也相當高。但從長遠看來，薩班斯法案對企業(yè)防止突發(fā)事件、降低財務風險有很大作用，可以有效遏制出現(xiàn)財務卷款潛逃的惡劣行為，避免給企業(yè)帶來不可挽救的損失，幫助企業(yè)的管理層改變決策環(huán)境，提高決策反應速度。 （ccw）