萨班斯考验到限 IT企业紧箍咒下的机会

　　【赛迪网讯】即将到限的《萨班斯法案》对在美上市企业套上了内部控制的紧箍咒。

　　“萨班斯”来了！这部被认为是继上世纪30年代大萧条以来，美国政府制定的范围最广、措施最为严厉的公司法律，其严厉的监管对在美国上市的企业来说，是一场残酷的考验；而对帮助企业信息化的软件厂商来说，新的商机也正浮出水面。

　　“不能通过《萨班斯-奥克斯利法案》(以下简称《萨班斯法案》)的公司轻则被投资人‘用脚投票’，股价下跌，重则将被追究刑事责任，甚至从股市上摘牌。”ITGov(中国)IT治理研究中心首席专家孙强告诉记者：“如果中国在美企业有较多没有通过，则会影响中国企业在世界的声誉，不利于中国企业对外融资和走向世界。”

　　7月15日起，按照美国

　　这个被美国总统布什称为“自罗斯福总统以来对美国商业界影响最为深远的改革法案”，自出台后已让大多数在美上市的企业大伤脑筋，92%的美国上市公司已经认识到其内部控制框架与《萨班斯法案》的规定之间存在的差距。在2004财年，总计526家公司被迫披露其内部控制措施存在重要缺陷。

　　有调查显示，多达40%的在美国上市的海外公司难以在原定期限达到《萨班斯法案》的要求，而中国公司的状况则更为严重。中国公司内部控制薄弱，整体准备状况较差，进展缓慢。孙强表示，如果没有延期，他们中的大多数都无法在规定时间内达到该要求。《萨班斯法案》是柄双刃剑

　　在《萨班斯法案》的404条款中，对IT部门的法规有19条。自从千年虫以来，在IT界还没有什么比这19条法规激发更多波澜的事件呢。

　　通用电气公司就表示，404条款致使公司在执行内部控制规定上的花费已经高达3000万美元。我们国内也有很多大型企业为此投入了大量的人力、物力，“甚至有些人笑谈他们的工作内控几乎是悬在头上的一把剑，压力很大，甚至做梦都在进行内部控制措施。”孙强说。

　　根据国际财务执行官组织(Financial Executives International ，FEI)对217家平均年收入为50亿美元的上市公司进行的调查，《萨班斯法案》的遵循成本比最初认为的要高很多，因为遵循内控强制规定的平均成本上升到了436万美元，比2004年的估计值上升了39%。这一费用是在公司财务报表审计费之外的。预算外的增长主要是因为咨询、软件和其它供应商等外部成本增长了66%，而支付给外部审计者的费用上升了58%。

　　高昂的合规成本，让很多公司都选择了退市或在上市前止步：1999年美国股市中的退市公司仅有30家，从《萨班斯法案》实行后，2004年已经升至135家。在因该法案而引起的退市潮中，就包括已经在纳斯达克上市11年、全球最大的计算机声卡制造商新加坡创新科技公司。

　　AMT研究院咨询师陈琦认为：“《萨班斯法案》明确规定，外部审计人员必须检查和证实一个公司内部财务控制的有效性，这其中就包括信息系统的可靠性。《萨班斯法案》强调企业的信息技术策略和企业内控活动(不论是人还是机器)的操作流程都必须明白地定义并保存相关记录，而后才能实施。这样要求是为了让企业管理者了解内部状况，以便在IT审计时提供及时支持。但是，在提高IT审计效率的同时，CIO仍需考虑为之投入的成本问题。”

　　《萨班斯法案》对上市企业的益处在于以法律形式强化了公司内部的风险控制，也同时将企业IT治理的重要性提高到前所未有的高度。“几乎所有上市公司的核心业务运作都依赖IT系统，信息资产成为企业的核心价值资产。关键在于建立更好的内部过程控制视图，同时提高效率并且把IT与这些过程关联起来。”中国惠普有限公司资深IT服务管理咨询顾问庄丽娟向记者介绍说：“要让企业通过IT将所有工作有效整合，不只是一套软件能实现的，需要后期大量的IT服务管理工作。”“几乎所有上市公司的核心业务运作都依赖IT系统，信息资产成为企业的核心价值资产。关键在于建立更好的内部过程控制视图，同时提高效率并且把IT与这些过程关联起来。”

　　软件厂商新商机

　　《萨班斯法案》虽然对在美国上市的企业提出了极高的要求，但同时也为帮助增强企业IT治理的软件企业创造了新的商机。

　　据安永公司的调查显示：收入超过50亿美元的公司中，25%的公司在《萨班斯法案》合规项目启动之前弥补了500多个单独控制；超过70%的公司在《萨班斯法案》合规项目启动之前对IT系统和控制进行了重大修改；76%的公司期望使用一些控制自评估(CSA)的表格来满足目前404条款的规定；53%的企业想在一年内开展企业风险管理 (ERM)；87%的企业想通过由404条款带来的职责分明以及控制负责人的推动来获取价值。

　　来自市场研究公司Forrester Research的调研报告显示，在针对企业内部控制的评估技术趋于成熟之际，关于《萨班斯法案》的第二波IT技术浪潮已经爆发：和《萨班斯法案》相关的软件将加快开发的速度。在2005年，该法案分别对内容管理软件和商业智能软件产生了15%及9%的需求增量影响。越来越多的企业将通过各种自动手段(如访问控制，交易分析，执行规则和电子表格控制)和不间断的监控来实施管理。

　　在增长的市场面前，解决方案供应商们展开了激烈的争夺。IBM采取了一种集成的方法来帮助客户遵守《萨班斯法案》。IBM通过IBM Global Services的Business Consulting Services工具、Tivoli管理解决方案和Lotus Workplace进行集成，用来指导公司遵守法案并完善内部控制。

　　SAP也针对《萨班斯法案》制定了一套名为Compliance Management for SOA的软件。今年4月，SAP还收购了风险管理提供商Virsa Systems用以加强其在企业协同和风险管理方面的实力，该行为被分析家们认为是为了进一步强调其对《萨班斯法案》的重视。

　　甲骨文大中华区总经理李翰璋向记者介绍说：甲骨文发布了一整套帮助企业遵循《萨班斯法案》的管理工具。该工具可对不良债权减少的目标和收款核算管理流程进行比较，以判断在实现目标的过程中可能出现的风险，并导入适当的规则，简化复杂的业务流程和风险评估的定义及管理。

　　惠普结合已经在公司内部广泛采用的“关键控制指标”(KCI)和“关键风险指标”(KRI)，推出OpenView Compliance Manager解决方案，该方案能够直接对《萨班斯法案》遵从风险进行评测，使内控管理系统中的法规监测过程实现自动化，并就法规符合情况进行报告。从而降低法规遵从成本。

　　《萨班斯-奥克斯莱法案(Sarbanes-Oxley Act)》

　　《萨班斯法案》源于2001年美国安然公司倒闭后引起的美国股市剧烈动荡。为防止和保证上市公司财务丑闻不再发生，由美国参议员Sarbanes和美国众议员Oxley联合提出了一项法案，该法案即以他们的名字命名。

　　《萨班斯-奥克斯莱法案》中，针对上市公司CEO?穴首席执行官?雪和CFO?穴首席财务官?雪有两条严格规定：一是要求上市公司CEO和CFO保证向SEC(美国证监会)提交的财务报告真实可靠；另一条是，要求上市公司CEO做出与财务相关的内控有效的声明。如果出现问题，CEO和CFO将为此承担最高至500万美元的罚款和上至20年的监禁刑事责任。

　　符合《萨班斯法案》的核心是404条款，而404遵循中的重点和难点是IT管理控制体系的有效性。因此，研究IT治理，加强IT控制，降低风险，有效地实现公司治理，成为CIO和CSO 要高度关注的命题。ITGov(中国)IT治理研究中心首席专家孙强认为要探讨和推广“三个结合”：即公司治理与IT治理相结合，全面风险管理与IT治理相结合以及“六方”(CEO、CFO、CIO、COO、CKO、CMO)相结合的理念、技术与最佳实践。(n101)

　　作者：吴加录