多重法案下如何执行萨班斯法案

　　陈翔

　　萨班斯—奥克斯利法案(SOX法案)，一部来自美国，涉及会计职业监管、公司治理、证券市场监管等方面改革的重要法律，对在美上市企业的严厉监管，也打破了在美上市的中国IT企业的平静。

　　尽管目前SOX法案针对部分企业暂时给出延期的方案，但并没有提出任何企业有适用的豁免条件，因此不管怎样，时间的拖延只能解决暂时性问题，每个在美国上市的企业最终都要接受它的监管。SOX法案更为深远的影响还在于，它掀起了全球的SOX风潮，不论是欧洲、日本甚至中国都已经或者正在酝酿类似的监管措施。未来，一家正规发展的企业如果不对SOX类别的方案有所了解与行动，终究会遇到成长的天花板，为此付出沉重代价。

　　在IT领域，各种服务咨询类企业、不少从事法规遵循的新企业以及软件企业都开始从SOX法案的各个角度出发，在市场上活跃起来。作为全球第四大独立软件供应商，赛门铁克对新颁布的SOX法案有什么看法？对国内在美国上市的企业又有怎样的建议呢？近日，赛门铁克大中华区总裁郭尊华、政府解决方案和策略部门高级总监Lawrence Dietz以及亚太区安全方案高级技术总监Tim Hartman分别与记者就SOX法案相关的热点问题进行了交流，探讨了目前国际上企业的普遍做法，并给予了深入分析。

　　IT治理应对法案冲突

　　记者：SOX法案对于上市企业的规定都是一致吗？有没有不同级别？我们知道全球还有很多地区都有类似SOX方案的规定需要企业遵循，是否只有SOX方案有这样的严厉规定：要求上市公司CEO做出与财务相关的内控有效的声明，如果出现问题，CEO和CFO将为此承担最高至500万美元的罚款和上至20年的监禁刑事责任。

　　赛门铁克：SOX法案所管理的是所有在美国

　　记者：我们知道全球各个地区都已经或者正在制定类似SOX法案的法律法规，而且根据企业所在的行业不同，不少企业在未来还将有许多法案需要遵从。

　　赛门铁克：从国际角度首先想到的是日本通过的一个相关法案，简称JSOX。日本在观察世界形势方面做得非常好，这个JSOX，也就是日本版的SOX法案将在明年生效。它主要有三个目的：目的之一是促进日本所有机构能够产生良好的治理方式，目的之二是来解释良好的治理意味着什么，目的之三是希望在日本的法规跟其所有主要贸易伙伴之间建立和谐的关系。在英国，和SOX法案对应的标准讲的是内部控制系统和披露。德国通过的公司治理法案中也有很多与SOX法案内容相近的地方，同时它还批评了德国商业公司中存在的一些问题，特别是

　　另外，根据企业所在的不同行业，还有特定的国家地区和其他国家所制定的与IT相关的法律。如果企业属于医疗卫生领域，就需要遵守HIPAA法案，主要是来保护病人的私人信息。如果企业属于美国政府，首先要考虑到遵守联邦的信息安全管理法案，同时还要遵守国家科学技术研究院所制定的相关规则，以及遵守总统法令，它是以总统管理和预算办公室OMB通知的形式发布的，它的代号是A123。

　　记者：除了SOX法案，还有不同的行业要遵守的法案法律，它们之间是否存在冲突？

　　赛门铁克：IT治理将是一个好的开始，是一个大的指导原则，可以解决很多问题。有些国际标准如ISO 17799是来管理信息安全的，一些国家法规比如SOX法案管理的是公开上市的公司，还有一些州法律管理在这些州做生意的公司，在欧洲还要考虑到巴塞尔协议2，美国还有GLBA法案……企业该怎么办呢？所以公司要采取两种方式来治理公司结构，才能够确保遵守所有的法律，这种治理一方面是法规遵从，另一方面是IT遵从。IT遵从是通过使用信息技术工具来确保执行管理层制定的相关政策。要有效管理一个公司不仅包括业务工作，还有流程工作和技术工作，只要做好IT治理，公司就能够应付所有与IT相关的法案。

　　SOX法案需要长期计划

　　记者：企业要实现SOX法案，是否需要很大的资金投入？或者这个资金投入在短期内见不到回报，用户会不会有这样的顾虑？

　　赛门铁克：SOX法案不是一个详细的计划，而是一个长期的一整套计划，不是哪里疼就医哪里。我们认为，首先要巩固外围的环境，针对整套计划要找到切入点，企业可以在小范围内采用，再慢慢扩大到其他部分。比如说多点企业，可以先在北京、上海推动，然后再慢慢推动到其他地方，这也是一个可行的方法。例如第一步企业可以选择从终端的安全方面做起，赛门铁克有相关的方案和产品。

　　SOX法案是一个整体，对所有在美上市企业的控制规范是一致的，唯一不同的就是业务流程不一样，因为每个企业都有自己的业务，每一个流程上面都有控制点。每个企业都可以选择如ITIL、COBIT、ISO 17799等不同国际IT治理框架，框架只是告诉你实践应该怎么做。真正的原则是要达到三个目标，第一是达到运行效率，第二是财务报表的可靠性，第三是达到一定的规模。他们是不同的思路，但是要达到同一个目的，就是做好公司的IT治理，符合SOX等法案。

　　记者：很多中国企业的管理机制跟美国不一样，是国家投资不是股民投资，管理层都是任命的。各个国家都有不同的法案，比如说日本有J—SOX，英国、德国都有自己的法案，赛门铁克有没有这样的一个建议，中国要建立这个法案的话，要靠近哪一类，是欧美那一类，还是日本那一类？

　　赛门铁克：我们现在的管理是IT方面的自动化管理。具体管理、风险等要考虑，也许不同的企业、不同的国家有不同的要求，重要的是我们在IT领域里面所扮演的角色。但是不管政府机关，还是国有企业、私营企业，未来都需要监管，全球各地类似方案都已经趋于标准化，我们是在标准化的框架中提供基础的IT部分，将IT作为自动化的过程。

　　记者：银行业中包括现在中国银行已经上市，工商银行也正在准备上市，他们也非常关注法规遵从。你们对银行有什么样的建议？

　　赛门铁克：SOX法案是银行需要考虑的因素之一，在国际上市，尤其是美国市场上市的银行，除了遵守SOX法案之外，还要遵守其他的规定，比如说巴塞尔2。SOX法案是对企业的信息准确性和报告制度做的规定，巴塞尔2是对企业的风险进行相应的规定，它对企业的风险以及现金的要求是，问题出现的时候，企业还有足够多的现金来偿还企业的债务。除此之外，在美国上市的银行还要受到

　　在IT遵从和IT系统方面，仅遵守某些法律，比如说巴塞尔2和SOX法案都是不够的，IT治理强调的是内部控制，我们要从整体的内部控制着手，而不是遵循法律来制定我们的政策，否则肯定会有一些疏漏和风险。我们对中国银行业是从标准来入手，而不是从法律来看IT治理的法律遵从和系统。从控制架构来看我们提供的IT系统会发现，每一个终端业务部分都有相应的保护和检验措施，上层则是多个法规的遵循。