新岳乱合集目录500伦_在教室里被强h_幸福的一家1—6小说_美女mm131爽爽爽作爱

被喻為“瘋狂法律”的薩班斯法案,猶如懸在中國“國際化”企業(yè)頭上的達(dá)摩克利斯之劍。7月5日，中國第一家海外上市公司華晨中國汽車控股有限公司宣布，不堪薩班斯法案高昂的遵循成本，從美國紐約證券交易所退市
。在法規(guī)遵循的大趨勢下，用IT系統(tǒng)幫助企業(yè)符合薩班斯法案的要求和在薩班斯法案中尋找IT的商機(jī)，是眼下業(yè)界熱衷討論的問題。



然而——



7月5日，中國第一家海外上市公司——華晨中國汽車控股有限公司從美國紐約證券交易所退市了！



一位在美國上市的中國公司的財(cái)務(wù)管理人員告訴記者，讓華晨不堪重負(fù)的，正是為了遵循《薩班斯—奧克斯利法案》（簡稱薩班斯法案）而不得不向?qū)徲?jì)公司支付的巨額咨詢、審計(jì)費(fèi)用，以及高昂的內(nèi)部遵循成本。與這筆支出相比，華晨在紐約交易所融到的資金卻非常有限。



這邊是退市，那邊卻是歡慶通過薩班斯法案。僅今年上半年，就先后有華能國際電力股份有限公司、中國網(wǎng)通集團(tuán)(香港)有限公司、中國人壽保險(xiǎn)股份有限公司、中國石油天然氣股份有限公司等大型企業(yè)通過了薩班斯法案。



然而，同樣是通過薩班斯法案，各公司不僅實(shí)施的成本不同，對IT手段的依賴程度也各不相同。有的企業(yè)除了已有的IT系統(tǒng)外，并沒有為薩班斯法案采購新的IT設(shè)備，而是通過人工的手段完成控制點(diǎn)的文檔收集和整理；有的企業(yè)則采用了一些基本的協(xié)同工具，分擔(dān)一部分人力工作。



慧點(diǎn)科技商業(yè)流程與控制事業(yè)部總經(jīng)理吳大軍指出，如何利用IT系統(tǒng)來幫助企業(yè)符合薩班斯法案的要求，也正是企業(yè)頭疼的問題?！暗谝荒攴ㄒ?guī)遵循的時候，首先解決的是從0到1的問題，企業(yè)為了通過薩班斯法，甚至直接讓咨詢公司采用手工的方式先把報(bào)告交出來。如今，企業(yè)已經(jīng)有時間來思考，到底怎么利用IT工具提高效率?！边@位人士表示。



漸顯IT“智障”



缺乏內(nèi)控的IT系統(tǒng)，是中國企業(yè)在遵循薩班斯法案過程中所遇到的最大挑戰(zhàn)。中國企業(yè)IT系統(tǒng)重建設(shè)、輕維護(hù)的老傳統(tǒng)，使得IT系統(tǒng)不能完整實(shí)現(xiàn)其管理功能，在業(yè)務(wù)與IT密不可分的趨勢下，傳統(tǒng)IT系統(tǒng)漸顯“弱智”。



如果有人告訴你，中國企業(yè)在遵循薩班斯法案過程中，遇到最大的挑戰(zhàn)是IT系統(tǒng)，你是否會非常驚訝？



2002 年7 月通過的薩班斯法案本意是促使在美國上市的公司通過加強(qiáng)內(nèi)部控制，來改進(jìn)自己的治理狀況，提高治理水平，恢復(fù)投資者對美國資本市場的信心。一般來說，薩班斯法案會涉及公司層面、業(yè)務(wù)流程及IT管理3大方面。



“信息化投資占企業(yè)整體投資的比例越來越大，企業(yè)中越來越多的業(yè)務(wù)流程都建立在IT系統(tǒng)之上，管理業(yè)務(wù)就是管理IT，兩者不可割裂。”ITGov中國IT治理研究中心專家孟秀轉(zhuǎn)表示。但她同時指出，在任何一家公司里，財(cái)務(wù)控制都是管理的重頭，相關(guān)的規(guī)章制度也非常嚴(yán)格，而IT內(nèi)控更是很缺乏，面臨的挑戰(zhàn)也要大得多。



2005年初，在美國紐約證券交易所上市的中國人壽保險(xiǎn)股份有限公司啟動了薩班斯法案遵循工作。“當(dāng)時的現(xiàn)狀很不樂觀。”中國人壽薩班斯法案404項(xiàng)目組的一位負(fù)責(zé)人這樣評價。中國人壽2005年的年度報(bào)告顯示，根據(jù)香港準(zhǔn)則與美國公認(rèn)會計(jì)準(zhǔn)則統(tǒng)計(jì)的數(shù)字出現(xiàn)了重大差異，作為外審機(jī)構(gòu)的普華道，也指出了中國人壽與信息系統(tǒng)相關(guān)聯(lián)的實(shí)質(zhì)性漏洞。



導(dǎo)致這個漏洞的主要原因，就是IT系統(tǒng)的集中管理程度不夠。中國人壽信息技術(shù)部項(xiàng)目管理處的一位負(fù)責(zé)人解釋說，這與中國人壽總部信息技術(shù)部一直立足于服務(wù)的角色定位有關(guān)，而按照薩班斯法案的要求，信息技術(shù)部更應(yīng)側(cè)重于管理，包括加大對分公司信息系統(tǒng)、系統(tǒng)建設(shè)、運(yùn)維、數(shù)據(jù)等集中管理的力度，降低分散管理隱含的風(fēng)險(xiǎn)。



2005年，中國人壽制定了一份《信息技術(shù)管理制度》?！斑@是一件開歷史先河的事情?！?04項(xiàng)目組的負(fù)責(zé)人表示。以往，中國人壽并不是沒有IT方面的制度，但是相關(guān)的制度很零散，如分別面向防火墻、IT采購、安全備份等方面的。而這套新制度涵蓋了IT的各方面，梳理出了公司應(yīng)該具備的流程和控制點(diǎn)。這個管理制度解決了管控范圍、管控思路以及管控標(biāo)準(zhǔn)的問題，只要達(dá)到這些控制點(diǎn)，至少能保證不會出錯。



“外審公司披露的漏洞對中國人壽的幫助還是很大的，我們試圖從中理解外審做出這樣評價的意圖，從而分析外審會更注意哪些問題，這些經(jīng)驗(yàn)也為公司2006年年報(bào)的順利過關(guān)提供了經(jīng)驗(yàn)?！痹撠?fù)責(zé)人表示。



當(dāng)然，從理論上來說，全國數(shù)據(jù)大集中的實(shí)現(xiàn)是這個漏洞的終極解決方案。因?yàn)橐坏┐蠹?，公司總部就能從?shù)據(jù)層面掌控所有資源，把管理風(fēng)險(xiǎn)從分散的地方完全集中到總部。據(jù)了解，中國人壽計(jì)劃在全國建立南北兩大數(shù)據(jù)中心，目前選址已經(jīng)完成，正在進(jìn)行前期籌備工作。



今年3月底通過薩班斯法案的中海油，同樣面臨著IT治理和IT控制這個新問題的挑戰(zhàn)?！拔覀儎傞_始做薩班斯法案遵從的時候，并沒有把IT當(dāng)成非常復(fù)雜的工作，做了以后才發(fā)現(xiàn)，薩班斯對國企IT的管控架構(gòu)產(chǎn)生了很大影響?！敝袊Ｑ笫陀邢薰舅_班斯法案404實(shí)施項(xiàng)目組的一位負(fù)責(zé)人如是說。



讓他印象最深的有一點(diǎn)：過去IT系統(tǒng)往往重建設(shè)、輕維護(hù)。過去員工使用IT系統(tǒng)的時候，往往認(rèn)為，“誰建的系統(tǒng)誰負(fù)責(zé)”，而一些系統(tǒng)管理員擁有超乎一切的權(quán)限，成為IT系統(tǒng)里的“領(lǐng)導(dǎo)”；實(shí)際上，根據(jù)職責(zé)不相容的原則，IT系統(tǒng)的應(yīng)用層和后臺管理必須嚴(yán)格分開。



以前，中國人壽的IT人員較欠缺，尤其在分公司層面，往往會出現(xiàn)一個人兼數(shù)崗的情況，從開發(fā)、應(yīng)用，到運(yùn)維、硬件管理都要負(fù)責(zé)。根據(jù)薩班斯法案404內(nèi)控的要求，數(shù)據(jù)庫、操作系統(tǒng)可以是一個人負(fù)責(zé)，但是應(yīng)用系統(tǒng)與數(shù)據(jù)庫管理員這樣的前臺操作和后臺管理一定不能是同一個人。否則應(yīng)用系統(tǒng)維護(hù)人員修改數(shù)據(jù)時，又能從后臺數(shù)據(jù)庫的行為日志里清除數(shù)據(jù)，從而增加了很多風(fēng)險(xiǎn)。



搬走“絆腳石”



根據(jù)薩班斯法案的要求，參照COSO模型和COBIT框架進(jìn)行整改，是在美上市企業(yè)無法回避的選擇。中海油和中國人壽搬走“絆腳石”的方法不盡相同，但殊途同歸，借助IT系統(tǒng)的強(qiáng)制性，來規(guī)范管理。



雖然薩班斯法案直指的是財(cái)務(wù)報(bào)告的真實(shí)、準(zhǔn)確，但是很多公司的財(cái)務(wù)報(bào)告流程都是由IT系統(tǒng)驅(qū)動的?？梢哉f，IT是保證財(cái)務(wù)報(bào)告內(nèi)部控制的有效性的基礎(chǔ)，IT的控制至關(guān)重要。



這也是很多在美上市公司根據(jù)薩班斯法案的要求進(jìn)行整改時，參照COSO模型和COBIT框架的原因。參照COSO框架很好理解，因?yàn)樗刂骗h(huán)境、風(fēng)險(xiǎn)評估、控制活動、信息交流、監(jiān)督等5項(xiàng)要素，已經(jīng)成為世界通用的內(nèi)部控制權(quán)威文獻(xiàn)。



而COBIT（Control Objectives for Information and related Technology，信息及相關(guān)技術(shù)的控制目標(biāo))很明顯是一個IT治理的框架。問世11年的COBIT，從規(guī)劃與組織、采集與實(shí)施、交付與支持、監(jiān)控4個方面確定了34個處理過程以及318個詳細(xì)控制目標(biāo)，并能將IT流程、IT資源及信息與企業(yè)的策略與目標(biāo)聯(lián)系起來，在企業(yè)業(yè)務(wù)戰(zhàn)略指導(dǎo)下，對信息及相關(guān)資源進(jìn)行規(guī)劃與處理。



我們從中可以看出，COSO與COBIT的映射關(guān)系。這些現(xiàn)成的流程和框架有助于中國公司初步梳理出流程，外審公司會幫助做一個控制矩陣。中國人壽把這個控制矩陣與公司的制度做了映射，明確指出一個控制點(diǎn)應(yīng)該對應(yīng)制度的哪些條款，并從2006年初開始在全國大力擴(kuò)展。



中海油為了薩班斯法案的遵循工作，采用了IBM的WBCR系統(tǒng)。這個2005年開始建的系統(tǒng)，于去年7月通過驗(yàn)收。項(xiàng)目小組把它當(dāng)做一個文檔管理、數(shù)據(jù)管理、測試結(jié)果集中的平臺，能夠?qū)σ粋€項(xiàng)目組的工作起到協(xié)同的作用?！拔覀兛梢园芽刂?、風(fēng)險(xiǎn)都放在同一個系統(tǒng)中，比如哪些控制點(diǎn)需要測試、什么時間測試的、測試的結(jié)果如何。否則，我們可能還在用EXCEL表格，那樣至少需要1～2個人專門進(jìn)行文檔更新等工作。”其項(xiàng)目組的一位負(fù)責(zé)人表示。



目前中國人壽還沒有進(jìn)行額外的IT采購以應(yīng)對薩班斯法案，但這并不表明中國人壽沒有考慮這個問題。



“從2005年開始，我們就有了這樣的想法，即最好是通過一個IT管理平臺實(shí)現(xiàn)流程的自動化管理，覆蓋發(fā)起、辦理、審批、評估、定期抽樣檢查這樣一個工單處理的全過程，這與紙質(zhì)管理將完全是兩個概念?！敝袊藟?04項(xiàng)目小組的某位負(fù)責(zé)人表示。這個自動化管理，被中國人壽稱為ITI，也就是IT系統(tǒng)自己的信息化，已從今年開始正式啟動。



當(dāng)然，美國企業(yè)在IT采購上行動得更早，比如購買Movaris公司的Certainty法規(guī)遵從工具。AMR研究公司的分析師John Hagerty說，購買404條款法規(guī)遵從跟蹤工具平均需要花費(fèi)10萬～15萬美元。



那么，類似的IT工具和IT系統(tǒng)能夠給企業(yè)帶來什么好處呢？



首先，公司的管理將更加規(guī)范。一項(xiàng)管理的內(nèi)容，從公司的總部傳達(dá)到各省分公司，再到各地市級公司，最后落實(shí)到一個個具體的人，中間將跨越眾多環(huán)節(jié)，也很容易發(fā)生管理的失效。采用信息系統(tǒng)則能把所有的管理都固化下來，如果下一級機(jī)構(gòu)不按照這個流程去做，就沒有辦法進(jìn)行下去。在IT系統(tǒng)的強(qiáng)制下，管理會更加規(guī)范。



其次，公司的效率將得到提高?！爸袊藟廴珖?5個省級分公司，加上總部一共是36個點(diǎn)，每個點(diǎn)需要2～3人。這些人需要檢測每個控制點(diǎn)是否都具有支撐性文檔、控制是否有效，一次管理層測試就要耗時2～4周?！敝袊藟?04小組的某位負(fù)責(zé)人表示。



如果沒有IT工具做支撐，工作人員必須用手工翻閱的原始的紙質(zhì)文檔。上了信息系統(tǒng)之后，信息可以分門別類地在信息系統(tǒng)中管理起來，能夠方便地查詢和調(diào)用。企業(yè)還可以對不同人的權(quán)限加以區(qū)分，有效地提升企業(yè)的管理效率。



第三，有利于公司的整改。企業(yè)在遵循薩班斯法案的過程中，首先要將公司內(nèi)部控制的現(xiàn)狀和外審公司給出的目標(biāo)進(jìn)行對比，并從有問題的流程入手進(jìn)行整改。然而，導(dǎo)致公司某個流程出現(xiàn)問題的原因有兩方面，一是公司原來流程的設(shè)計(jì)有問題，二是員工的執(zhí)行力過弱，導(dǎo)致控制結(jié)果沒有達(dá)到預(yù)期。



在過去，一個問題從它發(fā)生的節(jié)點(diǎn)反饋到業(yè)務(wù)部門，至少需要一個月的時間，而采用信息系統(tǒng)以后，管理人員只要擁有權(quán)限，就能隨時查看，到底是哪里出現(xiàn)了缺陷，并針對性地采取措施。



關(guān)鍵在“人”



遵循薩班斯法案的內(nèi)控要求，即使采用了IT系統(tǒng)和IT工具，相關(guān)的文檔、日志也在系統(tǒng)里保留下來，但最后還需要人去對這些信息進(jìn)行深層次的挖掘。因此在企業(yè)內(nèi)控的人、技術(shù)、流程3大因素中，核心因素在“人”。



“很多企業(yè)第一年做薩班斯，往往關(guān)注硬性指標(biāo)，如定制度、買設(shè)備、定流程，甚至寄希望于一套設(shè)備幫忙固化流程。然而，如果人沒有風(fēng)險(xiǎn)意識，這些東西都是白搭?！盜TGov中國IT治理研究中心專家孟秀轉(zhuǎn)說。



因此，她格外強(qiáng)調(diào)控制環(huán)境的重要性。中海油的思路與她的觀點(diǎn)不謀而合?！捌鋵?shí)404的實(shí)施標(biāo)準(zhǔn)并不是審計(jì)師來制定的，而是取決于公司管理層的認(rèn)識?！敝泻Ｓ退_班斯法案404實(shí)施項(xiàng)目組的一位負(fù)責(zé)人說。比如一項(xiàng)工作應(yīng)該由誰來審批，這些內(nèi)容都是公司決定的，一般外審會給出建議，如果這么做，可能存在怎樣的風(fēng)險(xiǎn)，但是最終對風(fēng)險(xiǎn)進(jìn)行認(rèn)定和分析的還是公司。



中國人壽薩班斯法案404項(xiàng)目組的某位負(fù)責(zé)人認(rèn)為，薩班斯法案帶來的最大改變，就是很多工作都需要審批。這使得以前那種以工作內(nèi)容為中心的工作流程，變成了規(guī)范而一致的辦公流程。以往，領(lǐng)導(dǎo)安排一項(xiàng)工作可能只需要口頭通知或者EMAIL通知，如今卻必須按照相關(guān)的流程，說明布置這項(xiàng)工作的理由，受理該工作者必須簽字確認(rèn)。



記者在采訪過程中，深刻地感覺到薩班斯法案改變了公司員工遵守內(nèi)控制度的態(tài)度。一位受訪者要求記者的稿件發(fā)表之前，必須接受公司相關(guān)部門的確認(rèn)，“這個流程是我們項(xiàng)目組提出來的，如果不這么做，就是在這個控制點(diǎn)上出現(xiàn)了內(nèi)控失效?！?



這也正是孟秀轉(zhuǎn)反復(fù)強(qiáng)調(diào)的，“在企業(yè)內(nèi)部控制中，在人、技術(shù)、流程三大因素中，人是最主要的因素?！奔词共捎昧艘恍㊣T系統(tǒng)和IT工具，相關(guān)的文檔、日志也在系統(tǒng)里保留下來了，最后還需要人去對這些信息進(jìn)行深層次的挖掘，包括問題在哪里，是流程的問題還是執(zhí)行的問題，這些都只有人才能判斷。



專家們認(rèn)為，遵循薩班斯法案的巨額資金投入中，比例最大的其實(shí)是支付給咨詢公司和審計(jì)公司的費(fèi)用，而不是IT投資和IT內(nèi)控上的費(fèi)用。在這些投入中，除了資金、人力成本外，還包括公司上上下下的工作人員為配合404項(xiàng)目的工作而付出的工時，這些潛在的成本會更大。



“其中一部分成本投入，如備份體系的建立、安全措施的整改、人員補(bǔ)充等，是有利于企業(yè)發(fā)展的，我們叫良性增長。但是還有一些屬于現(xiàn)有工作外的額外工作，如整改、流程明確、管理層測試等帶來的人員、成本投入，數(shù)量也相當(dāng)大。”中國人壽404項(xiàng)目組的某位負(fù)責(zé)人表示。



而這部分不屬于“良性增長”的成本投入，正成為很多公司抵觸薩班斯法案的原因。在吸取了上市公司和審計(jì)公司的意見之后，今年上半年，美國證券交易委員會（SEC）通過了一份新的財(cái)務(wù)報(bào)告內(nèi)部控制管理層評估指南，美國公眾公司會計(jì)監(jiān)督委員會（PCAOB）也通過了審計(jì)準(zhǔn)則第五號，以替代原來的審計(jì)準(zhǔn)則第二號文件。



這兩個調(diào)整，也被業(yè)界認(rèn)為是薩班斯法案的有利變化。具體來說，新的第五號準(zhǔn)則要求審計(jì)師采用從上到下的、風(fēng)險(xiǎn)導(dǎo)向的方法，引導(dǎo)上市公司將精力集中于那些可能導(dǎo)致重大錯報(bào)的領(lǐng)域。而新的評估指南則指出，審計(jì)師不一定需要對管理層內(nèi)部控制評價程序的恰當(dāng)性發(fā)表意見。



以往判斷一個公司內(nèi)控有效的前提，就是審計(jì)師通過管理層評估來判斷這一公司的內(nèi)控運(yùn)作是否有效。如果管理層評估的結(jié)果不好，就算審計(jì)師沒有發(fā)現(xiàn)問題，也要對此進(jìn)行說明。在新規(guī)定的框架下，上市公司可以結(jié)合公司的業(yè)務(wù)采取更靈活的措施，把注意力集中于更重要的領(lǐng)域，而不是重形式、輕內(nèi)容。



相比于第一年通過法案時的興師動眾，上市公司第二年的遵循工作將遵循減法的原則?！暗谝荒瓴焕斫猓裁炊妓憧刂泣c(diǎn)，會把自己累死的。第二年，公司就要學(xué)會對關(guān)鍵控制點(diǎn)和非關(guān)鍵控制點(diǎn)進(jìn)行區(qū)分?！敝袊藟?04項(xiàng)目組的這位負(fù)責(zé)人總結(jié)說?？梢韵胂?，法規(guī)遵循工作將日益成為一項(xiàng)日常性的管理工作。 (ccw)