萨班法案挑战CIO的合规责任

作者：

欢迎访问e展厅 展厅 3 CIO信息化管理展厅 电子商务/企业门户, IT运维管理, 制造执行系统MES, 流程管理BPR/BPM, SOA/SaaS/云计算, ... 萨班斯法案不仅促使公司改革财务管理体系，加强内部控制和风险管理，同时也对现有的业务流程和信息系统提出了挑战。 中国企业今后想在美国上市融资，“萨班斯-奥克斯利法案”(Sarbanes-Oxley，下称萨班斯法案)将是一道不可逾越的门槛。目前，已有不少公司为逃避严厉的萨班斯法案，放弃在美国上市，转向其他资本交易市场。对于已经在美国上市的多数中国企业来说，2006年底将是他们应考萨班斯法案的最后期限。届时如果不能通过，上市公司将面临限期摘牌或者声誉下降的命运。 内控加速 2002年，出台于安然公司(Enron)、世通公司(MCI Worldcom)等财务欺诈事件之后的萨班斯法案，被美国总统布什称为“自罗斯福总统以来美国商业界影响最为深远的改革法案。”萨班斯法案要求，上市公司首席执行官(CEO)和首席财务官(CFO)对呈报给美国证券交易委员会(SEC)财务报告的真实合法性负刑事责任。其中404条款特别强调，上市公司必须建立一套完善的内控体系，对每个流程涉及的每个岗位都有详细的说明，并提交内控有效的证明。 ITGov中国IT治理研究中心主任孙强认为，由于中国企业长期缺少内控文化，短时间内要符合如此严格的内控要求，需要付出更多的代价。但不少企业高层并没有真正重视起来。2001年在纽约成功上市的中国铝业股份有限公司(下称中国铝业)，2005年底才开始实施萨班斯法案，加速内控体系的建设。其信息管理部副总经理文欣荣感叹“自此没有一天正点下班过，经常加班到半夜”。 伯灵顿全球有限公司(BAX)(下称伯灵顿)是一家在美国上市的德国公司，最近刚刚通过了萨班斯法案。伯灵顿中国区IT经理朱力认为，萨班斯法案虽然主要针对财务管理，要求保证财务数据的真实性、全面性和及时性；但由于大部分业务流程都通过IT系统完成，如何保证财务数据的真实性、全面性和及时性，也就成了IT部门最大的挑战。 根据该法案的404条款规定，企业必须保留所有与财务相关的信息和流程证据。孙强指出，上市公司财务报表产生的流程大部分依靠信息系统，萨班斯法案不但促使企业完善财务管理机制，还将推动企业从业务流程到信息系统的变革。他认为，如何从内部控制和风险管理出发，实现业务流程和信息系统的结合，是首席信息官(CIO)必须考虑的问题。 但由于中国公司内部各部门各自为政，不同部门处理同一件事有不同的流程，部门和部门之间没有流程衔接等情况比比皆是。IT部门首先需要和业务部门一起梳理流程，否则信息系统根本无法实现对流程的统一管控。中国网通集团有限公司河北省分公司(下称河北网通)企业信息化部门高级工程师屈玉阁这样认为。 中国铝业2004年10月启动企业资源计划(ERP)项目时，已经对业务流程进行了全面的规划和梳理，但实施萨班斯法案的时候，发现离内控的要求还相距甚远。他们又从内审部、业务部和信息部抽派人员组成了“404项目小组”，对所有的流程进行漏洞测试。文欣荣表示：信息系统需要尽可能实现对业务流程的控制，减少监控漏洞。但前提是公司自上而下要建立一个统一清晰的业务流程和管理流程。 但在国内普遍缺少自律的企业文化下，漏洞随处存在。在最近举行的一次业务流程管理论坛上，爱迪斯(上海)软件有限公司(IDS Scheer，下称爱迪斯)副总裁王磊讲了一个故事。某公司上了“销售管理系统”，按照订单履行率对销售人员进行业绩评估。很多销售人员拿到订单后，不是马上输入系统，而是先打一圈电话，确认仓库有货才输入系统，如果缺货，则将订单搁置一旁。最后的结果是每名销售员的订单履行率都很高。 朱力认为，IT部门需要针对流程制订完善的监控体系。当用户的某个行为不符合流程的时候，IT系统可以拒绝甚至报警。对于监控中发现的问题和漏洞，要找到相应的解决方案。在伯灵顿，这是一项从公司高层到下面每名员工都非常重视的工作。当出于业务的需要，要对系统的功能进行修改的时候，IT部门需要遵循严格的更改流程，比如是否得到审批和授权、是否经过内部测试等，并要保留一切更改纪录。 系统安全 爱迪斯高级顾问彭炎最近正在帮一家集团上市公司做萨班斯法案咨询。他认为，由于萨班斯法案要求有效内控的证据，经过信息系统的流程痕迹必须完整保留，一旦信息被修改或者丢失，可能给企业带来巨大的损失。因此，对信息系统的权限和安全管理也至关重要。 从严格的风险控制角度看，所有重要的数据都需要进行异地备份。但屈玉阁表示，“由于耗资巨大，河北网通目前只是建立了故障应急预案。 ” 据介绍，河北网通过去以功能为单位，分别制订了小型机、电源、软件故障的应急预案，现在则以系统为单位建立应急预案，并进行演练，演练控制纪录由领导签字。但这只是权宜之计，屈玉阁表示明年将逐渐加大投资，完善灾备系统。 还有很多看似很细微的问题，也对公司财务信息的安全性产生威胁。按照萨班斯法案要求，为保证访问权限的安全，应用系统的口令最好是六位以上，并且包括字母和数字。但屈玉阁表示，最初建立系统的时候，并没有对软件供应商提出这样的要求。现在要实现这样的需求就必须升级版本，可是时间根本来不及。另外，按照规定，系统的开发人员和维护人员、维护人员和操作人员、操作人员和监控人员都要由不同的人来担任。而现在的情况是，IT部门往往一人身兼数职。如果按照法案的要求，文欣荣粗算中国铝业需要90多人负责所有的信息系统，后来一再精简到20多人，目前整个信息部只有十个人。 文欣荣说，如果没有萨班斯法案，这些要求就可以一步一步慢慢来实现，但是在短时间内要一下子实现，压力非常大。ERP系统全面上线以来，虽然系统相对稳定、运行也基本正常，但文欣荣悬着的心始终不敢放下。他说：“如果信息控制不能过关，整个404项目就不能过关。” IT治理 IT是公司治理的有力工具，但IT项目本身也有巨大的风险。由于IT系统耗资巨大，且对业务影响深远，作为公司治理的一部分，CIO也需要建立一套完整的可供审计的IT治理体系。 今年7月10日，北京市高级人民法院判决的温梦杰贪污案不能不引起企业的警惕。温梦杰在立案之前，是中国农业银行北京市分行科技处处长。科技处的主要职能是负责分行系统计算机和网络系统的技术支持，负责设备、软件的采购。据《新京报》报道，温梦杰从1999年开始，利用职务之便，大量收受采购贿赂，直到2004年才被举报发现。这在一定程度上也说明了IT审计和内控的缺失。 中国中化集团公司(下称中化集团)前不久刚刚花四个月时间，完成了“保证业务连续性”项目。中化集团信息技术部总经理彭劲松认为，IT项目决策的过程，也要按照统一的流程进行。在实施项目之前，他按照COBIT最佳管理实践的框架，把从业务需求到系统购买的每一步决策过程，都依据相应的条款分析确定，并形成文档记录下来，最后才选择相应的产品。确定后的产品采购，由行政部门负责价格谈判。 COBIT(Control Objectives for Information and Related Technology)的中文名称是“信息及相关技术控制目标”，是国际信息系统审计与控制协会(ISACA)制定的一个标准，主要解决“如何度量信息系统质量”这一难点问题。彭劲松表示，严格按照COBIT标准执行，一方面是让决策过程都有案可查，另一方面完全从业务需求出发，避免不必要的浪费和损失。他很自信地说：“今后无论什么样的法规出来，我都可以拿出IT部门内控的证明。” 从应对萨班斯法案来看，这样的控制和治理是非常必要的。从最初的确定项目到产品和服务的选择，再到IT预算的确定，然后到实施效果的评估等都需要建立一套完整的流程和方法。中化集团没有在美国上市，所以彭劲松并没有应对萨班斯法案的压力，但他认为合规是一个趋势，做好IT本身的治理，将以不变应万变。(end)

文章内容仅供参考 (投稿) (如果您是本文作者，请点击此处) (10/20/2006)