萨班斯法案及其对中国IT治理的影响

第一篇：萨班斯法案及其对中国IT治理的影响萨班斯法案及其对中国IT治理的影响来源：CIO时代网萨班斯法案2002年，在安然事件后的一片混乱中，美国颁布了萨班斯一奥克斯利法案（简称“萨班斯法案”）。作为萨班斯法案中最重要的条款之一，404条款明确规定了管理层应承担设立和维持一个应有的内部控制结构的职责。该条款要求上市公司必须在年报中提供内部控制报告和内部控制评价报告；上市公司的管理层和注册会计师都需要对企业的内部控制系统作出评价，注册会计师还必须对公司管理层评估过程以及内控系统结论进行相应的检查并出具正式意见。萨班斯法案不仅给公司财务提出了严格的要求，更是对cio们提出了挑战。国外媒体称，萨班斯法案是2005年CIO最为关注的几件事情之一。美国IT治理协会（ITGovernanceInstitute）发报告指出，法规遵从给CIO带来最少四方面的新挑战：第一，必须加强对内控知识的掌握程度；第二，理解企业遵从萨班斯法的全面计划；第三，推动特定IT控制环节的法规遵从计划；第四，努力使自己所承担的计划融入企业的整体法规遵从计划当中。2我国的相关法规在萨班斯法案生效的2006年，上海证券交易所（2006年6月5日）《上海证券交易所上市公司内部控制指引》、深圳证券交易所（2006年9月28日）《深圳证券交易所上市公司内部控制指引》和香港联交所，都已先后公布了与萨班斯法案类似的相关法规，对上市公司建立内部稽核制度和信息披露要求进行了探讨，也对与财务报告相关的IT控制提出了要求。2006年7月15日，由财政部牵头发起，证监会、国资委共同参与成立的“企业内部控制标准委员会”正式在北京成立，这预示着中国企业也即将面对一部类似美国萨班斯法案的标准体系。在全球公司治理趋同的监管环境下，越来越严格的法规规范是全球化趋势，靠短暂地逃离严厉监管永远不能解决问题。完善公司治理IT治理，完善内部控制不仅是资本市场的要求，更是中国企业国际竞争力的重要要素之一。因此，中国的企业最终也要适应这一游戏规则。2007年5月25日，财政部副部长王军在企业内部控制标准委员会第三次全体会议上的讲话中指出，自2008年起，率先以非正式方式发布基本规范、具体规范以及内部评价规范，并选择在上市公司中试点。在给试点企业和会计师事务所留有相对宽裕的学习期、培训期、试用期和完善期后，根据试点情况对内控规范及其适用范围进行修正，初步设想于2010年以相关部委联合发文的形式，正式发布内部控制规范体系，并在有关企业正式实施。2006年6月国资委公布《中央企业全面风险管理指引》，指引提出具备条件的企业在董事会设风险管理委员会，企业总经理就全面风险管理工作的有效性向董事会负责。《指引》包括中央企业开展全面风险管理工作的总体原则、基本流程等内容，并提出风险管理的目标，包括确保将风险控制在与总体目标相适应并可承受的范围内；确保内外部，尤其是企业与股东之间实现真实、可靠的信息沟通。其中第八章明确提出了建立风险管理信息系统的要求，“已建立或基本建立企业管理信息系统的企业，应补充、调整、更新已有的管理流程和管理程序，建立完善的风险管理信息系统；尚未建立企业管理信息系统的，应将风险管理与企业各项管理业务流程、管理软件统一规划、统一设计、统一实施、同步运行”。此外，确保企业遵守有关法律法规；确保企业有关规章制度和为实现经营目标而采取重大措施的贯彻执行，保障经营管理的有效性；确保企业建立针对各项重大风险发生后的危机处理计划，保护企业不因灾害性风险或人为失误而遭受重大损失。《指引》借鉴了发达国家有关企业风险管理的法律法规、国外先进的大公司在风险管理方面的通行做法，以及国内有关内控机制建设方面的规定，对于中央企业建立健全风险管理长效机制，促进企业稳步发展，防止国有资产流失，保护投资者利益，都具有一定的意义。在“2007大型企业风险管理高层论坛”上国务院国资委副主任邵宁表示，国资委将研究企业全面风险管理评价标准、范围和方法，把对企业风险管理的评价与企业领导层的绩效考核结合，将风险管理作为考核企业领导层的重要内容。加强中央企业全面风险管理是国资委履行出资人职责的一项重要工作，要逐步将风险管理作为考核企业领导人员的重要内容。邵宁同时表示，还要加强责任追究制度，对于没有按照去年6月颁发的《中央企业全面风险管理指引》的要求，重视和开展风险管理的中央企业，再出现重大风险损失事件，要严格追究企业领导人员的责任。要把风险管理工作与董事会试点工作紧密结合。企业管理层至少每年要向董事会提交一份完整的“企业全面风险管理年度工作报告”。国资委在听取董事会工作情况时，要把这一报告作为关注的重点内容。2007年2月国务院信息化工作办公室发布《关于加强中央企业信息化工作的指导意见》（《意见》）的文件。《意见》要