亚洲av无码av中文av日韩av,日韩精品福利影视,秋霞露脸精品视频,美熟妇中文字幕在线,变形金刚小说,pdf电子书,酒徒小说

被喻為“瘋狂法律”的薩班斯法案,猶如懸在中國(guó)“國(guó)際化”企業(yè)頭上的達(dá)摩克利斯之劍。7月5日，中國(guó)第一家海外上市公司華晨中國(guó)汽車(chē)控股有限公司宣布，不堪薩班斯法案高昂的遵循成本，從美國(guó)紐約證券交易所退市
。在法規(guī)遵循的大趨勢(shì)下，用IT系統(tǒng)幫助企業(yè)符合薩班斯法案的要求和在薩班斯法案中尋找IT的商機(jī)，是眼下業(yè)界熱衷討論的問(wèn)題。



然而——



7月5日，中國(guó)第一家海外上市公司——華晨中國(guó)汽車(chē)控股有限公司從美國(guó)紐約證券交易所退市了！



一位在美國(guó)上市的中國(guó)公司的財(cái)務(wù)管理人員告訴記者，讓華晨不堪重負(fù)的，正是為了遵循《薩班斯—奧克斯利法案》（簡(jiǎn)稱(chēng)薩班斯法案）而不得不向?qū)徲?jì)公司支付的巨額咨詢(xún)、審計(jì)費(fèi)用，以及高昂的內(nèi)部遵循成本。與這筆支出相比，華晨在紐約交易所融到的資金卻非常有限。



這邊是退市，那邊卻是歡慶通過(guò)薩班斯法案。僅今年上半年，就先后有華能?chē)?guó)際電力股份有限公司、中國(guó)網(wǎng)通集團(tuán)(香港)有限公司、中國(guó)人壽保險(xiǎn)股份有限公司、中國(guó)石油天然氣股份有限公司等大型企業(yè)通過(guò)了薩班斯法案。



然而，同樣是通過(guò)薩班斯法案，各公司不僅實(shí)施的成本不同，對(duì)IT手段的依賴(lài)程度也各不相同。有的企業(yè)除了已有的IT系統(tǒng)外，并沒(méi)有為薩班斯法案采購(gòu)新的IT設(shè)備，而是通過(guò)人工的手段完成控制點(diǎn)的文檔收集和整理；有的企業(yè)則采用了一些基本的協(xié)同工具，分擔(dān)一部分人力工作。



慧點(diǎn)科技商業(yè)流程與控制事業(yè)部總經(jīng)理吳大軍指出，如何利用IT系統(tǒng)來(lái)幫助企業(yè)符合薩班斯法案的要求，也正是企業(yè)頭疼的問(wèn)題?！暗谝荒攴ㄒ?guī)遵循的時(shí)候，首先解決的是從0到1的問(wèn)題，企業(yè)為了通過(guò)薩班斯法，甚至直接讓咨詢(xún)公司采用手工的方式先把報(bào)告交出來(lái)。如今，企業(yè)已經(jīng)有時(shí)間來(lái)思考，到底怎么利用IT工具提高效率?！边@位人士表示。



漸顯IT“智障”



缺乏內(nèi)控的IT系統(tǒng)，是中國(guó)企業(yè)在遵循薩班斯法案過(guò)程中所遇到的最大挑戰(zhàn)。中國(guó)企業(yè)IT系統(tǒng)重建設(shè)、輕維護(hù)的老傳統(tǒng)，使得IT系統(tǒng)不能完整實(shí)現(xiàn)其管理功能，在業(yè)務(wù)與IT密不可分的趨勢(shì)下，傳統(tǒng)IT系統(tǒng)漸顯“弱智”。



如果有人告訴你，中國(guó)企業(yè)在遵循薩班斯法案過(guò)程中，遇到最大的挑戰(zhàn)是IT系統(tǒng)，你是否會(huì)非常驚訝？



2002 年7 月通過(guò)的薩班斯法案本意是促使在美國(guó)上市的公司通過(guò)加強(qiáng)內(nèi)部控制，來(lái)改進(jìn)自己的治理狀況，提高治理水平，恢復(fù)投資者對(duì)美國(guó)資本市場(chǎng)的信心。一般來(lái)說(shuō)，薩班斯法案會(huì)涉及公司層面、業(yè)務(wù)流程及IT管理3大方面。



“信息化投資占企業(yè)整體投資的比例越來(lái)越大，企業(yè)中越來(lái)越多的業(yè)務(wù)流程都建立在IT系統(tǒng)之上，管理業(yè)務(wù)就是管理IT，兩者不可割裂?！盜TGov中國(guó)IT治理研究中心專(zhuān)家孟秀轉(zhuǎn)表示。但她同時(shí)指出，在任何一家公司里，財(cái)務(wù)控制都是管理的重頭，相關(guān)的規(guī)章制度也非常嚴(yán)格，而IT內(nèi)控更是很缺乏，面臨的挑戰(zhàn)也要大得多。



2005年初，在美國(guó)紐約證券交易所上市的中國(guó)人壽保險(xiǎn)股份有限公司啟動(dòng)了薩班斯法案遵循工作?！爱?dāng)時(shí)的現(xiàn)狀很不樂(lè)觀?！敝袊?guó)人壽薩班斯法案404項(xiàng)目組的一位負(fù)責(zé)人這樣評(píng)價(jià)。中國(guó)人壽2005年的年度報(bào)告顯示，根據(jù)香港準(zhǔn)則與美國(guó)公認(rèn)會(huì)計(jì)準(zhǔn)則統(tǒng)計(jì)的數(shù)字出現(xiàn)了重大差異，作為外審機(jī)構(gòu)的普華道，也指出了中國(guó)人壽與信息系統(tǒng)相關(guān)聯(lián)的實(shí)質(zhì)性漏洞。



導(dǎo)致這個(gè)漏洞的主要原因，就是IT系統(tǒng)的集中管理程度不夠。中國(guó)人壽信息技術(shù)部項(xiàng)目管理處的一位負(fù)責(zé)人解釋說(shuō)，這與中國(guó)人壽總部信息技術(shù)部一直立足于服務(wù)的角色定位有關(guān)，而按照薩班斯法案的要求，信息技術(shù)部更應(yīng)側(cè)重于管理，包括加大對(duì)分公司信息系統(tǒng)、系統(tǒng)建設(shè)、運(yùn)維、數(shù)據(jù)等集中管理的力度，降低分散管理隱含的風(fēng)險(xiǎn)。



2005年，中國(guó)人壽制定了一份《信息技術(shù)管理制度》?！斑@是一件開(kāi)歷史先河的事情?！?04項(xiàng)目組的負(fù)責(zé)人表示。以往，中國(guó)人壽并不是沒(méi)有IT方面的制度，但是相關(guān)的制度很零散，如分別面向防火墻、IT采購(gòu)、安全備份等方面的。而這套新制度涵蓋了IT的各方面，梳理出了公司應(yīng)該具備的流程和控制點(diǎn)。這個(gè)管理制度解決了管控范圍、管控思路以及管控標(biāo)準(zhǔn)的問(wèn)題，只要達(dá)到這些控制點(diǎn)，至少能保證不會(huì)出錯(cuò)。



“外審公司披露的漏洞對(duì)中國(guó)人壽的幫助還是很大的，我們?cè)噲D從中理解外審做出這樣評(píng)價(jià)的意圖，從而分析外審會(huì)更注意哪些問(wèn)題，這些經(jīng)驗(yàn)也為公司2006年年報(bào)的順利過(guò)關(guān)提供了經(jīng)驗(yàn)。”該負(fù)責(zé)人表示。



當(dāng)然，從理論上來(lái)說(shuō)，全國(guó)數(shù)據(jù)大集中的實(shí)現(xiàn)是這個(gè)漏洞的終極解決方案。因?yàn)橐坏┐蠹?，公司總部就能從?shù)據(jù)層面掌控所有資源，把管理風(fēng)險(xiǎn)從分散的地方完全集中到總部。據(jù)了解，中國(guó)人壽計(jì)劃在全國(guó)建立南北兩大數(shù)據(jù)中心，目前選址已經(jīng)完成，正在進(jìn)行前期籌備工作。



今年3月底通過(guò)薩班斯法案的中海油，同樣面臨著IT治理和IT控制這個(gè)新問(wèn)題的挑戰(zhàn)?！拔覀儎傞_(kāi)始做薩班斯法案遵從的時(shí)候，并沒(méi)有把IT當(dāng)成非常復(fù)雜的工作，做了以后才發(fā)現(xiàn)，薩班斯對(duì)國(guó)企IT的管控架構(gòu)產(chǎn)生了很大影響?！敝袊?guó)海洋石油有限公司薩班斯法案404實(shí)施項(xiàng)目組的一位負(fù)責(zé)人如是說(shuō)。



讓他印象最深的有一點(diǎn)：過(guò)去IT系統(tǒng)往往重建設(shè)、輕維護(hù)。過(guò)去員工使用IT系統(tǒng)的時(shí)候，往往認(rèn)為，“誰(shuí)建的系統(tǒng)誰(shuí)負(fù)責(zé)”，而一些系統(tǒng)管理員擁有超乎一切的權(quán)限，成為IT系統(tǒng)里的“領(lǐng)導(dǎo)”；實(shí)際上，根據(jù)職責(zé)不相容的原則，IT系統(tǒng)的應(yīng)用層和后臺(tái)管理必須嚴(yán)格分開(kāi)。



以前，中國(guó)人壽的IT人員較欠缺，尤其在分公司層面，往往會(huì)出現(xiàn)一個(gè)人兼數(shù)崗的情況，從開(kāi)發(fā)、應(yīng)用，到運(yùn)維、硬件管理都要負(fù)責(zé)。根據(jù)薩班斯法案404內(nèi)控的要求，數(shù)據(jù)庫(kù)、操作系統(tǒng)可以是一個(gè)人負(fù)責(zé)，但是應(yīng)用系統(tǒng)與數(shù)據(jù)庫(kù)管理員這樣的前臺(tái)操作和后臺(tái)管理一定不能是同一個(gè)人。否則應(yīng)用系統(tǒng)維護(hù)人員修改數(shù)據(jù)時(shí)，又能從后臺(tái)數(shù)據(jù)庫(kù)的行為日志里清除數(shù)據(jù)，從而增加了很多風(fēng)險(xiǎn)。



搬走“絆腳石”



根據(jù)薩班斯法案的要求，參照COSO模型和COBIT框架進(jìn)行整改，是在美上市企業(yè)無(wú)法回避的選擇。中海油和中國(guó)人壽搬走“絆腳石”的方法不盡相同，但殊途同歸，借助IT系統(tǒng)的強(qiáng)制性，來(lái)規(guī)范管理。



雖然薩班斯法案直指的是財(cái)務(wù)報(bào)告的真實(shí)、準(zhǔn)確，但是很多公司的財(cái)務(wù)報(bào)告流程都是由IT系統(tǒng)驅(qū)動(dòng)的?？梢哉f(shuō)，IT是保證財(cái)務(wù)報(bào)告內(nèi)部控制的有效性的基礎(chǔ)，IT的控制至關(guān)重要。



這也是很多在美上市公司根據(jù)薩班斯法案的要求進(jìn)行整改時(shí)，參照COSO模型和COBIT框架的原因。參照COSO框架很好理解，因?yàn)樗刂骗h(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息交流、監(jiān)督等5項(xiàng)要素，已經(jīng)成為世界通用的內(nèi)部控制權(quán)威文獻(xiàn)。



而COBIT（Control Objectives for Information and related Technology，信息及相關(guān)技術(shù)的控制目標(biāo))很明顯是一個(gè)IT治理的框架。問(wèn)世11年的COBIT，從規(guī)劃與組織、采集與實(shí)施、交付與支持、監(jiān)控4個(gè)方面確定了34個(gè)處理過(guò)程以及318個(gè)詳細(xì)控制目標(biāo)，并能將IT流程、IT資源及信息與企業(yè)的策略與目標(biāo)聯(lián)系起來(lái)，在企業(yè)業(yè)務(wù)戰(zhàn)略指導(dǎo)下，對(duì)信息及相關(guān)資源進(jìn)行規(guī)劃與處理。



我們從中可以看出，COSO與COBIT的映射關(guān)系。這些現(xiàn)成的流程和框架有助于中國(guó)公司初步梳理出流程，外審公司會(huì)幫助做一個(gè)控制矩陣。中國(guó)人壽把這個(gè)控制矩陣與公司的制度做了映射，明確指出一個(gè)控制點(diǎn)應(yīng)該對(duì)應(yīng)制度的哪些條款，并從2006年初開(kāi)始在全國(guó)大力擴(kuò)展。



中海油為了薩班斯法案的遵循工作，采用了IBM的WBCR系統(tǒng)。這個(gè)2005年開(kāi)始建的系統(tǒng)，于去年7月通過(guò)驗(yàn)收。項(xiàng)目小組把它當(dāng)做一個(gè)文檔管理、數(shù)據(jù)管理、測(cè)試結(jié)果集中的平臺(tái)，能夠?qū)σ粋€(gè)項(xiàng)目組的工作起到協(xié)同的作用?！拔覀兛梢园芽刂?、風(fēng)險(xiǎn)都放在同一個(gè)系統(tǒng)中，比如哪些控制點(diǎn)需要測(cè)試、什么時(shí)間測(cè)試的、測(cè)試的結(jié)果如何。否則，我們可能還在用EXCEL表格，那樣至少需要1～2個(gè)人專(zhuān)門(mén)進(jìn)行文檔更新等工作?！逼漤?xiàng)目組的一位負(fù)責(zé)人表示。



目前中國(guó)人壽還沒(méi)有進(jìn)行額外的IT采購(gòu)以應(yīng)對(duì)薩班斯法案，但這并不表明中國(guó)人壽沒(méi)有考慮這個(gè)問(wèn)題。



“從2005年開(kāi)始，我們就有了這樣的想法，即最好是通過(guò)一個(gè)IT管理平臺(tái)實(shí)現(xiàn)流程的自動(dòng)化管理，覆蓋發(fā)起、辦理、審批、評(píng)估、定期抽樣檢查這樣一個(gè)工單處理的全過(guò)程，這與紙質(zhì)管理將完全是兩個(gè)概念。”中國(guó)人壽404項(xiàng)目小組的某位負(fù)責(zé)人表示。這個(gè)自動(dòng)化管理，被中國(guó)人壽稱(chēng)為ITI，也就是IT系統(tǒng)自己的信息化，已從今年開(kāi)始正式啟動(dòng)。



當(dāng)然，美國(guó)企業(yè)在IT采購(gòu)上行動(dòng)得更早，比如購(gòu)買(mǎi)Movaris公司的Certainty法規(guī)遵從工具。AMR研究公司的分析師John Hagerty說(shuō)，購(gòu)買(mǎi)404條款法規(guī)遵從跟蹤工具平均需要花費(fèi)10萬(wàn)～15萬(wàn)美元。



那么，類(lèi)似的IT工具和IT系統(tǒng)能夠給企業(yè)帶來(lái)什么好處呢？



首先，公司的管理將更加規(guī)范。一項(xiàng)管理的內(nèi)容，從公司的總部傳達(dá)到各省分公司，再到各地市級(jí)公司，最后落實(shí)到一個(gè)個(gè)具體的人，中間將跨越眾多環(huán)節(jié)，也很容易發(fā)生管理的失效。采用信息系統(tǒng)則能把所有的管理都固化下來(lái)，如果下一級(jí)機(jī)構(gòu)不按照這個(gè)流程去做，就沒(méi)有辦法進(jìn)行下去。在IT系統(tǒng)的強(qiáng)制下，管理會(huì)更加規(guī)范。



其次，公司的效率將得到提高?！爸袊?guó)人壽全國(guó)35個(gè)省級(jí)分公司，加上總部一共是36個(gè)點(diǎn)，每個(gè)點(diǎn)需要2～3人。這些人需要檢測(cè)每個(gè)控制點(diǎn)是否都具有支撐性文檔、控制是否有效，一次管理層測(cè)試就要耗時(shí)2～4周?！敝袊?guó)人壽404小組的某位負(fù)責(zé)人表示。



如果沒(méi)有IT工具做支撐，工作人員必須用手工翻閱的原始的紙質(zhì)文檔。上了信息系統(tǒng)之后，信息可以分門(mén)別類(lèi)地在信息系統(tǒng)中管理起來(lái)，能夠方便地查詢(xún)和調(diào)用。企業(yè)還可以對(duì)不同人的權(quán)限加以區(qū)分，有效地提升企業(yè)的管理效率。



第三，有利于公司的整改。企業(yè)在遵循薩班斯法案的過(guò)程中，首先要將公司內(nèi)部控制的現(xiàn)狀和外審公司給出的目標(biāo)進(jìn)行對(duì)比，并從有問(wèn)題的流程入手進(jìn)行整改。然而，導(dǎo)致公司某個(gè)流程出現(xiàn)問(wèn)題的原因有兩方面，一是公司原來(lái)流程的設(shè)計(jì)有問(wèn)題，二是員工的執(zhí)行力過(guò)弱，導(dǎo)致控制結(jié)果沒(méi)有達(dá)到預(yù)期。



在過(guò)去，一個(gè)問(wèn)題從它發(fā)生的節(jié)點(diǎn)反饋到業(yè)務(wù)部門(mén)，至少需要一個(gè)月的時(shí)間，而采用信息系統(tǒng)以后，管理人員只要擁有權(quán)限，就能隨時(shí)查看，到底是哪里出現(xiàn)了缺陷，并針對(duì)性地采取措施。



關(guān)鍵在“人”



遵循薩班斯法案的內(nèi)控要求，即使采用了IT系統(tǒng)和IT工具，相關(guān)的文檔、日志也在系統(tǒng)里保留下來(lái)，但最后還需要人去對(duì)這些信息進(jìn)行深層次的挖掘。因此在企業(yè)內(nèi)控的人、技術(shù)、流程3大因素中，核心因素在“人”。



“很多企業(yè)第一年做薩班斯，往往關(guān)注硬性指標(biāo)，如定制度、買(mǎi)設(shè)備、定流程，甚至寄希望于一套設(shè)備幫忙固化流程。然而，如果人沒(méi)有風(fēng)險(xiǎn)意識(shí)，這些東西都是白搭?！盜TGov中國(guó)IT治理研究中心專(zhuān)家孟秀轉(zhuǎn)說(shuō)。



因此，她格外強(qiáng)調(diào)控制環(huán)境的重要性。中海油的思路與她的觀點(diǎn)不謀而合?！捌鋵?shí)404的實(shí)施標(biāo)準(zhǔn)并不是審計(jì)師來(lái)制定的，而是取決于公司管理層的認(rèn)識(shí)。”中海油薩班斯法案404實(shí)施項(xiàng)目組的一位負(fù)責(zé)人說(shuō)。比如一項(xiàng)工作應(yīng)該由誰(shuí)來(lái)審批，這些內(nèi)容都是公司決定的，一般外審會(huì)給出建議，如果這么做，可能存在怎樣的風(fēng)險(xiǎn)，但是最終對(duì)風(fēng)險(xiǎn)進(jìn)行認(rèn)定和分析的還是公司。



中國(guó)人壽薩班斯法案404項(xiàng)目組的某位負(fù)責(zé)人認(rèn)為，薩班斯法案帶來(lái)的最大改變，就是很多工作都需要審批。這使得以前那種以工作內(nèi)容為中心的工作流程，變成了規(guī)范而一致的辦公流程。以往，領(lǐng)導(dǎo)安排一項(xiàng)工作可能只需要口頭通知或者EMAIL通知，如今卻必須按照相關(guān)的流程，說(shuō)明布置這項(xiàng)工作的理由，受理該工作者必須簽字確認(rèn)。



記者在采訪(fǎng)過(guò)程中，深刻地感覺(jué)到薩班斯法案改變了公司員工遵守內(nèi)控制度的態(tài)度。一位受訪(fǎng)者要求記者的稿件發(fā)表之前，必須接受公司相關(guān)部門(mén)的確認(rèn)，“這個(gè)流程是我們項(xiàng)目組提出來(lái)的，如果不這么做，就是在這個(gè)控制點(diǎn)上出現(xiàn)了內(nèi)控失效?！?



這也正是孟秀轉(zhuǎn)反復(fù)強(qiáng)調(diào)的，“在企業(yè)內(nèi)部控制中，在人、技術(shù)、流程三大因素中，人是最主要的因素?！奔词共捎昧艘恍㊣T系統(tǒng)和IT工具，相關(guān)的文檔、日志也在系統(tǒng)里保留下來(lái)了，最后還需要人去對(duì)這些信息進(jìn)行深層次的挖掘，包括問(wèn)題在哪里，是流程的問(wèn)題還是執(zhí)行的問(wèn)題，這些都只有人才能判斷。



專(zhuān)家們認(rèn)為，遵循薩班斯法案的巨額資金投入中，比例最大的其實(shí)是支付給咨詢(xún)公司和審計(jì)公司的費(fèi)用，而不是IT投資和IT內(nèi)控上的費(fèi)用。在這些投入中，除了資金、人力成本外，還包括公司上上下下的工作人員為配合404項(xiàng)目的工作而付出的工時(shí)，這些潛在的成本會(huì)更大。



“其中一部分成本投入，如備份體系的建立、安全措施的整改、人員補(bǔ)充等，是有利于企業(yè)發(fā)展的，我們叫良性增長(zhǎng)。但是還有一些屬于現(xiàn)有工作外的額外工作，如整改、流程明確、管理層測(cè)試等帶來(lái)的人員、成本投入，數(shù)量也相當(dāng)大?！敝袊?guó)人壽404項(xiàng)目組的某位負(fù)責(zé)人表示。



而這部分不屬于“良性增長(zhǎng)”的成本投入，正成為很多公司抵觸薩班斯法案的原因。在吸取了上市公司和審計(jì)公司的意見(jiàn)之后，今年上半年，美國(guó)證券交易委員會(huì)（SEC）通過(guò)了一份新的財(cái)務(wù)報(bào)告內(nèi)部控制管理層評(píng)估指南，美國(guó)公眾公司會(huì)計(jì)監(jiān)督委員會(huì)（PCAOB）也通過(guò)了審計(jì)準(zhǔn)則第五號(hào)，以替代原來(lái)的審計(jì)準(zhǔn)則第二號(hào)文件。



這兩個(gè)調(diào)整，也被業(yè)界認(rèn)為是薩班斯法案的有利變化。具體來(lái)說(shuō)，新的第五號(hào)準(zhǔn)則要求審計(jì)師采用從上到下的、風(fēng)險(xiǎn)導(dǎo)向的方法，引導(dǎo)上市公司將精力集中于那些可能導(dǎo)致重大錯(cuò)報(bào)的領(lǐng)域。而新的評(píng)估指南則指出，審計(jì)師不一定需要對(duì)管理層內(nèi)部控制評(píng)價(jià)程序的恰當(dāng)性發(fā)表意見(jiàn)。



以往判斷一個(gè)公司內(nèi)控有效的前提，就是審計(jì)師通過(guò)管理層評(píng)估來(lái)判斷這一公司的內(nèi)控運(yùn)作是否有效。如果管理層評(píng)估的結(jié)果不好，就算審計(jì)師沒(méi)有發(fā)現(xiàn)問(wèn)題，也要對(duì)此進(jìn)行說(shuō)明。在新規(guī)定的框架下，上市公司可以結(jié)合公司的業(yè)務(wù)采取更靈活的措施，把注意力集中于更重要的領(lǐng)域，而不是重形式、輕內(nèi)容。



相比于第一年通過(guò)法案時(shí)的興師動(dòng)眾，上市公司第二年的遵循工作將遵循減法的原則。“第一年不理解，什么都算控制點(diǎn)，會(huì)把自己累死的。第二年，公司就要學(xué)會(huì)對(duì)關(guān)鍵控制點(diǎn)和非關(guān)鍵控制點(diǎn)進(jìn)行區(qū)分?！敝袊?guó)人壽404項(xiàng)目組的這位負(fù)責(zé)人總結(jié)說(shuō)。可以想像，法規(guī)遵循工作將日益成為一項(xiàng)日常性的管理工作。 (ccw)