企业内控法案让企业管理透明

DoSECU 安全分析 10月14日消息:自从国外的塞班斯法案颁布实施以来,国内版塞班斯法案也加紧脚步面世。企业面临的内控压力将会是信息安全行业的又一个发展机遇。

新中国成立至今,中国的经济、政治、文化等多方面都发生了很大变化,法律体系的建设也一直在不断地改进。自1979年至2007年10月底,全国人大及其常委会共制定了现行有效的法律220余件。回首新中国成立后颁布的众多法律,我们看到,新中国成立初期,中国出现了一个立法的高潮时期。新的国家诞生,百废待兴,很多领域都亟待用法律来约束和管理,到了2005年,中国又再次出现了一个小的立法高潮,初步统计,仅2005年一年就颁布了39项大大小小的法律。

2008年2月26日,十届全国人大常委会在京召开最后一次会议。数据显示,十届全国人大常委会审议通过的法律草案中,属修改法律的超过一半;五年来,国务院共制定修改行政法规137件,其中修改的占六成。有了早期建立的一系列法律作基础,近年来,中国已经从建法转向了修法。

党的十五大提出,加强立法工作,提高立法质量,到2010年形成中国特色社会主义法律体系。于是在这样的方针指导下,加之国际环境的变化,最近中国又出现了一些新的法律。《企业内部控制基本规范》因此应运而生。

塞班斯给企业上紧箍咒

2002年,美国国会通过了针对上市公司财务和公司治理的《塞班斯法案》(Sarbanes-Oxley Act,简称SOX法案或塞班斯法案)。

萨班斯•奥克斯利法案(Sarbanes-OxleyAct),起源于美国安然公司倒闭后引起的美国股市剧烈动荡,投资人纷纷抽逃资金。为防止和保证上市公司财务丑闻不再发生,由美国参议员Sarbanes和美国众议员Oxley联合提出了一项法案,该法案即以他们的名字命名。

萨班斯•奥克斯利法案中,针对上市公司CEO(首席执行官)和CFO(首席财务官)有两条严格规定:一是要求上市公司CEO和CFO保证向SEC(美国证监会)提交的财务报告真实可靠;另一条是,要求上市公司CEO作出与财务相关的内控有效的声明。

业界纷纷表示,给予他们最大压力的是萨班斯法案302、404条款。两条款对上市公司管理层在财务审计报表方面提出了很多严格的要求。由于众多企业表示不堪重负,纽约证券交易所集团CEO约翰•赛恩透露,针对"404条款"中有关内控的部分,美国证监会近期内将会宣布对具体实施办法做一些新的调整,从而降低有关内控成本,为此众多企业拍手称快。

中外塞班斯法案之比较

塞班斯法案实施7年以来,国内也将颁布这方面的相关规范,一方面为了规范国内企业管理很审计,另一方面也为何国际接轨。在笔者看来,这样做也能让欲在国外上市的一些企业走过一个良好的过渡时期。

国内的《企业内部控制基本规范》原定2009年7月1起执行,但是迫于经济下滑的影响以及多方面准备的不成熟,推迟到2010年1月1日执行。2010年年底,执行企业要出具内控自我评价报告。执行范围也缩小到境外上市公司,之后再扩大到国内上市公司及其它大型企业。

据专家分析,延期的原因,一是企业的准备工作还不足,有大量工作要做;二是企业执行成本比较大,在经济危机时期形势尤其严峻。直接影响的将是上市公司,而非上市公司则可按照此规范进行管理。

内控规范中对风险评估、信息沟通和审计都做了具体的要求和说明。规范全文6千多字,共分为7章。除总则和附则以外,分别对企业内部环境、风险评估、控制活动、信息与沟通和内部监督进行了规范。其中多条规范涉及IT运维和管理。

也许仅仅是一部规范的缘故,也许是为了帮助中国企业平稳度过一个过渡时期,《企业内部控制基本规范》不像塞班斯法案那样,让人觉得那么严厉。中国版塞班斯法案则给人感觉在引导企业走上正轨。

早年上市的中国移动集团的经历就给了我们这方面的体会,中国移动集团是在美国上市的公司之一,按照规定必须遵循塞班斯法案关于数据和文档安全管理的规定。为此,中国移动集团从2007年开始对全国31个省、直辖市、自治区和集团总部开始实施"文档安全管理系统"。中国移动在全国有近10万终端,通过文档加密和权限管理的文件管理系统,实现数据和文档的安全。

今后受内控规范约束的企业也将逐步实现管理的合规。当然无论如何,有了这样一个规范的出台对于执行企业管理层来说都不是愉快的事情,但是对于中国企业走向世界则是获益匪浅,对于信息安全和数据安全市场来说,无疑又形成了一个不小的发展机遇。