你或许认为如此风声鹤唳是否有些过?实际上很有必要。不知是否记得去年在《京华时报》上有篇报道,题为《工程师侵入北京移动 盗上万密码》。在5个月的时间里,软件研发工程师程稚瀚利用互联网4次侵入北京移动充值中心数据库,盗取充值卡密码并通过淘宝网出售,共获利370余万元。
北京移动发生的网上盗窃通信公司资费案,暴露出IT控制环境和信息监控的薄弱,这正反映了企业在IT治理和精确化管理上的缺失,反映了中国企业在完善信息系统审计机制,建立事前预防控制、事后检查控制等细节上的问题。其实,信息安全暴露的问题只反映了企业IT治理严峻形势的冰山一角。可见如何通过IT手段来实现整个企业内部管理的精确化,将公司内部的管控建立在规范化、标准化、低成本和低风险的基础上?如何建立务实推进信息化战略的长效机制?如何进行信息化绩效考评是我们迫切需要解决的问题,同时也一直是困扰很多企业CIO和CEO的难题。
那么我们还是先简要了解一下《萨班斯法案》吧。
2002年连续发生“安然”、“世界通讯”等财务欺诈事件,对国际投资市场造成了重大损害之后,美国国会出台了《2002年公众公司会计改革和投资者保护法案》。该法案由美国众议院金融服务委员会主席奥克斯利和参议院银行委员会主席萨班斯联合提出,又被称作《2002年萨班斯-奥克斯利法案》(简称《萨班斯法案》或《SOX法案》)。法案对美国《1933年证券法》、《1934年证券交易法》作了不少修订,在会计职业监管、公司治理、证券市场监管等方面制定诸多新规定。
目前所有在美国上市的公司,包括在美国注册的上市公司和外国注册在美国上市的公司,都必须遵守。法案甚至规定,公司首席执行官和首席财务官必须对财务报告的真实性宣誓;提供不实财务报告的,可能被处以10年或20年监禁——这和美国持枪抢劫的最高刑罚相同。
“萨班斯法案”的主要内容包括:设立独立的上市公司会计监管委员会,负责监管执行上市公司审计的会计师事务所;特别加强执行审计的会计师事务所的独立性;特别强化了公司治理结构并明确了公司的财务报告责任及大幅增强了公司的财务披露义务;大幅加重了对公司管理层违法行为的处罚措施;增加经费拨款,强化美国证券交易委员会(SEC)的预算以及职能。
该法案404条款规定,上市企业必须保证公司管理层建立和维护内部控制系统及相应控制程序充分有效的责任体系,同时提供管理层最近财年对内部控制体系及控制程序有效性的证明及内控机制评价报告。