乍一看，薩班斯法案對(duì)國(guó)內(nèi)IT企業(yè)帶來(lái)的商機(jī)并不太大。畢竟截止到目前，在美國(guó)紐約證券交易所和納斯達(dá)克兩地上市的中國(guó)公司不過(guò)80家左右，可以說(shuō)是一個(gè)小眾市場(chǎng)。

然而，Thomson Financial的數(shù)據(jù)顯示，今年在美國(guó)進(jìn)行首次公開(kāi)募股(IPO)的中國(guó)公司已經(jīng)達(dá)到了10家，遠(yuǎn)高于去年的7家，也突破了創(chuàng)下最高紀(jì)錄的2004年的9家。同時(shí)，2007年美國(guó)上市的外國(guó)公司中，中國(guó)公司數(shù)量是最多的。

不僅在美國(guó)上市的中國(guó)公司數(shù)量呈增長(zhǎng)態(tài)勢(shì)，中國(guó)的上交所、深交所以及政府相關(guān)部門(mén)也正在出臺(tái)措施，督促企業(yè)加強(qiáng)內(nèi)控。這樣，上市公司必須考慮，如何采取有效的工具和手段，以最低的成本，達(dá)到公司內(nèi)部控制的有效與合規(guī)。這個(gè)市場(chǎng)的成長(zhǎng)性隱約可見(jiàn)。

嚴(yán)格監(jiān)管的大趨勢(shì)

“如果把薩班斯法案看做是一場(chǎng)考試，一般人應(yīng)對(duì)考試有兩種措施，一種是只練習(xí)考試要考查的內(nèi)容，不考的就不練，還有一種方法，就是全面增強(qiáng)自己的能力，這樣無(wú)論考什么內(nèi)容都能通過(guò)?！敝袊?guó)石油化工股份有限公司信息系統(tǒng)管理部副總工程師吳正宏表示。在他看來(lái)，中石化不是為了通過(guò)外審而去做加強(qiáng)內(nèi)控管理的工作的，更希望借此強(qiáng)化內(nèi)部管理。

去年6月5日，上海證券交易所率先發(fā)布了《上海證券交易所上市公司內(nèi)部控制指引》，對(duì)上市公司建立健全和有效實(shí)施內(nèi)部控制制度提供了原則性指導(dǎo)，明確了公司董事會(huì)對(duì)公司內(nèi)控制度所負(fù)的責(zé)任，并要求上市公司從2006年年度報(bào)告起，披露內(nèi)部控制自我評(píng)估報(bào)告和會(huì)計(jì)師事務(wù)所對(duì)自我評(píng)估報(bào)告的核實(shí)評(píng)價(jià)意見(jiàn)。

表面上看，指引所規(guī)定的內(nèi)容已經(jīng)與薩班斯法案404條款的要求非常接近了，只是在標(biāo)準(zhǔn)的嚴(yán)厲程度上有所差異。

除此之外，國(guó)務(wù)院、財(cái)政部、國(guó)資委、證監(jiān)會(huì)等國(guó)家有關(guān)部門(mén)也相繼出臺(tái)了以加強(qiáng)企業(yè)內(nèi)控為目的的政策。去年7月，財(cái)政部聯(lián)合證監(jiān)會(huì)、國(guó)資委、審計(jì)署、銀監(jiān)會(huì)、保監(jiān)會(huì)等部門(mén)成立了企業(yè)內(nèi)部控制標(biāo)準(zhǔn)委員會(huì)，財(cái)政部還在今年4月公布了《企業(yè)內(nèi)部控制規(guī)范（征求意見(jiàn)稿）》。據(jù)悉，企業(yè)內(nèi)部控制標(biāo)準(zhǔn)委員會(huì)正在著手探索以政府部門(mén)為引導(dǎo)、廣大企業(yè)主動(dòng)參與的內(nèi)部控制實(shí)施體系。

同樣是去年，國(guó)資委公布了《中央企業(yè)全面風(fēng)險(xiǎn)管理指引》，提出風(fēng)險(xiǎn)管理的總體目標(biāo)，包括編制和提供真實(shí)、可靠的財(cái)務(wù)報(bào)告，確保將風(fēng)險(xiǎn)控制在與總體目標(biāo)相適應(yīng)并可承受的范圍內(nèi)。

慧點(diǎn)科技對(duì)市場(chǎng)空間持非常樂(lè)觀的態(tài)度，“據(jù)預(yù)測(cè)今年在納斯達(dá)克上市的國(guó)內(nèi)企業(yè)將有20家，這是一個(gè)很龐大的數(shù)據(jù)?！被埸c(diǎn)科技商業(yè)流程與控制事業(yè)部總經(jīng)理吳大軍告訴記者，此外，慧點(diǎn)科技還根據(jù)國(guó)家各部委出臺(tái)的文件能夠覆蓋的企業(yè)數(shù)量進(jìn)行了預(yù)估，“國(guó)資委的文件能夠覆蓋約150家，證監(jiān)會(huì)的文件大約覆蓋1400家，財(cái)政部政策的覆蓋面就更廣了”，而這些呈現(xiàn)出增長(zhǎng)趨勢(shì)的市場(chǎng)，都是象慧點(diǎn)科技這樣的IT工作流工具企業(yè)預(yù)期的市場(chǎng)。

IT企業(yè)嗅到商機(jī)

麥肯錫2002年的一項(xiàng)調(diào)查顯示，機(jī)構(gòu)投資者在做投資決策時(shí)，公司治理水平和財(cái)務(wù)表現(xiàn)是兩項(xiàng)同等重要的標(biāo)準(zhǔn)，而那些有良好公司治理和內(nèi)控措施的公司的股價(jià)表現(xiàn)會(huì)比同行高出12～14%。也就是說(shuō)，雖然監(jiān)管越來(lái)越嚴(yán)格，但是上市公司的投資者對(duì)這種監(jiān)管表現(xiàn)出了歡迎。

“目前IT廠商在薩班斯法案遵循中做的工作并不多，但是企業(yè)第一年通過(guò)之后，企業(yè)的關(guān)注點(diǎn)就會(huì)轉(zhuǎn)移到怎樣把流程與企業(yè)信息系統(tǒng)的建設(shè)結(jié)合起來(lái)、怎樣把IT系統(tǒng)與企業(yè)內(nèi)部管理統(tǒng)一起來(lái)，這其中蘊(yùn)含著一些商機(jī)?！眳钦瓯硎?。

在達(dá)成這些目標(biāo)的過(guò)程中，可能會(huì)涉及流程管理、建模工具、工作流的使用。大企業(yè)的流程成千上萬(wàn)，工作流工具可以保證這些流程之間更有效地銜接、更規(guī)范地操作、執(zhí)行活動(dòng)的可監(jiān)控性更好等。

對(duì)于客戶的類別，慧點(diǎn)科技也有自己的分類：在納斯達(dá)克上市的企業(yè)以IT企業(yè)居多，因?yàn)橐?guī)模較小，信息化系統(tǒng)給他們帶來(lái)的價(jià)值沒(méi)有太明顯的提升；而中國(guó)人壽、中海油等大型IT企業(yè)的投入都在千萬(wàn)元以上，IT系統(tǒng)的采用給它們帶來(lái)的直接成本的節(jié)省會(huì)非常明顯，對(duì)IT系統(tǒng)的需求也就更迫切一些。

慧點(diǎn)科技推薦采用的是IBM的WBCR（Workplace for Business Control and Reporting）產(chǎn)品，這一產(chǎn)品可以幫助企業(yè)展開(kāi)內(nèi)部控制的規(guī)劃、估算、測(cè)試、評(píng)估、監(jiān)控等活動(dòng)。針對(duì)薩班斯法案，SAP也制定了一套Compliance Management for SOA的軟件，賽門(mén)鐵克也提供了能夠幫助客戶對(duì)往來(lái)的電子文檔進(jìn)行歸檔、存儲(chǔ)、備份、迅速發(fā)現(xiàn)、分析的軟件工具。

市場(chǎng)研究公司Forrester Research的調(diào)研報(bào)告顯示，和薩班斯法案相關(guān)的軟件開(kāi)發(fā)速度將加快。2005年，該法案分別對(duì)內(nèi)容管理軟件和商業(yè)智能軟件產(chǎn)生了15%和9%的需求增量影響。而在薩班斯法案的帶動(dòng)下，全球身份識(shí)別和訪問(wèn)管理軟件市場(chǎng)也呈現(xiàn)出增長(zhǎng)趨勢(shì)，CA、IBM、HP、Novell、RSA等IT廠商都已經(jīng)進(jìn)入這個(gè)市場(chǎng)。

當(dāng)然，與國(guó)外企業(yè)相比，國(guó)內(nèi)軟件企業(yè)缺乏薩班斯法案的實(shí)施經(jīng)驗(yàn)，因此在相關(guān)產(chǎn)品和解決方案的推出上落后一步還是可以理解的。然而，薩班斯法案會(huì)激發(fā)中國(guó)企業(yè)對(duì)內(nèi)容管理軟件及商業(yè)智能軟件的需求，上市公司都在尋求更好的方法獲取并監(jiān)控企業(yè)內(nèi)部海量的數(shù)據(jù)，從而增強(qiáng)對(duì)企業(yè)財(cái)務(wù)報(bào)告的內(nèi)部管理?？梢哉f(shuō)，留給國(guó)內(nèi)IT廠商的機(jī)會(huì)還有很多。

評(píng)論:IT內(nèi)控只是第一步

為了遵循薩班斯法案的要求，在美國(guó)上市的中國(guó)公司不得不付出高昂的遵循成本，上市公司付出的人力、資本成本更是難以想像。華晨中國(guó)汽車控股有限公司從美國(guó)紐約證券交易所的退市就是一個(gè)縮影。

上市公司組建的SOX404實(shí)施小組前后都要進(jìn)行多次大規(guī)模的內(nèi)控矩陣及流程圖的修訂，會(huì)詳細(xì)地梳理出流程、子流程、控制點(diǎn)的具體數(shù)量，涵蓋了公司層面、業(yè)務(wù)流程及IT管理3大方面，并對(duì)所有的控制點(diǎn)進(jìn)行內(nèi)控測(cè)試。

如果IT系統(tǒng)能夠分擔(dān)一部分工作，將給公司帶來(lái)效率提高、成本降低、及時(shí)發(fā)現(xiàn)問(wèn)題等諸多好處。IT控制是公司治理及IT治理必不可少的組成部分，上市公司的董事會(huì)首先也面臨著整合企業(yè)的內(nèi)部控制和管理信息系統(tǒng)這個(gè)大任務(wù)，因?yàn)槎聲?huì)需要企業(yè)的審計(jì)系統(tǒng)來(lái)保證財(cái)務(wù)數(shù)據(jù)的完整性和對(duì)會(huì)計(jì)原則的遵循。

但是，IT工具和IT手段的應(yīng)用，仍然只能在一定程度上解決薩班斯法案的遵循問(wèn)題，而不是公司內(nèi)部控制問(wèn)題的全部。IT內(nèi)部控制并不是孤立的，而是公司以業(yè)務(wù)目標(biāo)為主導(dǎo)的整體內(nèi)部控制項(xiàng)目的一部分。

在企業(yè)整體的內(nèi)部控制過(guò)程中，首先，企業(yè)必須確定公司的主要經(jīng)營(yíng)活動(dòng)以及與這些經(jīng)營(yíng)活動(dòng)相關(guān)的業(yè)務(wù)流程和活動(dòng)，劃分內(nèi)部控制的工作范圍。其次，企業(yè)在這個(gè)工作范圍內(nèi)定義具體的控制對(duì)象。第三，針對(duì)控制對(duì)象，進(jìn)行風(fēng)險(xiǎn)分析、評(píng)估，決定每項(xiàng)風(fēng)險(xiǎn)的管理策略，制定企業(yè)具體的控制程序、控制目標(biāo)以及審計(jì)標(biāo)準(zhǔn)。然后，對(duì)現(xiàn)行的運(yùn)作進(jìn)行評(píng)估，實(shí)施變革以達(dá)到預(yù)定目標(biāo)。最后，評(píng)價(jià)控制措施的實(shí)施后果，加以鞏固或改進(jìn)。相對(duì)應(yīng)地，IT的內(nèi)部控制必須遵循公司的內(nèi)部控制策略，確保IT控制符合公司內(nèi)部控制的要求。

如果意識(shí)不到這個(gè)問(wèn)題，而是過(guò)度地依賴IT，那么企業(yè)的內(nèi)部控制狀況仍然堪憂。任何內(nèi)部管理制度，能不能落到實(shí)處、達(dá)到效果，關(guān)鍵因素還是在于人。作為制度的制訂者和監(jiān)督者，董事會(huì)和高管層首先要帶頭遵守，才能上行下效，保證制度的真正落實(shí)和貫徹。（文/陳淑娟）