中国版萨班斯法案施行在即加强IT管理迫在眉睫新日

2009年7月1日，由财政部、证监会、审计署、银监会、保监会联合发布的《企业内部控制基本规范》在上市公司范围内开始施行。自此，中国的资本市场、境内的各类企业，有了一个统一标准的、符合中国国情的企业内部控制规范，企业、银行、投资者等多方利益有了进一步保障的可能。

回首2002年里，美国的安然公司、全球通讯公司、世界通讯公司、施乐公司等巨头纷纷爆发出财务假账丑闻，令业界人士及美国政府颇为震动，造成美国股票市场持续下跌，有媒体称：“这是真正的资本主义危机的来临。”对此，政府当局于2002年7月份出台了一项经典永恒的改革法案——萨班斯法案，该法案曾被美国总统布什称为“自罗斯福总统以来美国商业界影响最为深远的改革法案”，由此开启了内部控制在企业应用实施的时代浪潮。

如今，中国版的“萨班斯法案”（SOX法案）即将实施，社会各界人士纷纷于此表示了高度的关注，信息技术再一次被放到了改革开放的风口浪尖，帮助企业提升运营的稳定性、安全性和效率性。《企业内部控制基本规范》明确规范了企业内部控制包含的五要素框架：

内部环境。内部环境主要包括治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审计机构设置、反舞弊机制几大方面。

风险评估。风险评估，是指及时识别、科学分析影响企业内部控制目标实现的各种不确定因素并采取应对策略的过程。风险评估一般应当按照目标设定、风险识别、风险分析、风险应对等程序进行。

控制措施。控制措施，是指企业根据风险评估结果，结合风险应对策略，确保内部控制目标得以实现的方法和手段。

信息与沟通。信息与沟通是及时、准确、完整地收集与企业经营管理相关的各种信息，并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程，是实施内部控制的重要条件。信息与沟通主要包括信息的收集机制及在企业内部和与企业外部有关方面的沟通机制等。

监督检查。监督检查是企业对其内部控制的健全性、合理性和有效性进行监督检查与评估，形成书面报告并作出相应处理的过程，是实施内部控制的重要保证。

在内部控制基本规范的五大框架下，IT技术广范围、深层次地参与到整个流程中来，IT管理、IT治理成为必要的步骤和目标。例如，在控制措施方面，IT控制措施既包括到防火墙、防病毒、入侵检测、身份管理、权限管理等方面的技术控制措施，也包括到开发管理、项目管理、变更管理、安全管理、运营管理、职责分离，授权审批在内的制度控制措施。

配合萨班斯法案的实施，COBIT(直译为信息及相关技术的控制目标)成为业界最为先进、最权威的开放性标准，不仅引导企业更好地利用信息资源，更是帮助企业控制信息风险。

在中国版《企业内部控制基本规范》出台之前，欧美日等发达国家早已走在前面，而且进而影响到在欧美证券交易所上市的中国公司，以及承接欧美软件等服务外包业务的中国企业。

其中一个鲜明的案例来源于国内知名IT巨头也是最大的软件外包企业，该企业以先于同行的步伐，从北京环宇通软信息技术有限公司引进了一套性能完备的超杰IT 管理系统（Hyges ITMS v2.0），该软件基于国际标准的COBIT框架而研发，从合理分配IT资源、建立稳定安全的IT环境的高度，加强了在整个软件业务过程中的内部控制，既满足了上市公司内部控制的需要，也提高了软件外包业务的客户对于外包过程中信息安全的信任度和满意度。

而之所以超杰IT 管理系统能被作为IT产业同行的国内最大的软件企业选中，很大程度上是源于超杰IT 管理系统自身的特点：一方面，超杰IT 管理系统能够监督内部IT资源、IT状态，并能自动查询、分析相关的IT工作;另一方面，也提供了功能强大的桌面管理、行为监控、远程控制等方面的功能。

基于国外企业对于内部控制的重视程度，以及对于IT管理内控软件的需求，环宇通软更进一步走出国门，和在日本银行业信息化领域有领导者地位的日本昭荣科技株式会社以及专门从事IT服务外包业务的诚志信息科技有限公司一起，共同定制超杰IT 管理系统日文版，推向日本银行业市场，助力日本银行遵从J-SOX的要求，加强内部控制。

近几年来，境内企业也越来越重视IT管理的内控。比如规模和业绩排名国内前五的某银行就选用了超杰IT 管理系统作为自己加强内部控制的重要工具和手段，并且在试点分行取得了明显的效果。

结合最新发布的《企业内部控制基本规范》，从内部控制的支持方面来看：首先，超杰IT 管理系统从IT治理架构、IT组织与职责、IT决策机制、IT合规与IT审计等方面建立起了完善的IT内部控制环境;其次，针对IT运行过程中各种类型的事件与报警，Hyges ITMS v2.0进行统一的界面呈现与汇报，管理员在单一的界面中全面掌握IT环境运行的全部细节。

在许多企业最为重视的安全环节，超杰IT管理系统通过系统补丁管理、防病毒管理、端口访问控制、文件审计管理、计算机外设管理等安全控制措施，实现企业内部的安全控制。在信息与沟通方面，超杰IT管理系统建立起一个企业内部的IT信息沟通机制，在IT经营管理领域、在企业内部的各个职能部门和企业外部之间，让IT信息及时而准确地整合起来;在监督检查方面，也建立起一套IT内部控制体系，来评价IT控制的有效性。

在IT管理标准、内部控制标准双双明确的情势下，未来几年内，我们既会看到内部控制开始在更多的境内企业得以贯彻落地，也将看到一些IT管理软件如雨后春笋般更加风行。像超杰IT管理系统这类得以广泛引用的IT工具，也将通过升级换代的手法实现更好地内部控制。

在线网上挂号

预约挂号

名医汇