编者按：萨班斯法案不仅促使公司改革财务管理体系，加强内部控制和风险管理，同时也对现有的业务流程和信息系统提出了挑战。

　　中国企业今后想在美国上市融资，“萨班斯-奥克斯利法案”（Sarbanes-Oxley，下称萨班斯法案）将是一道不可逾越的门槛。目前，已有不少公司为逃避严厉的萨班斯法案，放弃在美国上市，转向其他资本交易市场。对于已经在美国上市的多数中国企业来说，2006年底将是他们应考萨班斯法案的最后期限。届时如果不能通过，上市公司将面临限期摘牌或者声誉下降的命运。

内控加速

　　2002年，出台于安然公司（Enron）、世通公司（MCIＷorldcom）等财务欺诈事件之后的萨班斯法案，被美国总统布什称为 “自罗斯福总统以来美国商业界影响最为深远的改革法案。”萨班斯法案要求，上市公司首席执行官（CEO）和首席财务官（CFO）对呈报给美国证券交易委员会（SEC）财务报告的真实合法性负刑事责任。其中404条款特别强调，上市公司必须建立一套完善的内控体系，对每个流程涉及的每个岗位都有详细的说明，并提交内控有效的证明。
　　
　　ITGov中国IT治理研究中心主任孙强认为，由于中国企业长期缺少内控文化，短时间内要符合如此严格的内控要求，需要付出更多的代价。但不少企业高层并没有真正重视起来。2001年在纽约成功上市的中国铝业股份有限公司（下称中国铝业），2005年底才开始实施萨班斯法案，加速内控体系的建设。其信息管理部副总经理文欣荣感叹“自此没有一天正点下班过，经常加班到半夜”。
　　
　　伯灵顿全球有限公司（BAX）（下称伯灵顿）是一家在美国上市的德国公司，最近刚刚通过了萨班斯法案。伯灵顿中国区IT经理朱力认为，萨班斯法案虽然主要针对财务管理，要求保证财务数据的真实性、全面性和及时性；但由于大部分业务流程都通过IT系统完成，如何保证财务数据的真实性、全面性和及时性，也就成了IT部门最大的挑战。
　　
　　根据该法案的404条款规定，企业必须保留所有与财务相关的信息和流程证据。孙强指出，上市公司财务报表产生的流程大部分依靠信息系统，萨班斯法案不但促使企业完善财务管理机制，还将推动企业从业务流程到信息系统的变革。他认为，如何从内部控制和风险管理出发，实现业务流程和信息系统的结合，是首席信息官（CIO）必须考虑的问题。
　　
　　但由于中国公司内部各部门各自为政，不同部门处理同一件事有不同的流程，部门和部门之间没有流程衔接等情况比比皆是。 IT部门首先需要和业务部门一起梳理流程，否则信息系统根本无法实现对流程的统一管控。中国网通集团有限公司河北省分公司（下称河北网通）企业信息化部门高级工程师屈玉阁这样认为。
　　
　　中国铝业2004年10月启动企业资源计划（ERP）项目时，已经对业务流程进行了全面的规划和梳理，但实施萨班斯法案的时候，发现离内控的要求还相距甚远。他们又从内审部、业务部和信息部抽派人员组成了“404项目小组”，对所有的流程进行漏洞测试。文欣荣表示：信息系统需要尽可能实现对业务流程的控制，减少监控漏洞。但前提是公司自上而下要建立一个统一清晰的业务流程和管理流程。
　　
　　但在国内普遍缺少自律的企业文化下，漏洞随处存在。在最近举行的一次业务流程管理论坛上，爱迪斯（上海）软件有限公司（IDS Scheer，下称爱迪斯）副总裁王磊讲了一个故事。某公司上了“销售管理系统”，按照订单履行率对销售人员进行业绩评估。很多销售人员拿到订单后，不是马上输入系统，而是先打一圈电话，确认仓库有货才输入系统，如果缺货，则将订单搁置一旁。
　　
　　最后的结果是每名销售员的订单履行率都很高。
　　
　　朱力认为，IT部门需要针对流程制订完善的监控体系。当用户的某个行为不符合流程的时候，IT系统可以拒绝甚至报警。对于监控中发现的问题和漏洞，要找到相应的解决方案。在伯灵顿，这是一项从公司高层到下面每名员工都非常重视的工作。当出于业务的需要，要对系统的功能进行修改的时候，IT部门需要遵循严格的更改流程，比如是否得到审批和授权、是否经过内部测试等，并要保留一切更改纪录。