ＩＴ企業(yè)商機凸顯

乍一看，薩班斯法案對國內(nèi)IT企業(yè)帶來的商機并不太大。畢竟截止到目前，在美國紐約證券交易所和納斯達克兩地上市的中國公司不過80家左右，可以說是一個小眾市場。

然而，Thomson Financial的數(shù)據(jù)顯示，今年在美國進行首次公開募股(IPO)的中國公司已經(jīng)達到了10家，遠高于去年的7家，也突破了創(chuàng)下最高紀錄的2004年的9家。同時，2007年美國上市的外國公司中，中國公司數(shù)量是最多的。

不僅在美國上市的中國公司數(shù)量呈增長態(tài)勢，中國的上交所、深交所以及政府相關(guān)部門也正在出臺措施，督促企業(yè)加強內(nèi)控。這樣，上市公司必須考慮，如何采取有效的工具和手段，以最低的成本，達到公司內(nèi)部控制的有效與合規(guī)。這個市場的成長性隱約可見。

嚴格監(jiān)管的大趨勢

“如果把薩班斯法案看做是一場考試，一般人應對考試有兩種措施，一種是只練習考試要考查的內(nèi)容，不考的就不練，還有一種方法，就是全面增強自己的能力，這樣無論考什么內(nèi)容都能通過?！敝袊突す煞萦邢薰拘畔⑾到y(tǒng)管理部副總工程師吳正宏表示。在他看來，中石化不是為了通過外審而去做加強內(nèi)控管理的工作的，更希望借此強化內(nèi)部管理。

去年6月5日，上海證券交易所率先發(fā)布了《上海證券交易所上市公司內(nèi)部控制指引》，對上市公司建立健全和有效實施內(nèi)部控制制度提供了原則性指導，明確了公司董事會對公司內(nèi)控制度所負的責任，并要求上市公司從2006年年度報告起，披露內(nèi)部控制自我評估報告和會計師事務所對自我評估報告的核實評價意見。

表面上看，指引所規(guī)定的內(nèi)容已經(jīng)與薩班斯法案404條款的要求非常接近了，只是在標準的嚴厲程度上有所差異。

除此之外，國務院、財政部、國資委、證監(jiān)會等國家有關(guān)部門也相繼出臺了以加強企業(yè)內(nèi)控為目的的政策。去年7月，財政部聯(lián)合證監(jiān)會、國資委、審計署、銀監(jiān)會、保監(jiān)會等部門成立了企業(yè)內(nèi)部控制標準委員會，財政部還在今年4月公布了《企業(yè)內(nèi)部控制規(guī)范（征求意見稿）》。據(jù)悉，企業(yè)內(nèi)部控制標準委員會正在著手探索以政府部門為引導、廣大企業(yè)主動參與的內(nèi)部控制實施體系。

同樣是去年，國資委公布了《中央企業(yè)全面風險管理指引》，提出風險管理的總體目標，包括編制和提供真實、可靠的財務報告，確保將風險控制在與總體目標相適應并可承受的范圍內(nèi)。

慧點科技對市場空間持非常樂觀的態(tài)度，“據(jù)預測今年在納斯達克上市的國內(nèi)企業(yè)將有20家，這是一個很龐大的數(shù)據(jù)?！被埸c科技商業(yè)流程與控制事業(yè)部總經(jīng)理吳大軍告訴記者，此外，慧點科技還根據(jù)國家各部委出臺的文件能夠覆蓋的企業(yè)數(shù)量進行了預估，“國資委的文件能夠覆蓋約150家，證監(jiān)會的文件大約覆蓋1400家，財政部政策的覆蓋面就更廣了”，而這些呈現(xiàn)出增長趨勢的市場，都是象慧點科技這樣的IT工作流工具企業(yè)預期的市場。

IT企業(yè)嗅到商機

麥肯錫2002年的一項調(diào)查顯示，機構(gòu)投資者在做投資決策時，公司治理水平和財務表現(xiàn)是兩項同等重要的標準，而那些有良好公司治理和內(nèi)控措施的公司的股價表現(xiàn)會比同行高出12～14%。也就是說，雖然監(jiān)管越來越嚴格，但是上市公司的投資者對這種監(jiān)管表現(xiàn)出了歡迎。

“目前IT廠商在薩班斯法案遵循中做的工作并不多，但是企業(yè)第一年通過之后，企業(yè)的關(guān)注點就會轉(zhuǎn)移到怎樣把流程與企業(yè)信息系統(tǒng)的建設結(jié)合起來、怎樣把IT系統(tǒng)與企業(yè)內(nèi)部管理統(tǒng)一起來，這其中蘊含著一些商機。”吳正宏表示。

在達成這些目標的過程中，可能會涉及流程管理、建模工具、工作流的使用。大企業(yè)的流程成千上萬，工作流工具可以保證這些流程之間更有效地銜接、更規(guī)范地操作、執(zhí)行活動的可監(jiān)控性更好等。

對于客戶的類別，慧點科技也有自己的分類：在納斯達克上市的企業(yè)以IT企業(yè)居多，因為規(guī)模較小，信息化系統(tǒng)給他們帶來的價值沒有太明顯的提升；而中國人壽、中海油等大型IT企業(yè)的投入都在千萬元以上，IT系統(tǒng)的采用給它們帶來的直接成本的節(jié)省會非常明顯，對IT系統(tǒng)的需求也就更迫切一些。

慧點科技推薦采用的是IBM的WBCR（Workplace for Business Control and Reporting）產(chǎn)品，這一產(chǎn)品可以幫助企業(yè)展開內(nèi)部控制的規(guī)劃、估算、測試、評估、監(jiān)控等活動。針對薩班斯法案，SAP也制定了一套Compliance Management for SOA的軟件，賽門鐵克也提供了能夠幫助客戶對往來的電子文檔進行歸檔、存儲、備份、迅速發(fā)現(xiàn)、分析的軟件工具。

市場研究公司Forrester Research的調(diào)研報告顯示，和薩班斯法案相關(guān)的軟件開發(fā)速度將加快。2005年，該法案分別對內(nèi)容管理軟件和商業(yè)智能軟件產(chǎn)生了15%和9%的需求增量影響。而在薩班斯法案的帶動下，全球身份識別和訪問管理軟件市場也呈現(xiàn)出增長趨勢，CA、IBM、HP、Novell、RSA等IT廠商都已經(jīng)進入這個市場。

當然，與國外企業(yè)相比，國內(nèi)軟件企業(yè)缺乏薩班斯法案的實施經(jīng)驗，因此在相關(guān)產(chǎn)品和解決方案的推出上落后一步還是可以理解的。然而，薩班斯法案會激發(fā)中國企業(yè)對內(nèi)容管理軟件及商業(yè)智能軟件的需求，上市公司都在尋求更好的方法獲取并監(jiān)控企業(yè)內(nèi)部海量的數(shù)據(jù)，從而增強對企業(yè)財務報告的內(nèi)部管理?？梢哉f，留給國內(nèi)IT廠商的機會還有很多。

評論:IT內(nèi)控只是第一步

為了遵循薩班斯法案的要求，在美國上市的中國公司不得不付出高昂的遵循成本，上市公司付出的人力、資本成本更是難以想像。華晨中國汽車控股有限公司從美國紐約證券交易所的退市就是一個縮影。

上市公司組建的SOX404實施小組前后都要進行多次大規(guī)模的內(nèi)控矩陣及流程圖的修訂，會詳細地梳理出流程、子流程、控制點的具體數(shù)量，涵蓋了公司層面、業(yè)務流程及IT管理3大方面，并對所有的控制點進行內(nèi)控測試。

如果IT系統(tǒng)能夠分擔一部分工作，將給公司帶來效率提高、成本降低、及時發(fā)現(xiàn)問題等諸多好處。IT控制是公司治理及IT治理必不可少的組成部分，上市公司的董事會首先也面臨著整合企業(yè)的內(nèi)部控制和管理信息系統(tǒng)這個大任務，因為董事會需要企業(yè)的審計系統(tǒng)來保證財務數(shù)據(jù)的完整性和對會計原則的遵循。

但是，IT工具和IT手段的應用，仍然只能在一定程度上解決薩班斯法案的遵循問題，而不是公司內(nèi)部控制問題的全部。IT內(nèi)部控制并不是孤立的，而是公司以業(yè)務目標為主導的整體內(nèi)部控制項目的一部分。

在企業(yè)整體的內(nèi)部控制過程中，首先，企業(yè)必須確定公司的主要經(jīng)營活動以及與這些經(jīng)營活動相關(guān)的業(yè)務流程和活動，劃分內(nèi)部控制的工作范圍。其次，企業(yè)在這個工作范圍內(nèi)定義具體的控制對象。第三，針對控制對象，進行風險分析、評估，決定每項風險的管理策略，制定企業(yè)具體的控制程序、控制目標以及審計標準。然后，對現(xiàn)行的運作進行評估，實施變革以達到預定目標。最后，評價控制措施的實施后果，加以鞏固或改進。相對應地，IT的內(nèi)部控制必須遵循公司的內(nèi)部控制策略，確保IT控制符合公司內(nèi)部控制的要求。

如果意識不到這個問題，而是過度地依賴IT，那么企業(yè)的內(nèi)部控制狀況仍然堪憂。任何內(nèi)部管理制度，能不能落到實處、達到效果，關(guān)鍵因素還是在于人。作為制度的制訂者和監(jiān)督者，董事會和高管層首先要帶頭遵守，才能上行下效，保證制度的真正落實和貫徹。（文/陳淑娟）