针对安然、世通等财务欺诈事件，美国国会出台了《2002年公众公司会计改革和投资者保护法案》。该法案由美国众议院金融服务委员会主席奥克斯利和参议院银行委员会主席萨班斯联合提出，又被称作《2002年萨班斯—奥克斯利法案》（简称萨班斯法案）。法案对美国《1933年证券法》、《1934年证券交易法》作了不少修订，在会计职业监管、公司治理、证券市场监管等方面作出了许多新的规定。“萨班斯法案”的主要内容包括：设立独立的上市公司会计监管委员会，负责监管执行上市公司审计的会计师事务所；特别加强执行审计的会计师事务所的独立性；特别强化了公司治理结构并明确了公司的财务报告责任及大幅增强了公司 的财务披露义务；大幅加重了对公司管理层违法行为的处罚措施；增加经费拨款，强化美国证券交易委员会(SEC)的预算以及职能。

   在众人的期盼下，历时两年，中国版的“萨班斯法案”终于问世。在今年6月份，财政部、证监会、审计署、银监会、保监会等五部门联合发布了《企业内部控制基本规范》。《基本规范》自2009年7月1日起首先在上市公司范围内施行。对于投资者来说，该规范的发布意味着一部可以有效保护其利益的类似于美国萨班斯法案的企业内控标准体系即将建立。而对于很多企业来说，这又是其面临的一场大考。有关专家建议，中国企业必须直面内控标准，并未雨绸缪制定企业的内部控制制度。

萨班斯法让很多人寝食难安

   《萨班斯法案》强调企业的信息技术策略和企业内控活动(不论是人还是机器)的操作流 程都必须进行明白的定义并保存相关记录，而后才能实施。该法案还规定，公司首席执行官和首席财务官必须对财务报告的真实性宣誓，倘若提供不实财务报告的，他们有可能将被处以10年或20年监禁的重刑。这让很多CEO和CFO寝食难安。

    该法规在确保公司财务报告的可靠性、保护投资人利益的同时，也让上市公司为了遵循该条款付出了不菲的代价，包括大量的人力、物力、财力和时间的投入。不少公司为逃避严厉的萨班斯法案，放弃在美国上市，转向其他资本交易市场。在2007年，中国第一家海外上市公司华晨中国汽车控股有限公司宣布，不堪萨班斯法案高昂的遵循成本，从美国纽约证券交易所退市。据称让华晨不堪重负的，正是为了遵循《萨班斯—奥克斯利法案》而不得不向审计公司支付的巨额咨询、审计费用，以及高昂的内部遵循成本。与这笔支出相比，华晨在纽约交易所融到的资金却非常有限。

    中国的“萨班斯法案”——《企业内部控制基本规范》的实施，将有助于改变我国上市企业的种种不规范行为，这也给中国的上市企业施加了很大的压力。

“萨班斯法案”推动企业IT治理走向规范

   德勤企业风险管理服务（中国）公司合伙人顾向圣认为，萨班斯法案的本质是对企业管理全方位的要求，比如企业是不是设计了一套完善的内部控制框架，这个框架是不是在企业内有效运营，并能够防止企业在内部控制流程中的一些风险。

    如果把整个企业治理系统看作一座金字塔，那么，体现可见性、控制力和高效率的商务系统就是整个金字塔的塔顶。若想真正依照萨班斯方案实现企业治理的目标，离不开塔身和牢固的塔基，在企业治理系统这座金字塔中，公司治理系统的可见性、控制力以及高效率，必须以完全的自动化和完整的信息流为支撑，否则，不完整的信息流会使高层决策者因难以看到商务系统运行的“庐山真面目”，而得出错误的判断和决策；而手工作业处理信息的方式在信息时代则更加难以想象。正是公司治理系统对完整的信息和完全的自动化的要求，IT在新的世纪有了它新的使命：即作为企业治理系统的塔基，来形成完整的信息流和实现信息处理的完全自动化，从而改善治理系统的运行，实现企业治理的透明化、可控性和高效率。

    从短期来看，中国“萨班斯法案”的推进和实施，将增加企业成本。但从长期来看，法案要求的内部控制工作对于控制企业风险、提升信息化管理水平有着极大的帮助：通过对信息技术控制体系的建立和优化可以提高企业管理的有效性和效率，如果没有正确的控制，企业工作就会偏离正确的方向，企业管理成本会更高；通过对信息技术控制体系的完善可以强化风险管理、促进企业信息化的提升，增加企业的信息资产；通过建立更加完善的信息安全内控体系，可以进一步提高信息系统的安全性，确保数据、信息和知识的完整性、及时性、可靠性、保密性，有效控制风险；通过加强信息技术控制，可以提高公司治理水平，从而增强资本市场投资者的信心。

以IT系统的“合”应对法案

    勿庸讳言，中国很多企业都缺乏完善的IT系统，这往往是中国企业在遵循“萨班斯法案”过程中所遇到的最大挑战。中国企业IT系统重建设、轻维护的老传统，使得IT系统不能完整实现其管理功能，在业务与IT密不可分的趋势下，传统IT系统渐显“弱智”。在很多企业中员工工作习惯方面也存在一些问题。如有些系统维护人员在进行系统检查时发现了问题，随即进行排查和解决，却未留下任何的检修记录；如根据领导一个电话就为某位员工开通某个系统权限等。此外，一些企业的系统和流程都存在着不少的问题，比如系统的密码策略没有固化、数据的备份策略不完整等。

   安永曾经就404条款对美国上市海外公司进行调研表明：大部分海外公司都采用不一致的信息系统，高度依赖基于信息技术的控制措施，并大量外包信息技术工作。自《萨班斯法案》的颁布，到中国的“萨班斯法案”即将实施，中国企业在制定新的数据存储解决方案时，就必将有关法案的内容考虑进去；同时，企业必须建立正确的IT基础架构，制定数据保持和保护策略，选择适当的存储技术以便高效地遵从法律。企业应该认识到，对其业务数据的存储、管理和保护是遵从法案的基础和保证。法案对企业在信息数据的保存和保护方式方面提出了新的挑战：企业必须要保护其数据不受到意外删除或灾难影响的同时，还要遵守长期保留数据的法律法规要求。对数据进行有效的归档和备份对企业遵从法案至关重要：备份用于快速复制和恢复，以减少故障、人员错误或灾难带来的影响；归档则用于对数据进行有效的管理、保留和长期的访问与检索。企业通过有效结合归档和备份，能达到优化成本、改进存储基础设施的整体效力。

    应对法案的过程，正是中国企业提升其IT系统的一个很好的机会。采用“合”的方式，将原来分散的数据进行集中的管理，将业务流程和内控进行相应的整合，一方面有助于企业遵从相应的法规，另一方面还可以提升企业的整体信息化和企业管理水平。在这方面，IBM有很多经验和理念值得借鉴和尝试。IBM也推出了新一代数据中心的产品来满足客户的这种需求。比如IBM最新的 System Storage™ DS5000，出了性能的领先性之外，还信息生命全周期的保护，应对业务转变及企业成长带来的种种风险，这将极大的助力于中国企业以“合”应对中国“萨班斯法案”。