专家对话谈萨班斯带给中国企业IT治理机会

    对话嘉宾

• 郭尊华 赛门铁克大中华区总裁


• 庄国光 甲骨文公司大中华区服务业事业部应用总经理


• 崔瑶颖 HDS中国公司市场经理


• 金微 IBM 华东区存储部技术经理

    问题一：在《萨班斯法案》的404条款中，对IT部门的法规有19条，您如何看待这些条款对IT企业的影响？
  
    崔瑶颖：《萨班斯法案》强调企业的信息技术策略和企业内控活动(不论是人还是机器)的操作流程都必须进行明白的定义并保存相关记录，而后才能实施。 
   
    该法案还规定，公司首席执行官和首席财务官必须对财务报告的真实性宣誓，倘若提供不实财务报告的，他们有可能将被处以10年或20年监禁的重刑。该法规在确保公司财务报告的可靠性、保护投资人利益的同时，也让上市公司为了遵循该条款付出了不菲的代价，包括大量的人力、物力、财力和时间的投入。但是，与由于上市公司不能遵从该法案所带来的巨大损失相比，这些成本投入都是值得的，而且公司通过部署高效的IT系统还能降低总体拥有成本，从而提升其投资回报率。
  
    郭尊华：萨班斯法案从2002年的时候，是美国总统布什签了以后发生效用，主要源于安然、世界电信公司等美国超大型企业，他们因为管理方面的不足，导致投资者和很多人对美国经济和美国投资的负面影响，觉得必须要去加强一些监管的能力。在IT控制紧密相关的SOX条款里，有几个条款是跟IT有关系的：第一，就是302条款。第二是404条款。第三是409行款。第四是802条款。SOX包含的不光有IT，还包括人、流程和技术，萨班斯法案不光包括财务是公司每一个人都要遵从的法规。一个企业如果要真的推动萨班斯法案的话，不但CIO、还要有首席财务官，法规顾问以及公司负责人等一起协作推动萨班斯法案。
  
    John Gubernat：受企业危机事件和整个经济大环境的影响，法规遵从和公司管理一直没有被各组织所重视，如Sarbanes-Oxley法规已经受到大多数人的关注。同时还有成千上万的国家、地区以及城乡的特殊法规也正管理着成指数增长的信息的保留、使用、申报以及最终的处理。但是如何管理这些信息，依然困扰着企业的首席信息官们。
  
    如果不遵守这些法规，企业会招致罚款。如果不能迅速存取关键信息还会危及企业的业务。如果不积极地管理这些信息并保留和处理，企业将遭受更大的法律风险。
  
    金微：法规遵从中的条款是非常多的，基本上是要求信息不能被篡改。以前的归档软件往往不太考虑这个问题，现在市场上要求归档解决方案能具备：一是防止篡改能力；即使是最高等级的管理员也无法修改归档记录；二是和行业应用的结合性；三是数据访问或再利用方便性。
  
    庄国光：近年来一系列的财务丑闻使所有公司遭受前所未有的监察压力，绝大多数情况则是因为企业高层无法掌握企业的完整信息而导致公司治理失败。这就要求信息技术为公司治理和遵守行政法规的工作提供帮助，通过实现流程的简化和信息的集中化，帮助公司更快地披露信息，并且最大限度地降低发生错误的概率，从而减少期末出现意想不到结果的可能性。比如简化财务报表的编制过程，由于新近在商业智能软件上取得的技术进步，企业能够在汇总和明细这两类级别上实时查看相关的财务数据。从而极大地减少了收集财务数据所耗费的时间，允许将更多的时间用于对结果进行仔细的分析和深入的演示上。
  
    问题二：《萨班斯法案》给我们的IT企业带来的负面影响有哪些？我们如何应对？
  
    崔瑶颖：由于遵从《萨班斯法案》所需投入的工作量相当繁重，涉及到企业经营、IT系统控制、投融资管理、财务监控、法律法规监督等一系列领域，公司必须投入较多的财力、人力和物力资源，初始成本之高令很多公司对在美国上市望而却步。据悉，某些上市公司由于财务报表制作不够及时，直接导致其美国上市之路的曲折。
  
    企业应该认识到，对其业务数据的存储、管理和保护是遵从法案的基础和保证。法案对企业在信息数据的保存和保护方式方面提出了新的挑战：企业必须要保护其数据不受到意外删除或灾难影响的同时，还要遵守长期保留数据的法律法规要求。对数据进行有效的归档和备份对企业遵从法案至关重要：备份用于快速复制和恢复，以减少故障、人员错误或灾难带来的影响；归档则用于对数据进行有效的管理、保留和长期的访问与检索。企业通过有效结合归档和备份，能达到优化成本、改进存储基础设施的整体效力。
  
    郭尊华：这个法案的推动，为企业IT策略遵从企业治理方案打下良好的开端，也为IT与业务的结合提供了最好的实践，同时也推动了中国的企业更进一步地关注与业务增长的IT技能和流程。
  
    比如说赛门铁克在中国的公司也要遵从萨班斯法案，一个中国的企业在美国上市也要遵从萨班斯法案，为什么萨班斯法案使得中国本土的企业都觉得有必要探讨或者研究，或者在企业里头推动萨班斯法案，可能不仅是遵从法规，而是怎么样加强他们公司内部的管理体制，还有其他国家做得好的话，他们也可以学习他们做得好的部分。
  
    另外，欧美国家公司和公司之间需要透明而且是可信赖，可以互相合作的，如果企业在推动萨班斯法案，一些欧美企业就会说我遵守法规，你们也遵守，我们在互信方面就有一定的基础，所以对中国企业来说也有一定的好处。
  
    金微：各行各业都有存储归档的需要，一个企业内也会有多个需要。譬如金融业需要历史数据用于利润分析、客户服务、信用度控制和反洗钱等应用。我们可以按照用户的数据的特点，分为3类：结构化数据(如数据库)；半结构化数据(如邮件系统)和非结构化数据(如图像、录像)。由于应用目的的不同，数据保存和使用的策略也不相同，归档系统是一个相当客户化、定制化的系统。
  
    问题三：《萨班斯法案》给我们的IT企业带来的机遇在哪里？我们如何把握？
  
    崔瑶颖：自《萨班斯法案》颁布以来，中国企业在制定新的数据存储解决方案时，就必将有关该法案的内容考虑进去；同时，企业必须建立正确的IT基础架构，制定数据保持和保护策略，选择适当的存储技术以便高效地遵从法律。虽然《萨班斯法案》会给企业带来沉重的负担，也打击了一些欲在美国上市的企业的积极性，但是，不可否认遵从《萨班斯法案》能给企业带来长远的积极效果，因为方案不仅要求上市公司关注自身的业绩，同时也敦促公司加强自身内部控制、最大限度地提升公司的治理水平，这必将增强公司高管和投资人的投资信心。
  
    郭尊华：推动萨班斯法案，对中国企业是一个很好的契机，为什么中国有很多企业有这个兴趣推动萨班斯法案，是因为他们希望把工作的流程，或者把公司整体环境或者管理环境从政务、风险、道德、法规遵从方面有一个全面的提升，而不是只是遵从美国的法规，而是必须提升自己管理方面的水平。
  
    John Gubernat：企业面临着规章、调查和起诉的难题，因此要求信息系统必须能够快速提供真实且具体的数据。采用硬件、软件和服务等多种技术的联合，帮助企业建立最好的ILM实践，并通过明确的数据分类和法规遵从来定位信息基础设施。
  
    为了达到此目的，企业必须明确知道他们拥有何种信息，用于何处和存储于何处，从而能够简单地实现在合适的时间保存合适的数据。这种策略可以更好的处理数据，使得CIO们能够按照他们的需要提供精确的数据。这对于要求处理大量信息的公司而言是非常关键的。
  
    信息价值的不同使得IT管理者们必须创造一种分层存储基础设施，使信息的价值与相应存储设备的数据管理价值相匹配。作为ILM策略的基础，分层存储允许公司把最新的、重要的和经常被访问的信息存储在顶层–高性能的存储。所以它是一种快速接入方式。随着时间推移，当这些信息变得次要了，被访问的不太频繁了，它就被移到花费较少的中层存储，这就释放了更多的昂贵的高端资源。对于公司管理和管理法规遵从，固定内容寻址存储系统分层是首选，因为它能真正存档和快速检索。
  
    庄国光：如果把整个企业治理系统看作一座金字塔，那么，体现可见性、控制力和高效率的商务系统就是整个金字塔的塔顶。若想真正依照赛班斯方案实现企业治理的目标，离不开塔身和牢固的塔基，在企业治理系统这座金字塔中，公司治理系统的可见性、控制力以及高效率，必须以完全的自动化和完整的信息流为支撑，否则，不完整的信息流会使高层决策者因难以看到商务系统运行的“庐山真面目”，而得出错误的判断和决策；而手工作业处理信息的方式在信息时代则更加难以想象。正是公司治理系统对完整的信息和完全的自动化的要求，IT在新的世纪有了它新的使命：即作为企业治理系统的塔基，来形成完整的信息流和实现信息处理的完全自动化，从而改善治理系统的运行，实现企业治理的透明化、可控性和高效率。

未经允许不得转载：DOIT » 专家对话谈萨班斯带给中国企业IT治理机会