中国人寿保险刘安林萨班斯法案与风险管控

　　萨班斯法案背景

　　萨班斯法案主要由于安然全球的能源交易所和世界通运公司以及全球收入最高的有影响的会计师事务所安达信的倒闭，最后实际上出现了两种情况，就是资本市场上对信任产生了危机，对公司治理产生了怀疑，于是美国证监会为了能够重建资本市场和投资者的信心，加强公司监管，提高可信度，在2002年出台了萨班斯法案，就是这样的背景出现了萨班斯法案。实际上萨班斯法案最主要的是控制所有在美国的上市公司以及在美国上市的外国公司。

　　法案实际是对1933年美国证券法和1934年证券交易法做了适度的修改，特别是会计职业监管、公司治理等方面做了许多新的规定，概括起来讲大概是十一章，一至六章主要涉及到会计职业和会计行为的监管，八至十章主要是对提高公司高官和白领犯罪的刑事责任，第302款和404款部分重点关注的是企业内控问题。也正是基于此才引出404这样一个代号，以及在美国上市的公司为此所付出巨大的代价来做企业内部控制。

　　萨班斯法案的核心条款，通过在实践学习的过程中认为最关键的主要三个条款:

　　第一是302条款，就是公司财务报告的责任，这里面主要规定了企业的CEO和CFO在季报、年报中必须确定管理层审计了年度报告，并且财务报告没有不实内容和重大遗漏，另外设计维护披露程序。404条款是对管理层内部的控制评价，是这样描述，CEO和CFO在年度报告中必须确保负责建立和维护对财务报告的有效控制,

　　第二,是对有关公司最近财务年度末与财务报表相关的内容控制有效性评估的声明。

　　第三,对内部有效性进行评估，并有独立审计机构出具报告。还有个906条款，是罚则，CEO和CFO可以面临500万美元的罚款和20年监禁的行使责任。

中国人寿保险股份公司首席信息官刘安林

　　企业内控有效性的三方面

　　从中国人寿自身在实践404中间，我们认为与萨班斯法案相关的还有几个准则和指南是值得企业关注的。

　　第一，除了萨班斯法案本生之外还有公众公司会计监管委员会通过为注册会计师制订的审计准则，这将直接影响注册会计师该类审计和约计划和实施。

　　第二是萨班斯委员会制订内部标准框架可以讲，现在是只要在美国上市的所有公司，独立审计师在审计过程中，基本参照执行的一个控制框架和控制标准体系。这个体系应该讲是萨班斯委员会制订标准的框架，作为管理层当局和注册会计师进行内部评定评估的基础。

　　第三是美国证券交易委员会通过制订规则，为CEO和CFO，对主体财务报告和内部披露的报告提供指南，就是我们说的萨班斯法案。

　　在这样一个框架和背景下，虽然404条款也好，还有萨班斯法案也好，没有对信息技术提出明确的要求，今天的企业无一例外的不是构建在信息技术基础之上的。正是基于此在做404的过程中间，一个公共调查组织经过若干个实施了404项目以后的公司进行调查统计发现，萨班斯法案影响最大的是企业的财务部门，其次是企业的信息技术部门。所以基于这样的背景，在实践的过程中遵循了萨班斯法案可以借鉴的，在遵循萨班斯法案我们需要借鉴的框架体系，从左至右，左边是萨班斯法案的要求，中间从企业内部风险控制方面应该遵循的一个框架标准就是萨班斯框架标准，主要五个部分，在座各位可能非常清楚了，我就不解释了。主要关注控制环境风险评估、控制活动、信息与沟通、监控，在这样企业风险控制框架下，从企业的IT应该关注的是什么东西呢？

　　中国人寿选了与IT有关的控制框架来作为企业在IT风险点识别方面的框架和标准。框架实际上主要包括四个部分.第一,是IT的规划和组织，第二是采集实施，第三是交付支持，第四是监控。在这样一个框架体系下中国人寿在实践的过程中，按照前面这样一个框架体系在遵循萨班斯法案的过程中，参照了一下框架的标准，在企业内部信息化的实施和日常运营过程中来作为行动和行为的一个规范和标准。

　　从上至下是SCOSO，谈到应用系统开发在做CMMI的认证，谈到信息安全遵循的框架和标准ISO27001，谈到项目管理遵循的PMI.

　　SCOSO对企业管控的影响

　　SCOSO对企业管控的影响，首先，SCOSO对上市公司数据的安全性提出了更高要求，也使IT部门成为受萨班斯法案影响最大的部门之一。影响最大的是财务部门，其次是信息部门，接下来才是销售、人力资源、客户服务、市场和其他。在实践过程也证明确实是如此。我们做404项目，其中404最关心的是三个重要部门，第一是财务部门，第二是信息技术部门，第三是业务管理部门。

　　通过实践，我们得出六点体会:

　　第一，认为萨班斯法案引发了信息安全的直接需求，对于信息安全可以让我们有动力去建设可靠的信息安全体系，并且由于审计和监督机制的引入而更具有说服力。

　　第二，萨班斯法案扩展了信息安全实践的范围，实际上现在是用一个大安全的概念在构建企业内部的信息安全体系，概括起来讲不仅仅关注的是IT技术，同时也关注IT治理。

　　第三，应该讲萨班斯法案促进了相关IT控制标准框架的应用,从而催生了企业自生去构建一套完整的企业信息管理制度，同时不断的升级。

　　第四，萨班斯法案对企业信息安全工作是否有成效一个强有力的检验器。概括起来讲，对程序和数据的访问控制，对变更的管理、程序开发、系统运营管理等等涉及到若干方面。

　　第五，萨班斯法案促使企业以外部审计师视角重视信息系统和安全状况。

　　第六，萨班斯法案提升了IT部门在公司的地位和作用。IT部门赢得了更多预算，有了更多的话语权。

　　实施萨班斯法案体会

　　对萨班斯法案用积极的观点去看一半是满意的,将新的法律法规要求作为改进管理的动力.另外一半来看确实是费力费人的巨大项目，通过这个项目实施可以看出来将新的法律法规要求要视为企业发展的桎梏。后期很多想要去美国上市的公司也都产生了疑虑还要不要去美国上市。

　　本文为中国人寿保险股份公司首席信息官刘安林在“2008中国金融科技发展论坛”的演讲