近年來，各種法律、法規(guī)、行業(yè)指導(dǎo)性文件越來越多：《中央企業(yè)全面風(fēng)險管理指引》、《新巴塞爾資本協(xié)定》、《薩班斯法案》、《信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》、《上交所內(nèi)部控制指引》、《深交所內(nèi)部控制指引》、《銀行業(yè)金融機構(gòu)信息系統(tǒng)風(fēng)險管理指引》以及即將在2009年7月起實施的《企業(yè)內(nèi)部控制基本規(guī)范》等等，一個又一個法律、法規(guī)的出臺，使企業(yè)管理不知不覺中進入了一個合規(guī)時代。

從風(fēng)險管理的角度看，合規(guī)能夠幫助企業(yè)管理各種風(fēng)險，避免罰款、法律制裁、商業(yè)損失或者因為員工失誤造成的數(shù)據(jù)泄漏等風(fēng)險。

合規(guī)不僅是企業(yè)為了滿足外部監(jiān)管機構(gòu)的要求，更是完善企業(yè)治理，提高內(nèi)部控制管理水平和風(fēng)險管理水平的重要手段。

需要強調(diào)的是，合規(guī)是可以創(chuàng)造價值的，也是可以度量和考核的。其中，銀監(jiān)會所頒發(fā)的《商業(yè)銀行合規(guī)風(fēng)險管理指引》中指出：合規(guī)可以降低因遭受監(jiān)管處罰和法律訴訟而導(dǎo)致財務(wù)損失的可能性；堅持合規(guī)經(jīng)營的宗旨和原則，能夠提升品牌價值和社會地位，增強銀行持續(xù)競爭力，帶來財富收入和聲譽價值。

可以說，這些價值和衡量標準對于銀行以外的企業(yè)同樣適用，合規(guī)管理完全可以超越“成本中心”，成為價值源泉。

合規(guī)與內(nèi)控，以IT為突破口

隨著IT應(yīng)用的逐步深入，企業(yè)的日常運營越來越依賴于IT系統(tǒng)的支撐。IT系統(tǒng)已經(jīng)成為整個企業(yè)業(yè)務(wù)的重要支撐，同時也是對企業(yè)活動進行控制的重要手段。以具體運營流程為基礎(chǔ)展開的IT控制，直接關(guān)系到運營活動的實施。因此，企業(yè)進行內(nèi)部控制應(yīng)該從以IT為主的內(nèi)部控制為突破口。需要強調(diào)的是，IT內(nèi)部控制并不是孤立的，它是企業(yè)以業(yè)務(wù)目標為主導(dǎo)的整體內(nèi)部控制項目的一部分。

IT內(nèi)部控制必須遵循企業(yè)的內(nèi)部控制機制和策略，確保IT控制符合企業(yè)內(nèi)部控制的基調(diào)。此外，IT內(nèi)部控制還擔(dān)當(dāng)支持企業(yè)高層管理活動的責(zé)任。在企業(yè)內(nèi)設(shè)定業(yè)務(wù)目標，確立企業(yè)政策，在組織資源配置及管理決策時，IT負責(zé)輔助企業(yè)制定政策方針并在組織內(nèi)部傳達交流。

面對即將于2009年7月實施的《企業(yè)內(nèi)部控制基本規(guī)范》，上市公司急需一套普遍適用的IT內(nèi)部控制方法論以滿足《企業(yè)內(nèi)部控制基本規(guī)范》的要求，協(xié)助IT部門建立合適的內(nèi)部控制機制。在此方面，GDS萬國數(shù)據(jù)擁有成熟的IT內(nèi)部控制實施方法論和管理體系保障，并已幫助部分客戶建立、完善了IT內(nèi)部控制體系，并使之符合ISO20000 IT服務(wù)管理、ISO27001信息安全管理、ISO9001質(zhì)量管理等相關(guān)認證。

此外，上市公司還需一套可操作的行動指南和評價體系，指導(dǎo)企業(yè)在進行IT控制的同時，方便審計機構(gòu)制訂評估標準，并有利于雙方就審計細節(jié)達成一致。

cuihao