合規(guī)價(jià)值,不可小覬
近年來(lái)����,各種法律�����、法規(guī)���、行業(yè)指導(dǎo)性文件越來(lái)越多:《中央企業(yè)全面風(fēng)險(xiǎn)管理指引》��、《新巴塞爾資本協(xié)定》�����、《薩班斯法案》、《信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》����、《上交所內(nèi)部控制指引》、《深交所內(nèi)部控制指引》�����、《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引》以及即將在2009年7月起實(shí)施的《企業(yè)內(nèi)部控制基本規(guī)范》等等�����,一個(gè)又一個(gè)法律�����、法規(guī)的出臺(tái)��,使企業(yè)管理不知不覺(jué)中進(jìn)入了一個(gè)合規(guī)時(shí)代���。
從風(fēng)險(xiǎn)管理的角度看�����,合規(guī)能夠幫助企業(yè)管理各種風(fēng)險(xiǎn)���,避免罰款�、法律制裁����、商業(yè)損失或者因?yàn)閱T工失誤造成的數(shù)據(jù)泄漏等風(fēng)險(xiǎn)。
合規(guī)不僅是企業(yè)為了滿足外部監(jiān)管機(jī)構(gòu)的要求�����,更是完善企業(yè)治理����,提高內(nèi)部控制管理水平和風(fēng)險(xiǎn)管理水平的重要手段。
需要強(qiáng)調(diào)的是����,合規(guī)是可以創(chuàng)造價(jià)值的,也是可以度量和考核的���。其中�����,銀監(jiān)會(huì)所頒發(fā)的《商業(yè)銀行合規(guī)風(fēng)險(xiǎn)管理指引》中指出:合規(guī)可以降低因遭受監(jiān)管處罰和法律訴訟而導(dǎo)致財(cái)務(wù)損失的可能性���;堅(jiān)持合規(guī)經(jīng)營(yíng)的宗旨和原則,能夠提升品牌價(jià)值和社會(huì)地位��,增強(qiáng)銀行持續(xù)競(jìng)爭(zhēng)力�����,帶來(lái)財(cái)富收入和聲譽(yù)價(jià)值����。
可以說(shuō),這些價(jià)值和衡量標(biāo)準(zhǔn)對(duì)于銀行以外的企業(yè)同樣適用�,合規(guī)管理完全可以超越“成本中心”,成為價(jià)值源泉�。
合規(guī)與內(nèi)控,以IT為突破口
隨著IT應(yīng)用的逐步深入��,企業(yè)的日常運(yùn)營(yíng)越來(lái)越依賴于IT系統(tǒng)的支撐��。IT系統(tǒng)已經(jīng)成為整個(gè)企業(yè)業(yè)務(wù)的重要支撐,同時(shí)也是對(duì)企業(yè)活動(dòng)進(jìn)行控制的重要手段����。以具體運(yùn)營(yíng)流程為基礎(chǔ)展開(kāi)的IT控制,直接關(guān)系到運(yùn)營(yíng)活動(dòng)的實(shí)施����。因此,企業(yè)進(jìn)行內(nèi)部控制應(yīng)該從以IT為主的內(nèi)部控制為突破口���。需要強(qiáng)調(diào)的是���,IT內(nèi)部控制并不是孤立的,它是企業(yè)以業(yè)務(wù)目標(biāo)為主導(dǎo)的整體內(nèi)部控制項(xiàng)目的一部分�����。
IT內(nèi)部控制必須遵循企業(yè)的內(nèi)部控制機(jī)制和策略����,確保IT控制符合企業(yè)內(nèi)部控制的基調(diào)。此外���,IT內(nèi)部控制還擔(dān)當(dāng)支持企業(yè)高層管理活動(dòng)的責(zé)任�����。在企業(yè)內(nèi)設(shè)定業(yè)務(wù)目標(biāo)��,確立企業(yè)政策��,在組織資源配置及管理決策時(shí)����,IT負(fù)責(zé)輔助企業(yè)制定政策方針并在組織內(nèi)部傳達(dá)交流。
面對(duì)即將于2009年7月實(shí)施的《企業(yè)內(nèi)部控制基本規(guī)范》���,上市公司急需一套普遍適用的IT內(nèi)部控制方法論以滿足《企業(yè)內(nèi)部控制基本規(guī)范》的要求,協(xié)助IT部門建立合適的內(nèi)部控制機(jī)制��。在此方面����,GDS萬(wàn)國(guó)數(shù)據(jù)擁有成熟的IT內(nèi)部控制實(shí)施方法論和管理體系保障,并已幫助部分客戶建立���、完善了IT內(nèi)部控制體系����,并使之符合ISO20000 IT服務(wù)管理、ISO27001信息安全管理���、ISO9001質(zhì)量管理等相關(guān)認(rèn)證�。
此外�����,上市公司還需一套可操作的行動(dòng)指南和評(píng)價(jià)體系���,指導(dǎo)企業(yè)在進(jìn)行IT控制的同時(shí)����,方便審計(jì)機(jī)構(gòu)制訂評(píng)估標(biāo)準(zhǔn)��,并有利于雙方就審計(jì)細(xì)節(jié)達(dá)成一致��。
