北京12月16日，由国内首个以非为赢利性质的IT治理研究机构——ITGov（中国）IT治理研究中心主办，甲骨文、毕博、挪威船级社、惠普等国际知名机构共同发起的“首届中国公司治理暨IT治理年会”（China Corporation Governance and IT Governance Summit 简称G2峰会）在京隆重召开。

本届年会与国务院信息化工作办公室、信息产业部、中国人民银行、审计署、国资委等多家政府和行业部门携手，邀请了国际IT服务管理权威著作《IT服务管理：基于ITIL的全球最佳实践》主编 Jan van Bon、北京大学国际会计与财务研究中心教授博士生导师王立彦、甲骨文亚太区高级总监Patrick Lim、毕博管理咨询(大中国区)董事总经理朱农飞、挪威船级社郭晓英女士、美国翰宇国际律师事务所Amy Sommers等国内外知名治理领域的专家、学者，以及电信、金融、电力、能源、制造等行业的优秀治理实践者，近200人共同参与了研讨。

国信办副主任杨学山、信息产业部经济体制改革与经济运行司副司长王秉科作开幕致辞，中国人民银行、审计署等相关领导出席此次会议并发言。来自海内外的电视台、财经媒体、行业媒体和专业IT媒体等40多家媒体参与了此次论坛。

六方与会：首次集体关注“全面风险管理与IT治理”

这是在国内举办的首个以“全面风险管理与IT治理”为主题的大型国际研讨会议，围绕“公司治理与IT治理、萨班斯（SOX）法案、IT控制”三个核心议题，面向六方（CEO、CFO、CIO、COO、CKO、CMO）,广泛、深入地探讨和推广“三个结合”：即公司治理与IT治理相结合，全面风险管理与IT治理相结合以及六方（CEO、CFO、CIO、COO、CKO、CMO）相结合的理念、技术与最佳实践。

全球企业最重要和最紧迫的任务：公司治理与IT治理相结合

1997年的亚洲金融危机、2002年美国股市相继爆出的安然、世通等一系列丑闻，我国出现的蓝田股份和银广夏的利润神话破灭事件，以及我国年初相继出现的创维、伊利股份等上市公司高管涉案，完善公司治理机制、有效管理企业风险正在成为企业议事日程中最重要和最迫切的任务。

信息时代的公司治理是以IT为支撑，协调物质资本所有者、人力资本所有者以及债权人等利害关系人关系的一个过程。

我国政府将建立有效的公司治理机制视为“现代企业制度”建设的核心内容，而加入WTO的承诺使得全面系统地处理这一问题显得更加紧迫。国务院国资委主任李荣融曾表示，目前上市公司所出现的问题都与公司治理结构不完善有关。国资委要与证监会正联合推动国有企业完善公司治理结构。

公司治理的效率、效果直接依赖于许多的制度要素。这既包括审计和信息披露的质量，也包括法律系统对契约的监督以及对外部投资者的保护能力等。例如，在逆向选择的框架下，我们可以看到：一个更好的会计标准和更及时的信息披露要求将大大减轻经理人与外部投资者之间的信息不对称，从而便利了融资，降低了代理风险。因此，公司治理的核心问题是信息不对称性或不完全性，解决公司治理问题，最核心的是公司信息的真实、准确以及处理与传递的效率问题，而IT技术在实现透明度原则和体现监控力度上正日益成为有效的工具。由于许多在美上市企业的核心业务都依赖IT系统，因此，2002年美国颁布的《萨班斯法案》对公众公司提出了更高的要求，公司应定期评价其信息系统及其内部控制的充分性来保证提供给投资者信息的准确和完整，强调公司管理层建立和维护内部控制（尤其是IT控制）及相应控制程序充分有效的责任。因此，研究IT治理，加强IT控制，降低风险，有效地实现公司治理，成为全球关注的话题。

刚刚结束的十六届五中全会通过了《中共中央在关于“十一五”规划的建议》中明确提出了今后5年时间内公司治理与内部控制、全面风险管理时企业改革的重点，“加快国有大型企业股份制改革，完善公司治理结构。加快建立国有资本经营预算制度，建立健全金融资产、非经营性资产、自然资源资产等监管体制，防止国有资产流失”；“完善金融机构的公司治理结构，加强内控机制建设”；“完善对境外投资的协调机制和风险管理，加强对海外国有资产的监管”；“健全金融市场的登记、托管、交易、清算系统。完善金融监管体制，强化资本充足率约束，防范和化解金融风险。”

未来，公司治理和IT治理对企业的影响一定是革命性的，并且这种影响直接关系到中国企业的国际竞争力，ITGov（中国）IT治理研究中心主任孙强指出。尽管公司治理的最终理想看上去离现实有些遥远，但实际上今天的公司治理与IT治理已经不仅仅停留在概念炒作的层面。目前ITGov、甲骨文、毕博、挪威船级社（DNV）、惠普等在内的研究机构、IT厂商、咨询企业以及鉴证公司都已在IT如何为公司治理、全面风险管理中发挥新的使命，展开了开拓性的工作，纷纷提出了整合的理念、框架和解决方案。

新挑战与新起点：全面风险管理与IT治理相结合

在2004年底，国资委组织召开的中央企业负责人会议上，国务院黄菊副总理强调指出，要完善企业内部管理制度，高度重视风险的防范和管理，要建立健全企业法律顾问制度，增强依法经营的能力和水平。国资委李荣融主任也提出企业要善于识别风险、规避风险、控制和化解风险。随后，由国资委企业改革局牵头，起草了国内首部企业风险管理指导性文件——《全面风险管理指导纲要》，目前已经进入征求企业意见和论证修改的最后阶段，即将出台。《全面风险管理指导纲要》适用于全体中央企业，要求企业在经营管理的各个环节和业务过程中执行风险管理的基本流程，建立健全风险管理的组织体系、信息系统和内部控制系统。

孙强先生在本届年会题为“公司治理、IT治理与中国企业的国际竞争力”的主题演讲中认为：在全球风险的时代，所有的企业，不论其规模、结构、性质或产业是什么，风险管理都将是必不可少的。有效的风险管理和机会管理将成为竞争优势的源泉。同时，随着IT重要性的增加和普遍应用，IT将被整合到所有的生产过程与经营管理体系中去。所以，IT的风险亦将显著影响到组织的战略执行及目标的实现。在这种情况下，将全面风险管理与IT治理整合起来推动，就成为必然的选择。孙强先生还认为一旦中国企业形成了与企业文化相适应的良好治理结构，这就是我们企业的国际核心竞争力。

明确对内部控制的责任：“六方”相结合

IT控制专家孟秀转女士在演讲中明确地阐述了内部控制的制定与实施的责任问题。孟秀转认为：不仅仅是管理人员、内部审计师或董事会，组织中的每一个人都对内部控制负有责任。确立这种指导思想有利于将组织中的所有员工团结一致，使其主动地维护和改善企业的内部控制，而不是与管理层相互对立或管理层相互对立，被动地执行内部控制。这样才能实现我们企业所期望的“发现问题，解决问题，发现新问题，解决新问题”。本届年会突出的亮点，就是首次倡导六方（CEO、CFO、CIO、COO、CKO、CMO）打破原有职责范围局限，携手参与到公司治理、合法合规等实践中来，共同肩负起内部控制的责任，最终形成“内部控制人人有责”的企业文化。

萨班斯（SOX）法案：魔鬼，还是天使？

2002年7月，美国国会正式通过了Sarbanes－Oxley法案（简称SOX法案），明确要求在美上市的公司管理层对公司财务信息披露和内部控制效力负有直接责任，上市公司的内控措施应由管理层声明有效并由独立审计机构出具内控审计意见提交给美国证监会（SEC）。

SOX法案的出台，对企业的公司治理、IT治理及IT控制提出了更严格的要求。SOX法案的302条款要求公司的首席执行官和首席财务官要在审计报告后附上一份声明，保证“定期报告中的财务报告和信息披露是适当的，在所有重大方面公正地报告了公司的运营和财务状况”。任何违反这个条款的行为，都被视作明知故犯，必须承担责任。SOX法案的404条款要求编制的年度报告中包括内部控制报告，该报告需包括以下内容：描述管理层关于为财务报告建立并维护一套适当的内部控制的职责；管理层在最近财政年度末对内部控制体系及控制程序有效性的评价。显然，404条款对于公司内部控制情况做出严厉要求，目的是为了使得公众更易于察觉到公司的欺诈行为，并确保公司财务报告的可靠性。而上市公司为了遵循该条款将付出沉重的代价，包括大量的时间和人力、财力的投入。

有很多人认为，SOX法案是恶魔，因为它对公司内部控制的要求有点过了头，为企业带来了巨大的合规成本。自2002年7月SOX法案出台之后，去年的一个统计数据显示，大概10%的企业退出了美国股市，这其中就包括声名显赫的新加坡创新公司。更多的中国国企和银行也毫不犹豫地放弃了在美国上市的既定计划。合规成本之高昂，据安永的调查显示：收入超过50亿美元的公司中，四分之一的公司在萨班斯符合项目启动之前弥补了500多个单独控制；超过70%的公司在萨班斯符合项目启动之前对IT系统和控制进行了重大修改，在这70%的公司中，与404条款有关的成本耗费要比最初预计值高出50%；58%的年收入不足50亿的公司把超过半数的内部审计资源用于与404条款相关的活动中；76%的公司期望使用一些控制自评估(CSA)的表格来满足目前404条款的符合；53% 的企业想在一年内开展企业风险管理 (ERM)； 87%的企业想通过由404条款带来的职责分明和控制负责人的推动获取价值。

但目前，越来越多的公司从战略投资的角度来看待SOX法案，而不是仅仅认为这是一项花费。ITGov（中国）IT治理研究中心的研究表明：好的遵从管理意味着经营的更好，由SOX带来的改善经营效率和降低风险的潜力远远超越于SOX法案本身。事实上，一旦发生公司丑闻，投资者的损失将远远超过公司目前付出的成本。