与Enron丑闻有关的NatWest Three的商人遭到了关于合谋的指控，最近他们引渡回国。对这些英国金融家的引渡正值美国颁布Sarbanes-Oxley法案四周年纪念日，Sarbanes-Oxley（SOX）是在Enron和WorldCom丑闻后为了恢复人们对金融市场的信心而制定的，它的主要措施是对会计计账、财务报表和公司治理进行改革。

通过四年的努力和司法机关的介入，SOX的作用逐渐地被人们所感觉到，NatWest Three将会证明这一点。但是，这不单纯是一起公司合谋的商业诈骗案件，值得人们关注的是，公司的IT领导者应当受到更多的注意。

SOX主要对那些市场价值等于或大于7500万美元（4050万英镑）的上市公司产生影响，这些公司都在美国证券交易所公开交易。尽管SOX主要是对公司的财务报表有严格的规定，但是它对IT部门也有着直接的影响。

Andy Morris是Deloitte & Touche技术集团的合作伙伴，Morris认为，SOX的404部分对英国技术决策人员有着直接的影响。这则条款要求，对公司的财务报表进程控制必须每年进行一次评估。

Morris指出，根据SOX的规定，英国公司将会在每一个金融年度的年末首次报告它们对财务进程的控制情况，并用四年的时间去认真处理出现的问题。

Morris还指出，在2002年，人们对SOX还不是很熟悉，也不太清楚这个法案都有什么具体要求。随着2003年和2004年更详细的指导和标准的出台，人们对SOX的404部分也有了更深刻的理解，知道了它是涉及公司运行的各个领域的规则，当然也包括IT领域。

对于很多公司来说，12月份的这次年终总结是它们一年来对公司资产的第一次完全的评估，这与以往进行的评估演练是不同的。

SOX提高公司绩效
自从SOX法案颁布实施以来，Morris的最大变化就是提高了对IT部门的认识，这有助于对现有控制效果进行更好的理解，现时也大大提高了公司绩效。

首先的变化体现在安全方面。SOX可以帮助你了解在公司财务系统中，哪些人能够做哪些工作，由谁负责进行外部交易和建立客户群体，这些都是信息安全的基础。

另一个变化是有关变动管理方面的。SOX还能够提高公司的控制能力，以此来对系统进行升级、测试和运行。Morris认为，在SOX法案的指导下，二级软件市场正在慢慢地成长。

在过去的两三年中，又有很多工具在市场上出现，公司可以使用它们来支持SOX的404部分。现在购买SOX的辅助系统需要2亿美元（1.082亿英镑），根据Forrester Research的预测，到2008年价格将会上涨到3.76亿美元（2.03亿英镑）。分析家最近发现，尽管SOX的辅助软件在最初的时候没有得到充分利用，许多大公司正在投资于此，使得调整后的工作进程更加地持续、更加有效率。

Steven Ashton是Dresdner Kleinwort Wasserstein全球IT商务管理的负责人，他说，SOX能够使投资银行专注于自己的核心能力。“当我们仔细研究一个新的条款时，就会发现自己有别于其它公司的地方。我们对正在做的正确的事情进行考量，而不是单纯地去适应条款的规定，”说。

Ashton还补充指出，通过对自身系统的了解，公司吸取了很多经验。SOX指导我们提高了工作中的严谨性，当我们检查数据中心时，我们发现，我们曾经做过的很多事情都是正确的，可是这些正确的事情没有被妥善地记录下来。

Ashton认为，依照规则的要求去做能够产生很好的技术管理效果。现在和两年前不同的是，我们对SOX所提出的要求可以给予自信的答复，尽管需求是无止境的。

Jonathan Pickworth是法律公司DLA Piper Rudnick Gray Cary的合作伙伴，他认为，与五年前相比，现在的公司在更加苛刻的商业环境中运行。他说，SOX给上市公司的领导者们赋予了新的工作任务，对应有的责任和义务也进行了强化。

Pichworth指出，政府一直持有这么一种观点，即没有办法能够使大公司严肃对待它们的义务，除非大公司将所承担的义务细分到每个部门和高级管理者身上，这样才能保证在出现问题的时候可以追究责任。他还补充说，尽管SOX是在美国出台的一项法令，但是它的影响已经波及全世界。

“我们对美国的法令在全世界起作用的现象已经谈论过很多年，你可以不在英国实行美国规则，但是这样会将你自己孤立起来，考虑不到全球商业环境的影响，”Pickworth说。

“欧洲公司认为SOX对它们不适用，因为它们并不是美国公司。但你必须问自己一个问题：你什么时候能够敢于对诚信的问题进行揭露，你对此应该采取什么措施；如何做才能使你的审计员感到满意？”

Pickworth认为，即使欧洲公司不是美国公司，但它们必须遵守Companies Act 2004，这个法案提供了对那些玩忽职守的审计人员的惩罚措施。Companies Act 2004使公司的领导者们、每个部门负责人、每个审计人员、税务咨询顾问和律师们都承担更多的责任。他们每个人都必须非常谨慎地对待自己的工作。

我们可以看到，审计人员对诚信问题变得更加地敏感，当他们发现问题迹象时，进行调查的主动性也大大增强。除了审计人员外，Pickworth还指出，税务局、金融机构以及反诈骗办公室等都正在加强对领导者和决策者的管理，使他们有更强的责任感。

Pickworth说，“每一项规定都提高了法案的执行能力，并鼓励使用判罪手段。这使得整体的商业环境有一些紧张。”苛刻的商业气氛并不是SOX带来的唯一变化，公司发现在它们的运行成本中，用来遵守SOX法案所需用的花费成为很大的一项支出。

IDC的分析家Rachel Hunt说，实际上，SOX法案是为金融机构提供了一种使成本简单化的机会。她指出，我们发现有很多家银行都在SOX和Basel II上进行了投资，它们在危机管理和运行危机观点中受益。

IDC的另一位分析家Gene Kim认为，将不同的法令进行组合被视为SOX的优势所在。在金融部门存在很多常规性疲劳因素，但与此同时，来自产业内部的压力促使这些问题集中起来。

所有的法规制度都具有数据集合和汇集信息的一般特征，尽管它们不总是存在于跨国公司的金融机构当中。Kim认为，综合性的问题总是存在的。有时候，法案本身能够创造一些需求，如领导和更多的假设，组织机构可以利用这些。

Gartner的分析家Jay Hiser说，对SOX正反两方面影响的讨论主要是关于立法是否弊大于利这一点。我对SOX的看法是，它有些矫枉过正了，但是，当尘埃落定后，我们将在公司治理和政策的透明度两方面有一个更高水平的期待，肯定要强于法案颁布以前的情况。

从整体上讲，主要的问题是政策的执行不力。SOX主要是由审计部门来执行的，审计部门通常会引入很多中层人员的需求，直接使得公司在很多方面的工作与公司绩效无关。

Hiser指出，在审计人员的目标和实际情况之间存在着相互矛盾之处，审计人员所追求的是客户的适应性，而实际情况是，达到这种适应性需要无止境的工作。

我们已经创立了一个系统，在这个系统中审计人员有积极的和消极的两种动机，所以事情失控也不足为奇，Hiser说。

Forrester的分析家Paul Hamerman说，在很多人看来，要达到SOX的要求就要进行繁重的工作，并花费昂贵的代价。在最初适应SOX要求的努力中，很多公司积累了令人兴奋的经验。现在，比较成熟的做法是帮助技术部门支持并提高评估水平、自动化程度和内部控制监督。

Ovum的分析家Graham Titterington指出，很多大金融机构知道如何能使它们自己适应SOX的要求。自从2002年以来有很多教育培训，没有在截止日期到来前发生过重大问题。

IT领导者希望，运行顺利的事情都是有根有据的。同样，就像NatWest Three一样，在生意场上的玩忽职守，最终结果只能是自掘坟墓。

SOX发展势头看好
SOX将成为一个发展中的法案。随着各个公司遵照它的要求在工作程序、控制和系统三个方面实现了更加完善的标准化后，这些公司将会继续向自动化和控制优化的方向努力。

公司还将在巩固成果、计账系统标准化和更有效的管理报表等方面进行重大投资。为执行SOX法案所运行的程序软件将被运用到更广泛的公司治理和危机管理等领域中。

支持SOX法案和评估内部控制的应用软件市场在2003年逐渐发展起来，到2006年这个市场的供应商会进行合并，到时只剩下一些有实力的供应商存活下来，继续为SOX提供支持。

今年，监视和自动化控制软件将继续加速发展，众多公司将采用这些系统软件来检查错误、监视交易、预防诈骗和未经授权行为的发生。

（责任编辑:陈毅东）