内部控制与合规管理是现代企业经营治理中的重要工作，有效的内部控制能够帮助企业避免经营风险，健康发展与稳定盈利，保障股东与投资者的权益。美国的萨班斯-奥克斯利法案（SOX）作为美国监管部门对上市公司的约束法律，是国际上最着名的内控法案，以其要求严格和刑责严厉而着称，以至于国内出台的类似经济法规也被媒体冠以“中国版萨班斯”的名号。
　　可以说，企业即使不在美国上市，也有必要“以萨班斯为师”，体会内控工作的精华所在，提升自身风险管控水平。
　　“情绪化”在汉语里绝不是一个褒义词，“情绪化萨班斯”分析的是少数经验不足的管理人员在迎接外部审计时常陷入的误区。笔者总结出四种不良“情绪”作为反面教材，以萨班斯法案中尤为重要的IT内控举例剖析，并给出克服这些“情绪”的建议。
　　抵触之心
　　萨班斯法案为企业直接引来的是严格的外部审计。花大钱请外面人查自己，费钱、费时、费人力，所有流程都要清理一遍，查出风险还要大举整改。在这个繁杂的过程开始之前，想想后面过程是那么折磨人，一些人的抵触之心便难免产生了。
　　当一些在美上市的中国企业需要将萨班斯提上议事日程的时候，确实有一部分人抱有抵触情绪，总感觉企业遭遇萨班斯就是在上刑场，将走上一条受苦受难之旅。少数受审计的管理人员盘算着管理水平原本落后的企业必将面对一项浩大的工程，却想不清这样的审计最终能给公司带来什么益处，于是眉头皱起，反感情绪滋生。
　　抵触之心危害无穷，带着消极情绪工作时，造假倒是不敢，但是敷衍应付萨班斯审计却是难免的。以应付的态度做工作，即使勉强通过审计，也不能真正优化自身管理，以审计促进工作的改进，把内部控制工作落到实处。帮助这些人克服抵触之心时，首先要让他们端正思想态度，真正认识到内部控制是企业长远发展的必要工作，即使大量耗费成本、影响工作效率也不能退缩。通过努力真正达到审计标准，将向市场和公众彰显公司管控水平，是颇有价值的。
　　恐惧之心
　　萨班斯对企业风险的控制极其严格，任何可能破坏企业合规运营、伤害股东利益的风险点都会被纠出来审计一番。于是，一少部分人就对此产生了恐惧，生怕自己尚不健全的企业治理结构和力度不足的风险管理水平无法迎接萨班斯的挑战，必然会败下阵来。完全没有必要的自卑情绪会导致这部分“赶考者”产生畏难情绪，轻则影响工作效率，重则前功尽弃。
　　以IT内控为例，在合规性操作方面，企业IT运营中的流程都要保留轨迹，任何审批过程都要留有“字据”。有些人认为这样繁琐的操作会完全桎梏住企业的运转效率，以企业现有的管理水平无法实现，与其这样执行个“不可能完成的任务”，投入那么多人力、物力、时间，还不如停产算了。
　　其实不然，自己管理基础不好，应该认真检讨不足，积极弥补差距，而不应该临阵退缩，对科学的、完善的、先进的管理方式要向往而不是恐惧，看似不可逾越的高峰有时经过加倍的努力并不难攀登。
　　首先，要权衡轻重，想想不按照萨班斯要求控制风险带来后果的危害性。就算改进工作困难大，哪有比出了信息风险、严重破坏运营更可怕的吗？其次，要认识到为此投入再大的成本也在所不惜，因为打下好的基础对企业的长久发展有好处。再次，要肯于一步步改进，不要觉得目标遥远就不肯脚踏实地工作，不积跬步无以致千里，逐步的量变最终会带来质变。
　　依赖之心
　　萨班斯法案不是万能的，企业的内部控制也不能光靠萨班斯法案。一小部分参与萨班斯工作的管理人员，在对萨班斯法案一知半解后，迷信有了这洋玩意儿指导企业内控，就可以完全依赖它了，不用再做其他工作。这些管理人员犯了绝对主义的错误，企业管理没有任何特效药，任何工作都是多种管理手段综合作用的结果，而且实际环境的复杂性更需要这些手段组合变换、灵活应变。
　　萨班斯法案可运用但不能依赖，或许有一小部分人片面地以为有了萨班斯法案就能为企业带来IT安全。后“三分技术、七分管理”时代的三元动态安全运作模型指出：“技术、管理和审计在信息安全建设中同等重要，而在数学逻辑上，技术可视为加法，管理可视为乘法，审计可视为乘百分数。”即使在这个把萨班斯法案所属的安全审计抬到前所未有的高度的信息安全理论里，也明确指出萨班斯只是反馈监督手段，没有实际作用力，要想做好安全，还是要技术、管理双管齐下，审计是个执行力督导者。
　　所以，利用萨班斯法案审计促进工作，以外部压力来促进一些工作落实的同时，不能依赖上萨班斯法案。完全等着萨班斯法案来帮你控制风险，很容易出现两种情况：审计开始时，原先的风险漏洞太大，一下子补不上；执行者为了萨班斯而萨班斯，工作太有“针对性”，而不是真正地控制风险。所以说，日常的风险控制和管理建设工作还是要做好，主观上、客观上都要严格要求自己。
　　轻视之心
　　“高看”萨班斯进而产生依赖之心要不得，但如果“低瞧”这一优秀的内控法案也是不妥的。而那些对萨班斯法案的轻视之心，原因多种多样。
　　一种情况是觉得萨班斯审计不能解决企业所有风险，不治百病所以不是好药，通过萨班斯也没什么了不起的，比如美国此次也没有躲过金融海啸。IT内控中，有的人就认为萨班斯审计远不如安全技术来得实在。这样的轻视不可取，因为萨班斯从自己的角度认真控制着企业风险，对公司治理功不可没，而能够通过这一审计的企业在内控方面确实要胜他人一筹。
　　还有一种情况是觉得萨班斯审计并不难于通过，无需认真修炼内功就能轻松过关。IT内控工作中也确实有一些轻敌者存在。客观地讲，国内包括风险控制在内的企业管理水平较之国际同行，还有很大的提高空间。对于萨班斯审计，谁都不能掉以轻心，要积极迎接挑战。
　　以上是少数经验不足的管理人员初涉萨班斯时常陷入的主观层面误区，虽然大多数人并不会犯这些错误，但研究总结它们对尚未涉足萨班斯的企业来说很有参考意义。文中举的都是IT内控的例子，但整个讨论结论对非IT领域也有警戒作用，而且本着“以萨班斯为师”的精神，这些“情绪”放在一般的企业管理领域也有借鉴意义。其实，企业内控也遵循着管理工作的一般规律——态度决定一切。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。