法规遵从，企业发展必经之路

据相关媒体报道，从年初开始，中国移动在总公司和部分试点省级公司成立了专项小组，开始了首批萨班斯法案内控项目试点工作，并计划在年内在中国移动各省级全面推广。国内另外几家在美国上市的电信运营商同样加速了内控制度的完善，以达到萨班斯法案的要求。而准备海外上市的中国工商银行已完全按照国际会计标准修订了会计准则。为何这些企业纷纷做出这样的举措？在这里，我们要从“法规遵从”谈起。

“法规遵从”（Compliance）这个词近几年来在各类文章与报告中开始逐渐增多，其含义就是企业和组织在业务运作中，不仅要遵守企业自己的各项规章，而且要遵守政府和行业制定的各项法律、法规及各种规章，同时又能证明自己确实做到了相关的要求。

从整体而言，企业与组织要遵从的法规有如下几层含义：

各国政府和行业管理部门制定的各种强制性的法律法规，企业必须严格遵守；
是非强制性的业界标杆，如ITIL等相关标准，企业可以自主选择；
是企业自己订制的各种规章制度。

就对企业的影响程度而言，我们所说的“法规遵从”主要针对的是企业需要遵守的来自外部的各种法规，而这其中最重要的就是一些国外监管机构的法规，上文提到的萨班斯法案就是最重要的法规之一，它要求数千家大中型美国本土上市公司必须在2004年11月15日后结束的财政年度中遵守404条款；非美国本土公司的遵守日期则约定在2006年7月15日，在海外上市的中国企业纷纷进行相关准备正是出于这一点。

其实一直以来，多数的企业与组织都在努力地做到法规遵从。但是，随着经济与贸易的全球化以及信息技术的广泛采用，企业在法规遵从方面遇到的问题越来越复杂。尤其是一些在国外上市或者从事国际化经营的企业，一方面必须遵守各种国内的法律法规，另一方面还要满足其他国家的各种管理规定，否则就会出现严重的后果。而且，随着各国监管部门对公司治理和风险管理方面的要求需要越来越严格，企业遵守的法律法规也逐渐增多。对于企业来说，法规遵从成为了企业发展道路上必须解决的问题。

就目前来说，中国企业法规遵从的主要问题集中在信息安全与信息披露等方面，尤其是国外相关管理部门制定的一系列信息安全规定。这些规定通常分为两类，一类是保护隐私，要求管理对个人数据的“恰当”访问并要求向审计员提供对活动的防篡改跟踪功能，另一类保证数据有效，要求管理对财务数据的“恰当访问（只有授权用户可以更改数据）并要求向审计员提供对活动的访篡改跟踪功能。相关的企业与组织都必须符合这些规定，否则会受到相应的处罚。

以下就是企业经常会涉及到的几项规定：
1．美国上市企业需要遵守的《萨班斯-奥克斯莱法案（Sarbanes-Oxley）》
在一系列惹人注意的会计丑闻后美国通过了萨班斯-奥克斯莱法案。本法的目标是保护向大众报告财务信息的公司中的投资者和其他利害相关者。公司，特别是其官员和董事负责预防财务欺诈。还要求这些官员和董事执行监控与财务管理相关的运营活动的规程。该项要求包括控制访问财务和相关信息（如销售计划）、针对对该信息的改动进行审计并审查审计日志以保证符合规定。

2．保键机构需遵守的《健康保险可携性和可纠责性法案（HIPAA）》
HIPAA把医疗记录和相关信息定义为需要特别控制的受保护的健康信息。受保护的信息的范围从患者的疾病和诊断的详细情况至个人识别符，如名字、电话号码、帐号和生物统计识别符（例如，指纹和声纹）。如未遵守数据保护标准，每年每次违反标准罚款多达25,000 美元。

3．金融服务机构需遵守《格雷姆-里奇-比利雷法（GLBA）》
GLBA 要求金融机构保护其客户的非公开信息。为遵守该法，金融机构必须有经董事批准的信息保护书面计划、实施计划的策略和规程并落实计划。与HIPAA 一样，GLBA 规定了一类受保护的信息以及策略和规程要求，以保护该信息完整并保密。GLBA 还要求进行风险管理、差距分析、培训和监控，以保证有效地保障安全。

4．为加利福尼亚州客户提供服务的企业需遵守《加利福尼亚州参议院第1386 号议案》
加利福尼亚州参议院第1386 号议案要求与加利福尼亚州居民做生意的公司在有合理的理由认为未授权的人员访问了未加密的个人信息时向客户通知任何破坏安全的活动。

5．《欧洲共同体数据保密指令》
保密规定跨越了行业和国家的界限。欧洲共同体数据保密指令规定了对收集、使用和传送雇员个人信息的限制。例如，在未通知雇员（在有些情况下未事先得到雇员同意）时，守法的公司不能传送雇员信息，甚至对关联公司也不能传送。西班牙数据保护机关对与子公司共享雇员信息的组织机构处以840,000 欧元的罚款。

6．制药商需遵守美国食品和药品管理局（FDA）制药规定21 CFR第11 篇
美国关于开发药品的规定，称为21 CFR 第11 篇规定了信息安全控制措施，包括保护记录、访问控制、认证、审计跟踪控制、权限审查、电子签名安全等。这些规定的目标是保证药品开发和相关生物工艺过程完整。

类似的法律法规还有很多，各国也分别制定了一些相应的法规，例如近两年我国颁布实施的《电子签名法》、《中国信息安全产业反不正当竞争公约》等一系列法规，对企业的行为做出了严格要求。另外我国质量技术监督部门还颁布了有关信息安全方面的一系列标准，这也是企业在生产经营过程中需要遵循的内容。

目前，全球化市场竞争已逐步从技术和销售的层面发展到标准的制定和采用、法律和法规的制定以及遵从性等更高的层面。因此遵守这些法规，对那些在境外上市或从事贸易和经营活动的中国企业来说，意义十分重大。企业经营者必须遵守从事经贸活动所在国或地区的法律和法规，以免带来许多法律纠纷，造成巨大的经济损失。

不仅是境外上市或从事贸易和经营活动的中国企业要做好法规遵从，国内公司目前也面临这种强制压力。参照国外的法规，国内相关机构逐步出台了一些类似的规定，例如我国新的《证券法》、《公司法》中就在加公司治理与信息披露方面有了更严格的规定，而未来国内的各项法律法规与国外也将逐步接轨，因此对于尚未在境外上市或者开展跨国业务的企业来说，法规遵从也必须进入议事日程。

对于企业的CEO、CFO、CIO以及众多高层管理人员来说，法规遵从已经成为他们不可回避的问题。由于现在的许多法规中不仅仅对企业行为做出了规定，还规定了许多个人必须在法规中所担负的责任。企业管理者必须采取有效的手段，来保证企业能够全面地遵守各项法规。

要满足这些法规遵从方面的要求，企业一方面在业务流程上要依据法规要求，做出相应的调整，另一方面，由于现代企业中IT与业务的息息相关，因此企业的IT系统也不可避免的需要进行相对应的改变。例如目前中国几十家美国上市企业正在加紧实施“萨班斯符合项目”，未通过的企业也在加紧建设完善内部控制体系，特别是IT内部控制体系，已通过的公司正在寻求如何加强持续符合萨班斯法案。

据CIO Insight杂志报道，至少有87%的企业IT部门已经开始法规遵从工作，46%的CIO希望增加法规遵从方面的支出。但值得注意的是，去年国内的一次调查结果显示，尚有34%的企业用户从未听说过“法规遵从”的概念，而有63%的用户表示2005年企业对法规遵从的重视程度同2004年相比“没有变化”。这一数据也说明，法规遵从在中国还需要进一步的普及和推广。

——摘自CIO Insight杂志报道

了解法规遵从的大致内容之后，如何才能做到法规遵从呢？从下一篇文章开始，我们将进一步了解法规遵从的执行步骤以及过程中的相关问题和解决方法。