SOX法案：點(diǎn)燃加強(qiáng)IT控制的星星之火Ⅱ

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

冼嘉樂(lè)認(rèn)為，控制上的缺陷之所以容易產(chǎn)生，還有一個(gè)重要原因就是，控制和業(yè)務(wù)操作的目的存在相互沖突的地方。一般來(lái)講，企業(yè)的業(yè)務(wù)操作追求的是效率，即我們做某一件事，總是希望越快越好。如果有了一個(gè)很標(biāo)準(zhǔn)化的控制過(guò)程，如規(guī)定只有做好了某個(gè)環(huán)節(jié)才能轉(zhuǎn)到下一個(gè)流程，這樣就可能影響了效率，減緩了工作的進(jìn)程。

如在系統(tǒng)開(kāi)發(fā)流程中，如果一些公司沒(méi)有建立IT內(nèi)部控制，他們很快會(huì)開(kāi)發(fā)好一個(gè)IT系統(tǒng)?？墒侨绻鶕?jù)SOX法案，在系統(tǒng)開(kāi)發(fā)流程中，要首先獲取用戶的需求，每一步都要經(jīng)過(guò)管理層的審批，審批完之后再讓程序員去編寫(xiě)程序，做好后再做測(cè)試，用戶也來(lái)測(cè)試，認(rèn)可之后簽字，簽完字系統(tǒng)再交給獨(dú)立的人去實(shí)施，這需要一個(gè)很長(zhǎng)的過(guò)程。而這個(gè)過(guò)程往往會(huì)以效率為代價(jià)，所以企業(yè)很容易對(duì)嚴(yán)格的控制過(guò)程產(chǎn)生反感。

一件需要巨大投入的“麻煩事”

自從美國(guó)于2002年頒布SOX法案以來(lái)，所有在美國(guó)證券交易委員會(huì)注冊(cè)的約14000家公司就不得不開(kāi)始努力實(shí)現(xiàn)SOX法案的合規(guī)。這其中包括在美國(guó)上市的新浪、搜狐、UT斯達(dá)康、亞信、中國(guó)聯(lián)通、中國(guó)網(wǎng)通、中石油、中石化、華能?chē)?guó)際電力等30多家中國(guó)公司。根據(jù)美國(guó)證券交易委員會(huì)的最新規(guī)定，在美國(guó)上市的海外公司，最晚必須在2006年7月15日之前實(shí)現(xiàn)SOX法案合規(guī)。

據(jù)悉，迄今為止，在美國(guó)上市的中國(guó)公司中，只有新浪和搜狐已經(jīng)通過(guò)了SOX法案合規(guī)的評(píng)測(cè)?！盀榱嗽诮刂蛊谙拗皩?shí)現(xiàn)SOX法案合規(guī)，一些中國(guó)公司目前正熱火朝天地工作著?！碑咇R威公司的朱恩良說(shuō)。

實(shí)現(xiàn)SOX法案合規(guī)，對(duì)于所有企業(yè)而言，都是一個(gè)需要投入很多資源、幾乎涉及全公司所有部門(mén)的“麻煩”工程。“IT控制有效性的實(shí)現(xiàn)是一個(gè)很復(fù)雜的過(guò)程，其難度和工作量超出一般的想像?！敝於髁颊f(shuō)，“不少著名的跨國(guó)公司，雖然以前在IT治理上曾做過(guò)很多努力，也取得過(guò)不俗的成績(jī)，但為了實(shí)現(xiàn)SOX法案合規(guī)，還是以巨額資金和人力的投入，用于IT控制的改善。而對(duì)于IT控制原本就很弱的公司，其難度就更大了?！睋?jù)說(shuō)，正是因?yàn)殡y度巨大，以前一些原本打算赴美上市的中國(guó)企業(yè)因此而不得不考慮改變上市地點(diǎn)。

難度之所以如此之大，就是因?yàn)槠髽I(yè)IT控制系統(tǒng)的完善是一個(gè)極為復(fù)雜的工程。企業(yè)首先要對(duì)自己的IT一般性控制進(jìn)行現(xiàn)狀分析，找出一般性控制的關(guān)鍵控制點(diǎn)。“一般來(lái)講，企業(yè)的關(guān)鍵控制點(diǎn)有1000多個(gè)?！北本┗埸c(diǎn)科技開(kāi)發(fā)有限公司（以下簡(jiǎn)稱(chēng)慧點(diǎn)科技）總裁姜曉丹說(shuō)。實(shí)際上，關(guān)鍵控制點(diǎn)多的企業(yè)可以多達(dá)上萬(wàn)個(gè)。

目前，有很多企業(yè)選用COBIT作為公司IT治理的一個(gè)標(biāo)準(zhǔn)。COBIT由美國(guó)IT治理研究院開(kāi)發(fā)與推廣，目前已經(jīng)成為國(guó)際上公認(rèn)的IT管理和控制的標(biāo)準(zhǔn)。COBIT架構(gòu)由34個(gè)高層控制目標(biāo)和318個(gè)細(xì)節(jié)控制目標(biāo)組成。通過(guò)有選擇地部分實(shí)現(xiàn)這些目標(biāo)，企業(yè)可以建立一個(gè)合理的IT治理架構(gòu)，從而實(shí)現(xiàn)對(duì)IT的有效控制。

內(nèi)外合作實(shí)現(xiàn)SOX法案合規(guī)性

企業(yè)實(shí)現(xiàn)SOX法案合規(guī)的工作，不可能由企業(yè)自己獨(dú)立完成。

一般來(lái)講，企業(yè)會(huì)和著名的會(huì)計(jì)師事務(wù)所合作，由會(huì)計(jì)師事務(wù)所向企業(yè)提供咨詢。會(huì)計(jì)師事務(wù)所幫助企業(yè)理清內(nèi)部控制的流程，并結(jié)合企業(yè)的業(yè)務(wù)系統(tǒng)的特點(diǎn)和COBIT的標(biāo)準(zhǔn)，確認(rèn)關(guān)鍵控制點(diǎn)，完善企業(yè)的內(nèi)部控制手冊(cè)，尋找內(nèi)部控制的缺陷，并進(jìn)行完善，一步步提高企業(yè)內(nèi)部控制的水平。就目前而言，企業(yè)實(shí)現(xiàn)SOX法案合規(guī)的咨詢工作一般是由安永、畢馬威、普華永道和德勤這四大會(huì)計(jì)師事務(wù)所來(lái)完成的。

除了有高水平的咨詢公司幫助之外，企業(yè)內(nèi)部各個(gè)層面的全力推進(jìn)自然也是必不可少的。

“企業(yè)一定要成立一個(gè)項(xiàng)目管理小組（PMO），這個(gè)小組不僅僅要有財(cái)務(wù)和審計(jì)方面的人員，還要有IT方面的代表。做這樣的項(xiàng)目時(shí)，需要高級(jí)管理層和下面多溝通，一起配合。總公司和分公司要協(xié)調(diào)好。如果沒(méi)有高級(jí)管理層推進(jìn)，肯定會(huì)有問(wèn)題?！辟螛?lè)說(shuō)。

安永參與了中國(guó)某家大型國(guó)有企業(yè)的SOX法案合規(guī)項(xiàng)目。“這個(gè)項(xiàng)目我們與客戶從2004年底開(kāi)始一起計(jì)劃，2005年初啟動(dòng)，現(xiàn)在再過(guò)幾周就要完成了?！? 冼嘉樂(lè)說(shuō)，“我們先幫助客戶記錄有關(guān)商業(yè)流程，然后識(shí)別控制點(diǎn)，找出缺陷，并進(jìn)行完善。整個(gè)工作量很大，我們將近投入了部門(mén)一半的人手?！睋?jù)稱(chēng)，在同類(lèi)項(xiàng)目中，這算是實(shí)施非常順利的一個(gè)項(xiàng)目。而之所以會(huì)如此順利，就與該公司高層領(lǐng)導(dǎo)的大力支持和推進(jìn)密切相關(guān)，該公司曾召開(kāi)視頻會(huì)議要求公司各層面積極配合。

SOX法案之于IT服務(wù)商

SOX法案不僅對(duì)在美國(guó)上市的公司產(chǎn)生了直接的影響，而且也間接影響了IT服務(wù)商。

“SOX法案對(duì)IT服務(wù)商也提出了更高的要求?！敝於髁颊f(shuō)，“上市公司因?yàn)橐獫M足SOX法案的要求，自然就會(huì)對(duì)IT服務(wù)商的產(chǎn)品和服務(wù)提出更高的要求。比如說(shuō)用戶口令。現(xiàn)在沒(méi)有口令是不能進(jìn)入系統(tǒng)的。但在相關(guān)標(biāo)準(zhǔn)里面，對(duì)口令的設(shè)置是有規(guī)定的，如長(zhǎng)度要達(dá)到幾位數(shù)，要有字母和數(shù)字的混合，以及大小寫(xiě)的混合等，這就要求IT服務(wù)商的產(chǎn)品能夠自動(dòng)檢測(cè)口令是否符合要求，能否將不合要求的口令排除在外。所以，IT服務(wù)商的產(chǎn)品必須要做到這一點(diǎn)?！?

不過(guò)，對(duì)于IT服務(wù)商而言，SOX法案為其帶來(lái)的更為重要的影響是增加了商機(jī)。

2005年7月19日上午，在華能?chē)?guó)際電力股份有限公司（以下簡(jiǎn)稱(chēng)華能?chē)?guó)際），華能?chē)?guó)際、普華永道、慧點(diǎn)科技和IBM四方，一起對(duì)華能?chē)?guó)際的SOX法案項(xiàng)目進(jìn)行了驗(yàn)收。驗(yàn)收結(jié)果得到各方的認(rèn)可。

“這是國(guó)內(nèi)第一個(gè)在IT平臺(tái)之上實(shí)施SOX法案內(nèi)部控制工作的案例?！碑?dāng)天下午，慧點(diǎn)科技助理總裁馬東紅不無(wú)自豪地對(duì)記者說(shuō)。

由于實(shí)現(xiàn)SOX法案遵從的內(nèi)部控制工作極為復(fù)雜，一些IT服務(wù)商也嗅到了其中的商機(jī)。有企業(yè)專(zhuān)門(mén)針對(duì)SOX法案開(kāi)發(fā)出一套平臺(tái)軟件，以幫助上市公司更快更順利地完成這一極為復(fù)雜的工作過(guò)程。

IBM就專(zhuān)門(mén)針對(duì)SOX法案開(kāi)了一套集成軟件產(chǎn)品IBM Lotus Workplace for Business Controls and Reporting(簡(jiǎn)稱(chēng)WBCR)。該產(chǎn)品已在國(guó)外運(yùn)用于金融服務(wù)業(yè)、電信業(yè)、保險(xiǎn)業(yè)、電子產(chǎn)品制造及零售業(yè)等，例如在美國(guó)的廷頓國(guó)家銀行和CERES集團(tuán)保險(xiǎn)公司。

2004年，IBM將該產(chǎn)品引入中國(guó)市場(chǎng)進(jìn)行推廣。最初，IBM是獨(dú)立進(jìn)行該產(chǎn)品的推廣工作，可是收效并不是很好。后來(lái)，IBM便尋求與其他公司合作，共同推廣這套產(chǎn)品。慧點(diǎn)科技由于此前與IBM有多年良好的合作，而且，慧點(diǎn)科技在Lotus方面技術(shù)力量不錯(cuò)，WBCR正好是基于Lotus平臺(tái)，在慧點(diǎn)科技的努力之下，該公司成為IBM的WBCR在中國(guó)市場(chǎng)的唯一代理服務(wù)商。

華能?chē)?guó)際1994年在美國(guó)紐約股票交易所上市，按照規(guī)定，該公司也面臨著SOX法案遵從的任務(wù)。該公司現(xiàn)在是國(guó)內(nèi)最大的電力上市公司，下屬40多個(gè)分廠，主要包括火電和水電兩方面的業(yè)務(wù)，公司效益不錯(cuò)。由于分廠很多，該公司所面臨的SOX法案遵從的工作量也很大。為了更順利地推進(jìn)SOX法案遵從工作，2005年3月初，華能?chē)?guó)際和慧點(diǎn)科技達(dá)成合作協(xié)議。

“我們提供一個(gè)平臺(tái)和解決方案，使他們的工作做得更有效。這套解決方案能在整個(gè)過(guò)程中幫助企業(yè)管理流程，記錄流程中發(fā)生的文檔和數(shù)據(jù)，方便企業(yè)最后做測(cè)試和評(píng)估，并寫(xiě)出報(bào)告，而且還能幫助企業(yè)的CEO和CFO及時(shí)看到企業(yè)在流程中的風(fēng)險(xiǎn)狀況。”慧點(diǎn)科技總裁姜曉丹說(shuō)。

如今，WBCR在華能?chē)?guó)際的主要實(shí)施工作已經(jīng)基本完成。慧點(diǎn)科技和IBM正在著手進(jìn)行進(jìn)一步的推廣。“雖然在美國(guó)上市的中國(guó)企業(yè)目前并不太多，但是，在企業(yè)內(nèi)部控制越來(lái)越受重視的環(huán)境之下，我們對(duì)這套產(chǎn)品的前景充滿信心?！苯獣缘ふf(shuō)。

來(lái)源：賽迪網(wǎng)——中國(guó)計(jì)算機(jī)用戶

SOX法案：點(diǎn)燃加強(qiáng)IT控制的星星之火Ⅰ