SOX法案促進IT治理的完善

申請免費試用、咨詢電話：400-8352-114

為符合SOX法案第404條款的要求，相關(guān)公司在IT治理的改善上做了很大的努力，主要表現(xiàn)在IT一般性控制和應(yīng)用系統(tǒng)/業(yè)務(wù)流程層面的自動控制的改進。

所謂IT一般性控制，包括IT的控制環(huán)境、對程序和數(shù)據(jù)的訪問、程序開發(fā)、程序變更和計算機日常運作和最終用戶計算環(huán)境。而應(yīng)用系統(tǒng)/業(yè)務(wù)流程層面的自動控制則主要和應(yīng)用系統(tǒng)的功能特點相關(guān)，并和IT治理間接相關(guān)。這些合規(guī)性的實踐，極大地豐富了IT治理實踐的內(nèi)容。

筆者結(jié)合自身的工作實踐，提出下列體會供探討。

SOX法案第404條款合規(guī)性實踐提出了一種檢驗IT治理成效的方法

總的說來，IT治理是一種高層次的理念，比較理論化，衡量IT治理的成熟度模型所采用的指標大都是定性指標而非量化的指標。因此IT治理成效難以得到合理的判斷和認可。

不過近年來SOX法案第404條款的合規(guī)性實踐，展示了改善IT治理和判斷IT治理成效的一種有效方法。雖然SOX法案第404條款合規(guī)性的要求有其特有的局限性，因為其主要關(guān)注的是和財務(wù)報告相關(guān)的信息系統(tǒng)，但是由此產(chǎn)生的方法論和合規(guī)性實踐，對IT治理的理論發(fā)展和實踐很有借鑒意義。

公司IT治理的一個重要部分是IT的一般性控制，其中包括IT控制環(huán)境、對程序和數(shù)據(jù)的訪問、程序開發(fā)、程序變更、計算機操作和最終用戶計算環(huán)境等領(lǐng)域。在SOX法案第404條款的合規(guī)性實踐中，上述領(lǐng)域的IT一般性控制已經(jīng)被發(fā)展成非常具體的控制要求了。

SOX法案第404條款要求的IT一般性控制的合規(guī)性實踐往往采用下列的方法。

首先是做一次IT一般性控制的現(xiàn)狀分析。然后參照COBIT的要求建立公司的IT控制目標以便進行差距分析，并在此基礎(chǔ)上找出和確定能涵蓋這些控制目標的IT一般性控制的關(guān)鍵控制點。

每個關(guān)鍵控制點的控制活動都被清晰地描述和文檔化，同時這些控制活動還必須具備可操作性和可檢驗性，最終形成所謂的IT控制矩陣(IT Control Matrix)。

相關(guān)公司都必須完成一整套與IT控制相關(guān)的文檔，即所謂的SOX法案合規(guī)性文檔，如IT政策、IT控制矩陣、IT控制活動描述、IT控制的測試方法等。隨后通過細致扎實的工作落實已被確定的IT控制點，從而使IT控制得到貫徹實施。

根據(jù)SOX法案第404條款的要求，管理層必須每年對這些控制點進行測試和評估，對測試得出的控制缺陷，則需要增設(shè)補救和改進措施，并再次測試。如果在規(guī)定的期限內(nèi)，控制缺陷還是不能得到改正，外部審計師將根據(jù)情況，針對控制缺陷和程度發(fā)表審計意見。

筆者從相關(guān)工作中體會到，將相關(guān)的IT控制措施文檔化并加以實施，再加上對IT控制進行測試和控制缺陷的補救改進工作，這可以在很大程度上將公司IT治理落到實處。

確認公司的IT控制目標是落實公司IT治理架構(gòu)的重要基礎(chǔ)工作

在SOX法案第404條款的合規(guī)性實踐中，很多公司以COBIT為參照標準，根據(jù)其具體情況確定必要的IT控制目標。由于在美國上市的公司分布在不同行業(yè)，公司的規(guī)模相差懸殊，信息系統(tǒng)的應(yīng)用范圍也有很大的不同，故對不同的公司而言，在合規(guī)性的要求下要實現(xiàn)的IT控制目標的范圍有很大的差異。

公司要實現(xiàn)的IT控制目標，與公司IT應(yīng)用的情況和公司的IT管理運作方式有關(guān)。在確定了要實現(xiàn)的IT控制目標后，接下來就是要發(fā)現(xiàn)和確認相關(guān)的IT控制點和控制活動。實現(xiàn)任何一個IT控制目標可能需要一個或多個相關(guān)的控制點，這取決于控制目標的要求和控制點的控制方式。以上工作的結(jié)果可以產(chǎn)生所謂的IT控制目標矩陣或IT控制矩陣。

確認公司的IT控制目標是落實公司IT治理架構(gòu)的一個重要基礎(chǔ)工作。在此基礎(chǔ)上制定合理的IT控制矩陣是一項很重要的工作，它對落實公司IT治理架構(gòu)和SOX法案第404條款的合規(guī)性實踐有很大的實踐意義，整個合規(guī)性活動的工作量，也與此密切相關(guān)。

定期測試IT控制活動的有效性是檢驗公司IT治理成效的試金石

在SOX法案第404條款的合規(guī)性實踐中，對IT控制活動進行定期測試是重要的一環(huán)。IT控制活動的測試分為管理層的自我評估測試和外部審計師的合規(guī)性審計測試。

無論是上述何種測試，都將根據(jù)IT控制活動發(fā)生的頻率，決定樣本的大小，并對抽取的樣本按照設(shè)計的測試步驟進行測試。IT控制的設(shè)計有效性和運行有效性二個方面將被分別測試。

按照重要性原則，公司屬下的分公司、子公司或者分支機構(gòu)，將會有選擇地接受測試。這樣的測試，一般每年進行一次，公司的管理層和公司的外部審計師都將為測試付出很大的努力。

任何被檢測出的IT控制缺陷，需要在規(guī)定的期限前改正和接受再測試?？刂迫毕萑绻荒茉谝?guī)定的期限前通過改正和測試，外部審計師會發(fā)表相應(yīng)的審計意見。因此可以說，定期測試IT控制活動對公司的IT治理的落實和改進有極大的幫助，是檢驗公司IT治理成效的一個試金石。

來源：賽迪網(wǎng)——中國計算機用戶