監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價咨詢管理系統(tǒng) | 工程設(shè)計管理系統(tǒng) | 甲方項目管理系統(tǒng) | 簽約案例 | 客戶案例 | 在線試用
X 關(guān)閉

SOX法案:點燃加強(qiáng)IT控制的星星之火

申請免費試用、咨詢電話:400-8352-114

AMTeam.org

一個看似只與公司的財務(wù)審計活動有關(guān)的法案卻牽動了全球無數(shù)CEO、CFO和CIO的神經(jīng)—這就是被稱為“自羅斯??偨y(tǒng)以來美國商業(yè)界影響最為深遠(yuǎn)的改革法案”的Sarbanes-Oxley法案(以下簡稱“SOX法案”)。國外有媒體稱,SOX法案是2005年CIO最為關(guān)注的幾件事情之一。

規(guī)避風(fēng)險、完善內(nèi)部控制,是SOX法案的核心訴求。由于企業(yè)的業(yè)務(wù)運作已經(jīng)越來越依賴于IT系統(tǒng),以致于IT控制成為企業(yè)內(nèi)部控制的重要組成部分。也正因為如此,SOX法案與IT結(jié)下了不解之緣,成為時??M繞在很多公司的CIO腦海中的一個新的詞匯。

自從2002年頒布以來,SOX法案就受到過一些非議。直到現(xiàn)在,這些非議也沒有完全平息。如歐盟就曾對該法案給予過抨擊。歐盟認(rèn)為,SOX法案的打擊面太廣,而且,由于該法案是在美國幾家公司發(fā)生會計丑聞之后匆忙制定,這便不免有事后諸葛亮之嫌。另外還有人認(rèn)為,SOX法案合規(guī)的成本太過高昂,以致于抵消了其可能帶來的收益。

盡管存有種種非議,但不可否認(rèn),在促進(jìn)相關(guān)上市公司完善內(nèi)部控制、規(guī)避商業(yè)風(fēng)險方面,SOX法案確實能夠發(fā)揮積極的作用。

對于在美國上市的30多家中國公司來說,他們正面臨著緊迫的SOX法案合規(guī)的任務(wù)—2006年7月15日之前,這些公司必須通過SOX法案內(nèi)部控制測試報告?!盀榱嗽诮刂蛊谙拗皩崿F(xiàn)SOX法案合規(guī),一些中國公司目前正熱火朝天地工作著?!碑咇R威會計師事務(wù)所的朱恩良說。

而對于更多的非在美上市的中國公司而言,雖然暫時可以置身事外,但并不意味著他們可以對加強(qiáng)公司內(nèi)部控制一事漠不關(guān)心。

實際上,無論是上海證券交易所,還是香港聯(lián)交所,都已經(jīng)先后公布了與SOX法案類似的相關(guān)法規(guī),對上市公司建立內(nèi)部稽核制度和信息披露要求進(jìn)行了探討,也對與財務(wù)報告相關(guān)的IT控制提出了要求??梢灶A(yù)見,改進(jìn)IT控制和完善IT治理,不久必將進(jìn)入更多中國公司董事會和管理層的議事日程。

來自美國的SOX法案,正在點燃中國企業(yè)加強(qiáng)IT控制的星星之火。

我們大多數(shù)人應(yīng)該都不會對“會簽”感到陌生,在工作中我們都有過會簽的經(jīng)歷:單位下發(fā)了某個文件(如規(guī)章、通知等諸如此類的東西),相關(guān)員工在看過該文件之后,在文件后面簽上自己的姓名,以表示自己已經(jīng)看過了。

這顯然是多數(shù)人工作中再普通不過的經(jīng)驗。而且,一般來講,我們認(rèn)為這種做法是必要且符合邏輯的。因為當(dāng)你簽上了自己的大名之后,就表示你對該文件所傳達(dá)的內(nèi)容已經(jīng)知曉。如果日后你的行為與文件內(nèi)容有所不符,則你不能以不知道作為理由來推卸責(zé)任。

我們一般不會認(rèn)為這種會簽的做法有何不妥,而且,確實在大多數(shù)情況下,會簽這一制度都不會帶來什么嚴(yán)重的后果。但是,如果從SOX法案所注重的內(nèi)部控制的有效性的角度來看,這種會簽的做法是有隱患的。因為,在某些特殊情況之下,如果產(chǎn)生了不好的后果,真正應(yīng)該對此負(fù)責(zé)的人卻淹沒在眾多名字之中,使得事情難以處理。

內(nèi)部控制的有效性,這正是SOX法案的核心訴求之所在。而在紛繁復(fù)雜的內(nèi)部控制系統(tǒng)之中,IT控制是內(nèi)部控制不可缺少的一部分。

IT控制不可或缺

在企業(yè)內(nèi)部控制之中,IT控制具有如此重要的地位,一個直接的原因就是,隨著信息化建設(shè)的推進(jìn)和深入,企業(yè)的日常業(yè)務(wù)運作已經(jīng)越來越依賴于IT系統(tǒng)的運行。

“現(xiàn)在,很多企業(yè),尤其是大型企業(yè),早已不是手工作業(yè)。現(xiàn)在大多實施了ERP等信息管理系統(tǒng)。各公司的產(chǎn)品和服務(wù)的提供,都要通過復(fù)雜的應(yīng)用系統(tǒng)來進(jìn)行。如財務(wù)處理,基本上也是通過信息系統(tǒng)來做的,做財務(wù)報表需要輸入賬號和密碼,這實際上就是一種IT控制的手段。SOX法案要求IT方面的內(nèi)部控制是有效的,如果無效,會影響到公司財務(wù)數(shù)據(jù)的完整性和準(zhǔn)確性?!卑灿罆嫀熓聞?wù)所科技與信息安全咨詢服務(wù)合伙人冼嘉樂說。
IT控制分為IT一般性控制和應(yīng)用系統(tǒng)控制兩種。據(jù)冼嘉樂介紹,SOX法案所規(guī)定IT一般性控制,主要包括信息系統(tǒng)開發(fā)流程的控制、程序變更管理控制、計算機(jī)運行管理控制、程序與數(shù)據(jù)訪問控制、信息系統(tǒng)安全的控制,還有IT計劃等,這些都是IT一般控制的范圍。在一般性控制之外,還有應(yīng)用系統(tǒng)的控制,大致包括應(yīng)用系統(tǒng)中設(shè)置的有關(guān)業(yè)務(wù)流程的輸入、數(shù)據(jù)處理和輸出控制。

“IT的一般性控制是非常重要的,做得不好直接影響應(yīng)用系統(tǒng)控制的有效性?!? 冼嘉樂說,“比如說,如果系統(tǒng)的安全性做得不好,就可能有人做一些未經(jīng)授權(quán)的數(shù)據(jù)的更改,或者是程序的更改。如果系統(tǒng)開發(fā)流程做得不好,肯能會影響到系統(tǒng)運行操作,從而會影響到應(yīng)用系統(tǒng)本身滿足不了商業(yè)上的要求。”

IT控制既是SOX法案的重要內(nèi)容,也和企業(yè)IT治理架構(gòu)的建立有密切的關(guān)系?!敖⒁粋€合理的IT治理架構(gòu)是實現(xiàn)有效的IT控制的基礎(chǔ)。” 畢馬威華振會計師事務(wù)所信息風(fēng)險管理部高級經(jīng)理朱恩良先生說,“IT控制的有效性,直接反映了IT治理的成效?!?

安永的冼嘉樂對此也持類似的看法,他說:“IT治理是一個宏觀的基礎(chǔ),是從上到下的管理模式。IT治理涉及到IT的規(guī)范運作,公司只有建立了完整的IT規(guī)范,有了明確的方向,IT控制才能達(dá)到高級管理層的要求?!?

控制缺陷從何而來

控制之所以必須,就是因為沒有控制就會產(chǎn)生缺陷。SOX法案之所以要強(qiáng)調(diào)IT控制的有效性,也正是因為在現(xiàn)有的企業(yè)IT運作中,存在著一些控制上的缺陷。

據(jù)冼嘉樂介紹,企業(yè)現(xiàn)在的IT控制上的缺陷主要有以下幾種。

在系統(tǒng)開發(fā)過程中,中國的很多企業(yè)都習(xí)慣于誰開發(fā)誰負(fù)責(zé)。從內(nèi)部控制的角度來看,這種習(xí)慣性做法是不對的。開發(fā)過程的很多環(huán)節(jié)需要有不同的人來審批,如果只是一個人負(fù)責(zé),容易產(chǎn)生隱患。

在數(shù)據(jù)備份方面,一般來說,良好的數(shù)據(jù)備份管理要求建立異地備份,而有的企業(yè)沒有異地備份。有的企業(yè)所謂的異地備份實際上是在同一個大廈,只是不在同一樓層,這是沒有意義的。

在系統(tǒng)訪問控制方面,要求用戶登錄系統(tǒng)時輸入密碼,密碼長度是多少,都是應(yīng)該有規(guī)定的。有的企業(yè)雖然也有類似的規(guī)定,但在實際操作過程中,有些密碼是默認(rèn)的,或者在系統(tǒng)配置上沒有符合有關(guān)規(guī)定中的要求。密碼只有一位數(shù),一位數(shù)的密碼顯然發(fā)揮不了應(yīng)有的作用。

此外,用戶的權(quán)限管理方面也容易存在缺陷,用戶的權(quán)限和自己的工作職責(zé)是不一致的,什么人都可以訪問系統(tǒng)和數(shù)據(jù),這顯然會產(chǎn)生漏洞。

有很多公司在各地都有分公司,可是很多分公司不按照總公司的要求來做,這也會導(dǎo)致控制上的缺陷。

在畢馬威的朱恩良看來,IT控制缺陷之所以會產(chǎn)生,與企業(yè)重功能輕控制的傾向直接相關(guān)?!拔覀儗T應(yīng)用于管理也有近20年了,長期以來,企業(yè)都只看重系統(tǒng)能發(fā)揮什么作用,為自己解決什么問題,卻忽略了IT的控制,即如何保證系統(tǒng)的安全?!?

這種重功能輕控制的傾向?qū)е缕髽I(yè)對于IT控制方面的認(rèn)識嚴(yán)重不足,甚至就從來沒想過要進(jìn)行IT控制。而且,如果不做IT審計,往往看不到有什么問題,可是,如果用某種嚴(yán)格的標(biāo)準(zhǔn)來衡量,會發(fā)現(xiàn)問題很多。

比如說,在很多企業(yè),開發(fā)程序的人有進(jìn)入應(yīng)用系統(tǒng)的權(quán)力,因為有時候要對應(yīng)用系統(tǒng)進(jìn)行修改。大家認(rèn)為這是正常的,也是這樣做的。但這可能就是一個缺陷。程序員可以修改應(yīng)用系統(tǒng),這實際上是很危險的。如果這是個非常關(guān)鍵的系統(tǒng),那么危險性就很大。程序的變更應(yīng)該有規(guī)范的流程來控制,進(jìn)入系統(tǒng)應(yīng)該有嚴(yán)格的審批過程。但在現(xiàn)實中,很多企業(yè)往往沒有建立這種制度。
冼嘉樂認(rèn)為,控制上的缺陷之所以容易產(chǎn)生,還有一個重要原因就是,控制和業(yè)務(wù)操作的目的存在相互沖突的地方。一般來講,企業(yè)的業(yè)務(wù)操作追求的是效率,即我們做某一件事,總是希望越快越好。如果有了一個很標(biāo)準(zhǔn)化的控制過程,如規(guī)定只有做好了某個環(huán)節(jié)才能轉(zhuǎn)到下一個流程,這樣就可能影響了效率,減緩了工作的進(jìn)程。

如在系統(tǒng)開發(fā)流程中,如果一些公司沒有建立IT內(nèi)部控制,他們很快會開發(fā)好一個IT系統(tǒng)??墒侨绻鶕?jù)SOX法案,在系統(tǒng)開發(fā)流程中,要首先獲取用戶的需求,每一步都要經(jīng)過管理層的審批,審批完之后再讓程序員去編寫程序,做好后再做測試,用戶也來測試,認(rèn)可之后簽字,簽完字系統(tǒng)再交給獨立的人去實施,這需要一個很長的過程。而這個過程往往會以效率為代價,所以企業(yè)很容易對嚴(yán)格的控制過程產(chǎn)生反感。

一件需要巨大投入的“麻煩事”

自從美國于2002年頒布SOX法案以來,所有在美國證券交易委員會注冊的約14000家公司就不得不開始努力實現(xiàn)SOX法案的合規(guī)。這其中包括在美國上市的新浪、搜狐、UT斯達(dá)康、亞信、中國聯(lián)通、中國網(wǎng)通、中石油、中石化、華能國際電力等30多家中國公司。根據(jù)美國證券交易委員會的最新規(guī)定,在美國上市的海外公司,最晚必須在2006年7月15日之前實現(xiàn)SOX法案合規(guī)。

據(jù)悉,迄今為止,在美國上市的中國公司中,只有新浪和搜狐已經(jīng)通過了SOX法案合規(guī)的評測?!盀榱嗽诮刂蛊谙拗皩崿F(xiàn)SOX法案合規(guī),一些中國公司目前正熱火朝天地工作著?!碑咇R威公司的朱恩良說。

實現(xiàn)SOX法案合規(guī),對于所有企業(yè)而言,都是一個需要投入很多資源、幾乎涉及全公司所有部門的“麻煩”工程。“IT控制有效性的實現(xiàn)是一個很復(fù)雜的過程,其難度和工作量超出一般的想像?!敝於髁颊f,“不少著名的跨國公司,雖然以前在IT治理上曾做過很多努力,也取得過不俗的成績,但為了實現(xiàn)SOX法案合規(guī),還是以巨額資金和人力的投入,用于IT控制的改善。而對于IT控制原本就很弱的公司,其難度就更大了。”據(jù)說,正是因為難度巨大,以前一些原本打算赴美上市的中國企業(yè)因此而不得不考慮改變上市地點。

難度之所以如此之大,就是因為企業(yè)IT控制系統(tǒng)的完善是一個極為復(fù)雜的工程。企業(yè)首先要對自己的IT一般性控制進(jìn)行現(xiàn)狀分析,找出一般性控制的關(guān)鍵控制點?!耙话銇碇v,企業(yè)的關(guān)鍵控制點有1000多個?!北本┗埸c科技開發(fā)有限公司(以下簡稱慧點科技)總裁姜曉丹說。實際上,關(guān)鍵控制點多的企業(yè)可以多達(dá)上萬個。

目前,有很多企業(yè)選用COBIT作為公司IT治理的一個標(biāo)準(zhǔn)。COBIT由美國IT治理研究院開發(fā)與推廣,目前已經(jīng)成為國際上公認(rèn)的IT管理和控制的標(biāo)準(zhǔn)。COBIT架構(gòu)由34個高層控制目標(biāo)和318個細(xì)節(jié)控制目標(biāo)組成。通過有選擇地部分實現(xiàn)這些目標(biāo),企業(yè)可以建立一個合理的IT治理架構(gòu),從而實現(xiàn)對IT的有效控制。

內(nèi)外合作實現(xiàn)SOX法案合規(guī)性

企業(yè)實現(xiàn)SOX法案合規(guī)的工作,不可能由企業(yè)自己獨立完成。

一般來講,企業(yè)會和著名的會計師事務(wù)所合作,由會計師事務(wù)所向企業(yè)提供咨詢。會計師事務(wù)所幫助企業(yè)理清內(nèi)部控制的流程,并結(jié)合企業(yè)的業(yè)務(wù)系統(tǒng)的特點和COBIT的標(biāo)準(zhǔn),確認(rèn)關(guān)鍵控制點,完善企業(yè)的內(nèi)部控制手冊,尋找內(nèi)部控制的缺陷,并進(jìn)行完善,一步步提高企業(yè)內(nèi)部控制的水平。就目前而言,企業(yè)實現(xiàn)SOX法案合規(guī)的咨詢工作一般是由安永、畢馬威、普華永道和德勤這四大會計師事務(wù)所來完成的。

除了有高水平的咨詢公司幫助之外,企業(yè)內(nèi)部各個層面的全力推進(jìn)自然也是必不可少的。

“企業(yè)一定要成立一個項目管理小組(PMO),這個小組不僅僅要有財務(wù)和審計方面的人員,還要有IT方面的代表。做這樣的項目時,需要高級管理層和下面多溝通,一起配合。總公司和分公司要協(xié)調(diào)好。如果沒有高級管理層推進(jìn),肯定會有問題?!辟螛氛f。
安永參與了中國某家大型國有企業(yè)的SOX法案合規(guī)項目?!斑@個項目我們與客戶從2004年底開始一起計劃,2005年初啟動,現(xiàn)在再過幾周就要完成了?!? 冼嘉樂說,“我們先幫助客戶記錄有關(guān)商業(yè)流程,然后識別控制點,找出缺陷,并進(jìn)行完善。整個工作量很大,我們將近投入了部門一半的人手?!睋?jù)稱,在同類項目中,這算是實施非常順利的一個項目。而之所以會如此順利,就與該公司高層領(lǐng)導(dǎo)的大力支持和推進(jìn)密切相關(guān),該公司曾召開視頻會議要求公司各層面積極配合。

SOX法案之于IT服務(wù)商

SOX法案不僅對在美國上市的公司產(chǎn)生了直接的影響,而且也間接影響了IT服務(wù)商。

“SOX法案對IT服務(wù)商也提出了更高的要求?!敝於髁颊f,“上市公司因為要滿足SOX法案的要求,自然就會對IT服務(wù)商的產(chǎn)品和服務(wù)提出更高的要求。比如說用戶口令。現(xiàn)在沒有口令是不能進(jìn)入系統(tǒng)的。但在相關(guān)標(biāo)準(zhǔn)里面,對口令的設(shè)置是有規(guī)定的,如長度要達(dá)到幾位數(shù),要有字母和數(shù)字的混合,以及大小寫的混合等,這就要求IT服務(wù)商的產(chǎn)品能夠自動檢測口令是否符合要求,能否將不合要求的口令排除在外。所以,IT服務(wù)商的產(chǎn)品必須要做到這一點?!?

不過,對于IT服務(wù)商而言,SOX法案為其帶來的更為重要的影響是增加了商機(jī)。

2005年7月19日上午,在華能國際電力股份有限公司(以下簡稱華能國際),華能國際、普華永道、慧點科技和IBM四方,一起對華能國際的SOX法案項目進(jìn)行了驗收。驗收結(jié)果得到各方的認(rèn)可。

“這是國內(nèi)第一個在IT平臺之上實施SOX法案內(nèi)部控制工作的案例?!碑?dāng)天下午,慧點科技助理總裁馬東紅不無自豪地對記者說。

由于實現(xiàn)SOX法案遵從的內(nèi)部控制工作極為復(fù)雜,一些IT服務(wù)商也嗅到了其中的商機(jī)。有企業(yè)專門針對SOX法案開發(fā)出一套平臺軟件,以幫助上市公司更快更順利地完成這一極為復(fù)雜的工作過程。

IBM就專門針對SOX法案開了一套集成軟件產(chǎn)品IBM Lotus Workplace for Business Controls and Reporting(簡稱WBCR)。該產(chǎn)品已在國外運用于金融服務(wù)業(yè)、電信業(yè)、保險業(yè)、電子產(chǎn)品制造及零售業(yè)等,例如在美國的廷頓國家銀行和CERES集團(tuán)保險公司。

2004年,IBM將該產(chǎn)品引入中國市場進(jìn)行推廣。最初,IBM是獨立進(jìn)行該產(chǎn)品的推廣工作,可是收效并不是很好。后來,IBM便尋求與其他公司合作,共同推廣這套產(chǎn)品?;埸c科技由于此前與IBM有多年良好的合作,而且,慧點科技在Lotus方面技術(shù)力量不錯,WBCR正好是基于Lotus平臺,在慧點科技的努力之下,該公司成為IBM的WBCR在中國市場的唯一代理服務(wù)商。

華能國際1994年在美國紐約股票交易所上市,按照規(guī)定,該公司也面臨著SOX法案遵從的任務(wù)。該公司現(xiàn)在是國內(nèi)最大的電力上市公司,下屬40多個分廠,主要包括火電和水電兩方面的業(yè)務(wù),公司效益不錯。由于分廠很多,該公司所面臨的SOX法案遵從的工作量也很大。為了更順利地推進(jìn)SOX法案遵從工作,2005年3月初,華能國際和慧點科技達(dá)成合作協(xié)議。

“我們提供一個平臺和解決方案,使他們的工作做得更有效。這套解決方案能在整個過程中幫助企業(yè)管理流程,記錄流程中發(fā)生的文檔和數(shù)據(jù),方便企業(yè)最后做測試和評估,并寫出報告,而且還能幫助企業(yè)的CEO和CFO及時看到企業(yè)在流程中的風(fēng)險狀況?!被埸c科技總裁姜曉丹說。

如今,WBCR在華能國際的主要實施工作已經(jīng)基本完成。慧點科技和IBM正在著手進(jìn)行進(jìn)一步的推廣?!半m然在美國上市的中國企業(yè)目前并不太多,但是,在企業(yè)內(nèi)部控制越來越受重視的環(huán)境之下,我們對這套產(chǎn)品的前景充滿信心?!苯獣缘ふf。

來源:硅谷動力

發(fā)布:2007-03-25 10:12    編輯:泛普軟件 · xiaona    [打印此頁]    [關(guān)閉]
相關(guān)文章:
長沙OA系統(tǒng)
聯(lián)系方式

成都公司:成都市成華區(qū)建設(shè)南路160號1層9號

重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓

咨詢:400-8352-114

加微信,免費獲取試用系統(tǒng)

QQ在線咨詢