SOX法案：點(diǎn)燃加強(qiáng)IT控制的星星之火

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

一個(gè)看似只與公司的財(cái)務(wù)審計(jì)活動(dòng)有關(guān)的法案卻牽動(dòng)了全球無數(shù)CEO、CFO和CIO的神經(jīng)—這就是被稱為“自羅斯?？偨y(tǒng)以來美國(guó)商業(yè)界影響最為深遠(yuǎn)的改革法案”的Sarbanes-Oxley法案(以下簡(jiǎn)稱“SOX法案”)。國(guó)外有媒體稱，SOX法案是2005年CIO最為關(guān)注的幾件事情之一。

規(guī)避風(fēng)險(xiǎn)、完善內(nèi)部控制，是SOX法案的核心訴求。由于企業(yè)的業(yè)務(wù)運(yùn)作已經(jīng)越來越依賴于IT系統(tǒng)，以致于IT控制成為企業(yè)內(nèi)部控制的重要組成部分。也正因?yàn)槿绱耍琒OX法案與IT結(jié)下了不解之緣，成為時(shí)?？M繞在很多公司的CIO腦海中的一個(gè)新的詞匯。

自從2002年頒布以來，SOX法案就受到過一些非議。直到現(xiàn)在，這些非議也沒有完全平息。如歐盟就曾對(duì)該法案給予過抨擊。歐盟認(rèn)為，SOX法案的打擊面太廣，而且，由于該法案是在美國(guó)幾家公司發(fā)生會(huì)計(jì)丑聞之后匆忙制定，這便不免有事后諸葛亮之嫌。另外還有人認(rèn)為，SOX法案合規(guī)的成本太過高昂，以致于抵消了其可能帶來的收益。

盡管存有種種非議，但不可否認(rèn)，在促進(jìn)相關(guān)上市公司完善內(nèi)部控制、規(guī)避商業(yè)風(fēng)險(xiǎn)方面，SOX法案確實(shí)能夠發(fā)揮積極的作用。

對(duì)于在美國(guó)上市的30多家中國(guó)公司來說，他們正面臨著緊迫的SOX法案合規(guī)的任務(wù)—2006年7月15日之前，這些公司必須通過SOX法案內(nèi)部控制測(cè)試報(bào)告。“為了在截止期限之前實(shí)現(xiàn)SOX法案合規(guī)，一些中國(guó)公司目前正熱火朝天地工作著。”畢馬威會(huì)計(jì)師事務(wù)所的朱恩良說。

而對(duì)于更多的非在美上市的中國(guó)公司而言，雖然暫時(shí)可以置身事外，但并不意味著他們可以對(duì)加強(qiáng)公司內(nèi)部控制一事漠不關(guān)心。

實(shí)際上，無論是上海證券交易所，還是香港聯(lián)交所，都已經(jīng)先后公布了與SOX法案類似的相關(guān)法規(guī)，對(duì)上市公司建立內(nèi)部稽核制度和信息披露要求進(jìn)行了探討，也對(duì)與財(cái)務(wù)報(bào)告相關(guān)的IT控制提出了要求。可以預(yù)見，改進(jìn)IT控制和完善IT治理，不久必將進(jìn)入更多中國(guó)公司董事會(huì)和管理層的議事日程。

來自美國(guó)的SOX法案，正在點(diǎn)燃中國(guó)企業(yè)加強(qiáng)IT控制的星星之火。

我們大多數(shù)人應(yīng)該都不會(huì)對(duì)“會(huì)簽”感到陌生，在工作中我們都有過會(huì)簽的經(jīng)歷：?jiǎn)挝幌掳l(fā)了某個(gè)文件（如規(guī)章、通知等諸如此類的東西），相關(guān)員工在看過該文件之后，在文件后面簽上自己的姓名，以表示自己已經(jīng)看過了。

這顯然是多數(shù)人工作中再普通不過的經(jīng)驗(yàn)。而且，一般來講，我們認(rèn)為這種做法是必要且符合邏輯的。因?yàn)楫?dāng)你簽上了自己的大名之后，就表示你對(duì)該文件所傳達(dá)的內(nèi)容已經(jīng)知曉。如果日后你的行為與文件內(nèi)容有所不符，則你不能以不知道作為理由來推卸責(zé)任。

我們一般不會(huì)認(rèn)為這種會(huì)簽的做法有何不妥，而且，確實(shí)在大多數(shù)情況下，會(huì)簽這一制度都不會(huì)帶來什么嚴(yán)重的后果。但是，如果從SOX法案所注重的內(nèi)部控制的有效性的角度來看，這種會(huì)簽的做法是有隱患的。因?yàn)?，在某些特殊情況之下，如果產(chǎn)生了不好的后果，真正應(yīng)該對(duì)此負(fù)責(zé)的人卻淹沒在眾多名字之中，使得事情難以處理。

內(nèi)部控制的有效性，這正是SOX法案的核心訴求之所在。而在紛繁復(fù)雜的內(nèi)部控制系統(tǒng)之中，IT控制是內(nèi)部控制不可缺少的一部分。

IT控制不可或缺

在企業(yè)內(nèi)部控制之中，IT控制具有如此重要的地位，一個(gè)直接的原因就是，隨著信息化建設(shè)的推進(jìn)和深入，企業(yè)的日常業(yè)務(wù)運(yùn)作已經(jīng)越來越依賴于IT系統(tǒng)的運(yùn)行。

“現(xiàn)在，很多企業(yè)，尤其是大型企業(yè)，早已不是手工作業(yè)?，F(xiàn)在大多實(shí)施了ERP等信息管理系統(tǒng)。各公司的產(chǎn)品和服務(wù)的提供，都要通過復(fù)雜的應(yīng)用系統(tǒng)來進(jìn)行。如財(cái)務(wù)處理，基本上也是通過信息系統(tǒng)來做的，做財(cái)務(wù)報(bào)表需要輸入賬號(hào)和密碼，這實(shí)際上就是一種IT控制的手段。SOX法案要求IT方面的內(nèi)部控制是有效的，如果無效，會(huì)影響到公司財(cái)務(wù)數(shù)據(jù)的完整性和準(zhǔn)確性?！卑灿罆?huì)計(jì)師事務(wù)所科技與信息安全咨詢服務(wù)合伙人冼嘉樂說。
IT控制分為IT一般性控制和應(yīng)用系統(tǒng)控制兩種。據(jù)冼嘉樂介紹，SOX法案所規(guī)定IT一般性控制，主要包括信息系統(tǒng)開發(fā)流程的控制、程序變更管理控制、計(jì)算機(jī)運(yùn)行管理控制、程序與數(shù)據(jù)訪問控制、信息系統(tǒng)安全的控制，還有IT計(jì)劃等，這些都是IT一般控制的范圍。在一般性控制之外，還有應(yīng)用系統(tǒng)的控制，大致包括應(yīng)用系統(tǒng)中設(shè)置的有關(guān)業(yè)務(wù)流程的輸入、數(shù)據(jù)處理和輸出控制。

“IT的一般性控制是非常重要的，做得不好直接影響應(yīng)用系統(tǒng)控制的有效性?！? 冼嘉樂說，“比如說，如果系統(tǒng)的安全性做得不好，就可能有人做一些未經(jīng)授權(quán)的數(shù)據(jù)的更改，或者是程序的更改。如果系統(tǒng)開發(fā)流程做得不好，肯能會(huì)影響到系統(tǒng)運(yùn)行操作，從而會(huì)影響到應(yīng)用系統(tǒng)本身滿足不了商業(yè)上的要求?！?

IT控制既是SOX法案的重要內(nèi)容，也和企業(yè)IT治理架構(gòu)的建立有密切的關(guān)系。“建立一個(gè)合理的IT治理架構(gòu)是實(shí)現(xiàn)有效的IT控制的基礎(chǔ)。” 畢馬威華振會(huì)計(jì)師事務(wù)所信息風(fēng)險(xiǎn)管理部高級(jí)經(jīng)理朱恩良先生說，“IT控制的有效性，直接反映了IT治理的成效?！?

安永的冼嘉樂對(duì)此也持類似的看法，他說：“IT治理是一個(gè)宏觀的基礎(chǔ)，是從上到下的管理模式。IT治理涉及到IT的規(guī)范運(yùn)作，公司只有建立了完整的IT規(guī)范，有了明確的方向，IT控制才能達(dá)到高級(jí)管理層的要求。”

控制缺陷從何而來

控制之所以必須，就是因?yàn)闆]有控制就會(huì)產(chǎn)生缺陷。SOX法案之所以要強(qiáng)調(diào)IT控制的有效性，也正是因?yàn)樵诂F(xiàn)有的企業(yè)IT運(yùn)作中，存在著一些控制上的缺陷。

據(jù)冼嘉樂介紹，企業(yè)現(xiàn)在的IT控制上的缺陷主要有以下幾種。

在系統(tǒng)開發(fā)過程中，中國(guó)的很多企業(yè)都習(xí)慣于誰開發(fā)誰負(fù)責(zé)。從內(nèi)部控制的角度來看，這種習(xí)慣性做法是不對(duì)的。開發(fā)過程的很多環(huán)節(jié)需要有不同的人來審批，如果只是一個(gè)人負(fù)責(zé)，容易產(chǎn)生隱患。

在數(shù)據(jù)備份方面，一般來說，良好的數(shù)據(jù)備份管理要求建立異地備份，而有的企業(yè)沒有異地備份。有的企業(yè)所謂的異地備份實(shí)際上是在同一個(gè)大廈，只是不在同一樓層，這是沒有意義的。

在系統(tǒng)訪問控制方面，要求用戶登錄系統(tǒng)時(shí)輸入密碼，密碼長(zhǎng)度是多少，都是應(yīng)該有規(guī)定的。有的企業(yè)雖然也有類似的規(guī)定，但在實(shí)際操作過程中，有些密碼是默認(rèn)的，或者在系統(tǒng)配置上沒有符合有關(guān)規(guī)定中的要求。密碼只有一位數(shù)，一位數(shù)的密碼顯然發(fā)揮不了應(yīng)有的作用。

此外，用戶的權(quán)限管理方面也容易存在缺陷，用戶的權(quán)限和自己的工作職責(zé)是不一致的，什么人都可以訪問系統(tǒng)和數(shù)據(jù)，這顯然會(huì)產(chǎn)生漏洞。

有很多公司在各地都有分公司，可是很多分公司不按照總公司的要求來做，這也會(huì)導(dǎo)致控制上的缺陷。

在畢馬威的朱恩良看來，IT控制缺陷之所以會(huì)產(chǎn)生，與企業(yè)重功能輕控制的傾向直接相關(guān)?！拔覀儗T應(yīng)用于管理也有近20年了，長(zhǎng)期以來，企業(yè)都只看重系統(tǒng)能發(fā)揮什么作用，為自己解決什么問題，卻忽略了IT的控制，即如何保證系統(tǒng)的安全。”

這種重功能輕控制的傾向?qū)е缕髽I(yè)對(duì)于IT控制方面的認(rèn)識(shí)嚴(yán)重不足，甚至就從來沒想過要進(jìn)行IT控制。而且，如果不做IT審計(jì)，往往看不到有什么問題，可是，如果用某種嚴(yán)格的標(biāo)準(zhǔn)來衡量，會(huì)發(fā)現(xiàn)問題很多。

比如說，在很多企業(yè)，開發(fā)程序的人有進(jìn)入應(yīng)用系統(tǒng)的權(quán)力，因?yàn)橛袝r(shí)候要對(duì)應(yīng)用系統(tǒng)進(jìn)行修改。大家認(rèn)為這是正常的，也是這樣做的。但這可能就是一個(gè)缺陷。程序員可以修改應(yīng)用系統(tǒng)，這實(shí)際上是很危險(xiǎn)的。如果這是個(gè)非常關(guān)鍵的系統(tǒng)，那么危險(xiǎn)性就很大。程序的變更應(yīng)該有規(guī)范的流程來控制，進(jìn)入系統(tǒng)應(yīng)該有嚴(yán)格的審批過程。但在現(xiàn)實(shí)中，很多企業(yè)往往沒有建立這種制度。
冼嘉樂認(rèn)為，控制上的缺陷之所以容易產(chǎn)生，還有一個(gè)重要原因就是，控制和業(yè)務(wù)操作的目的存在相互沖突的地方。一般來講，企業(yè)的業(yè)務(wù)操作追求的是效率，即我們做某一件事，總是希望越快越好。如果有了一個(gè)很標(biāo)準(zhǔn)化的控制過程，如規(guī)定只有做好了某個(gè)環(huán)節(jié)才能轉(zhuǎn)到下一個(gè)流程，這樣就可能影響了效率，減緩了工作的進(jìn)程。

如在系統(tǒng)開發(fā)流程中，如果一些公司沒有建立IT內(nèi)部控制，他們很快會(huì)開發(fā)好一個(gè)IT系統(tǒng)。可是如果根據(jù)SOX法案，在系統(tǒng)開發(fā)流程中，要首先獲取用戶的需求，每一步都要經(jīng)過管理層的審批，審批完之后再讓程序員去編寫程序，做好后再做測(cè)試，用戶也來測(cè)試，認(rèn)可之后簽字，簽完字系統(tǒng)再交給獨(dú)立的人去實(shí)施，這需要一個(gè)很長(zhǎng)的過程。而這個(gè)過程往往會(huì)以效率為代價(jià)，所以企業(yè)很容易對(duì)嚴(yán)格的控制過程產(chǎn)生反感。

一件需要巨大投入的“麻煩事”

自從美國(guó)于2002年頒布SOX法案以來，所有在美國(guó)證券交易委員會(huì)注冊(cè)的約14000家公司就不得不開始努力實(shí)現(xiàn)SOX法案的合規(guī)。這其中包括在美國(guó)上市的新浪、搜狐、UT斯達(dá)康、亞信、中國(guó)聯(lián)通、中國(guó)網(wǎng)通、中石油、中石化、華能國(guó)際電力等30多家中國(guó)公司。根據(jù)美國(guó)證券交易委員會(huì)的最新規(guī)定，在美國(guó)上市的海外公司，最晚必須在2006年7月15日之前實(shí)現(xiàn)SOX法案合規(guī)。

據(jù)悉，迄今為止，在美國(guó)上市的中國(guó)公司中，只有新浪和搜狐已經(jīng)通過了SOX法案合規(guī)的評(píng)測(cè)?！盀榱嗽诮刂蛊谙拗皩?shí)現(xiàn)SOX法案合規(guī)，一些中國(guó)公司目前正熱火朝天地工作著?！碑咇R威公司的朱恩良說。

實(shí)現(xiàn)SOX法案合規(guī)，對(duì)于所有企業(yè)而言，都是一個(gè)需要投入很多資源、幾乎涉及全公司所有部門的“麻煩”工程?！癐T控制有效性的實(shí)現(xiàn)是一個(gè)很復(fù)雜的過程，其難度和工作量超出一般的想像?！敝於髁颊f，“不少著名的跨國(guó)公司，雖然以前在IT治理上曾做過很多努力，也取得過不俗的成績(jī)，但為了實(shí)現(xiàn)SOX法案合規(guī)，還是以巨額資金和人力的投入，用于IT控制的改善。而對(duì)于IT控制原本就很弱的公司，其難度就更大了?！睋?jù)說，正是因?yàn)殡y度巨大，以前一些原本打算赴美上市的中國(guó)企業(yè)因此而不得不考慮改變上市地點(diǎn)。

難度之所以如此之大，就是因?yàn)槠髽I(yè)IT控制系統(tǒng)的完善是一個(gè)極為復(fù)雜的工程。企業(yè)首先要對(duì)自己的IT一般性控制進(jìn)行現(xiàn)狀分析，找出一般性控制的關(guān)鍵控制點(diǎn)?！耙话銇碇v，企業(yè)的關(guān)鍵控制點(diǎn)有1000多個(gè)。”北京慧點(diǎn)科技開發(fā)有限公司（以下簡(jiǎn)稱慧點(diǎn)科技）總裁姜曉丹說。實(shí)際上，關(guān)鍵控制點(diǎn)多的企業(yè)可以多達(dá)上萬個(gè)。

目前，有很多企業(yè)選用COBIT作為公司IT治理的一個(gè)標(biāo)準(zhǔn)。COBIT由美國(guó)IT治理研究院開發(fā)與推廣，目前已經(jīng)成為國(guó)際上公認(rèn)的IT管理和控制的標(biāo)準(zhǔn)。COBIT架構(gòu)由34個(gè)高層控制目標(biāo)和318個(gè)細(xì)節(jié)控制目標(biāo)組成。通過有選擇地部分實(shí)現(xiàn)這些目標(biāo)，企業(yè)可以建立一個(gè)合理的IT治理架構(gòu)，從而實(shí)現(xiàn)對(duì)IT的有效控制。

內(nèi)外合作實(shí)現(xiàn)SOX法案合規(guī)性

企業(yè)實(shí)現(xiàn)SOX法案合規(guī)的工作，不可能由企業(yè)自己獨(dú)立完成。

一般來講，企業(yè)會(huì)和著名的會(huì)計(jì)師事務(wù)所合作，由會(huì)計(jì)師事務(wù)所向企業(yè)提供咨詢。會(huì)計(jì)師事務(wù)所幫助企業(yè)理清內(nèi)部控制的流程，并結(jié)合企業(yè)的業(yè)務(wù)系統(tǒng)的特點(diǎn)和COBIT的標(biāo)準(zhǔn)，確認(rèn)關(guān)鍵控制點(diǎn)，完善企業(yè)的內(nèi)部控制手冊(cè)，尋找內(nèi)部控制的缺陷，并進(jìn)行完善，一步步提高企業(yè)內(nèi)部控制的水平。就目前而言，企業(yè)實(shí)現(xiàn)SOX法案合規(guī)的咨詢工作一般是由安永、畢馬威、普華永道和德勤這四大會(huì)計(jì)師事務(wù)所來完成的。

除了有高水平的咨詢公司幫助之外，企業(yè)內(nèi)部各個(gè)層面的全力推進(jìn)自然也是必不可少的。

“企業(yè)一定要成立一個(gè)項(xiàng)目管理小組（PMO），這個(gè)小組不僅僅要有財(cái)務(wù)和審計(jì)方面的人員，還要有IT方面的代表。做這樣的項(xiàng)目時(shí)，需要高級(jí)管理層和下面多溝通，一起配合。總公司和分公司要協(xié)調(diào)好。如果沒有高級(jí)管理層推進(jìn)，肯定會(huì)有問題。”冼嘉樂說。
安永參與了中國(guó)某家大型國(guó)有企業(yè)的SOX法案合規(guī)項(xiàng)目?！斑@個(gè)項(xiàng)目我們與客戶從2004年底開始一起計(jì)劃，2005年初啟動(dòng)，現(xiàn)在再過幾周就要完成了?！? 冼嘉樂說，“我們先幫助客戶記錄有關(guān)商業(yè)流程，然后識(shí)別控制點(diǎn)，找出缺陷，并進(jìn)行完善。整個(gè)工作量很大，我們將近投入了部門一半的人手?！睋?jù)稱，在同類項(xiàng)目中，這算是實(shí)施非常順利的一個(gè)項(xiàng)目。而之所以會(huì)如此順利，就與該公司高層領(lǐng)導(dǎo)的大力支持和推進(jìn)密切相關(guān)，該公司曾召開視頻會(huì)議要求公司各層面積極配合。

SOX法案之于IT服務(wù)商

SOX法案不僅對(duì)在美國(guó)上市的公司產(chǎn)生了直接的影響，而且也間接影響了IT服務(wù)商。

“SOX法案對(duì)IT服務(wù)商也提出了更高的要求。”朱恩良說，“上市公司因?yàn)橐獫M足SOX法案的要求，自然就會(huì)對(duì)IT服務(wù)商的產(chǎn)品和服務(wù)提出更高的要求。比如說用戶口令?，F(xiàn)在沒有口令是不能進(jìn)入系統(tǒng)的。但在相關(guān)標(biāo)準(zhǔn)里面，對(duì)口令的設(shè)置是有規(guī)定的，如長(zhǎng)度要達(dá)到幾位數(shù)，要有字母和數(shù)字的混合，以及大小寫的混合等，這就要求IT服務(wù)商的產(chǎn)品能夠自動(dòng)檢測(cè)口令是否符合要求，能否將不合要求的口令排除在外。所以，IT服務(wù)商的產(chǎn)品必須要做到這一點(diǎn)?！?

不過，對(duì)于IT服務(wù)商而言，SOX法案為其帶來的更為重要的影響是增加了商機(jī)。

2005年7月19日上午，在華能國(guó)際電力股份有限公司（以下簡(jiǎn)稱華能國(guó)際），華能國(guó)際、普華永道、慧點(diǎn)科技和IBM四方，一起對(duì)華能國(guó)際的SOX法案項(xiàng)目進(jìn)行了驗(yàn)收。驗(yàn)收結(jié)果得到各方的認(rèn)可。

“這是國(guó)內(nèi)第一個(gè)在IT平臺(tái)之上實(shí)施SOX法案內(nèi)部控制工作的案例?！碑?dāng)天下午，慧點(diǎn)科技助理總裁馬東紅不無自豪地對(duì)記者說。

由于實(shí)現(xiàn)SOX法案遵從的內(nèi)部控制工作極為復(fù)雜，一些IT服務(wù)商也嗅到了其中的商機(jī)。有企業(yè)專門針對(duì)SOX法案開發(fā)出一套平臺(tái)軟件，以幫助上市公司更快更順利地完成這一極為復(fù)雜的工作過程。

IBM就專門針對(duì)SOX法案開了一套集成軟件產(chǎn)品IBM Lotus Workplace for Business Controls and Reporting(簡(jiǎn)稱WBCR)。該產(chǎn)品已在國(guó)外運(yùn)用于金融服務(wù)業(yè)、電信業(yè)、保險(xiǎn)業(yè)、電子產(chǎn)品制造及零售業(yè)等，例如在美國(guó)的廷頓國(guó)家銀行和CERES集團(tuán)保險(xiǎn)公司。

2004年，IBM將該產(chǎn)品引入中國(guó)市場(chǎng)進(jìn)行推廣。最初，IBM是獨(dú)立進(jìn)行該產(chǎn)品的推廣工作，可是收效并不是很好。后來，IBM便尋求與其他公司合作，共同推廣這套產(chǎn)品?；埸c(diǎn)科技由于此前與IBM有多年良好的合作，而且，慧點(diǎn)科技在Lotus方面技術(shù)力量不錯(cuò)，WBCR正好是基于Lotus平臺(tái)，在慧點(diǎn)科技的努力之下，該公司成為IBM的WBCR在中國(guó)市場(chǎng)的唯一代理服務(wù)商。

華能國(guó)際1994年在美國(guó)紐約股票交易所上市，按照規(guī)定，該公司也面臨著SOX法案遵從的任務(wù)。該公司現(xiàn)在是國(guó)內(nèi)最大的電力上市公司，下屬40多個(gè)分廠，主要包括火電和水電兩方面的業(yè)務(wù)，公司效益不錯(cuò)。由于分廠很多，該公司所面臨的SOX法案遵從的工作量也很大。為了更順利地推進(jìn)SOX法案遵從工作，2005年3月初，華能國(guó)際和慧點(diǎn)科技達(dá)成合作協(xié)議。

“我們提供一個(gè)平臺(tái)和解決方案，使他們的工作做得更有效。這套解決方案能在整個(gè)過程中幫助企業(yè)管理流程，記錄流程中發(fā)生的文檔和數(shù)據(jù)，方便企業(yè)最后做測(cè)試和評(píng)估，并寫出報(bào)告，而且還能幫助企業(yè)的CEO和CFO及時(shí)看到企業(yè)在流程中的風(fēng)險(xiǎn)狀況?！被埸c(diǎn)科技總裁姜曉丹說。

如今，WBCR在華能國(guó)際的主要實(shí)施工作已經(jīng)基本完成。慧點(diǎn)科技和IBM正在著手進(jìn)行進(jìn)一步的推廣?！半m然在美國(guó)上市的中國(guó)企業(yè)目前并不太多，但是，在企業(yè)內(nèi)部控制越來越受重視的環(huán)境之下，我們對(duì)這套產(chǎn)品的前景充滿信心?！苯獣缘ふf。

來源：硅谷動(dòng)力