SOX法案：點燃加強(qiáng)IT控制的星星之火Ⅰ

申請免費(fèi)試用、咨詢電話：400-8352-114

一個看似只與公司的財務(wù)審計活動有關(guān)的法案卻牽動了全球無數(shù)CEO、CFO和CIO的神經(jīng)—這就是被稱為“自羅斯福總統(tǒng)以來美國商業(yè)界影響最為深遠(yuǎn)的改革法案”的Sarbanes-Oxley法案(以下簡稱“SOX法案”)。國外有媒體稱，SOX法案是2005年CIO最為關(guān)注的幾件事情之一。

規(guī)避風(fēng)險、完善內(nèi)部控制，是SOX法案的核心訴求。由于企業(yè)的業(yè)務(wù)運(yùn)作已經(jīng)越來越依賴于IT系統(tǒng)，以致于IT控制成為企業(yè)內(nèi)部控制的重要組成部分。也正因為如此，SOX法案與IT結(jié)下了不解之緣，成為時常縈繞在很多公司的CIO腦海中的一個新的詞匯。

自從2002年頒布以來，SOX法案就受到過一些非議。直到現(xiàn)在，這些非議也沒有完全平息。如歐盟就曾對該法案給予過抨擊。歐盟認(rèn)為，SOX法案的打擊面太廣，而且，由于該法案是在美國幾家公司發(fā)生會計丑聞之后匆忙制定，這便不免有事后諸葛亮之嫌。另外還有人認(rèn)為，SOX法案合規(guī)的成本太過高昂，以致于抵消了其可能帶來的收益。

盡管存有種種非議，但不可否認(rèn)，在促進(jìn)相關(guān)上市公司完善內(nèi)部控制、規(guī)避商業(yè)風(fēng)險方面，SOX法案確實能夠發(fā)揮積極的作用。

對于在美國上市的30多家中國公司來說，他們正面臨著緊迫的SOX法案合規(guī)的任務(wù)—2006年7月15日之前，這些公司必須通過SOX法案內(nèi)部控制測試報告?！盀榱嗽诮刂蛊谙拗皩崿F(xiàn)SOX法案合規(guī)，一些中國公司目前正熱火朝天地工作著。”畢馬威會計師事務(wù)所的朱恩良說。

而對于更多的非在美上市的中國公司而言，雖然暫時可以置身事外，但并不意味著他們可以對加強(qiáng)公司內(nèi)部控制一事漠不關(guān)心。

實際上，無論是上海證券交易所，還是香港聯(lián)交所，都已經(jīng)先后公布了與SOX法案類似的相關(guān)法規(guī)，對上市公司建立內(nèi)部稽核制度和信息披露要求進(jìn)行了探討，也對與財務(wù)報告相關(guān)的IT控制提出了要求?？梢灶A(yù)見，改進(jìn)IT控制和完善IT治理，不久必將進(jìn)入更多中國公司董事會和管理層的議事日程。

來自美國的SOX法案，正在點燃中國企業(yè)加強(qiáng)IT控制的星星之火。

我們大多數(shù)人應(yīng)該都不會對“會簽”感到陌生，在工作中我們都有過會簽的經(jīng)歷：單位下發(fā)了某個文件（如規(guī)章、通知等諸如此類的東西），相關(guān)員工在看過該文件之后，在文件后面簽上自己的姓名，以表示自己已經(jīng)看過了。

這顯然是多數(shù)人工作中再普通不過的經(jīng)驗。而且，一般來講，我們認(rèn)為這種做法是必要且符合邏輯的。因為當(dāng)你簽上了自己的大名之后，就表示你對該文件所傳達(dá)的內(nèi)容已經(jīng)知曉。如果日后你的行為與文件內(nèi)容有所不符，則你不能以不知道作為理由來推卸責(zé)任。

我們一般不會認(rèn)為這種會簽的做法有何不妥，而且，確實在大多數(shù)情況下，會簽這一制度都不會帶來什么嚴(yán)重的后果。但是，如果從SOX法案所注重的內(nèi)部控制的有效性的角度來看，這種會簽的做法是有隱患的。因為，在某些特殊情況之下，如果產(chǎn)生了不好的后果，真正應(yīng)該對此負(fù)責(zé)的人卻淹沒在眾多名字之中，使得事情難以處理。

內(nèi)部控制的有效性，這正是SOX法案的核心訴求之所在。而在紛繁復(fù)雜的內(nèi)部控制系統(tǒng)之中，IT控制是內(nèi)部控制不可缺少的一部分。

IT控制不可或缺

在企業(yè)內(nèi)部控制之中，IT控制具有如此重要的地位，一個直接的原因就是，隨著信息化建設(shè)的推進(jìn)和深入，企業(yè)的日常業(yè)務(wù)運(yùn)作已經(jīng)越來越依賴于IT系統(tǒng)的運(yùn)行。

“現(xiàn)在，很多企業(yè)，尤其是大型企業(yè)，早已不是手工作業(yè)。現(xiàn)在大多實施了ERP等信息管理系統(tǒng)。各公司的產(chǎn)品和服務(wù)的提供，都要通過復(fù)雜的應(yīng)用系統(tǒng)來進(jìn)行。如財務(wù)處理，基本上也是通過信息系統(tǒng)來做的，做財務(wù)報表需要輸入賬號和密碼，這實際上就是一種IT控制的手段。SOX法案要求IT方面的內(nèi)部控制是有效的，如果無效，會影響到公司財務(wù)數(shù)據(jù)的完整性和準(zhǔn)確性。”安永會計師事務(wù)所科技與信息安全咨詢服務(wù)合伙人冼嘉樂說。

IT控制分為IT一般性控制和應(yīng)用系統(tǒng)控制兩種。據(jù)冼嘉樂介紹，SOX法案所規(guī)定IT一般性控制，主要包括信息系統(tǒng)開發(fā)流程的控制、程序變更管理控制、計算機(jī)運(yùn)行管理控制、程序與數(shù)據(jù)訪問控制、信息系統(tǒng)安全的控制，還有IT計劃等，這些都是IT一般控制的范圍。在一般性控制之外，還有應(yīng)用系統(tǒng)的控制，大致包括應(yīng)用系統(tǒng)中設(shè)置的有關(guān)業(yè)務(wù)流程的輸入、數(shù)據(jù)處理和輸出控制。

“IT的一般性控制是非常重要的，做得不好直接影響應(yīng)用系統(tǒng)控制的有效性?！? 冼嘉樂說，“比如說，如果系統(tǒng)的安全性做得不好，就可能有人做一些未經(jīng)授權(quán)的數(shù)據(jù)的更改，或者是程序的更改。如果系統(tǒng)開發(fā)流程做得不好，肯能會影響到系統(tǒng)運(yùn)行操作，從而會影響到應(yīng)用系統(tǒng)本身滿足不了商業(yè)上的要求?！?

IT控制既是SOX法案的重要內(nèi)容，也和企業(yè)IT治理架構(gòu)的建立有密切的關(guān)系?！敖⒁粋€合理的IT治理架構(gòu)是實現(xiàn)有效的IT控制的基礎(chǔ)。” 畢馬威華振會計師事務(wù)所信息風(fēng)險管理部高級經(jīng)理朱恩良先生說，“IT控制的有效性，直接反映了IT治理的成效。”

安永的冼嘉樂對此也持類似的看法，他說：“IT治理是一個宏觀的基礎(chǔ)，是從上到下的管理模式。IT治理涉及到IT的規(guī)范運(yùn)作，公司只有建立了完整的IT規(guī)范，有了明確的方向，IT控制才能達(dá)到高級管理層的要求。”

控制缺陷從何而來

控制之所以必須，就是因為沒有控制就會產(chǎn)生缺陷。SOX法案之所以要強(qiáng)調(diào)IT控制的有效性，也正是因為在現(xiàn)有的企業(yè)IT運(yùn)作中，存在著一些控制上的缺陷。

據(jù)冼嘉樂介紹，企業(yè)現(xiàn)在的IT控制上的缺陷主要有以下幾種。

在系統(tǒng)開發(fā)過程中，中國的很多企業(yè)都習(xí)慣于誰開發(fā)誰負(fù)責(zé)。從內(nèi)部控制的角度來看，這種習(xí)慣性做法是不對的。開發(fā)過程的很多環(huán)節(jié)需要有不同的人來審批，如果只是一個人負(fù)責(zé)，容易產(chǎn)生隱患。

在數(shù)據(jù)備份方面，一般來說，良好的數(shù)據(jù)備份管理要求建立異地備份，而有的企業(yè)沒有異地備份。有的企業(yè)所謂的異地備份實際上是在同一個大廈，只是不在同一樓層，這是沒有意義的。

在系統(tǒng)訪問控制方面，要求用戶登錄系統(tǒng)時輸入密碼，密碼長度是多少，都是應(yīng)該有規(guī)定的。有的企業(yè)雖然也有類似的規(guī)定，但在實際操作過程中，有些密碼是默認(rèn)的，或者在系統(tǒng)配置上沒有符合有關(guān)規(guī)定中的要求。密碼只有一位數(shù)，一位數(shù)的密碼顯然發(fā)揮不了應(yīng)有的作用。

此外，用戶的權(quán)限管理方面也容易存在缺陷，用戶的權(quán)限和自己的工作職責(zé)是不一致的，什么人都可以訪問系統(tǒng)和數(shù)據(jù)，這顯然會產(chǎn)生漏洞。

有很多公司在各地都有分公司，可是很多分公司不按照總公司的要求來做，這也會導(dǎo)致控制上的缺陷。

在畢馬威的朱恩良看來，IT控制缺陷之所以會產(chǎn)生，與企業(yè)重功能輕控制的傾向直接相關(guān)。“我們將IT應(yīng)用于管理也有近20年了，長期以來，企業(yè)都只看重系統(tǒng)能發(fā)揮什么作用，為自己解決什么問題，卻忽略了IT的控制，即如何保證系統(tǒng)的安全。”

這種重功能輕控制的傾向?qū)е缕髽I(yè)對于IT控制方面的認(rèn)識嚴(yán)重不足，甚至就從來沒想過要進(jìn)行IT控制。而且，如果不做IT審計，往往看不到有什么問題，可是，如果用某種嚴(yán)格的標(biāo)準(zhǔn)來衡量，會發(fā)現(xiàn)問題很多。

比如說，在很多企業(yè)，開發(fā)程序的人有進(jìn)入應(yīng)用系統(tǒng)的權(quán)力，因為有時候要對應(yīng)用系統(tǒng)進(jìn)行修改。大家認(rèn)為這是正常的，也是這樣做的。但這可能就是一個缺陷。程序員可以修改應(yīng)用系統(tǒng)，這實際上是很危險的。如果這是個非常關(guān)鍵的系統(tǒng)，那么危險性就很大。程序的變更應(yīng)該有規(guī)范的流程來控制，進(jìn)入系統(tǒng)應(yīng)該有嚴(yán)格的審批過程。但在現(xiàn)實中，很多企業(yè)往往沒有建立這種制度。

來源：賽迪網(wǎng)——中國計算機(jī)用戶

SOX法案：點燃加強(qiáng)IT控制的星星之火Ⅱ