SOX法案：點(diǎn)燃加強(qiáng)IT控制的星星之火Ⅰ

申請(qǐng)免費(fèi)試用、咨詢(xún)電話(huà)：400-8352-114

一個(gè)看似只與公司的財(cái)務(wù)審計(jì)活動(dòng)有關(guān)的法案卻牽動(dòng)了全球無(wú)數(shù)CEO、CFO和CIO的神經(jīng)—這就是被稱(chēng)為“自羅斯?？偨y(tǒng)以來(lái)美國(guó)商業(yè)界影響最為深遠(yuǎn)的改革法案”的Sarbanes-Oxley法案(以下簡(jiǎn)稱(chēng)“SOX法案”)。國(guó)外有媒體稱(chēng)，SOX法案是2005年CIO最為關(guān)注的幾件事情之一。

規(guī)避風(fēng)險(xiǎn)、完善內(nèi)部控制，是SOX法案的核心訴求。由于企業(yè)的業(yè)務(wù)運(yùn)作已經(jīng)越來(lái)越依賴(lài)于IT系統(tǒng)，以致于IT控制成為企業(yè)內(nèi)部控制的重要組成部分。也正因?yàn)槿绱耍琒OX法案與IT結(jié)下了不解之緣，成為時(shí)?？M繞在很多公司的CIO腦海中的一個(gè)新的詞匯。

自從2002年頒布以來(lái)，SOX法案就受到過(guò)一些非議。直到現(xiàn)在，這些非議也沒(méi)有完全平息。如歐盟就曾對(duì)該法案給予過(guò)抨擊。歐盟認(rèn)為，SOX法案的打擊面太廣，而且，由于該法案是在美國(guó)幾家公司發(fā)生會(huì)計(jì)丑聞之后匆忙制定，這便不免有事后諸葛亮之嫌。另外還有人認(rèn)為，SOX法案合規(guī)的成本太過(guò)高昂，以致于抵消了其可能帶來(lái)的收益。

盡管存有種種非議，但不可否認(rèn)，在促進(jìn)相關(guān)上市公司完善內(nèi)部控制、規(guī)避商業(yè)風(fēng)險(xiǎn)方面，SOX法案確實(shí)能夠發(fā)揮積極的作用。

對(duì)于在美國(guó)上市的30多家中國(guó)公司來(lái)說(shuō)，他們正面臨著緊迫的SOX法案合規(guī)的任務(wù)—2006年7月15日之前，這些公司必須通過(guò)SOX法案內(nèi)部控制測(cè)試報(bào)告。“為了在截止期限之前實(shí)現(xiàn)SOX法案合規(guī)，一些中國(guó)公司目前正熱火朝天地工作著?！碑咇R威會(huì)計(jì)師事務(wù)所的朱恩良說(shuō)。

而對(duì)于更多的非在美上市的中國(guó)公司而言，雖然暫時(shí)可以置身事外，但并不意味著他們可以對(duì)加強(qiáng)公司內(nèi)部控制一事漠不關(guān)心。

實(shí)際上，無(wú)論是上海證券交易所，還是香港聯(lián)交所，都已經(jīng)先后公布了與SOX法案類(lèi)似的相關(guān)法規(guī)，對(duì)上市公司建立內(nèi)部稽核制度和信息披露要求進(jìn)行了探討，也對(duì)與財(cái)務(wù)報(bào)告相關(guān)的IT控制提出了要求?？梢灶A(yù)見(jiàn)，改進(jìn)IT控制和完善IT治理，不久必將進(jìn)入更多中國(guó)公司董事會(huì)和管理層的議事日程。

來(lái)自美國(guó)的SOX法案，正在點(diǎn)燃中國(guó)企業(yè)加強(qiáng)IT控制的星星之火。

我們大多數(shù)人應(yīng)該都不會(huì)對(duì)“會(huì)簽”感到陌生，在工作中我們都有過(guò)會(huì)簽的經(jīng)歷：?jiǎn)挝幌掳l(fā)了某個(gè)文件（如規(guī)章、通知等諸如此類(lèi)的東西），相關(guān)員工在看過(guò)該文件之后，在文件后面簽上自己的姓名，以表示自己已經(jīng)看過(guò)了。

這顯然是多數(shù)人工作中再普通不過(guò)的經(jīng)驗(yàn)。而且，一般來(lái)講，我們認(rèn)為這種做法是必要且符合邏輯的。因?yàn)楫?dāng)你簽上了自己的大名之后，就表示你對(duì)該文件所傳達(dá)的內(nèi)容已經(jīng)知曉。如果日后你的行為與文件內(nèi)容有所不符，則你不能以不知道作為理由來(lái)推卸責(zé)任。

我們一般不會(huì)認(rèn)為這種會(huì)簽的做法有何不妥，而且，確實(shí)在大多數(shù)情況下，會(huì)簽這一制度都不會(huì)帶來(lái)什么嚴(yán)重的后果。但是，如果從SOX法案所注重的內(nèi)部控制的有效性的角度來(lái)看，這種會(huì)簽的做法是有隱患的。因?yàn)?，在某些特殊情況之下，如果產(chǎn)生了不好的后果，真正應(yīng)該對(duì)此負(fù)責(zé)的人卻淹沒(méi)在眾多名字之中，使得事情難以處理。

內(nèi)部控制的有效性，這正是SOX法案的核心訴求之所在。而在紛繁復(fù)雜的內(nèi)部控制系統(tǒng)之中，IT控制是內(nèi)部控制不可缺少的一部分。

IT控制不可或缺

在企業(yè)內(nèi)部控制之中，IT控制具有如此重要的地位，一個(gè)直接的原因就是，隨著信息化建設(shè)的推進(jìn)和深入，企業(yè)的日常業(yè)務(wù)運(yùn)作已經(jīng)越來(lái)越依賴(lài)于IT系統(tǒng)的運(yùn)行。

“現(xiàn)在，很多企業(yè)，尤其是大型企業(yè)，早已不是手工作業(yè)。現(xiàn)在大多實(shí)施了ERP等信息管理系統(tǒng)。各公司的產(chǎn)品和服務(wù)的提供，都要通過(guò)復(fù)雜的應(yīng)用系統(tǒng)來(lái)進(jìn)行。如財(cái)務(wù)處理，基本上也是通過(guò)信息系統(tǒng)來(lái)做的，做財(cái)務(wù)報(bào)表需要輸入賬號(hào)和密碼，這實(shí)際上就是一種IT控制的手段。SOX法案要求IT方面的內(nèi)部控制是有效的，如果無(wú)效，會(huì)影響到公司財(cái)務(wù)數(shù)據(jù)的完整性和準(zhǔn)確性。”安永會(huì)計(jì)師事務(wù)所科技與信息安全咨詢(xún)服務(wù)合伙人冼嘉樂(lè)說(shuō)。

IT控制分為IT一般性控制和應(yīng)用系統(tǒng)控制兩種。據(jù)冼嘉樂(lè)介紹，SOX法案所規(guī)定IT一般性控制，主要包括信息系統(tǒng)開(kāi)發(fā)流程的控制、程序變更管理控制、計(jì)算機(jī)運(yùn)行管理控制、程序與數(shù)據(jù)訪(fǎng)問(wèn)控制、信息系統(tǒng)安全的控制，還有IT計(jì)劃等，這些都是IT一般控制的范圍。在一般性控制之外，還有應(yīng)用系統(tǒng)的控制，大致包括應(yīng)用系統(tǒng)中設(shè)置的有關(guān)業(yè)務(wù)流程的輸入、數(shù)據(jù)處理和輸出控制。

“IT的一般性控制是非常重要的，做得不好直接影響應(yīng)用系統(tǒng)控制的有效性?！? 冼嘉樂(lè)說(shuō)，“比如說(shuō)，如果系統(tǒng)的安全性做得不好，就可能有人做一些未經(jīng)授權(quán)的數(shù)據(jù)的更改，或者是程序的更改。如果系統(tǒng)開(kāi)發(fā)流程做得不好，肯能會(huì)影響到系統(tǒng)運(yùn)行操作，從而會(huì)影響到應(yīng)用系統(tǒng)本身滿(mǎn)足不了商業(yè)上的要求?！?

IT控制既是SOX法案的重要內(nèi)容，也和企業(yè)IT治理架構(gòu)的建立有密切的關(guān)系?！敖⒁粋€(gè)合理的IT治理架構(gòu)是實(shí)現(xiàn)有效的IT控制的基礎(chǔ)?！? 畢馬威華振會(huì)計(jì)師事務(wù)所信息風(fēng)險(xiǎn)管理部高級(jí)經(jīng)理朱恩良先生說(shuō)，“IT控制的有效性，直接反映了IT治理的成效。”

安永的冼嘉樂(lè)對(duì)此也持類(lèi)似的看法，他說(shuō)：“IT治理是一個(gè)宏觀的基礎(chǔ)，是從上到下的管理模式。IT治理涉及到IT的規(guī)范運(yùn)作，公司只有建立了完整的IT規(guī)范，有了明確的方向，IT控制才能達(dá)到高級(jí)管理層的要求?！?

控制缺陷從何而來(lái)

控制之所以必須，就是因?yàn)闆](méi)有控制就會(huì)產(chǎn)生缺陷。SOX法案之所以要強(qiáng)調(diào)IT控制的有效性，也正是因?yàn)樵诂F(xiàn)有的企業(yè)IT運(yùn)作中，存在著一些控制上的缺陷。

據(jù)冼嘉樂(lè)介紹，企業(yè)現(xiàn)在的IT控制上的缺陷主要有以下幾種。

在系統(tǒng)開(kāi)發(fā)過(guò)程中，中國(guó)的很多企業(yè)都習(xí)慣于誰(shuí)開(kāi)發(fā)誰(shuí)負(fù)責(zé)。從內(nèi)部控制的角度來(lái)看，這種習(xí)慣性做法是不對(duì)的。開(kāi)發(fā)過(guò)程的很多環(huán)節(jié)需要有不同的人來(lái)審批，如果只是一個(gè)人負(fù)責(zé)，容易產(chǎn)生隱患。

在數(shù)據(jù)備份方面，一般來(lái)說(shuō)，良好的數(shù)據(jù)備份管理要求建立異地備份，而有的企業(yè)沒(méi)有異地備份。有的企業(yè)所謂的異地備份實(shí)際上是在同一個(gè)大廈，只是不在同一樓層，這是沒(méi)有意義的。

在系統(tǒng)訪(fǎng)問(wèn)控制方面，要求用戶(hù)登錄系統(tǒng)時(shí)輸入密碼，密碼長(zhǎng)度是多少，都是應(yīng)該有規(guī)定的。有的企業(yè)雖然也有類(lèi)似的規(guī)定，但在實(shí)際操作過(guò)程中，有些密碼是默認(rèn)的，或者在系統(tǒng)配置上沒(méi)有符合有關(guān)規(guī)定中的要求。密碼只有一位數(shù)，一位數(shù)的密碼顯然發(fā)揮不了應(yīng)有的作用。

此外，用戶(hù)的權(quán)限管理方面也容易存在缺陷，用戶(hù)的權(quán)限和自己的工作職責(zé)是不一致的，什么人都可以訪(fǎng)問(wèn)系統(tǒng)和數(shù)據(jù)，這顯然會(huì)產(chǎn)生漏洞。

有很多公司在各地都有分公司，可是很多分公司不按照總公司的要求來(lái)做，這也會(huì)導(dǎo)致控制上的缺陷。

在畢馬威的朱恩良看來(lái)，IT控制缺陷之所以會(huì)產(chǎn)生，與企業(yè)重功能輕控制的傾向直接相關(guān)?！拔覀儗T應(yīng)用于管理也有近20年了，長(zhǎng)期以來(lái)，企業(yè)都只看重系統(tǒng)能發(fā)揮什么作用，為自己解決什么問(wèn)題，卻忽略了IT的控制，即如何保證系統(tǒng)的安全?！?

這種重功能輕控制的傾向?qū)е缕髽I(yè)對(duì)于IT控制方面的認(rèn)識(shí)嚴(yán)重不足，甚至就從來(lái)沒(méi)想過(guò)要進(jìn)行IT控制。而且，如果不做IT審計(jì)，往往看不到有什么問(wèn)題，可是，如果用某種嚴(yán)格的標(biāo)準(zhǔn)來(lái)衡量，會(huì)發(fā)現(xiàn)問(wèn)題很多。

比如說(shuō)，在很多企業(yè)，開(kāi)發(fā)程序的人有進(jìn)入應(yīng)用系統(tǒng)的權(quán)力，因?yàn)橛袝r(shí)候要對(duì)應(yīng)用系統(tǒng)進(jìn)行修改。大家認(rèn)為這是正常的，也是這樣做的。但這可能就是一個(gè)缺陷。程序員可以修改應(yīng)用系統(tǒng)，這實(shí)際上是很危險(xiǎn)的。如果這是個(gè)非常關(guān)鍵的系統(tǒng)，那么危險(xiǎn)性就很大。程序的變更應(yīng)該有規(guī)范的流程來(lái)控制，進(jìn)入系統(tǒng)應(yīng)該有嚴(yán)格的審批過(guò)程。但在現(xiàn)實(shí)中，很多企業(yè)往往沒(méi)有建立這種制度。

來(lái)源：賽迪網(wǎng)——中國(guó)計(jì)算機(jī)用戶(hù)

SOX法案：點(diǎn)燃加強(qiáng)IT控制的星星之火Ⅱ