2005-09-05 13:07
为符合SOX法案第404条款的要求,相关公司在IT治理的改善上做了很大的努力,主要表现在IT一般性控制和应用系统/业务流程层面的自动控制的改进。
所谓IT一般性控制,包括IT的控制环境、对程序和数据的访问、程序开发、程序变更和计算机日常运作和最终用户计算环境。而应用系统/业务流程层面的自动控制则主要和应用系统的功能特点相关,并和IT治理间接相关。这些合规性的实践,极大地丰富了IT治理实践的内容。
笔者结合自身的工作实践,提出下列体会供探讨。
SOX法案第404条款合规性实践提出了一种检验IT治理成效的方法
总的说来,IT治理是一种高层次的理念,比较理论化,衡量IT治理的成熟度模型所采用的指标大都是定性指标而非量化的指标。因此IT治理成效难以得到合理的判断和认可。
不过近年来SOX法案第404条款的合规性实践,展示了改善IT治理和判断IT治理成效的一种有效方法。虽然SOX法案第404条款合规性的要求有其特有的局限性,因为其主要关注的是和财务报告相关的信息系统,但是由此产生的方法论和合规性实践,对IT治理的理论发展和实践很有借鉴意义。
公司IT治理的一个重要部分是IT的一般性控制,其中包括IT控制环境、对程序和数据的访问、程序开发、程序变更、计算机操作和最终用户计算环境等领域。在SOX法案第404条款的合规性实践中,上述领域的IT一般性控制已经被发展成非常具体的控制要求了。
SOX法案第404条款要求的IT一般性控制的合规性实践往往采用下列的方法。
首先是做一次IT一般性控制的现状分析。然后参照COBIT的要求建立公司的IT控制目标以便进行差距分析,并在此基础上找出和确定能涵盖这些控制目标的IT一般性控制的关键控制点。
每个关键控制点的控制活动都被清晰地描述和文档化,同时这些控制活动还必须具备可操作性和可检验性,最终形成所谓的IT控制矩阵(IT Control Matrix)。
相关公司都必须完成一整套与IT控制相关的文档,即所谓的SOX法案合规性文档,如IT政策、IT控制矩阵、IT控制活动描述、IT控制的测试方法等。随后通过细致扎实的工作落实已被确定的IT控制点,从而使IT控制得到贯彻实施。
根据SOX法案第404条款的要求,管理层必须每年对这些控制点进行测试和评估,对测试得出的控制缺陷,则需要增设补救和改进措施,并再次测试。如果在规定的期限内,控制缺陷还是不能得到改正,外部审计师将根据情况,针对控制缺陷和程度发表审计意见。
笔者从相关工作中体会到,将相关的IT控制措施文档化并加以实施,再加上对IT控制进行测试和控制缺陷的补救改进工作,这可以在很大程度上将公司IT治理落到实处。
确认公司的IT控制目标是落实公司IT治理架构的重要基础工作
在SOX法案第404条款的合规性实践中,很多公司以COBIT为参照标准,根据其具体情况确定必要的IT控制目标。由于在美国上市的公司分布在不同行业,公司的规模相差悬殊,信息系统的应用范围也有很大的不同,故对不同的公司而言,在合规性的要求下要实现的IT控制目标的范围有很大的差异。
公司要实现的IT控制目标,与公司IT应用的情况和公司的IT管理运作方式有关。在确定了要实现的IT控制目标后,接下来就是要发现和确认相关的IT控制点和控制活动。实现任何一个IT控制目标可能需要一个或多个相关的控制点,这取决于控制目标的要求和控制点的控制方式。以上工作的结果可以产生所谓的IT控制目标矩阵或IT控制矩阵。
确认公司的IT控制目标是落实公司IT治理架构的一个重要基础工作。在此基础上制定合理的IT控制矩阵是一项很重要的工作,它对落实公司IT治理架构和SOX法案第404条款的合规性实践有很大的实践意义,整个合规性活动的工作量,也与此密切相关。
定期测试IT控制活动的有效性是检验公司IT治理成效的试金石
在SOX法案第404条款的合规性实践中,对IT控制活动进行定期测试是重要的一环。IT控制活动的测试分为管理层的自我评估测试和外部审计师的合规性审计测试。
无论是上述何种测试,都将根据IT控制活动发生的频率,决定样本的大小,并对抽取的样本按照设计的测试步骤进行测试。IT控制的设计有效性和运行有效性二个方面将被分别测试。
按照重要性原则,公司属下的分公司、子公司或者分支机构,将会有选择地接受测试。这样的测试,一般每年进行一次,公司的管理层和公司的外部审计师都将为测试付出很大的努力。
任何被检测出的IT控制缺陷,需要在规定的期限前改正和接受再测试。控制缺陷如果不能在规定的期限前通过改正和测试,外部审计师会发表相应的审计意见。因此可以说,定期测试IT控制活动对公司的IT治理的落实和改进有极大的帮助,是检验公司IT治理成效的一个试金石。
来源:赛迪网——中国计算机用户