深蓝海域KMPRO

SOX法案:点燃加强IT控制的星星之火Ⅰ

2005-09-05 14:35

一个看似只与公司的财务审计活动有关的法案却牵动了全球无数CEO、CFO和CIO的神经—这就是被称为“自罗斯福总统以来美国商业界影响最为深远的改革法案”的Sarbanes-Oxley法案(以下简称“SOX法案”)。国外有媒体称,SOX法案是2005年CIO最为关注的几件事情之一。

规避风险、完善内部控制,是SOX法案的核心诉求。由于企业的业务运作已经越来越依赖于IT系统,以致于IT控制成为企业内部控制的重要组成部分。也正因为如此,SOX法案与IT结下了不解之缘,成为时常萦绕在很多公司的CIO脑海中的一个新的词汇。

自从2002年颁布以来,SOX法案就受到过一些非议。直到现在,这些非议也没有完全平息。如欧盟就曾对该法案给予过抨击。欧盟认为,SOX法案的打击面太广,而且,由于该法案是在美国几家公司发生会计丑闻之后匆忙制定,这便不免有事后诸葛亮之嫌。另外还有人认为,SOX法案合规的成本太过高昂,以致于抵消了其可能带来的收益。

尽管存有种种非议,但不可否认,在促进相关上市公司完善内部控制、规避商业风险方面,SOX法案确实能够发挥积极的作用。

对于在美国上市的30多家中国公司来说,他们正面临着紧迫的SOX法案合规的任务—2006年7月15日之前,这些公司必须通过SOX法案内部控制测试报告。“为了在截止期限之前实现SOX法案合规,一些中国公司目前正热火朝天地工作着。”毕马威会计师事务所的朱恩良说。

而对于更多的非在美上市的中国公司而言,虽然暂时可以置身事外,但并不意味着他们可以对加强公司内部控制一事漠不关心。

实际上,无论是上海证券交易所,还是香港联交所,都已经先后公布了与SOX法案类似的相关法规,对上市公司建立内部稽核制度和信息披露要求进行了探讨,也对与财务报告相关的IT控制提出了要求。可以预见,改进IT控制和完善IT治理,不久必将进入更多中国公司董事会和管理层的议事日程。

来自美国的SOX法案,正在点燃中国企业加强IT控制的星星之火。

我们大多数人应该都不会对“会签”感到陌生,在工作中我们都有过会签的经历:单位下发了某个文件(如规章、通知等诸如此类的东西),相关员工在看过该文件之后,在文件后面签上自己的姓名,以表示自己已经看过了。

这显然是多数人工作中再普通不过的经验。而且,一般来讲,我们认为这种做法是必要且符合逻辑的。因为当你签上了自己的大名之后,就表示你对该文件所传达的内容已经知晓。如果日后你的行为与文件内容有所不符,则你不能以不知道作为理由来推卸责任。

我们一般不会认为这种会签的做法有何不妥,而且,确实在大多数情况下,会签这一制度都不会带来什么严重的后果。但是,如果从SOX法案所注重的内部控制的有效性的角度来看,这种会签的做法是有隐患的。因为,在某些特殊情况之下,如果产生了不好的后果,真正应该对此负责的人却淹没在众多名字之中,使得事情难以处理。

内部控制的有效性,这正是SOX法案的核心诉求之所在。而在纷繁复杂的内部控制系统之中,IT控制是内部控制不可缺少的一部分。

IT控制不可或缺

在企业内部控制之中,IT控制具有如此重要的地位,一个直接的原因就是,随着信息化建设的推进和深入,企业的日常业务运作已经越来越依赖于IT系统的运行。

“现在,很多企业,尤其是大型企业,早已不是手工作业。现在大多实施了ERP等信息管理系统。各公司的产品和服务的提供,都要通过复杂的应用系统来进行。如财务处理,基本上也是通过信息系统来做的,做财务报表需要输入账号和密码,这实际上就是一种IT控制的手段。SOX法案要求IT方面的内部控制是有效的,如果无效,会影响到公司财务数据的完整性和准确性。”安永会计师事务所科技与信息安全咨询服务合伙人冼嘉乐说。

IT控制分为IT一般性控制和应用系统控制两种。据冼嘉乐介绍,SOX法案所规定IT一般性控制,主要包括信息系统开发流程的控制、程序变更管理控制、计算机运行管理控制、程序与数据访问控制、信息系统安全的控制,还有IT计划等,这些都是IT一般控制的范围。在一般性控制之外,还有应用系统的控制,大致包括应用系统中设置的有关业务流程的输入、数据处理和输出控制。

“IT的一般性控制是非常重要的,做得不好直接影响应用系统控制的有效性。” 冼嘉乐说,“比如说,如果系统的安全性做得不好,就可能有人做一些未经授权的数据的更改,或者是程序的更改。如果系统开发流程做得不好,肯能会影响到系统运行操作,从而会影响到应用系统本身满足不了商业上的要求。”

IT控制既是SOX法案的重要内容,也和企业IT治理架构的建立有密切的关系。“建立一个合理的IT治理架构是实现有效的IT控制的基础。” 毕马威华振会计师事务所信息风险管理部高级经理朱恩良先生说,“IT控制的有效性,直接反映了IT治理的成效。”

安永的冼嘉乐对此也持类似的看法,他说:“IT治理是一个宏观的基础,是从上到下的管理模式。IT治理涉及到IT的规范运作,公司只有建立了完整的IT规范,有了明确的方向,IT控制才能达到高级管理层的要求。”

控制缺陷从何而来

控制之所以必须,就是因为没有控制就会产生缺陷。SOX法案之所以要强调IT控制的有效性,也正是因为在现有的企业IT运作中,存在着一些控制上的缺陷。

据冼嘉乐介绍,企业现在的IT控制上的缺陷主要有以下几种。

在系统开发过程中,中国的很多企业都习惯于谁开发谁负责。从内部控制的角度来看,这种习惯性做法是不对的。开发过程的很多环节需要有不同的人来审批,如果只是一个人负责,容易产生隐患。

在数据备份方面,一般来说,良好的数据备份管理要求建立异地备份,而有的企业没有异地备份。有的企业所谓的异地备份实际上是在同一个大厦,只是不在同一楼层,这是没有意义的。

在系统访问控制方面,要求用户登录系统时输入密码,密码长度是多少,都是应该有规定的。有的企业虽然也有类似的规定,但在实际操作过程中,有些密码是默认的,或者在系统配置上没有符合有关规定中的要求。密码只有一位数,一位数的密码显然发挥不了应有的作用。

此外,用户的权限管理方面也容易存在缺陷,用户的权限和自己的工作职责是不一致的,什么人都可以访问系统和数据,这显然会产生漏洞。

有很多公司在各地都有分公司,可是很多分公司不按照总公司的要求来做,这也会导致控制上的缺陷。

在毕马威的朱恩良看来,IT控制缺陷之所以会产生,与企业重功能轻控制的倾向直接相关。“我们将IT应用于管理也有近20年了,长期以来,企业都只看重系统能发挥什么作用,为自己解决什么问题,却忽略了IT的控制,即如何保证系统的安全。”

这种重功能轻控制的倾向导致企业对于IT控制方面的认识严重不足,甚至就从来没想过要进行IT控制。而且,如果不做IT审计,往往看不到有什么问题,可是,如果用某种严格的标准来衡量,会发现问题很多。

比如说,在很多企业,开发程序的人有进入应用系统的权力,因为有时候要对应用系统进行修改。大家认为这是正常的,也是这样做的。但这可能就是一个缺陷。程序员可以修改应用系统,这实际上是很危险的。如果这是个非常关键的系统,那么危险性就很大。程序的变更应该有规范的流程来控制,进入系统应该有严格的审批过程。但在现实中,很多企业往往没有建立这种制度。

来源:赛迪网——中国计算机用户

SOX法案:点燃加强IT控制的星星之火Ⅱ

相关推荐