SOX法案：点燃加强IT控制的星星之火Ⅱ

申请免费试用、咨询电话：400-8352-114

冼嘉乐认为，控制上的缺陷之所以容易产生，还有一个重要原因就是，控制和业务操作的目的存在相互冲突的地方。一般来讲，企业的业务操作追求的是效率，即我们做某一件事，总是希望越快越好。如果有了一个很标准化的控制过程，如规定只有做好了某个环节才能转到下一个流程，这样就可能影响了效率，减缓了工作的进程。

如在系统开发流程中，如果一些公司没有建立IT内部控制，他们很快会开发好一个IT系统。可是如果根据SOX法案，在系统开发流程中，要首先获取用户的需求，每一步都要经过管理层的审批，审批完之后再让程序员去编写程序，做好后再做测试，用户也来测试，认可之后签字，签完字系统再交给独立的人去实施，这需要一个很长的过程。而这个过程往往会以效率为代价，所以企业很容易对严格的控制过程产生反感。

一件需要巨大投入的“麻烦事”

自从美国于2002年颁布SOX法案以来，所有在美国证券交易委员会注册的约14000家公司就不得不开始努力实现SOX法案的合规。这其中包括在美国上市的新浪、搜狐、UT斯达康、亚信、中国联通、中国网通、中石油、中石化、华能国际电力等30多家中国公司。根据美国证券交易委员会的最新规定，在美国上市的海外公司，最晚必须在2006年7月15日之前实现SOX法案合规。

据悉，迄今为止，在美国上市的中国公司中，只有新浪和搜狐已经通过了SOX法案合规的评测。“为了在截止期限之前实现SOX法案合规，一些中国公司目前正热火朝天地工作着。”毕马威公司的朱恩良说。

实现SOX法案合规，对于所有企业而言，都是一个需要投入很多资源、几乎涉及全公司所有部门的“麻烦”工程。“IT控制有效性的实现是一个很复杂的过程，其难度和工作量超出一般的想像。”朱恩良说，“不少著名的跨国公司，虽然以前在IT治理上曾做过很多努力，也取得过不俗的成绩，但为了实现SOX法案合规，还是以巨额资金和人力的投入，用于IT控制的改善。而对于IT控制原本就很弱的公司，其难度就更大了。”据说，正是因为难度巨大，以前一些原本打算赴美上市的中国企业因此而不得不考虑改变上市地点。

难度之所以如此之大，就是因为企业IT控制系统的完善是一个极为复杂的工程。企业首先要对自己的IT一般性控制进行现状分析，找出一般性控制的关键控制点。“一般来讲，企业的关键控制点有1000多个。”北京慧点科技开发有限公司（以下简称慧点科技）总裁姜晓丹说。实际上，关键控制点多的企业可以多达上万个。

目前，有很多企业选用COBIT作为公司IT治理的一个标准。COBIT由美国IT治理研究院开发与推广，目前已经成为国际上公认的IT管理和控制的标准。COBIT架构由34个高层控制目标和318个细节控制目标组成。通过有选择地部分实现这些目标，企业可以建立一个合理的IT治理架构，从而实现对IT的有效控制。

内外合作实现SOX法案合规性

企业实现SOX法案合规的工作，不可能由企业自己独立完成。

一般来讲，企业会和著名的会计师事务所合作，由会计师事务所向企业提供咨询。会计师事务所帮助企业理清内部控制的流程，并结合企业的业务系统的特点和COBIT的标准，确认关键控制点，完善企业的内部控制手册，寻找内部控制的缺陷，并进行完善，一步步提高企业内部控制的水平。就目前而言，企业实现SOX法案合规的咨询工作一般是由安永、毕马威、普华永道和德勤这四大会计师事务所来完成的。

除了有高水平的咨询公司帮助之外，企业内部各个层面的全力推进自然也是必不可少的。

“企业一定要成立一个项目管理小组（PMO），这个小组不仅仅要有财务和审计方面的人员，还要有IT方面的代表。做这样的项目时，需要高级管理层和下面多沟通，一起配合。总公司和分公司要协调好。如果没有高级管理层推进，肯定会有问题。”冼嘉乐说。

安永参与了中国某家大型国有企业的SOX法案合规项目。“这个项目我们与客户从2004年底开始一起计划，2005年初启动，现在再过几周就要完成了。” 冼嘉乐说，“我们先帮助客户记录有关商业流程，然后识别控制点，找出缺陷，并进行完善。整个工作量很大，我们将近投入了部门一半的人手。”据称，在同类项目中，这算是实施非常顺利的一个项目。而之所以会如此顺利，就与该公司高层领导的大力支持和推进密切相关，该公司曾召开视频会议要求公司各层面积极配合。

SOX法案之于IT服务商

SOX法案不仅对在美国上市的公司产生了直接的影响，而且也间接影响了IT服务商。

“SOX法案对IT服务商也提出了更高的要求。”朱恩良说，“上市公司因为要满足SOX法案的要求，自然就会对IT服务商的产品和服务提出更高的要求。比如说用户口令。现在没有口令是不能进入系统的。但在相关标准里面，对口令的设置是有规定的，如长度要达到几位数，要有字母和数字的混合，以及大小写的混合等，这就要求IT服务商的产品能够自动检测口令是否符合要求，能否将不合要求的口令排除在外。所以，IT服务商的产品必须要做到这一点。”

不过，对于IT服务商而言，SOX法案为其带来的更为重要的影响是增加了商机。

2005年7月19日上午，在华能国际电力股份有限公司（以下简称华能国际），华能国际、普华永道、慧点科技和IBM四方，一起对华能国际的SOX法案项目进行了验收。验收结果得到各方的认可。

“这是国内第一个在IT平台之上实施SOX法案内部控制工作的案例。”当天下午，慧点科技助理总裁马东红不无自豪地对记者说。

由于实现SOX法案遵从的内部控制工作极为复杂，一些IT服务商也嗅到了其中的商机。有企业专门针对SOX法案开发出一套平台软件，以帮助上市公司更快更顺利地完成这一极为复杂的工作过程。

IBM就专门针对SOX法案开了一套集成软件产品IBM Lotus Workplace for Business Controls and Reporting(简称WBCR)。该产品已在国外运用于金融服务业、电信业、保险业、电子产品制造及零售业等，例如在美国的廷顿国家银行和CERES集团保险公司。

2004年，IBM将该产品引入中国市场进行推广。最初，IBM是独立进行该产品的推广工作，可是收效并不是很好。后来，IBM便寻求与其他公司合作，共同推广这套产品。慧点科技由于此前与IBM有多年良好的合作，而且，慧点科技在Lotus方面技术力量不错，WBCR正好是基于Lotus平台，在慧点科技的努力之下，该公司成为IBM的WBCR在中国市场的唯一代理服务商。

华能国际1994年在美国纽约股票交易所上市，按照规定，该公司也面临着SOX法案遵从的任务。该公司现在是国内最大的电力上市公司，下属40多个分厂，主要包括火电和水电两方面的业务，公司效益不错。由于分厂很多，该公司所面临的SOX法案遵从的工作量也很大。为了更顺利地推进SOX法案遵从工作，2005年3月初，华能国际和慧点科技达成合作协议。

“我们提供一个平台和解决方案，使他们的工作做得更有效。这套解决方案能在整个过程中帮助企业管理流程，记录流程中发生的文档和数据，方便企业最后做测试和评估，并写出报告，而且还能帮助企业的CEO和CFO及时看到企业在流程中的风险状况。”慧点科技总裁姜晓丹说。

如今，WBCR在华能国际的主要实施工作已经基本完成。慧点科技和IBM正在着手进行进一步的推广。“虽然在美国上市的中国企业目前并不太多，但是，在企业内部控制越来越受重视的环境之下，我们对这套产品的前景充满信心。”姜晓丹说。

来源：赛迪网——中国计算机用户

SOX法案：点燃加强IT控制的星星之火Ⅰ