SOX法案：点燃加强IT控制的星星之火Ⅰ

申请免费试用、咨询电话：400-8352-114

一个看似只与公司的财务审计活动有关的法案却牵动了全球无数CEO、CFO和CIO的神经—这就是被称为“自罗斯福总统以来美国商业界影响最为深远的改革法案”的Sarbanes-Oxley法案(以下简称“SOX法案”)。国外有媒体称，SOX法案是2005年CIO最为关注的几件事情之一。

规避风险、完善内部控制，是SOX法案的核心诉求。由于企业的业务运作已经越来越依赖于IT系统，以致于IT控制成为企业内部控制的重要组成部分。也正因为如此，SOX法案与IT结下了不解之缘，成为时常萦绕在很多公司的CIO脑海中的一个新的词汇。

自从2002年颁布以来，SOX法案就受到过一些非议。直到现在，这些非议也没有完全平息。如欧盟就曾对该法案给予过抨击。欧盟认为，SOX法案的打击面太广，而且，由于该法案是在美国几家公司发生会计丑闻之后匆忙制定，这便不免有事后诸葛亮之嫌。另外还有人认为，SOX法案合规的成本太过高昂，以致于抵消了其可能带来的收益。

尽管存有种种非议，但不可否认，在促进相关上市公司完善内部控制、规避商业风险方面，SOX法案确实能够发挥积极的作用。

对于在美国上市的30多家中国公司来说，他们正面临着紧迫的SOX法案合规的任务—2006年7月15日之前，这些公司必须通过SOX法案内部控制测试报告。“为了在截止期限之前实现SOX法案合规，一些中国公司目前正热火朝天地工作着。”毕马威会计师事务所的朱恩良说。

而对于更多的非在美上市的中国公司而言，虽然暂时可以置身事外，但并不意味着他们可以对加强公司内部控制一事漠不关心。

实际上，无论是上海证券交易所，还是香港联交所，都已经先后公布了与SOX法案类似的相关法规，对上市公司建立内部稽核制度和信息披露要求进行了探讨，也对与财务报告相关的IT控制提出了要求。可以预见，改进IT控制和完善IT治理，不久必将进入更多中国公司董事会和管理层的议事日程。

来自美国的SOX法案，正在点燃中国企业加强IT控制的星星之火。

我们大多数人应该都不会对“会签”感到陌生，在工作中我们都有过会签的经历：单位下发了某个文件（如规章、通知等诸如此类的东西），相关员工在看过该文件之后，在文件后面签上自己的姓名，以表示自己已经看过了。

这显然是多数人工作中再普通不过的经验。而且，一般来讲，我们认为这种做法是必要且符合逻辑的。因为当你签上了自己的大名之后，就表示你对该文件所传达的内容已经知晓。如果日后你的行为与文件内容有所不符，则你不能以不知道作为理由来推卸责任。

我们一般不会认为这种会签的做法有何不妥，而且，确实在大多数情况下，会签这一制度都不会带来什么严重的后果。但是，如果从SOX法案所注重的内部控制的有效性的角度来看，这种会签的做法是有隐患的。因为，在某些特殊情况之下，如果产生了不好的后果，真正应该对此负责的人却淹没在众多名字之中，使得事情难以处理。

内部控制的有效性，这正是SOX法案的核心诉求之所在。而在纷繁复杂的内部控制系统之中，IT控制是内部控制不可缺少的一部分。

IT控制不可或缺

在企业内部控制之中，IT控制具有如此重要的地位，一个直接的原因就是，随着信息化建设的推进和深入，企业的日常业务运作已经越来越依赖于IT系统的运行。

“现在，很多企业，尤其是大型企业，早已不是手工作业。现在大多实施了ERP等信息管理系统。各公司的产品和服务的提供，都要通过复杂的应用系统来进行。如财务处理，基本上也是通过信息系统来做的，做财务报表需要输入账号和密码，这实际上就是一种IT控制的手段。SOX法案要求IT方面的内部控制是有效的，如果无效，会影响到公司财务数据的完整性和准确性。”安永会计师事务所科技与信息安全咨询服务合伙人冼嘉乐说。

IT控制分为IT一般性控制和应用系统控制两种。据冼嘉乐介绍，SOX法案所规定IT一般性控制，主要包括信息系统开发流程的控制、程序变更管理控制、计算机运行管理控制、程序与数据访问控制、信息系统安全的控制，还有IT计划等，这些都是IT一般控制的范围。在一般性控制之外，还有应用系统的控制，大致包括应用系统中设置的有关业务流程的输入、数据处理和输出控制。

“IT的一般性控制是非常重要的，做得不好直接影响应用系统控制的有效性。” 冼嘉乐说，“比如说，如果系统的安全性做得不好，就可能有人做一些未经授权的数据的更改，或者是程序的更改。如果系统开发流程做得不好，肯能会影响到系统运行操作，从而会影响到应用系统本身满足不了商业上的要求。”

IT控制既是SOX法案的重要内容，也和企业IT治理架构的建立有密切的关系。“建立一个合理的IT治理架构是实现有效的IT控制的基础。” 毕马威华振会计师事务所信息风险管理部高级经理朱恩良先生说，“IT控制的有效性，直接反映了IT治理的成效。”

安永的冼嘉乐对此也持类似的看法，他说：“IT治理是一个宏观的基础，是从上到下的管理模式。IT治理涉及到IT的规范运作，公司只有建立了完整的IT规范，有了明确的方向，IT控制才能达到高级管理层的要求。”

控制缺陷从何而来

控制之所以必须，就是因为没有控制就会产生缺陷。SOX法案之所以要强调IT控制的有效性，也正是因为在现有的企业IT运作中，存在着一些控制上的缺陷。

据冼嘉乐介绍，企业现在的IT控制上的缺陷主要有以下几种。

在系统开发过程中，中国的很多企业都习惯于谁开发谁负责。从内部控制的角度来看，这种习惯性做法是不对的。开发过程的很多环节需要有不同的人来审批，如果只是一个人负责，容易产生隐患。

在数据备份方面，一般来说，良好的数据备份管理要求建立异地备份，而有的企业没有异地备份。有的企业所谓的异地备份实际上是在同一个大厦，只是不在同一楼层，这是没有意义的。

在系统访问控制方面，要求用户登录系统时输入密码，密码长度是多少，都是应该有规定的。有的企业虽然也有类似的规定，但在实际操作过程中，有些密码是默认的，或者在系统配置上没有符合有关规定中的要求。密码只有一位数，一位数的密码显然发挥不了应有的作用。

此外，用户的权限管理方面也容易存在缺陷，用户的权限和自己的工作职责是不一致的，什么人都可以访问系统和数据，这显然会产生漏洞。

有很多公司在各地都有分公司，可是很多分公司不按照总公司的要求来做，这也会导致控制上的缺陷。

在毕马威的朱恩良看来，IT控制缺陷之所以会产生，与企业重功能轻控制的倾向直接相关。“我们将IT应用于管理也有近20年了，长期以来，企业都只看重系统能发挥什么作用，为自己解决什么问题，却忽略了IT的控制，即如何保证系统的安全。”

这种重功能轻控制的倾向导致企业对于IT控制方面的认识严重不足，甚至就从来没想过要进行IT控制。而且，如果不做IT审计，往往看不到有什么问题，可是，如果用某种严格的标准来衡量，会发现问题很多。

比如说，在很多企业，开发程序的人有进入应用系统的权力，因为有时候要对应用系统进行修改。大家认为这是正常的，也是这样做的。但这可能就是一个缺陷。程序员可以修改应用系统，这实际上是很危险的。如果这是个非常关键的系统，那么危险性就很大。程序的变更应该有规范的流程来控制，进入系统应该有严格的审批过程。但在现实中，很多企业往往没有建立这种制度。

来源：赛迪网——中国计算机用户

SOX法案：点燃加强IT控制的星星之火Ⅱ