SOX法案：点燃加强IT控制的星星之火

申请免费试用、咨询电话：400-8352-114

一个看似只与公司的财务审计活动有关的法案却牵动了全球无数CEO、CFO和CIO的神经—这就是被称为“自罗斯福总统以来美国商业界影响最为深远的改革法案”的Sarbanes-Oxley法案(以下简称“SOX法案”)。国外有媒体称，SOX法案是2005年CIO最为关注的几件事情之一。

规避风险、完善内部控制，是SOX法案的核心诉求。由于企业的业务运作已经越来越依赖于IT系统，以致于IT控制成为企业内部控制的重要组成部分。也正因为如此，SOX法案与IT结下了不解之缘，成为时常萦绕在很多公司的CIO脑海中的一个新的词汇。

自从2002年颁布以来，SOX法案就受到过一些非议。直到现在，这些非议也没有完全平息。如欧盟就曾对该法案给予过抨击。欧盟认为，SOX法案的打击面太广，而且，由于该法案是在美国几家公司发生会计丑闻之后匆忙制定，这便不免有事后诸葛亮之嫌。另外还有人认为，SOX法案合规的成本太过高昂，以致于抵消了其可能带来的收益。

尽管存有种种非议，但不可否认，在促进相关上市公司完善内部控制、规避商业风险方面，SOX法案确实能够发挥积极的作用。

对于在美国上市的30多家中国公司来说，他们正面临着紧迫的SOX法案合规的任务—2006年7月15日之前，这些公司必须通过SOX法案内部控制测试报告。“为了在截止期限之前实现SOX法案合规，一些中国公司目前正热火朝天地工作着。”毕马威会计师事务所的朱恩良说。

而对于更多的非在美上市的中国公司而言，虽然暂时可以置身事外，但并不意味着他们可以对加强公司内部控制一事漠不关心。

实际上，无论是上海证券交易所，还是香港联交所，都已经先后公布了与SOX法案类似的相关法规，对上市公司建立内部稽核制度和信息披露要求进行了探讨，也对与财务报告相关的IT控制提出了要求。可以预见，改进IT控制和完善IT治理，不久必将进入更多中国公司董事会和管理层的议事日程。

来自美国的SOX法案，正在点燃中国企业加强IT控制的星星之火。

我们大多数人应该都不会对“会签”感到陌生，在工作中我们都有过会签的经历：单位下发了某个文件（如规章、通知等诸如此类的东西），相关员工在看过该文件之后，在文件后面签上自己的姓名，以表示自己已经看过了。

这显然是多数人工作中再普通不过的经验。而且，一般来讲，我们认为这种做法是必要且符合逻辑的。因为当你签上了自己的大名之后，就表示你对该文件所传达的内容已经知晓。如果日后你的行为与文件内容有所不符，则你不能以不知道作为理由来推卸责任。

我们一般不会认为这种会签的做法有何不妥，而且，确实在大多数情况下，会签这一制度都不会带来什么严重的后果。但是，如果从SOX法案所注重的内部控制的有效性的角度来看，这种会签的做法是有隐患的。因为，在某些特殊情况之下，如果产生了不好的后果，真正应该对此负责的人却淹没在众多名字之中，使得事情难以处理。

内部控制的有效性，这正是SOX法案的核心诉求之所在。而在纷繁复杂的内部控制系统之中，IT控制是内部控制不可缺少的一部分。

IT控制不可或缺

在企业内部控制之中，IT控制具有如此重要的地位，一个直接的原因就是，随着信息化建设的推进和深入，企业的日常业务运作已经越来越依赖于IT系统的运行。

“现在，很多企业，尤其是大型企业，早已不是手工作业。现在大多实施了ERP等信息管理系统。各公司的产品和服务的提供，都要通过复杂的应用系统来进行。如财务处理，基本上也是通过信息系统来做的，做财务报表需要输入账号和密码，这实际上就是一种IT控制的手段。SOX法案要求IT方面的内部控制是有效的，如果无效，会影响到公司财务数据的完整性和准确性。”安永会计师事务所科技与信息安全咨询服务合伙人冼嘉乐说。
IT控制分为IT一般性控制和应用系统控制两种。据冼嘉乐介绍，SOX法案所规定IT一般性控制，主要包括信息系统开发流程的控制、程序变更管理控制、计算机运行管理控制、程序与数据访问控制、信息系统安全的控制，还有IT计划等，这些都是IT一般控制的范围。在一般性控制之外，还有应用系统的控制，大致包括应用系统中设置的有关业务流程的输入、数据处理和输出控制。

“IT的一般性控制是非常重要的，做得不好直接影响应用系统控制的有效性。” 冼嘉乐说，“比如说，如果系统的安全性做得不好，就可能有人做一些未经授权的数据的更改，或者是程序的更改。如果系统开发流程做得不好，肯能会影响到系统运行操作，从而会影响到应用系统本身满足不了商业上的要求。”

IT控制既是SOX法案的重要内容，也和企业IT治理架构的建立有密切的关系。“建立一个合理的IT治理架构是实现有效的IT控制的基础。” 毕马威华振会计师事务所信息风险管理部高级经理朱恩良先生说，“IT控制的有效性，直接反映了IT治理的成效。”

安永的冼嘉乐对此也持类似的看法，他说：“IT治理是一个宏观的基础，是从上到下的管理模式。IT治理涉及到IT的规范运作，公司只有建立了完整的IT规范，有了明确的方向，IT控制才能达到高级管理层的要求。”

控制缺陷从何而来

控制之所以必须，就是因为没有控制就会产生缺陷。SOX法案之所以要强调IT控制的有效性，也正是因为在现有的企业IT运作中，存在着一些控制上的缺陷。

据冼嘉乐介绍，企业现在的IT控制上的缺陷主要有以下几种。

在系统开发过程中，中国的很多企业都习惯于谁开发谁负责。从内部控制的角度来看，这种习惯性做法是不对的。开发过程的很多环节需要有不同的人来审批，如果只是一个人负责，容易产生隐患。

在数据备份方面，一般来说，良好的数据备份管理要求建立异地备份，而有的企业没有异地备份。有的企业所谓的异地备份实际上是在同一个大厦，只是不在同一楼层，这是没有意义的。

在系统访问控制方面，要求用户登录系统时输入密码，密码长度是多少，都是应该有规定的。有的企业虽然也有类似的规定，但在实际操作过程中，有些密码是默认的，或者在系统配置上没有符合有关规定中的要求。密码只有一位数，一位数的密码显然发挥不了应有的作用。

此外，用户的权限管理方面也容易存在缺陷，用户的权限和自己的工作职责是不一致的，什么人都可以访问系统和数据，这显然会产生漏洞。

有很多公司在各地都有分公司，可是很多分公司不按照总公司的要求来做，这也会导致控制上的缺陷。

在毕马威的朱恩良看来，IT控制缺陷之所以会产生，与企业重功能轻控制的倾向直接相关。“我们将IT应用于管理也有近20年了，长期以来，企业都只看重系统能发挥什么作用，为自己解决什么问题，却忽略了IT的控制，即如何保证系统的安全。”

这种重功能轻控制的倾向导致企业对于IT控制方面的认识严重不足，甚至就从来没想过要进行IT控制。而且，如果不做IT审计，往往看不到有什么问题，可是，如果用某种严格的标准来衡量，会发现问题很多。

比如说，在很多企业，开发程序的人有进入应用系统的权力，因为有时候要对应用系统进行修改。大家认为这是正常的，也是这样做的。但这可能就是一个缺陷。程序员可以修改应用系统，这实际上是很危险的。如果这是个非常关键的系统，那么危险性就很大。程序的变更应该有规范的流程来控制，进入系统应该有严格的审批过程。但在现实中，很多企业往往没有建立这种制度。
冼嘉乐认为，控制上的缺陷之所以容易产生，还有一个重要原因就是，控制和业务操作的目的存在相互冲突的地方。一般来讲，企业的业务操作追求的是效率，即我们做某一件事，总是希望越快越好。如果有了一个很标准化的控制过程，如规定只有做好了某个环节才能转到下一个流程，这样就可能影响了效率，减缓了工作的进程。

如在系统开发流程中，如果一些公司没有建立IT内部控制，他们很快会开发好一个IT系统。可是如果根据SOX法案，在系统开发流程中，要首先获取用户的需求，每一步都要经过管理层的审批，审批完之后再让程序员去编写程序，做好后再做测试，用户也来测试，认可之后签字，签完字系统再交给独立的人去实施，这需要一个很长的过程。而这个过程往往会以效率为代价，所以企业很容易对严格的控制过程产生反感。

一件需要巨大投入的“麻烦事”

自从美国于2002年颁布SOX法案以来，所有在美国证券交易委员会注册的约14000家公司就不得不开始努力实现SOX法案的合规。这其中包括在美国上市的新浪、搜狐、UT斯达康、亚信、中国联通、中国网通、中石油、中石化、华能国际电力等30多家中国公司。根据美国证券交易委员会的最新规定，在美国上市的海外公司，最晚必须在2006年7月15日之前实现SOX法案合规。

据悉，迄今为止，在美国上市的中国公司中，只有新浪和搜狐已经通过了SOX法案合规的评测。“为了在截止期限之前实现SOX法案合规，一些中国公司目前正热火朝天地工作着。”毕马威公司的朱恩良说。

实现SOX法案合规，对于所有企业而言，都是一个需要投入很多资源、几乎涉及全公司所有部门的“麻烦”工程。“IT控制有效性的实现是一个很复杂的过程，其难度和工作量超出一般的想像。”朱恩良说，“不少著名的跨国公司，虽然以前在IT治理上曾做过很多努力，也取得过不俗的成绩，但为了实现SOX法案合规，还是以巨额资金和人力的投入，用于IT控制的改善。而对于IT控制原本就很弱的公司，其难度就更大了。”据说，正是因为难度巨大，以前一些原本打算赴美上市的中国企业因此而不得不考虑改变上市地点。

难度之所以如此之大，就是因为企业IT控制系统的完善是一个极为复杂的工程。企业首先要对自己的IT一般性控制进行现状分析，找出一般性控制的关键控制点。“一般来讲，企业的关键控制点有1000多个。”北京慧点科技开发有限公司（以下简称慧点科技）总裁姜晓丹说。实际上，关键控制点多的企业可以多达上万个。

目前，有很多企业选用COBIT作为公司IT治理的一个标准。COBIT由美国IT治理研究院开发与推广，目前已经成为国际上公认的IT管理和控制的标准。COBIT架构由34个高层控制目标和318个细节控制目标组成。通过有选择地部分实现这些目标，企业可以建立一个合理的IT治理架构，从而实现对IT的有效控制。

内外合作实现SOX法案合规性

企业实现SOX法案合规的工作，不可能由企业自己独立完成。

一般来讲，企业会和著名的会计师事务所合作，由会计师事务所向企业提供咨询。会计师事务所帮助企业理清内部控制的流程，并结合企业的业务系统的特点和COBIT的标准，确认关键控制点，完善企业的内部控制手册，寻找内部控制的缺陷，并进行完善，一步步提高企业内部控制的水平。就目前而言，企业实现SOX法案合规的咨询工作一般是由安永、毕马威、普华永道和德勤这四大会计师事务所来完成的。

除了有高水平的咨询公司帮助之外，企业内部各个层面的全力推进自然也是必不可少的。

“企业一定要成立一个项目管理小组（PMO），这个小组不仅仅要有财务和审计方面的人员，还要有IT方面的代表。做这样的项目时，需要高级管理层和下面多沟通，一起配合。总公司和分公司要协调好。如果没有高级管理层推进，肯定会有问题。”冼嘉乐说。
安永参与了中国某家大型国有企业的SOX法案合规项目。“这个项目我们与客户从2004年底开始一起计划，2005年初启动，现在再过几周就要完成了。” 冼嘉乐说，“我们先帮助客户记录有关商业流程，然后识别控制点，找出缺陷，并进行完善。整个工作量很大，我们将近投入了部门一半的人手。”据称，在同类项目中，这算是实施非常顺利的一个项目。而之所以会如此顺利，就与该公司高层领导的大力支持和推进密切相关，该公司曾召开视频会议要求公司各层面积极配合。

SOX法案之于IT服务商

SOX法案不仅对在美国上市的公司产生了直接的影响，而且也间接影响了IT服务商。

“SOX法案对IT服务商也提出了更高的要求。”朱恩良说，“上市公司因为要满足SOX法案的要求，自然就会对IT服务商的产品和服务提出更高的要求。比如说用户口令。现在没有口令是不能进入系统的。但在相关标准里面，对口令的设置是有规定的，如长度要达到几位数，要有字母和数字的混合，以及大小写的混合等，这就要求IT服务商的产品能够自动检测口令是否符合要求，能否将不合要求的口令排除在外。所以，IT服务商的产品必须要做到这一点。”

不过，对于IT服务商而言，SOX法案为其带来的更为重要的影响是增加了商机。

2005年7月19日上午，在华能国际电力股份有限公司（以下简称华能国际），华能国际、普华永道、慧点科技和IBM四方，一起对华能国际的SOX法案项目进行了验收。验收结果得到各方的认可。

“这是国内第一个在IT平台之上实施SOX法案内部控制工作的案例。”当天下午，慧点科技助理总裁马东红不无自豪地对记者说。

由于实现SOX法案遵从的内部控制工作极为复杂，一些IT服务商也嗅到了其中的商机。有企业专门针对SOX法案开发出一套平台软件，以帮助上市公司更快更顺利地完成这一极为复杂的工作过程。

IBM就专门针对SOX法案开了一套集成软件产品IBM Lotus Workplace for Business Controls and Reporting(简称WBCR)。该产品已在国外运用于金融服务业、电信业、保险业、电子产品制造及零售业等，例如在美国的廷顿国家银行和CERES集团保险公司。

2004年，IBM将该产品引入中国市场进行推广。最初，IBM是独立进行该产品的推广工作，可是收效并不是很好。后来，IBM便寻求与其他公司合作，共同推广这套产品。慧点科技由于此前与IBM有多年良好的合作，而且，慧点科技在Lotus方面技术力量不错，WBCR正好是基于Lotus平台，在慧点科技的努力之下，该公司成为IBM的WBCR在中国市场的唯一代理服务商。

华能国际1994年在美国纽约股票交易所上市，按照规定，该公司也面临着SOX法案遵从的任务。该公司现在是国内最大的电力上市公司，下属40多个分厂，主要包括火电和水电两方面的业务，公司效益不错。由于分厂很多，该公司所面临的SOX法案遵从的工作量也很大。为了更顺利地推进SOX法案遵从工作，2005年3月初，华能国际和慧点科技达成合作协议。

“我们提供一个平台和解决方案，使他们的工作做得更有效。这套解决方案能在整个过程中帮助企业管理流程，记录流程中发生的文档和数据，方便企业最后做测试和评估，并写出报告，而且还能帮助企业的CEO和CFO及时看到企业在流程中的风险状况。”慧点科技总裁姜晓丹说。

如今，WBCR在华能国际的主要实施工作已经基本完成。慧点科技和IBM正在着手进行进一步的推广。“虽然在美国上市的中国企业目前并不太多，但是，在企业内部控制越来越受重视的环境之下，我们对这套产品的前景充满信心。”姜晓丹说。

来源：硅谷动力