分类: 山东能源网络解决方案预览模式: 普通 | 列表
本文简要介绍美国SOX法案的遵循要求和业界框架,详细描述H3C公司IT在遵循SOX过程中的实践,包括采用的合规框架、组织过程、重要控制活动,以及工作体会。


一、               SOX法案(Sarbanes-Oxley Act)背景和重点内容
针对安然、世通等财务欺诈事件,美国国会出台了《2002 年公众公司会计改革和投资者保护法案》。该法案由美国众议院金融服务委员会主席奥克斯利和参议院银行委员会主席萨班斯联合提出,又被称作《2002年萨班斯—奥克斯利法案》(简称萨班斯法案)。法案对美国《1933 年证券法》、《1934年证券交易法》作了不少修订,在会计职业监管、公司治理、证券市场监管等方面作出了许多新的规定。该法案的法律效力适用于在美国证券交易委员会注册的约14,000多家公司,其中包括在美国上市的中国公司也是它约束的对象。

SOX法案与上市公司管理层直接相关的内容包括以下三部分:

1、302条款公司对财务报告的责任

上市公司的首席执行官及首席财务官(或担任同等职务的人员)在每一年度报告或季度报告中保证如下内容:
(1)保证报告中的会计报表及其他财务信息在所有重大方面,公允地反映了公司在该报告期末的财务状况及该报告期内的经营成果,不存在重大的错报、漏报。

(2)对建立及保持公司的内部控制负责;评价公司的内部控制在签署报告前90 天内的有效性。

(3)已向公司的审计师及董事会下属的审计委员会(或担任同等职务的人员)披露了内部控制的设计或执行中的所有重大缺陷以及在内部控制中担任重要职位的管理人员或其他雇员的欺诈行为。

(4)指明在他们对内部控制评价之后,内部控制是否发生了重大变化,或是其他可能对内部控制产生重要影响的因素,包括对内部控制的重大缺陷或重要缺点的更正措施。

2、  404条款 管理层对内部控制的评价

(1)公司管理层建立维护和评价内部控制

            要求在公司年度报告中包括内部控制报告,强调公司管理层建立和维护一个针对财务报告职能行之有效的内部控制程序中的责任;并对财务报告系统内部控制的有效性进行评价。    
(2)外部审计对于公司内部控制报告的评价

要求担任公司年报审计的会计公司应当对管理层提供的内部控制报告进行测试和评价,并出具评价报告。

3、906条款强化白领刑事责任

    

二、IT在SOX法案合规中的角色
SOX法案强调了要设计和执行有效的公司内部控制来保证财务报告职能的行之有效,随着越来越多公司对于信息技术依赖性的提高,IT控制在公司内部控制体系中的重要性也日益增加,主要体现如下方面:a. 公司业务流程的部分甚至全部由IT系统驱动和承载;b. 公司内部控制目标的实现通常取决于以IT为基础的控制;c. 许多控制需要依赖IT系统生成的数据。图1从公司交易类型、业务流程和IT应用系统和IT基础服务的层面说明了IT控制和公司财务报告之间的关系。




图1 财务报告内部控制设计和实施中的IT角色
摘译自: Sarbanes-Oxley IT控制目标(IT control objectives for Sarbanes-Oxley)


具体理解如下:

1、所有会计信息在发生交易的各业务流程及子流程产生,最终汇总到财务报告中进行披露。

2、IT为各业务流程(包括财务报告流程)的执行和业务流程间的协作提供了应用系统支持,这些系统的开发实施依据是业务需求。

3、IT为业务运作提供IT基础设施服务,包括数据库、操作系统、网络、物理环境等。

4、IT通过应用控制和一般控制来帮助控制财务报告的相关风险,以达到控制目标。其中:IT应用控制(IT Application Control)嵌在各个应用系统中,控制业务流程和交易处理,直接对财务报告产生影响。IT一般控制(IT General Control)是分布在IT流程中的控制活动,用来保障IT整体运维环境的可靠,并支持应用控制的有效运作。

美国公众公司会计监管委员会(Public Company Accounting Oversight Board,简称PCAOB)特别强调: “Some controls … might have a pervasive effect on achieving many overall objectives of the control criteria. For example, information technology general controls over program development, program changes, computer operations, and access to programs and data help ensure that specific controls over the processing of transactions are operating effectively.”  ( PCAOB’s Auditing Standard for Section 404) 由此可见,IT控制对于公司总体控制目标的实现具有广泛和深远的影响,建立维护一个合理IT控制体系,并保证其有效执行是SOX法案合规工作的重要组成部分。



三、IT合规的常用框架和方法
    如何建立和维护一套有效的IT内控体系,并能得到外部审计师的认同,较为有效的方法是采用业界通行的框架。COSO是目前唯一被PCAOB明文确认可接受的内控框架,该框架确定了3项内部控制目标,将分布于公司各个层面的内控分解为五个组成要素,如图2示。


图2 COSO魔方

COSO对于IT控制的描述如下:“… Two broad groupings of information systems control activities can be used. The first is general controls -- which apply to many if not all application systems and help ensure their continued, proper operation. The second category is application controls, which include computerized steps within the application software and related manual procedures to control the processing of various types of transactions. Together, these controls serve to ensure completeness, accuracy and validity of the financial and other information in the system.” (COSO Report: Internal Control - Integrated Framework)。

COSO框架没有具体描述IT风险与控制目标,相对来说Cobit®(Control Objectives for Information and related Technology)更有针对性。Cobit框架由I T Governance Institute发布,2007年新版本是Cobit4.1,它定义了IT控制的7项信息标准、4大领域和34个过程。Cobit框架概览如下图所示。



图3 Cobit魔方


比较可贵的是,ITGI在2004年及时研究发布了针对SOX法案的IT控制目标——IT Control Objectives for Sarbanes-Oxley: The Role of IT in the Design and Implementation of Internal Control Over Financial Reporting. 2006年9月ITGI发布了该项目工作的第2版,更加受到了业界欢迎。
IT Control Objectives for Sarbanes-Oxley为合规的风险识别与控制过程指明了方向,那么如何具体落实在IT的组织、人员、技术和流程中?这一过程可以参考IT服务管理(ITSM -- IT Service Management) 模型,借鉴IT基础设施库 (ITIL -- IT Infrastructure Library)提供的最佳实践,其中ITIL的变更管理、问题管理、事件管理、配置管理等服务支持流程应作为参照重点。在信息安全管理方面,ISO17799是一个可参照的国际标准。


四、 H3C IT SOX合规的实践
杭州华三通信技术有限公司(简称H3C)在2006年5月正式启动了SOX法案遵循项目,IT作为一个分组相对独立地承担了ITGC的合规任务,并支持业务部门、内审部门实现ITAC和实体层的合规。截至2007年4月,外部审计师的现场审计工作圆满完成。
1、H3C IT SOX合规的项目过程和组织
H3C IT基本参照图4所示的路线实施SOX合规。

图4  IT SOX合规路线图
大致过程包括:
(1)SOX计划和范围界定
制定IT SOX合规具体项目计划;根据对财务报告控制目标的影响,整理和识别SOX合规范围内的IT应用系统、数据库和相关基础设施。并且在IT部门内部进行SOX相关的培训和宣传。
(2)评估风险
依据对财务报告各项认定:存在性\发生、完整性、准确性、权利和义务、估值、披露的影响评估IT风险。
(3)确认控制目标,识别和记录IT控制点
依据PCAOB有关IT控制的要求、参照IT Control Objectives for Sarbanes-Oxley,明确IT控制目标以及更明细的控制子目标,分析确定关键控制子目标;识别现有控制活动、控制类型和发生频率,识别关键控制点。下表为H3C采用的ITGC13个主要控制目标及其与Cobit、PCAOB要求之间的关系。


表1  ITGC控制目标
针对SOX的IT控制目标
  COBIT4.0
PCAOB中IT一般控制的主题

程序开发
程序变更
计算机运维
程序和数据访问

1.  应用软件获取与维护
AI2





2.  技术基础设施获取与维护
AI3



  

3.  制度保障(Enable operations)
AI4





4.  程序安装和启用
AI7





5.  变更管理
AI6
  

  


6.  服务级别定义和管理
DS1





7.  第三方服务管理
DS2





8.  确保系统安全
DS5
  
  



9.  配置管理
DS9
  
  



10.  问题和事件管理
DS8,DS10
  
  

  

11.  数据管理
DS11
  
  



12.  物理环境和运维管理
DS12,

DS13
  
  



13. 终端用户计算
未涉及








(4)评估IT控制设计和日常执行的有效性
依据设定的IT控制目标,评估现有的IT控制活动设计是否合理,是否能够实现控制目标。并根据IT控制活动发生的频率抽样测试日常执行的有效性。详细描述当前控制设计和执行的缺陷。
(5)评估和改进控制缺陷
针对存在的缺陷,评估对于财务报告的风险,针对风险较大的关键控制目标,改进控制设计,提高执行有效性。
(6)日常控制的持续有效
通过培训、宣传、自查、抽查、内审等活动以及合适的技术手段来优化和保障IT控制的持续有效。


2、H3C的IT控制活动举例
(1) ITGC关键控制活动举例
a)         应用软件获取与维护:遵循一个有效的系统开发实施方法论(SDLC);项目需求规格中需要包括应用控制方面的内容;项目组任命、项目需求规格、验证性测试必须要求业务部门的签字确认;如果涉及到系统选型和采购,选型小组中需要有业务部门的代表,按照采购流程执行等。
b)        程序安装和启用,在系统进入生产环境前需要测试和业务确认,包括:功能测试、接口测试、数据迁移测试等。
c)         程序变更控制:所有程序变更申请都必须是恰当的且经过授权的;进行职责分离以防止开发人员修改生产环境;版本控制以防止修改冲突;变更测试以确保准确性;需经业务用户确认以确保变更符合业务需要等。
d)        信息安全控制:用户认证  (如访问帐号和密码);密码控制  (如密码有效期,复杂度等);安全管理 (新用户建立,离职员工销户,密码复位等);计算机、网络防病毒等;工作场所的物理安全等。
e)         数据管理:制定备份策略,依据备份策略进行程序、数据备份;备份恢复计划与演练等。
f)         运维管理:计算机系统监控;作业/批处理程序监控等。


(2) ITAC控制活动举例
IT应用控制主要目标包括财务交易信息的完整、准确、有效,仅限于经过授权的人员操作,符合职责分离要求,其中职责分离(SoD)的设计与实施占用ITAC的较大工作量。对于应用控制的设计需要在需求规格中清晰描述,并获得业务部门确认。表2列举了一些常用的IT应用控制活动。


表2  IT应用控制目标和控制活动举例
 
完整性
准确性
有效性
访问控制

逐笔核对检查
*
*
*
*

批次总数/运行总数控制
*
*
 
 

计算机序列检验
*
 
 
 

计算机自动匹配
*
*
*
*

程序检验
 
*
 
 

物理锁定
  
  
  
*

预先设置的输入
 
*
 
 




(3) IT实体层控制活动举例
    除ITGC 和ITAC以外,需要将IT纳入公司层面进行SOX合规评估,包括:战略和计划、策略和流程、培训和技能、风险评估、质量保证、内部审计等。


3、H3C IT SOX合规项目主要交付文档
(1)内控的总体说明(Narrative)
(2)应用系统范围界定(Application Scoping)
(3)风险控制矩阵(Risk Control Matrix (RCM))
(4)职责分离设计(Segregation of Duties)
(5)管理评估(Management Assessment)
(6)问题跟踪与改进(Issue Trace)


  4、H3C IT SOX合规的里程碑
(1)             2006.05 项目启动
(2)             2006.09 内部第一轮测试
(3)             2006.10 外部审计师控制设计测试
(4)             2006.12 外部审计师执行有效性测试
(5)             2007.02 内部第二轮测试
(6)             2007.04 外部审计师最终测试


五、H3C IT SOX合规的几点小体会
H3C IT第一年的SOX合规工作除了面临大部分公司都会面临的时间紧、任务重之类的问题外,还需要同步进行数据中心的运维交接,而且没有邀请咨询公司,通过内部自主实施。项目实施效果也是明显的,符合了SOX法案要求,数据中心运维实现了平稳交接,兼顾了业务运营有效性,锻炼培养了自己的队伍,这些也为持续的SOX法案合规打下基础。

通过实践,我们认为下述几个因素的影响较大:与业务运营良性互动的理念、基于风险的和自上而下的方法、框架标准和成功经验的借鉴、良好的管理基础与技术保障、合适的团队和有效的沟通。

1、与业务运营良性互动的理念

尽管SOX合规是硬性要求,有可能会增加运作成本,但是我们同时也积极寻找其正面价值。通过有效的风险评估和控制活动识别,产生如下结果:(1)很多控制点业务上本已存在,但执行人员原本没有意识到,现在更加明白自己工作意义,成就感也增强了;(2)有些缺陷和不足是业务运营本身就应该纠正和预防的,所以增加控制点的利大于弊;(3)存在一些重复或多余的控制活动,优化后提高了运营效率。H3C IT合规过程中建立起来的运维体系与流程,对数据中心运维的平稳交接帮助很大。

2、基于风险的和自上而下的方法

IT对风险的控制可能会不足,从另外一个角度看,也要防止控制过头,想要彻底避免所有风险是不现实的,所以我们应该选择基于风险的、自上而下的方法。否则目标模糊、“草木皆兵”,会导致自乱阵脚。风险、控制目标、控制活动明确后,执行中就不宜再泛化SOX的要求。曾经发生过一件趣事,同事甲去找同事乙协调一项棘手的工作,眼看协调不成时说“这是SOX的要求”,没料到同事乙的SOX功底很深,忽悠不动,最后双方莞尔。

3、框架标准和成功经验的借鉴

主动借鉴行业框架、行业标准,有利于保障控制的完整性,不会出现大的缺失,也有利于对内对外的沟通。我们参照Cobit框架编制控制说明(Narrative)和风险控制矩阵(RCM),与外部审计师的沟通效率就比较高,返工也较少。

华为公司的IT服务管理体系通过了ISO20000认证、其信息安全管理体系通过了ISO17799认证,他们的成功经验值得我们借鉴;3COM公司IT专家丰富的SOX知识和经验对我们帮助也非常大。

4、良好的管理基础与技术保障

H3C IT实施SOX遵循项目不是推倒重来,实施前已经有了正常运作的信息安全管理、应用系统开发维护、以及部分IT运维管理流程,这为合规提供了良好的管理基础。通过实施IT合规项目对相关流程、体系进行了补充和完善,也对有些环节进行了优化和减化。

H3C IT广泛应用了自己公司的IToIP产品与解决方案,也为高效、持续的符合SOX法案要求提供了重要的技术保障。例如,基础性的交换机、路由器、防火墙、VPN、入侵防御系统、日志管理系统等,已经是被IT人员所熟悉,其对于SOX合规的意义当然无需赘述;COSO内控框架中的五要素之一是“信息和沟通”,VoIP语音、视讯系统有效的降低了沟通成本、提高了沟通效率和效果;高速的数字监控系统、大容量的存储产品既有利于不良事件的预防(preventive)也有利于事后的检测(detective);审计证据的数字化、流程化记录和保存对提高控制执行效率和审计效率都很有帮助。

特别是EAD(End Access Defense – 终端访问防御)解决方案的全面实施,有安全隐患的机器设备(如:未经认证、装有非法软件、病毒库过期、补丁更新不及时、密码设置不规范等等)均无法接入公司网络,不仅提高了IT安全系数、而且降低了IT运维整体成本。

5、合适的团队和有效的沟通

H3C IT SOX合规团队厚积薄发,成员拥有CISA、CISSP、CPA、OCP、CCNP、PMP、MBA等证书。核心成员非常熟悉公司业务和运作流程,熟悉SOX法案、PCAOB审计标准、COSO、Cobit、ISO20000、ISO17799等信息系统审计知识,另外还有丰富的研究开发和管理经验。

H3C IT部门及相关人员本身素质较高,适应变革的能力非常强,执行力也非常强。对于沟通清楚、目标明确的任务,即使再苦再累,都能贯彻落实。对于不明确的任务,控制执行人员一般都会主动找项目组成员沟通,和项目组成员一起想办法。

与外部审计师保持有效的沟通也是非常重要的因素。对审计师保持开放积极的态度,尊重审计师时间、尊重审计师观点,及时纠正审计师发现的问题。及时跟踪业内动态并与审计师一起讨论分析,增加相互信任,争取尽早在有争议的问题上达成一致。例如PCAOB可能会放松对管理层评估的要求、IT Control Objectives for SOX第2版中放松了对可用性(Availability)的强调,相应的,我们也删减了一些控制目标和控制活动。

当然,除了以上的几点小体会外,项目中经历更多的是不足、甚至是失误,需要我们持续改进。不同的公司,环境会有所差异;同一个公司,环境也在变化;在某个公司某个时期适用的做法,换一个公司换一个时期可能不一定适用,需要我们进一步摸索。





@了解百谷信息@组建和谐网络@0531-83196110@
************************************************************************************
济南百谷信息技术有限公司是山东领先的网络解决方案供应商。我们拥有热诚的员工、领先的产品和丰富的网络解决方案经验,立足济南、面向山东、辐射全国。致力于倾听客户需求,提供客户所信赖和注重的创新技术与服务。全力帮助客户商业成功,并通过我们的共同努力,不断提高客户的信息化应用能力。
***********************************************************************************济南百谷信息技术有限公司优势产品:
山东PC服务器、存储、工作站产品:
山东Dell服务器专业经销商总代理
山东HP服务器四星级服务认证代理商
山东IBM服务器2010年大中国最佳进步奖
山东网络路由器、防火墙、交换机产品:
山东思科技术支持中心既认证优选总代理商
山东华为及华为赛门铁克(华赛)金牌代理商
山东H3C商业市场优选核心渠道、星级服务代理商
山东软件、安全、产品:
山东机房监控系统
山东德盛机柜总代理
山东中网网闸解决方案
山东Juniper精英代理商
山东网强网管软件银牌总代理、
山东安达通上网全网行为管理
山东VMWARE总代理解决方案供应商
***********************************************************************************
济南百谷信息技术有限公司企业荣誉:
历下软件园创新型企业
济南军区协议供货单位
山东电力系统入围供货商
山东移动大客户部合作伙伴
中央政府采购协议供货单位
济南交通局入围供货经销商
山东省政府采购中心中标供货商
山东电信网络服务器设备入围供应商
山东医疗系统信息化平台方案供应商
山东jn256商情渠道网“最佳行业销售单位”
山东中网网闸”中央政府采购协议供货单位
山东恒源商情“山东IT产业产品分销前70强”
山东省第十一届全运会网络安全维护技术保障单位
“网际思安”上网行为管理系统中央政府采购协议供货单位
@山东专业网络信息技术服务商(含设备维修)@山东专业网络设备分销商@山东系统集成服务商@山东网络方案设计及咨询@山东服务器及数据安全建设@山东专业机房方案设计建设及装修@山东华为交换机防火墙总代理@山东H3C总经销商@山东思科交换机路由器选型@山东HP服务器总代理@山东ibm服务器总经销商@山东DELL服务器选型及报价@山东虚拟化解决方案@
***********************************************************************************
济南百谷信息技术有限公司销售部联系方式
序号    部门    联系人    电话    区域    QQ
1    区域销售    李经理    0531-83196110    济南、菏泽、泰安    1193274399
2    区域销售    刘经理    0531-83199931    青岛、烟台、威海、日照    2313142968
3    区域销售    郭经理    0531-83199961    淄博、德州、滨州、聊城    1046893385
4    区域销售    胡经理    0531-83196110    临沂、枣庄、济宁    760105662
5    区域销售    李经理    0531-83196110    潍坊、东营、莱芜    2386038427
6    战略集成部    胡经理    15315414501        251936851
7    战略集成部    樊经理    0531-83196112        1097911607
8    24销售热线    胡来华    13608928216    24小时销售服务热线     
手机:13608928216
电话:(86)531-83196110
传真:(86)531-83196117                                        
E-mail:sdbaigu@sdbaigu.com
地址:山东济南花园路历下软件园乙座3F
欢迎浏览:Http://www.sdbaigu.com
百谷商城:http://shop.sdbaigu.com/
电子地图:http://edizhi.edushi.com/sdbaigu  
********************************************************************************
济南百谷信息技术有限公司部分成功案例:
威海信息产业局信息化平台网络建设方案
聊城市工商局浪潮服务器数据建设  
华东电力网络数据综合接入设备供应
济南市轻骑集团虚拟化数据库数据安全备份
上海宝钢山东分公司IBM服务器网络建设
山东高速公路夏津段思科路由器网络建设
东平湖黄河管理局ibm服务器数据库存储
德国威明汽车配件厂思科路由器交换机网络建设
山东水利水文资源局H3C防火墙交换机网络建设
山东网通系统集成部网络服务器设备供应
肥城教育局全市考试网络监控平台设备供应
山东太古飞机思科设备,无线局域网办公网络建设
德州亿顺汽车销售公司分公司VPN联网网络建设
H3C济南国际机场无线候机楼办公系统信息网络工程
泰安电力H3C设备视频会议网络数据连接
济南军区联勤部油料部频带服务器建设
山东轻工业学院图书馆汇聚交换机网络建设、
聊城邮政局到乡镇全网点VPN网络组建  
枣庄兖矿国泰思科网络交换机设备供应
临沂物流平台IBM服务器支撑系统安装调试
山东广发银行金融系统信息化平台IBM服务器存储
日照港务局思科网络设备综合布线系统安装及调试
烟台龙矿医院HP存储服务器设备安装调试
烟台大酒店收费系统IBM服务器设备供货
聊城公交公司车辆广告系统网路建设
济南吉利汽车股份有限公司DLP大屏网络建设    
山东建设银行外联业务全省迈普网络建设
肥城政府审批中心华三设备网闸网络建设
山东电子研究所服务器数据库设备建设
意大利老人头山东总部局域网系统集成
山东大王金泰集团有限公司服务器数据备份
济宁数字城市网闸和华为防火墙入侵检测设备供应
济南市历城区防疫站HP服务器数据库基础建设
山东滨州魏桥创业集团H3C路由器VPN联网建设
山东航空IBM服务器思科网络备份升级改造
山东省委专用通信事业局H3交换机C设备备件采购
吉利汽车总装厂焊装厂LED大屏设备采购项目
莱芜钢铁物流中心HP服务器及网络电脑设备供应
淄博汽车驾校考试系统华为防火墙联网VPN组建
潍坊职业技术学院网络技术大赛H3C设备供应
济南市建筑建设委员会部门思科防火墙局域网建设
东营胜利油田城市建设中心H3C核心交换机供应
东营垦利人民医院华三交换机HP服务器及虚拟化平台建设
菏泽锦江环保能源有限公司与电力联网网络建设
济南百江液化气有限公司机房装修及局域网建设
全运会历城体育中心网络安全JUNIPER防火墙安装调试
济宁医疗系统信息化建设平台DELL服务器存储设备供应
烟台南山集团旅游区小区智能化H3C网络及有限电视施工
吉利汽车机房静电地板光纤机柜隔断墙装修施工项目
山东星火国际传媒集团有限公司新办公区局域网络建设
山东邹城公交公司无线计费系统数据服务器及联网建设
山东铭联特通讯科技有限公司关于山东省电力数据网络建设
烟台工程职业技术学院上网行为管理及流量监控设备供应
烟台义坤气保设备有限公司IBM服务器及JUNIPER防火墙网络建设
威海文登人民医院信息化平台IBM服务器存储和虚拟化建设平台
青岛宇方自动化控制有限公司宁夏分公司H3C交换机及路由器设备供应
国药控股山东医药公司办公OA及财务系统服务器及网络解决方案设备供应
……………………………………………………………………………………………………………………………………………………………………………………
***********************************************************************************


查看更多...