IT遵从SOX法案及华为3COM实践

　　华为3COM由华为公司与美国上市公司3COM在2003年合资成立，2005年、2007年两次股权变更，并在2007年正式改名为杭州华三通信技术有限公司，简称H3C。H3C的财务数据对3COM财务报表影响较大，所以H3C也需要遵从美国SOX法案相关要求。本文在简述IT遵从SOX法案要求和业界框架后，将详细介绍H3C公司IT团队自主实施SOX项目的过程、方法、关键控制点和相关体会。

　　一、SOX法案背景

　　针对安然、世通等财务欺诈事件，美国国会出台了《2002 年公众公司会计改革和投资者保护法案》（Sarbanes-Oxley Act）。该法案由美国众议院金融服务委员会主席奥克斯利和参议院银行委员会主席萨班斯联合提出，又被称作《2002年萨班斯—奥克斯利法案》（简称萨班斯或SOX法案）。该法案的法律效力适用于在美国证券交易委员会注册的公司，在美国上市的中国公司也受它约束。SOX法案对上市公司管理层提出了非常苛刻的要求，直接相关的条款包括：302条款 公司对财务报告的责任、404条款 管理层对内部控制的评价、906条款 强化白领刑事责任。

　　二、IT在SOX遵从中的角色

　　SOX法案强调了要设计和执行有效的公司内部控制来保证财务报告职能的行之有效，随着越来越多公司对于信息技术依赖性的提高，IT控制在公司内部控制体系中的重要性也日益增加，主要体现如下方面：a. 公司业务流程的部分甚至全部由IT系统驱动和承载；b. 公司内部控制目标的实现通常取决于以IT为基础的控制；c. 许多控制需要依赖IT系统生成的数据。

　　IT通过应用控制和一般控制来帮助控制财务报告的相关风险，以达到控制目标。其中：IT应用控制（IT Application Control）嵌在各个应用系统中，控制业务流程和交易处理，直接对财务报告产生影响；IT一般控制 (IT General Control, 也译作通用计算机控制)是分布在IT流程中的控制活动，用来保障IT整体运维环境的可靠，并支持应用控制的有效运作。

　　美国公众公司会计监管委员会（PCAOB）特别举例强调，IT控制对于公司总体控制目标的实现具有广泛和深远的影响。所以，建立维护合理的IT控制体系、并保证其有效执行是SOX法案遵从的重要组成部分。

　　三、IT遵从的常用框架和方法

　　如何建立和维护一套有效的IT内控体系，并能得到外部审计师的认同，较为有效的方法是采用业界通行的框架。COSO是目前唯一被PCAOB明文确认可接受的内控框架，该框架确定了3项内部控制目标，将分布于公司各个层面的内控分解为控制环境、风险评估、控制活动、信息和沟通、监督五个组成要素。

　　熟悉COSO的人士都知道，COSO框架并没有具体描述IT风险与控制目标，相对来说Cobitreg;（Control Objectives for Information and related Technology）更有针对性。Cobit框架由I T Governance Institute发布，2007年新版本是Cobit4.1，它定义了IT控制的7项信息标准(有效性、经济性、机密性、完整性、可用性、合规性、可靠性)、4大领域(计划组织、开发获取、交付支持、监控评价)和34个过程。

　　比较可贵的是，ITGI在2004年及时研究发布了《SOX法案遵从IT控制目标》(英文全称为IT Control Objectives for Sarbanes-Oxley: The Role of IT in the Design and Implementation of Internal Control Over Financial Reporting),其为SOX遵从的风险识别与控制过程指明了方向。2006年9月ITGI发布了该项目工作的第2版，更加受到了业界欢迎。

　　IT控制目标明确后，需要具体落实在IT组织、人员、技术和流程中。这个落实过程可以参考IT服务管理标准（新的ITSM国际标准为ISO20000），建议重点借鉴IT基础设施库 (ITIL)的变更管理、问题管理、事件管理、配置管理等服务支持流程。在信息安全管理方面，ISO17799是一个可参照的国际标准。

　　四、 H3C IT SOX遵从实践

　　2006年6月，H3C正式启动了SOX遵从项目，对于IT部门来说，第一个挑战是时间紧迫、人手不足，第二个挑战是必须同步进行数据中心运维交接(以前是外包的)，第三个挑战是没有咨询公司的参与。IT控制设计、实施、穿行测试、期中测试、期末测试等是依靠内部力量自主摸索完成的，以下对其展开介绍。

　　1、H3C IT SOX遵从的项目过程和组织

　　H3C IT实施SOX遵从项目的大致过程如下：

　　（1）SOX计划和范围界定

　　制定IT SOX遵从具体项目计划；根据对财务报告控制目标的影响，整理和识别SOX遵从范围内的IT应用系统、数据库和相关基础设施。并且在IT部门内部进行SOX相关的培训和宣传。

　　（2）评估风险

　　依据对财务报告各项认定：存在性\发生、完整性、准确性、权利和义务、估值、披露的影响评估IT风险。

　　（3）确认控制目标，识别和记录IT控制点

　　依据PCAOB有关IT控制的要求、参照IT Control Objectives for Sarbanes-Oxley，明确IT控制目标以及更明细的控制子目标，分析确定关键控制子目标；识别现有控制活动、控制类型和发生频率，识别关键控制点。H3C采用的13个通用计算机控制目标分别是：应用软件获取与维护、技术基础设施获取与维护、制度保障、程序安装和启用、变更管理、服务级别定义和管理、第三方服务管理、确保系统安全、配置管理、问题和事件管理、数据管理、物理环境和运维管理、终端用户计算。

　　（4）评估IT控制设计和日常执行的有效性

　　依据设定的IT控制目标，评估现有的IT控制活动设计是否合理，是否能够实现控制目标。并根据IT控制活动发生的频率抽样测试日常执行的有效性。详细描述当前控制设计和执行的缺陷。

　　（5）评估和改进控制缺陷

　　针对存在的缺陷，评估对于财务报告的风险，针对风险较大的关键控制目标，改进控制设计，提高执行有效性。

　　（6）日常控制的持续有效

　　通过培训、宣传、自查、抽查、内审等活动以及合适的技术手段来优化和保障IT控制的持续有效。

　　2、H3C的IT控制活动举例

　　（1） ITGC关键控制活动举例

　　a) 应用软件获取与维护：遵循一个有效的系统开发实施方法论（SDLC）；项目需求规格中需要包括应用控制方面的内容；项目组任命、项目需求规格、验证性测试必须要求业务部门的签字确认；如果涉及到系统选型和采购，选型小组中需要有业务部门的代表，按照采购流程执行等。

　　b) 程序安装和启用，在系统进入生产环境前需要测试和业务确认，包括：功能测试、接口测试、数据迁移测试等。

　　c) 程序变更控制：所有程序变更申请都必须是恰当的且经过授权的；进行职责分离以防止开发人员修改生产环境；版本控制以防止修改冲突；变更测试以确保准确性；需经业务用户确认以确保变更符合业务需要等。

　　d) 信息安全控制：用户认证 (如访问帐号和密码)；密码控制 (如密码有效期，复杂度等)；安全管理 (新用户建立，离职员工销户，密码复位等)；计算机、网络防病毒等；工作场所的物理安全等。

　　e) 数据管理：制定备份策略，依据备份策略进行程序、数据备份；备份恢复计划与演练等。

　　f) 运维管理：计算机系统监控；作业／批处理程序监控等。

　　（2） ITAC控制活动举例

　　IT应用控制主要目标包括财务交易信息的完整、准确、有效，仅限于经过授权的人员操作，符合职责分离要求，其中职责分离(SoD)的设计与实施占用ITAC的较大工作量。对于应用控制的设计需要在需求规格中清晰描述，并获得业务部门确认。常用的IT应用控制活动包括：逐笔核对检查、批次总数/运行总数控制、计算机序列检验、计算机自动匹配、程序检验、物理锁定、预配置输入。

　　（3） IT实体层控制活动举例

　　除ITGC 和ITAC以外，需要将IT纳入公司层面进行SOX遵从评估，包括：战略和计划、策略和流程、培训和技能、风险评估、质量保证、内部审计等。　　

　　3、H3C IT SOX遵从项目主要交付文档

　　（1）内控的总体说明（Narrative）

　　（2）应用系统范围界定（Application Scoping）

　　（3）风险控制矩阵（Risk Control Matrix (RCM)）

　　（4）职责分离设计（Segregation of Duties）

　　（5）管理评估（Management Assessment）

　　（6）问题跟踪与改进（Issue Trace）　　

　　４、H3C IT SOX遵从的里程碑

　　（1） 2006.05 项目启动

　　（2） 2006.09 内部第一轮测试

　　（3） 2006.10 外部审计师控制设计测试

　　（4） 2006.12 外部审计师执行有效性测试

　　（5） 2007.02 内部第二轮测试

　　（6） 2007.04 外部审计师期末测试　　

　　五、H3C IT SOX遵从体会

　　通过实践，项目团队认为下述几个因素的影响较大：与业务运营良性互动的理念、基于风险和自上而下的方法、框架标准和成功经验的借鉴、良好的管理基础与技术保障、合适的团队和有效的沟通。

　　１、与业务运营良性互动的理念

　　尽管SOX遵从是硬性要求，有可能会增加运作成本，项目团队也非常重视其正面价值。通过有效的风险评估和控制活动识别，产生如下结果：（1）很多控制点业务上本已存在，但执行人员原本没有意识到，现在更加明白自己工作意义，成就感也增强了；（2）有些缺陷和不足是业务运营本身就应该纠正和预防的，所以增加控制点利大于弊；（3）存在一些重复或多余的控制活动，优化后提高了运营效率。H3C IT遵从过程中建立起来的运维体系与流程，对数据中心运维的平稳交接帮助很大。

　　２、基于风险和自上而下的方法

　　IT对风险的控制可能会不足，但从另外一个角度看，也要防止控制过头，想要彻底避免所有风险本身不现实，所以应该选择基于风险、自上而下的方法，否则目标模糊、“草木皆兵”，会导致自乱阵脚。风险、控制目标、控制活动明确后，执行中就不宜再泛化SOX的要求。曾经发生过一件趣事，同事甲去找同事乙协调一项棘手的工作，眼看协调不成时竟说“这是SOX的要求”，但同事乙的SOX功底很深，没被吓唬住，最后双方莞尔。

　　３、框架标准和成功经验的借鉴

　　主动借鉴行业框架、行业标准，有利于保障控制的完整性，不会出现大的缺失，也有利于对内对外的沟通。项目团队参照Cobit框架编制控制说明(Narrative)和风险控制矩阵(RCM)，与外部审计师的沟通效率就比较高，返工也较少。

　　华为公司的IT服务管理体系通过了ISO20000认证、其信息安全管理体系通过了ISO17799认证，其成功经验值得借鉴；3COM公司IT专家丰富的SOX知识和经验也非常有价值。

　　4、良好的管理基础与技术保障

　　H3C IT实施SOX遵从项目不是推倒重来，实施前已经有了正常运作的信息安全管理、应用系统开发维护、以及部分IT运维管理流程，这为遵从提供了良好的管理基础。通过实施IT遵从项目对相关流程、体系进行了补充和完善，也对有些环节进行了优化和减化。

　　H3C IT广泛应用了自己公司的IToIP产品与解决方案，也为高效、持续的符合SOX法案要求提供了重要的技术保障。例如，基础性的交换机、路由器、防火墙、VPN、入侵防御系统、日志管理系统等，已经是被IT人员所熟悉，其对于SOX遵从的意义当然无需赘述；COSO内控框架中的五要素之一是“信息和沟通”，VoIP语音、视讯系统有效的降低了沟通成本、提高了沟通效率和效果；高速的数字监控系统、大容量的存储产品既有利于不良事件的预防(preventive)也有利于事后的检测(detective)；审计证据的数字化、流程化记录和保存对提高控制执行效率和审计效率都很有帮助。

　　特别是EAD（End Access Defense – 终端访问防御）解决方案的全面实施，有安全隐患的机器设备（如：未经认证、装有非法软件、病毒库过期、补丁更新不及时、密码设置不规范等等）均无法接入公司网络，不仅提高了IT安全系数、而且降低了IT运维整体成本。

　　5、合适的团队和有效的沟通

　　IT SOX遵从由刚刚升任、富有创新精神的CIO带队，核心成员熟悉公司业务和运作流程，熟悉SOX法案、PCAOB审计标准、COSO、Cobit、ISO20000、ISO17799等信息系统审计知识，另外还有较丰富的开发和管理经验。

　　H3C IT部门及相关人员本身素质较高，适应变革能力较强，执行力也非常强。对于沟通清楚、目标明确的任务，即使再苦再累，都能贯彻落实。对于不明确的任务，控制执行人员一般都会主动找项目团队成员沟通，和项目团队成员一起想办法。

　　与外部审计师保持有效的沟通也是非常重要的因素。对审计师保持开放积极的态度，尊重审计师时间、尊重审计师观点，及时纠正审计师发现的问题。及时跟踪业内动态并与审计师一起讨论分析，增加相互信任，争取尽早在有争议的问题上达成一致。例如PCAOB可能会放松对管理层评估的要求、IT Control Objectives for SOX第2版中放松了对可用性(Availability)的强调，项目团队及时删减了一些控制目标和控制活动并得到审计师认可。

　　2007年4月当期现场审计结束，外部审计师认为H3C的IT控制不存在实质性缺陷(material weakness)和重大缺陷(significant deficiency)，小的缺陷(deficiency)只有3个，即SOX合规，第一年这样的表现是较为优秀的。新建的控制体系保障了数据中心运维平稳交接，有效的支撑了业务运营，为持续遵从奠定了坚实基础。当然，考虑到环境的不同，以上体会未必适用于所有项目，H3C自身环境也在不断变化，如何持续遵从仍需进一步摸索。　　

　　作者：

　　姚武杰 H3C IT总监，高级工程师、MBA、CISA(2002)

　　胡燕鸿 H3C IT策略管治经理，技术经济管理硕士、CPA。

来源: 互联网周刊