SOX法案IT内控实践.doc

SOX法案IT内控实践
在2003年合资成立,2005年、2007年两次股权变更,并在2007年正式改名为杭州华三通信技术有限公司,简称H3C。财务报表影响较大,所以H3C也需要遵从美国SOX法案相关要求。本文在简述IT遵从SOX法案要求和业界框架后,将详细介绍H3C公司IT团队自主实施SOX项目的过程、方法、关键控制点和相关体会。
一、SOX法案背景
针对安然、世通等财务欺诈事件,美国国会出台了《2002 年公众公司会计改革和投资者保护法案》(Sarbanes-Oxley Act)。该法案由美奥克斯利和参议院银行委员会主席萨班斯联合提出,又被称作《2002年萨班斯—奥克斯利法案》(简称萨班斯或SOX法案)。该法案的法律效力适用于在美国证券交易委员会注册的公司,在美国上市的中国公司也受它约束。SOX法案对上市公司管理层提出了非常苛刻的要求,直接相关的条款包括:302条款公司对财务报告的责任、404条款管理层对内部控制的评价、906条款强化白领刑事责任。
二、IT在SOX遵从中的角色
SOX法案强调了要设计和执行有效的公司内部控制来保证财务报告职能的行之有效,随着越来越多公司对于信息技术依赖性的提高,IT控制在公司内部控制体系中的重要性也日益增加,主要体现如下方面:a. 公司业务流程的部分甚至全部由IT系统驱动和承载;b. 公司内部控制目标的实现通常取决于以IT为
基础的控制;c. 许多控制需要依赖IT系统生成的数据。
IT通过应用控制和一般控制来帮助控制财务报告的相关风险,以达到控制目标。其中:IT应用控制(IT Application Control)嵌在各个应用系统中,控制业务流程和交易处理,直接对财务报告产生影响;IT一般控制(IT General Control, 也译作通用计算机控制)是分布在IT流程中的控制活动,用来保障IT整体运维环境的可靠,并支持应用控制的有效运作。
美国公众公司会计监管委员会(PCAOB)特别举例强调,IT控制对于公司总体控制目标的实现具有广泛和深远的影响。所以,建立维护合理的IT控制体系、并保证其有效执行是SOX法案遵从的重要组成部分。
三、IT遵从的常用框架和方法
如何建立和维护一套有效的IT内控体系,并能得到外部审计师的认同,较为有效的方法是采用业界通行的框架。COSO是目前唯一被PCAOB明文确认可接受的内控框架,该框架确定了3项内部控制目标,将分布于公司各个层面的内控分解为控制环境、风险评估、控制活动、信息和沟通、监督五个组成要素。
熟悉COSO的人士都知道,COSO框架并没有具体描述IT风险与控制目标,相对来说Cobitreg;(Control Objectives for Information and related Technology)更有针对性。Cobit框架由I T Governance Institute发布,,它定义了IT控制的7项信息标准(有效性、经济性、机密性、完整性、可用性、
合规性、可靠性)、4大领域(计划组织、开发获取、交付支持、监控评价)和34个过程。
比较可贵的是,ITGI在2004年及时研究发布了《SOX法案遵从IT控制目标》(英文全称为IT Control Objectives for Sarbanes-Oxley: The Role of IT in the Design and Implementation of Internal Control Over Financial Reporting),其为SOX遵从的风险识别与控制过程指明了方向。2006年9月ITGI发布了该项目工作的第2版,更加受到了业界欢迎。
IT控制目标明确后,需要具体落实在IT组织、人员、技术和流程中。这个落实过程可以参考IT服务管理标准(新的ITSM国际标准为ISO20000),建议重点借鉴IT基础设施库(ITIL)的变更管理、问题管理、事件管理、配置管理等服务支持流程。在信息安全管理方面,ISO17799是一个可参照的国际标准。
四、 H3C IT SOX遵从实践
2006年6月,H3C正式启动了SOX遵从项目,对于IT部门来说,第一个挑战是时间紧迫、人手不足,第二个挑战是必须同步进行数据中心运维交接(以前是外包的),第三个挑战是没有咨询公司的参与。IT控制设计、实施、穿行测试、期中测试、期末测试等是依靠内部力量自主摸索完成的,以下对其展开介绍。
1、H3C IT SOX遵从的项目过程和组织
H
3C IT实施SOX遵从项目的大致过程如下:
(1)SOX计划和范围界定
制定IT SOX遵从具体项目计划;根据对财务报告控制目标的影响,