華為3COM由華為公司與美國上市公司3COM在2003年合資成立，2005年、2007年兩次股權(quán)變更，并在2007年正式改名為杭州華三通信技術(shù)有限公司，簡稱H3C。H3C的財(cái)務(wù)數(shù)據(jù)對3COM財(cái)務(wù)報(bào)表影響較大，所以H3C也需要遵從美國SOX法案相關(guān)要求。本文在簡述IT遵從SOX法案要求和業(yè)界框架后，將詳細(xì)介紹H3C公司IT團(tuán)隊(duì)自主實(shí)施SOX項(xiàng)目的過程、方法、關(guān)鍵控制點(diǎn)和相關(guān)體會。

　　一、SOX法案背景

　　針對安然、世通等財(cái)務(wù)欺詐事件，美國國會出臺了《2002 年公眾公司會計(jì)改革和投資者保護(hù)法案》（Sarbanes-Oxley Act）。該法案由美國眾議院金融服務(wù)委員會主席奧克斯利和參議院銀行委員會主席薩班斯聯(lián)合提出，又被稱作《2002年薩班斯—奧克斯利法案》（簡稱薩班斯或SOX法案）。該法案的法律效力適用于在美國證券交易委員會注冊的公司，在美國上市的中國公司也受它約束。SOX法案對上市公司管理層提出了非?？量痰囊?，直接相關(guān)的條款包括：302條款 公司對財(cái)務(wù)報(bào)告的責(zé)任、404條款 管理層對內(nèi)部控制的評價(jià)、906條款 強(qiáng)化白領(lǐng)刑事責(zé)任。

　　二、IT在SOX遵從中的角色

　　SOX法案強(qiáng)調(diào)了要設(shè)計(jì)和執(zhí)行有效的公司內(nèi)部控制來保證財(cái)務(wù)報(bào)告職能的行之有效，隨著越來越多公司對于信息技術(shù)依賴性的提高，IT控制在公司內(nèi)部控制體系中的重要性也日益增加，主要體現(xiàn)如下方面：a. 公司業(yè)務(wù)流程的部分甚至全部由IT系統(tǒng)驅(qū)動和承載；b. 公司內(nèi)部控制目標(biāo)的實(shí)現(xiàn)通常取決于以IT為基礎(chǔ)的控制；c. 許多控制需要依賴IT系統(tǒng)生成的數(shù)據(jù)。

　　IT通過應(yīng)用控制和一般控制來幫助控制財(cái)務(wù)報(bào)告的相關(guān)風(fēng)險(xiǎn)，以達(dá)到控制目標(biāo)。其中：IT應(yīng)用控制（IT Application Control）嵌在各個(gè)應(yīng)用系統(tǒng)中，控制業(yè)務(wù)流程和交易處理，直接對財(cái)務(wù)報(bào)告產(chǎn)生影響；IT一般控制 (IT General Control, 也譯作通用計(jì)算機(jī)控制)是分布在IT流程中的控制活動，用來保障IT整體運(yùn)維環(huán)境的可靠，并支持應(yīng)用控制的有效運(yùn)作。

　　美國公眾公司會計(jì)監(jiān)管委員會（PCAOB）特別舉例強(qiáng)調(diào)，IT控制對于公司總體控制目標(biāo)的實(shí)現(xiàn)具有廣泛和深遠(yuǎn)的影響。所以，建立維護(hù)合理的IT控制體系、并保證其有效執(zhí)行是SOX法案遵從的重要組成部分。

　　三、IT遵從的常用框架和方法

　　如何建立和維護(hù)一套有效的IT內(nèi)控體系，并能得到外部審計(jì)師的認(rèn)同，較為有效的方法是采用業(yè)界通行的框架。COSO是目前唯一被PCAOB明文確認(rèn)可接受的內(nèi)控框架，該框架確定了3項(xiàng)內(nèi)部控制目標(biāo)，將分布于公司各個(gè)層面的內(nèi)控分解為控制環(huán)境、風(fēng)險(xiǎn)評估、控制活動、信息和溝通、監(jiān)督五個(gè)組成要素。

　　熟悉COSO的人士都知道，COSO框架并沒有具體描述IT風(fēng)險(xiǎn)與控制目標(biāo)，相對來說Cobitreg;（Control Objectives for Information and related Technology）更有針對性。Cobit框架由I T Governance Institute發(fā)布，2007年新版本是Cobit4.1，它定義了IT控制的7項(xiàng)信息標(biāo)準(zhǔn)(有效性、經(jīng)濟(jì)性、機(jī)密性、完整性、可用性、合規(guī)性、可靠性)、4大領(lǐng)域(計(jì)劃組織、開發(fā)獲取、交付支持、監(jiān)控評價(jià))和34個(gè)過程。

　　比較可貴的是，ITGI在2004年及時(shí)研究發(fā)布了《SOX法案遵從IT控制目標(biāo)》(英文全稱為IT Control Objectives for Sarbanes-Oxley: The Role of IT in the Design and Implementation of Internal Control Over Financial Reporting),其為SOX遵從的風(fēng)險(xiǎn)識別與控制過程指明了方向。2006年9月ITGI發(fā)布了該項(xiàng)目工作的第2版，更加受到了業(yè)界歡迎。

　　IT控制目標(biāo)明確后，需要具體落實(shí)在IT組織、人員、技術(shù)和流程中。這個(gè)落實(shí)過程可以參考IT服務(wù)管理標(biāo)準(zhǔn)（新的ITSM國際標(biāo)準(zhǔn)為ISO20000），建議重點(diǎn)借鑒IT基礎(chǔ)設(shè)施庫 (ITIL)的變更管理、問題管理、事件管理、配置管理等服務(wù)支持流程。在信息安全管理方面，ISO17799是一個(gè)可參照的國際標(biāo)準(zhǔn)。

　　四、 H3C IT SOX遵從實(shí)踐

　　2006年6月，H3C正式啟動了SOX遵從項(xiàng)目，對于IT部門來說，第一個(gè)挑戰(zhàn)是時(shí)間緊迫、人手不足，第二個(gè)挑戰(zhàn)是必須同步進(jìn)行數(shù)據(jù)中心運(yùn)維交接(以前是外包的)，第三個(gè)挑戰(zhàn)是沒有咨詢公司的參與。IT控制設(shè)計(jì)、實(shí)施、穿行測試、期中測試、期末測試等是依靠內(nèi)部力量自主摸索完成的，以下對其展開介紹。

　　1、H3C IT SOX遵從的項(xiàng)目過程和組織

　　H3C IT實(shí)施SOX遵從項(xiàng)目的大致過程如下：

　　（1）SOX計(jì)劃和范圍界定

　　制定IT SOX遵從具體項(xiàng)目計(jì)劃；根據(jù)對財(cái)務(wù)報(bào)告控制目標(biāo)的影響，整理和識別SOX遵從范圍內(nèi)的IT應(yīng)用系統(tǒng)、數(shù)據(jù)庫和相關(guān)基礎(chǔ)設(shè)施。并且在IT部門內(nèi)部進(jìn)行SOX相關(guān)的培訓(xùn)和宣傳。

　?。?）評估風(fēng)險(xiǎn)

　　依據(jù)對財(cái)務(wù)報(bào)告各項(xiàng)認(rèn)定：存在性\發(fā)生、完整性、準(zhǔn)確性、權(quán)利和義務(wù)、估值、披露的影響評估IT風(fēng)險(xiǎn)。

　　（3）確認(rèn)控制目標(biāo)，識別和記錄IT控制點(diǎn)

　　依據(jù)PCAOB有關(guān)IT控制的要求、參照IT Control Objectives for Sarbanes-Oxley，明確IT控制目標(biāo)以及更明細(xì)的控制子目標(biāo)，分析確定關(guān)鍵控制子目標(biāo)；識別現(xiàn)有控制活動、控制類型和發(fā)生頻率，識別關(guān)鍵控制點(diǎn)。H3C采用的13個(gè)通用計(jì)算機(jī)控制目標(biāo)分別是：應(yīng)用軟件獲取與維護(hù)、技術(shù)基礎(chǔ)設(shè)施獲取與維護(hù)、制度保障、程序安裝和啟用、變更管理、服務(wù)級別定義和管理、第三方服務(wù)管理、確保系統(tǒng)安全、配置管理、問題和事件管理、數(shù)據(jù)管理、物理環(huán)境和運(yùn)維管理、終端用戶計(jì)算。

　　（4）評估IT控制設(shè)計(jì)和日常執(zhí)行的有效性

　　依據(jù)設(shè)定的IT控制目標(biāo)，評估現(xiàn)有的IT控制活動設(shè)計(jì)是否合理，是否能夠?qū)崿F(xiàn)控制目標(biāo)。并根據(jù)IT控制活動發(fā)生的頻率抽樣測試日常執(zhí)行的有效性。詳細(xì)描述當(dāng)前控制設(shè)計(jì)和執(zhí)行的缺陷。

　?。?）評估和改進(jìn)控制缺陷

　　針對存在的缺陷，評估對于財(cái)務(wù)報(bào)告的風(fēng)險(xiǎn)，針對風(fēng)險(xiǎn)較大的關(guān)鍵控制目標(biāo)，改進(jìn)控制設(shè)計(jì)，提高執(zhí)行有效性。

　?。?）日?？刂频某掷m(xù)有效

　　通過培訓(xùn)、宣傳、自查、抽查、內(nèi)審等活動以及合適的技術(shù)手段來優(yōu)化和保障IT控制的持續(xù)有效。

　　2、H3C的IT控制活動舉例

　?。?） ITGC關(guān)鍵控制活動舉例

　　a) 應(yīng)用軟件獲取與維護(hù)：遵循一個(gè)有效的系統(tǒng)開發(fā)實(shí)施方法論（SDLC）；項(xiàng)目需求規(guī)格中需要包括應(yīng)用控制方面的內(nèi)容；項(xiàng)目組任命、項(xiàng)目需求規(guī)格、驗(yàn)證性測試必須要求業(yè)務(wù)部門的簽字確認(rèn)；如果涉及到系統(tǒng)選型和采購，選型小組中需要有業(yè)務(wù)部門的代表，按照采購流程執(zhí)行等。

　　b) 程序安裝和啟用，在系統(tǒng)進(jìn)入生產(chǎn)環(huán)境前需要測試和業(yè)務(wù)確認(rèn)，包括：功能測試、接口測試、數(shù)據(jù)遷移測試等。

　　c) 程序變更控制：所有程序變更申請都必須是恰當(dāng)?shù)那医?jīng)過授權(quán)的；進(jìn)行職責(zé)分離以防止開發(fā)人員修改生產(chǎn)環(huán)境；版本控制以防止修改沖突；變更測試以確保準(zhǔn)確性；需經(jīng)業(yè)務(wù)用戶確認(rèn)以確保變更符合業(yè)務(wù)需要等。

　　d) 信息安全控制：用戶認(rèn)證 (如訪問帳號和密碼)；密碼控制 (如密碼有效期，復(fù)雜度等)；安全管理 (新用戶建立，離職員工銷戶，密碼復(fù)位等)；計(jì)算機(jī)、網(wǎng)絡(luò)防病毒等；工作場所的物理安全等。

　　e) 數(shù)據(jù)管理：制定備份策略，依據(jù)備份策略進(jìn)行程序、數(shù)據(jù)備份；備份恢復(fù)計(jì)劃與演練等。

　　f) 運(yùn)維管理：計(jì)算機(jī)系統(tǒng)監(jiān)控；作業(yè)／批處理程序監(jiān)控等。

　?。?） ITAC控制活動舉例

　　IT應(yīng)用控制主要目標(biāo)包括財(cái)務(wù)交易信息的完整、準(zhǔn)確、有效，僅限于經(jīng)過授權(quán)的人員操作，符合職責(zé)分離要求，其中職責(zé)分離(SoD)的設(shè)計(jì)與實(shí)施占用ITAC的較大工作量。對于應(yīng)用控制的設(shè)計(jì)需要在需求規(guī)格中清晰描述，并獲得業(yè)務(wù)部門確認(rèn)。常用的IT應(yīng)用控制活動包括：逐筆核對檢查、批次總數(shù)/運(yùn)行總數(shù)控制、計(jì)算機(jī)序列檢驗(yàn)、計(jì)算機(jī)自動匹配、程序檢驗(yàn)、物理鎖定、預(yù)配置輸入。

　?。?） IT實(shí)體層控制活動舉例

　　除ITGC 和ITAC以外，需要將IT納入公司層面進(jìn)行SOX遵從評估，包括：戰(zhàn)略和計(jì)劃、策略和流程、培訓(xùn)和技能、風(fēng)險(xiǎn)評估、質(zhì)量保證、內(nèi)部審計(jì)等?！　?

　　3、H3C IT SOX遵從項(xiàng)目主要交付文檔

　　（1）內(nèi)控的總體說明（Narrative）

　?。?）應(yīng)用系統(tǒng)范圍界定（Application Scoping）

　　（3）風(fēng)險(xiǎn)控制矩陣（Risk Control Matrix (RCM)）

　?。?）職責(zé)分離設(shè)計(jì)（Segregation of Duties）

　　（5）管理評估（Management Assessment）

　?。?）問題跟蹤與改進(jìn)（Issue Trace）　　

　?。?、H3C IT SOX遵從的里程碑

　?。?） 2006.05 項(xiàng)目啟動

　　（2） 2006.09 內(nèi)部第一輪測試

　?。?） 2006.10 外部審計(jì)師控制設(shè)計(jì)測試

　?。?） 2006.12 外部審計(jì)師執(zhí)行有效性測試

　?。?） 2007.02 內(nèi)部第二輪測試

　?。?） 2007.04 外部審計(jì)師期末測試　　

　　五、H3C IT SOX遵從體會

　　通過實(shí)踐，項(xiàng)目團(tuán)隊(duì)認(rèn)為下述幾個(gè)因素的影響較大：與業(yè)務(wù)運(yùn)營良性互動的理念、基于風(fēng)險(xiǎn)和自上而下的方法、框架標(biāo)準(zhǔn)和成功經(jīng)驗(yàn)的借鑒、良好的管理基礎(chǔ)與技術(shù)保障、合適的團(tuán)隊(duì)和有效的溝通。

　?。?、與業(yè)務(wù)運(yùn)營良性互動的理念

　　盡管SOX遵從是硬性要求，有可能會增加運(yùn)作成本，項(xiàng)目團(tuán)隊(duì)也非常重視其正面價(jià)值。通過有效的風(fēng)險(xiǎn)評估和控制活動識別，產(chǎn)生如下結(jié)果：（1）很多控制點(diǎn)業(yè)務(wù)上本已存在，但執(zhí)行人員原本沒有意識到，現(xiàn)在更加明白自己工作意義，成就感也增強(qiáng)了；（2）有些缺陷和不足是業(yè)務(wù)運(yùn)營本身就應(yīng)該糾正和預(yù)防的，所以增加控制點(diǎn)利大于弊；（3）存在一些重復(fù)或多余的控制活動，優(yōu)化后提高了運(yùn)營效率。H3C IT遵從過程中建立起來的運(yùn)維體系與流程，對數(shù)據(jù)中心運(yùn)維的平穩(wěn)交接幫助很大。

　　２、基于風(fēng)險(xiǎn)和自上而下的方法

　　IT對風(fēng)險(xiǎn)的控制可能會不足，但從另外一個(gè)角度看，也要防止控制過頭，想要徹底避免所有風(fēng)險(xiǎn)本身不現(xiàn)實(shí)，所以應(yīng)該選擇基于風(fēng)險(xiǎn)、自上而下的方法，否則目標(biāo)模糊、“草木皆兵”，會導(dǎo)致自亂陣腳。風(fēng)險(xiǎn)、控制目標(biāo)、控制活動明確后，執(zhí)行中就不宜再泛化SOX的要求。曾經(jīng)發(fā)生過一件趣事，同事甲去找同事乙協(xié)調(diào)一項(xiàng)棘手的工作，眼看協(xié)調(diào)不成時(shí)竟說“這是SOX的要求”，但同事乙的SOX功底很深，沒被嚇唬住，最后雙方莞爾。

　?。?、框架標(biāo)準(zhǔn)和成功經(jīng)驗(yàn)的借鑒

　　主動借鑒行業(yè)框架、行業(yè)標(biāo)準(zhǔn)，有利于保障控制的完整性，不會出現(xiàn)大的缺失，也有利于對內(nèi)對外的溝通。項(xiàng)目團(tuán)隊(duì)參照Cobit框架編制控制說明(Narrative)和風(fēng)險(xiǎn)控制矩陣(RCM)，與外部審計(jì)師的溝通效率就比較高，返工也較少。

　　華為公司的IT服務(wù)管理體系通過了ISO20000認(rèn)證、其信息安全管理體系通過了ISO17799認(rèn)證，其成功經(jīng)驗(yàn)值得借鑒；3COM公司IT專家豐富的SOX知識和經(jīng)驗(yàn)也非常有價(jià)值。

　　4、良好的管理基礎(chǔ)與技術(shù)保障

　　H3C IT實(shí)施SOX遵從項(xiàng)目不是推倒重來，實(shí)施前已經(jīng)有了正常運(yùn)作的信息安全管理、應(yīng)用系統(tǒng)開發(fā)維護(hù)、以及部分IT運(yùn)維管理流程，這為遵從提供了良好的管理基礎(chǔ)。通過實(shí)施IT遵從項(xiàng)目對相關(guān)流程、體系進(jìn)行了補(bǔ)充和完善，也對有些環(huán)節(jié)進(jìn)行了優(yōu)化和減化。

　　H3C IT廣泛應(yīng)用了自己公司的IToIP產(chǎn)品與解決方案，也為高效、持續(xù)的符合SOX法案要求提供了重要的技術(shù)保障。例如，基礎(chǔ)性的交換機(jī)、路由器、防火墻、VPN、入侵防御系統(tǒng)、日志管理系統(tǒng)等，已經(jīng)是被IT人員所熟悉，其對于SOX遵從的意義當(dāng)然無需贅述；COSO內(nèi)控框架中的五要素之一是“信息和溝通”，VoIP語音、視訊系統(tǒng)有效的降低了溝通成本、提高了溝通效率和效果；高速的數(shù)字監(jiān)控系統(tǒng)、大容量的存儲產(chǎn)品既有利于不良事件的預(yù)防(preventive)也有利于事后的檢測(detective)；審計(jì)證據(jù)的數(shù)字化、流程化記錄和保存對提高控制執(zhí)行效率和審計(jì)效率都很有幫助。

　　特別是EAD（End Access Defense – 終端訪問防御）解決方案的全面實(shí)施，有安全隱患的機(jī)器設(shè)備（如：未經(jīng)認(rèn)證、裝有非法軟件、病毒庫過期、補(bǔ)丁更新不及時(shí)、密碼設(shè)置不規(guī)范等等）均無法接入公司網(wǎng)絡(luò)，不僅提高了IT安全系數(shù)、而且降低了IT運(yùn)維整體成本。

　　5、合適的團(tuán)隊(duì)和有效的溝通

　　IT SOX遵從由剛剛升任、富有創(chuàng)新精神的CIO帶隊(duì)，核心成員熟悉公司業(yè)務(wù)和運(yùn)作流程，熟悉SOX法案、PCAOB審計(jì)標(biāo)準(zhǔn)、COSO、Cobit、ISO20000、ISO17799等信息系統(tǒng)審計(jì)知識，另外還有較豐富的開發(fā)和管理經(jīng)驗(yàn)。

　　H3C IT部門及相關(guān)人員本身素質(zhì)較高，適應(yīng)變革能力較強(qiáng)，執(zhí)行力也非常強(qiáng)。對于溝通清楚、目標(biāo)明確的任務(wù)，即使再苦再累，都能貫徹落實(shí)。對于不明確的任務(wù)，控制執(zhí)行人員一般都會主動找項(xiàng)目團(tuán)隊(duì)成員溝通，和項(xiàng)目團(tuán)隊(duì)成員一起想辦法。

　　與外部審計(jì)師保持有效的溝通也是非常重要的因素。對審計(jì)師保持開放積極的態(tài)度，尊重審計(jì)師時(shí)間、尊重審計(jì)師觀點(diǎn)，及時(shí)糾正審計(jì)師發(fā)現(xiàn)的問題。及時(shí)跟蹤業(yè)內(nèi)動態(tài)并與審計(jì)師一起討論分析，增加相互信任，爭取盡早在有爭議的問題上達(dá)成一致。例如PCAOB可能會放松對管理層評估的要求、IT Control Objectives for SOX第2版中放松了對可用性(Availability)的強(qiáng)調(diào)，項(xiàng)目團(tuán)隊(duì)及時(shí)刪減了一些控制目標(biāo)和控制活動并得到審計(jì)師認(rèn)可。

　　2007年4月當(dāng)期現(xiàn)場審計(jì)結(jié)束，外部審計(jì)師認(rèn)為H3C的IT控制不存在實(shí)質(zhì)性缺陷(material weakness)和重大缺陷(significant deficiency)，小的缺陷(deficiency)只有3個(gè)，即SOX合規(guī)，第一年這樣的表現(xiàn)是較為優(yōu)秀的。新建的控制體系保障了數(shù)據(jù)中心運(yùn)維平穩(wěn)交接，有效的支撐了業(yè)務(wù)運(yùn)營，為持續(xù)遵從奠定了堅(jiān)實(shí)基礎(chǔ)。當(dāng)然，考慮到環(huán)境的不同，以上體會未必適用于所有項(xiàng)目，H3C自身環(huán)境也在不斷變化，如何持續(xù)遵從仍需進(jìn)一步摸索?！　?

　　作者：

　　姚武杰 H3C IT總監(jiān)，高級工程師、MBA、CISA(2002)

　　胡燕鴻 H3C IT策略管治經(jīng)理，技術(shù)經(jīng)濟(jì)管理碩士、CPA。

來源: 互聯(lián)網(wǎng)周刊