杭州华三通信技术有限公司 姚武杰 胡燕鸿

本文简要介绍美国SOX法案的遵循要求和业界框架，详细描述H3C公司IT在遵循SOX过程中的实践，包括采用的合规框架、组织过程、重要控制活动，以及工作体会。

一、               SOX法案（Sarbanes-Oxley Act）背景和重点内容

针对安然、世通等财务欺诈事件，美国国会出台了《2002 年公众公司会计改革和投资者保护法案》。该法案由美国众议院金融服务委员会主席奥克斯利和参议院银行委员会主席萨班斯联合提出，又被称作《2002年萨班斯—奥克斯利法案》（简称萨班斯法案）。法案对美国《1933 年证券法》、《1934年证券交易法》作了不少修订，在会计职业监管、公司治理、证券市场监管等方面作出了许多新的规定。该法案的法律效力适用于在美国证券交易委员会注册的约14,000多家公司，其中包括在美国上市的中国公司也是它约束的对象。

SOX法案与上市公司管理层直接相关的内容包括以下三部分：

1、302条款公司对财务报告的责任

上市公司的首席执行官及首席财务官（或担任同等职务的人员）在每一年度报告或季度报告中保证如下内容：

（1）保证报告中的会计报表及其他财务信息在所有重大方面，公允地反映了公司在该报告期末的财务状况及该报告期内的经营成果，不存在重大的错报、漏报。

（2）对建立及保持公司的内部控制负责；评价公司的内部控制在签署报告前90 天内的有效性。

（3）已向公司的审计师及董事会下属的审计委员会（或担任同等职务的人员）披露了内部控制的设计或执行中的所有重大缺陷以及在内部控制中担任重要职位的管理人员或其他雇员的欺诈行为。

（4）指明在他们对内部控制评价之后，内部控制是否发生了重大变化，或是其他可能对内部控制产生重要影响的因素，包括对内部控制的重大缺陷或重要缺点的更正措施。

2、  404条款 管理层对内部控制的评价

（1）公司管理层建立维护和评价内部控制

            要求在公司年度报告中包括内部控制报告，强调公司管理层建立和维护一个针对财务报告职能行之有效的内部控制程序中的责任；并对财务报告系统内部控制的有效性进行评价。    

（2）外部审计对于公司内部控制报告的评价

要求担任公司年报审计的会计公司应当对管理层提供的内部控制报告进行测试和评价，并出具评价报告。

3、906条款强化白领刑事责任

二、IT在SOX法案合规中的角色

SOX法案强调了要设计和执行有效的公司内部控制来保证财务报告职能的行之有效，随着越来越多公司对于信息技术依赖性的提高，IT控制在公司内部控制体系中的重要性也日益增加，主要体现如下方面：a. 公司业务流程的部分甚至全部由IT系统驱动和承载；b. 公司内部控制目标的实现通常取决于以IT为基础的控制；c. 许多控制需要依赖IT系统生成的数据。图1从公司交易类型、业务流程和IT应用系统和IT基础服务的层面说明了IT控制和公司财务报告之间的关系。

图１ 财务报告内部控制设计和实施中的IT角色

摘译自: Sarbanes-Oxley IT控制目标（IT control objectives for Sarbanes-Oxley）

具体理解如下：

1、所有会计信息在发生交易的各业务流程及子流程产生，最终汇总到财务报告中进行披露。

2、IT为各业务流程(包括财务报告流程)的执行和业务流程间的协作提供了应用系统支持，这些系统的开发实施依据是业务需求。

3、IT为业务运作提供IT基础设施服务，包括数据库、操作系统、网络、物理环境等。

4、IT通过应用控制和一般控制来帮助控制财务报告的相关风险，以达到控制目标。其中：IT应用控制（IT Application Control）嵌在各个应用系统中，控制业务流程和交易处理，直接对财务报告产生影响。IT一般控制(IT General Control)是分布在IT流程中的控制活动，用来保障IT整体运维环境的可靠，并支持应用控制的有效运作。

美国公众公司会计监管委员会（Public Company Accounting Oversight Board，简称PCAOB）特别强调： “Some controls … might have a pervasive effect on achieving many overall objectives of the control criteria. For example, information technology general controls over program development, program changes, computer operations, and access to programs and data help ensure that specific controls over the processing of transactions are operating effectively.”  （ PCAOB’s Auditing Standard for Section 404） 由此可见，IT控制对于公司总体控制目标的实现具有广泛和深远的影响，建立维护一个合理IT控制体系，并保证其有效执行是SOX法案合规工作的重要组成部分。

三、IT合规的常用框架和方法

    如何建立和维护一套有效的IT内控体系，并能得到外部审计师的认同，较为有效的方法是采用业界通行的框架。COSO是目前唯一被PCAOB明文确认可接受的内控框架，该框架确定了3项内部控制目标，将分布于公司各个层面的内控分解为五个组成要素，如图2示。

图2 COSO魔方

COSO对于IT控制的描述如下：“… Two broad groupings of information systems control activities can be used. The first is general controls -- which apply to many if not all application systems and help ensure their continued, proper operation. The second category is application controls, which include computerized steps within the application software and related manual procedures to control the processing of various types of transactions. Together, these controls serve to ensure completeness, accuracy and validity of the financial and other information in the system.” （COSO Report: Internal Control - Integrated Framework）。

COSO框架没有具体描述IT风险与控制目标，相对来说Cobit®（Control Objectives for Information and related Technology）更有针对性。Cobit框架由I T Governance Institute发布，2007年新版本是Cobit4.1，它定义了IT控制的7项信息标准、4大领域和34个过程。Cobit框架概览如下图所示。

图3 Cobit魔方

比较可贵的是，ITGI在2004年及时研究发布了针对SOX法案的IT控制目标——IT Control Objectives for Sarbanes-Oxley: The Role of IT in the Design and Implementation of Internal Control Over Financial Reporting. 2006年9月ITGI发布了该项目工作的第2版，更加受到了业界欢迎。

IT Control Objectives for Sarbanes-Oxley为合规的风险识别与控制过程指明了方向，那么如何具体落实在IT的组织、人员、技术和流程中？这一过程可以参考IT服务管理（ITSM -- IT Service Management） 模型，借鉴IT基础设施库 (ITIL -- IT Infrastructure Library)提供的最佳实践，其中ITIL的变更管理、问题管理、事件管理、配置管理等服务支持流程应作为参照重点。在信息安全管理方面，ISO17799是一个可参照的国际标准。

四、 H3C IT SOX合规的实践

杭州华三通信技术有限公司（简称H3C）在2006年5月正式启动了SOX法案遵循项目，IT作为一个分组相对独立地承担了ITGC的合规任务，并支持业务部门、内审部门实现ITAC和实体层的合规。截至2007年4月，外部审计师的现场审计工作圆满完成。

1、H3C IT SOX合规的项目过程和组织

H3C IT基本参照图4所示的路线实施SOX合规。

图4  IT SOX合规路线图

大致过程包括：

（1）SOX计划和范围界定

制定IT SOX合规具体项目计划；根据对财务报告控制目标的影响，整理和识别SOX合规范围内的IT应用系统、数据库和相关基础设施。并且在IT部门内部进行SOX相关的培训和宣传。

（2）评估风险

依据对财务报告各项认定：存在性\发生、完整性、准确性、权利和义务、估值、披露的影响评估IT风险。

（3）确认控制目标，识别和记录IT控制点

依据PCAOB有关IT控制的要求、参照IT Control Objectives for Sarbanes-Oxley，明确IT控制目标以及更明细的控制子目标，分析确定关键控制子目标；识别现有控制活动、控制类型和发生频率，识别关键控制点。下表为H3C采用的ITGC13个主要控制目标及其与Cobit、PCAOB要求之间的关系。

表1  ITGC控制目标

（4）评估IT控制设计和日常执行的有效性

依据设定的IT控制目标，评估现有的IT控制活动设计是否合理，是否能够实现控制目标。并根据IT控制活动发生的频率抽样测试日常执行的有效性。详细描述当前控制设计和执行的缺陷。

（5）评估和改进控制缺陷

针对存在的缺陷，评估对于财务报告的风险，针对风险较大的关键控制目标，改进控制设计，提高执行有效性。

（6）日常控制的持续有效

通过培训、宣传、自查、抽查、内审等活动以及合适的技术手段来优化和保障IT控制的持续有效。

2、H3C的IT控制活动举例

（1） ITGC关键控制活动举例

a)         应用软件获取与维护：遵循一个有效的系统开发实施方法论（SDLC）；项目需求规格中需要包括应用控制方面的内容；项目组任命、项目需求规格、验证性测试必须要求业务部门的签字确认；如果涉及到系统选型和采购，选型小组中需要有业务部门的代表，按照采购流程执行等。

b)        程序安装和启用，在系统进入生产环境前需要测试和业务确认，包括：功能测试、接口测试、数据迁移测试等。

c)         程序变更控制：所有程序变更申请都必须是恰当的且经过授权的；进行职责分离以防止开发人员修改生产环境；版本控制以防止修改冲突；变更测试以确保准确性；需经业务用户确认以确保变更符合业务需要等。

d)        信息安全控制：用户认证  (如访问帐号和密码)；密码控制  (如密码有效期，复杂度等)；安全管理 (新用户建立，离职员工销户，密码复位等)；计算机、网络防病毒等；工作场所的物理安全等。

e)         数据管理：制定备份策略，依据备份策略进行程序、数据备份；备份恢复计划与演练等。

f)         运维管理：计算机系统监控；作业／批处理程序监控等。

（2） ITAC控制活动举例

IT应用控制主要目标包括财务交易信息的完整、准确、有效，仅限于经过授权的人员操作，符合职责分离要求，其中职责分离(SoD)的设计与实施占用ITAC的较大工作量。对于应用控制的设计需要在需求规格中清晰描述，并获得业务部门确认。表2列举了一些常用的IT应用控制活动。

表2  IT应用控制目标和控制活动举例

（3） IT实体层控制活动举例

    除ITGC 和ITAC以外，需要将IT纳入公司层面进行SOX合规评估，包括：战略和计划、策略和流程、培训和技能、风险评估、质量保证、内部审计等。

3、H3C IT SOX合规项目主要交付文档

（1）内控的总体说明（Narrative）

（2）应用系统范围界定（Application Scoping）

（3）风险控制矩阵（Risk Control Matrix (RCM)）

（4）职责分离设计（Segregation of Duties）

（5）管理评估（Management Assessment）

（6）问题跟踪与改进（Issue Trace）

  ４、H3C IT SOX合规的里程碑

（1）             2006.05 项目启动

（2）             2006.09 内部第一轮测试

（3）             2006.10 外部审计师控制设计测试

（4）             2006.12 外部审计师执行有效性测试

（5）             2007.02 内部第二轮测试

（6）             2007.04 外部审计师最终测试

五、H3C IT SOX合规的几点小体会

H3C IT第一年的SOX合规工作除了面临大部分公司都会面临的时间紧、任务重之类的问题外，还需要同步进行数据中心的运维交接，而且没有邀请咨询公司，通过内部自主实施。项目实施效果也是明显的，符合了SOX法案要求，数据中心运维实现了平稳交接，兼顾了业务运营有效性，锻炼培养了自己的队伍，这些也为持续的SOX法案合规打下基础。

通过实践，我们认为下述几个因素的影响较大：与业务运营良性互动的理念、基于风险的和自上而下的方法、框架标准和成功经验的借鉴、良好的管理基础与技术保障、合适的团队和有效的沟通。

１、与业务运营良性互动的理念

尽管SOX合规是硬性要求，有可能会增加运作成本，但是我们同时也积极寻找其正面价值。通过有效的风险评估和控制活动识别，产生如下结果：（1）很多控制点业务上本已存在，但执行人员原本没有意识到，现在更加明白自己工作意义，成就感也增强了；（2）有些缺陷和不足是业务运营本身就应该纠正和预防的，所以增加控制点的利大于弊；（3）存在一些重复或多余的控制活动，优化后提高了运营效率。H3C IT合规过程中建立起来的运维体系与流程，对数据中心运维的平稳交接帮助很大。

２、基于风险的和自上而下的方法

IT对风险的控制可能会不足，从另外一个角度看，也要防止控制过头，想要彻底避免所有风险是不现实的，所以我们应该选择基于风险的、自上而下的方法。否则目标模糊、“草木皆兵”，会导致自乱阵脚。风险、控制目标、控制活动明确后，执行中就不宜再泛化SOX的要求。曾经发生过一件趣事，同事甲去找同事乙协调一项棘手的工作，眼看协调不成时说“这是SOX的要求”，没料到同事乙的SOX功底很深，忽悠不动，最后双方莞尔。

３、框架标准和成功经验的借鉴

主动借鉴行业框架、行业标准，有利于保障控制的完整性，不会出现大的缺失，也有利于对内对外的沟通。我们参照Cobit框架编制控制说明(Narrative)和风险控制矩阵(RCM)，与外部审计师的沟通效率就比较高，返工也较少。

华为公司的IT服务管理体系通过了ISO20000认证、其信息安全管理体系通过了ISO17799认证，他们的成功经验值得我们借鉴；3COM公司IT专家丰富的SOX知识和经验对我们帮助也非常大。

4、良好的管理基础与技术保障

H3C IT实施SOX遵循项目不是推倒重来，实施前已经有了正常运作的信息安全管理、应用系统开发维护、以及部分IT运维管理流程，这为合规提供了良好的管理基础。通过实施IT合规项目对相关流程、体系进行了补充和完善，也对有些环节进行了优化和减化。

H3C IT广泛应用了自己公司的IToIP产品与解决方案，也为高效、持续的符合SOX法案要求提供了重要的技术保障。例如，基础性的交换机、路由器、防火墙、VPN、入侵防御系统、日志管理系统等，已经是被IT人员所熟悉，其对于SOX合规的意义当然无需赘述；COSO内控框架中的五要素之一是“信息和沟通”，VoIP语音、视讯系统有效的降低了沟通成本、提高了沟通效率和效果；高速的数字监控系统、大容量的存储产品既有利于不良事件的预防(preventive)也有利于事后的检测(detective)；审计证据的数字化、流程化记录和保存对提高控制执行效率和审计效率都很有帮助。

特别是EAD（End Access Defense – 终端访问防御）解决方案的全面实施，有安全隐患的机器设备（如：未经认证、装有非法软件、病毒库过期、补丁更新不及时、密码设置不规范等等）均无法接入公司网络，不仅提高了IT安全系数、而且降低了IT运维整体成本。

5、合适的团队和有效的沟通

H3C IT SOX合规团队厚积薄发，成员拥有CISA、CISSP、CPA、OCP、CCNP、PMP、MBA等证书。核心成员非常熟悉公司业务和运作流程，熟悉SOX法案、PCAOB审计标准、COSO、Cobit、ISO20000、ISO17799等信息系统审计知识，另外还有丰富的研究开发和管理经验。

H3C IT部门及相关人员本身素质较高，适应变革的能力非常强，执行力也非常强。对于沟通清楚、目标明确的任务，即使再苦再累，都能贯彻落实。对于不明确的任务，控制执行人员一般都会主动找项目组成员沟通，和项目组成员一起想办法。

与外部审计师保持有效的沟通也是非常重要的因素。对审计师保持开放积极的态度，尊重审计师时间、尊重审计师观点，及时纠正审计师发现的问题。及时跟踪业内动态并与审计师一起讨论分析，增加相互信任，争取尽早在有争议的问题上达成一致。例如PCAOB可能会放松对管理层评估的要求、IT Control Objectives for SOX第2版中放松了对可用性(Availability)的强调，相应的，我们也删减了一些控制目标和控制活动。

当然，除了以上的几点小体会外，项目中经历更多的是不足、甚至是失误，需要我们持续改进。不同的公司，环境会有所差异；同一个公司，环境也在变化；在某个公司某个时期适用的做法，换一个公司换一个时期可能不一定适用，需要我们进一步摸索。