主頁 > 知識庫 > IT遵從SOX法案及華為3COM實踐

IT遵從SOX法案及華為3COM實踐

熱門標簽:運營智能外呼系統(tǒng) 云南智能電話機器人 地圖標注的時間和位置 南通智能外呼系統(tǒng)代理品牌 企業(yè)外呼系統(tǒng)坐席 銅川移動外呼系統(tǒng) 呼多多電銷機器人怎么樣 高德地圖標注小圖標 外呼系統(tǒng)必須配備電腦么

  華為3COM由華為公司與美國上市公司3COM在2003年合資成立,2005年、2007年兩次股權(quán)變更,并在2007年正式改名為杭州華三通信技術(shù)有限公司,簡稱H3C。H3C的財務(wù)數(shù)據(jù)對3COM財務(wù)報表影響較大,所以H3C也需要遵從美國SOX法案相關(guān)要求。本文在簡述IT遵從SOX法案要求和業(yè)界框架后,將詳細介紹H3C公司IT團隊自主實施SOX項目的過程、方法、關(guān)鍵控制點和相關(guān)體會。

  一、SOX法案背景

  針對安然、世通等財務(wù)欺詐事件,美國國會出臺了《2002 年公眾公司會計改革和投資者保護法案》(Sarbanes-Oxley Act)。該法案由美國眾議院金融服務(wù)委員會主席奧克斯利和參議院銀行委員會主席薩班斯聯(lián)合提出,又被稱作《2002年薩班斯—奧克斯利法案》(簡稱薩班斯或SOX法案)。該法案的法律效力適用于在美國證券交易委員會注冊的公司,在美國上市的中國公司也受它約束。SOX法案對上市公司管理層提出了非??量痰囊?,直接相關(guān)的條款包括:302條款 公司對財務(wù)報告的責任、404條款 管理層對內(nèi)部控制的評價、906條款 強化白領(lǐng)刑事責任。

  二、IT在SOX遵從中的角色

  SOX法案強調(diào)了要設(shè)計和執(zhí)行有效的公司內(nèi)部控制來保證財務(wù)報告職能的行之有效,隨著越來越多公司對于信息技術(shù)依賴性的提高,IT控制在公司內(nèi)部控制體系中的重要性也日益增加,主要體現(xiàn)如下方面:a. 公司業(yè)務(wù)流程的部分甚至全部由IT系統(tǒng)驅(qū)動和承載;b. 公司內(nèi)部控制目標的實現(xiàn)通常取決于以IT為基礎(chǔ)的控制;c. 許多控制需要依賴IT系統(tǒng)生成的數(shù)據(jù)。

  IT通過應(yīng)用控制和一般控制來幫助控制財務(wù)報告的相關(guān)風險,以達到控制目標。其中:IT應(yīng)用控制(IT Application Control)嵌在各個應(yīng)用系統(tǒng)中,控制業(yè)務(wù)流程和交易處理,直接對財務(wù)報告產(chǎn)生影響;IT一般控制 (IT General Control, 也譯作通用計算機控制)是分布在IT流程中的控制活動,用來保障IT整體運維環(huán)境的可靠,并支持應(yīng)用控制的有效運作。

  美國公眾公司會計監(jiān)管委員會(PCAOB)特別舉例強調(diào),IT控制對于公司總體控制目標的實現(xiàn)具有廣泛和深遠的影響。所以,建立維護合理的IT控制體系、并保證其有效執(zhí)行是SOX法案遵從的重要組成部分。

  三、IT遵從的常用框架和方法

  如何建立和維護一套有效的IT內(nèi)控體系,并能得到外部審計師的認同,較為有效的方法是采用業(yè)界通行的框架。COSO是目前唯一被PCAOB明文確認可接受的內(nèi)控框架,該框架確定了3項內(nèi)部控制目標,將分布于公司各個層面的內(nèi)控分解為控制環(huán)境、風險評估、控制活動、信息和溝通、監(jiān)督五個組成要素。

  熟悉COSO的人士都知道,COSO框架并沒有具體描述IT風險與控制目標,相對來說Cobitreg;(Control Objectives for Information and related Technology)更有針對性。Cobit框架由I T Governance Institute發(fā)布,2007年新版本是Cobit4.1,它定義了IT控制的7項信息標準(有效性、經(jīng)濟性、機密性、完整性、可用性、合規(guī)性、可靠性)、4大領(lǐng)域(計劃組織、開發(fā)獲取、交付支持、監(jiān)控評價)和34個過程。

  比較可貴的是,ITGI在2004年及時研究發(fā)布了《SOX法案遵從IT控制目標》(英文全稱為IT Control Objectives for Sarbanes-Oxley: The Role of IT in the Design and Implementation of Internal Control Over Financial Reporting),其為SOX遵從的風險識別與控制過程指明了方向。2006年9月ITGI發(fā)布了該項目工作的第2版,更加受到了業(yè)界歡迎。

  IT控制目標明確后,需要具體落實在IT組織、人員、技術(shù)和流程中。這個落實過程可以參考IT服務(wù)管理標準(新的ITSM國際標準為ISO20000),建議重點借鑒IT基礎(chǔ)設(shè)施庫 (ITIL)的變更管理、問題管理、事件管理、配置管理等服務(wù)支持流程。在信息安全管理方面,ISO17799是一個可參照的國際標準。

  四、 H3C IT SOX遵從實踐

  2006年6月,H3C正式啟動了SOX遵從項目,對于IT部門來說,第一個挑戰(zhàn)是時間緊迫、人手不足,第二個挑戰(zhàn)是必須同步進行數(shù)據(jù)中心運維交接(以前是外包的),第三個挑戰(zhàn)是沒有咨詢公司的參與。IT控制設(shè)計、實施、穿行測試、期中測試、期末測試等是依靠內(nèi)部力量自主摸索完成的,以下對其展開介紹。

  1、H3C IT SOX遵從的項目過程和組織

  H3C IT實施SOX遵從項目的大致過程如下:

  (1)SOX計劃和范圍界定

  制定IT SOX遵從具體項目計劃;根據(jù)對財務(wù)報告控制目標的影響,整理和識別SOX遵從范圍內(nèi)的IT應(yīng)用系統(tǒng)、數(shù)據(jù)庫和相關(guān)基礎(chǔ)設(shè)施。并且在IT部門內(nèi)部進行SOX相關(guān)的培訓和宣傳。

 ?。?)評估風險

  依據(jù)對財務(wù)報告各項認定:存在性\發(fā)生、完整性、準確性、權(quán)利和義務(wù)、估值、披露的影響評估IT風險。

 ?。?)確認控制目標,識別和記錄IT控制點

  依據(jù)PCAOB有關(guān)IT控制的要求、參照IT Control Objectives for Sarbanes-Oxley,明確IT控制目標以及更明細的控制子目標,分析確定關(guān)鍵控制子目標;識別現(xiàn)有控制活動、控制類型和發(fā)生頻率,識別關(guān)鍵控制點。H3C采用的13個通用計算機控制目標分別是:應(yīng)用軟件獲取與維護、技術(shù)基礎(chǔ)設(shè)施獲取與維護、制度保障、程序安裝和啟用、變更管理、服務(wù)級別定義和管理、第三方服務(wù)管理、確保系統(tǒng)安全、配置管理、問題和事件管理、數(shù)據(jù)管理、物理環(huán)境和運維管理、終端用戶計算。

 ?。?)評估IT控制設(shè)計和日常執(zhí)行的有效性

  依據(jù)設(shè)定的IT控制目標,評估現(xiàn)有的IT控制活動設(shè)計是否合理,是否能夠?qū)崿F(xiàn)控制目標。并根據(jù)IT控制活動發(fā)生的頻率抽樣測試日常執(zhí)行的有效性。詳細描述當前控制設(shè)計和執(zhí)行的缺陷。

 ?。?)評估和改進控制缺陷

  針對存在的缺陷,評估對于財務(wù)報告的風險,針對風險較大的關(guān)鍵控制目標,改進控制設(shè)計,提高執(zhí)行有效性。

 ?。?)日常控制的持續(xù)有效

  通過培訓、宣傳、自查、抽查、內(nèi)審等活動以及合適的技術(shù)手段來優(yōu)化和保障IT控制的持續(xù)有效。

  2、H3C的IT控制活動舉例

 ?。?) ITGC關(guān)鍵控制活動舉例

  a) 應(yīng)用軟件獲取與維護:遵循一個有效的系統(tǒng)開發(fā)實施方法論(SDLC);項目需求規(guī)格中需要包括應(yīng)用控制方面的內(nèi)容;項目組任命、項目需求規(guī)格、驗證性測試必須要求業(yè)務(wù)部門的簽字確認;如果涉及到系統(tǒng)選型和采購,選型小組中需要有業(yè)務(wù)部門的代表,按照采購流程執(zhí)行等。

  b) 程序安裝和啟用,在系統(tǒng)進入生產(chǎn)環(huán)境前需要測試和業(yè)務(wù)確認,包括:功能測試、接口測試、數(shù)據(jù)遷移測試等。

  c) 程序變更控制:所有程序變更申請都必須是恰當?shù)那医?jīng)過授權(quán)的;進行職責分離以防止開發(fā)人員修改生產(chǎn)環(huán)境;版本控制以防止修改沖突;變更測試以確保準確性;需經(jīng)業(yè)務(wù)用戶確認以確保變更符合業(yè)務(wù)需要等。

  d) 信息安全控制:用戶認證 (如訪問帳號和密碼);密碼控制 (如密碼有效期,復雜度等);安全管理 (新用戶建立,離職員工銷戶,密碼復位等);計算機、網(wǎng)絡(luò)防病毒等;工作場所的物理安全等。

  e) 數(shù)據(jù)管理:制定備份策略,依據(jù)備份策略進行程序、數(shù)據(jù)備份;備份恢復計劃與演練等。

  f) 運維管理:計算機系統(tǒng)監(jiān)控;作業(yè)/批處理程序監(jiān)控等。

 ?。?) ITAC控制活動舉例

  IT應(yīng)用控制主要目標包括財務(wù)交易信息的完整、準確、有效,僅限于經(jīng)過授權(quán)的人員操作,符合職責分離要求,其中職責分離(SoD)的設(shè)計與實施占用ITAC的較大工作量。對于應(yīng)用控制的設(shè)計需要在需求規(guī)格中清晰描述,并獲得業(yè)務(wù)部門確認。常用的IT應(yīng)用控制活動包括:逐筆核對檢查、批次總數(shù)/運行總數(shù)控制、計算機序列檢驗、計算機自動匹配、程序檢驗、物理鎖定、預配置輸入。

 ?。?) IT實體層控制活動舉例

  除ITGC 和ITAC以外,需要將IT納入公司層面進行SOX遵從評估,包括:戰(zhàn)略和計劃、策略和流程、培訓和技能、風險評估、質(zhì)量保證、內(nèi)部審計等?! ?

  3、H3C IT SOX遵從項目主要交付文檔

  (1)內(nèi)控的總體說明(Narrative)

 ?。?)應(yīng)用系統(tǒng)范圍界定(Application Scoping)

 ?。?)風險控制矩陣(Risk Control Matrix (RCM))

 ?。?)職責分離設(shè)計(Segregation of Duties)

  (5)管理評估(Management Assessment)

 ?。?)問題跟蹤與改進(Issue Trace)  

  4、H3C IT SOX遵從的里程碑

 ?。?) 2006.05 項目啟動

  (2) 2006.09 內(nèi)部第一輪測試

 ?。?) 2006.10 外部審計師控制設(shè)計測試

  (4) 2006.12 外部審計師執(zhí)行有效性測試

 ?。?) 2007.02 內(nèi)部第二輪測試

 ?。?) 2007.04 外部審計師期末測試  

  五、H3C IT SOX遵從體會

  通過實踐,項目團隊認為下述幾個因素的影響較大:與業(yè)務(wù)運營良性互動的理念、基于風險和自上而下的方法、框架標準和成功經(jīng)驗的借鑒、良好的管理基礎(chǔ)與技術(shù)保障、合適的團隊和有效的溝通。

  1、與業(yè)務(wù)運營良性互動的理念

  盡管SOX遵從是硬性要求,有可能會增加運作成本,項目團隊也非常重視其正面價值。通過有效的風險評估和控制活動識別,產(chǎn)生如下結(jié)果:(1)很多控制點業(yè)務(wù)上本已存在,但執(zhí)行人員原本沒有意識到,現(xiàn)在更加明白自己工作意義,成就感也增強了;(2)有些缺陷和不足是業(yè)務(wù)運營本身就應(yīng)該糾正和預防的,所以增加控制點利大于弊;(3)存在一些重復或多余的控制活動,優(yōu)化后提高了運營效率。H3C IT遵從過程中建立起來的運維體系與流程,對數(shù)據(jù)中心運維的平穩(wěn)交接幫助很大。

  2、基于風險和自上而下的方法

  IT對風險的控制可能會不足,但從另外一個角度看,也要防止控制過頭,想要徹底避免所有風險本身不現(xiàn)實,所以應(yīng)該選擇基于風險、自上而下的方法,否則目標模糊、“草木皆兵”,會導致自亂陣腳。風險、控制目標、控制活動明確后,執(zhí)行中就不宜再泛化SOX的要求。曾經(jīng)發(fā)生過一件趣事,同事甲去找同事乙協(xié)調(diào)一項棘手的工作,眼看協(xié)調(diào)不成時竟說“這是SOX的要求”,但同事乙的SOX功底很深,沒被嚇唬住,最后雙方莞爾。

  3、框架標準和成功經(jīng)驗的借鑒

  主動借鑒行業(yè)框架、行業(yè)標準,有利于保障控制的完整性,不會出現(xiàn)大的缺失,也有利于對內(nèi)對外的溝通。項目團隊參照Cobit框架編制控制說明(Narrative)和風險控制矩陣(RCM),與外部審計師的溝通效率就比較高,返工也較少。

  華為公司的IT服務(wù)管理體系通過了ISO20000認證、其信息安全管理體系通過了ISO17799認證,其成功經(jīng)驗值得借鑒;3COM公司IT專家豐富的SOX知識和經(jīng)驗也非常有價值。

  4、良好的管理基礎(chǔ)與技術(shù)保障

  H3C IT實施SOX遵從項目不是推倒重來,實施前已經(jīng)有了正常運作的信息安全管理、應(yīng)用系統(tǒng)開發(fā)維護、以及部分IT運維管理流程,這為遵從提供了良好的管理基礎(chǔ)。通過實施IT遵從項目對相關(guān)流程、體系進行了補充和完善,也對有些環(huán)節(jié)進行了優(yōu)化和減化。

  H3C IT廣泛應(yīng)用了自己公司的IToIP產(chǎn)品與解決方案,也為高效、持續(xù)的符合SOX法案要求提供了重要的技術(shù)保障。例如,基礎(chǔ)性的交換機、路由器、防火墻、VPN、入侵防御系統(tǒng)、日志管理系統(tǒng)等,已經(jīng)是被IT人員所熟悉,其對于SOX遵從的意義當然無需贅述;COSO內(nèi)控框架中的五要素之一是“信息和溝通”,VoIP語音、視訊系統(tǒng)有效的降低了溝通成本、提高了溝通效率和效果;高速的數(shù)字監(jiān)控系統(tǒng)、大容量的存儲產(chǎn)品既有利于不良事件的預防(preventive)也有利于事后的檢測(detective);審計證據(jù)的數(shù)字化、流程化記錄和保存對提高控制執(zhí)行效率和審計效率都很有幫助。

  特別是EAD(End Access Defense – 終端訪問防御)解決方案的全面實施,有安全隱患的機器設(shè)備(如:未經(jīng)認證、裝有非法軟件、病毒庫過期、補丁更新不及時、密碼設(shè)置不規(guī)范等等)均無法接入公司網(wǎng)絡(luò),不僅提高了IT安全系數(shù)、而且降低了IT運維整體成本。

  5、合適的團隊和有效的溝通

  IT SOX遵從由剛剛升任、富有創(chuàng)新精神的CIO帶隊,核心成員熟悉公司業(yè)務(wù)和運作流程,熟悉SOX法案、PCAOB審計標準、COSO、Cobit、ISO20000、ISO17799等信息系統(tǒng)審計知識,另外還有較豐富的開發(fā)和管理經(jīng)驗。

  H3C IT部門及相關(guān)人員本身素質(zhì)較高,適應(yīng)變革能力較強,執(zhí)行力也非常強。對于溝通清楚、目標明確的任務(wù),即使再苦再累,都能貫徹落實。對于不明確的任務(wù),控制執(zhí)行人員一般都會主動找項目團隊成員溝通,和項目團隊成員一起想辦法。

  與外部審計師保持有效的溝通也是非常重要的因素。對審計師保持開放積極的態(tài)度,尊重審計師時間、尊重審計師觀點,及時糾正審計師發(fā)現(xiàn)的問題。及時跟蹤業(yè)內(nèi)動態(tài)并與審計師一起討論分析,增加相互信任,爭取盡早在有爭議的問題上達成一致。例如PCAOB可能會放松對管理層評估的要求、IT Control Objectives for SOX第2版中放松了對可用性(Availability)的強調(diào),項目團隊及時刪減了一些控制目標和控制活動并得到審計師認可。

  2007年4月當期現(xiàn)場審計結(jié)束,外部審計師認為H3C的IT控制不存在實質(zhì)性缺陷(material weakness)和重大缺陷(significant deficiency),小的缺陷(deficiency)只有3個,即SOX合規(guī),第一年這樣的表現(xiàn)是較為優(yōu)秀的。新建的控制體系保障了數(shù)據(jù)中心運維平穩(wěn)交接,有效的支撐了業(yè)務(wù)運營,為持續(xù)遵從奠定了堅實基礎(chǔ)。當然,考慮到環(huán)境的不同,以上體會未必適用于所有項目,H3C自身環(huán)境也在不斷變化,如何持續(xù)遵從仍需進一步摸索?! ?

  作者:

  姚武杰 H3C IT總監(jiān),高級工程師、MBA、CISA(2002)

  胡燕鴻 H3C IT策略管治經(jīng)理,技術(shù)經(jīng)濟管理碩士、CPA。

來源: 互聯(lián)網(wǎng)周刊

標簽:德州 電信行業(yè) 淮南 新余 哈爾濱 漢中 白銀 鎮(zhèn)江

巨人網(wǎng)絡(luò)通訊聲明:本文標題《IT遵從SOX法案及華為3COM實踐》,本文關(guān)鍵詞  遵從,SOX,法案,及,華為,3COM,;如發(fā)現(xiàn)本文內(nèi)容存在版權(quán)問題,煩請?zhí)峁┫嚓P(guān)信息告之我們,我們將及時溝通與處理。本站內(nèi)容系統(tǒng)采集于網(wǎng)絡(luò),涉及言論、版權(quán)與本站無關(guān)。
  • 相關(guān)文章
  • 下面列出與本文章《IT遵從SOX法案及華為3COM實踐》相關(guān)的同類信息!
  • 本頁收集關(guān)于IT遵從SOX法案及華為3COM實踐的相關(guān)信息資訊供網(wǎng)民參考!
  • 推薦文章