華為3COM由華為公司與美國上市公司3COM在2003年合資成立，2005年、2007年兩次股權變更，并在2007年正式改名為杭州華三通信技術有限公司，簡稱H3C。H3C的財務數據對3COM財務報表影響較大，所以H3C也需要遵從美國SOX法案相關要求。本文在簡述IT遵從SOX法案要求和業界框架后，將詳細介紹H3C公司IT團隊自主實施SOX項目的過程、方法、關鍵控制點和相關體會。

　　一、SOX法案背景

　　針對安然、世通等財務欺詐事件，美國國會出臺了《2002 年公眾公司會計改革和投資者保護法案》（Sarbanes-Oxley Act）。該法案由美國眾議院金融服務委員會主席奧克斯利和參議院銀行委員會主席薩班斯聯合提出，又被稱作《2002年薩班斯—奧克斯利法案》（簡稱薩班斯或SOX法案）。該法案的法律效力適用于在美國證券交易委員會注冊的公司，在美國上市的中國公司也受它約束。SOX法案對上市公司管理層提出了非常苛刻的要求，直接相關的條款包括：302條款 公司對財務報告的責任、404條款 管理層對內部控制的評價、906條款 強化白領刑事責任。

　　二、IT在SOX遵從中的角色

　　SOX法案強調了要設計和執行有效的公司內部控制來保證財務報告職能的行之有效，隨著越來越多公司對于信息技術依賴性的提高，IT控制在公司內部控制體系中的重要性也日益增加，主要體現如下方面：a. 公司業務流程的部分甚至全部由IT系統驅動和承載；b. 公司內部控制目標的實現通常取決于以IT為基礎的控制；c. 許多控制需要依賴IT系統生成的數據。

　　IT通過應用控制和一般控制來幫助控制財務報告的相關風險，以達到控制目標。其中：IT應用控制（IT Application Control）嵌在各個應用系統中，控制業務流程和交易處理，直接對財務報告產生影響；IT一般控制 (IT General Control, 也譯作通用計算機控制)是分布在IT流程中的控制活動，用來保障IT整體運維環境的可靠，并支持應用控制的有效運作。

　　美國公眾公司會計監管委員會（PCAOB）特別舉例強調，IT控制對于公司總體控制目標的實現具有廣泛和深遠的影響。所以，建立維護合理的IT控制體系、并保證其有效執行是SOX法案遵從的重要組成部分。

　　三、IT遵從的常用框架和方法

　　如何建立和維護一套有效的IT內控體系，并能得到外部審計師的認同，較為有效的方法是采用業界通行的框架。COSO是目前唯一被PCAOB明文確認可接受的內控框架，該框架確定了3項內部控制目標，將分布于公司各個層面的內控分解為控制環境、風險評估、控制活動、信息和溝通、監督五個組成要素。

　　熟悉COSO的人士都知道，COSO框架并沒有具體描述IT風險與控制目標，相對來說Cobitreg;（Control Objectives for Information and related Technology）更有針對性。Cobit框架由I T Governance Institute發布，2007年新版本是Cobit4.1，它定義了IT控制的7項信息標準(有效性、經濟性、機密性、完整性、可用性、合規性、可靠性)、4大領域(計劃組織、開發獲取、交付支持、監控評價)和34個過程。

　　比較可貴的是，ITGI在2004年及時研究發布了《SOX法案遵從IT控制目標》(英文全稱為IT Control Objectives for Sarbanes-Oxley: The Role of IT in the Design and Implementation of Internal Control Over Financial Reporting),其為SOX遵從的風險識別與控制過程指明了方向。2006年9月ITGI發布了該項目工作的第2版，更加受到了業界歡迎。

　　IT控制目標明確后，需要具體落實在IT組織、人員、技術和流程中。這個落實過程可以參考IT服務管理標準（新的ITSM國際標準為ISO20000），建議重點借鑒IT基礎設施庫 (ITIL)的變更管理、問題管理、事件管理、配置管理等服務支持流程。在信息安全管理方面，ISO17799是一個可參照的國際標準。

　　四、 H3C IT SOX遵從實踐

　　2006年6月，H3C正式啟動了SOX遵從項目，對于IT部門來說，第一個挑戰是時間緊迫、人手不足，第二個挑戰是必須同步進行數據中心運維交接(以前是外包的)，第三個挑戰是沒有咨詢公司的參與。IT控制設計、實施、穿行測試、期中測試、期末測試等是依靠內部力量自主摸索完成的，以下對其展開介紹。

　　1、H3C IT SOX遵從的項目過程和組織

　　H3C IT實施SOX遵從項目的大致過程如下：

　　（1）SOX計劃和范圍界定

　　制定IT SOX遵從具體項目計劃；根據對財務報告控制目標的影響，整理和識別SOX遵從范圍內的IT應用系統、數據庫和相關基礎設施。并且在IT部門內部進行SOX相關的培訓和宣傳。

　　（2）評估風險

　　依據對財務報告各項認定：存在性\發生、完整性、準確性、權利和義務、估值、披露的影響評估IT風險。

　　（3）確認控制目標，識別和記錄IT控制點

　　依據PCAOB有關IT控制的要求、參照IT Control Objectives for Sarbanes-Oxley，明確IT控制目標以及更明細的控制子目標，分析確定關鍵控制子目標；識別現有控制活動、控制類型和發生頻率，識別關鍵控制點。H3C采用的13個通用計算機控制目標分別是：應用軟件獲取與維護、技術基礎設施獲取與維護、制度保障、程序安裝和啟用、變更管理、服務級別定義和管理、第三方服務管理、確保系統安全、配置管理、問題和事件管理、數據管理、物理環境和運維管理、終端用戶計算。

　　（4）評估IT控制設計和日常執行的有效性

　　依據設定的IT控制目標，評估現有的IT控制活動設計是否合理，是否能夠實現控制目標。并根據IT控制活動發生的頻率抽樣測試日常執行的有效性。詳細描述當前控制設計和執行的缺陷。

　　（5）評估和改進控制缺陷

　　針對存在的缺陷，評估對于財務報告的風險，針對風險較大的關鍵控制目標，改進控制設計，提高執行有效性。

　　（6）日常控制的持續有效

　　通過培訓、宣傳、自查、抽查、內審等活動以及合適的技術手段來優化和保障IT控制的持續有效。

　　2、H3C的IT控制活動舉例

　　（1） ITGC關鍵控制活動舉例

　　a) 應用軟件獲取與維護：遵循一個有效的系統開發實施方法論（SDLC）；項目需求規格中需要包括應用控制方面的內容；項目組任命、項目需求規格、驗證性測試必須要求業務部門的簽字確認；如果涉及到系統選型和采購，選型小組中需要有業務部門的代表，按照采購流程執行等。

　　b) 程序安裝和啟用，在系統進入生產環境前需要測試和業務確認，包括：功能測試、接口測試、數據遷移測試等。

　　c) 程序變更控制：所有程序變更申請都必須是恰當的且經過授權的；進行職責分離以防止開發人員修改生產環境；版本控制以防止修改沖突；變更測試以確保準確性；需經業務用戶確認以確保變更符合業務需要等。

　　d) 信息安全控制：用戶認證 (如訪問帳號和密碼)；密碼控制 (如密碼有效期，復雜度等)；安全管理 (新用戶建立，離職員工銷戶，密碼復位等)；計算機、網絡防病毒等；工作場所的物理安全等。

　　e) 數據管理：制定備份策略，依據備份策略進行程序、數據備份；備份恢復計劃與演練等。

　　f) 運維管理：計算機系統監控；作業／批處理程序監控等。

　　（2） ITAC控制活動舉例

　　IT應用控制主要目標包括財務交易信息的完整、準確、有效，僅限于經過授權的人員操作，符合職責分離要求，其中職責分離(SoD)的設計與實施占用ITAC的較大工作量。對于應用控制的設計需要在需求規格中清晰描述，并獲得業務部門確認。常用的IT應用控制活動包括：逐筆核對檢查、批次總數/運行總數控制、計算機序列檢驗、計算機自動匹配、程序檢驗、物理鎖定、預配置輸入。

　　（3） IT實體層控制活動舉例

　　除ITGC 和ITAC以外，需要將IT納入公司層面進行SOX遵從評估，包括：戰略和計劃、策略和流程、培訓和技能、風險評估、質量保證、內部審計等。　　

　　3、H3C IT SOX遵從項目主要交付文檔

　　（1）內控的總體說明（Narrative）

　　（2）應用系統范圍界定（Application Scoping）

　　（3）風險控制矩陣（Risk Control Matrix (RCM)）

　　（4）職責分離設計（Segregation of Duties）

　　（5）管理評估（Management Assessment）

　　（6）問題跟蹤與改進（Issue Trace）　　

　　４、H3C IT SOX遵從的里程碑

　　（1） 2006.05 項目啟動

　　（2） 2006.09 內部第一輪測試

　　（3） 2006.10 外部審計師控制設計測試

　　（4） 2006.12 外部審計師執行有效性測試

　　（5） 2007.02 內部第二輪測試

　　（6） 2007.04 外部審計師期末測試　　

　　五、H3C IT SOX遵從體會

　　通過實踐，項目團隊認為下述幾個因素的影響較大：與業務運營良性互動的理念、基于風險和自上而下的方法、框架標準和成功經驗的借鑒、良好的管理基礎與技術保障、合適的團隊和有效的溝通。

　　１、與業務運營良性互動的理念

　　盡管SOX遵從是硬性要求，有可能會增加運作成本，項目團隊也非常重視其正面價值。通過有效的風險評估和控制活動識別，產生如下結果：（1）很多控制點業務上本已存在，但執行人員原本沒有意識到，現在更加明白自己工作意義，成就感也增強了；（2）有些缺陷和不足是業務運營本身就應該糾正和預防的，所以增加控制點利大于弊；（3）存在一些重復或多余的控制活動，優化后提高了運營效率。H3C IT遵從過程中建立起來的運維體系與流程，對數據中心運維的平穩交接幫助很大。

　　２、基于風險和自上而下的方法

　　IT對風險的控制可能會不足，但從另外一個角度看，也要防止控制過頭，想要徹底避免所有風險本身不現實，所以應該選擇基于風險、自上而下的方法，否則目標模糊、“草木皆兵”，會導致自亂陣腳。風險、控制目標、控制活動明確后，執行中就不宜再泛化SOX的要求。曾經發生過一件趣事，同事甲去找同事乙協調一項棘手的工作，眼看協調不成時竟說“這是SOX的要求”，但同事乙的SOX功底很深，沒被嚇唬住，最后雙方莞爾。

　　３、框架標準和成功經驗的借鑒

　　主動借鑒行業框架、行業標準，有利于保障控制的完整性，不會出現大的缺失，也有利于對內對外的溝通。項目團隊參照Cobit框架編制控制說明(Narrative)和風險控制矩陣(RCM)，與外部審計師的溝通效率就比較高，返工也較少。

　　華為公司的IT服務管理體系通過了ISO20000認證、其信息安全管理體系通過了ISO17799認證，其成功經驗值得借鑒；3COM公司IT專家豐富的SOX知識和經驗也非常有價值。

　　4、良好的管理基礎與技術保障

　　H3C IT實施SOX遵從項目不是推倒重來，實施前已經有了正常運作的信息安全管理、應用系統開發維護、以及部分IT運維管理流程，這為遵從提供了良好的管理基礎。通過實施IT遵從項目對相關流程、體系進行了補充和完善，也對有些環節進行了優化和減化。

　　H3C IT廣泛應用了自己公司的IToIP產品與解決方案，也為高效、持續的符合SOX法案要求提供了重要的技術保障。例如，基礎性的交換機、路由器、防火墻、VPN、入侵防御系統、日志管理系統等，已經是被IT人員所熟悉，其對于SOX遵從的意義當然無需贅述；COSO內控框架中的五要素之一是“信息和溝通”，VoIP語音、視訊系統有效的降低了溝通成本、提高了溝通效率和效果；高速的數字監控系統、大容量的存儲產品既有利于不良事件的預防(preventive)也有利于事后的檢測(detective)；審計證據的數字化、流程化記錄和保存對提高控制執行效率和審計效率都很有幫助。

　　特別是EAD（End Access Defense – 終端訪問防御）解決方案的全面實施，有安全隱患的機器設備（如：未經認證、裝有非法軟件、病毒庫過期、補丁更新不及時、密碼設置不規范等等）均無法接入公司網絡，不僅提高了IT安全系數、而且降低了IT運維整體成本。

　　5、合適的團隊和有效的溝通

　　IT SOX遵從由剛剛升任、富有創新精神的CIO帶隊，核心成員熟悉公司業務和運作流程，熟悉SOX法案、PCAOB審計標準、COSO、Cobit、ISO20000、ISO17799等信息系統審計知識，另外還有較豐富的開發和管理經驗。

　　H3C IT部門及相關人員本身素質較高，適應變革能力較強，執行力也非常強。對于溝通清楚、目標明確的任務，即使再苦再累，都能貫徹落實。對于不明確的任務，控制執行人員一般都會主動找項目團隊成員溝通，和項目團隊成員一起想辦法。

　　與外部審計師保持有效的溝通也是非常重要的因素。對審計師保持開放積極的態度，尊重審計師時間、尊重審計師觀點，及時糾正審計師發現的問題。及時跟蹤業內動態并與審計師一起討論分析，增加相互信任，爭取盡早在有爭議的問題上達成一致。例如PCAOB可能會放松對管理層評估的要求、IT Control Objectives for SOX第2版中放松了對可用性(Availability)的強調，項目團隊及時刪減了一些控制目標和控制活動并得到審計師認可。

　　2007年4月當期現場審計結束，外部審計師認為H3C的IT控制不存在實質性缺陷(material weakness)和重大缺陷(significant deficiency)，小的缺陷(deficiency)只有3個，即SOX合規，第一年這樣的表現是較為優秀的。新建的控制體系保障了數據中心運維平穩交接，有效的支撐了業務運營，為持續遵從奠定了堅實基礎。當然，考慮到環境的不同，以上體會未必適用于所有項目，H3C自身環境也在不斷變化，如何持續遵從仍需進一步摸索。　　

　　作者：

　　姚武杰 H3C IT總監，高級工程師、MBA、CISA(2002)

　　胡燕鴻 H3C IT策略管治經理，技術經濟管理碩士、CPA。

來源: 互聯網周刊