IT如何满足SOX法案合规要求.doc

2002年7月，美国国会正式通过了Sarbanes-Oxley法案（简称SOX法案），明确要求管理层对公司财务信息披露和内部控制效力负有直接责任，公司的内控措施应由管理层声明有效并由独立审计机构出具内控审计意见提交给美国证监会（SEC）。 SOX法案的出台是由于全世界包括美国金融投资领域对上市公司的内部控制失去了信心，为了重新树立信心而制订的。 SOX法案中第404条款要求公司在财务报告方面加强内控，即管理层必须对内控方面有个自我评估，随后对内控做自我测试，最后要有个独立的第三方审计公司对最终测试报告进行审计，最后形成的内部控制报告要在每年的财务报告中体现出来，并由总经理签字。 由于IT和财务报告的关联性，IT也需要加强控制以达到SOX合规要求。IT的SOX合规审计必须落实到企业对IT的有效管理控制上来。 有人说，SOX法案是个“暴政”，因为它对公司内部控制的要求有点过了头。自2002年7月SOX法案出台之后，去年的一个统计数据显示，大概10%的企业退出了美国股市；一些原本计划去美国上市的企业转而投奔了其他地方的股市。由此可见其难度之大。也正因为此，该法案随后对在美国上市的海外企业延后了一年。 去年底，携程网正式踏上自己的SOX之旅。这注定是一条艰辛之旅，也是一条学习之旅。携程网业务运营总监朱剑岷在接受采访时明确表示：“的确很难，但携程网肯定不会因此而退出。” 传统被动的、孤立的、分散的“救火队”式IT运维管理模式，已经让IT部门疲惫不堪。如何简化IT管理，更好地满足业务需求，已经成为IT部门的一个重大挑战。 为了有效地解决行业用户在IT运维管理方面的困惑，并推介ITIL在IT运维管理中的价值和意义，我刊策划了“IT运维诊断面对面系列活动”，活动特别邀请IBM、HP、CA、BMC等IT服务领域的资深运营管理专家，深入了解行业用户的IT运维管理现状，切实为用户解疑答惑，并共同探讨IT运维管理方法和经验。 自2002年7月SOX法案出台之后，IT的SOX合规审计成为2005年全球CIO最关注的事情。IT如何满足SOX法案的合规要求？IT部门如何入手实施？实施中有哪些经验和建议？针对以上问题，本期邀请携程网公司负责实施SOX项目的业务运营副总裁朱剑岷进行了探讨。 作为一家在美国上市的企业，携程网必须承受新挑战，接受严格的SOX合规审计。 去年三季度，负责IT方面工作的携程网业务运营副总裁朱剑岷接到通知，知道要做这个事情。 重新认识SOX 朱剑岷坦率地表示，一开始自己不是特别重视SOX法案，觉得它主要是针对财务方面的要求。随后，他才发现SOX法案对IT的要求也很高。 SOX法案对IT的控制要求主要有两个方面：一个是应用控制（Application Control），因为大多数上市公司一定都依赖IT系统来运作业务，IT系统对业务流程的控制作用非常大，因此IT必须对业务流程进行某些控制；另一方面是通常性控制（IT Generally Control，ITGC），美国证监会（SEC）认为，既然是上市公司，必然有一个完整的IT系统做支撑，因此，对于支撑公司运作的IT基础技术架构平台，必须进行有效管理控制。 “实际上，在SOX法案的合规要求中，40%在IT控制，60%在财务控制方面。” 朱剑岷在接受采访时总结道。 意识到IT在SOX合规审计中的重要性，朱剑岷开始重视起来，并着手行动。 迷茫的开始 突然被推到风头浪尖上，最初的朱剑岷没有特别明确的方向。因为SOX法案所要求的控制体系，主要依赖财务控制方面的一套审计框架。 它同时对IT提出了非常高的控制要求。比如，为了保证每个控制是有效的，上市公司必须要有充分证据去证明这个控制有效。仅仅为了符合这个要求，就要做很多证据保留工作。 IT控制到底应该参考什么样的审计框架？携程网的IT控制应该怎么做？ “刚开始，的确比较痛苦，很多头绪，不知道从哪儿入手。” 朱剑岷坦承地说。 携程网最初的IT环境与SOX法案所要求的IT控制，显然有一定差距。携程网IT部门共50多人，最初按照软、硬件简单地划分为两个部分：30多人负责软件开发和维护，20多人负责硬件设备的运行维护。 在软件开发和维护上，原来有一些比较简单的技术支持工具，帮助做需求管理、变更控制和流程控制等，从SOX404的角度来看，其控制能力不够强，某些环节还需要加强。硬件的运行维护基本上是“救火队”模式。通过网络管理软件、系统管理软件对网络和服务器等硬件设备进行管理。当员工遇到一些故障问题，维护人员会被派过去，当场处理并解决掉。 携程网的公司特性也注定其SOX实施不同于其他企业。创立于1999年的携程网，至今不过六年历史，因此，组织机构、IT系统都是逐步建立起来的，不像一些老牌企业具有很多年的历史积累，各方面的