華為3COMSOX法案IT内控實踐

華為3COM由華為公司與美國上市公司3COM在2003年合資成立，2005年、2007年兩次股權變更，并在2007年正式改名為杭州華三通信技術有限公司，簡稱H3C。H3C的财務資料對3COM财務報表影響較大，是以H3C也需要遵從美國SOX法案相關要求。本文在簡述IT遵從SOX法案要求和業界架構後，将詳細介紹H3C公司IT團隊自主實施SOX項目的過程、方法、關鍵控制點和相關體會。 　　一、SOX法案背景 　　針對安然、世通等财務欺詐事件，美國國會出台了《2002 年公衆公司會計改革和投資者保護法案》（Sarbanes-Oxley Act）。該法案由美國衆議院金融服務委員會主席奧克斯利和參議院銀行委員會主席薩班斯聯合提出，又被稱作《2002年薩班斯—奧克斯利法案》（簡稱薩班斯或SOX法案）。該法案的法律效力适用于在美國證券交易委員會注冊的公司，在美國上市的中國公司也受它限制。SOX法案對上市公司管理層提出了非常苛刻的要求，直接相關的條款包括：302條款 公司對财務報告的責任、404條款 管理層對内部控制的評價、906條款 強化白領刑事責任。 　　二、IT在SOX遵從中的角色 　　SOX法案強調了要設計和執行有效的公司内部控制來保證财務報告職能的行之有效，随着越來越多公司對于資訊技術依賴性的提高，IT控制在公司内部控制體系中的重要性也日益增加，主要展現如下方面：a. 公司業務流程的部分甚至全部由IT系統驅動和承載；b. 公司内部控制目标的實作通常取決于以IT為基礎的控制；c. 許多控制需要依賴IT系統生成的資料。 　　IT通過應用控制和一般控制來幫助控制财務報告的相關風險，以達到控制目标。其中：IT應用控制（IT Application Control）嵌在各個應用系統中，控制業務流程和交易處理，直接對财務報告産生影響；IT一般控制 (IT General Control, 也譯作通用計算機控制)是分布在IT流程中的控制活動，用來保障IT整體運維環境的可靠，并支援應用控制的有效運作。 　　美國公衆公司會計監管委員會（PCAOB）特别舉例強調，IT控制對于公司總體控制目标的實作具有廣泛和深遠的影響。是以，建立維護合理的IT控制體系、并保證其有效執行是SOX法案遵從的重要組成部分。 　　三、IT遵從的常用架構和方法 　　如何建立和維護一套有效的IT内控體系，并能得到外部審計師的認同，較為有效的方法是采用業界通行的架構。COSO是目前唯一被PCAOB明文确認可接受的内控架構，該架構确定了3項内部控制目标，将分布于公司各個層面的内控分解為控制環境、風險評估、控制活動、資訊和溝通、監督五個組成要素。 　　熟悉COSO的人士都知道，COSO架構并沒有具體描述IT風險與控制目标，相對來說Cobitreg;（Control Objectives for Information and related Technology）更有針對性。Cobit架構由I T Governance Institute釋出，2007年新版本是Cobit4.1，它定義了IT控制的7項資訊标準(有效性、經濟性、機密性、完整性、可用性、合規性、可靠性)、4大領域(計劃組織、開發擷取、傳遞支援、監控評價)和34個過程。 　　比較可貴的是，ITGI在2004年及時研究釋出了《SOX法案遵從IT控制目标》(英文全稱為IT Control Objectives for Sarbanes-Oxley: The Role of IT in the Design and Implementation of Internal Control Over Financial Reporting),其為SOX遵從的風險識别與控制過程指明了方向。2006年9月ITGI釋出了該項目工作的第2版，更加受到了業界歡迎。 　　IT控制目标明确後，需要具體落實在IT組織、人員、技術和流程中。這個落實過程可以參考IT服務管理标準（新的ITSM國際标準為ISO20000），建議重點借鑒IT基礎設施庫 (ITIL)的變更管理、問題管理、事件管理、配置管理等服務支援流程。在資訊安全管理方面，ISO17799是一個可參照的國際标準。 　　四、 H3C IT SOX遵從實踐 　　2006年6月，H3C正式啟動了SOX遵從項目，對于IT部門來說，第一個挑戰是時間緊迫、人手不足，第二個挑戰是必須同步進行資料中心運維交接(以前是外包的)，第三個挑戰是沒有咨詢公司的參與。IT控制設計、實施、穿行測試、期中測試、期末測試等是依靠内部力量自主摸索完成的，以下對其展開介紹。 　　1、H3C IT SOX遵從的項目過程群組織 　　H3C IT實施SOX遵從項目的大緻過程如下： 　　（1）SOX計劃和範圍界定 　　制定IT SOX遵從具體項目計劃；根據對财務報告控制目标的影響，整理和識别SOX遵從範圍内的IT應用系統、資料庫和相關基礎設施。并且在IT部門内部進行SOX相關的教育訓練和宣傳。 　　（2）評估風險 　　依據對财務報告各項認定：存在性/發生、完整性、準确性、權利和義務、估值、披露的影響評估IT風險。 　　（3）确認控制目标，識别和記錄IT控制點 　　依據PCAOB有關IT控制的要求、參照IT Control Objectives for Sarbanes-Oxley，明确IT控制目标以及更明細的控制子目标，分析确定關鍵控制子目标；識别現有控制活動、控制類型和發生頻率，識别關鍵控制點。H3C采用的13個通用計算機控制目标分别是：應用軟體擷取與維護、技術基礎設施擷取與維護、制度保障、程式安裝和啟用、變更管理、服務級别定義和管理、第三方服務管理、確定系統安全、配置管理、問題和事件管理、資料管理、實體環境和運維管理、終端使用者計算。 　　（4）評估IT控制設計和日常執行的有效性 　　依據設定的IT控制目标，評估現有的IT控制活動設計是否合理，是否能夠實作控制目标。并根據IT控制活動發生的頻率抽樣測試日常執行的有效性。較長的描述目前控制設計和執行的缺陷。 　　（5）評估和改進控制缺陷 　　針對存在的缺陷，評估對于财務報告的風險，針對風險較大的關鍵控制目标，改進控制設計，提高執行有效性。 　　（6）日常控制的持續有效 　　通過教育訓練、宣傳、自查、抽查、内審等活動以及合适的技術手段來優化和保障IT控制的持續有效。 　　2、H3C的IT控制活動舉例 　　（1） ITGC關鍵控制活動舉例 　　a) 應用軟體擷取與維護：遵循一個有效的系統開發實施方法論（SDLC）；項目需求規格中需要包括應用控制方面的内容；項目組任命、項目需求規格、驗證性測試必須要求業務部門的簽字确認；如果涉及到系統選型和采購，選型小組中需要有業務部門的代表，按照采購流程執行等。 　　b) 程式安裝和啟用，在系統進入生産環境前需要測試和業務确認，包括：功能測試、接口測試、資料遷移測試等。 　　c) 程式變更控制：所有程式變更申請都必須是恰當的且經過授權的；進行職責分離以防止開發人員修改生産環境；版本控制以防止修改沖突；變更測試以確定準确性；需經業務使用者确認以確定變更符合業務需要等。 　　d) 資訊安全控制：使用者認證 (如通路帳号和密碼)；密碼控制 (如密碼有效期，複雜度等)；安全管理 (新使用者建立，離職員工銷戶，密碼複位等)；計算機、網絡防病毒等；工作場所的實體安全等。 　　e) 資料管理：制定備份政策，依據備份政策進行程式、資料備份；備份恢複計劃與演練等。 　　f) 運維管理：計算機系統監控；作業／批處理程式監控等。 　　（2） ITAC控制活動舉例 　　IT應用控制主要目标包括财務交易資訊的完整、準确、有效，僅限于經過授權的人員操作，符合職責分離要求，其中職責分離(SoD)的設計與實施占用ITAC的較大工作量。對于應用控制的設計需要在需求規格中清晰描述，并獲得業務部門确認。常用的IT應用控制活動包括：逐筆核對檢查、批次總數/運作總數控制、計算機序列檢驗、計算機自動比對、程式檢驗、實體鎖定、預配置輸入。 　　（3） IT實體層控制活動舉例 　　除ITGC 和ITAC以外，需要将IT納入公司層面進行SOX遵從評估，包括：戰略和計劃、政策和流程、教育訓練和技能、風險評估、品質保證、内部審計等。　　 　　3、H3C IT SOX遵從項目主要傳遞文檔 　　（1）内控的總體說明（Narrative） 　　（2）應用系統範圍界定（Application Scoping） 　　（3）風險控制矩陣（Risk Control Matrix (RCM)） 　　（4）職責分離設計（Segregation of Duties） 　　（5）管理評估（Management Assessment） 　　（6）問題跟蹤與改進（Issue Trace）　　 　　４、H3C IT SOX遵從的裡程碑 　　（1） 2006.05 項目啟動 　　（2） 2006.09 内部第一輪測試 　　（3） 2006.10 外部審計師控制設計測試 　　（4） 2006.12 外部審計師執行有效性測試 　　（5） 2007.02 内部第二輪測試 　　（6） 2007.04 外部審計師期末測試　　 　　五、H3C IT SOX遵從體會 　　通過實踐，項目團隊認為下述幾個因素的影響較大：與業務營運良性互動的理念、基于風險和自上而下的方法、架構标準和成功經驗的借鑒、良好的管理基礎與技術保障、合适的團隊和有效的溝通。 　　１、與業務營運良性互動的理念 　　盡管SOX遵從是硬性要求，有可能會增加運作成本，項目團隊也非常重視其正面價值。通過有效的風險評估和控制活動識别，産生如下結果：（1）很多控制點業務上本已存在，但執行人員原本沒有意識到，現在更加明白自己工作意義，成就感也增強了；（2）有些缺陷和不足是業務營運本身就應該糾正和預防的，是以增加控制點利大于弊；（3）存在一些重複或多餘的控制活動，優化後提高了營運效率。H3C IT遵從過程中建立起來的運維體系與流程，對資料中心運維的平穩交接幫助很大。 　　２、基于風險和自上而下的方法 　　IT對風險的控制可能會不足，但從另外一個角度看，也要防止控制過頭，想要徹底避免所有風險本身不現實，是以應該選擇基于風險、自上而下的方法，否則目标模糊、“草木皆兵”，會導緻自亂陣腳。風險、控制目标、控制活動明确後，執行中就不宜再泛化SOX的要求。曾經發生過一件趣事，同僚甲去找同僚乙協調一項棘手的工作，眼看協調不成時竟說“這是SOX的要求”，但同僚乙的SOX功底很深，沒被吓唬住，最後雙方莞爾。 　　３、架構标準和成功經驗的借鑒 　　主動借鑒行業架構、行業标準，有利于保障控制的完整性，不會出現大的缺失，也有利于對内對外的溝通。項目團隊參照Cobit架構編制控制說明(Narrative)和風險控制矩陣(RCM)，與外部審計師的溝通效率就比較高，返工也較少。 　　華為公司的IT服務管理體系通過了ISO20000認證、其資訊安全管理體系通過了ISO17799認證，其成功經驗值得借鑒；3COM公司IT專家豐富的SOX知識和經驗也非常有價值。 　　4、良好的管理基礎與技術保障 　　H3C IT實施SOX遵從項目不是推倒重來，實施前已經有了正常運作的資訊安全管理、應用系統開發維護、以及部分IT運維管理流程，這為遵從提供了良好的管理基礎。通過實施IT遵從項目對相關流程、體系進行了補充和完善，也對有些環節進行了優化和減化。 　　H3C IT廣泛應用了自己公司的IToIP産品與解決方案，也為高效、持續的符合SOX法案要求提供了重要的技術保障。例如，基礎性的交換機、路由器、防火牆、VPN、入侵防禦系統、日志管理系統等，已經是被IT人員所熟悉，其對于SOX遵從的意義當然無需贅述；COSO内控架構中的五要素之一是“資訊和溝通”，VoIP語音、視訊系統有效的降低了溝通成本、提高了溝通效率和效果；高速的數字監控系統、大容量的存儲産品既有利于不良事件的預防(preventive)也有利于事後的檢測(detective)；審計證據的數字化、流程化記錄和儲存對提高控制執行效率和審計效率都很有幫助。 　　特别是EAD（End Access Defense – 終端通路防禦）解決方案的全面實施，有安全隐患的機器裝置（如：未經認證、裝有非法軟體、病毒庫過期、更新檔更新不及時、密碼設定不規範等等）均無法接入公司網絡，不僅提高了IT安全系數、而且降低了IT運維整體成本。 　　5、合适的團隊和有效的溝通 　　IT SOX遵從由剛剛升任、富有創新精神的CIO帶隊，核心成員熟悉公司業務和運作流程，熟悉SOX法案、PCAOB審計标準、COSO、Cobit、ISO20000、ISO17799等資訊系統審計知識，另外還有較豐富的開發和管理經驗。 　　H3C IT部門及相關人員本身素質較高，适應變革能力較強，執行力也非常強。對于溝通清楚、目标明确的任務，即使再苦再累，都能貫徹落實。對于不明确的任務，控制執行人員一般都會主動找項目團隊成員溝通，和項目團隊成員一起想辦法。 　　與外部審計師保持有效的溝通也是非常重要的因素。對審計師保持開放積極的态度，尊重審計師時間、尊重審計師觀點，及時糾正審計師發現的問題。及時跟蹤業内動态并與審計師一起讨論分析，增加互相信任，争取盡早在有争議的問題上達成一緻。例如PCAOB可能會放松對管理層評估的要求、IT Control Objectives for SOX第2版中放松了對可用性(Availability)的強調，項目團隊及時删減了一些控制目标和控制活動并得到審計師認可。 　　2007年4月當期現場審計結束，外部審計師認為H3C的IT控制不存在實質性缺陷(material weakness)和重大缺陷(significant deficiency)，小的缺陷(deficiency)隻有3個，即SOX合規，第一年這樣的表現是較為優秀的。建立的控制體系保障了資料中心運維平穩交接，有效的支撐了業務營運，為持續遵從奠定了堅實基礎。當然，考慮到環境的不同，以上體會未必适用于所有項目，H3C自身環境也在不斷變化，如何持續遵從仍需進一步摸索。