IT如何满足SOX法案的合规要求?

IT如何满足SOX法案的合规要求? (1)
  发布时间:2005.11.24 20:28 来源:赛迪网-中国计算机用户 作者:胡敏 
  2002年7月,美国国会正式通过了Sarbanes-Oxley法案(简称SOX法案),明确要求管理层对公司财务信息披露和内部控制效力负有直接责任,公司的内控措施应由管理层声明有效并由独立审计机构出具内控审计意见提交给美国证监会(SEC)。
  SOX法案的出台是由于全世界包括美国金融投资领域对上市公司的内部控制失去了信心,为了重新树立信心而制订的。
  SOX法案中第404条款要求公司在财务报告方面加强内控,即管理层必须对内控方面有个自我评估,随后对内控做自我测试,最后要有个独立的第三方审计公司对最终测试报告进行审计,最后形成的内部控制报告要在每年的财务报告中体现出来,并由总经理签字。
  由于IT和财务报告的关联性,IT也需要加强控制以达到SOX合规要求。IT的SOX合规审计必须落实到企业对IT的有效管理控制上来。
  有人说,SOX法案是个“暴政”,因为它对公司内部控制的要求有点过了头。自2002年7月SOX法案出台之后,去年的一个统计数据显示,大概10%的企业退出了美国股市;一些原本计划去美国上市的企业转而投奔了其他地方的股市。由此可见其难度之大。也正因为此,该法案随后对在美国上市的海外企业延后了一年。
  去年底,携程网正式踏上自己的SOX之旅。这注定是一条艰辛之旅,也是一条学习之旅。携程网业务运营总监朱剑岷在接受采访时明确表示:“的确很难,但携程网肯定不会因此而退出。”
  传统被动的、孤立的、分散的“救火队”式IT运维管理模式,已经让IT部门疲惫不堪。如何简化IT管理,更好地满足业务需求,已经成为IT部门的一个重大挑战。
  为了有效地解决行业用户在IT运维管理方面的困惑,并推介ITIL在IT运维管理中的价值和意义,我刊策划了“IT运维诊断面对面系列活动”,活动特别邀请IBM、HP、CA、BMC等IT服务领域的资深运营管理专家,深入了解行业用户的IT运维管理现状,切实为用户解疑答惑,并共同探讨IT运维管理方法和经验。
  自2002年7月SOX法案出台之后,IT的SOX合规审计成为2005年全球CIO最关注的事情。IT如何满足SOX法案的合规要求?IT部门如何入手实施?实施中有哪些经验和建议?针对以上问题,本期邀请携程网公司负责实施SOX项目的业务运营副总裁朱剑岷进行了探讨。
  作为一家在美国上市的企业,携程网必须承受新挑战,接受严格的SOX合规审计。
  去年三季度,负责IT方面工作的携程网业务运营副总裁朱剑岷接到通知,知道要做这个事情。
  重新认识SOX
  朱剑岷坦率地表示,一开始自己不是特别重视SOX法案,觉得它主要是针对财务方面的要求。随后,他才发现SOX法案对IT的要求也很高。
  SOX法案对IT的控制要求主要有两个方面:一个是应用控制(Application Control),因为大多数上市公司一定都依赖IT系统来运作业务,IT系统对业务流程的控制作用非常大,因此IT必须对业务流程进行某些控制;另一方面是通常性控制(IT Generally Control,ITGC),美国证监会(SEC)认为,既然是上市公司,必然有一个完整的IT系统做支撑,因此,对于支撑公司运作的IT基础技术架构平台,必须进行有效管理控制。
  “实际上,在SOX法案的合规要求中,40%在IT控制,60%在财务控制方面。” 朱剑岷在接受采访时总结道。
  意识到IT在SOX合规审计中的重要性,朱剑岷开始重视起来,并着手行动。
  迷茫的开始
  突然被推到风头浪尖上,最初的朱剑岷没有特别明确的方向。因为SOX法案所要求的控制体系,主要依赖财务控制方面的一套审计框架。
  它同时对IT提出了非常高的控制要求。比如,为了保证每个控制是有效的,上市公司必须要有充分证据去证明这个控制有效。仅仅为了符合这个要求,就要做很多证据保留工作。
  IT控制到底应该参考什么样的审计框架?携程网的IT控制应该怎么做?
  “刚开始,的确比较痛苦,很多头绪,不知道从哪儿入手。” 朱剑岷坦承地说。
  携程网最初的IT环境与SOX法案所要求的IT控制,显然有一定差距。携程网IT部门共50多人,最初按照软、硬件简单地划分为两个部分:30多人负责软件开发和维护,20多人负责硬件设备的运行维护。
  在软件开发和维护上,原来有一些比较简单的技术支持工具,帮助做需求管理、变更控制和流程控制等,从SOX404的角度来看,其控制能力不够强,某些环节还需要加强。硬件的运行维护基本上是“救火队”模式。通过网络管理软件、系统管理软件对网络和服务器等硬件设备进行管理。当员工遇到一些故障问题,维护人员会被派过去,当场处理并解决掉。
  携程网的公司特性也注定其SOX实施不同于其他企业。创立于1999年的携程网,至今不过六年历史,因此,组织机构、IT系统都是逐步建立起来的,不像一些老牌企业具有很多年的历史积累,各方面的制度规范建立得比较完善。另外,尽管刚开始携程网的规模比较小,但电子商务业务增长很快,在公司发展中,为了解决一些重点问题,没有花太多精力去梳理业务流程方面的工作,比如制订规范性文档等。
  总之,SOX项目实施之前,携程网在流程、规范方面相对比较缺乏。
  发现COBIT、ITIL
  经过一段时间的考察,朱剑岷欣喜地发现IT领域有一个叫COBIT的IT控制框架。当深入了解之后,他认识到,尽管COBIT对IT控制提出了具体要求,如必须要怎么样,做到什么程度,但是,对于“怎么做才能够符合要求”的问题,它没有给出具体操作方法。
  后来,朱剑岷又发现,ITIL也是一个比较成熟的框架,是IT服务管理的最佳实践。
  ITIL包括十大流程和一个服务台,十大流程又可以划分为两大类:一是基于战术层面的服务提供(Service deliver),包括服务等级管理、持续性、可用性、能力和财务管理;二是基于运营层面的服务支持(Service surpport),包括服务台、事件管理、问题管理、配置管理、变更管理、发布管理。
  服务提供侧重于主动性、战略性层面的管理问题,比如主动做好规划,设计好系统容量、系统性能,并发现问题。服务支持则针对日常事件处理,比如怎么建立服务台;如何控制变更;系统遇到问题时,如何及时处理并恢复服务等。
  ITIL无疑是一条可行的实现IT控制的方法。随后,他就在国外购买了一些原版资料,着手学习研究。
  参观、学习,与同行交流
  实际上,不少企业的IT部门主管与朱剑岷一样面临SOX法案挑战。朱剑岷不失时机地与一些已经开始实施的企业的IT主管进行了交流,并参加相关培训。
  他还亲自到早于携程网上市的UT斯达康公司进行了参观考察。UT斯达康公司是美国本土企业,去年就开始做SOX法案的相关工作,今年初完成前期工作。
  经过一段时间实地考察,他发现,为了满足SOX法案要求,控制流程往往都制订得非常复杂。为了保证每个控制的有效性,必须要有充分证据证明这个控制是有效的,为此,对证据保留的要求也非常高,需要做许多证据保留工作。
  为了符合要求,部分企业通过一些不太有效的方式去做这些控制。比如,SOX法案要求每天查看服务器的状态,为此,一些企业专门拿出一些记录本,每天、每人在记录本上“勾”一下,成为说明这个服务器正常的证据,这样一大堆纸张就保存下来。
  当然,这样做没有问题。但朱剑岷看完之后的第一个感觉是:“如果这样做,肯定会很累。因为它对人员的工作要求比较高。”
  后来,携程网找到了一些更加有效的方法,尽量采用自动化控制方法,减少人工干预。比如,服务器一旦出现问题,可以及时发现,自动处理,而且系统的自动化记录和保存,比人工查看的效率要高很多。
  请来咨询公司
  目前,所有SOX项目一般都会请咨询公司提供咨询,携程网也不例外。但是,携程网只让咨询公司提供一些框架性的指导意见,比如哪些方面是控制重点。至于具体的流程编制、文档编写、流程建立等都由携程网自己做。
  对此,朱剑岷表示,ITIL是一套流程化方法,一套指导性意见,在实施时,企业必须结合自身实际情况来设计流程。与咨询公司相比,企业IT部门的人可能更了解企业的业务流程。事实上,许多咨询公司本身也是在学习之中,纯粹让他们来设计业务流程,不太合适。
  找到合适工具
  ITIL强调的是人员、技术、流程三个因素的配合,技术工具是少不了的一个环节,可以加速实现IT控制的过程。
  经过比较选择,携程网最后选择了福瑞杰公司的一套IT服务管理工具。朱剑岷认为,这套工具比较符合ITIL的流程,但所有工具产品只提供基本功能,要想真正做好,还要花很大精力做定制开发。
  动手实施
  决定由自己动手实施之后,今年初,从SOX404要求比较严格的几个领域入手,携程网开始逐步实施。
  目前,基本上建立了ITIL的事件管理、问题管理、变更管理三个重点流程,也在做信息安全方面的工作。
  不像一些企业把各个方面都做得很完善,携程网只在重点方面花了比较大的精力来做。具体来说,在软件开发方面,携程网建立了自己的开发系统,并通过工具重新梳理一下,使开发控制更加细致了;重新规划建设了系统监控平台。
  还成立了事件处理中心,也叫Service Helpdesk(服务台),配备了7~8个人做一线支持,负责接听电话,处理一些简单问题;随后又安排一些人做二线支持,处理比较复杂或有些技术难度的问题。通过IT服务管理工具平台的技术支持,携程网改变了以往一些关于故障处理的流程,提高了响应时间和服务质量。
  目前,内部满意度、故障处理的及时性都有提高;还能及时汇总一些问题,进行统计分析,以便把工作重点集中在一些具有代表性的问题来处理。
  主抓变更控制
  对于IT控制来说,SOX404最重要的要求有两个,一个是变更控制,一个是安全。
  在变更控制方面,前期携程网差不多花了3~4个月来设计和整理变更流程。
  朱剑岷表示,实现变更控制并不难,ITIL提供了标准的变更管理流程的实施要求,按照要求一步一步往下做就可以了;其关键是如何把变更所涉及的所有部分形成一个完整的闭环流。
  举例来说,携程网软件开发分为三个子系统:1、需求管理系统,包括需求提出、讨论、可行性设计、确认等;2、软件开发;3、软件发布与实施。
  在需求管理上,增加了一个需求确认的环节,这是为了避免需求表达不清,让IT人员重新表达一遍,并让用户确认一下。
  在软件开发上,以前的变更控制不太符合SOX404的具体要求,现在更细化一些了。从最终用户验收一项来说,以前把系统测试完,就拿去直接运行。现在增加了一个环节,专门制作一个单独的运行环境,让用户测试,测试完之后再正式运行。
  在发布管理上,原来不是很严格。依照严格的控制要求,每个变更还要有个回退计划。如果发布错误或变更不成功,保证有个计划能把发布或变更退回去。对于成功的发布,可以让用户做个评价,或者指出哪些地方需要改善等。现在已经进行改善。
  对于系统打补丁这件事来说,以前的做法基本符合控制要求,但SOX404的要求更高,如打补丁之前必须进行备份,并验证备份是否可用,否则,备份无效,系统一旦崩溃,整个系统就完了。
  总之,目前的变更控制更加完善了。
  成立信息安全部
  信息安全是SOX404的一个重要控制要求,它的参考标准是ISO17799。ISO17799对公司的方方面面都提出了要求。
  原来携程网公司自身有一套完善的信息安全战略和体系,涉及到桌面清理、IT方面,也涉及公司办公环境的安全,如员工要佩戴身份识别卡等。
  由于信息安全不完全是IT方面的内容,让IT部门做这个事情比较困难,因此,让朱剑岷困扰的是由谁牵头做这个事情。
  按照SOX法案的审计要求,信息安全部门必须独立,如服务器的审计不能由服务器管理人员来做,否则,既当运动员,又当裁判,这是不合理的。
  考察了国内外的一些情况后,携程网认识到,需要成立一个公司层面的独立机构,总体负责信息安全工作。最近,携程网专门成立了信息安全部,招聘了信息安全和审计方面的专业人士,总体负责公司级别的信息安全和审计,并从其他部门抽调一些人进行配合。
  具体来说,由信息安全部牵头,各部门再抽调一些人成立信息安全委员,共同负责制订安全方针、策略、培训教育等工作。具体技术实施由IT部门负责。
  流程化运作是下一步目标
  尽管事件管理、问题管理、变更管理流程已经基本成型,但朱剑岷表示,流程的执行还没达到很高的标准。
  COBIT除了提供控制框架之外,还提供一套衡量标准,像CMM一样具有从0到5的成熟度等级。不同成熟度,具有不同要求。在中级水平上,它要求某些方面做得有序,有些方面可以是非流程化的;在更高水平的要求上,很多工作都要做得非常有序且制度化执行。
  按照这个衡量标准,朱剑岷认为,携程网可能做了30%的工作,未来会逐步根据自身要求,优化业务流程,尽量使运行效率更高,更加符合SOX法案的要求。
  朱剑岷的四个想法
  采访即将结束时,记者要求朱剑岷再总结一下实施经验,朱剑岷谨慎而谦虚地表示:“我要好好想想,不能瞎说。最多只是一些想法,毕竟还没有做完,说是成功经验,不太好,可能对别人造成误导。因为每个企业的情况不一样,很难说我的经验一定适用于其他企业。”
  认真考虑之后,朱剑岷提出了四个想法:
  1、领导和员工的重视非常重要。在实施中,有的人可能说:“让做流程的那几个人先做吧,我还有自己的活干,等他们做完了,我按照流程做就可以了。”这样不行,因为这是全员参与的项目,需要全员包括核心人员参与讨论和设计。
  2、最好自己设计流程、编写流程文档。请第三方来做,看起来可用,但运行起来,可能就是另外一回事。
  3、学习很重要,学习COBIT、ITIL的相关材料,经常到国外各种网上论坛去看看。不同阶段的认识和理解会不一样,要反复回味。说到学习,朱剑岷正打算要把ITIL再看一遍,以便获得新的启发。
  4、找合适的人做合适的事情。ITIL的专业分工很强,必须要花精力找一些有经验的人来做,也要培养一些有潜力的人,让他理解并执行。(T112)


 

你可能感兴趣的:(职场,休闲,法案,sox,合规)