IT如何滿足SOX法案的合規(guī)要求

1、2002 年 7 月，美國國會正式通過了 Sarbanes-Oxley 法案（簡稱 SOXt 案），明確要求管理層對公司財務(wù)信息披露和內(nèi)部控制效力負有直接責任，公司的內(nèi)控措施應(yīng)由管理層聲明有效并由獨立審計機構(gòu)出具內(nèi)控審計意見提交給美國證監(jiān)會（SE。SOXt 案的出臺是由于全世界包括美國金融投資領(lǐng)域?qū)ι鲜泄镜膬?nèi)部控制失去了信心，為了重新樹立信心而制訂的。SO 難案中第 404 條款要求公司在財務(wù)報告方面加強內(nèi)控，即管理層必須對內(nèi)控方面有個自我評估，隨后對內(nèi)控做自我測試，最后要有個獨立的第三方審計公司對最終測試報告進行審計，最后形成的內(nèi)部控制報告要在每年的財務(wù)報告中體現(xiàn)出來，并由總經(jīng)理簽字。由于

2、 IT 和財務(wù)報告的關(guān)聯(lián)性，IT 也需要加強控制以達到 SOX 合規(guī)要求。IT 的 SOX 合規(guī)審計必須落實到企業(yè)對 IT 的有效管理控制上來。有人說， SOX&案是個“暴政”， 因為它對公司內(nèi)部控制的要求有點過了頭。 自 2002年 7月 SOX&案出臺之后，去年的一個統(tǒng)計數(shù)據(jù)顯示，大概 10%勺企業(yè)退出了美國股市；一些原本計劃去美國上市的企業(yè)轉(zhuǎn)而投奔了其他地方的股市。由此可見其難度之大。也正因為此，該法案隨后對在美國上市的海外企業(yè)延后了一年。去年底，攜程網(wǎng)正式踏上自己的 SOX 之旅。這注定是一條艱辛之旅，也是一條學習之旅。攜程網(wǎng)業(yè)務(wù)運營總監(jiān)朱劍岷在接受采訪時明確表示：“的

3、確很難，但攜程網(wǎng)肯定不會因此而退出?！眰鹘y(tǒng)被動的、 孤立的、 分散的“救火隊”式 IT 運維管理模式， 已經(jīng)讓 IT 部門疲憊不堪。 如彳 S簡化 IT 管理，更好地滿足業(yè)務(wù)需求，已經(jīng)成為 IT 部門的一個重大挑戰(zhàn)。為了有效地解決行業(yè)用戶在 IT 運維管理方面的困惑，并推介 ITIL 在 IT 運維管理中的價值和意義，我刊策劃了“IT 運維診斷面對面系列活動”，等 IT 服務(wù)領(lǐng)域的資深運營管理專家， 深入了解行業(yè)用戶的疑答惑，并共同探討 IT 運維管理方法和經(jīng)驗。自 2002 年 7 月 SOXfe 案出臺之后，IT 的 SOX 合規(guī)審計成為 2005 年全球 CIO 最關(guān)注的事情。IT 如何

4、滿足 SOX1 案的合規(guī)要求？IT 部門如何入手實施？實施中有哪些經(jīng)驗和建議？針對以上問題，本期邀請攜程網(wǎng)公司負責實施 SOX1 目的業(yè)務(wù)運營副總裁朱劍岷進行了探討。作為一家在美國上市的企業(yè)，攜程網(wǎng)必須承受新挑戰(zhàn)，接受嚴格的 SO6 規(guī)審計。去年三季度，負責 IT 方面工作的攜程網(wǎng)業(yè)務(wù)運營副總裁朱劍岷接到通知，知道要做這個事情。重新認識 SOX朱劍岷坦率地表示，一開始自己不是特別重視 soxt 案，覺得它主要是針對財務(wù)方面活動特另1J 邀請 IBM、HRCABMCIT 運維管理現(xiàn)狀，切實為用戶解的要求。隨后，他才發(fā)現(xiàn) SOXt 案對 IT 的要求也很高。SOXt 案對 IT 的控制要求主要有兩

5、個方面：一個是應(yīng)用控制(ApplicationControl),因為大多數(shù)上市公司一定都依賴 IT 系統(tǒng)來運作業(yè)務(wù)，IT 系統(tǒng)對業(yè)務(wù)流程的控制作用非常大，因此 IT 必須對業(yè)務(wù)流程進行某些控制；另一方面是通常性控制(ITGenerallyControl,ITGC),美國證監(jiān)會(SEC 認為，既然是上市公司，必然有一個完整的 IT 系統(tǒng)做支撐，因此，對于支撐公司運作的 IT 基礎(chǔ)技術(shù)架構(gòu)平臺，必須進行有效管理控制?！皩嶋H上，在 SOX 法案的合規(guī)要求中，40%&IT 控制，60%在財務(wù)控制方面?！敝靹︶涸诮邮懿稍L時總結(jié)道。意識到 IT 在 SOX 合規(guī)審計中的重要性，朱劍岷開始重視起來，

6、并著手行動。迷茫的開始突然被推到風頭浪尖上，最初的朱劍岷沒有特別明確的方向。因為 SOXt 案所要求的控制體系，主要依賴財務(wù)控制方面的一套審計框架。它同時對 IT 提出了非常高的控制要求。比如，為了保證每個控制是有效的，上市公司必須要有充分證據(jù)去證明這個控制有效。僅僅為了符合這個要求，就要做很多證據(jù)保留工作。IT 控制到底應(yīng)該參考什么樣的審計框架？攜程網(wǎng)的 IT 控制應(yīng)該怎么做？“剛開始，的確比較痛苦，很多頭緒，不知道從哪兒入手。”朱劍岷坦承地說。攜程網(wǎng)最初的 IT 環(huán)境與 SOXfe 案所要求的 IT 控制， 顯然有一定差距。 攜程網(wǎng) IT 部門共 50 多人，最初按照軟、硬件簡單地劃分為兩

7、個部分：30 多人負責軟件開發(fā)和維護，20多人負責硬件設(shè)備的運行維護。在軟件開發(fā)和維護上，原來有一些比較簡單的技術(shù)支持工具，幫助做需求管理、變更控制和流程控制等，從 SOX404 的角度來看，其控制能力不夠強，某些環(huán)節(jié)還需要加強。硬件的運行維護基本上是“救火隊”模式。通過網(wǎng)絡(luò)管理軟件、系統(tǒng)管理軟件對網(wǎng)絡(luò)和服務(wù)器等硬件設(shè)備進行管理。當員工遇到一些故障問題，維護人員會被派過去，當場處理并解決掉。攜程網(wǎng)的公司特性也注定其 SO 雙施不同于其他企業(yè)。創(chuàng)立于 1999 年的攜程網(wǎng)，至今不過六年歷史，因此，組織機構(gòu)、IT 系統(tǒng)都是逐步建立起來的，不像一些老牌企業(yè)具有很多年的歷史積累，各方面的制度規(guī)范建立得

8、比較完善。另外，盡管剛開始攜程網(wǎng)的規(guī)模比較小，但電子商務(wù)業(yè)務(wù)增長很快，在公司發(fā)展中，為了解決一些重點問題，沒有花太多精力去梳理業(yè)務(wù)流程方面的工作，比如制訂規(guī)范性文檔等?？傊琒OX1 目實施之前，攜程網(wǎng)在流程、規(guī)范方面相對比較缺乏。發(fā)現(xiàn) COBIT、ITIL經(jīng)過一段時間的考察，朱劍岷欣喜地發(fā)現(xiàn) IT 領(lǐng)域有一個叫 COBIT 的 IT 控制框架。當深入了解之后，他認識到，盡管 COBIT 對 IT 控制提出了具體要求，如必須要怎么樣，做到什么程度，但是，對于“怎么做才能夠符合要求”的問題，它沒有給出具體操作方法。后來，朱劍岷又發(fā)現(xiàn)，ITIL 也是一個比較成熟的框架，是 IT 服務(wù)管理的最佳實踐

9、。ITIL 包括十大流程和一個服務(wù)臺，十大流程又可以劃分為兩大類：一是基于戰(zhàn)術(shù)層面的服務(wù)提供(Servicedeliver),包括服務(wù)等級管理、持續(xù)性、可用性、能力和財務(wù)管理；二是基于運營層面的服務(wù)支持(Servicesurpport),包括服務(wù)臺、事件管理、問題管理、配置管理、變更管理、發(fā)布管理。服務(wù)提供側(cè)重于主動性、戰(zhàn)略性層面的管理問題，比如主動做好規(guī)劃，設(shè)計好系統(tǒng)容量、系統(tǒng)性能，并發(fā)現(xiàn)問題。服務(wù)支持則針對日常事件處理，比如怎么建立服務(wù)臺；如何控制變更；系統(tǒng)遇到問題時，如何及時處理并恢復服務(wù)等。ITIL 無疑是一條可行的實現(xiàn) IT 控制的方法。隨后，他就在國外購買了一些原版資料，著手學習研

10、究。參觀、學習，與同行交流實際上，不少企業(yè)的 IT 部門主管與朱劍岷一樣面臨 SOX 法案挑戰(zhàn)。朱劍岷不失時機地與一些已經(jīng)開始實施的企業(yè)的 IT 主管進行了交流，并參加相關(guān)培訓。他還親自到早于攜程網(wǎng)上市的 UT 斯達康公司進行了參觀考察。UT 斯達康公司是美國本土企業(yè)，去年就開始做 SOX 法案的相關(guān)工作，今年初完成前期工作。經(jīng)過一段時間實地考察，他發(fā)現(xiàn)，為了滿足 SOX 法案要求，控制流程往往都制訂得非常復雜。為了保證每個控制的有效性，必須要有充分證據(jù)證明這個控制是有效的，為此，對證據(jù)保留的要求也非常高，需要做許多證據(jù)保留工作。為了符合要求，部分企業(yè)通過一些不太有效的方式去做這些控制。比如，

11、SOX 法案要求每天查看服務(wù)器的狀態(tài)，為此，一些企業(yè)專門拿出一些記錄本，每天、每人在記錄本上“勾”一下，成為說明這個服務(wù)器正常的證據(jù)，這樣一大堆紙張就保存下來。當然，這樣做沒有問題。但朱劍岷看完之后的第一個感覺是：“如果這樣做，肯定會很累。因為它對人員的工作要求比較高。”后來，攜程網(wǎng)找到了一些更加有效的方法，盡量采用自動化控制方法，減少人工干預。比如，服務(wù)器一旦出現(xiàn)問題，可以及時發(fā)現(xiàn)，自動處理，而且系統(tǒng)的自動化記錄和保存，比人工查看的效率要高很多。請來咨詢公司目前，所有 SOX目一般都會請咨詢公司提供咨詢，攜程網(wǎng)也不例外。但是，攜程網(wǎng)只讓咨詢公司提供一些框架性的指導意見，比如哪些方面是控制重點

12、。至于具體的流程編制、文檔編寫、流程建立等都由攜程網(wǎng)自己做。對此，朱劍岷表示，ITIL 是一套流程化方法，一套指導性意見，在實施時，企業(yè)必須結(jié)合自身實際情況來設(shè)計流程。與咨詢公司相比，企業(yè) IT 部門的人可能更了解企業(yè)的業(yè)務(wù)流程。事實上，許多咨詢公司本身也是在學習之中，純粹讓他們來設(shè)計業(yè)務(wù)流程，不太合適。找到合適工具ITIL 強調(diào)的是人員、技術(shù)、流程三個因素的配合，技術(shù)工具是少不了的一個環(huán)節(jié)，可以加速實現(xiàn)IT 控制的過程。經(jīng)過比較選擇，攜程網(wǎng)最后選擇了福瑞杰公司的一套 IT 服務(wù)管理工具。朱劍岷認為，這套工具比較符合 ITIL 的流程，但所有工具產(chǎn)品只提供基本功能，要想真正做好，還要花很大精力

13、做定制開發(fā)。動手實施決定由自己動手實施之后，今年初，從 SOX40 強求比較嚴格的幾個領(lǐng)域入手，攜程網(wǎng)開始逐步實施。目前，基本上建立了 ITIL 的事件管理、問題管理、變更管理三個重點流程，也在做信息安全方面的工作。不像一些企業(yè)把各個方面都做得很完善，攜程網(wǎng)只在重點方面花了比較大的精力來做。具體來說，在軟件開發(fā)方面，攜程網(wǎng)建立了自己的開發(fā)系統(tǒng)，并通過工具重新梳理一下，使開發(fā)控制更加細致了；重新規(guī)劃建設(shè)了系統(tǒng)監(jiān)控平臺。還成立了事件處理中心，也叫 ServiceHelpdesk（服務(wù)臺），配備了 78 個人做一線支持，負責接聽電話，處理一些簡單問題；隨后又安排一些人做二線支持，處理比較復雜或有些技

14、術(shù)難度的問題。通過 IT 服務(wù)管理工具平臺的技術(shù)支持，攜程網(wǎng)改變了以往一些關(guān)于故障處理的流程，提高了響應(yīng)時間和服務(wù)質(zhì)量。目前，內(nèi)部滿意度、故障處理的及時性都有提高；還能及時匯總一些問題，進行統(tǒng)計分析，以便把工作重點集中在一些具有代表性的問題來處理。主抓變更控制對于 IT 控制來說，SOX404M 重要的要求有兩個，一個是變更控制，一個是安全。在變更控制方面，前期攜程網(wǎng)差不多花了 34 個月來設(shè)計和整理變更流程。朱劍岷表示，實現(xiàn)變更控制并不難，ITIL 提供了標準的變更管理流程的實施要求，按照要求一步一步往下做就可以了；其關(guān)鍵是如何把變更所涉及的所有部分形成一個完整的閉環(huán)流。舉例來說，攜程網(wǎng)軟件

15、開發(fā)分為三個子系統(tǒng)：1、需求管理系統(tǒng)，包括需求提出、討論、可行性設(shè)計、確認等；2、軟件開發(fā)；3、軟件發(fā)布與實施。在需求管理上，增加了一個需求確認的環(huán)節(jié)，這是為了避免需求表達不清，讓 IT 人員重新表達一遍，并讓用戶確認一下。在軟件開發(fā)上，以前的變更控制不太符合 SOX404 勺具體要求，現(xiàn)在更細化一些了。從最終用戶驗收一項來說，以前把系統(tǒng)測試完，就拿去直接運行?，F(xiàn)在增加了一個環(huán)節(jié)，專門制作一個單獨的運行環(huán)境，讓用戶測試，測試完之后再正式運行。在發(fā)布管理上，原來不是很嚴格。依照嚴格的控制要求，每個變更還要有個回退計劃。如果發(fā)布錯誤或變更不成功，保證有個計劃能把發(fā)布或變更退回去。對于成功的發(fā)布，可

16、以讓用戶做個評價，或者指出哪些地方需要改善等?，F(xiàn)在已經(jīng)進行改善。對于系統(tǒng)打補丁這件事來說，以前的做法基本符合控制要求，但 SOX404 的要求更高，如打補丁之前必須進行備份，并驗證備份是否可用，否則，備份無效，系統(tǒng)一旦崩潰，整個系統(tǒng)就完了?？傊壳暗淖兏刂聘油晟屏?。成立信息安全部信息安全是 SOX404 的一個重要控制要求，它的參考標準是 ISO17799。ISO17799 對公司的方方面面都提出了要求。原來攜程網(wǎng)公司自身有一套完善的信息安全戰(zhàn)略和體系，涉及到桌面清理、IT 方面，也涉及公司辦公環(huán)境的安全，如員工要佩戴身份識別卡等。由于信息安全不完全是 IT 方面的內(nèi)容，讓 IT 部門做

17、這個事情比較困難，因此，讓朱劍岷困擾的是由誰牽頭做這個事情。按口 SOX 法案的審計要求，信息安全部門必須獨立，如服務(wù)器的審計不能由服務(wù)器管理人員來做，否則，既當運動員，又當裁判，這是不合理的?？疾炝藝鴥?nèi)外的一些情況后，攜程網(wǎng)認識到，需要成立一個公司層面的獨立機構(gòu)，總體負責信息安全工作。最近，攜程網(wǎng)專門成立了信息安全部，招聘了信息安全和審計方面的專業(yè)人士，總體負責公司級別的信息安全和審計，并從其他部門抽調(diào)一些人進行配合。具體來說，由信息安全部牽頭，各部門再抽調(diào)一些人成立信息安全委員，共同負責制訂安全方針、策略、培訓教育等工作。具體技術(shù)實施由 IT 部門負責。流程化運作是下一步目標盡管事件管理、

18、問題管理、變更管理流程已經(jīng)基本成型，但朱劍岷表示，流程的執(zhí)行還沒達到很高的標準。COBIT 除了提供控制框架之外， 還提供一套衡量標準， 像 CMMH 樣具有從 0 到 5 的成熟度等級。不同成熟度，具有不同要求。在中級水平上，它要求某些方面做得有序，有些方面可以是非流程化的；在更高水平的要求上，很多工作都要做得非常有序且制度化執(zhí)行。按照這個衡量標準，朱劍岷認為，攜程網(wǎng)可能做了 30%勺工作，未來會逐步根據(jù)自身要求，優(yōu)化業(yè)務(wù)流程，盡量使運行效率更高，更加符合 SOX 法案的要求。朱劍岷的四個想法采訪即將結(jié)束時，記者要求朱劍岷再總結(jié)一下實施經(jīng)驗，朱劍岷謹慎而謙虛地表示：“我要好好想想，不能瞎說。最多只是一些想法，畢竟還沒有做完，說是成功經(jīng)驗，不太好,可能對別人造成誤導。因為每個企業(yè)的情況不一樣，很難說我的經(jīng)驗一定適用于其他企業(yè)?！闭J真考慮之后，朱劍岷提出了四個想法：1、領(lǐng)導和員工的重視非常重要。在實施中，有的