IT如何滿足SOX法案的合規(guī)要求

1、2002 年 7 月，美國國會(huì)正式通過了 Sarbanes-Oxley 法案（簡稱 SOXt 案），明確要求管理層對(duì)公司財(cái)務(wù)信息披露和內(nèi)部控制效力負(fù)有直接責(zé)任，公司的內(nèi)控措施應(yīng)由管理層聲明有效并由獨(dú)立審計(jì)機(jī)構(gòu)出具內(nèi)控審計(jì)意見提交給美國證監(jiān)會(huì)（SE。SOXt 案的出臺(tái)是由于全世界包括美國金融投資領(lǐng)域?qū)ι鲜泄镜膬?nèi)部控制失去了信心，為了重新樹立信心而制訂的。SO 難案中第 404 條款要求公司在財(cái)務(wù)報(bào)告方面加強(qiáng)內(nèi)控，即管理層必須對(duì)內(nèi)控方面有個(gè)自我評(píng)估，隨后對(duì)內(nèi)控做自我測試，最后要有個(gè)獨(dú)立的第三方審計(jì)公司對(duì)最終測試報(bào)告進(jìn)行審計(jì)，最后形成的內(nèi)部控制報(bào)告要在每年的財(cái)務(wù)報(bào)告中體現(xiàn)出來，并由總經(jīng)理簽字。由于

2、 IT 和財(cái)務(wù)報(bào)告的關(guān)聯(lián)性，IT 也需要加強(qiáng)控制以達(dá)到 SOX 合規(guī)要求。IT 的 SOX 合規(guī)審計(jì)必須落實(shí)到企業(yè)對(duì) IT 的有效管理控制上來。有人說， SOX&案是個(gè)“暴政”， 因?yàn)樗鼘?duì)公司內(nèi)部控制的要求有點(diǎn)過了頭。 自 2002年 7月 SOX&案出臺(tái)之后，去年的一個(gè)統(tǒng)計(jì)數(shù)據(jù)顯示，大概 10%勺企業(yè)退出了美國股市；一些原本計(jì)劃去美國上市的企業(yè)轉(zhuǎn)而投奔了其他地方的股市。由此可見其難度之大。也正因?yàn)榇?，該法案隨后對(duì)在美國上市的海外企業(yè)延后了一年。去年底，攜程網(wǎng)正式踏上自己的 SOX 之旅。這注定是一條艱辛之旅，也是一條學(xué)習(xí)之旅。攜程網(wǎng)業(yè)務(wù)運(yùn)營總監(jiān)朱劍岷在接受采訪時(shí)明確表示：“的

3、確很難，但攜程網(wǎng)肯定不會(huì)因此而退出?！眰鹘y(tǒng)被動(dòng)的、 孤立的、 分散的“救火隊(duì)”式 IT 運(yùn)維管理模式， 已經(jīng)讓 IT 部門疲憊不堪。 如彳 S簡化 IT 管理，更好地滿足業(yè)務(wù)需求，已經(jīng)成為 IT 部門的一個(gè)重大挑戰(zhàn)。為了有效地解決行業(yè)用戶在 IT 運(yùn)維管理方面的困惑，并推介 ITIL 在 IT 運(yùn)維管理中的價(jià)值和意義，我刊策劃了“IT 運(yùn)維診斷面對(duì)面系列活動(dòng)”，等 IT 服務(wù)領(lǐng)域的資深運(yùn)營管理專家， 深入了解行業(yè)用戶的疑答惑，并共同探討 IT 運(yùn)維管理方法和經(jīng)驗(yàn)。自 2002 年 7 月 SOXfe 案出臺(tái)之后，IT 的 SOX 合規(guī)審計(jì)成為 2005 年全球 CIO 最關(guān)注的事情。IT 如何

4、滿足 SOX1 案的合規(guī)要求？IT 部門如何入手實(shí)施？實(shí)施中有哪些經(jīng)驗(yàn)和建議？針對(duì)以上問題，本期邀請(qǐng)攜程網(wǎng)公司負(fù)責(zé)實(shí)施 SOX1 目的業(yè)務(wù)運(yùn)營副總裁朱劍岷進(jìn)行了探討。作為一家在美國上市的企業(yè)，攜程網(wǎng)必須承受新挑戰(zhàn)，接受嚴(yán)格的 SO6 規(guī)審計(jì)。去年三季度，負(fù)責(zé) IT 方面工作的攜程網(wǎng)業(yè)務(wù)運(yùn)營副總裁朱劍岷接到通知，知道要做這個(gè)事情。重新認(rèn)識(shí) SOX朱劍岷坦率地表示，一開始自己不是特別重視 soxt 案，覺得它主要是針對(duì)財(cái)務(wù)方面活動(dòng)特另1J 邀請(qǐng) IBM、HRCABMCIT 運(yùn)維管理現(xiàn)狀，切實(shí)為用戶解的要求。隨后，他才發(fā)現(xiàn) SOXt 案對(duì) IT 的要求也很高。SOXt 案對(duì) IT 的控制要求主要有兩

5、個(gè)方面：一個(gè)是應(yīng)用控制(ApplicationControl),因?yàn)榇蠖鄶?shù)上市公司一定都依賴 IT 系統(tǒng)來運(yùn)作業(yè)務(wù)，IT 系統(tǒng)對(duì)業(yè)務(wù)流程的控制作用非常大，因此 IT 必須對(duì)業(yè)務(wù)流程進(jìn)行某些控制；另一方面是通常性控制(ITGenerallyControl,ITGC),美國證監(jiān)會(huì)(SEC 認(rèn)為，既然是上市公司，必然有一個(gè)完整的 IT 系統(tǒng)做支撐，因此，對(duì)于支撐公司運(yùn)作的 IT 基礎(chǔ)技術(shù)架構(gòu)平臺(tái)，必須進(jìn)行有效管理控制?！皩?shí)際上，在 SOX 法案的合規(guī)要求中，40%&IT 控制，60%在財(cái)務(wù)控制方面?！敝靹︶涸诮邮懿稍L時(shí)總結(jié)道。意識(shí)到 IT 在 SOX 合規(guī)審計(jì)中的重要性，朱劍岷開始重視起來，

6、并著手行動(dòng)。迷茫的開始突然被推到風(fēng)頭浪尖上，最初的朱劍岷沒有特別明確的方向。因?yàn)?SOXt 案所要求的控制體系，主要依賴財(cái)務(wù)控制方面的一套審計(jì)框架。它同時(shí)對(duì) IT 提出了非常高的控制要求。比如，為了保證每個(gè)控制是有效的，上市公司必須要有充分證據(jù)去證明這個(gè)控制有效。僅僅為了符合這個(gè)要求，就要做很多證據(jù)保留工作。IT 控制到底應(yīng)該參考什么樣的審計(jì)框架？攜程網(wǎng)的 IT 控制應(yīng)該怎么做？“剛開始，的確比較痛苦，很多頭緒，不知道從哪兒入手?！敝靹︶禾钩械卣f。攜程網(wǎng)最初的 IT 環(huán)境與 SOXfe 案所要求的 IT 控制， 顯然有一定差距。 攜程網(wǎng) IT 部門共 50 多人，最初按照軟、硬件簡單地劃分為兩

7、個(gè)部分：30 多人負(fù)責(zé)軟件開發(fā)和維護(hù)，20多人負(fù)責(zé)硬件設(shè)備的運(yùn)行維護(hù)。在軟件開發(fā)和維護(hù)上，原來有一些比較簡單的技術(shù)支持工具，幫助做需求管理、變更控制和流程控制等，從 SOX404 的角度來看，其控制能力不夠強(qiáng)，某些環(huán)節(jié)還需要加強(qiáng)。硬件的運(yùn)行維護(hù)基本上是“救火隊(duì)”模式。通過網(wǎng)絡(luò)管理軟件、系統(tǒng)管理軟件對(duì)網(wǎng)絡(luò)和服務(wù)器等硬件設(shè)備進(jìn)行管理。當(dāng)員工遇到一些故障問題，維護(hù)人員會(huì)被派過去，當(dāng)場處理并解決掉。攜程網(wǎng)的公司特性也注定其 SO 雙施不同于其他企業(yè)。創(chuàng)立于 1999 年的攜程網(wǎng)，至今不過六年歷史，因此，組織機(jī)構(gòu)、IT 系統(tǒng)都是逐步建立起來的，不像一些老牌企業(yè)具有很多年的歷史積累，各方面的制度規(guī)范建立得

8、比較完善。另外，盡管剛開始攜程網(wǎng)的規(guī)模比較小，但電子商務(wù)業(yè)務(wù)增長很快，在公司發(fā)展中，為了解決一些重點(diǎn)問題，沒有花太多精力去梳理業(yè)務(wù)流程方面的工作，比如制訂規(guī)范性文檔等?？傊?，SOX1 目實(shí)施之前，攜程網(wǎng)在流程、規(guī)范方面相對(duì)比較缺乏。發(fā)現(xiàn) COBIT、ITIL經(jīng)過一段時(shí)間的考察，朱劍岷欣喜地發(fā)現(xiàn) IT 領(lǐng)域有一個(gè)叫 COBIT 的 IT 控制框架。當(dāng)深入了解之后，他認(rèn)識(shí)到，盡管 COBIT 對(duì) IT 控制提出了具體要求，如必須要怎么樣，做到什么程度，但是，對(duì)于“怎么做才能夠符合要求”的問題，它沒有給出具體操作方法。后來，朱劍岷又發(fā)現(xiàn)，ITIL 也是一個(gè)比較成熟的框架，是 IT 服務(wù)管理的最佳實(shí)踐

9、。ITIL 包括十大流程和一個(gè)服務(wù)臺(tái)，十大流程又可以劃分為兩大類：一是基于戰(zhàn)術(shù)層面的服務(wù)提供(Servicedeliver),包括服務(wù)等級(jí)管理、持續(xù)性、可用性、能力和財(cái)務(wù)管理；二是基于運(yùn)營層面的服務(wù)支持(Servicesurpport),包括服務(wù)臺(tái)、事件管理、問題管理、配置管理、變更管理、發(fā)布管理。服務(wù)提供側(cè)重于主動(dòng)性、戰(zhàn)略性層面的管理問題，比如主動(dòng)做好規(guī)劃，設(shè)計(jì)好系統(tǒng)容量、系統(tǒng)性能，并發(fā)現(xiàn)問題。服務(wù)支持則針對(duì)日常事件處理，比如怎么建立服務(wù)臺(tái)；如何控制變更；系統(tǒng)遇到問題時(shí)，如何及時(shí)處理并恢復(fù)服務(wù)等。ITIL 無疑是一條可行的實(shí)現(xiàn) IT 控制的方法。隨后，他就在國外購買了一些原版資料，著手學(xué)習(xí)研

10、究。參觀、學(xué)習(xí)，與同行交流實(shí)際上，不少企業(yè)的 IT 部門主管與朱劍岷一樣面臨 SOX 法案挑戰(zhàn)。朱劍岷不失時(shí)機(jī)地與一些已經(jīng)開始實(shí)施的企業(yè)的 IT 主管進(jìn)行了交流，并參加相關(guān)培訓(xùn)。他還親自到早于攜程網(wǎng)上市的 UT 斯達(dá)康公司進(jìn)行了參觀考察。UT 斯達(dá)康公司是美國本土企業(yè)，去年就開始做 SOX 法案的相關(guān)工作，今年初完成前期工作。經(jīng)過一段時(shí)間實(shí)地考察，他發(fā)現(xiàn)，為了滿足 SOX 法案要求，控制流程往往都制訂得非常復(fù)雜。為了保證每個(gè)控制的有效性，必須要有充分證據(jù)證明這個(gè)控制是有效的，為此，對(duì)證據(jù)保留的要求也非常高，需要做許多證據(jù)保留工作。為了符合要求，部分企業(yè)通過一些不太有效的方式去做這些控制。比如，

11、SOX 法案要求每天查看服務(wù)器的狀態(tài)，為此，一些企業(yè)專門拿出一些記錄本，每天、每人在記錄本上“勾”一下，成為說明這個(gè)服務(wù)器正常的證據(jù)，這樣一大堆紙張就保存下來。當(dāng)然，這樣做沒有問題。但朱劍岷看完之后的第一個(gè)感覺是：“如果這樣做，肯定會(huì)很累。因?yàn)樗鼘?duì)人員的工作要求比較高?！焙髞?，攜程網(wǎng)找到了一些更加有效的方法，盡量采用自動(dòng)化控制方法，減少人工干預(yù)。比如，服務(wù)器一旦出現(xiàn)問題，可以及時(shí)發(fā)現(xiàn)，自動(dòng)處理，而且系統(tǒng)的自動(dòng)化記錄和保存，比人工查看的效率要高很多。請(qǐng)來咨詢公司目前，所有 SOX目一般都會(huì)請(qǐng)咨詢公司提供咨詢，攜程網(wǎng)也不例外。但是，攜程網(wǎng)只讓咨詢公司提供一些框架性的指導(dǎo)意見，比如哪些方面是控制重點(diǎn)

12、。至于具體的流程編制、文檔編寫、流程建立等都由攜程網(wǎng)自己做。對(duì)此，朱劍岷表示，ITIL 是一套流程化方法，一套指導(dǎo)性意見，在實(shí)施時(shí)，企業(yè)必須結(jié)合自身實(shí)際情況來設(shè)計(jì)流程。與咨詢公司相比，企業(yè) IT 部門的人可能更了解企業(yè)的業(yè)務(wù)流程。事實(shí)上，許多咨詢公司本身也是在學(xué)習(xí)之中，純粹讓他們來設(shè)計(jì)業(yè)務(wù)流程，不太合適。找到合適工具ITIL 強(qiáng)調(diào)的是人員、技術(shù)、流程三個(gè)因素的配合，技術(shù)工具是少不了的一個(gè)環(huán)節(jié)，可以加速實(shí)現(xiàn)IT 控制的過程。經(jīng)過比較選擇，攜程網(wǎng)最后選擇了福瑞杰公司的一套 IT 服務(wù)管理工具。朱劍岷認(rèn)為，這套工具比較符合 ITIL 的流程，但所有工具產(chǎn)品只提供基本功能，要想真正做好，還要花很大精力

13、做定制開發(fā)。動(dòng)手實(shí)施決定由自己動(dòng)手實(shí)施之后，今年初，從 SOX40 強(qiáng)求比較嚴(yán)格的幾個(gè)領(lǐng)域入手，攜程網(wǎng)開始逐步實(shí)施。目前，基本上建立了 ITIL 的事件管理、問題管理、變更管理三個(gè)重點(diǎn)流程，也在做信息安全方面的工作。不像一些企業(yè)把各個(gè)方面都做得很完善，攜程網(wǎng)只在重點(diǎn)方面花了比較大的精力來做。具體來說，在軟件開發(fā)方面，攜程網(wǎng)建立了自己的開發(fā)系統(tǒng)，并通過工具重新梳理一下，使開發(fā)控制更加細(xì)致了；重新規(guī)劃建設(shè)了系統(tǒng)監(jiān)控平臺(tái)。還成立了事件處理中心，也叫 ServiceHelpdesk（服務(wù)臺(tái)），配備了 78 個(gè)人做一線支持，負(fù)責(zé)接聽電話，處理一些簡單問題；隨后又安排一些人做二線支持，處理比較復(fù)雜或有些技

14、術(shù)難度的問題。通過 IT 服務(wù)管理工具平臺(tái)的技術(shù)支持，攜程網(wǎng)改變了以往一些關(guān)于故障處理的流程，提高了響應(yīng)時(shí)間和服務(wù)質(zhì)量。目前，內(nèi)部滿意度、故障處理的及時(shí)性都有提高；還能及時(shí)匯總一些問題，進(jìn)行統(tǒng)計(jì)分析，以便把工作重點(diǎn)集中在一些具有代表性的問題來處理。主抓變更控制對(duì)于 IT 控制來說，SOX404M 重要的要求有兩個(gè)，一個(gè)是變更控制，一個(gè)是安全。在變更控制方面，前期攜程網(wǎng)差不多花了 34 個(gè)月來設(shè)計(jì)和整理變更流程。朱劍岷表示，實(shí)現(xiàn)變更控制并不難，ITIL 提供了標(biāo)準(zhǔn)的變更管理流程的實(shí)施要求，按照要求一步一步往下做就可以了；其關(guān)鍵是如何把變更所涉及的所有部分形成一個(gè)完整的閉環(huán)流。舉例來說，攜程網(wǎng)軟件

15、開發(fā)分為三個(gè)子系統(tǒng)：1、需求管理系統(tǒng)，包括需求提出、討論、可行性設(shè)計(jì)、確認(rèn)等；2、軟件開發(fā)；3、軟件發(fā)布與實(shí)施。在需求管理上，增加了一個(gè)需求確認(rèn)的環(huán)節(jié)，這是為了避免需求表達(dá)不清，讓 IT 人員重新表達(dá)一遍，并讓用戶確認(rèn)一下。在軟件開發(fā)上，以前的變更控制不太符合 SOX404 勺具體要求，現(xiàn)在更細(xì)化一些了。從最終用戶驗(yàn)收一項(xiàng)來說，以前把系統(tǒng)測試完，就拿去直接運(yùn)行?，F(xiàn)在增加了一個(gè)環(huán)節(jié)，專門制作一個(gè)單獨(dú)的運(yùn)行環(huán)境，讓用戶測試，測試完之后再正式運(yùn)行。在發(fā)布管理上，原來不是很嚴(yán)格。依照嚴(yán)格的控制要求，每個(gè)變更還要有個(gè)回退計(jì)劃。如果發(fā)布錯(cuò)誤或變更不成功，保證有個(gè)計(jì)劃能把發(fā)布或變更退回去。對(duì)于成功的發(fā)布，可

16、以讓用戶做個(gè)評(píng)價(jià)，或者指出哪些地方需要改善等。現(xiàn)在已經(jīng)進(jìn)行改善。對(duì)于系統(tǒng)打補(bǔ)丁這件事來說，以前的做法基本符合控制要求，但 SOX404 的要求更高，如打補(bǔ)丁之前必須進(jìn)行備份，并驗(yàn)證備份是否可用，否則，備份無效，系統(tǒng)一旦崩潰，整個(gè)系統(tǒng)就完了。總之，目前的變更控制更加完善了。成立信息安全部信息安全是 SOX404 的一個(gè)重要控制要求，它的參考標(biāo)準(zhǔn)是 ISO17799。ISO17799 對(duì)公司的方方面面都提出了要求。原來攜程網(wǎng)公司自身有一套完善的信息安全戰(zhàn)略和體系，涉及到桌面清理、IT 方面，也涉及公司辦公環(huán)境的安全，如員工要佩戴身份識(shí)別卡等。由于信息安全不完全是 IT 方面的內(nèi)容，讓 IT 部門做

17、這個(gè)事情比較困難，因此，讓朱劍岷困擾的是由誰牽頭做這個(gè)事情。按口 SOX 法案的審計(jì)要求，信息安全部門必須獨(dú)立，如服務(wù)器的審計(jì)不能由服務(wù)器管理人員來做，否則，既當(dāng)運(yùn)動(dòng)員，又當(dāng)裁判，這是不合理的?？疾炝藝鴥?nèi)外的一些情況后，攜程網(wǎng)認(rèn)識(shí)到，需要成立一個(gè)公司層面的獨(dú)立機(jī)構(gòu)，總體負(fù)責(zé)信息安全工作。最近，攜程網(wǎng)專門成立了信息安全部，招聘了信息安全和審計(jì)方面的專業(yè)人士，總體負(fù)責(zé)公司級(jí)別的信息安全和審計(jì)，并從其他部門抽調(diào)一些人進(jìn)行配合。具體來說，由信息安全部牽頭，各部門再抽調(diào)一些人成立信息安全委員，共同負(fù)責(zé)制訂安全方針、策略、培訓(xùn)教育等工作。具體技術(shù)實(shí)施由 IT 部門負(fù)責(zé)。流程化運(yùn)作是下一步目標(biāo)盡管事件管理、

18、問題管理、變更管理流程已經(jīng)基本成型，但朱劍岷表示，流程的執(zhí)行還沒達(dá)到很高的標(biāo)準(zhǔn)。COBIT 除了提供控制框架之外， 還提供一套衡量標(biāo)準(zhǔn)， 像 CMMH 樣具有從 0 到 5 的成熟度等級(jí)。不同成熟度，具有不同要求。在中級(jí)水平上，它要求某些方面做得有序，有些方面可以是非流程化的；在更高水平的要求上，很多工作都要做得非常有序且制度化執(zhí)行。按照這個(gè)衡量標(biāo)準(zhǔn)，朱劍岷認(rèn)為，攜程網(wǎng)可能做了 30%勺工作，未來會(huì)逐步根據(jù)自身要求，優(yōu)化業(yè)務(wù)流程，盡量使運(yùn)行效率更高，更加符合 SOX 法案的要求。朱劍岷的四個(gè)想法采訪即將結(jié)束時(shí)，記者要求朱劍岷再總結(jié)一下實(shí)施經(jīng)驗(yàn)，朱劍岷謹(jǐn)慎而謙虛地表示：“我要好好想想，不能瞎說。最多只是一些想法，畢竟還沒有做完，說是成功經(jīng)驗(yàn)，不太好,可能對(duì)別人造成誤導(dǎo)。因?yàn)槊總€(gè)企業(yè)的情況不一樣，很難說我的經(jīng)驗(yàn)一定適用于其他企業(yè)?！闭J(rèn)真考慮之后，朱劍岷提出了四個(gè)想法：1、領(lǐng)導(dǎo)和員工的重視非常重要。在實(shí)施中，有的