应对SOX法案的挑战

  

现在，一股日益高涨的法规遵从浪潮正在向企业席卷而来，而这股浪潮目前还未达到高峰。近年来，不断暴露的公司治理丑闻在公众中引起了强烈反响，正是在这种局面下，新的政策法规应运而生。其中最著名的是2002年7月25日美国发布的《萨班斯-奥克斯莱法案》（《2002公众公司会计改革和投资者保护法案》，英文是Sarbanes－Oxley Act，简称SOX）。SOX法案的背景是2001年底的安然公司倒闭案以及2002年中的世界通信会计丑闻事件，投资人对上市公司财务报告出现空前的信任危机。布什总统称他自己所签署的SOX法案是自1933年的《证券法》和1934年的《证券交易法》以来美国资本市场最大幅度的变革。而最近频频曝光的信用卡信息被盗以及在保护个人隐私数据方面的种种失误可能预示着今后还会有更多法规等待出台。

 

SOX法案的内容分为两部分，一是主要涉及对会计职业及公司行为的监管，包括：建立一个独立的“公众公司会计监管委员会”，对上市公司审计进行监管；通过轮换制度以及咨询与审计服务不兼容等提高审计的独立性；对公司高管人员的行为进行限定以改善公司治理结构等；加强财务报告的披露；通过增加拨款和雇员等来提高证券交易委员会的执法能力。二是提高对公司高管犯罪的刑事责任，比如，规定销毁审计档案最高可判10年监禁、在联邦调查及破产事件中销毁档案最高可判20年监禁；为强化公司高管层对财务报告的责任，要求公司高管对财务报告的真实性宣誓，并就提供不实财务报告分别设定了10年或20年的刑事责任。这与持枪抢劫的最高刑罚一样了。

 

SOX法案虽然只针对在美国证券市场上市的公司，但是其影响力波及几乎世界上所有上市公司。因为全世界的其他证券交易所也在考虑和制定类似的法案。遵从SOX法案，要求上市公司的高管和业务、管理、技术等各个部门都要积极应对：首先，对公司高管而言，要求他们必须清楚其对于公司财务报告、信息披露和内部控制报告的责任，不遵从SOX所面临的法律后果和证券市场的风险，掌握公司各个部门遵循SOX进行内部控制的措施和执行情况，降低遵从SOX所花费的内外部成本等。其次，受SOX法案影响最大的是财务部门，对于财务部门尤其是CFO而言，要求能够提供真实、准确、可靠的财务信息，按时完成季度及年度的公司财务报告，建立和维护内部控制程序等。

 

此外，要看到，SOX涉及到所有影响财务报表生成的业务部门，其中最重要的是IT部门。SOX法案有一些条款是与IT直接相关的，包括Sec.302对财务报告的提供，Sec.404内控报告，Sec.409实时披露变更材料，Sec.802为审计和评审员保留相关的记录等。对IT部门而言，遵循SOX方案，要求IT部门要支持公司高管、财务和内外部审计人员的需求，以确保影响财务报表的业务流程、应用和信息基础设施的完整性、可用性和可审计性，保证内控报告和内控程序的完成，并能够对外部审计需求做出积极响应。

 

表1　与公司最相关的Sarbanes-Oxley法案要求概述

条款

要求

302

首席执行官与首席财务官必须确认财务报告。不当的确认可能导致对首席执行官与首席财务官的监禁处罚。

404

管理人员必须准备有关内部控制的文件、有效性评估及报告。 此外，外部审计人员必须提交对于内部控制的评估结果。

409

在紧急情况下，必须向公众披露公司真实的财务状况与运营变化

802

对于不遵守纪录保留策略或创建任何文件来“限制、阻碍或影响”现有或计划的联邦调查的行为，将予以刑事处罚。

 

为遵从SOX方案，保证会计账务流程、财务报告、财务应用和底层IT基础结构的完整性、可用性和准确性，要求IT在三方面有所准备：

 

一是优化财务流程，完善财务应用系统。在财务应用的基础上，实现财务数据整合和统计分析，引进全面预算管理、KPI绩效管理、财务预警等功能，保证企业提供准确、完整、实时、真实的财务报告。

 

二是建立内部控制体系并引入内控管理系统。SOX要求企业高管加强对内控程序和内控报告的责任，要求CEO和CFO能够证明年度和季度财务报告没有差错和遗漏，要求企业高层能够判断与业务过程相关的风险，以及这些风险对公司财务报告可能产生的影响。达到上述要求的核心内容首先是建立公司内部控制体系，加强公司的内部控制管理。IT是内控系统实施的关键，应建立起遵从SOX的企业内控管理系统。

 

内控管理系统至少应实现下述功能：能够创建和记录企业内部业务流程，使公司的CEO、CFO、员工和审计人员能够实时识别、测试并监视内部控制与流程，确保业务流程根据内控标准执行；一旦系统发现任何违反行为，将向适当人员自动报警；能够收集并监视控制信息，使管理人员快速查看流程、控制和风险的实时状态，提示管理人员注意控制目标是否实现；控制和监视用户对财务应用和流程的访问等等。

 

三是加强IT治理。SOX法案要求企业的内控活动，不论是人还是信息系统的操作流程都必须明白地定义并保存相关记录，对审计过程也有存档的要求。因此，对影响财务报告的信息系统的IT控制，也是SOX内部控制的核心组成之一。这就要求IT完善治理机制，进行IT内部控制和信息系统审计，以保证达到SOX对IT的基本要求。

 

IT治理是公司治理的一个有机组成部分。国际上已经形成一些较为完整的IT治理规范，如ITIL（信息技术基础结构库）、COBIT（信息和相关技术的控制目标）、ISO17799（信息安全管理标准）等。其中，COBIT是信息系统审计与控制协会提出的IT治理的控制框架。ITSM（IT服务管理）的标准ITIL则与COBIT紧密一致，通过IT服务管理流程与产品，能够实现IT的规范化管理，记录和控制IT的基本信息，包括对网络、硬件、网页、应用、防火墙、信息系统访问控制权限、访问密码等信息，保证财务报告的底层IT基础结构的业务持续，帮助公司更有效监督和管理IT风险。

 

惠普利用其自身为遵守SOX法规而内部总结的专业知识、工具、方法与技术，可以帮助大型企业遵守这些法律法规，保持“持续的法规遵从”。在惠普内部，其Sarbanes-Oxley法规遵从解决方案建立在基于标准的业务与IT流程之上。这一内控管理系统方案包括利用惠普业务流程管理解决方案，来迅速评估和记录业务流程，并为修补工作制定计划；使用ITSM来评估与支持基于基础设施的IT控制、安全及业务连续性与可用性；通过HP OpenView管理软件来实现自动化管理和控制。这些解决方案包括用于进行用户供应、责任分配、基于策略的安全用户访问、可审计的HP OpenView身份管理解决方案，惠普资产管理、配置变更管理解决方案。这一系列的内控管理系统方案能通过对IT系统和应用进行基于策略的自动管理，来有效防止未经授权的变更和应对威胁。

 

具体内控管理系统的内容如下表：

HP针对Sarbanes-Oxley的内控管理系统

Sarbanes-Oxley监控目标

惠普内控管理系统解决方案

服务变更管理

HP OpenView IT服务管理解决方案包括服务支持流程，能够自动化并加强变更管理流程，提供对审计情况的全面监控。

控制并监视用户对财务流程与应用的访问

HP OpenView身份管理解决方案与惠普安全服务能够提供用户供应、责任分配、基于策略的安全用户访问以及可审查的用户跟踪，以此帮助维护IT系统与应用的保密与安全性。

资产管理

HP OpenView资产管理解决方案能实现IT资产全生命周期的管理功能，提高资产利用率，为软件许可等符合法规要求提供有力的审计证明，确保在节省成本的基础上完全符合相关法律法规的要求。

运营管理

HP OpenView Service Driven Operations解决方案，能够帮助维护支持财务系统的网络、系统与应用的可用性与性能。

配置管理

HP OpenView配置变更管理解决方案能够通过对IT系统与应用进行基于策略的自动管理，来防止未经授权的变更与应对威胁。

财务流程完整性

HP OpenView业务服务管理解决方案利用财务应用工作流来监控和维护数据完整性

 

更重要的是，凭借惠普管理解决方案在基础架构管理、资产管理、身份管理、IT服务管理等等领域的成功应用，惠普适时推出了OpenView Compliance Manager。该解决方案的独特之处在于它提出一种关于法规符合性评测的创新举措：将广为接受的管理概念（如关键性能指标/KPI）与风险管理最佳实践的指标相结合，这些最佳实践由公认的框架和标准（如COSO、COBIT、ITIL及ISO17799）推荐。这种方法推出一种将各种性能、风险管理和法规符合性评测措施进行统一的标准。

 

另外，针对法案第802条：记录保留，惠普提供的信息生命周期管理(ILM)解决方案，通过自动、基于参考的存储管理，加强可靠的电子邮件与数据管理，使企业只需很少甚至无需人工干预就能根据业务策略或规定来有效地放置、移植、保护、存档及删除数据。