论文部分内容阅读
摘要:SOX法案的实施对IT部门的规范化管理提出了直接的要求。本文阐述了SOX法案对IT部门的审计要求,对IT部门应如何应对这一挑战,整合IT资源,规范IT流程,提高核心竞争力做了一些探讨性分析。为国内企业IT的运营维护提供了一种思路。
关键词:审计;SOX;整合;流程管理
中图分类号:TP3文献标识码:A 文章编号:1009-3044(2007)04-10924-02
1 引言
由于安然事件以及一系列上市公司的财务欺诈行为,美国金融市场监管者进开始依靠制度制衡来解决上市公司的诚信危机。2002年7月,美国颁布了《萨班斯法案》(Sarbanes-Oxley Act,简称SOX法案)用以规范在美国公开发行股票的上市公司的财务行为。
SOX法案以保护公众公司投资者的利益为目的,正如法案的第一句话所说“遵守证券法律以提高公司披露的准确性和可靠性,从而保护投资者及其他目的”。因而,SOX法案的主要内容之一就是明确公司管理层责任、尤其是对股东所承担的受托责任,同时,加大对公司管理层犯罪的刑事责任;另一个重点就是加强对会计职业的监管,提高财务报告的可靠性。其逻辑依据是:提高公众公司财务报告及信息披露的及时性与准确性,可以有效地保护公众公司投资者的利益;而强化公司高管的财务报告责任、提供外部审计的独立性等,将有助于提高公司财务报告及信息披露的质量。
该法案中,以第404节条款的影响最大,第404节条款规定两个必备的内容:一是公司管理层要对公司内控和财务会计报表的制定和编制的有效性、真实性负责,二是必须聘请外部审计师对公司内控和财务报表进行独立审计并出具审计结果。SOX法案对IT服务的成本和质量提出了非常直接的挑战。
SOX法案的正式生效是2002年7月30日,在2005年7月15日以后,SOX法案第404条款对在美国上市的外国公司同样具有约束作用,中国在美国上市的公司也不例外。应当说,该法案对企业的影响已经开始发挥。许多公司开始了治理模式的变革,对IT治理呼声也日益高涨。
本文讨论了作为美国上市公司,包括是其海外分公司的IT部门,如何应对这种变革,并将其转化为发展机遇,合理规划IT架构,规范业务流程,规范内部流程。从而更好的提高部门核心竞争力。这对于越来越多赴美上市的中国企业而言,同样具有借鉴意义。
2 SOX法案对公司IT部门的要求
SOX法案会定期要求公司的责任委员会(COSO)提供财务以及业务流程报告,这个委员会会制定出信息及相关技术的控制目标(COBIT),往往以控制矩阵(Control Matrix)的形式表示。IT部门按照控制矩阵开展日常业务,并提供相关日志记录。它们的关系如图一所示。
图1
由图可以看出,IT基础架构库(ITIL)在SOX法案的实施中占有极为重要的地位。IT部门依据它实施SOX控制。ITIL是一种用来提升IT服务质量,降低IT服务成本,协调IT服务部门内部运作,改善IT部门与业务部门的沟通,帮助企业对信息化系统的规划、研发、实施和运营进行有效管理的方法。ITIL结合企业的环境、组织结构、IT资源和管理流程的特点,从流程、人员和技术三方面来规划企业的IT结构。它强调将企业的运营目标、企业需求与IT服务的提供相协调一致。只有一个功能和结构都很好的IT基础架构库才能满足IT方面的控制目标。它应当有如下特点:
(1)以流程控制为基础来管理IT服务;
(2)拥有足够的技术能力对COBIT控制目标进行监控;
(3)能够确保数据准确性和IT服务的可靠性;
(4)能够规划与企业经营战略相对应的IT战略;
(5)提供支持董事会指定战略的信息。
3 IT业的机遇与挑战
由上述可以看出,SOX的实施是与整合IT与企业业务,规范IT流程紧密联系在一起的。当前英国、荷兰、加拿大和美国是采用ITIL最积极的地区,但ITIL在世界上其它地方的使用也在迅速增长。由于实现整个ITIL规范需要很长的时间,所以最初常常看到使用的只是部分实践。在ITIL实现中这些现象都不罕见—―任何成功的实践实现都要求付出时间和管理。另外,ITIL是一个覆盖了IT环境运行维护中很多其它方面(如系统管理、网络管理和安全性)的库。这一服务管理规范提供了一个框架,IT和终端用户可以根据自己的能力定义自己所要求的不同服务性能水平。客户们通常采用一种持续的流程改进战略逐步实现这些流程。
ITIL与COBIT类似,是每个企业依据自身的详细需求量身定做,以实现企业IT部门的战略目标和流程。ITIL的核心流程和模块,主要包括:
(1)IT服务支持(IT Service Support) :
I.突发事件管理(Incident Management)
II.问题管理(Problem Management)
III.变更管理(Change Management)
IV.配置管理(Configuration Management)
V.发布管理(Release Management)
VI.服务台(Service Desk)
(2)IT服务提供(IT Service Delivery):
I.服务级别管理(Service Level Management)
II.IT服务财务管理(Financial Management for IT Services)
III.IT服务连续性管理(IT Service Continuity Management)
IV.能力管理(Capacity Management)
V.可用性管理(Availability Management)
将ITIL的流程和COBIT的控制目标有机地结合可以应对SOX法案带来的挑战,帮助企业改进IT流程,实现业务对IT的需求。
4 在公司的应用
以某美国上市公司为例,该公司总部位于美国,在中国、新加坡、马来西亚、日本和德国都有其分公司。为了应对SOX外部审核,总部IT部门依据业务的重要性制定了COBIT控制目标,包括五大类:
(1)用户账号管理(User Access Management),控制目标是与财务相关的系统中所有和用户账号相关的操作必须有正确的流程,如批准开账户,定期对所有账号进行评估,冻结长期不用的账号,及时删除离职用户的账号等等。
(2)分块责任管理(Segregation of Duties),控制目标是COBIT(1)的相关流程,使其能得到合理设计。
(3)变更管理(Change Management),控制目标是IT现有系统的变更都必须有正确的流程,设立了变更管理委员会(CCB)。
(4)安全管理(Security Management),控制目标是涉及到公司数据安全的IT设施,包括防火墙的设置,数据中心的口令,保安部的监控。
(5)数据管理(Data Management),控制目标是数据的备份管理和预警措施,以及相关的日志。
根据上述控制目标,IT部门实施了ITIL,规划了用于流程控制和提供IT服务的平台,保证了总部和分公司的信息一致性。并在全公司范围内开展了广泛的IT教育。从SOX审计结果看,该公司顺利通过了内部审计和外部审计,公布的审计报告对股票市场产生了积极的影响。
6 结论
实施SOX的过程就是规范IT管理的过程。IT部门可以在这一过程中使相关流程都规范化,这会使得管理周期变长,但更好的控制了企业IT资源,并能为企业决策者提供了充分信息,保证企业从IT投资中获益。这对国内公司IT部门的运营维护而言,同样有现实的借鉴意义。
参考文献:
[1]周蓉蓉.ITIL:“难”但需要做[N]. 计算机世界,2006.
[2]陈琦.SOX法案:悬于CIO头顶的达摩克利斯之剑[N]. 计算机世界,2005.
本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。
关键词:审计;SOX;整合;流程管理
中图分类号:TP3文献标识码:A 文章编号:1009-3044(2007)04-10924-02
1 引言
由于安然事件以及一系列上市公司的财务欺诈行为,美国金融市场监管者进开始依靠制度制衡来解决上市公司的诚信危机。2002年7月,美国颁布了《萨班斯法案》(Sarbanes-Oxley Act,简称SOX法案)用以规范在美国公开发行股票的上市公司的财务行为。
SOX法案以保护公众公司投资者的利益为目的,正如法案的第一句话所说“遵守证券法律以提高公司披露的准确性和可靠性,从而保护投资者及其他目的”。因而,SOX法案的主要内容之一就是明确公司管理层责任、尤其是对股东所承担的受托责任,同时,加大对公司管理层犯罪的刑事责任;另一个重点就是加强对会计职业的监管,提高财务报告的可靠性。其逻辑依据是:提高公众公司财务报告及信息披露的及时性与准确性,可以有效地保护公众公司投资者的利益;而强化公司高管的财务报告责任、提供外部审计的独立性等,将有助于提高公司财务报告及信息披露的质量。
该法案中,以第404节条款的影响最大,第404节条款规定两个必备的内容:一是公司管理层要对公司内控和财务会计报表的制定和编制的有效性、真实性负责,二是必须聘请外部审计师对公司内控和财务报表进行独立审计并出具审计结果。SOX法案对IT服务的成本和质量提出了非常直接的挑战。
SOX法案的正式生效是2002年7月30日,在2005年7月15日以后,SOX法案第404条款对在美国上市的外国公司同样具有约束作用,中国在美国上市的公司也不例外。应当说,该法案对企业的影响已经开始发挥。许多公司开始了治理模式的变革,对IT治理呼声也日益高涨。
本文讨论了作为美国上市公司,包括是其海外分公司的IT部门,如何应对这种变革,并将其转化为发展机遇,合理规划IT架构,规范业务流程,规范内部流程。从而更好的提高部门核心竞争力。这对于越来越多赴美上市的中国企业而言,同样具有借鉴意义。
2 SOX法案对公司IT部门的要求
SOX法案会定期要求公司的责任委员会(COSO)提供财务以及业务流程报告,这个委员会会制定出信息及相关技术的控制目标(COBIT),往往以控制矩阵(Control Matrix)的形式表示。IT部门按照控制矩阵开展日常业务,并提供相关日志记录。它们的关系如图一所示。
图1
由图可以看出,IT基础架构库(ITIL)在SOX法案的实施中占有极为重要的地位。IT部门依据它实施SOX控制。ITIL是一种用来提升IT服务质量,降低IT服务成本,协调IT服务部门内部运作,改善IT部门与业务部门的沟通,帮助企业对信息化系统的规划、研发、实施和运营进行有效管理的方法。ITIL结合企业的环境、组织结构、IT资源和管理流程的特点,从流程、人员和技术三方面来规划企业的IT结构。它强调将企业的运营目标、企业需求与IT服务的提供相协调一致。只有一个功能和结构都很好的IT基础架构库才能满足IT方面的控制目标。它应当有如下特点:
(1)以流程控制为基础来管理IT服务;
(2)拥有足够的技术能力对COBIT控制目标进行监控;
(3)能够确保数据准确性和IT服务的可靠性;
(4)能够规划与企业经营战略相对应的IT战略;
(5)提供支持董事会指定战略的信息。
3 IT业的机遇与挑战
由上述可以看出,SOX的实施是与整合IT与企业业务,规范IT流程紧密联系在一起的。当前英国、荷兰、加拿大和美国是采用ITIL最积极的地区,但ITIL在世界上其它地方的使用也在迅速增长。由于实现整个ITIL规范需要很长的时间,所以最初常常看到使用的只是部分实践。在ITIL实现中这些现象都不罕见—―任何成功的实践实现都要求付出时间和管理。另外,ITIL是一个覆盖了IT环境运行维护中很多其它方面(如系统管理、网络管理和安全性)的库。这一服务管理规范提供了一个框架,IT和终端用户可以根据自己的能力定义自己所要求的不同服务性能水平。客户们通常采用一种持续的流程改进战略逐步实现这些流程。
ITIL与COBIT类似,是每个企业依据自身的详细需求量身定做,以实现企业IT部门的战略目标和流程。ITIL的核心流程和模块,主要包括:
(1)IT服务支持(IT Service Support) :
I.突发事件管理(Incident Management)
II.问题管理(Problem Management)
III.变更管理(Change Management)
IV.配置管理(Configuration Management)
V.发布管理(Release Management)
VI.服务台(Service Desk)
(2)IT服务提供(IT Service Delivery):
I.服务级别管理(Service Level Management)
II.IT服务财务管理(Financial Management for IT Services)
III.IT服务连续性管理(IT Service Continuity Management)
IV.能力管理(Capacity Management)
V.可用性管理(Availability Management)
将ITIL的流程和COBIT的控制目标有机地结合可以应对SOX法案带来的挑战,帮助企业改进IT流程,实现业务对IT的需求。
4 在公司的应用
以某美国上市公司为例,该公司总部位于美国,在中国、新加坡、马来西亚、日本和德国都有其分公司。为了应对SOX外部审核,总部IT部门依据业务的重要性制定了COBIT控制目标,包括五大类:
(1)用户账号管理(User Access Management),控制目标是与财务相关的系统中所有和用户账号相关的操作必须有正确的流程,如批准开账户,定期对所有账号进行评估,冻结长期不用的账号,及时删除离职用户的账号等等。
(2)分块责任管理(Segregation of Duties),控制目标是COBIT(1)的相关流程,使其能得到合理设计。
(3)变更管理(Change Management),控制目标是IT现有系统的变更都必须有正确的流程,设立了变更管理委员会(CCB)。
(4)安全管理(Security Management),控制目标是涉及到公司数据安全的IT设施,包括防火墙的设置,数据中心的口令,保安部的监控。
(5)数据管理(Data Management),控制目标是数据的备份管理和预警措施,以及相关的日志。
根据上述控制目标,IT部门实施了ITIL,规划了用于流程控制和提供IT服务的平台,保证了总部和分公司的信息一致性。并在全公司范围内开展了广泛的IT教育。从SOX审计结果看,该公司顺利通过了内部审计和外部审计,公布的审计报告对股票市场产生了积极的影响。
6 结论
实施SOX的过程就是规范IT管理的过程。IT部门可以在这一过程中使相关流程都规范化,这会使得管理周期变长,但更好的控制了企业IT资源,并能为企业决策者提供了充分信息,保证企业从IT投资中获益。这对国内公司IT部门的运营维护而言,同样有现实的借鉴意义。
参考文献:
[1]周蓉蓉.ITIL:“难”但需要做[N]. 计算机世界,2006.
[2]陈琦.SOX法案:悬于CIO头顶的达摩克利斯之剑[N]. 计算机世界,2005.
本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。