文档介绍:挑战SOX法案404条款十大难题
身份识别及访问管理系统
●侯继涛简介
具有十四年IT工作经验,于1997年7月加入CA中国公司,现任CA中国公司北方区技术经理,负责CA公司在中国北方地区的产品和方案的售前技术支持工作。
在CA公司全面负责IT治理解决方案的研究,作为项目的方案设计负责人,参与并组织了多个金融、电信、企业和政府行业的IT服务管理及IT治理项目,具有丰富的ITIL和IT治理方案的实践经验。
在日常的生产经营活动中,企业需要遵守的法规有很多。但一谈到法规遵从,许多人马上想到的就是萨班斯(SOX,Sarbanes-Oxley)法案。实际上,萨班斯法案已经成为许多企业感受法规遵从方面的压力中,最为直接和迫切的一个。
企业眼中的紧箍咒
于2002年颁布的萨班斯法案,其目的是确保财务状况报告准确和公开,以重塑公众对公司营业报告的信任。同以往的一些法规要求相比,萨班斯法案对企业管理者所需要承担的法律责任规定更加严格。法案要求,上市公司的管理者必须为公司对外披露的财务报告负责,一旦出现类似安然事件的情况,公司的管理者甚至可能会被判入狱。因此许多企业的
CEO、CFO等高层管理人员对此法案高度重视,千方百计地保证企业满足萨班斯法案的要求。
在萨班斯法案的众多条款中,最重要的就是404条款,该条款特别针对财务报告制作中的内部控制行为加以约束。在美国,大多数在2004年11月15日之后报告财务结果的公司,都被要求从外部审计机构获得已经满足404条款的证明,而非美国本土公司的遵守日期则约定在2006年7月15日。
但已经执行的情况表明,40%在美国上市的海外公司在原定期限前难以达到404条款的要求,这也是美国证券交易委员会(SEC)准备针对在美国上市的海外公司再次延迟一年执行404条款的重要原因之一。
众多企业正根据404条款实施调整,这些企业在遵从404条款方面是否有共性的地方呢?是否有一些现成的解决方案可供借鉴,从而缩短遵从404条款的实施时间呢?
遵从SOX404条款的十大难题
事实上,许多IT审计机构发现,在遵守情况分析及测试程序中,出现了许多比较普遍的问题。
在一次由国际系统审计与控制协会(ISACA)主持召开的座谈会上,一位四大会计师事务所中的IT审计合伙人提出一个清单,列举出了企业在遵从404条款中的十大常见问题。
一、系统文档与实际流程不匹配。在许多情况下,企业的内部控制文档还存在,但是已经过期,无法反映当前的流程与控制要求。企业在对IT运作、管理的流程进行梳理化的过程中,会形成多种流程内控文档,例如按照Cobit的控制活动将企业的流程规划为五大类的活动,或按照ITIL的最佳实践规范将企业的IT服务规划为多个独立并相互关联的管理流程。这些流程的建立并不是一蹴而就的,应该是按照其特定的生命周期进行不断的改进,并且实现人、流程、技术的完整结合。但是企业往往只把该类活动当作一个项目的输出,没有将这些流程不断地更新、完善,也没有将这些流程同步到流程控制文档中。
二、不存在的或者不遵守人工处理过程的规程。许多规程或者控制,仅仅作为管理存在于企业的日常运营中