淺談SOX法案遵循與IT治理

【摘要】 隨著薩班斯（SOX）法案內(nèi)控審計要求的出臺，提升了IT控制在企業(yè)內(nèi)部控制中的重要性，法案第404條款的合規(guī)性實踐，展示了改善IT治理和判斷IT治理成效的一種有效方法。由此產(chǎn)生的方法論和合規(guī)性實踐，對IT治理的理論發(fā)展和實踐很有借鑒意義。

【關(guān)鍵詞】 薩班斯法案 404條款 內(nèi)部控制 IT治理

一、SOX法案的緣起及主要要求

2001年底，美國最大的能源交易商——安然公司財務(wù)造假案爆發(fā)并申請破產(chǎn)，震驚世界。其外部審計師——原五大會計師事務(wù)所之一的安達信會計師事務(wù)所也因?qū)徲嬍『头恋K司法遭到倒閉的命運。事件的硝煙還未散盡之時，又接連爆發(fā)了施樂、世通等大公司的財務(wù)造假案。全球互聯(lián)網(wǎng)泡沫破滅的影響加上這一系列的財務(wù)丑聞產(chǎn)生了多米諾骨牌效應(yīng)，一時引發(fā)人們對美國資本市場的信任危機。于是，在各方的敦促之下，美國國會參眾兩院加快了立法進程，力圖彌補美國資本市場存在的制度性缺陷。2002年7月25日，美國國會討論通過了《2002年公眾公司會計改革和投資者保護法案》，即《2002年薩班斯—奧克斯利法案》（Sarbanes-Oxley法案，簡稱薩班斯法案或SOX法案）。2002年7月30日經(jīng)美國總統(tǒng)布什簽署，正式生效。

簡單地講，薩班斯法案是一部由美國頒布，涉及會計職業(yè)監(jiān)管、公司治理、證券市場監(jiān)管等方面改革的重要法律，包括在美國注冊上市公司和在外國注冊而于美國上市的公司，都必須遵守該法案。

美國出臺薩班斯法案，以一部法案將公司治理的風險轉(zhuǎn)嫁到上市公司的執(zhí)行經(jīng)理人身上，主要是公司的首席執(zhí)行官（CEO）、首席財務(wù)官（CFO），還有外部的中介機構(gòu)、會計師、律師等。

《SOX法案》的主要要求：

法案共分為11個部分，由若干個獨立的章節(jié)組成。該法案主要強化了上市公司財務(wù)信息批露義務(wù)，加大了公司的財務(wù)報告責任；要求公司進行管理體制的改革，建立有效的內(nèi)部控制體系；加重了違法行為的處罰措施，明確嚴重的違法所適用的刑法；強調(diào)并加強了審計委員會的角色和獨立性；提出了更多的關(guān)于審計師獨立性的約束。其中對上市公司有重大影響的主要是第302節(jié)、第906節(jié)和第404節(jié)。

1）第302節(jié)

要求公司的CEO和CFO在財務(wù)報告上簽字，保證財務(wù)報告不存在重大錯報、漏報，在所有重大方面公允地反映公司在該報告期末的財務(wù)狀況及該報告期內(nèi)的經(jīng)營成果。同時要求CEO、CFO對相關(guān)批露的內(nèi)部控制有效性進行評價。

2）第906節(jié)

明確規(guī)定上市公司管理層對舞弊和欺詐負有刑事責任。

3）第404節(jié)

404節(jié)核心內(nèi)容是嚴格界定了上市公司管理層對公司內(nèi)部控制需承擔的責任和義務(wù)。

A.公司的年報中增加管理層關(guān)于公司內(nèi)部控制情況的報告。該報告包括：明確闡明公司管理層有責任建立和保持一套完整的與財務(wù)報告相關(guān)的內(nèi)部控制系統(tǒng)和程序；管理層應(yīng)對財務(wù)年度期末與公司財務(wù)報告相關(guān)的內(nèi)部控制系統(tǒng)及程序的有效性做出評價。公司全體管理層對報告負責。

B.公司外部審計師對管理層的內(nèi)控報告出具鑒證報告。

薩班斯法案被認為是美國自20世紀30年代頒布財務(wù)規(guī)則以來，最為嚴厲和企業(yè)必須遵守的財務(wù)法則。顯然，404條款對公司內(nèi)部控制情況作出嚴厲要求是為了使公眾更易于察覺到公司的欺詐行為，并確保公司財務(wù)報告的可靠性。

二、SOX遵循與IT治理

SOX法案的出臺，對企業(yè)的公司治理、IT治理及IT內(nèi)控提出了更嚴格的要求。SOX法案的本質(zhì)是要求公司完善治理結(jié)構(gòu)和內(nèi)部控制框架，以實現(xiàn)公司運營過程中全方位的風險管理。

根據(jù)SOX法案的規(guī)定，在美上市企業(yè)必須建立內(nèi)部控制體系，包括控制環(huán)境、風險評估、控制活動、信息溝通和監(jiān)督五個部分。內(nèi)部控制活動的記錄不僅要細化到諸如產(chǎn)品付款時間之類的細節(jié)，而且對重大缺陷都必須予以披露。法案中最嚴苛、最復(fù)雜的404條款明確規(guī)定了管理層應(yīng)承擔設(shè)立和維持一個應(yīng)有的內(nèi)部控制結(jié)構(gòu)的職責。

同時，薩班斯法案增加了審計師對信息系統(tǒng)的審計，要求審計師必須了解業(yè)務(wù)如何穿過系統(tǒng)，而不是繞過系統(tǒng)。審計師必須了解業(yè)務(wù)流程，評價IT應(yīng)用控制與一般控制的設(shè)計及效果。評價IT控制設(shè)計效果，確定這些控制設(shè)計是否適當?shù)貙崿F(xiàn)相關(guān)目標。實施IT控制執(zhí)行效果測試。

因此，薩班斯302、404以及409等條款對公司的要求，使得IT治理在公司治理中的作用日益凸現(xiàn)。目前越來越多的企業(yè)依靠信息系統(tǒng)支撐業(yè)務(wù)運作，沒有相應(yīng)IT治理機制的公司治理，是無法滿足薩班斯的嚴格要求的。比如花旗銀行等美國大金融企業(yè)已經(jīng)引進或正在引進IT治理機制。

如圖1所示，說明了SOX要求下，建立內(nèi)部控制體系，IT治理與SOX審計的關(guān)系：

SOX要求：所有對財務(wù)報告有影響的人員操作、IT系統(tǒng)操作都應(yīng)有明確的定義，并對這些定義進行記錄，同時對這些操作要有過程審計記錄（操作過程包括：事前、事中、事后）。整個企業(yè)內(nèi)控涉及三個范疇：建立內(nèi)控體系（人和系統(tǒng)）、加強IT內(nèi)控（過程審計）、優(yōu)化財務(wù)流程和財務(wù)應(yīng)用系統(tǒng)。從這三個范疇的焦點可以看出，三個范疇都與IT系統(tǒng)和操作流程有關(guān)。因此在符合SOX要求的企業(yè)內(nèi)部控制過程中，IT控制成為企業(yè)內(nèi)部控制的重要組成部分。

三、IT治理途徑：選擇合適的內(nèi)控框架并實施

企業(yè)欲建立和評價自己的內(nèi)部控制制度必須有一個參照標準，這個標準應(yīng)是國際普遍認可的，方可達到完善和規(guī)范。法案并沒有規(guī)定公司必須選擇什么樣的內(nèi)控框架，需要企業(yè)自己抉擇。

國際上比較有名的內(nèi)部控制框架有美國的COSO、加拿大的COCO、英國的Cadbury、國際內(nèi)部審計師協(xié)會的SAC等，它們從不同的角度剖析公司的經(jīng)營管理活動，為營造良好的內(nèi)控框架提供了一系列趨于一致的政策和建議。PCAOB（PublicCompanyAccountingOversightBoard，美國公眾公司會計監(jiān)督委員會）于2004年推薦使用COSO框架，隨后獲得了SEC（SecuritiesandExchangeCommission，美國證券交易委員會）的批準。COSO框架得到了包括SEC、公司管理者、投資者、債權(quán)人及專家學者的普遍認可，國內(nèi)外許多公司都依據(jù)這個框架建立了內(nèi)控系統(tǒng)。筆者公司的內(nèi)部控制也使用的是該框架。

下面簡要介紹一下有關(guān)COSO框架的內(nèi)容及其理解要點：

4.1 COSO框架關(guān)于內(nèi)部控制的定義

現(xiàn)行的COSO內(nèi)部控制框架是指COSO委員會在1992年發(fā)布的內(nèi)部控制——整體框架。其中，對內(nèi)部控制的定義為：內(nèi)部控制是由企業(yè)董事會、管理層和其他員工實施的，為營運的有效性和效率、財務(wù)報告的可靠性、相關(guān)法令的遵循性等目標的達成而提供合理保證的過程。2004年，COSO委員會進一步將內(nèi)部控制的涵義拓寬為企業(yè)風險管理，但是企業(yè)風險管理整體框架實際上并沒有取代內(nèi)部控制整體框架。

4.2 COSO框架的三個維度

COSO框架提出了內(nèi)部控制制度的三維結(jié)構(gòu)（見圖2）。第一維度是內(nèi)部控制目標，即運營的有效性和效率、財務(wù)報告的可靠性、相關(guān)法令的遵循性。第二維度要求公司在部門單位層次和業(yè)務(wù)流層層次兩個層次上對內(nèi)部控制進行評價。第三維度包含了內(nèi)部控制的五大要素：控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)控。三個維度構(gòu)成了內(nèi)部控制整體框架，即要求對于給定目標（如財務(wù)報告可靠性），管理層必須在部門單位層次和業(yè)務(wù)流層層次對內(nèi)部控制的五大要素進行評估。

4.3理解COSO內(nèi)控框架的要點

A.COSO對內(nèi)部控制的定義是一個過程，而不是結(jié)果。過程與結(jié)果之間有一定的對應(yīng)性，但是結(jié)果的失敗，比如產(chǎn)生了目標偏差，并不代表過程是有缺陷的，相反，結(jié)果達成了目標，也不代表控制過程是有效的。因此，公司應(yīng)注意在評價內(nèi)控有效性時，針對的是內(nèi)控過程。

B.內(nèi)部控制系統(tǒng)是為基本的業(yè)務(wù)需求而存在的。COSO框架認為內(nèi)部控制是內(nèi)嵌在組織的業(yè)務(wù)流程之中的，而不是獨立的附加在公司已有系統(tǒng)之上的。

C.內(nèi)部控制制度的設(shè)立應(yīng)是靈活的、可修改的。COSO框架并不是一個剛性的規(guī)定，它承認不同的組織可以根據(jù)自己的情況選擇不同的控制方法。此外，內(nèi)控制度的設(shè)計應(yīng)具有靈活性，始終保持其在動態(tài)環(huán)境下的有效性。

D.內(nèi)部控制提供的是合理的保證。COSO框架承認內(nèi)部控制的局限性，即不論內(nèi)控系統(tǒng)的設(shè)計和運行多么完善，亦只能提供合理范圍內(nèi)的保證。內(nèi)部控制失敗（內(nèi)控目標未能實現(xiàn)），并不意味著系統(tǒng)是失效的。

E.內(nèi)部控制框架各要素之間并非簡單的線性連續(xù)關(guān)系。內(nèi)部控制框架的5要素之間相互聯(lián)結(jié)、協(xié)同作用、相互影響，構(gòu)成一個對環(huán)境動態(tài)反應(yīng)的有機整體。

四、本單位SOX遵循與IT治理的做法和體會

按照SOX法案的相關(guān)要求，為應(yīng)對SOX審計，國內(nèi)通信運營商至少要滿足以下基本條件：

首先，在公司治理方面，上市公司必須建立獨立的審計委員會；其次，針對302條款，公司管理層應(yīng)該設(shè)計所需的內(nèi)部控制；第三，針對404條款，公司管理層應(yīng)該有保證內(nèi)部控制系統(tǒng)及相應(yīng)控制程序充分有效的責任；第四，在審計方面，增加審計師對信息系統(tǒng)的審計，要求審計師必須了解業(yè)務(wù)系統(tǒng)的運作。

本單位作為國內(nèi)著名的移動通信運營商，從2006年開始了SOX遵循與IT治理工作，并連續(xù)8年順利通過SOX審計。以下是我們對SOX遵循與IT治理的一些做法和體會，與大家分享：

4.1領(lǐng)導重視，全員參與，建立和不斷強化SOX遵循觀念

SOX法案在強化管理層對內(nèi)部控制的責任方面，強調(diào)了上層管理人員的重視與從上到下主導式的建立方式，這在很大程度上保證了內(nèi)部控制工作的開展和落到實處。然而法案遵循是涉及到企業(yè)各個經(jīng)營方面、各個環(huán)節(jié)、各個流程、各個崗位的，內(nèi)部控制的對象可以是財務(wù)資源、人力資源、信息資源、客戶關(guān)系資源等。法案遵循不是一朝一夕之事，只有全員參與，多方配合，建立覆蓋公司全部業(yè)務(wù)和運作流程的控制系統(tǒng)，確保所有員工理解和執(zhí)行相關(guān)制度，切實履行職責，才能真正建立完善有效的內(nèi)部控制體系。通過宣貫，我公司各級員工充分認識到了這一點，將SOX遵循工作常態(tài)化，并不定期舉辦SOX培訓或講座，不斷強化SOX遵循觀念。

4.2制定內(nèi)部控制制度和相關(guān)實施細則

內(nèi)部控制是一個過程，它包括一整套制度和一系列行為以及相應(yīng)實施的各種管理活動。幾年來，公司以SEC相關(guān)監(jiān)管要求和COSO內(nèi)部控制框架為基礎(chǔ)，按照集團公司的統(tǒng)一部署，從控制環(huán)境、風險評估、控制活動、信息和溝通、監(jiān)控五個方面進行設(shè)計、執(zhí)行和評價，制定了本公司的《內(nèi)部控制手冊》、《內(nèi)部控制矩陣》、《內(nèi)部控制手冊和矩陣維護管理辦法》、《SOX內(nèi)控小組工作制度》等制度和相關(guān)實施細則。指定了各業(yè)務(wù)流程責任人進行職責分工，且不相容職責不得由同一人兼任，并通過組織內(nèi)控自我評估（集團內(nèi)部審計）和獨立評估（聘請外部審計），促進內(nèi)控設(shè)計及執(zhí)行完善。

4.3引入內(nèi)部控制體系并建立內(nèi)控管理信息系統(tǒng)

SOX法案要求企業(yè)的內(nèi)控活動，不論是人還是信息系統(tǒng)的操作流程，都必須明白地定義并保存相關(guān)記錄，對審計過程也有存檔的要求。這就需要完善IT治理機制，進行IT內(nèi)部控制和信息系統(tǒng)審計。為此，我們引入了內(nèi)部控制體系，將COSO框架與ITIL標準結(jié)合，并遵循ISO27001要求，先后建立并完善了一套內(nèi)控管理信息系統(tǒng)，包括公司財務(wù)系統(tǒng)、公司OA系統(tǒng)、各部門“工作流程管理系統(tǒng)”、生產(chǎn)處理監(jiān)控系統(tǒng)等。該體系能夠創(chuàng)建和記錄企業(yè)內(nèi)部業(yè)務(wù)流程，使公司的CEO、CFO、員工和審計人員能夠?qū)崟r識別、分配、測試并監(jiān)視內(nèi)部控制與流程，確保業(yè)務(wù)流程根據(jù)內(nèi)控標準執(zhí)行。一旦系統(tǒng)發(fā)現(xiàn)任何違規(guī)行為，將向適當人員自動報警。公司不僅連續(xù)5年順利通過SOX審計，而且還取得了CMMI（CapabilityMaturityModelIntegration，能力成熟度模型集成）3級認證。

4.4常態(tài)化SOX遵循工作，定期檢測控制活動的有效性

根據(jù)SOX法案第404條款的要求，管理層必須每年對這些控制點進行測試和評估，對測試得出的控制缺陷，則需要增設(shè)補救和改進措施，并再次測試。如果在規(guī)定的期限內(nèi)，控制缺陷還是不能得到改正，外部審計師將根據(jù)情況，針對控制缺陷和程度發(fā)表審計意見。

在內(nèi)部控制體系建設(shè)中，對控制活動進行定期測試是非常重要的一環(huán)。我們將SOX遵循工作常態(tài)化，根據(jù)控制活動發(fā)生的頻率，決定樣本的大小，一般分為每月或每季度（半年）樣本，定期專人對樣本按照設(shè)計的測試步驟進行測試——獨立于每年2次（年中、年底）的內(nèi)外部審計，實際上我們每個月都在做這樣的檢測。任何被檢測出的缺陷，都在規(guī)定的期限前改正和接受再測試。因此，每年我們在接受正式的內(nèi)外部SOX審計的時候其實是充滿信心的，因為對這些控制活動的檢測，我們之前每個月都已經(jīng)做過，所以通過審計也就成為水到渠成的事情了！

五、結(jié)束語

隨著薩班斯法案內(nèi)控審計要求的出臺，提升了IT控制在企業(yè)內(nèi)部控制中的重要性。特別是電信企業(yè)對IT的依賴性非常大，利用IT技術(shù)加強內(nèi)部控制，建立有效的內(nèi)部控制體系成為薩班斯遵循的必然要求。SEC對COSO框架的認可表明其已正式成為內(nèi)部控制框架的標準。企業(yè)依據(jù)COSO框架建立的內(nèi)部控制體系，通過引入COSO內(nèi)控要素，形成一個相互聯(lián)系、綜合作用的控制整體，使單純的控制活動與企業(yè)環(huán)境、管理目標及控制風險相結(jié)合，形成一套不斷改進、自我完善的內(nèi)控機制。SOX遵循需要IT治理，IT治理是實現(xiàn)公司治理的重要工具。

本人聯(lián)系方式：

梁明煌

廣東省深圳市福田區(qū)濱河大道9023號國通大廈10樓 中國移動（深圳）有限公司（郵編518000）

手機： 13823389166

Email： liangmh@chinamobilesz.com

作者簡介：

梁明煌：計算機軟件學士，高級工程師，PMP，信息系統(tǒng)項目管理師，MCSE，MCSD，MCDBA，QC診斷師。目前主要從事移動互聯(lián)網(wǎng)交易業(yè)務(wù)系統(tǒng)規(guī)劃及SOX內(nèi)控與審計等方面的工作。

參 考 文 獻

[1]NASDAQ Issuer Survey Sarbanes-Oxley Act of 2002， April 13， 2005.

[2]劉迎賓.“薩班斯法案”對在美國上市的中國企業(yè)影響分析.經(jīng)濟師.2006年第2期.

[3]李傳濤. 電信業(yè)的應(yīng)對薩班斯法案路徑分析. 通信產(chǎn)業(yè)報. 2006.07.

[4]胡敏. IT如何滿足SOX法案的合規(guī)要求. 賽迪網(wǎng)-中國計算機用戶. 2005.11.

[5]朱恩良. SOX法案促進IT治理的完善. IT商業(yè)新聞網(wǎng). 2009.02.

[6]Chenxihui. 遵循SOX法案中的IT系統(tǒng)和IT審計.中國內(nèi)部審計. 2008年第五期.