IT如何满足SOX法案的合规要求

1、2002 年 7 月，美国国会正式通过了 Sarbanes-Oxley 法案（简称 SOXt 案），明确要求管理层对公司财务信息披露和内部控制效力负有直接责任，公司的内控措施应由管理层声明有效并由独立审计机构出具内控审计意见提交给美国证监会（SE。SOXt 案的出台是由于全世界包括美国金融投资领域对上市公司的内部控制失去了信心，为了重新树立信心而制订的。SO 难案中第 404 条款要求公司在财务报告方面加强内控，即管理层必须对内控方面有个自我评估，随后对内控做自我测试，最后要有个独立的第三方审计公司对最终测试报告进行审计，最后形成的内部控制报告要在每年的财务报告中体现出来，并由总经理签字。由于

2、 IT 和财务报告的关联性，IT 也需要加强控制以达到 SOX 合规要求。IT 的 SOX 合规审计必须落实到企业对 IT 的有效管理控制上来。有人说， SOX&案是个“暴政”， 因为它对公司内部控制的要求有点过了头。 自 2002年 7月 SOX&案出台之后，去年的一个统计数据显示，大概 10%勺企业退出了美国股市；一些原本计划去美国上市的企业转而投奔了其他地方的股市。由此可见其难度之大。也正因为此，该法案随后对在美国上市的海外企业延后了一年。去年底，携程网正式踏上自己的 SOX 之旅。这注定是一条艰辛之旅，也是一条学习之旅。携程网业务运营总监朱剑岷在接受采访时明确表示：“的

3、确很难，但携程网肯定不会因此而退出。”传统被动的、 孤立的、 分散的“救火队”式 IT 运维管理模式， 已经让 IT 部门疲惫不堪。 如彳 S简化 IT 管理，更好地满足业务需求，已经成为 IT 部门的一个重大挑战。为了有效地解决行业用户在 IT 运维管理方面的困惑，并推介 ITIL 在 IT 运维管理中的价值和意义，我刊策划了“IT 运维诊断面对面系列活动”，等 IT 服务领域的资深运营管理专家， 深入了解行业用户的疑答惑，并共同探讨 IT 运维管理方法和经验。自 2002 年 7 月 SOXfe 案出台之后，IT 的 SOX 合规审计成为 2005 年全球 CIO 最关注的事情。IT 如何

4、满足 SOX1 案的合规要求？IT 部门如何入手实施？实施中有哪些经验和建议？针对以上问题，本期邀请携程网公司负责实施 SOX1 目的业务运营副总裁朱剑岷进行了探讨。作为一家在美国上市的企业，携程网必须承受新挑战，接受严格的 SO6 规审计。去年三季度，负责 IT 方面工作的携程网业务运营副总裁朱剑岷接到通知，知道要做这个事情。重新认识 SOX朱剑岷坦率地表示，一开始自己不是特别重视 soxt 案，觉得它主要是针对财务方面活动特另1J 邀请 IBM、HRCABMCIT 运维管理现状，切实为用户解的要求。随后，他才发现 SOXt 案对 IT 的要求也很高。SOXt 案对 IT 的控制要求主要有两

5、个方面：一个是应用控制(ApplicationControl),因为大多数上市公司一定都依赖 IT 系统来运作业务，IT 系统对业务流程的控制作用非常大，因此 IT 必须对业务流程进行某些控制；另一方面是通常性控制(ITGenerallyControl,ITGC),美国证监会(SEC 认为，既然是上市公司，必然有一个完整的 IT 系统做支撑，因此，对于支撑公司运作的 IT 基础技术架构平台，必须进行有效管理控制。“实际上，在 SOX 法案的合规要求中，40%&IT 控制，60%在财务控制方面。”朱剑岷在接受采访时总结道。意识到 IT 在 SOX 合规审计中的重要性，朱剑岷开始重视起来，

6、并着手行动。迷茫的开始突然被推到风头浪尖上，最初的朱剑岷没有特别明确的方向。因为 SOXt 案所要求的控制体系，主要依赖财务控制方面的一套审计框架。它同时对 IT 提出了非常高的控制要求。比如，为了保证每个控制是有效的，上市公司必须要有充分证据去证明这个控制有效。仅仅为了符合这个要求，就要做很多证据保留工作。IT 控制到底应该参考什么样的审计框架？携程网的 IT 控制应该怎么做？“刚开始，的确比较痛苦，很多头绪，不知道从哪儿入手。”朱剑岷坦承地说。携程网最初的 IT 环境与 SOXfe 案所要求的 IT 控制， 显然有一定差距。 携程网 IT 部门共 50 多人，最初按照软、硬件简单地划分为两

7、个部分：30 多人负责软件开发和维护，20多人负责硬件设备的运行维护。在软件开发和维护上，原来有一些比较简单的技术支持工具，帮助做需求管理、变更控制和流程控制等，从 SOX404 的角度来看，其控制能力不够强，某些环节还需要加强。硬件的运行维护基本上是“救火队”模式。通过网络管理软件、系统管理软件对网络和服务器等硬件设备进行管理。当员工遇到一些故障问题，维护人员会被派过去，当场处理并解决掉。携程网的公司特性也注定其 SO 双施不同于其他企业。创立于 1999 年的携程网，至今不过六年历史，因此，组织机构、IT 系统都是逐步建立起来的，不像一些老牌企业具有很多年的历史积累，各方面的制度规范建立得

8、比较完善。另外，尽管刚开始携程网的规模比较小，但电子商务业务增长很快，在公司发展中，为了解决一些重点问题，没有花太多精力去梳理业务流程方面的工作，比如制订规范性文档等。总之，SOX1 目实施之前，携程网在流程、规范方面相对比较缺乏。发现 COBIT、ITIL经过一段时间的考察，朱剑岷欣喜地发现 IT 领域有一个叫 COBIT 的 IT 控制框架。当深入了解之后，他认识到，尽管 COBIT 对 IT 控制提出了具体要求，如必须要怎么样，做到什么程度，但是，对于“怎么做才能够符合要求”的问题，它没有给出具体操作方法。后来，朱剑岷又发现，ITIL 也是一个比较成熟的框架，是 IT 服务管理的最佳实践

9、。ITIL 包括十大流程和一个服务台，十大流程又可以划分为两大类：一是基于战术层面的服务提供(Servicedeliver),包括服务等级管理、持续性、可用性、能力和财务管理；二是基于运营层面的服务支持(Servicesurpport),包括服务台、事件管理、问题管理、配置管理、变更管理、发布管理。服务提供侧重于主动性、战略性层面的管理问题，比如主动做好规划，设计好系统容量、系统性能，并发现问题。服务支持则针对日常事件处理，比如怎么建立服务台；如何控制变更；系统遇到问题时，如何及时处理并恢复服务等。ITIL 无疑是一条可行的实现 IT 控制的方法。随后，他就在国外购买了一些原版资料，着手学习研

10、究。参观、学习，与同行交流实际上，不少企业的 IT 部门主管与朱剑岷一样面临 SOX 法案挑战。朱剑岷不失时机地与一些已经开始实施的企业的 IT 主管进行了交流，并参加相关培训。他还亲自到早于携程网上市的 UT 斯达康公司进行了参观考察。UT 斯达康公司是美国本土企业，去年就开始做 SOX 法案的相关工作，今年初完成前期工作。经过一段时间实地考察，他发现，为了满足 SOX 法案要求，控制流程往往都制订得非常复杂。为了保证每个控制的有效性，必须要有充分证据证明这个控制是有效的，为此，对证据保留的要求也非常高，需要做许多证据保留工作。为了符合要求，部分企业通过一些不太有效的方式去做这些控制。比如，

11、SOX 法案要求每天查看服务器的状态，为此，一些企业专门拿出一些记录本，每天、每人在记录本上“勾”一下，成为说明这个服务器正常的证据，这样一大堆纸张就保存下来。当然，这样做没有问题。但朱剑岷看完之后的第一个感觉是：“如果这样做，肯定会很累。因为它对人员的工作要求比较高。”后来，携程网找到了一些更加有效的方法，尽量采用自动化控制方法，减少人工干预。比如，服务器一旦出现问题，可以及时发现，自动处理，而且系统的自动化记录和保存，比人工查看的效率要高很多。请来咨询公司目前，所有 SOX目一般都会请咨询公司提供咨询，携程网也不例外。但是，携程网只让咨询公司提供一些框架性的指导意见，比如哪些方面是控制重点

12、。至于具体的流程编制、文档编写、流程建立等都由携程网自己做。对此，朱剑岷表示，ITIL 是一套流程化方法，一套指导性意见，在实施时，企业必须结合自身实际情况来设计流程。与咨询公司相比，企业 IT 部门的人可能更了解企业的业务流程。事实上，许多咨询公司本身也是在学习之中，纯粹让他们来设计业务流程，不太合适。找到合适工具ITIL 强调的是人员、技术、流程三个因素的配合，技术工具是少不了的一个环节，可以加速实现IT 控制的过程。经过比较选择，携程网最后选择了福瑞杰公司的一套 IT 服务管理工具。朱剑岷认为，这套工具比较符合 ITIL 的流程，但所有工具产品只提供基本功能，要想真正做好，还要花很大精力

13、做定制开发。动手实施决定由自己动手实施之后，今年初，从 SOX40 强求比较严格的几个领域入手，携程网开始逐步实施。目前，基本上建立了 ITIL 的事件管理、问题管理、变更管理三个重点流程，也在做信息安全方面的工作。不像一些企业把各个方面都做得很完善，携程网只在重点方面花了比较大的精力来做。具体来说，在软件开发方面，携程网建立了自己的开发系统，并通过工具重新梳理一下，使开发控制更加细致了；重新规划建设了系统监控平台。还成立了事件处理中心，也叫 ServiceHelpdesk（服务台），配备了 78 个人做一线支持，负责接听电话，处理一些简单问题；随后又安排一些人做二线支持，处理比较复杂或有些技

14、术难度的问题。通过 IT 服务管理工具平台的技术支持，携程网改变了以往一些关于故障处理的流程，提高了响应时间和服务质量。目前，内部满意度、故障处理的及时性都有提高；还能及时汇总一些问题，进行统计分析，以便把工作重点集中在一些具有代表性的问题来处理。主抓变更控制对于 IT 控制来说，SOX404M 重要的要求有两个，一个是变更控制，一个是安全。在变更控制方面，前期携程网差不多花了 34 个月来设计和整理变更流程。朱剑岷表示，实现变更控制并不难，ITIL 提供了标准的变更管理流程的实施要求，按照要求一步一步往下做就可以了；其关键是如何把变更所涉及的所有部分形成一个完整的闭环流。举例来说，携程网软件

15、开发分为三个子系统：1、需求管理系统，包括需求提出、讨论、可行性设计、确认等；2、软件开发；3、软件发布与实施。在需求管理上，增加了一个需求确认的环节，这是为了避免需求表达不清，让 IT 人员重新表达一遍，并让用户确认一下。在软件开发上，以前的变更控制不太符合 SOX404 勺具体要求，现在更细化一些了。从最终用户验收一项来说，以前把系统测试完，就拿去直接运行。现在增加了一个环节，专门制作一个单独的运行环境，让用户测试，测试完之后再正式运行。在发布管理上，原来不是很严格。依照严格的控制要求，每个变更还要有个回退计划。如果发布错误或变更不成功，保证有个计划能把发布或变更退回去。对于成功的发布，可

16、以让用户做个评价，或者指出哪些地方需要改善等。现在已经进行改善。对于系统打补丁这件事来说，以前的做法基本符合控制要求，但 SOX404 的要求更高，如打补丁之前必须进行备份，并验证备份是否可用，否则，备份无效，系统一旦崩溃，整个系统就完了。总之，目前的变更控制更加完善了。成立信息安全部信息安全是 SOX404 的一个重要控制要求，它的参考标准是 ISO17799。ISO17799 对公司的方方面面都提出了要求。原来携程网公司自身有一套完善的信息安全战略和体系，涉及到桌面清理、IT 方面，也涉及公司办公环境的安全，如员工要佩戴身份识别卡等。由于信息安全不完全是 IT 方面的内容，让 IT 部门做

17、这个事情比较困难，因此，让朱剑岷困扰的是由谁牵头做这个事情。按口 SOX 法案的审计要求，信息安全部门必须独立，如服务器的审计不能由服务器管理人员来做，否则，既当运动员，又当裁判，这是不合理的。考察了国内外的一些情况后，携程网认识到，需要成立一个公司层面的独立机构，总体负责信息安全工作。最近，携程网专门成立了信息安全部，招聘了信息安全和审计方面的专业人士，总体负责公司级别的信息安全和审计，并从其他部门抽调一些人进行配合。具体来说，由信息安全部牵头，各部门再抽调一些人成立信息安全委员，共同负责制订安全方针、策略、培训教育等工作。具体技术实施由 IT 部门负责。流程化运作是下一步目标尽管事件管理、

18、问题管理、变更管理流程已经基本成型，但朱剑岷表示，流程的执行还没达到很高的标准。COBIT 除了提供控制框架之外， 还提供一套衡量标准， 像 CMMH 样具有从 0 到 5 的成熟度等级。不同成熟度，具有不同要求。在中级水平上，它要求某些方面做得有序，有些方面可以是非流程化的；在更高水平的要求上，很多工作都要做得非常有序且制度化执行。按照这个衡量标准，朱剑岷认为，携程网可能做了 30%勺工作，未来会逐步根据自身要求，优化业务流程，尽量使运行效率更高，更加符合 SOX 法案的要求。朱剑岷的四个想法采访即将结束时，记者要求朱剑岷再总结一下实施经验，朱剑岷谨慎而谦虚地表示：“我要好好想想，不能瞎说。最多只是一些想法，毕竟还没有做完，说是成功经验，不太好,可能对别人造成误导。因为每个企业的情况不一样，很难说我的经验一定适用于其他企业。”认真考虑之后，朱剑岷提出了四个想法：1、领导和员工的重视非常重要。在实施中，有的