规范信息系统管理的新动力－Sarbanes-Oxley法案

规范信息系统管理的新动力－Sarbanes-Oxley法案

引言
  前些天，很惊奇的发现IBM developerWorks出现了关于Sarbanes-Oxley法案的文章，在这样一个开发类的网站出现这样的内容，说明Sarbanes-Oxley法案的影响已经开始渐渐扩大了。但是那篇文章（题目为：IT行业积极响应Sarbanes-Oxley法案）介绍的内容和我知道的情况有一些偏差，遂产生了撰写本文纠正误差的想法，也希望借此机会向大家介绍这个新东西。不管你是管理层的CIO、CTO还是普通的网管、程序员，只要你所在的是美国上市公司或者准备在美国上市的公司，相信本文都会对你的工作有所帮助。
  
SOX背景介绍
  Sarbanes-Oxley法案的一般中文译法是《萨班斯-奥克斯利法案》，缩写为SOX，全称是《2002年公众公司会计改革和投资者保护法》。因为法律的名字很拗口又很长，所以在美国人们一般都会用法律草案提出者的名字来称呼该法律（这是一个不错的办法，让大家记住了具体的人，以后不至于找不到算帐的地方，呵呵）。说到这里大家也就知道了，Sarbanes和Oxley是该法案条款的起草人。
  2001年安然事件<注1>后爆发的连串上市公司会计丑闻让投资者失去了对股票市场的信心。所谓乱世用重典，美国国会为了“救市”，很快通过了该法案，算是亡羊补牢之举。2002年7月该法案由现任美国总统小布什签署发布。
　　SOX法案主要针对公司财务丑闻中揭露出来的问题，修补完善了《1933年证券法》和《1934年证券交易法》的有关章节。美国证监会也不是吃干饭的，他们发现仅仅要求CEO和CFO们对投资者和监管者发誓是不够的，只有从企业内部控制着手才能从本质上解决问题。所以法案要求上市公司的CEO和CFO不仅要对本公司财务报表的真实性负责（302条款），还有责任建立一套足够有效的控制机制以保证财务报告的准确性（404条款）。如果不遵守规定，他们面临的将是严厉的刑事处罚。
  
SOX和信息系统管理<注2>的关系
  SOX法案强调的是财务报告的真实性和内控的有效性，从表面上看好像和信息系统管理关联不大，但仔细想想就会明白。那些美国上市公司会手工处理财务报表么？当然不会。在那么大型的企业里，手工处理财务数据将是一个多么恐怖的事情，这当然要交给计算机来完成。所以处理财务数据的信息系统就成了保证财务报表准确性的关键环节之一。管理良好（即内控有效）的信息系统在某一方面保证了财务报表的准确性。如果信息系统管理混乱，谁都可以随便更改原始数据，Garbage-in Garbage-out，就根本谈不上准确的财务报表了。

美国股市的监督机制
  为了让普通的技术人员理解本文，我简单的描述一下美国股市的监督机制。
  一个企业想要去美国股市“圈钱”，就必须受美国证监会（SEC）的监督。美国证监会是SOX条款的执行机构，向国会负责。但是SEC就那么些人，那么多上市企业，SEC自己吐血都查不完，所以就有了会计师事务所的年度审计。上市公司每年都要请会计师事务所对自己进行审计，通过审计报告向SEC证明自己的清白。这事儿有点古怪，你花钱请一个人来证明自己清白，如果人家说你不清白第二年还会请你么？所以会计师事务所因为经济的原因就有可能睁一只眼闭一只眼。估计SEC也意识到了问题，于是另外成立了一个子机构“公共公司会计监督委员会 (PCAOB)”来监督会计师事务所的审计工作<注3>。这样，基本上就做到了制度上的完备。

SOX法案对信息系统管理促进作用
  在层层的监督和法律的制约下，企业不得不建立一套完整有效的信息系统管理和控制的机制，通过该控制机制保证财务报表在信息系统处理这一块不会出问题。从眼前利益讲，如果说通过CMM是为了承接外包软件开发的需要，那么通过SOX的审计就是为了获得在美国股市融资资格的需要。这样就从根本上改变了从前在上市公司中推行“IT治理”可为可不为的局面。
  
信息部门遵从该法案需要做的工作
  PCAOB规定了信息系统要控制的四个方面：程序开发、变更管理、对程序和数据的访问以及计算机操作。从这个分类可以看出，PCAOB要求的不仅仅是信息安全，还有对开发、变更和日常操作的控制要求。
  对开发来说，要求开发过程要符合有效的软件生命周期管理过程，规范文档必须存在，过程要记录。
  对变更来说，要求变更前要有合理有效的测试和审批过程，并且要保存整个变更过程的记录。
  对日常操作来说，要求建立访问控制和职责分离的机制，并且对日常备份和灾难恢复提出了要求。
  由于控制要求很多，国际信息系统审计协会(ISACA)还发布了信息系统管理控制的框架COBIT（Control Objectives for Information and related Technology），它事实上成为了实施的指导。这是不是让你想起了ISO和CMM？

这和我们有什么关系？
  如果你是上市公司信息部门的主管，我想你已经知道自己将要承担的新任务了。通过SOX法案404条款的合规审计不仅仅是你，也是整个公司不可能逃避的任务。现在有一些公司在做这方面的咨询工作，你可以请求他们的帮助。
  如果你是一个技术人员，你面对的将是更规范的管理，同义词就是更繁琐的手续（又是一个管理和效率的问题，另文讨论）。也许只有新的支持管理软件才能均衡两者关系，看看这里（http://www.certus.com/）已经有人在做了。
  
后记

说明
<注1>安然事件，google“安然事件”去吧，搜索结果会告诉你一切。
<注2>信息系统管理，含义等同于现在流行的新说法“IT治理”，但我认为IT只是技术方面的，这个讲法不太准确也有爆炒新概念之嫌，所以使用了“信息系统管理”。
<注3>会计师事务所不能对同一家企业既做咨询又做审计，以免失去独立性。

关于作者
侯光敏，顾问，思博欧咨询（北京）有限公司（www.cfo-china.com），你可以通过mark.hou@cfo-china.com和我联系。