华为3COM SOX 法案IT 内控实践 华为3COM 由华为公司与美国上市公司3COM 在2003 年合资成立,2005年、2007 年两次股权变更,并在2007 年正式改名为杭州华三通信技术有限公司,简称 H3C。H3C 的财务数据对 3COM 财务报表影响较大,所以H3C 也需要遵从美国SOX 法案相关要求。本文在简述 IT 遵从 SOX 法案要求和业界框架后,将详细介绍 H3C 公司IT 团队自主实施 SOX 项目的过程、方法、关键控制点和相关体会。 一、SOX 法案背景 针对安然、世通等财务欺诈事件,美国国会出台了《2002 年公众公司会计改革和投资者保护法案》(Sarbanes-Ox ley Act)。该法案由美国众议院金融服务委员会主席奥克斯利和参议院银行委员会主席萨班斯联合提出,又被称作《2002 年萨班斯—奥克斯利法案》(简称萨班斯或 SOX 法案)。该法案的法律效力适用于在美国证券交易委员会注册的公司,在美国上市的中国公司也受它约束。SOX 法案对上市公司管理层提出了非常苛刻的要求,直接相关的条款包括:302 条款 公司对财务报告的责任、404 条款 管理层对内部控制的评价、906 条款 强化白领刑事责任。 二、IT 在SOX 遵从中的角色 SOX 法案强调了要设计和执行有效的公司内部控制来保证财务报告职能的行之有效,随着越来越多公司对于信息技术依赖性的提高,IT 控制在公司内部控制体系中的重要性也日益增加,主要体现如下方面:a. 公司业务流程的部分甚至全部由IT 系统驱动和承载;b. 公司内部控制目标的实现通常取决于以IT 为基础的控制;c. 许多控制需要依赖IT 系统生成的数据。 IT 通过应用控制和一般控制来帮助控制财务报告的相关风险,以达到控制目标。其中:IT 应用控制(IT Application Control)嵌在各个应用系统中,控制业务流程和交易处理,直接对财务报告产生影响;IT 一般控制 (IT General Control, 也译作通用计算机控制)是分布在IT 流程中的控制活动,用来保障IT 整体运维环境的可靠,并支持应用控制的有效运作。 美国公众公司会计监管委员会(PCAOB)特别举例强调,IT 控制对于公司总体控制目标的实现具有广泛和深远的影响。所以,建立维护合理的IT 控制体系、并保证其有效执行是SOX 法案遵从的重要组成部分。 三、IT 遵从的常用框架和方法 如何建立和维护一套有效的IT 内控体系,并能得到外部审计师的认同,较为有效的方法是采用业界通行的框架。COSO 是目前唯一被 PCAOB明文确认可接受的内...
