返回
华为3COM SOX法案IT内控实践

华为3COM SOX法案IT内控实践

ID:39580357

大小:35.00 KB

页数:11页

时间:2019-07-06

华为3COM SOX法案IT内控实践_第1页
华为3COM SOX法案IT内控实践_第2页
华为3COM SOX法案IT内控实践_第3页
华为3COM SOX法案IT内控实践_第4页
华为3COM SOX法案IT内控实践_第5页
资源描述:

《华为3COM SOX法案IT内控实践》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、华为3COMSOX法案IT内控实践华为3COM由华为公司与美国上市公司3COM在2003年合资成立,2005年、2007年两次股权变更,并在2007年正式改名为杭州华三通信技术有限公司,简称H3C。H3C的财务数据对3COM财务报表影响较大,所以H3C也需要遵从美国SOX法案相关要求。本文在简述IT遵从SOX法案要求和业界框架后,将详细介绍H3C公司IT团队自主实施SOX项目的过程、方法、关键控制点和相关体会。  一、SOX法案背景  针对安然、世通等财务欺诈事件,美国国会出台了《2002年公众公司会计改革和投资者保护法案》(Sarbanes-OxleyAct)。该法案由美国众议院金融服务委员

2、会主席奥克斯利和参议院银行委员会主席萨班斯联合提出,又被称作《2002年萨班斯—奥克斯利法案》(简称萨班斯或SOX法案)。该法案的法律效力适用于在美国证券交易委员会注册的公司,在美国上市的中国公司也受它约束。SOX法案对上市公司管理层提出了非常苛刻的要求,直接相关的条款包括:302条款公司对财务报告的责任、404条款管理层对内部控制的评价、906条款强化白领刑事责任。  二、IT在SOX遵从中的角色  SOX法案强调了要设计和执行有效的公司内部控制来保证财务报告职能的行之有效,随着越来越多公司对于信息技术依赖性的提高,IT控制在公司内部控制体系中的重要性也日益增加,主要体现如下方面:a.公司业

3、务流程的部分甚至全部由IT系统驱动和承载;b.公司内部控制目标的实现通常取决于以IT为基础的控制;c.许多控制需要依赖IT系统生成的数据。  IT通过应用控制和一般控制来帮助控制财务报告的相关风险,以达到控制目标。其中:IT应用控制(ITApplicationControl)嵌在各个应用系统中,控制业务流程和交易处理,直接对财务报告产生影响;IT一般控制(ITGeneralControl,也译作通用计算机控制)是分布在IT流程中的控制活动,用来保障IT整体运维环境的可靠,并支持应用控制的有效运作。  美国公众公司会计监管委员会(PCAOB)特别举例强调,IT控制对于公司总体控制目标的实现具有广

4、泛和深远的影响。所以,建立维护合理的IT控制体系、并保证其有效执行是SOX法案遵从的重要组成部分。  三、IT遵从的常用框架和方法  如何建立和维护一套有效的IT内控体系,并能得到外部审计师的认同,较为有效的方法是采用业界通行的框架。COSO是目前唯一被PCAOB明文确认可接受的内控框架,该框架确定了3项内部控制目标,将分布于公司各个层面的内控分解为控制环境、风险评估、控制活动、信息和沟通、监督五个组成要素。  熟悉COSO的人士都知道,COSO框架并没有具体描述IT风险与控制目标,相对来说Cobitreg;(ControlObjectivesforInformationandrelatedT

5、echnology)更有针对性。Cobit框架由ITGovernanceInstitute发布,2007年新版本是Cobit4.1,它定义了IT控制的7项信息标准(有效性、经济性、机密性、完整性、可用性、合规性、可靠性)、4大领域(计划组织、开发获取、交付支持、监控评价)和34个过程。  比较可贵的是,ITGI在2004年及时研究发布了《SOX法案遵从IT控制目标》(英文全称为ITControlObjectivesforSarbanes-Oxley:TheRoleofITintheDesignandImplementationofInternalControlOverFinancialRepo

6、rting),其为SOX遵从的风险识别与控制过程指明了方向。2006年9月ITGI发布了该项目工作的第2版,更加受到了业界欢迎。  IT控制目标明确后,需要具体落实在IT组织、人员、技术和流程中。这个落实过程可以参考IT服务管理标准(新的ITSM国际标准为ISO20000),建议重点借鉴IT基础设施库(ITIL)的变更管理、问题管理、事件管理、配置管理等服务支持流程。在信息安全管理方面,ISO17799是一个可参照的国际标准。  四、H3CITSOX遵从实践  2006年6月,H3C正式启动了SOX遵从项目,对于IT部门来说,第一个挑战是时间紧迫、人手不足,第二个挑战是必须同步进行数据中心运维

7、交接(以前是外包的),第三个挑战是没有咨询公司的参与。IT控制设计、实施、穿行测试、期中测试、期末测试等是依靠内部力量自主摸索完成的,以下对其展开介绍。  1、H3CITSOX遵从的项目过程和组织  H3CIT实施SOX遵从项目的大致过程如下:  (1)SOX计划和范围界定  制定ITSOX遵从具体项目计划;根据对财务报告控制目标的影响,整理和识别SOX遵从范围内的IT应用系统、数据库和相关基础设

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。