SOX法案及对中国企业的影响
针对安然、世通等财务欺诈事件,美国国会于2002 年出台了《公众公司会计改革和投资者保护法案》。该法案由美国众议院金融服务委员会主席奥克斯利和参议院银行委员会主席萨班斯联合提出,因此又被称作《萨班斯-奥克斯利法案》(Sarbanes-Oxley Act)。该法案对组织治理、财务会计、监管审计制定了新的准则,并要求组织治理核心如董事会、高层管理、内外部审计在评估和报告组织内部控制的有效性和充分性中发挥关键作用。
为了提高上市公司的透明度,防止类似事故的发生,除美国之外,英国和日本等国也先后颁布了类似的企业内部控制法案。中国也在2008年颁布了《企业内控基本法案》,又称China SOX或C-SOX法案,希望通过法律的形式来强制相关公司进行严格内部管理,以保障公司投资者利益。2010年4月,财政部、证监会、审计署、银监会、保监会等五部门又联合发布了《企业内部控制配套指引》,并制定出确切实施时间表:自2011年1月1日起企业内部控制首先在境内外同时上市的公司实施,自2012年1月1日起扩大到上交所、深交所主板上市的公司。
SOX法案对企业管理的挑战
SOX法案中的404条款,是公认的最难操作、最复杂、耗费成本最高的一个条款。条款规定,在美上市企业,要建立内部控制体系,其中包括控制环境、风险评估、控制活动、信息沟通以及监督5个部分。简言之,SOX对企业的最主要的要求就是内控与审计:一方面企业要有足够简洁与有效的手段实现内控;另一方面,对所有的操作都需要有记录,以便随时审核、审查。
为应对第404条款的要求,所有对财务报告有影响的人员操作、IT系统操作都应有明确的定义,并对这些定义进行记录,同时对这些操作要有过程审计记录(包括事前、事中、事后)。要在短时间内满足审计要求,对企业而言是极大的挑战。国内的许多企业在实施SOX项目时,普遍暴露出了一些问题:
一是普遍缺乏对信息系统从招投标建设到上线实施再到验收之后的运行维护的一整套成体系的IT管理制度。
二是员工的工作习惯问题。由于普遍具有的国有背景的特点,长期以来养成的工作习惯无法符合第404条款或是现代企业管理制度的要求。如有些系统维护人员在进行系统检查时发现了问题,随即进行排查和解决,却未留下任何的检修记录;如根据领导一个电话就为某位员工开通某个系统权限等。而《萨班斯法案》要求所有的操作都遵循一定控制要求来执行,所有的工作必须责任到人,对重要工作要留下相应的痕迹。
三是系统普遍未达到第404条款的要求。出于对财务报表相关的披露信息的关注和重视,第404条款要求企业通过公司层面的监督、信息与沟通、控制活动、风险评估和控制环境控制,以及信息技术一般性控制层面和业务应用层面的控制来确保构成财务报表的信息系统源数据以及计算逻辑准确和完整。而国内企业的系统和流程都存在着不少的问题,比如系统的密码策略没有固化、数据的备份策略不完整等。
SOX法案对IT运维管理的挑战
在IT运维管理方面,国内的企业也普遍存在着各个业务系统各自为政的情况--各自有一套用户信息数据,管理本系统内的账号和口令,并孤立地以日志形式审计操作者在系统内的操作行为。这种分散式的账号口令管理、访问控制及审计措施不仅严重影响了IT运维管理的效率,提升了运维成本,也难以满足SOX法案的相关要求。主要表现在以下几方面:
1、大量的网络设备、主机系统和应用系统分属不同的部门或业务系统,认证、授权和审计方式没有统一,当需要同时对多个系统进行操作时,工作复杂度成倍增加。
2、 一些设备和业务系统由厂商代维,因缺乏统一监管,安全状况不得而知。
3、各系统分别管理所属的系统资源,为本系统的用户分配访问权限,缺乏统一的访问控制平台,随着用户数增加,权限管理愈发复杂,系统安全难以得到充分保障。
4、 个别账号多人共用,扩散范围难以控制,发生安全事故时更难以确定实际使用者。
5、随着系统增多,用户经常需要在各系统间切换,而每次切换都需要输入该系统的用户名和口令,为不影响工作效率,用户往往会采用简单口令或将多个系统的口令设置成相同的,造成对系统安全性的威胁。
6、 对各个系统缺乏集中统一的访问审计,无法进行综合分析,因此不能及时发现入侵行为。
泰然神州SOX解决方案
为了帮助上市和将要上市的公司建立和维护一套有效的IT内控体系,满足监管机构的审计要求,泰然神州公司推出了结合中国企业特色的"符合SOX法案方案",采用泰然神州Zendeep运维审计管理平台,通过统一用户账号(Account)管理、统一认证(Authentication) 管理、统一授权(Authorization)管理和统一安全审计(Audit)的4A管理,实现一体化的审计与管理。在该方案中,集中管理是前提,对企业数据中心所有设备、服务器、应用系统操作进行统一管理和控制;身份认证是基础,主要是解决操作者身份和工作角色问题,一个用户拥有多个工作角色,一个角色同时也对应多个用户;访问控制是手段,主要是控制操作人员可以访问什么资源,有效减低未授权的安全风险;权限控制是核心,主要对操作人员的风险进行有效控制,有效减低安全风险。
强大的审计功能是该方案的最大亮点,它就像是信息系统和管理维护人员之间的一部"操作录像机"一样,能够实时、完整地记录用户的操作,并提供方便灵活的操作回放或查询检索的手段;可以对基于Telnet、FTP、SSH、RDP、VNC等协议的访问操作进行过程的抓取,从而可以录像方式对所有运维人员的所有操作进行记录,并具备强大的搜索功能,可对特定时段、特定事件、特定用户等逻辑要素进行搜索与提取--满足了SOX法案对内部控制的要求,达到真正意义上的审计与风险控制。
方案特点
统一认证、授权和审计,工作复杂度大幅度降低
运维审计管理平台作为企业运维的唯一操作入口,对操作进行集中管理,对身份、账号、访问、权限、审计进行控制,不需要调整网络、不需要更改交换机/路由器配置、不需要安装任何代理程序。使运维管理工作的复杂程度大幅度降低。
统一监管,安全状况尽在掌握
出入口的统一有利于操作审计工作的进行,通过最简单有效的集中化管理、帐号及密码的统一管理、访问权限策略的集中配置、操作命令防火墙策略的集中配置及用户操作行为的集中审计,为统一审计提供根本保障,使企业IT运维的安全状况尽在掌握中。
单点登录(SSO),免去多次输入用户名和口令的繁琐
普通操作用户只需一次登录平台,键入一次密码,随后对于相关设备的访问不再需要相应账户密码。如此,对于各类设备能在一个操作界面内完成工作,无需用户在各系统间切换,免去了多次输入用户名和口令的繁琐。
对各个系统进行统一的访问审计,利于综合分析,及时发现入侵行为
运维审计管理平台拥有强大专业审计功能,凡是通过该平台的操作全部要有审计记录,包括字符终端操作审计、数据库操作审计、图形终端操作审计、文件传输审计、软件分发审计等,并且审计记录能够通过各种条件进行检索。同时所有的会话记录,对运维系统的管理人员有直接的帮助,让管理员更清晰看见目前有那些人正在做着操作,什么时候开始的,正在做什么等,彻底解决操作不透明的问题。
方案价值
快速实施,满足监管要求
按照中国监管当局制定的实施时间表,境内外同时上市的公司需于2011年1月1日起首先实施配套指引,而实施范围会于2012年1月1日起扩大至在上海证券交易所和深圳证券交易所主板上市的公司。对于还未实施相关内部控制措施的企业而言,时间十分紧迫。采用泰然神州符合SOX法案方案,能在较短时间内完成内控体系建设,通过加强IT内控,优化财务流程和财务应用系统等,满足监管机构和外部审计师的要求。
及时发现并有效阻止违规操作的发生
能够实时监控所有IT运维人员的运维行为,通过事前预防、事中控制、事后审计,发现内部有不合法的操作能够第一时间发现并制止,从而有效预防错误或违规事件的发生,降低违规风险。即使无法及时阻止,也能够追溯到操作源头,并提供充分的证据。
改善日常运营管理的不足,提高经营管理效率
通过实符合SOX方案,能够及时发现企业日常运管管理中存在的不足之处,提高防范风险能力,规范公司内控评估和审计工作实施的程序、方式和方法,不断深化内部控制建设,将内控融入企业经营的各个环节中,包括日常工作和企业文化,全面提升风险管理和内部控制水平,提高经营管理效率。