风凌天下,辰东完美世界有声小说,有声读物

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

泰然神州符合SOX法案解決方案

SOX法案及對中國企業(yè)的影響

針對安然、世通等財務(wù)欺詐事件，美國國會于2002 年出臺了《公眾公司會計改革和投資者保護(hù)法案》。該法案由美國眾議院金融服務(wù)委員會主席奧克斯利和參議院銀行委員會主席薩班斯聯(lián)合提出，因此又被稱作《薩班斯-奧克斯利法案》（Sarbanes-Oxley Act）。該法案對組織治理、財務(wù)會計、監(jiān)管審計制定了新的準(zhǔn)則，并要求組織治理核心如董事會、高層管理、內(nèi)外部審計在評估和報告組織內(nèi)部控制的有效性和充分性中發(fā)揮關(guān)鍵作用。

為了提高上市公司的透明度，防止類似事故的發(fā)生，除美國之外，英國和日本等國也先后頒布了類似的企業(yè)內(nèi)部控制法案。中國也在2008年頒布了《企業(yè)內(nèi)控基本法案》，又稱China SOX或C-SOX法案，希望通過法律的形式來強(qiáng)制相關(guān)公司進(jìn)行嚴(yán)格內(nèi)部管理，以保障公司投資者利益。2010年4月，財政部、證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會等五部門又聯(lián)合發(fā)布了《企業(yè)內(nèi)部控制配套指引》，并制定出確切實(shí)施時間表：自2011年1月1日起企業(yè)內(nèi)部控制首先在境內(nèi)外同時上市的公司實(shí)施，自2012年1月1日起擴(kuò)大到上交所、深交所主板上市的公司。

SOX法案對企業(yè)管理的挑戰(zhàn)

SOX法案中的404條款，是公認(rèn)的最難操作、最復(fù)雜、耗費(fèi)成本最高的一個條款。條款規(guī)定，在美上市企業(yè)，要建立內(nèi)部控制體系，其中包括控制環(huán)境、風(fēng)險評估、控制活動、信息溝通以及監(jiān)督5個部分。簡言之，SOX對企業(yè)的最主要的要求就是內(nèi)控與審計：一方面企業(yè)要有足夠簡潔與有效的手段實(shí)現(xiàn)內(nèi)控；另一方面，對所有的操作都需要有記錄，以便隨時審核、審查。

為應(yīng)對第404條款的要求，所有對財務(wù)報告有影響的人員操作、IT系統(tǒng)操作都應(yīng)有明確的定義，并對這些定義進(jìn)行記錄，同時對這些操作要有過程審計記錄(包括事前、事中、事后)。要在短時間內(nèi)滿足審計要求，對企業(yè)而言是極大的挑戰(zhàn)。國內(nèi)的許多企業(yè)在實(shí)施SOX項(xiàng)目時，普遍暴露出了一些問題：

一是普遍缺乏對信息系統(tǒng)從招投標(biāo)建設(shè)到上線實(shí)施再到驗(yàn)收之后的運(yùn)行維護(hù)的一整套成體系的IT管理制度。

二是員工的工作習(xí)慣問題。由于普遍具有的國有背景的特點(diǎn)，長期以來養(yǎng)成的工作習(xí)慣無法符合第404條款或是現(xiàn)代企業(yè)管理制度的要求。如有些系統(tǒng)維護(hù)人員在進(jìn)行系統(tǒng)檢查時發(fā)現(xiàn)了問題，隨即進(jìn)行排查和解決，卻未留下任何的檢修記錄；如根據(jù)領(lǐng)導(dǎo)一個電話就為某位員工開通某個系統(tǒng)權(quán)限等。而《薩班斯法案》要求所有的操作都遵循一定控制要求來執(zhí)行，所有的工作必須責(zé)任到人，對重要工作要留下相應(yīng)的痕跡。

三是系統(tǒng)普遍未達(dá)到第404條款的要求。出于對財務(wù)報表相關(guān)的披露信息的關(guān)注和重視，第404條款要求企業(yè)通過公司層面的監(jiān)督、信息與溝通、控制活動、風(fēng)險評估和控制環(huán)境控制，以及信息技術(shù)一般性控制層面和業(yè)務(wù)應(yīng)用層面的控制來確保構(gòu)成財務(wù)報表的信息系統(tǒng)源數(shù)據(jù)以及計算邏輯準(zhǔn)確和完整。而國內(nèi)企業(yè)的系統(tǒng)和流程都存在著不少的問題，比如系統(tǒng)的密碼策略沒有固化、數(shù)據(jù)的備份策略不完整等。

SOX法案對IT運(yùn)維管理的挑戰(zhàn)

在IT運(yùn)維管理方面，國內(nèi)的企業(yè)也普遍存在著各個業(yè)務(wù)系統(tǒng)各自為政的情況--各自有一套用戶信息數(shù)據(jù)，管理本系統(tǒng)內(nèi)的賬號和口令，并孤立地以日志形式審計操作者在系統(tǒng)內(nèi)的操作行為。這種分散式的賬號口令管理、訪問控制及審計措施不僅嚴(yán)重影響了IT運(yùn)維管理的效率，提升了運(yùn)維成本，也難以滿足SOX法案的相關(guān)要求。主要表現(xiàn)在以下幾方面：

1、大量的網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)和應(yīng)用系統(tǒng)分屬不同的部門或業(yè)務(wù)系統(tǒng)，認(rèn)證、授權(quán)和審計方式?jīng)]有統(tǒng)一，當(dāng)需要同時對多個系統(tǒng)進(jìn)行操作時，工作復(fù)雜度成倍增加。

2、一些設(shè)備和業(yè)務(wù)系統(tǒng)由廠商代維，因缺乏統(tǒng)一監(jiān)管，安全狀況不得而知。

3、各系統(tǒng)分別管理所屬的系統(tǒng)資源，為本系統(tǒng)的用戶分配訪問權(quán)限，缺乏統(tǒng)一的訪問控制平臺，隨著用戶數(shù)增加，權(quán)限管理愈發(fā)復(fù)雜，系統(tǒng)安全難以得到充分保障。

4、個別賬號多人共用，擴(kuò)散范圍難以控制，發(fā)生安全事故時更難以確定實(shí)際使用者。

5、隨著系統(tǒng)增多，用戶經(jīng)常需要在各系統(tǒng)間切換，而每次切換都需要輸入該系統(tǒng)的用戶名和口令，為不影響工作效率，用戶往往會采用簡單口令或?qū)⒍鄠€系統(tǒng)的口令設(shè)置成相同的，造成對系統(tǒng)安全性的威脅。

6、對各個系統(tǒng)缺乏集中統(tǒng)一的訪問審計，無法進(jìn)行綜合分析，因此不能及時發(fā)現(xiàn)入侵行為。

泰然神州SOX解決方案

為了幫助上市和將要上市的公司建立和維護(hù)一套有效的IT內(nèi)控體系，滿足監(jiān)管機(jī)構(gòu)的審計要求，泰然神州公司推出了結(jié)合中國企業(yè)特色的"符合SOX法案方案"，采用泰然神州Zendeep運(yùn)維審計管理平臺，通過統(tǒng)一用戶賬號(Account)管理、統(tǒng)一認(rèn)證(Authentication) 管理、統(tǒng)一授權(quán)(Authorization)管理和統(tǒng)一安全審計(Audit)的4A管理，實(shí)現(xiàn)一體化的審計與管理。在該方案中，集中管理是前提，對企業(yè)數(shù)據(jù)中心所有設(shè)備、服務(wù)器、應(yīng)用系統(tǒng)操作進(jìn)行統(tǒng)一管理和控制；身份認(rèn)證是基礎(chǔ)，主要是解決操作者身份和工作角色問題，一個用戶擁有多個工作角色，一個角色同時也對應(yīng)多個用戶；訪問控制是手段，主要是控制操作人員可以訪問什么資源，有效減低未授權(quán)的安全風(fēng)險；權(quán)限控制是核心，主要對操作人員的風(fēng)險進(jìn)行有效控制，有效減低安全風(fēng)險。

強(qiáng)大的審計功能是該方案的最大亮點(diǎn)，它就像是信息系統(tǒng)和管理維護(hù)人員之間的一部"操作錄像機(jī)"一樣，能夠?qū)崟r、完整地記錄用戶的操作，并提供方便靈活的操作回放或查詢檢索的手段；可以對基于Telnet、FTP、SSH、RDP、VNC等協(xié)議的訪問操作進(jìn)行過程的抓取，從而可以錄像方式對所有運(yùn)維人員的所有操作進(jìn)行記錄，并具備強(qiáng)大的搜索功能，可對特定時段、特定事件、特定用戶等邏輯要素進(jìn)行搜索與提取--滿足了SOX法案對內(nèi)部控制的要求，達(dá)到真正意義上的審計與風(fēng)險控制。

方案特點(diǎn)

統(tǒng)一認(rèn)證、授權(quán)和審計，工作復(fù)雜度大幅度降低

運(yùn)維審計管理平臺作為企業(yè)運(yùn)維的唯一操作入口，對操作進(jìn)行集中管理，對身份、賬號、訪問、權(quán)限、審計進(jìn)行控制，不需要調(diào)整網(wǎng)絡(luò)、不需要更改交換機(jī)/路由器配置、不需要安裝任何代理程序。使運(yùn)維管理工作的復(fù)雜程度大幅度降低。

統(tǒng)一監(jiān)管，安全狀況盡在掌握

出入口的統(tǒng)一有利于操作審計工作的進(jìn)行，通過最簡單有效的集中化管理、帳號及密碼的統(tǒng)一管理、訪問權(quán)限策略的集中配置、操作命令防火墻策略的集中配置及用戶操作行為的集中審計，為統(tǒng)一審計提供根本保障，使企業(yè)IT運(yùn)維的安全狀況盡在掌握中。

單點(diǎn)登錄(SSO)，免去多次輸入用戶名和口令的繁瑣

普通操作用戶只需一次登錄平臺，鍵入一次密碼，隨后對于相關(guān)設(shè)備的訪問不再需要相應(yīng)賬戶密碼。如此，對于各類設(shè)備能在一個操作界面內(nèi)完成工作，無需用戶在各系統(tǒng)間切換，免去了多次輸入用戶名和口令的繁瑣。

對各個系統(tǒng)進(jìn)行統(tǒng)一的訪問審計，利于綜合分析，及時發(fā)現(xiàn)入侵行為

運(yùn)維審計管理平臺擁有強(qiáng)大專業(yè)審計功能，凡是通過該平臺的操作全部要有審計記錄，包括字符終端操作審計、數(shù)據(jù)庫操作審計、圖形終端操作審計、文件傳輸審計、軟件分發(fā)審計等，并且審計記錄能夠通過各種條件進(jìn)行檢索。同時所有的會話記錄，對運(yùn)維系統(tǒng)的管理人員有直接的幫助，讓管理員更清晰看見目前有那些人正在做著操作，什么時候開始的，正在做什么等，徹底解決操作不透明的問題。

方案價值

快速實(shí)施，滿足監(jiān)管要求

按照中國監(jiān)管當(dāng)局制定的實(shí)施時間表，境內(nèi)外同時上市的公司需于2011年1月1日起首先實(shí)施配套指引，而實(shí)施范圍會于2012年1月1日起擴(kuò)大至在上海證券交易所和深圳證券交易所主板上市的公司。對于還未實(shí)施相關(guān)內(nèi)部控制措施的企業(yè)而言，時間十分緊迫。采用泰然神州符合SOX法案方案，能在較短時間內(nèi)完成內(nèi)控體系建設(shè)，通過加強(qiáng)IT內(nèi)控，優(yōu)化財務(wù)流程和財務(wù)應(yīng)用系統(tǒng)等，滿足監(jiān)管機(jī)構(gòu)和外部審計師的要求。

及時發(fā)現(xiàn)并有效阻止違規(guī)操作的發(fā)生

能夠?qū)崟r監(jiān)控所有IT運(yùn)維人員的運(yùn)維行為，通過事前預(yù)防、事中控制、事后審計，發(fā)現(xiàn)內(nèi)部有不合法的操作能夠第一時間發(fā)現(xiàn)并制止，從而有效預(yù)防錯誤或違規(guī)事件的發(fā)生，降低違規(guī)風(fēng)險。即使無法及時阻止，也能夠追溯到操作源頭，并提供充分的證據(jù)。

改善日常運(yùn)營管理的不足，提高經(jīng)營管理效率

通過實(shí)符合SOX方案，能夠及時發(fā)現(xiàn)企業(yè)日常運(yùn)管管理中存在的不足之處，提高防范風(fēng)險能力，規(guī)范公司內(nèi)控評估和審計工作實(shí)施的程序、方式和方法，不斷深化內(nèi)部控制建設(shè)，將內(nèi)控融入企業(yè)經(jīng)營的各個環(huán)節(jié)中，包括日常工作和企業(yè)文化，全面提升風(fēng)險管理和內(nèi)部控制水平，提高經(jīng)營管理效率。

文章名稱：泰然神州符合SOX法案解決方案
URL地址：http://m.fisionsoft.com.cn/article/coshpsi.html

新聞中心

其他資訊