首页 > 人工智能 > 正文

张艳:SOX法案实施与企业IT控制

2009-05-18 10:34:23  来源:IT168

摘要: 《萨班斯法案》有以下几个基本控制范围,公司层面控制,系统操作管理,安全管理,系统开发和维护/数据库维护,网络管理,操作系统维护。
关键词: IT控制

  关于《萨班斯法案》法案我就不多说,国际上美国证监会安然、世通事件,等等一些诈骗情况里面,美国证监会为了诚实公布信息,所以颁布了《萨班斯法案》法案。在方案中间一再说到关于IT风险这块,所以说我希望有机会跟大家一起探讨一下,在这个额为什么在《萨班斯法案》中间本来是针对上市公司财务审计,为什么跟我们IT审计是密切相关的等等一系列的过程。在企业发展过程中间它不断壮大,如果在十年前,对于我们财务系统来讲,完全可以靠手工来完成。但是十年后的今天,随着IT的发展,不管是各种各样的系统也好,包括ERP系统,或者单纯的财务系统,不可避免的通过在硬件上通过软件实现数据的录入、积累,最后呈现一个财务报表给大家看的情况。那么在这个过程中间由于把系统的不安全,或者硬件不安全,最终有可能导致财务报表的不安全。所以,从财务涉及IT这一块,根据美国证监会要求,审计师是穿透系统不是绕着系统审计,所以是这样一个过程。
  大家请看一下,这个《萨班斯法案》法案来源不再介绍了,在这个SOX中关于IT审计过程中间,我们需要相关的像C-SOX安全一些策略也好,规范条例也好,真正实现这样一个安全控制和管理。
  IT控制在每一个公司中存在,至少是下面三个因素,像决策管理、商务流程和IT服务。决策管理是建立在实体上,就是人的因素上,如果在一个企业中,不管是IT部门的负责人,还是一个企业的CEO也好,高层管理人员,如果他们没有充分地认识到IT管理的安全,首先来讲,就决定在IT层面上将不可能真正做到一种安全。其次是商务流程,商务流程就是说我们因为是要通过我们这些系统,来给我们企业创造价值,IT永远是作为一个帮助企业的业务部门来实现自身价值的部门。所以通过商务上由于业务的需求,我们引进了很多商务软件,包括大型ERP系统,通过这样系统跟我们IT硬件相结合在一起,形成高效一个系统集成这样一个概念。
  IT服务这一块,除了日常的IT维护和管理等等,它来决定服务好坏,同样决定安全非常重要的因素。其实我们也看到这样一张图表,这包括了SOX法案所要遵循的部分,中间包括实体层控制,这也给大家解释过了。现在ITAC应用方面,就是我们讲大型系统。再往下最底层是我们ITGC一般应用控制,在这个控制中间我们简单成为系统开发、系统变更、运营管理、安全管理四大块,我常常比喻为是一个金字塔形的框架。在金字塔的底层是由ITGC来控制的,中间是应用程序控制方面,在塔尖一定是人的控制,通过这样一个搭建结构才能保证我们整个IT的在大型企业中,IT非常安全的控制。
  再用一个同样的图表来给大家解释一下,在我们ITAC和ITGC相近的关系,上面有一系列安全产品,这样搭建我们IT的基础安全措施,上面是我们常见的财务系统,不管是什么样的系统,它也应该是只有秉承安全的,上面才安全,上面是我们业务系统、采购系统、销售系统等等,我们财务相关接口实现有效的管理。再往上我们可以看到通过一系列这样的流程,最后我们呈现这份财务报表,为什么在说到C-SOX当中大家说我们需要做IT安全,在整个《萨班斯法》并没有说到IT审计,但是在我们日益们上市公司做审计的时候面临财务审计,基于这样的原因,在ITGC大概控制点,这是AC准确、完整、授权职责分离。
  这是ITGC和ITAC关系的图表,首先从信息管理和人事结构,这是一个公司,其次是上升到人的,在有是整个公司的管理,凭险评估,再就是流程层面评估,分为早期,系统与数据所有者,包括业务有关数据控制等等。
  我们所有安全策略其实基于框架结构谈到,石油是美国一个信息系统控制协会,它分为四大块,在这个框架计划和组织结构,开发采购信息系统,等等。这是我们常见一张框架具体图表,每块对应我们说四大块,我们讲拷贝一个框架跟《萨班斯法案》有什么关系呢?我们通过这样一个图表让大家来理解。信息计划和组织结构开发和我们公司层面内控是相符合,采购信息系统和系统开发和维护是向符合。
  在《萨班斯法案》中间我们实施过程是什么样的?首先,我们要做一个有效设计,我们建立一些常规流程,这个流程是首先是我们做安全第一步,我们如何管理网络,其次是我们建立相关策略我们有没有执行,执行以后有没有监控,如果说我们制定了一定的策略,但是没有人执行,更谈不上监控,结果等于一样,没有完成这样的工作,也不可能实现真正的安全。这样只有通过一系列的建立、执行、监控,最终包括穿行测试,通过了我们这套系统,刚才我也说对系统测试应该是穿行而不是绕行,最后达到内部监控的改善。
  《萨班斯法案》有以下几个基本控制范围,公司层面控制,系统操作管理,安全管理,系统开发和维护/数据库维护,网络管理,操作系统维护。
  首先从公司公司层面可以看一下,建立与公司层面有关的管理目标,规定和流程等等,意义是确保公司IT部门有明确管理目标和制度,确保公司所有员工认识到时候IT系统重要性以及如何遵守公司IT制定,这一点是可以实现的,可以通过我们新员工入职的时候可以跟他建立一个,要他知道所有IT的方面的所有层面,不会因为他的操作公司有一些损失或者破坏。同时也给公司从法律的角度来讲做了一个非常有效的保障。
  确保IT部门制定的策略与公司发展方向一致,我们IT发展是一定要同我们业务相匹配,作为一个公司讲没有一个长期的战略计划,而且在这个战略计划制定之后应该建立有效跟业务部门沟通以后进行不断更新。这些公司都在了以后,一个公司IT怎么谈得上安全,因为他对IT发展方向都没有一个明确控制管理。
  下面是针对系统开发、维护和数据库维护的相关要求,要对系统数据库上线以后做修改管理,这些为什么从设备采购我们就要开始控制了,在采购环节从价格各方面进行有效管理,在开发层面我们有没有做到有效职责分离,测试环节上我们有没有做渗透式的测试,等等因素不管其中某一个环节都有可能造成整个系统开发维护和数据库的维护,是有安全漏洞的存在。
  下面是安全的管理和网络管理,制定和持续确保系统、平台、数据库、网络等在逻辑性和物理性方面有安全和有管理的存取措施,更多是针对我们的常见的安全设备像防火墙,路由器等等一系列的硬件产品,包括今天我们看到在场一系列安全产品,这些产品有助于我们保障我们的整个IT系统的安全。下面是系统操作管理和操作系统的维护,确保系统日常操作一致性,制定故障处理,发布,记录和分析流程,等等这样一些部门。可以达到在操作系统层面做一个非常安全的控制和管理。
  最后是我们所说到应用控制,应有控制中心确保应用系统在输入及输出数据时能够有效控制数据的准确、完整性,确保授予员工的应用系统权限不会有职责分离的冲突,确保系统之间的数据传送的准确和完整性,确保系统运算的准确。中航油就有一个事件,由于数据缺失导致了6亿元的损失。


第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。