今天，我会和大家交流一下国内将出台的规范，提出IT相关部分，涉及到灾备等方面。2009年7月1日开始，所有上市公司必须建设一个可以自我评估内部控制的机制。这些要求是否和以前的一样？这个规定7月1日出台后并不会马上实行，而是先放在那里，需要进行试点实验。各个行业中，比如宝钢需要首先进行，然后其他的企业再进行。保险行业也是一样。要怎么做已经确定，但是细节还没有落实。国家鼓励民间会计师事务所参与到内控制度秩序的建设，会计不只是记账，有很多时候还有其他的职务。
　　C-SOX对于内部控制的要求
　　——企业经营管理合规合法
　　——资产安全
　　——财务报表与相关信息的真实性和完整性
　　——提高经营效率和效果
　　——内控制度实施发展策略
　　内控事实中问题
　　《企业内控应用指引——计算机信息系统》是IT信息系统的相关要求。实施内部控制利用现代的管理手段、开发信息系统、优化管理流程、减少人为操纵因素、不断提高内部控制效率。减少人为操纵意思是尽量使用自动控制，不要太多可以人为操控的。以往开发信息系统时从四个角度出发，编程希望达到信息系统的功能，进行可行性调研，满足使用者需求。为了满足第一条要求内审部门开发信息系统设计之初考虑增加查询功能，以便以后的审计控管。会计师进行IT审计时，会看授权是否适当，找寻佐证。如果有账号从来没有登陆过就可以证明IT管理的好不好。如何发展一个全程监管的体系。数据要备份，安全问题，企业要制定完整的灾备计划。
　　内部管理角度，可以分为两大块。
　　灾备角度。BCM角度。
　　信息安全管理重视访问安全。应用方面安全。有些财务系统，账号开设备份做到不到位，但是担心IT人员，不允许IT人员碰。
　　IT审计时会约总经理、CEO等，我们谈IT问题之前会先问他们这些问题：
　　1. 哪些事件会造成生产经营业务瘫痪
　　2. 你有哪些计划保障业务不瘫痪
　　3. 市场声誉是否受到影响
　　4. 重要岗位人员和重要资产如何保护
　　几个标准
　　——国家标准GB/T20988-2007信息安全技术，明确要求信息系统灾难恢复工作，首先灾难恢复的规划，灾备中心的日程运行，还包括发生灾难后的紧急响应，响应包括通告，如果是和国计民生相关的企业的话要向主管机构报告，我们做国际项目时，应急程序报告都要通告国资委。应急响应时临时进行的操作，事情平息后怎样恢复，国标中讲解的很详细。
　　——香港金融局运作规则。很多银行到香港设立分行，香港有很多IT相关管理要求，需要会计师事务所出具相关审计报告，所以我们对香港的法律特别熟悉。其中一些很具体的要求可以参考。
　　——Basel Ⅱ。专业人事应该知道巴塞尔协议，其中谈到银行业面对的三大风险，其中作业风险和IT直接相关，灾害引起物理环境损坏，造成业务中断，有时灾害并不是很大，比如只是中毒，但是也会影响到业务。某个银行分行系统遭到攻击，结果分行不愿意断线，使得攻击回到总行数据中心里面扩大伤害。如果原来就有很好的灾备规划，就不会发生这样的事情。
　　——BS25999BCM标准管理系统
　　——NISTSP800-34信息技术系统应急计划指南
　　以业务和风险为导向是业务连续性项目成功的关键
　　以业务为导向，以风险为基础。技术很重要，规划再好但是不能实现也是不行的，重要的是系统可以做到什么，为什么是2小时可以起来，而不是4小时。以业务和风险为导向考虑的不再只是系统，或者网络，而是企业信息流的管理。我们以前做过一个国家级的灾备管理，如果真的遇到像汶川地震这样的情况，基础设施都被毁坏，通讯怎么处理，灾备会谈到通讯系统不要等待别人来修理，而是自己主动出击，避免更大损失。
　　应急预案的考虑。只有IT部门的参与会很尴尬，需要方方面面的人员加入讨论。评估要稳，面要广。适当与领导沟通。
　　信息安全推动：机密性、完整性、可用性
　　客户利益等保密要求，国家/商家信誉，监管审计，业务运营。做监管要从很多方面考虑。收集信息资产要做风险分析。
　　信息安全建设的两种思路
　　要有前瞻性看法：
　　·目标导向
　　·资源优化
　　信息安全工作开展的注意事项
　　·全员参与。动员人的积极性。
　　·全面保障。涵盖面要广。各个科室都要参加。如果有的科室没有做的话，就没有达到全员参与的标准，而且也不够广，会有所疏漏。
　　·标准化。按照标准进行。改革变革的时候会遇到阻力，如果有反对的意见，就可以告诉他们这是标准。比如采购买产品买知名品牌，因为他们没有责任。这就是说如果有标准的话就会比较好。
　　·适度保护。一定要分类分级，比如机密类，绝密类。这取决于成本的考虑，所以要分级保护。
　　·合规性。非常重视国家法律，如果签合同有一个字错就会收回重新签。中国的竞争也越来越激烈，最好就要合规。规定的设定是有道理的，所以要合规。
　　C-SOX不是说企业自己要有体系，而是可以自我评估，评估要合规，要有一定的标准。C-SOX起到的作用是变革，不是改变制度而是改变人。
　　德勤在做业务的时候会遇到很多国家的法律法规，可以吸收很多好的法律法规。做会计师税务签证会设计责任问题，但是咨询不会，所以很多事务所经常选择做咨询，四大会计师事务所的咨询业务发展很大，有些影响到审计的业务，咨询公司就迁离出去成立独立公司。现在只有德勤的咨询公司还没有迁出。我们从审计IT部门起家，慢慢积累到现在。这是德勤的简单介绍。今天给大家报告了C-SOX的一些材料，主要是这些。谢谢。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。