當(dāng)前位置:工程項目OA系統(tǒng) > 泛普各地 > 湖南OA系統(tǒng) > 長沙OA系統(tǒng) > 長沙OA信息化
SOX法案:點燃加強(qiáng)IT控制的星星之火Ⅰ
一個看似只與公司的財務(wù)審計活動有關(guān)的法案卻牽動了全球無數(shù)CEO、CFO和CIO的神經(jīng)—這就是被稱為“自羅斯福總統(tǒng)以來美國商業(yè)界影響最為深遠(yuǎn)的改革法案”的Sarbanes-Oxley法案(以下簡稱“SOX法案”)。國外有媒體稱,SOX法案是2005年CIO最為關(guān)注的幾件事情之一。
規(guī)避風(fēng)險、完善內(nèi)部控制,是SOX法案的核心訴求。由于企業(yè)的業(yè)務(wù)運(yùn)作已經(jīng)越來越依賴于IT系統(tǒng),以致于IT控制成為企業(yè)內(nèi)部控制的重要組成部分。也正因為如此,SOX法案與IT結(jié)下了不解之緣,成為時常縈繞在很多公司的CIO腦海中的一個新的詞匯。
自從2002年頒布以來,SOX法案就受到過一些非議。直到現(xiàn)在,這些非議也沒有完全平息。如歐盟就曾對該法案給予過抨擊。歐盟認(rèn)為,SOX法案的打擊面太廣,而且,由于該法案是在美國幾家公司發(fā)生會計丑聞之后匆忙制定,這便不免有事后諸葛亮之嫌。另外還有人認(rèn)為,SOX法案合規(guī)的成本太過高昂,以致于抵消了其可能帶來的收益。
盡管存有種種非議,但不可否認(rèn),在促進(jìn)相關(guān)上市公司完善內(nèi)部控制、規(guī)避商業(yè)風(fēng)險方面,SOX法案確實能夠發(fā)揮積極的作用。
對于在美國上市的30多家中國公司來說,他們正面臨著緊迫的SOX法案合規(guī)的任務(wù)—2006年7月15日之前,這些公司必須通過SOX法案內(nèi)部控制測試報告?!盀榱嗽诮刂蛊谙拗皩崿F(xiàn)SOX法案合規(guī),一些中國公司目前正熱火朝天地工作著。”畢馬威會計師事務(wù)所的朱恩良說。
而對于更多的非在美上市的中國公司而言,雖然暫時可以置身事外,但并不意味著他們可以對加強(qiáng)公司內(nèi)部控制一事漠不關(guān)心。
實際上,無論是上海證券交易所,還是香港聯(lián)交所,都已經(jīng)先后公布了與SOX法案類似的相關(guān)法規(guī),對上市公司建立內(nèi)部稽核制度和信息披露要求進(jìn)行了探討,也對與財務(wù)報告相關(guān)的IT控制提出了要求??梢灶A(yù)見,改進(jìn)IT控制和完善IT治理,不久必將進(jìn)入更多中國公司董事會和管理層的議事日程。
來自美國的SOX法案,正在點燃中國企業(yè)加強(qiáng)IT控制的星星之火。
我們大多數(shù)人應(yīng)該都不會對“會簽”感到陌生,在工作中我們都有過會簽的經(jīng)歷:單位下發(fā)了某個文件(如規(guī)章、通知等諸如此類的東西),相關(guān)員工在看過該文件之后,在文件后面簽上自己的姓名,以表示自己已經(jīng)看過了。
這顯然是多數(shù)人工作中再普通不過的經(jīng)驗。而且,一般來講,我們認(rèn)為這種做法是必要且符合邏輯的。因為當(dāng)你簽上了自己的大名之后,就表示你對該文件所傳達(dá)的內(nèi)容已經(jīng)知曉。如果日后你的行為與文件內(nèi)容有所不符,則你不能以不知道作為理由來推卸責(zé)任。
我們一般不會認(rèn)為這種會簽的做法有何不妥,而且,確實在大多數(shù)情況下,會簽這一制度都不會帶來什么嚴(yán)重的后果。但是,如果從SOX法案所注重的內(nèi)部控制的有效性的角度來看,這種會簽的做法是有隱患的。因為,在某些特殊情況之下,如果產(chǎn)生了不好的后果,真正應(yīng)該對此負(fù)責(zé)的人卻淹沒在眾多名字之中,使得事情難以處理。
內(nèi)部控制的有效性,這正是SOX法案的核心訴求之所在。而在紛繁復(fù)雜的內(nèi)部控制系統(tǒng)之中,IT控制是內(nèi)部控制不可缺少的一部分。
IT控制不可或缺
在企業(yè)內(nèi)部控制之中,IT控制具有如此重要的地位,一個直接的原因就是,隨著信息化建設(shè)的推進(jìn)和深入,企業(yè)的日常業(yè)務(wù)運(yùn)作已經(jīng)越來越依賴于IT系統(tǒng)的運(yùn)行。
“現(xiàn)在,很多企業(yè),尤其是大型企業(yè),早已不是手工作業(yè)。現(xiàn)在大多實施了ERP等信息管理系統(tǒng)。各公司的產(chǎn)品和服務(wù)的提供,都要通過復(fù)雜的應(yīng)用系統(tǒng)來進(jìn)行。如財務(wù)處理,基本上也是通過信息系統(tǒng)來做的,做財務(wù)報表需要輸入賬號和密碼,這實際上就是一種IT控制的手段。SOX法案要求IT方面的內(nèi)部控制是有效的,如果無效,會影響到公司財務(wù)數(shù)據(jù)的完整性和準(zhǔn)確性。”安永會計師事務(wù)所科技與信息安全咨詢服務(wù)合伙人冼嘉樂說。
IT控制分為IT一般性控制和應(yīng)用系統(tǒng)控制兩種。據(jù)冼嘉樂介紹,SOX法案所規(guī)定IT一般性控制,主要包括信息系統(tǒng)開發(fā)流程的控制、程序變更管理控制、計算機(jī)運(yùn)行管理控制、程序與數(shù)據(jù)訪問控制、信息系統(tǒng)安全的控制,還有IT計劃等,這些都是IT一般控制的范圍。在一般性控制之外,還有應(yīng)用系統(tǒng)的控制,大致包括應(yīng)用系統(tǒng)中設(shè)置的有關(guān)業(yè)務(wù)流程的輸入、數(shù)據(jù)處理和輸出控制。
“IT的一般性控制是非常重要的,做得不好直接影響應(yīng)用系統(tǒng)控制的有效性?!? 冼嘉樂說,“比如說,如果系統(tǒng)的安全性做得不好,就可能有人做一些未經(jīng)授權(quán)的數(shù)據(jù)的更改,或者是程序的更改。如果系統(tǒng)開發(fā)流程做得不好,肯能會影響到系統(tǒng)運(yùn)行操作,從而會影響到應(yīng)用系統(tǒng)本身滿足不了商業(yè)上的要求?!?
IT控制既是SOX法案的重要內(nèi)容,也和企業(yè)IT治理架構(gòu)的建立有密切的關(guān)系?!敖⒁粋€合理的IT治理架構(gòu)是實現(xiàn)有效的IT控制的基礎(chǔ)。” 畢馬威華振會計師事務(wù)所信息風(fēng)險管理部高級經(jīng)理朱恩良先生說,“IT控制的有效性,直接反映了IT治理的成效。”
安永的冼嘉樂對此也持類似的看法,他說:“IT治理是一個宏觀的基礎(chǔ),是從上到下的管理模式。IT治理涉及到IT的規(guī)范運(yùn)作,公司只有建立了完整的IT規(guī)范,有了明確的方向,IT控制才能達(dá)到高級管理層的要求。”
控制缺陷從何而來
控制之所以必須,就是因為沒有控制就會產(chǎn)生缺陷。SOX法案之所以要強(qiáng)調(diào)IT控制的有效性,也正是因為在現(xiàn)有的企業(yè)IT運(yùn)作中,存在著一些控制上的缺陷。
據(jù)冼嘉樂介紹,企業(yè)現(xiàn)在的IT控制上的缺陷主要有以下幾種。
在系統(tǒng)開發(fā)過程中,中國的很多企業(yè)都習(xí)慣于誰開發(fā)誰負(fù)責(zé)。從內(nèi)部控制的角度來看,這種習(xí)慣性做法是不對的。開發(fā)過程的很多環(huán)節(jié)需要有不同的人來審批,如果只是一個人負(fù)責(zé),容易產(chǎn)生隱患。
在數(shù)據(jù)備份方面,一般來說,良好的數(shù)據(jù)備份管理要求建立異地備份,而有的企業(yè)沒有異地備份。有的企業(yè)所謂的異地備份實際上是在同一個大廈,只是不在同一樓層,這是沒有意義的。
在系統(tǒng)訪問控制方面,要求用戶登錄系統(tǒng)時輸入密碼,密碼長度是多少,都是應(yīng)該有規(guī)定的。有的企業(yè)雖然也有類似的規(guī)定,但在實際操作過程中,有些密碼是默認(rèn)的,或者在系統(tǒng)配置上沒有符合有關(guān)規(guī)定中的要求。密碼只有一位數(shù),一位數(shù)的密碼顯然發(fā)揮不了應(yīng)有的作用。
此外,用戶的權(quán)限管理方面也容易存在缺陷,用戶的權(quán)限和自己的工作職責(zé)是不一致的,什么人都可以訪問系統(tǒng)和數(shù)據(jù),這顯然會產(chǎn)生漏洞。
有很多公司在各地都有分公司,可是很多分公司不按照總公司的要求來做,這也會導(dǎo)致控制上的缺陷。
在畢馬威的朱恩良看來,IT控制缺陷之所以會產(chǎn)生,與企業(yè)重功能輕控制的傾向直接相關(guān)。“我們將IT應(yīng)用于管理也有近20年了,長期以來,企業(yè)都只看重系統(tǒng)能發(fā)揮什么作用,為自己解決什么問題,卻忽略了IT的控制,即如何保證系統(tǒng)的安全。”
這種重功能輕控制的傾向?qū)е缕髽I(yè)對于IT控制方面的認(rèn)識嚴(yán)重不足,甚至就從來沒想過要進(jìn)行IT控制。而且,如果不做IT審計,往往看不到有什么問題,可是,如果用某種嚴(yán)格的標(biāo)準(zhǔn)來衡量,會發(fā)現(xiàn)問題很多。
比如說,在很多企業(yè),開發(fā)程序的人有進(jìn)入應(yīng)用系統(tǒng)的權(quán)力,因為有時候要對應(yīng)用系統(tǒng)進(jìn)行修改。大家認(rèn)為這是正常的,也是這樣做的。但這可能就是一個缺陷。程序員可以修改應(yīng)用系統(tǒng),這實際上是很危險的。如果這是個非常關(guān)鍵的系統(tǒng),那么危險性就很大。程序的變更應(yīng)該有規(guī)范的流程來控制,進(jìn)入系統(tǒng)應(yīng)該有嚴(yán)格的審批過程。但在現(xiàn)實中,很多企業(yè)往往沒有建立這種制度。
來源:賽迪網(wǎng)——中國計算機(jī)用戶
SOX法案:點燃加強(qiáng)IT控制的星星之火Ⅱ
- 1ITIL/ITSM、CobiT等IT治理培訓(xùn)體系正式發(fā)布
- 2企業(yè)集團(tuán)與供應(yīng)鏈聯(lián)盟--談ERP實施規(guī)劃的兩個維度(下)(何立永)
- 3IT成就設(shè)計價值
- 4尷尬的中國公司治理
- 5[原創(chuàng)]ITIL藍(lán)圖設(shè)計階段匯報
- 6湖南工程施工資料管理軟件
- 7長沙OA信息化的內(nèi)涵
- 8中國信息化:互聯(lián)網(wǎng)自由遭遇治理
- 9IT治理:提升信息化建設(shè)效果的關(guān)鍵
- 10業(yè)務(wù)驅(qū)動環(huán)境中的IT治理(AMT 編譯整理)
- 11“IT治理”高級研討班
- 12以內(nèi)部流程信息化管理根除公司治理頑疾
- 13平衡記分卡-IT治理的一大利器(二)IT平衡記分卡架構(gòu)設(shè)計
- 14再談業(yè)務(wù)流程智能(一)(AMT研究院 王艷)
- 15管理大講堂:制造執(zhí)行系統(tǒng)(二)中國應(yīng)用的現(xiàn)狀
- 16準(zhǔn)時生產(chǎn)技術(shù)(JIT)(二)(AMT研究院 張艷)
- 17OA是短信客戶接口程序調(diào)用的時候請求的url地址
- 182005中國IT治理年會召開 注重理念與實踐結(jié)合
- 19深度:國企赴美上市遭遇“新”障礙
- 20信息安全產(chǎn)業(yè)分析:SOX法案的啟示
- 21“非?!盜T治理
- 22項目管理成熟度模型(一)(AMT研究院 鄭佳)
- 23IT治理——概念、模型與框架
- 24[原創(chuàng)]左手流程,右手IT
- 25State Street公司進(jìn)化中的IT治理(AMT研究院 黃慶揚(yáng) 編譯)
- 26公司經(jīng)理權(quán)的濫用和公司治理機(jī)制的重建(上)
- 27IT服務(wù)外包:從IT系統(tǒng)的“保健醫(yī)生”做起
- 28企業(yè)如何在信息化項目中進(jìn)行項目范圍管理(下)(陳倩慈)
- 29治理的標(biāo)準(zhǔn):讓XBRL來制定
- 30“治理與信息化”專題之二 IT治理走來
成都公司:成都市成華區(qū)建設(shè)南路160號1層9號
重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓
泛普長沙OA信息化其他應(yīng)用
長沙OA 長沙新聞動態(tài) 長沙OA信息化 長沙OA快博 長沙OA軟件行業(yè)資訊 長沙軟件開發(fā)公司 長沙門禁系統(tǒng) 長沙物業(yè)管理軟件 長沙倉庫管理軟件 長沙餐飲管理軟件 長沙網(wǎng)站建設(shè)公司
版權(quán)所有:泛普軟件 渝ICP備14008431號-2 渝公網(wǎng)安備50011202501700號 咨詢電話:400-8352-114