SOX法案及對(duì)中國企業(yè)的影響

針對(duì)安然、世通等財(cái)務(wù)欺詐事件，美國國會(huì)于2002 年出臺(tái)了《公眾公司會(huì)計(jì)改革和投資者保護(hù)法案》。該法案由美國眾議院金融服務(wù)委員會(huì)主席奧克斯利和參議院銀行委員會(huì)主席薩班斯聯(lián)合提出，因此又被稱作《薩班斯-奧克斯利法案》（Sarbanes-Oxley Act）。該法案對(duì)組織治理、財(cái)務(wù)會(huì)計(jì)、監(jiān)管審計(jì)制定了新的準(zhǔn)則，并要求組織治理核心如董事會(huì)、高層管理、內(nèi)外部審計(jì)在評(píng)估和報(bào)告組織內(nèi)部控制的有效性和充分性中發(fā)揮關(guān)鍵作用。

為了提高上市公司的透明度，防止類似事故的發(fā)生，除美國之外，英國和日本等國也先后頒布了類似的企業(yè)內(nèi)部控制法案。中國也在2008年頒布了《企業(yè)內(nèi)控基本法案》，又稱China SOX或C-SOX法案，希望通過法律的形式來強(qiáng)制相關(guān)公司進(jìn)行嚴(yán)格內(nèi)部管理，以保障公司投資者利益。2010年4月，財(cái)政部、證監(jiān)會(huì)、審計(jì)署、銀監(jiān)會(huì)、保監(jiān)會(huì)等五部門又聯(lián)合發(fā)布了《企業(yè)內(nèi)部控制配套指引》，并制定出確切實(shí)施時(shí)間表：自2011年1月1日起企業(yè)內(nèi)部控制首先在境內(nèi)外同時(shí)上市的公司實(shí)施，自2012年1月1日起擴(kuò)大到上交所、深交所主板上市的公司。

SOX法案對(duì)企業(yè)管理的挑戰(zhàn)

SOX法案中的404條款，是公認(rèn)的最難操作、最復(fù)雜、耗費(fèi)成本最高的一個(gè)條款。條款規(guī)定，在美上市企業(yè)，要建立內(nèi)部控制體系，其中包括控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息溝通以及監(jiān)督5個(gè)部分。簡言之，SOX對(duì)企業(yè)的最主要的要求就是內(nèi)控與審計(jì)：一方面企業(yè)要有足夠簡潔與有效的手段實(shí)現(xiàn)內(nèi)控；另一方面，對(duì)所有的操作都需要有記錄，以便隨時(shí)審核、審查。

為應(yīng)對(duì)第404條款的要求，所有對(duì)財(cái)務(wù)報(bào)告有影響的人員操作、IT系統(tǒng)操作都應(yīng)有明確的定義，并對(duì)這些定義進(jìn)行記錄，同時(shí)對(duì)這些操作要有過程審計(jì)記錄(包括事前、事中、事后)。要在短時(shí)間內(nèi)滿足審計(jì)要求，對(duì)企業(yè)而言是極大的挑戰(zhàn)。國內(nèi)的許多企業(yè)在實(shí)施SOX項(xiàng)目時(shí)，普遍暴露出了一些問題：

一是普遍缺乏對(duì)信息系統(tǒng)從招投標(biāo)建設(shè)到上線實(shí)施再到驗(yàn)收之后的運(yùn)行維護(hù)的一整套成體系的IT管理制度。

二是員工的工作習(xí)慣問題。由于普遍具有的國有背景的特點(diǎn)，長期以來養(yǎng)成的工作習(xí)慣無法符合第404條款或是現(xiàn)代企業(yè)管理制度的要求。如有些系統(tǒng)維護(hù)人員在進(jìn)行系統(tǒng)檢查時(shí)發(fā)現(xiàn)了問題，隨即進(jìn)行排查和解決，卻未留下任何的檢修記錄；如根據(jù)領(lǐng)導(dǎo)一個(gè)電話就為某位員工開通某個(gè)系統(tǒng)權(quán)限等。而《薩班斯法案》要求所有的操作都遵循一定控制要求來執(zhí)行，所有的工作必須責(zé)任到人，對(duì)重要工作要留下相應(yīng)的痕跡。

三是系統(tǒng)普遍未達(dá)到第404條款的要求。出于對(duì)財(cái)務(wù)報(bào)表相關(guān)的披露信息的關(guān)注和重視，第404條款要求企業(yè)通過公司層面的監(jiān)督、信息與溝通、控制活動(dòng)、風(fēng)險(xiǎn)評(píng)估和控制環(huán)境控制，以及信息技術(shù)一般性控制層面和業(yè)務(wù)應(yīng)用層面的控制來確保構(gòu)成財(cái)務(wù)報(bào)表的信息系統(tǒng)源數(shù)據(jù)以及計(jì)算邏輯準(zhǔn)確和完整。而國內(nèi)企業(yè)的系統(tǒng)和流程都存在著不少的問題，比如系統(tǒng)的密碼策略沒有固化、數(shù)據(jù)的備份策略不完整等。

SOX法案對(duì)IT運(yùn)維管理的挑戰(zhàn)

在IT運(yùn)維管理方面，國內(nèi)的企業(yè)也普遍存在著各個(gè)業(yè)務(wù)系統(tǒng)各自為政的情況--各自有一套用戶信息數(shù)據(jù)，管理本系統(tǒng)內(nèi)的賬號(hào)和口令，并孤立地以日志形式審計(jì)操作者在系統(tǒng)內(nèi)的操作行為。這種分散式的賬號(hào)口令管理、訪問控制及審計(jì)措施不僅嚴(yán)重影響了IT運(yùn)維管理的效率，提升了運(yùn)維成本，也難以滿足SOX法案的相關(guān)要求。主要表現(xiàn)在以下幾方面：

1、大量的網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)和應(yīng)用系統(tǒng)分屬不同的部門或業(yè)務(wù)系統(tǒng)，認(rèn)證、授權(quán)和審計(jì)方式?jīng)]有統(tǒng)一，當(dāng)需要同時(shí)對(duì)多個(gè)系統(tǒng)進(jìn)行操作時(shí)，工作復(fù)雜度成倍增加。

2、 一些設(shè)備和業(yè)務(wù)系統(tǒng)由廠商代維，因缺乏統(tǒng)一監(jiān)管，安全狀況不得而知。

3、各系統(tǒng)分別管理所屬的系統(tǒng)資源，為本系統(tǒng)的用戶分配訪問權(quán)限，缺乏統(tǒng)一的訪問控制平臺(tái)，隨著用戶數(shù)增加，權(quán)限管理愈發(fā)復(fù)雜，系統(tǒng)安全難以得到充分保障。

4、 個(gè)別賬號(hào)多人共用，擴(kuò)散范圍難以控制，發(fā)生安全事故時(shí)更難以確定實(shí)際使用者。

5、隨著系統(tǒng)增多，用戶經(jīng)常需要在各系統(tǒng)間切換，而每次切換都需要輸入該系統(tǒng)的用戶名和口令，為不影響工作效率，用戶往往會(huì)采用簡單口令或?qū)⒍鄠€(gè)系統(tǒng)的口令設(shè)置成相同的，造成對(duì)系統(tǒng)安全性的威脅。

6、 對(duì)各個(gè)系統(tǒng)缺乏集中統(tǒng)一的訪問審計(jì)，無法進(jìn)行綜合分析，因此不能及時(shí)發(fā)現(xiàn)入侵行為。

泰然神州SOX解決方案

為了幫助上市和將要上市的公司建立和維護(hù)一套有效的IT內(nèi)控體系，滿足監(jiān)管機(jī)構(gòu)的審計(jì)要求，泰然神州公司推出了結(jié)合中國企業(yè)特色的"符合SOX法案方案"，采用泰然神州Zendeep運(yùn)維審計(jì)管理平臺(tái)，通過統(tǒng)一用戶賬號(hào)(Account)管理、統(tǒng)一認(rèn)證(Authentication) 管理、統(tǒng)一授權(quán)(Authorization)管理和統(tǒng)一安全審計(jì)(Audit)的4A管理，實(shí)現(xiàn)一體化的審計(jì)與管理。在該方案中，集中管理是前提，對(duì)企業(yè)數(shù)據(jù)中心所有設(shè)備、服務(wù)器、應(yīng)用系統(tǒng)操作進(jìn)行統(tǒng)一管理和控制；身份認(rèn)證是基礎(chǔ)，主要是解決操作者身份和工作角色問題，一個(gè)用戶擁有多個(gè)工作角色，一個(gè)角色同時(shí)也對(duì)應(yīng)多個(gè)用戶；訪問控制是手段，主要是控制操作人員可以訪問什么資源，有效減低未授權(quán)的安全風(fēng)險(xiǎn)；權(quán)限控制是核心，主要對(duì)操作人員的風(fēng)險(xiǎn)進(jìn)行有效控制，有效減低安全風(fēng)險(xiǎn)。

強(qiáng)大的審計(jì)功能是該方案的最大亮點(diǎn)，它就像是信息系統(tǒng)和管理維護(hù)人員之間的一部"操作錄像機(jī)"一樣，能夠?qū)崟r(shí)、完整地記錄用戶的操作，并提供方便靈活的操作回放或查詢檢索的手段；可以對(duì)基于Telnet、FTP、SSH、RDP、VNC等協(xié)議的訪問操作進(jìn)行過程的抓取，從而可以錄像方式對(duì)所有運(yùn)維人員的所有操作進(jìn)行記錄，并具備強(qiáng)大的搜索功能，可對(duì)特定時(shí)段、特定事件、特定用戶等邏輯要素進(jìn)行搜索與提取--滿足了SOX法案對(duì)內(nèi)部控制的要求，達(dá)到真正意義上的審計(jì)與風(fēng)險(xiǎn)控制。

方案特點(diǎn)

統(tǒng)一認(rèn)證、授權(quán)和審計(jì)，工作復(fù)雜度大幅度降低

運(yùn)維審計(jì)管理平臺(tái)作為企業(yè)運(yùn)維的唯一操作入口，對(duì)操作進(jìn)行集中管理，對(duì)身份、賬號(hào)、訪問、權(quán)限、審計(jì)進(jìn)行控制，不需要調(diào)整網(wǎng)絡(luò)、不需要更改交換機(jī)/路由器配置、不需要安裝任何代理程序。使運(yùn)維管理工作的復(fù)雜程度大幅度降低。

統(tǒng)一監(jiān)管，安全狀況盡在掌握

出入口的統(tǒng)一有利于操作審計(jì)工作的進(jìn)行，通過最簡單有效的集中化管理、帳號(hào)及密碼的統(tǒng)一管理、訪問權(quán)限策略的集中配置、操作命令防火墻策略的集中配置及用戶操作行為的集中審計(jì)，為統(tǒng)一審計(jì)提供根本保障，使企業(yè)IT運(yùn)維的安全狀況盡在掌握中。

單點(diǎn)登錄(SSO)，免去多次輸入用戶名和口令的繁瑣

普通操作用戶只需一次登錄平臺(tái)，鍵入一次密碼，隨后對(duì)于相關(guān)設(shè)備的訪問不再需要相應(yīng)賬戶密碼。如此，對(duì)于各類設(shè)備能在一個(gè)操作界面內(nèi)完成工作，無需用戶在各系統(tǒng)間切換，免去了多次輸入用戶名和口令的繁瑣。

對(duì)各個(gè)系統(tǒng)進(jìn)行統(tǒng)一的訪問審計(jì)，利于綜合分析，及時(shí)發(fā)現(xiàn)入侵行為

運(yùn)維審計(jì)管理平臺(tái)擁有強(qiáng)大專業(yè)審計(jì)功能，凡是通過該平臺(tái)的操作全部要有審計(jì)記錄，包括字符終端操作審計(jì)、數(shù)據(jù)庫操作審計(jì)、圖形終端操作審計(jì)、文件傳輸審計(jì)、軟件分發(fā)審計(jì)等，并且審計(jì)記錄能夠通過各種條件進(jìn)行檢索。同時(shí)所有的會(huì)話記錄，對(duì)運(yùn)維系統(tǒng)的管理人員有直接的幫助，讓管理員更清晰看見目前有那些人正在做著操作，什么時(shí)候開始的，正在做什么等，徹底解決操作不透明的問題。

方案價(jià)值

快速實(shí)施，滿足監(jiān)管要求

按照中國監(jiān)管當(dāng)局制定的實(shí)施時(shí)間表，境內(nèi)外同時(shí)上市的公司需于2011年1月1日起首先實(shí)施配套指引，而實(shí)施范圍會(huì)于2012年1月1日起擴(kuò)大至在上海證券交易所和深圳證券交易所主板上市的公司。對(duì)于還未實(shí)施相關(guān)內(nèi)部控制措施的企業(yè)而言，時(shí)間十分緊迫。采用泰然神州符合SOX法案方案，能在較短時(shí)間內(nèi)完成內(nèi)控體系建設(shè)，通過加強(qiáng)IT內(nèi)控，優(yōu)化財(cái)務(wù)流程和財(cái)務(wù)應(yīng)用系統(tǒng)等，滿足監(jiān)管機(jī)構(gòu)和外部審計(jì)師的要求。

及時(shí)發(fā)現(xiàn)并有效阻止違規(guī)操作的發(fā)生

能夠?qū)崟r(shí)監(jiān)控所有IT運(yùn)維人員的運(yùn)維行為，通過事前預(yù)防、事中控制、事后審計(jì)，發(fā)現(xiàn)內(nèi)部有不合法的操作能夠第一時(shí)間發(fā)現(xiàn)并制止，從而有效預(yù)防錯(cuò)誤或違規(guī)事件的發(fā)生，降低違規(guī)風(fēng)險(xiǎn)。即使無法及時(shí)阻止，也能夠追溯到操作源頭，并提供充分的證據(jù)。

改善日常運(yùn)營管理的不足，提高經(jīng)營管理效率

通過實(shí)符合SOX方案，能夠及時(shí)發(fā)現(xiàn)企業(yè)日常運(yùn)管管理中存在的不足之處，提高防范風(fēng)險(xiǎn)能力，規(guī)范公司內(nèi)控評(píng)估和審計(jì)工作實(shí)施的程序、方式和方法，不斷深化內(nèi)部控制建設(shè)，將內(nèi)控融入企業(yè)經(jīng)營的各個(gè)環(huán)節(jié)中，包括日常工作和企業(yè)文化，全面提升風(fēng)險(xiǎn)管理和內(nèi)部控制水平，提高經(jīng)營管理效率。