论文部分内容阅读
●侯继涛简介
具有十四年IT工作经验,于1997年7月加入CA中国公司,现任CA中国公司北方区技术经理,负责CA公司在中国北方地区的产品和方案的售前技术支持工作。
在CA公司全面负责IT治理解决方案的研究,作为项目的方案设计负责人,参与并组织了多个金融、电信、企业和政府行业的IT服务管理及IT治理项目,具有丰富的ITIL和IT治理方案的实践经验。
在日常的生产经营活动中,企业需要遵守的法规有很多。但一谈到法规遵从,许多人马上想到的就是萨班斯(SOX,Sarbanes-Oxley)法案。实际上,萨班斯法案已经成为许多企业感受法规遵从方面的压力中,最为直接和迫切的一个。
企业眼中的紧箍咒
于2002年颁布的萨班斯法案,其目的是确保财务状况报告准确和公开,以重塑公众对公司营业报告的信任。同以往的一些法规要求相比,萨班斯法案对企业管理者所需要承担的法律责任规定更加严格。法案要求,上市公司的管理者必须为公司对外披露的财务报告负责,一旦出现类似安然事件的情况,公司的管理者甚至可能会被判入狱。因此许多企业的CEO、CFO等高层管理人员对此法案高度重视,千方百计地保证企业满足萨班斯法案的要求。
在萨班斯法案的众多条款中,最重要的就是404条款,该条款特别针对财务报告制作中的内部控制行为加以约束。在美国,大多数在2004年11月15日之后报告财务结果的公司,都被要求从外部审计机构获得已经满足404条款的证明,而非美国本土公司的遵守日期则约定在2006年7月15日。
但已经执行的情况表明,40%在美国上市的海外公司在原定期限前难以达到404条款的要求,这也是美国证券交易委员会(SEC)准备针对在美国上市的海外公司再次延迟一年执行404条款的重要原因之一。
众多企业正根据404条款实施调整,这些企业在遵从404条款方面是否有共性的地方呢?是否有一些现成的解决方案可供借鉴,从而缩短遵从404条款的实施时间呢?
遵从SOX404条款的十大难题
事实上,许多IT审计机构发现,在遵守情况分析及测试程序中,出现了许多比较普遍的问题。
在一次由国际系统审计与控制协会(ISACA)主持召开的座谈会上,一位四大会计师事务所中的IT审计合伙人提出一个清单,列举出了企业在遵从404条款中的十大常见问题。
一、系统文档与实际流程不匹配。在许多情况下,企业的内部控制文档还存在,但是已经过期,无法反映当前的流程与控制要求。企业在对IT运作、管理的流程进行梳理化的过程中,会形成多种流程内控文档,例如按照Cobit的控制活动将企业的流程规划为五大类的活动,或按照ITIL的最佳实践规范将企业的IT服务规划为多个独立并相互关联的管理流程。这些流程的建立并不是一蹴而就的,应该是按照其特定的生命周期进行不断的改进,并且实现人、流程、技术的完整结合。但是企业往往只把该类活动当作一个项目的输出,没有将这些流程不断地更新、完善,也没有将这些流程同步到流程控制文档中。
二、不存在的或者不遵守人工处理过程的规程。许多规程或者控制,仅仅作为管理存在于企业的日常运营中,并没有形成文档,或者是形成文档后也没有得到遵守,造成不但处理过程含糊不清,而且以后也几乎完全无法审计。规范的规程或控制文档,在企业的运营实践中,是作为管理策略或制度来表现的,必须用书面的形式表现出来。这些文档,可以用来体现、定义和传达董事会和决策层对于企业IT管理的理念和展望,定义其他用以运营管理和技术架构的宏观框架,是所有IT管理工作的基础和依据。
三、客户化程序、表和接口并不安全。许多企业自己开发的应用并不能充分地保护它们免受未经授权的访问与使用。在关注网络安全、系统安全的同时,好多企业没有建立一套规范化的体系,对应用的安全进行管理和约束,具体的一个体现就是,企业自己开发的应用并没有达到一个成熟的安全级别,没有将用户按照业务的需要进行权限的划分,从而导致关键数据暴露在并没有访问权限的用户面前。
四、在GL(总分类账,General Ledger)应用内并未限制计入期限。由于财务报告的时效性特别重要,因此确保财务交易不会被计入不适当的报告期成为404条款遵从中的一项关键性控制。
五、已中止雇佣关系的员工或已经离开的雇员仍然拥有访问权。一项研究表明,大约25~30%的用户账号的持有者是已经与企业脱离关系的个人。这些帐号带来了极大的安全风险,需要对其加以控制以确保此类账号立即停用。大多数企业缺乏适当的流程或制度对这个漏洞进行管理,更不要提配备合适的工具对账号进行统一的展现或管理。实际上,一个比较理想的模式,是员工从加入一个公司开始,到由于角色的变化而带来的对IT系统访问权限的更换,再到离开公司,其中的账号应该能够统一管理,实现账号的全生命周期的管理。
六、在生产过程中有大量用户拥有“超级用户”的访问权限。这个问题经常出自一个观点,就是企业应该存在有限的人员可以在IT基础设施内操作所有的功能。这样就造成有些人的行为不受任何限制,有时甚至可以执行未经审计的操作。企业应该明确所有用户甚至是最高级别管理员的特定职责,并就其职责明确规定一系列的访问权限,并定期登录和审计,以确保其被正确使用。将操作系统或数据库所固有的超级用户权限,根据业务的实际需求进行适当的分割,已是大势所趋。
七、研发人员可以在生产环境运行业务交易。研发人员经常需要额外的特权,以便在应用和交易正式应用前对其进行测试。但是这类访问权限通常不应授权他们在生产环境中对交易进行处理,并且任何此类授权必须经过审计,以确保不会被不适当的使用。
八、支持企业财务应用软件的数据库不安全。PeopleSoft、SAP等企业常用的应用软件所使用的重要数据经常不够安全,用户经常可以直接访问数据,而无需通过一定级别的访问控制机制。
九、支持企业财务应用软件或门户的操作系统不安全。涉及到操作系统的访问也和上面的情况类似。
十、未经识别或未解决的职能分工事宜。很多时候如果在系统和事务处理访问权限内进行符合要求的职能分工,就可以控制或者消除财务欺诈。特定人员(例如管理员)经常拥有批准自己所作的访问请求的权限。这样他们就能授予自己超越原计划的访问权限。企业应迅速确定职能分工问题,对其加以控制,以确保错误行为可以得到纠正,对于敏感资源的访问请求应由具有适当权限的人批准。
我们可以发现,以上十个问题中,除了第一、第二、第四是企业的管理流程问题之外,另七个问题都与用户访问控制有关。因此,企业在404条款的遵从过程中,应特别注意用户身份识别及访问管理,这样才能堵住风险的源头,保证对财务报告制作中的内部控制。
用IT系统化解访问控制难题
那么,怎样加强对用户的访问控制呢?尽管对特定环境需要详细分析,但企业仍可以借助一些一般性指导方针来帮助自己了解需要考虑的最重要的安全领域。这些方针包括:寻找网络中是否有敏感的应用软件并加以控制;详细规定相关规程,以认证系统的所有用户;规定正规手续以保持认证机构的持续有效性;为确保对请求、发出、挂起和关闭用户帐号及时做出反应而制定相关规程;制定相关程序,定期重新审查和确认所有用户的访问权限;对保护公司目录内数据的安全实行足够的控制;就系统访问权的请求和授权,依据职能分工来实行控制。
对于萨班斯法案的遵守来说,企业可以选择一个有效的身份识别及访问管理系统,来弥补管理中的漏洞。目前在市场上,很多企业都提供了有关身份识别和访问管理的产品,例如CA 的eTrust、Cisco的IBNS、惠普的OpenView、IBM的身份和访问管理整合服务等等。采用这些安全产品,可实现如下功能:
身份管理——创建和管理所有用户的身份、配置文件、访问权限。
用户账号管理——为每一个员工分配和收回对公司数字资源的访问权限。
访问管理——通过策略的创建和加强,决定哪个用户可以访问哪个被保护的企业资源。
监控/审计——全面的审计、日志、事件关联和可视化工具帮助监控安全环境和对重要的安全事件进行响应。
这些功能可以构成一个综合的身份识别及访问管理系统,如图所示,帮助企业解决在404条款遵从过程中的用户管理问题。
萨班斯法案推出后,许多国家也将其作为参考标准,各自制订了一些相类似的法规。今年5月,中国证券监督委员会出台了《公开发行证券的公司信息披露内容与格式准则第9号——首次公司公开发行股票并上市申请文件》等法规,表明中国的萨班斯法案正在酝酿出台,意味着中国企业对内部控制的要求会逐步增强。在这些加强内部控制的变革中,有一些共性的东西是不变的,比如我们前面满足SOX 404条款的十大难点,把握住这些共性的东西的一些关键点,比如我们提到的访问控制与身份管理,这就抓住了加强内部控制的一些核心内容。而专业的解决方案的提供商通过多年的积累,已经能够为用户提供一些相对成熟的产品,这在一定程度上是企业增强内部控制的一个捷径。