空气锤厂家
免费服务热线

Free service

hotline

010-00000000
空气锤厂家
热门搜索:
行业资讯
当前位置:首页 > 行业资讯

法规遵从系列文章之五404条款解决之道新日

发布时间:2020-01-16 02:35:22 阅读: 来源:空气锤厂家

在日常的生产经营活动中,企业需要遵守的法规有很多。但一谈到法规遵从,许多人马上会想到的就是萨班斯(Sarbanes-Oxley)法案。实际上,萨班斯法案已经成了许多企业感受法规遵从方面的压力中,最为直接和迫切的一个。

于2002年颁布的萨班斯法案,其目的是确保准确的财务状况报告及公开,以重塑公众对公司营业报告的信任。同以往的一些法规要求相比,萨班斯法案对企业管理者所需要承担的法律责任更加严格。法案要求,上市公司的管理者必须为公司对外披露的财务报告负责,一旦出现类似安然事件的情况,公司的管理者甚至可能会被判入狱。因此许多企业的CEO、CFO等高层管理人员对此法案高度重视,千方百计地保证企业满足萨班斯法案的要求。

在萨班斯法案的众多条款中,最重要的章节就是404条款,该条款特别针对财务报告制作中的内部控制行为加以规定。在美国,大多数在2004年11月15日之后报告财务结果的公司被要求从外部审计机构获得已经满足404条款的证明,非美国本土公司的遵守日期则约定在2006年7月15日。据已经执行的情况表明,40%在美国上市的海外公司在原定期限前难以达到404条款的要求,而中国公司的情况就更为紧迫。因此,对404条款的遵守成为了众多企业面对萨班斯法案的首要议程。

萨班斯法案的404条款要求,管理层在其年度文件中提供关于与财务报告有关的内部控制的年度评估报告。但是,对于内部控制达到何种程度方可通过萨班斯法案,404条款并没有详细地说明,对何谓从外部审计机构“获得与内部控制之有效性有关的合格证明”,也更加没有明确规定。由于众多的企业正在进行遵守404条款的实施工作,许多IT审计机构发现,在遵守情况分析及测试程序中,出现了许多比较普遍的问题。

在一次由国际系统审计与控制协会(ISACA)主持召开的座谈会上,一位四大会计师事务所中的IT审计合伙人提出一列清单,列举出了企业在遵守404条款中的常见问题。

(1)系统文档与实际流程不匹配。在许多情况下,企业的内部控制文档还存在,但是已经过期,无法反映当前的流程与控制。

(2)不存在或者不遵守人工处理过程的规程。许多规程或者说控制,仅仅作为管理存在于企业的日常运营中,并没有形成文档,或者是形成文档后也没有得到遵守。造成不但处理过程含糊不清,而且以后也几乎完全无法审计。

(3)客户化程序、表和接口并不安全。许多企业自己开发的应用和应用的数据并不能充分地保护它们免受未经授权的访问与使用。

(4)在GL应用内并未限制计入期限。由于财务报告的时效性特别重要,因此确保财务交易不会被计入不适当的报告期成为404条款遵从中的一项关键性控制。

(5)已中止雇佣关系的员工或已经离开的雇员仍然拥有访问权。一项研究表明。大约25~30%的用户帐号代表的是已经与企业脱离关系的个人。这些帐号带来了极大的安全风险,需要对其加以控制以确保此类账号会被立即停用。

(6)在生产过程中有大量用户拥有“超级用户”的访问权限。这个问题经常出自一个观点,就是企业应该存在有限的人员可以在IT基础设施内操作所有的功能。这样就造成有些人的行为不受任何限制,有时甚至可以执行未经审计的操作。企业应该明确所有用户甚至是最高级别管理员的特定职责,并就其职责明确规定一系列的访问权限,并定期登陆和审计,以确保其被正确使用。

(7)研发人员可以在生产环境运行业务交易。研发人员经常需要额外的特权,以便在应用和交易正式应用前对其进行测试。但是这类访问权限通常不应授权他们在生产环境的交易进行处理,并且任何此类授权必须经过审计,以确保不会被不适当地使用。

(8)支持企业财务应用软件的数据库不安全。PeopleSoft、SAP等企业常用的应用软件所使用的重要数据经常不够安全,用户经常可以直接访问数据,而无需通过一定级别的访问控制机制。

(9)支持企业财务应用软件或门户的操作系统不安全。涉及到操作系统的访问也和上面的情况类似。

(10)未经识别或未解决的职能分工事宜。很多时候如果在系统和事务处理访问权限内进行符合要求的职能分工,就可以控制或者消除财务欺诈。特定人员(例如管理员)经常拥有批准自己所作的访问请求的权限。这样他们就能授予自己超越原计划的访问权限。企业应迅速确定职能分工问题,对其加以控制,以确保错误行为可以得到纠正,对于敏感资源的访问请求应由具有适当权限的人批准。

曾有“四大”IT审计员表示,如果一个企业在处理程序中未发现任何违反职能分工的现象,那只是因为他们未留意这方面问题。

在这里我们可以发现,以上10个问题中,除了1、2、4是企业的管理流程问题之外,另7个问题是与用户访问控制有关。因此,企业在404条款的遵从过程中,应特别注意用户身份识别及访问管理,这样,才能堵住风险的源头,保证对财务报告制作中的内部控制。

那么,怎样加强对用户的访问控制呢?尽管对特定环境需要详细分析,但企业仍可以借助一些一般性指导方针来帮助自己了解需要考虑的最重要的安全领域。这些方针包括,寻找网络中是否有敏感的应用软件并加以控制;详细规定相关规程,以认证系统的所有用户;规定正规手续以保持认证机构的持续有效性;为确保对请求、发出、挂起和关闭用户帐号及时做出反应而制定相关规程;制定相关程序,定期重新审查和确认所有用户的访问权限;对保护公司目录内数据的安全实行足够的控制;就系统访问权的请求和授权,依据职能分工来实行控制。

看到这里,我们会感觉到遵守萨班斯法案会相当困难,费时费力。许多企业会试图在现有的IT技术框架内来开始,在不增加新技术的风险的情况下来满足最初的遵守时间期限,这其实是应付的做法。不过即使这样,最初的遵守行为所带来的痛苦会引导大多数企业开始调查其业务流程和程序中的重大变化,同时采用一定的技术来促进以后的遵守行为。

对于萨班斯法案的遵守来说,企业可以选择一个有效的身份识别及访问管理系统,来弥补管理中的漏洞。其中CA公司的eTrust就是最有效的工具之一。作为CA的EITM(企业IT管理)蓝图中的重要部分,eTrust为企业提供一个集成服务平台,统一与简化了企业的用户访问控制,为不同类型、不同规模的企业提供用户管理、访问管理和资源供应服务。将这些集成产品配置在一起不仅会降低费用,增加安全性,而且可以更加容易、更加明显地遵守404条款的各项要求。

随着萨班斯法案遵守日期的临近,许多海外上市企业已纷纷做好了准备,但并不是其他企业就可以掉以轻心。萨班斯法案推出后,许多国家也将其作为了参考标准,各自制订了一些相类似的法规。随着全球一体化经济的大势所趋,中国企业对内部控制的要求也会逐渐增强。我们可以预见,通过加强自身管理以及采用新技术,越来越多的企业会迈出法规遵从的脚步,而萨班斯法案404条款也会更容易地解决,阻碍不了企业前进的脚步。

海外就医咨询

挂号有哪些

什么是海外就医