SOX法案及對中國企業的影響

針對安然、世通等財務欺詐事件，美國國會于2002 年出臺了《公眾公司會計改革和投資者保護法案》。該法案由美國眾議院金融服務委員會主席奧克斯利和參議院銀行委員會主席薩班斯聯合提出，因此又被稱作《薩班斯-奧克斯利法案》（Sarbanes-Oxley Act）。該法案對組織治理、財務會計、監管審計制定了新的準則，并要求組織治理核心如董事會、高層管理、內外部審計在評估和報告組織內部控制的有效性和充分性中發揮關鍵作用。

為了提高上市公司的透明度，防止類似事故的發生，除美國之外，英國和日本等國也先后頒布了類似的企業內部控制法案。中國也在2008年頒布了《企業內控基本法案》，又稱China SOX或C-SOX法案，希望通過法律的形式來強制相關公司進行嚴格內部管理，以保障公司投資者利益。2010年4月，財政部、證監會、審計署、銀監會、保監會等五部門又聯合發布了《企業內部控制配套指引》，并制定出確切實施時間表：自2011年1月1日起企業內部控制首先在境內外同時上市的公司實施，自2012年1月1日起擴大到上交所、深交所主板上市的公司。

SOX法案對企業管理的挑戰

SOX法案中的404條款，是公認的最難操作、最復雜、耗費成本最高的一個條款。條款規定，在美上市企業，要建立內部控制體系，其中包括控制環境、風險評估、控制活動、信息溝通以及監督5個部分。簡言之，SOX對企業的最主要的要求就是內控與審計：一方面企業要有足夠簡潔與有效的手段實現內控；另一方面，對所有的操作都需要有記錄，以便隨時審核、審查。

為應對第404條款的要求，所有對財務報告有影響的人員操作、IT系統操作都應有明確的定義，并對這些定義進行記錄，同時對這些操作要有過程審計記錄(包括事前、事中、事后)。要在短時間內滿足審計要求，對企業而言是極大的挑戰。國內的許多企業在實施SOX項目時，普遍暴露出了一些問題：

一是普遍缺乏對信息系統從招投標建設到上線實施再到驗收之后的運行維護的一整套成體系的IT管理制度。

二是員工的工作習慣問題。由于普遍具有的國有背景的特點，長期以來養成的工作習慣無法符合第404條款或是現代企業管理制度的要求。如有些系統維護人員在進行系統檢查時發現了問題，隨即進行排查和解決，卻未留下任何的檢修記錄；如根據領導一個電話就為某位員工開通某個系統權限等。而《薩班斯法案》要求所有的操作都遵循一定控制要求來執行，所有的工作必須責任到人，對重要工作要留下相應的痕跡。

三是系統普遍未達到第404條款的要求。出于對財務報表相關的披露信息的關注和重視，第404條款要求企業通過公司層面的監督、信息與溝通、控制活動、風險評估和控制環境控制，以及信息技術一般性控制層面和業務應用層面的控制來確保構成財務報表的信息系統源數據以及計算邏輯準確和完整。而國內企業的系統和流程都存在著不少的問題，比如系統的密碼策略沒有固化、數據的備份策略不完整等。

SOX法案對IT運維管理的挑戰

在IT運維管理方面，國內的企業也普遍存在著各個業務系統各自為政的情況--各自有一套用戶信息數據，管理本系統內的賬號和口令，并孤立地以日志形式審計操作者在系統內的操作行為。這種分散式的賬號口令管理、訪問控制及審計措施不僅嚴重影響了IT運維管理的效率，提升了運維成本，也難以滿足SOX法案的相關要求。主要表現在以下幾方面：

1、大量的網絡設備、主機系統和應用系統分屬不同的部門或業務系統，認證、授權和審計方式沒有統一，當需要同時對多個系統進行操作時，工作復雜度成倍增加。

2、 一些設備和業務系統由廠商代維，因缺乏統一監管，安全狀況不得而知。

3、各系統分別管理所屬的系統資源，為本系統的用戶分配訪問權限，缺乏統一的訪問控制平臺，隨著用戶數增加，權限管理愈發復雜，系統安全難以得到充分保障。

4、 個別賬號多人共用，擴散范圍難以控制，發生安全事故時更難以確定實際使用者。

5、隨著系統增多，用戶經常需要在各系統間切換，而每次切換都需要輸入該系統的用戶名和口令，為不影響工作效率，用戶往往會采用簡單口令或將多個系統的口令設置成相同的，造成對系統安全性的威脅。

6、 對各個系統缺乏集中統一的訪問審計，無法進行綜合分析，因此不能及時發現入侵行為。

泰然神州SOX解決方案

為了幫助上市和將要上市的公司建立和維護一套有效的IT內控體系，滿足監管機構的審計要求，泰然神州公司推出了結合中國企業特色的"符合SOX法案方案"，采用泰然神州Zendeep運維審計管理平臺，通過統一用戶賬號(Account)管理、統一認證(Authentication) 管理、統一授權(Authorization)管理和統一安全審計(Audit)的4A管理，實現一體化的審計與管理。在該方案中，集中管理是前提，對企業數據中心所有設備、服務器、應用系統操作進行統一管理和控制；身份認證是基礎，主要是解決操作者身份和工作角色問題，一個用戶擁有多個工作角色，一個角色同時也對應多個用戶；訪問控制是手段，主要是控制操作人員可以訪問什么資源，有效減低未授權的安全風險；權限控制是核心，主要對操作人員的風險進行有效控制，有效減低安全風險。

強大的審計功能是該方案的最大亮點，它就像是信息系統和管理維護人員之間的一部"操作錄像機"一樣，能夠實時、完整地記錄用戶的操作，并提供方便靈活的操作回放或查詢檢索的手段；可以對基于Telnet、FTP、SSH、RDP、VNC等協議的訪問操作進行過程的抓取，從而可以錄像方式對所有運維人員的所有操作進行記錄，并具備強大的搜索功能，可對特定時段、特定事件、特定用戶等邏輯要素進行搜索與提取--滿足了SOX法案對內部控制的要求，達到真正意義上的審計與風險控制。

方案特點

統一認證、授權和審計，工作復雜度大幅度降低

運維審計管理平臺作為企業運維的唯一操作入口，對操作進行集中管理，對身份、賬號、訪問、權限、審計進行控制，不需要調整網絡、不需要更改交換機/路由器配置、不需要安裝任何代理程序。使運維管理工作的復雜程度大幅度降低。

統一監管，安全狀況盡在掌握

出入口的統一有利于操作審計工作的進行，通過最簡單有效的集中化管理、帳號及密碼的統一管理、訪問權限策略的集中配置、操作命令防火墻策略的集中配置及用戶操作行為的集中審計，為統一審計提供根本保障，使企業IT運維的安全狀況盡在掌握中。

單點登錄(SSO)，免去多次輸入用戶名和口令的繁瑣

普通操作用戶只需一次登錄平臺，鍵入一次密碼，隨后對于相關設備的訪問不再需要相應賬戶密碼。如此，對于各類設備能在一個操作界面內完成工作，無需用戶在各系統間切換，免去了多次輸入用戶名和口令的繁瑣。

對各個系統進行統一的訪問審計，利于綜合分析，及時發現入侵行為

運維審計管理平臺擁有強大專業審計功能，凡是通過該平臺的操作全部要有審計記錄，包括字符終端操作審計、數據庫操作審計、圖形終端操作審計、文件傳輸審計、軟件分發審計等，并且審計記錄能夠通過各種條件進行檢索。同時所有的會話記錄，對運維系統的管理人員有直接的幫助，讓管理員更清晰看見目前有那些人正在做著操作，什么時候開始的，正在做什么等，徹底解決操作不透明的問題。

方案價值

快速實施，滿足監管要求

按照中國監管當局制定的實施時間表，境內外同時上市的公司需于2011年1月1日起首先實施配套指引，而實施范圍會于2012年1月1日起擴大至在上海證券交易所和深圳證券交易所主板上市的公司。對于還未實施相關內部控制措施的企業而言，時間十分緊迫。采用泰然神州符合SOX法案方案，能在較短時間內完成內控體系建設，通過加強IT內控，優化財務流程和財務應用系統等，滿足監管機構和外部審計師的要求。

及時發現并有效阻止違規操作的發生

能夠實時監控所有IT運維人員的運維行為，通過事前預防、事中控制、事后審計，發現內部有不合法的操作能夠第一時間發現并制止，從而有效預防錯誤或違規事件的發生，降低違規風險。即使無法及時阻止，也能夠追溯到操作源頭，并提供充分的證據。

改善日常運營管理的不足，提高經營管理效率

通過實符合SOX方案，能夠及時發現企業日常運管管理中存在的不足之處，提高防范風險能力，規范公司內控評估和審計工作實施的程序、方式和方法，不斷深化內部控制建設，將內控融入企業經營的各個環節中，包括日常工作和企業文化，全面提升風險管理和內部控制水平，提高經營管理效率。