薩班斯法案(Sarbanes-Oxley Act)是在2002年由美國總統(tǒng)布什簽發(fā)生效的��。該法案的出臺(tái)主要源于安然����、世界電信公司等美國超大型企業(yè)中所發(fā)生的一系列財(cái)務(wù)和管理問題����。薩班斯法案對(duì)美國上市的公司和會(huì)計(jì)企業(yè)都有監(jiān)管作用���,希望能提高所有報(bào)表的財(cái)務(wù)狀態(tài)及很多精確信息�,能提升企業(yè)對(duì)自己本身管理方面的架構(gòu)支持����。
薩班斯法案與其他法律有著很大的差別,它要求上市公司的CEO和CFO個(gè)人對(duì)公司的法規(guī)遵從負(fù)責(zé)任�,他們個(gè)人必須通過遵守薩班斯法案的相關(guān)認(rèn)證,根據(jù)薩班斯法案��,他們有任何違反法案的情況��,都可以受到刑事處罰�����。目前���,日本、英國、德國�����、澳大利亞等國都已建立起自己的本地薩班斯法規(guī)���。盡管新的法規(guī)大多來自歐美����,其影響力卻隨其國內(nèi)跨國公司的全球化發(fā)展而不斷擴(kuò)大���。例如��,一家在美國注冊(cè)的公司�,其亞太區(qū)分支機(jī)構(gòu)也同樣受到美國公司相關(guān)治理法規(guī)的制約; 在亞洲���,擁有全球擴(kuò)展計(jì)劃的公司���,以及希望與歐美公司合作的企業(yè),也同樣需要制定相應(yīng)的法規(guī)遵從框架�。可喜的是����,現(xiàn)在有一些人將法規(guī)遵從看作一次新的機(jī)會(huì)���,可以建立更有效、更專注���、更負(fù)責(zé)任的企業(yè)構(gòu)架和流程��,由此帶來豐厚的股息回報(bào)給投資者���,以滿足公司的持續(xù)發(fā)展計(jì)劃。
薩班斯法案覆蓋了非常全面的管理層面���,包括政務(wù)管理����、風(fēng)險(xiǎn)管理����、道德和法規(guī)遵從等。在其中的眾多條款中�,302(公司對(duì)財(cái)務(wù)報(bào)表的職責(zé))、404(內(nèi)部控制的管理評(píng)估)��、409(實(shí)時(shí)披露發(fā)行人信息)和802(企業(yè)資料的保存或歸檔)等條款與IT有著緊密的關(guān)系���。
因此IT在薩班斯法案中是一個(gè)致關(guān)重要的角色�,它不僅是薩班斯法案實(shí)施的工具�,同時(shí)也是提高薩班斯運(yùn)行凈利的重要手段。然而�����,任何事物都將存在其兩面性���,IT在被當(dāng)作薩班斯的有效工具的同時(shí)�����,其自身又變成了新的風(fēng)險(xiǎn)源�。賽門鐵克公司在為客戶提供薩班斯部署的相關(guān)服務(wù)過程中發(fā)現(xiàn)��,一般薩班斯分為兩類服務(wù): 一類是與IT不相關(guān)的業(yè)務(wù)服務(wù)���,這類服務(wù)雖然占據(jù)大部分內(nèi)容�����,但是它的服務(wù)時(shí)間僅僅需要295天��,而與IT相關(guān)的服務(wù)雖然內(nèi)容較少��,但卻需要264天的服務(wù)時(shí)間�����。IT本身的復(fù)雜性和安全性問題使法規(guī)遵從變得更加復(fù)雜�。
“現(xiàn)在,越來越多的公司在互聯(lián)網(wǎng)上進(jìn)行交易�����,我們很快發(fā)現(xiàn)���,僅僅保護(hù)企業(yè)IT基礎(chǔ)架構(gòu)已經(jīng)遠(yuǎn)遠(yuǎn)不夠���,因?yàn)楸4嬖诨A(chǔ)架構(gòu)中的信息,其價(jià)值比基礎(chǔ)架構(gòu)本身還要高�����,我們必須打造一個(gè)可信賴的IT環(huán)境,保護(hù)企業(yè)自身��、客戶����、供應(yīng)商及合作伙伴的信息���。”賽門鐵克副總裁大中國區(qū)總裁郭尊華說�。
那么�,怎樣才能讓企業(yè)在順利實(shí)施薩班斯法案的同時(shí)能夠得到信息的保障,這是非常關(guān)鍵的問題�。2005年8月,Gartner在《薩班斯法案的最佳實(shí)踐指導(dǎo)》中提出�����,IT遵從投資項(xiàng)目應(yīng)該包含三大方面: 遵從管理(內(nèi)部控制�����、工作流程�、數(shù)字儀表、報(bào)告); 內(nèi)容管理(記錄管理和電子郵件歸檔�、在線學(xué)習(xí)、策略管理); 應(yīng)用訪問與控制(身份識(shí)別和認(rèn)證�����、職責(zé)分離、持續(xù)遵從��、變化管理)��。根據(jù)以往的實(shí)施經(jīng)驗(yàn)����,賽門鐵克針對(duì)薩班斯法案的信息安全提出了四項(xiàng)IT解決方案: 一是針對(duì)網(wǎng)絡(luò)準(zhǔn)入控制; 二是針對(duì)補(bǔ)丁管理; 三是針對(duì)配置管理; 四是終端所遵從的一些檢查。而賽門鐵克的數(shù)據(jù)完整性安全解決方案也將從客戶端到Messaging Server�、File Server、Application Server�、Data Server提供完全的措施。
在Gartner提出的三大IT遵從投資方面,賽門鐵克的遵從解決方案包含如下內(nèi)容: 一是遵從管理,包括Enterprise Security Manager���、Incident Manager���、BindView Compliance Control Suite��、Web Based Security Education Program�、Sygate Network Access Control�����。
內(nèi)容管理方面包括NetBackup、Enterprise Vault�����、IMLogic����、Mail Security���。
應(yīng)用訪問與控制包括Sygate Network Access Control����、Patch Management�����、Database Security and Audit�����。
總之,從企業(yè)治理的角度來看��,IT遵從和IT系統(tǒng)僅僅遵守某一個(gè)法律是遠(yuǎn)遠(yuǎn)不夠的�����,IT治理強(qiáng)調(diào)的是內(nèi)部控制�����,我們應(yīng)該從企業(yè)整體著手�,而不是僅依靠遵循法律來制定企業(yè)的政策,否則肯定會(huì)產(chǎn)生新的疏漏和風(fēng)險(xiǎn)����。
