2007-4-15 11:47:11
[原创]SOX与IT内控
SOX法案涉及的东西比较多,我只是做IT风险控制的,因此主要关注的还是IT内控。下面是去年一个PPT内摘抄的几个页面,供参考:
SOX法案总体介绍
- 针对安然、世通等财务欺诈事件,美国国会出台《2002年公众公司会计改革和投资者保护法案》(Public Company Accounting Reformand Investor Protection Act of 2002);
- 该法案由美国众议院金融服务委员会主席奥克斯利(Oxley)和参议院银行委员会主席萨班斯(Sarbanes)联合提出,又名萨班斯法案,简写为SOX法;
- 该法案对美国《1933年证券法》、《1934年证券交易法》作了不少修订,在会计职业监管、公司治理、证券市场监管等方面作出了许多新的规定;
- 法案的目的是根据美国证券法,通过提高上市公司(包括美国和非美国公司)信息披露的准确性和可靠性,增加公司责任,为上市公司会计和审计的不适当行为规定更加严厉的处罚,同时保护投资者。
- 2002年7月30日,美国总统布什签署生效。
SOX法案与内控
- 404 - 管理层对内部控制的评价
CEO和CFO必须在年度报告中确保:
►负责建立和维护对财务报告的有效内控
►随同独立审核员证明报告一起,评估内部控制
内部控制成为最受关注的焦点 - 对内部控制的审计涉及以下内容:
►评价管理层用于开展其内部控制有效性评估的过程 ;
►评价内部控制设计和运转的效果 ;
►形成对财务报告的内部控制是否有效的意见。
什么是内部控制(internal control,IC)?
- 内控被广泛定义为一种过程(process),被企业董事会、高管及其他人员所实施,用来提供对下列目标达成的合理的保证:
►运营的效力(effectiveness)和效率(efficiency);
►财务报告的可靠性(reliability);
►对适用法律法规的符合性(compliance)。 - 包括识别并支持重要的财务报表帐目、过程和系统,将其文件化并进行测试。
- 包括IT一般控制和应用控制:
►IT general controls针对基本的计算基础设施,包括物理和逻辑网络安全、DB管理、系统开发、变更控制、灾难恢复等
►Application controls针对支持财务报告的特定应用
IT内控面临的主要威胁及可能的后果
IT内控可采取的对策
- 清晰的策略和管理
►方针政策(Police)
公司、上层对内控的态度
►组织管理(People)
雇佣机制
权限分割
职责分离
岗位轮换
强制休假
培训
第三方管理(内外勾结)
►制度管理
资源使用(物理资源、信息资源)
行为规范
►技术管理
技术使用、部署和维护
►风险管理
风险评估、处理和控制 - 恰当的生命周期控制流程
►系统
启动、设计、开发、测试和维护
►数据
输入、传输、处理、输出和存储
►初始配置、变更和废弃 - 强有力的IT技术控制能力
►预防能力
→ 预防IT漏洞被利用
→ 系统加固
►防护控制能力
→ 接入控制、访问控制能力
♦ 防越权操作、身份假冒
♦ 防信息泄漏(无权获取信息)
→ 防恶意破坏能力
♦ 拒绝服务
♦ 恶意代码(病毒、木马、蠕虫、逻辑炸弹等 )
►实时监控能力
→ 及时发现非法行为
►审计能力
→ 操作行为审计、防抵赖
♦ 滥用授权、合谋勾结
♦ 正常操作及操作错误
♦ 数据销毁
→ 审计数据的安全存储和恢复
►灾难恢复能力
→ 财务及相关应用的系统、数据的备份和恢复
仅有IT技术控制能力是远远不够的!!策略、管理和流程的控制,将是非常关键的。
0
推荐到鲜果: 查阅更多相关主题的帖子: SOX IT内控
下一篇:[原创]第一贴
上一篇:[原创]CISSP考试的回顾
评论
最近在搞ISO20000,回顾SOX与IT内控,真实的感受到,如果将IT风险控制的内容融入到ITIL或者ISO20000的各个流程中,将是一个很不错的选择。
将ISO27001的内容和ISO20000的内容融合起来,再融入Cobit,将是IT管理的最佳方式。
如果是做企业风险管理,还可以在上面再加一个COSO的框架。
发布者 天笑
2007-5-7 12:32:54