【IT168资讯】2002年美国国会通过的《2002上市公司会计改革与投资者保护法案》(简称:萨班斯法案)对业界人士来说已经不陌生了,该法案对公司治理、会计师行业监管和证券市场监管等方面提出了许多新的严格要求,并设定了问责机制和相应的惩罚措施。由于被业内人士看作是20世纪30年代以来,美国最严厉的财务法则,加上监管的范围是在美国上市的所有企业,当时这个“时髦”法案的出台既引起了全世界的关注也在业界引起了不小的波澜。
尽管萨班斯法案2002年就出炉了,但真正在中国的落地与实践,还是国内的大型企业在美国上市以后。很多在美上市的国内大型企业是从2004年底开始准备这项工作。
据悉,为了符合萨班斯法案的标准,尤其是404条款关于建立内部控制体系的要求,无论是美国本土公司还是在美国上市的中国公司都面临着巨大考验,可以说花费了大量的人力、财力、时间。在与这项极具挑战性的法案密切相关的实践案例中,国内信息安全公司启明星辰参与的重大客户项目到目前为止已有几十项。其中,运营商、央企是启明星辰很重要的一类客户,启明星辰的主要客户集中在金融、电信、政府、能源……等大型企业。那么启明星辰对萨班斯法案有着怎样的解读,又为其具体做了哪些贡献?对此,本刊记者专门采访了启明星辰安全服务总监陈洪波博士。
陈博士表示,萨班斯法案的主要要求是针对上市公司财务的运营、监管、审计等等。启明星辰作为一家专业的信息安全企业,在参与萨班斯法案工作中对于自己的角色定位非常明确,与那些全职来做财务审计的公司不同,启明星辰更擅长的是基于萨班斯的IT审计要求,为客户提供专业的信息安全咨询与审计服务。
2005年揭开萨班斯法案安全服务序幕
启明星辰参与萨班斯法案工作起始于2005年的下半年,当时承担了国内某知名运营商的一个项目。在2005-2006年,这家运营商财务部的高层乃至整个运营部的高层都非常重视萨班斯法案的工作,当时在国内萨班斯法案工作的实践方面,这家运营商是起步非常早的,在当时也是在摸着石头过河,传统行业最开始并没有接触到萨班斯这一块。当时一家美国审计公司已经帮该客户做了严格意义上的萨班斯审计,耗费了大量的人力物力财力,也收到了比较明显的效果。在通过财务审计之后,客户仍旧感觉在信息安全方面做得够不够,对其核心财务系统的安全状况仍旧不能掌握,所以在2005年下半年启动了一项专门针对萨班斯审计范围之内某财务系统的全国范围内的风险评估与整体咨询,这个评估更多地是站在信息安全的角度。在经过对国内安全厂商的深入了解之后,该运营商专门找到启明星辰公司,由启明星辰专业的安全服务团对从基础技术、管理运维以及财务系统自身安全性这三大维度给出全面评估。项目实施后,不但完全符合萨班斯的要求,而且实实在在地从三大维度提升了该应用系统的整体安全程度,该运营商对服务效果表示非常满意。
“客户的满意点在于,确确实实感觉到这个业务系统本身的安全管理、运营、基础设施的安全性以及财务系统自身的安全程度得到了显著提升。”陈洪波说。
启明星辰在评估中发现,该运营商的财务系统从底层的技术设备到财务软件本身都存在一些问题,并据此提出了安全方面的建议。在采纳了这些建议之后,该运营商针对管理运维、基础设施安全以及财务软件自身的安全性等几个方面重新进行了安全增强。可以说,这些方面在财务审计公司的审计范围都有涉及,但在深度上做的不够,而IT内审中的深度安全风险分析恰恰是专业信息安全厂商的优势。
事实上,萨班斯对IT系统的要求在于运维的安全性、可用性和对财务制度的符合性。在安全性和可用性方面,尤其是安全性方面,启明星辰发现的问题可以说给这家运营商很多提示,带来的一个直接效果是,项目还没有结束,客户就已经开始让开发商修改系统进行二次开发,重新定制开发业务系统的安全功能模块。
萨班斯之惑
启明星辰在2005年开始为客户做萨班斯法案方面的安全服务工作之前,自身已经有了4、5年的技术经验积累,包括风险评估、管理咨询等。启明星辰是国内最早从事专业安全服务的公司,包括前文提到的运营商,此前也是启明星辰的重点客户,为其做过很多次各种角度的安全服务。
而在当时,针对萨班斯法案的理解,不仅是用户包括启明星辰自己也产生过相关的疑问。第一,已经有大型的国外审计公司帮用户做过IT 审计了,提供了全面的表单和风险点、整改项,那么启明星辰还能为用户做什么,安全厂商的价值和意义如何体现?第二,启明星辰所做的工作与萨班斯法案到底有多大的契合度?
众所周之,萨班斯法案在404条款里面提到了“内控体系”,而企业的内控很大程度上就是IT内控,IT内控包括很多层面:可用性或者对制度的符合程度、内部严格的管理流程等。具体到信息安全工作来讲,这个外延并不清晰。“当然这种内控管理,不管是管理制度、管理活动还是相关的记录,其实如果从安全视角来看,大部分都跟安全有关,但是并没有都标明安全的称号。”陈博士说。
“大家都认为404条款是萨班斯法案里面最严厉、最昂贵的一条。所以带着这两个疑问,启明星辰做了很多思考,在已有经验的基础上,结合一系列具体的项目实践,我们对萨班斯有了更高的认识,也提升了风险管理的能力。可以说,启明星辰目前在萨班斯的IT内控方面的解决方案和经验在业界是相当领先的。”
此后的数十个成功案例表明,启明星辰在IT内控领域已经走在了行业的最前面。与财务审计公司相比,启明星辰在IT风险管理方面的专业性更强,视角更独到。同时,启明星辰在这方面的人员投入也非常大,整个公司有将近100人的一个专业服务团队。而据记者了解,专做萨班斯的国外财务审计公司,他们在IT方面的人员投入,10多个人就算多的了,很多时候是几个人。
针对萨班斯的产品和解决方案,启明星辰也陆续进行了完善。狭义的方面,启明星辰专门针对运营商开发了4A审计平台和解决方案,可以说完全是契合萨班斯要求的;另外公司的主打安全产品也针对内控内审的要求为用户实现了定制,比如天玥审计产品、天清汉马UTM(统一威胁管理)、泰合安全管理平台(SOC)等,都与萨班斯紧密相关。
启明星辰专业安全服务中心在2008年开始,陆续推出了六大类安全服务、17个标准化的产品包,涵盖安全风险评估类、安全管理咨询类、等级保护咨询类、安全审计咨询类、安全管理监控服务类和综合安全服务类等服务。其中针对境内境外上市的中国公司和央企的风险管理,重点推出了合规审计咨询服务,包含4个服务产品包,从服务内容、服务流程、服务实施到相关的表格表单、项目管理都形成了比较成熟的体系。
政策的积极作用与启明星辰的优势
萨班斯所强调的风险管理,在广义的理解中,可以称为企业运营风险管理,涵盖了信用风险、市场风险和运营风险等。运营风险里面很重要的一点就是IT风险,近几年来无论是国家主管机关,还是行业主管以及金融、运营商、央企等各行业自身,都对风险管理工作越来越重视。IT风险管理最重要的就是安全风险管理,因为IT的风险管理,需要解决是IT信息系统停顿、不可用和泄密等问题,尤其要站在业务需求的角度考虑IT风险管理,所有这些都与信息安全有关。
陈洪波坦言,萨班斯法案在操作实施的过程中也不乏难点,比如通过长时间的实践,不少用户感觉萨班斯法案中的个别要求在执行方面显得力度不足,这是国内企业和美国企业在自身成长、外部环境方面的差异造成的,若审计结果不能提供有效的解决建议或解决办法,则部分审核内容难以落地。另外,财务审计公司投入的人力资源有限、某些方面容易流于形式等。可以说,萨班斯法案必须结合中国国情,一步一步来落实,这也需要一个过程。
近年来国家在大力提倡进行风险管理,萨班斯尤其是国内相关政策的出台,进一步促进了各企业尤其是上市企业对风险管理工作的认识,对促使企业IT风险管理更全面更规范,又非常明显的积极意义。
陈洪波介绍说,IT风险管理主要涵盖技术层面、管理运维层面和业务系统自身的安全性层面。其中第三方面是启明星辰在萨班斯实践中延展出来的很重要的一个视角。有的安全企业可能看到了这一点,但并不是很重视,有的安全企业可能更关注风险评估,或者从事专门的安全咨询,而启明星辰在这三个方面都具有明显的优势。
在与用户的接触中,启明星辰发现用户在业务系统的自身安全性层面往往存在很多问题。很多上市企业,他们的财务系统或其它的业务系统在开发、定制或者购买的时候,主要考虑了系统的可用性,但安全性方面做得比较少。比如有很多重要的财务数据,都在网上运行却没有加密,有一些重要的系统管理行为甚至包括修改数据库的行为,都没有审计,用户权限的划分也很不清楚。再比如有些单位的财务系统是找外包公司开发的,但有的外包公司后来转做别的业务了,这样系统在运维方面出现问题时就很难及时响应和处置。“所以技术层面以评估为主,管理和运营层面以咨询和规划为主,业务系统自身安全性层面以咨询和整改为主,是启明星辰在帮上市公司做萨班斯审计时并行的三大项工作。实际中我们给客户做的服务可能涉及各种角度,但大致都不外乎这三个方面。”
陈洪波认为,启明星辰的技术优势在于综合性,在技术层面、管理和运维层面、业务层面并驾齐驱、三管齐下。启明星辰具备很强的专业咨询服务能力,解决方案和产品也秉承启明星辰一贯的安全思想,这种专业性和综合性正是用户所需要的。
谈到今后的工作方向,陈洪波表示,未来无论是美国的萨班斯法案,还是国内政策层面或行业性的要求,都是启明星辰的契机,也会在很多方面持续提升启明星辰对这一工作的认识与实践。启明星辰在为用户提供服务时,更多的是站在客户信息化建设的角度考虑如何把信息安全工作做好,做到实处,通过满足客户需求来达到萨班斯法案或相关主管单位的政策要求,不能为了“合规”而“合规”。启明星辰愿意依托萨班斯法案、国资委《中央企业全面风险管理指引》、五部委会联合发布的《企业内部控制基本规范》等政策,立足于客户业务实际安全运维需求,为客户持续提供优质的安全服务和产品。