萨班斯对IT系统的要求在于运维的安全性、可用性和对财务制度的符合性。
作用与优势
政策的积极作用与启明星辰的优势
萨班斯所强调的风险管理,在广义的理解中,可以称为企业运营风险管理,涵盖了信用风险、市场风险和运营风险等。运营风险里面很重要的一点就是IT风险,近几年来无论是国家主管机关,还是行业主管以及金融、运营商、央企等各行业自身,都对风险管理工作越来越重视。IT风险管理最重要的就是安全风险管理,因为IT的风险管理,需要解决是IT信息系统停顿、不可用和泄密等问题,尤其要站在业务需求的角度考虑IT风险管理,所有这些都与信息安全有关。
陈洪波坦言,萨班斯法案在操作实施的过程中也不乏难点,比如通过长时间的实践,不少用户感觉萨班斯法案中的个别要求在执行方面显得力度不足,这是国内企业和美国企业在自身成长、外部环境方面的差异造成的,若审计结果不能提供有效的解决建议或解决办法,则部分审核内容难以落地。另外,财务审计公司投入的人力资源有限、某些方面容易流于形式等。可以说,萨班斯法案必须结合中国国情,一步一步来落实,这也需要一个过程。
近年来国家在大力提倡进行风险管理,萨班斯尤其是国内相关政策的出台,进一步促进了各企业尤其是上市企业对风险管理工作的认识,对促使企业IT风险管理更全面更规范,又非常明显的积极意义。
陈洪波介绍说,IT风险管理主要涵盖技术层面、管理运维层面和业务系统自身的安全性层面。其中第三方面是启明星辰在萨班斯实践中延展出来的很重要的一个视角。有的安全企业可能看到了这一点,但并不是很重视,有的安全企业可能更关注风险评估,或者从事专门的安全咨询,而启明星辰在这三个方面都具有明显的优势。
在与用户的接触中,启明星辰发现用户在业务系统的自身安全性层面往往存在很多问题。很多上市企业,他们的财务系统或其它的业务系统在开发、定制或者购买的时候,主要考虑了系统的可用性,但安全性方面做得比较少。比如有很多重要的财务数据,都在网上运行却没有加密,有一些重要的系统管理行为甚至包括修改数据库的行为,都没有审计,用户权限的划分也很不清楚。再比如有些单位的财务系统是找外包公司开发的,但有的外包公司后来转做别的业务了,这样系统在运维方面出现问题时就很难及时响应和处置。“所以技术层面以评估为主,管理和运营层面以咨询和规划为主,业务系统自身安全性层面以咨询和整改为主,是启明星辰在帮上市公司做萨班斯审计时并行的三大项工作。实际中我们给客户做的服务可能涉及各种角度,但大致都不外乎这三个方面。”
陈洪波认为,启明星辰的技术优势在于综合性,在技术层面、管理和运维层面、业务层面并驾齐驱、三管齐下。启明星辰具备很强的专业咨询服务能力,解决方案和产品也秉承启明星辰一贯的安全思想,这种专业性和综合性正是用户所需要的。
谈到今后的工作方向,陈洪波表示,未来无论是美国的萨班斯法案,还是国内政策层面或行业性的要求,都是启明星辰的契机,也会在很多方面持续提升启明星辰对这一工作的认识与实践。启明星辰在为用户提供服务时,更多的是站在客户信息化建设的角度考虑如何把信息安全工作做好,做到实处,通过满足客户需求来达到萨班斯法案或相关主管单位的政策要求,不能为了“合规”而“合规”。启明星辰愿意依托萨班斯法案、国资委《中央企业全面风险管理指引》、五部委会联合发布的《企业内部控制基本规范》等政策,立足于客户业务实际安全运维需求,为客户持续提供优质的安全服务和产品。
网友评论