SOX、审计与启明星辰

　　一、SOX

　　2001年，由于安然、世通事件，美国500强中的前几名公司一下子轰然倒塌，这使得全球的投资者对美国的资本市场都产生了怀疑，在这种情况下，美国以最快的速度、最坚定的决心，开始实施《公众公司会计改革和投资者保护法》(以下简称《萨班斯法案》)，因此，有人将实施《萨班斯法案》称作美国国家的救亡运动。

　　在美国这样靠资本市场输血来维持和发展经济的国家，财务做假、内控不严格相当严重，直接的影响就是使全球的投资者对美国资本市场失去信心，因此，美国出台《萨班斯法案》，以一部法案将公司治理的风险转嫁到上市公司的执行经理人身上，主要是公司的CEO、CFO，还有外部的中介机构、会计师、律师等。可以说这是美国政府的无奈之举。

　　7月15日，在美国上市的中国公司开始实施《萨班斯法案》，包括中国的四大基础电信运营商在内的几十家中国公司面对内控方面的巨大挑战。

　　“实际上，普华永道、毕马威、德勤、安永四大会计师事务所从两年前就各自成立了帮助企业实施《萨班斯法案》的相关部门”，供职于四大会计师事务所的一位内部人士说。

　　何谓《萨班斯—奥克斯利法案》

　　简单地讲，萨班斯法案是一部由美国颁布，涉及会计职业监管、公司治理、证券市场监管等方面改革的重要法律，包括在美国注册上市公司和在外国注册而于美国上市的公司，都必须遵守该法案。

　　《萨班斯—奥克斯利法案》的主要要求

　　法案共分为11个部分，由若干个独立的章节组成。该法案主要强化了上市公司财务信息批露义务，加大了公司的财务报告责任;要求公司进行管理体制的改革，建立有效的内部控制体系;加重了违法行为的处罚措施，明确严重的违法所适用的刑法;强调并加强了审计委员会的角色和独立性;提出了更多的关于审计师独立性的约束。其中对有限公司有重大影响的主要是第302节、第906节和第404节。

　　1) 第302节

　　要求公司的CEO和CFO在财务报告上签字，保证财务报告不存在重大错报、漏报，在所有重大方面公允地反映公司在该报告期末的财务状况及该报告期内的经营成果。同时要求CEO、CFO对相关批露的内部控制有效性进行评价。

　　2) 第906节

　　明确规定上市公司管理层对舞弊和欺诈负有刑事责任。

　　3) 第404节

　　404节核心内容是严格界定了上市公司管理层对公司内部控制需承担的责任和义务。

　　a) 公司的年报中增加管理层关于公司内部控制情况的报告。该报告包括：明确阐明公司管理层有责任建立和保持一套完整的与财务报告相关的内部控制系统和程序;管理层应对财务年度期末与公司财务报告相关的内部控制系统及程序的有效性做出评价。公司全体管理层对报告负责。

　　b) 公司外部审计师对管理层的内控报告出具鉴证报告。

　　萨班斯法案被认为是美国自20世纪30年代颁布财务规则以来，最为严厉和企业必须遵守的财务法则。萨班斯法案来了，中国企业如何应对?

　　对于在美上市的中国企业来说，一场残酷的萨式考验正在逼近。该法案中的404条款，是萨班斯法案中最难操作、最复杂、耗费成本最高的一个条款。条款规定，在美上市企业，要建立内部控制体系，其中包括控制环境、风险评估、控制活动、信息沟通以及监督5个部分。内部控制活动的记录不仅要细化到像产品付款时间这样的细节，而且对重大缺陷都要予以披露。

　　为应对第404条款的要求，首先需要开展与财务报表相关的公司内部控制项目。

　　由于财务报告及其相关的内部控制流程都依赖信息技术的重要支撑，因此需要加强相关的信息技术控制，以满足第404条款的要求。特别是在业务流程高度依赖IT系统支撑的电信与金融行业，重视信息技术控制、完善信息技术控制对满足监管机构要求和企业自身发展都至关重要。

　　要在短时间内满足审计要求，对企业而言是极大的挑战。在开展404合规性项目的实际过程中，也暴露出许多国内企业共性的一些问题：

　　一是普遍缺乏对信息系统从招投标建设到上线实施再到验收之后的运行维护的一整套成体系的IT管理制度。

　　二是员工的工作习惯问题。由于普遍具有的国有背景的特点，长期以来养成的工作习惯无法符合第404条款或是现代企业管理制度的要求。如有些系统维护人员在进行系统检查时发现了问题，随即进行排查和解决，却未留下任何的检修记录;如根据领导一个电话就为某位员工开通某个系统权限等。而《萨班斯法案》要求所有的操作都遵循一定控制要求来执行，所有的工作必须责任到人，对重要工作要留下相应的痕迹。

　　三是系统普遍未达到第404条款的要求。出于对财务报表相关的披露信息的关注和重视，第404条款要求企业通过公司层面的监督、信息与沟通、控制活动、风险评估和控制环境控制，以及信息技术一般性控制层面和业务应用层面的控制来确保构成财务报表的信息系统源数据以及计算逻辑准确和完整。而国内企业的系统和流程都存在着不少的问题，比如系统的密码策略没有固化、数据的备份策略不完整等。

　　二、审计与SOX

　　根据辞海的解释，“审计”二字的含义为审核、审查，其原始意义为“查帐”。而在现代，则赋予它对某行业审核、审查，并起到一定监督保障的作用。

　　来自网络的安全威胁日益增多，很多威胁并不是以网络入侵的形式进行的，这些威胁事件多数是来自于内部合法用户的误操作或恶意操作，仅靠系统自身的日志功能并不能满足对这些网络安全事件的审计要求。网络安全审计主要用于网络安全事件的事后查询和取证工作。

　　那么，SOX与审计有什么样的密切关系?图1很好地说明了SOX要求下，内部控制体系与审计的关系：　　

　　图1 SOX要求下的企业内控与审计

　　SOX要求：所有对财务报告有影响的人员操作、IT系统操作都应有明确的定义，并对这些定义进行记录，同时对这些操作要有过程审计记录(我们认为操作过程包括：事前、事中、事后)。整个企业内控涉及三个范畴：1、建立内控体系(人和系统);2、加强IT内控(过程审计);3、优化财务流程和财务应用系统。从这三个范畴的焦点可以看出，三个范畴都与IT系统和操作流程有关。因此在符合SOX的企业内部控制过程中，IT控制成为企业内部控制的重要组成部分。

　　三、启明星辰与SOX

　　从图1可以看出，SOX对企业的最主要的要求就是内控与审计：一方面企业要有足够简洁与有效的手段实现内控;另一方面，对所有的操作都需要有记录，以便随时审核、审查。

　　在萨班斯(SOX)法案要求上市公司实现企业内控的国际形势下，启明星辰公司推出了针对国内电信运营商市场定制的4A解决方案，它通过统一用户账号(Account)管理、统一认证(Authentication) 管理、统一授权(Authorization)管理这3A手段来实现简洁与有效的内控;通过统一安全审计(Audit)的手段实现方便的审核、审查。

　　融合后的解决方案涵盖单点登录等安全功能，既能够为客户提供功能完善的、高安全级别的4A管理，也能够为用户提供符合萨班斯法案要求的内控报表。

　　国内绝大部分安全审计类产品只能从单一的功能性角度进行信息汇、数据分类，无法横跨其它层面进行数据分析。而启明星辰公司4A解决方案则可以从构成信息系统基本要素的人员身份、主机、服务器、网络、数据库、应用系统、网络设备、安全系统等出发，还原事件的本质，有效提炼数据的核心。对于用户单位来说，一方面大大降低了网络管理成本，提升了网络管理效率，另一方面为安全事件的事后取证、责任认定、系统风险评估等提供强有力且完善的审计报告。对于信息系统而言，正是可以作为指导信息系统信息安全保障体系进一步完善，技术支撑信息系统风险评估的有效手段。

　　与传统的信息安全产品不同，启明星辰公司4A解决方案兼具了事前防范、事中监控和事后取证的安全功能，不仅可以定位为监管、监控的安全类系统，更可以作为信息系统进一步发展、完善的高效管理工具。也正是从这个角度来说，启明星辰公司4A解决方案不仅仅对于将要或者已经在美国上市的公司有实际意义，对于其它所有重视信息安全、期望完善信息安全体系的企业也是必不可少的有效工具。

　　四、启明星辰4A统一安全管理平台解决方案

　　采用启明星辰4A统一安全管理平台解决方案能够解决运营商当前在账号口令管理、访问控制及审计措施方面所面临的主要问题。该解决方案由5个子系统组成：统一的4A管理平台、统一的认证授权子系统、统一的账号管理子系统、统一的日志审计子系统、网络行为审计子系统;统一4A管理平台向其它四个子系统传递配置参数，包括认证参数、账号参数、审计策略参数等，而四个子系统则将自身的运行状态值传递给统一4A管理平台;统一4A管理平台上各参数的变更，以及各告警值通过syslog的方式传递给统一日志审计子系统;　　统一认证授权子系统对用户进行统一接入认证后，产生的认证记录通过syslog的方式发送给统一日志审计子系统;统一账号管理子系统对用户账号进行维护的操作通过syslog的方式发送给统一日志审计子系统;网络审计引擎部件将采集到的日志信息通过syslog方式发送给统一日志审计子系统。

　　统一日志审计子系统功能：

　　安全日志采集

　　安全日志多维分析

　　安全日志实时展现

　　报表分析

　　审计策略配置

　　数据存储

　　统一认证授权子系统功能：

　　统一身份认证

　　集中账号口令管理

　　统一认证和授权

　　1) 网络设备的身份认证及授权

　　2) 主机系统的身份认证及授权

　　3) 远程接入或VPN接入用户的认证及授权

　　4) 数据库管理的身份认证及授权

　　5) 基于Web的运营系统的身份认证及授权

　　6) 基于C/S结构的业务系统的身份认证

　　统一账号管理子系统功能：

　　单点登陆

　　账号同步

　　统一账号管理与统一认证授权协作

　　网络行为审计子系统功能：

　　FTP/TELNET审计

　　XWINDOW审计

　　常用数据库的操作审计(ORACLE审计、DB2审计、SQLSERVER审计、SYBASE审计)

　　堡垒机跳转行为审计

　　NETBIOS审计

　　HTTP审计

　　SMTP审计

　　POP3审计

　　非正常网络行为的审计

　　各种协议的审计报表

　　投资收益：

　　统一认证、授权和审计，工作复杂度大幅度降低

　　统一监管，安全状况尽在掌握

　　避免多人共用相同账号，安全事故易于追踪

　　单点登录(SSO)免去用户在各系统间切换时，需要再次输入用户名和口令的繁琐

　　对各个系统进行统一的访问审计，利于综合分析，及时发现入侵行为

　　与萨班斯法案(SOX)内控需求一致