系统安全

　　爱迪斯高级顾问彭炎最近正在帮一家集团上市公司做萨班斯法案咨询。他认为，由于萨班斯法案要求有效内控的证据，经过信息系统的流程痕迹必须完整保留，一旦信息被修改或者丢失，可能给企业带来巨大的损失。因此，对信息系统的权限和安全管理也至关重要。
　　
　　从严格的风险控制角度看，所有重要的数据都需要进行异地备份。但屈玉阁表示，“由于耗资巨大，河北网通目前只是建立了故障应急预案。 ”
　　
　　据介绍，河北网通过去以功能为单位，分别制订了小型机、电源、软件故障的应急预案，现在则以系统为单位建立应急预案，并进行演练，演练控制纪录由领导签字。但这只是权宜之计，屈玉阁表示明年将逐渐加大投资，完善灾备系统。
　　
　　还有很多看似很细微的问题，也对公司财务信息的安全性产生威胁。按照萨班斯法案要求，为保证访问权限的安全，应用系统的口令最好是六位以上，并且包括字母和数字。但屈玉阁表示，最初建立系统的时候，并没有对软件供应商提出这样的要求。现在要实现这样的需求就必须升级版本，可是时间根本来不及。另外，按照规定，系统的开发人员和维护人员、维护人员和操作人员、操作人员和监控人员都要由不同的人来担任。而现在的情况是，IT部门往往一人身兼数职。如果按照法案的要求，文欣荣粗算中国铝业需要90多人负责所有的信息系统，后来一再精简到20多人，目前整个信息部只有十个人。
　　
　　文欣荣说，如果没有萨班斯法案，这些要求就可以一步一步慢慢来实现，但是在短时间内要一下子实现，压力非常大。ERP系统全面上线以来，虽然系统相对稳定、运行也基本正常，但文欣荣悬着的心始终不敢放下。他说：“如果信息控制不能过关，整个404项目就不能过关。”

IT治理

　　IT是公司治理的有力工具，但IT项目本身也有巨大的风险。由于IT系统耗资巨大，且对业务影响深远，作为公司治理的一部分，CIO也需要建立一套完整的可供审计的IT治理体系。
　　
　　今年7月10日，北京市高级人民法院判决的温梦杰贪污案不能不引起企业的警惕。温梦杰在立案之前，是中国农业银行北京市分行科技处处长。科技处的主要职能是负责分行系统计算机和网络系统的技术支持，负责设备、软件的采购。据《新京报》报道，温梦杰从1999年开始，利用职务之便，大量收受采购贿赂，直到 2004年才被举报发现。这在一定程度上也说明了IT审计和内控的缺失。
　　
　　中国中化集团公司（下称中化集团）前不久刚刚花四个月时间，完成了“保证业务连续性”项目。中化集团信息技术部总经理彭劲松认为，IT项目决策的过程，也要按照统一的流程进行。在实施项目之前，他按照COBIT非常好的管理实践的框架，把从业务需求到系统购买的每一步决策过程，都依据相应的条款分析确定，并形成文档记录下来，最后才选择相应的产品。确定后的产品采购，由行政部门负责价格谈判。
　　
　　COBIT（Control Objectives for Information and Related Technology）的中文名称是“信息及相关技术控制目标”，是国际信息系统审计与控制协会（ISACA）制定的一个标准，主要解决“如何度量信息系统质量”这一难点问题。彭劲松表示，严格按照COBIT标准执行，一方面是让决策过程都有案可查，另一方面完全从业务需求出发，避免不必要的浪费和损失。他很自信地说：“今后无论什么样的法规出来，我都可以拿出IT部门内控的证明。”
　　
　　从应对萨班斯法案来看，这样的控制和治理是非常必要的。从最初的确定项目到产品和服务的选择，再到IT预算的确定，然后到实施效果的评估等都需要建立一套完整的流程和方法。中化集团没有在美国上市，所以彭劲松并没有应对萨班斯法案的压力，但他认为合规是一个趋势，做好IT本身的治理，将以不变应万变。

（信息周刊）