【IT168 资讯】号称“中国萨班斯法案”的“企业内部控制基本规范”(以下简称:规范)在2009年7月1日正式开始实施。与美国萨班斯法案相比,该规范更加贴合中国国情,并且在一些细节规定上也与美国萨班斯法案有所不同。美国萨班斯法案的颁布对企业的内部控制,特别是信息安全方面有了特殊的规定和要求,那么中国萨班斯法案在这方面是否会有特殊的规定?这里将为您详细解读中国萨班斯法案——企业内部控制基本规范。
2002年美国国会通过的《2002上市公司会计改革与投资者保护法案》(简称:萨班斯法案)对业界人士来说已经不陌生了,该法案404条款要求所有在美国上市的企业,公司管理层每年需就财务报告内部控制出具评估报告,并要求独立外部审计师对管理层的报告发表声明,其内容包括建立和维护有效内部控制的责任声明、内部控制评估标准、管理层评估结论和外部审计师意见等。
美国萨班斯法案内控审计要求的出台,提升了IT内控在企业内部控制中的重要性,对在美国上市的企业的IT基础设施的安全性提出了更高的要求,截至目前,中国在美国上市的企业超过100家,他们在实行企业内控方面进行了严格的管理和建设,利用集中审计、权限管理等技术满足萨班斯法案的要求。
同样,在“中国萨班斯法案”——企业内部控制基本规范中,也对企业内控提出了新的要求,同时对企业内控的信息安全建设提出了更加明确的要求。为此记者采访了商务部中国国际电子商务中心安全研究中心负责人,兼任北京国富安电子商务安全认证有限公司总经理的李长军先生,作为国内信息安全专家,他从四个方面为记者揭开中国萨班斯法案神秘的面纱。
1、规范的适用对象
美国萨班斯法案监管的对象是在美国上市的所有企业,与美国萨班斯法案不同,规范所适用的对象是:在中华人民共和国境内设立的大中型企业,其他单位可以参照自主实施。截至2008年底,我国共有大中型企业超过12万家,为国内内控安全技术的推广应用提供了更加广阔的市场。
2、规范内部控制的目标
规范第三条明确规定:内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。而要做到相关信息的真实完整,就需要通过科学的技术手段做到信息在传输的过程中不会受到恶意的伪造、篡改等,信息传输和接受的双方均应该进行权限设定及身份认证,保证信息来源的可追溯性及完整准确性。目前国内相关技术已经趋于成熟,其中有“国家队”称号的国富安公司早在2002年就已经在不少企事业单位通过集中审计、身份认证等技术成功实现了信息真实完整的安全目标,开创了该领域的应用先河。
3、规范对信息技术的应用要求
“企业应当运用信息技术加强内部控制,建立与经营管理相适应的信息系统,促进内部控制流程与信息系统的有机结合,实现对业务和事项的自动控制,减少或消除人为操纵因素。”——引自规范第七条。
在企业建立与经营管理相适应得信息系统过程中,内部信息交流、资源访问控制等问题是影响企业内部控制是否严格规范的重要因素。目前企业加强内部控制主要采用集中审计的方法,所谓集中审计系统就是包含审计、监控和预警等功能的安全管理类产品。
它能够记录信息系统中发生各种事件的基本信息,并对记录的信息进行分析和评估,从而排查误操作,确定入侵损失及恢复受损系统等等。由于集中统计系统本身是内部控制的重要保障,因此要采用背景权威、技术过硬、最好是拥有相关自主知识产权的厂商的产品,以保障产品的稳定性和安全性。“国富安早在规范公布伊始就对规范进行了深入的研究,结合自身成熟的拥有自主知识产权的集中审计产品等针对企业内部控制制定出了详细的解决方案,在市场应用中抢占先机,目前来看取得了不错的效果。”国富安市场部经理王晓丽向记者透露到。
4、规范对信息共享及信息沟通的要求
规范第四十一条规定:企业应当利用信息技术促进信息的集成与共享,充分发挥信息技术在信息与沟通中的作用。企业应当加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制,保证信息系统安全稳定运行。
在这一条里,规范首次明确规定企业应该采用相应的信息安全技术来保证信息在沟通和共享时的完整、准确,保证信息没有遭到恶意篡改,同时加强访问控制,通过对访问者身份的认证和识别来规范访问的权限,并在系统内进行审计管理,做到安全、准确的沟通和共享信息。
李长军先生最后表示,在美国萨班斯法案颁布7年后,中国企业内部控制基本规范的实施对国内大中企业的内部控制也提出了较高的要求,其中多出提到要运用信息技术保障内部控制严谨规范,减少人为因素,同时要保证内部信息共享和传递过程中的安全性,这无疑为国内信息安全厂商开辟出另一片市场,信息安全机构与国内大中企业针对企业内控的合作将正式拉开序幕。
