《第7章企业法规遵从与信息资产管理.ppt》由会员分享,可在线阅读,更多相关《第7章企业法规遵从与信息资产管理.ppt(47页珍藏版)》请在三一文库上搜索。
1、第7章 企业法规遵从与信息资产管理,国家级精品课程电子文件管理,时间: 月 日 第 - 节 教室:,教学重点,本章关键内容 萨班斯-奥克斯利法案的意义 企业法规遵从的范围 企业法规遵从的核心问题 法规遵从的重要环节 数据保留的基本要求 文档管理政策 信息生命周期的过程管理 数据管控要求 IT控制的范围与内控 IT内审的内容与意义 关键词 企业 法规遵从 信息资产管理 萨班斯-奥克斯利法案 法规遵从GRC 内部控制 IT控制 数据保留 审计 文档管理 日志管理 自审 过程管理 数据清册 IT控制 IT内审,主要内容,企业法规遵从的概念 萨班斯-奥克斯利法案 企业法规遵从的核心问题 法规遵从的信息
2、管理策略 IT控制与IT内审,英特尔称丢失员工邮件 AMD指控毁灭垄断证据 据国外媒体3月6日报道,AMD起诉英特尔垄断一案日前出现新动态。英特尔公司周一承认,由于疏忽未能保全一部分证据文件,AMD立刻攻击英特尔故意毁灭证据。 在提交给特拉华州联邦地方法庭的一个文件中,英特尔公司表示,由于工作疏忽,他们未能保留所有和官司有关的证据。 据称,在AMD起诉第二天,英特尔公司就通知所有相关的六百名员工,请保留各种文件和证据,其中包括往来电子邮件。然而,由于疏忽,英特尔公司未能通知员工保留“已发送邮件”。 这样,几天之后,英特尔员工的“已发送邮件”被删除。一些涉及诉讼的邮件证据丢失。英特尔公司在文件中
3、说,对于此事深表遗憾,英特尔对于此次疏漏的态度是严肃的。AMD公司迅速对英特尔公司的举动作出了表态。在周一提交给法庭的文件中,AMD表示,表面上看,这是一个因为内部沟通引起的失误,但事实上,英特尔故意让证据遭到毁灭。据悉,两家公司将在本周到法庭讨论这一事件。2005年,AMD起诉英特尔公司利用“威逼利诱”等手段,迫使电脑厂商和IT卖场打压自己的产品,第一节 企业法规遵从的概念,花旗、美林和摩根斯坦利分别被罚款25万美元 新华社华盛顿7月19日电 由于未能及时向投资者提供必需的文件,美国3家主要的投资公司花旗、美林和摩根斯坦利分别被罚款25万美元。美国经纪行业的自我监督机构美国全国证券交易商协会
4、19日宣布对这3家公司进行罚款,并批评它们违反经纪业有关证券仲裁审理的规定。该协会说,这3家公司没有遵守规定,及时向过去两年里20个仲裁案中向经纪公司提出索赔要求的投资者提供有关文件。即使在全国证券交易商协会负责听证这些案件的陪审团提出要求并处以它们5.2万美元罚款之后,它们仍未能这样做。证券经纪代理合同一般要求投资者的投诉通过仲裁而不是法院程序解决。美国全国证券交易商协会处理大约90%的仲裁案,纽约证券交易所也处理这类案件。,第一节 企业法规遵从的概念,什么样的数据检索计划值得一家公司打上一场官司?摩根斯坦利价值1500万美元的诉讼案就是这样。 在2006年,为了回应美国监管机构对无法保留电
5、子邮件信息的调查,华尔街公司同意支付这笔罚款。 在15.8亿美元(后来被推翻)摩根斯坦利诉科尔曼的案件中,电子邮件发挥了核心的作用。佩雷尔曼(Perelma)是一个亿万富翁投资人,他说自己在商业销售中被公司骗了。佩雷尔曼的律师要求摩根士丹利出示电子邮件作为证据(该公司表示,磁带备份已经被覆盖),但是他们无法做到,于是法官采取了不寻常的步骤,将举证责任转移到摩根士丹利,要该公司证明自己清白。,第一节 企业法规遵从的概念,白宫删除电子邮件,疑为毁灭证据 美国观察组织“华盛顿公民责任与道德”2007年4月12日发布报告说,白宫电子邮件服务器上丢失了数百天的电子邮件纪录。报告中说,2003年3月至20
6、05年10月期间,白宫服务器上超过500万封电子邮件没有得到保存,与总统文件法相悖。“显然,白宫是在故意违反法律。”组织负责人梅拉妮。斯隆说。针对这份报告,白宫发言人达娜。佩里诺13日承认,白宫可能已经丢失约500万封电子邮件,但佩里诺强调说,目前尚无迹象表明这些邮件系被故意删除。不过,她也没有否定外界此类推测。白宫和共和党全国委员会此前表示,他们可能丢失了包括总统布什高级助手卡尔。罗夫在内的多名白宫官员在RNC服务器上的邮件。而国会调查人员恰恰正在查找这些电子邮件,以便确定罗夫是否卷入检察官遭解职事件。美国司法部2006年先后解除了八名联邦检察官的职务,并称此举是例行的人事更迭,但华盛顿邮报
7、等媒体报道说,司法部此举系白宫授意,出于政治目的,美国国会随后对罗夫等白宫人员展开调查。据美联社报道,检察官遭解职事伯已经危及司法部长阿尔韦托。冈萨雷斯的职位。他拟于下周接受参议院司法委员会问讯。“白宫正在违反要求他们保存所有记录的现行法律,”斯隆说,“我们已经得到重要证据,白宫正在千万百计避免遵守这项法律。”,第一节 企业法规遵从的概念,第一节 企业法规遵从的概念,企业法规遵从: 企业法规遵从(Compliance)是企业内外部在业务运作中对于各项法律、法规及各种规章制度的遵从,并对信息具备足够的可控性。它不仅要求企业要遵守自己的各项规章而且要遵守政府和行业制定的各项法律、法规及各种规章,同
8、时又能证明自己确实做到了相关的要求。企业法规遵从的目的之一就是确保企业的数据资产得到完全的保护,其中心问题是所保留数据的精确度、完整性以及可利用性,以保障客户、合作伙伴和其它股东等群体的利益。若企业不遵守这些法规就会招致罚款或更大的法律风险。,萨班斯-奥克斯利法案(Sarbanes-Oxley Act,SOX)全称2002年公众公司会计改革和投资者保护法案,又被称作2002年萨班斯-奥克斯利法案。该法案对美国1933年证券法、1934年证券交易法做出大幅修订,在公司治理、会计职业监管、证券市场监管等方面作出了许多新的规定。 该法案对上市公司的内控机制及外部审计作出了明确的严格规定,适用于所有在
9、证券交易委员会 (SEC) 注册的美国和其它国家的上市公司。该法案最初于2002年2月14日提交给国会众议院金融服务委员会,到7月25日国会参众两院最终通过,先后有6个版本:2月14日、4月22日、4月24日、7月15日、7月24日、7月25日(最后版本)。,第二节 萨班斯-奥克斯利法案,SOX法案的主要措施: (1)严格界定高层管理人员责任与义务,并设定了问责机制与相应的惩罚措施,保障记录来源的准确与完整。 (2)通过承担法律责任,防止对企业重要记录的随意变更 (3)强化公司高管的财务报告责任、提供外部审计的独立性等,有助于提高公司财务报告及信息披露的质量; (4)加大对危害记录安全的犯罪人
10、的惩罚力度,第二节 萨班斯-奥克斯利法案,SOX对企业财务行为的影响 加强公司的内部管理,对企业保留的记录与披露的信息负责 必须保留数据与不断跟踪记录 ; IT控制不可或缺,第二节 萨班斯-奥克斯利法案,第三节 企业法规遵从的核心问题,企业法规遵从的范围: 各国政府和行业管理部门制定的各种强制性的法律法规(必须严格遵守) 在全球经济一体化的背景下,企业必须遵从国与国之间各不相同的法规,以及现有法规的修订和与时俱进的法规解释。 非强制性的业界标杆,如ITIL(Information Technology Infrastructure Library,信息技术基础设施库)等相关标准(企业可以自主选
11、择)。 企业自身订制的各种规章制度,第三节 企业法规遵从的核心问题,第三节 企业法规遵从的核心问题,其他相关法案 保键机构需遵守的健康保险可携性和可纠责性法案(HIPAA) 金融服务机构需遵守格雷姆-里奇-比利雷法(GLBA) 为加利福尼亚州客户提供服务的企业需遵守加利福尼亚州参议院第1386 号议案 欧洲共同体数据保密指令 制药商需遵守美国食品和药品管理局(FDA)制药规定21 CFR第11篇 我国颁布实施的电子签名法、中国信息安全产业反不正当竞争公约等一系列法规,对企业的行为做出了严格要求。 我国质量技术监督部门还颁布了有关信息安全方面的一系列标准,这也是企业在生产经营过程中需要遵循的内容
12、。,第三节 企业法规遵从的核心问题,企业法规遵从是一个过程: 法规遵从不是结果而是过程,是以法规遵从为契机,深入研究IT治理,加强IT控制,降低风险,把企业治理与IT治理相结合、全面风险管理与IT治理相结合的理念彻底贯彻到业务运作过程中,以达到对其产生、传送、保存与利用中的信息具有可控性。其中包括: 防止非授权或因疏忽而更改、毁坏或破坏业务记录和财务信息,可保护和维持数据不被篡改; 对信息的跟踪能力与具备审计轨迹,以确保企业财务和业务信息是准确和可靠的,并能提供证据证明其准确与可靠; 保留关键数据或电子记录必须归档,并在指定的时期内保留完好; 被保留的数据不仅要存在,在需要的时候还可尽快获取并
13、有效读出。,第三节 企业法规遵从的核心问题,第三节 企业法规遵从的核心问题,法规遵从GRC 针对这些问题,进行企业治理(Governance)、风险管理(Risk Management)和法规遵从(Compliance)的前瞻性措施称为法规遵从GRC (Governance, Risk Management and Compliance) 法规遵从的GRC要素 保密性 完整性 验证性 可用性 制度严密性,第三节 企业法规遵从的核心问题,企业法规遵从的重要环节 人员 流程 技术 有效法规遵从方案的基本要素: 一是管理层需要建立法规遵从的企业文化; 二是员工认同这种文化,并相应地贯彻到业务活动中。
14、 三是管理层检查内部和外部法规遵从要求,为其制定具体策略,并建立控制体系以确保业务流程遵守这些策略。,第四节 企业法规遵从的信息管理策略,企业法规遵从的目标 法规遵从首先要求企业建立周密、完整的信息管理体系,该管理体系应能解决一系列相关问题,如: 必须确保信息的长期完整性、安全性和可访问性,必须确保满足业务持续性和数据恢复等要求; 必须能够符合相关法律法规的有关规定,降低法律风险; 必须能够有效利用最新技术对信息进行最便捷的管理; 必须能应对复杂多变的竞争环境、满足灵活开放的管理要求,必须能够在信息的整个生命周期中对其进行有效管理、在优化信息管理体系的基础上实现最低成本运作。,第四节 企业法规
15、遵从的信息管理策略,第一类 数据保留政策 数据保留政策是对数据在生命周期各阶段的监督与管理,不仅仅关注文档与记录的保存,它还覆盖到数据产生、传输、存储和最终控制性删除的整个信息生命周期。它要求保存数据的所有方面:数据的存在或产生、数据本身、对数据内容的任何存取、编辑或删除数据的任何尝试等,确保所创建的数据就是所存储的数据并证明没有数据丢失或被不恰当删除。事实上,就是从信息生命周期的每个阶段获取关键数据,用于证实证据的效力。,第四节 企业法规遵从的信息管理策略,数据保留的基本要求: 数据封存。需要法规遵从的数据必须能够封存在某一存储设备里,并保留至政策和法规要求的最少期限。在数据封存期里,数据需
16、要从技术上保证不可被更改、不能被删除。 安全访问。数据应该被可靠地封存,并安全地访问,满足规定的访问控制。比如企业需要保护顾客的隐私,顾客的数据只有满足一定权限的人员才能够进行访问。 审计。法规遵从除了需要保留数据的主体以外,还需要对数据的访问过程进行封存,从而满足政策和法规对审计的要求。,第四节 企业法规遵从的信息管理策略,第二类 文档管理政策 文档管理政策为企业文档和文件的存储和销毁提供了规则和指南。文档管理政策的制定必须遵守国家、地方政府、主管机关以及相关行业关于文档管理的法规,在满足所有的法律义务基础上,根据本企业的业务需求,确定应该保存与必须保存的文档,以及相关的文件归档方案。,第四
17、节 企业法规遵从的信息管理策略,文档管理政策的内容: 对文档进行分类,将关键记录进行管控 日志管理 强化电子文件管理系统的责任 法规遵从的自审,第四节 企业法规遵从的信息管理策略,信息生命周期的过程管理 信息生命周期管理(ILM :Information Lifecycle Management)是一种信息管理模型,它贯穿于数据的整个生命线,从信息创建、保存、利用、归档直到处置。信息生命周期理论指出,并非所有数据的价值在其生命周期内都是永恒的,大多数数据随着时间推移,其价值也会发生变化。处于生命周期不同阶段的数据,其与业务的相关性会发生变化,对企业的应用价值与重要性也是不一样的。长期对其进行储
18、存和管理是需要花费成本的,理想的管理模式是让数据价值和保存成本之间达成平衡。,第四节 企业法规遵从的信息管理策略,第四节 企业法规遵从的信息管理策略,数据在信息生命周期内的动态存储 基于法规遵从,归档有以下两个基本要求: 一是对于归档数据的存储,不仅要求归档系统具有存储仓库功能,还必须具有搜索查询与无法变更与删改数据的功能; 二是归档后对记录的检索必须在受控环境中,以防止对文件进行意外或蓄意删除或修改。,第四节 企业法规遵从的信息管理策略,信息的分层存储: 作为ILM策略的基础,分层存储允许企业与组织把最新的、重要的和经常被访问的信息存储在顶层(高性能的存储),实现快速接入。随着时间推移,当这
19、些信息变得次要了,被访问的不太频繁了,就可移到花费较少的中层存储,以便释放更多昂贵的高端资源。、 这种管理方式是为了控制存储成本并简单化存储管理,其特点是依据数据价值与业务关联度大小,对企业重要业务数据实施分层存储,将能够反映该企业和组织当前的运营结构、法律和法规环境、诉讼历史以及业务目标的重要业务数据以不可重写但可快速存取的方式存储,使数据的保留既能满足法规遵从又有利于控制存储成本。,第四节 企业法规遵从的信息管理策略,法规遵从的数据管理模型,管理模型的四个阶段: 1)创建详细的数据清册 2)执行法规遵从评估 3)数据保护政策 4)持续的数据管理,第四节 企业法规遵从的信息管理策略,美国顶级
20、公司破产案的启示 美国安然公司破产案,安然公司(ENRON)是美国能源业巨头,成立于1985年,总部设在得克萨斯州的休斯顿。 安然公司因虚报近6亿美元的盈利,导致其债信评级被降至垃圾等级,股价暴跌至1美元以下,并于2002年12月初申请破产保护,以498亿美元的资产总额创下美国历史上企业破产的记录。 美国第二大长途电话公司世界通信公司申请破产。自2003年6月25日世通做假账的丑闻曝光后,该公司一直面临着内外双重巨大压力。这是美国历史上迄今为止最大的一桩企业破产案。世通以1070亿美元的总资产额和300亿美元债务申请破产,这一数额相当于去年12月宣布破产的安然公司资产的两倍。 美国雷曼兄弟公司
21、(Lehman Brothers Holdings )是为全球公司、机构、政府和投资者的金融需求提供服务的一家全方位、多元化投资银行。雷曼兄弟被美国财富杂志选为财富500强公司之一。2008年9月15日,美国第四大投资银行雷曼兄弟公司宣布破产。,第五节 IT控制与IT内审,金融危机席卷全球 金融危机又称金融风暴,是指一个国家或几个国家与地区的全部或大部分金融指标(如:短期利率、货币资产、证券、房地产、土地(价格)、商业破产数和金融机构倒闭数)的急剧、短暂和超周期的恶化。 金融危机可以分为货币危机、债务危机、银行危机等类型。近年来的金融危机越来越呈现出某种混合形式的危机。其特征是人们基于经济未来
22、将更加悲观的预期,整个区域内货币币值出现幅度较大的贬值,经济总量与经济规模出现较大的损失,经济增长受到打击。往往伴随着企业大量倒闭,失业率提高,社会普遍的经济萧条,甚至有些时候伴随着社会动荡或国家政治层面的动荡。 问题:导致这场危机的原因是什么?,第五节 IT控制与IT内审,次贷危机(subprime lending crisis) 次贷危机(subprime lending crisis)又称次级房贷危机,也译为次债危机。它是指一场发生在美国,因次级抵押贷款机构破产、投资基金被迫关闭、股市剧烈震荡引起的风暴。它致使全球主要金融市场隐约出现流动性不足危机。美国“次贷危机”是从2006年春季开始
23、逐步显现的。2007年8月席卷美国、欧盟和日本等世界主要金融市场。 问题:导致次贷危机的原因是什么?,第五节 IT控制与IT内审,毕马威调查:内控缺失是舞弊最大诱因 “国际四大会计事务所”之一的毕马威会计师事务所对公司主管进行的一项调查显示:由于缺乏预防机制,舞弊通常都是由监守自盗造成的。约42%的受访者认为,近年来他们所在公司发生舞弊最主要的原因是内部控制的缺失。 毕马威法律事务部的高级合伙人 Girgenti说:“全球化、更加严苛的投资界以及源于监管者的零容忍政策(zero-tolerance policies)都要求企业确保它们的内控措施发挥应有的作用。”同时,他还指出,对舞弊预防、舞弊
24、侦测以及舞弊反馈而言,战略进程是最关重要的。 Girgenti说:“该进程始于对公司内控有效性的评估,创建便于员工举报不当行为的文化氛围,开发完善的内部审计监控体系,对舞弊风险持续进行审计以及IT支持技术(enabling technologies)的运用。”,第五节 IT控制与IT内审,内控合规必须以IT为突破口 在很多公司内部,财务报告流程是由IT系统驱动的。无论是ERP系统还是其它系统,都与财务交易中的开始、批准、记录、处理和报告等活动紧密集成。比如财务报告保存在财务系统里,财务系统的数据从业务系统来,业务系统的数据也存放在相关的#数据库里,数据库又是保存在服务器上,服务器还可能跟网络互
25、联。因此,在财务信息操作上只要有一丝的漏洞,都可能是被IT系统出卖的。因此,合规的问题不再只是CEO、CFO的职责,IT部门在这方面也将渐渐承担主角。简单的说,IT是保证财务报告内部控制有效性的基础。 虽然我国的企业内部控制基本规范要求企业实现的内控是以战略为导向的全面内控,但该规范包括的范围相当广泛,仅内控这项内容就包括:企业层面、业务流程与IT一般控制与IT应用控制。由于所有的业务都可能产生数据,而如何确保数据的及时收集、准确与完整性都离不开IT系统的支撑。因此,如何把IT内控与企业内控管理统一起来,是合规企业内部控制基本规范的一个关键点。也就是说,在内控合规方面,IT就是一个最佳的突破口
26、。,第五节 IT控制与IT内审,面向“电子发现”的业务数据保留 Electronic Discovery, 对可能涉及到诉讼相关的电子证据的归档和再现。2006年11月,美国政府又修订了美国联邦民事诉讼证据规则(Federal Rules of Civil Procedure,FRCP),修改的重点在于企业律师不仅仅要在诉讼过程中提交电子文档,还要在预审阶段提供电子文档。如果他们做不到这一点,法官可以判处该公司支付一大笔罚款。 区别与普通的归档存储,电子发现要求有强大的查找功能,没有相应工具的帮助,在浩如烟海的归档文件中找到需要的信息可不是一件轻松的事情,何况法院明文规定必须在指定的时间内提交
27、这些电子文档,否则就又是一批巨额的罚款。 Recommind的市场部副总裁Craig Carpenter说,到最后电子发现中70%的成本都和查阅文件有关。,第五节 IT控制与IT内审,企业内部控制基本规范 2008年6月,我国财政部、证监会、银监会、保监会及审计署等五部委联合发布了“中国版萨班斯法案”企业内部控制基本规范,并将于2010年1月起首先在上市企业中实施。 该规范第37条规定:“企业应当建立重大风险预警机制和突发事件应急处理机制,明确风险预警标准,对可能发生的重大风险或突发事件,制定应急预案、明确责任人员、规范处置程序,确保突发事件得到及时妥善处理。”,第五节 IT控制与IT内审,第
28、三十九条 企业应当对收集的各种内部信息和外部信息进行合理筛选、核对、整合,提高信息的有用性。 企业可以通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道,获取内部信息。 企业可以通过行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等渠道,获取外部信息。 第四十一条 企业应当利用信息技术促进信息的集成与共享,充分发挥信息技术在信息与沟通中的作用。 企业应当加强对信息系统开发和维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制,保证信息系统安全稳定运行。 第四十七条 企业应当以书面或者其他适当形式,妥善保存内部控制
29、建立与实施过程中的相关记录或者资料,确保内部控制建立与实施过程的可验证性。,第五节 IT控制与IT内审,第五节 IT控制与IT内审,IT控制的意义:为了引导企业充分利用计算机信息系统规范交易行为,提高信息系统的可靠性、稳定性、安全性及数据的完整性和准确性,降低各种因素导致内部控制失效的可能性,形成良好的信息传递渠道,必须实施IT控制。 IT控制的目标:是指通过对具体的IT活动实施控制程序,以达到期望结果或目的的总体描述。其实质是“治理”,即如何设计一种制衡的机制,使IT投资、实施、利用和控制都处于必须的监督和审计之下。 IT控制的手段:实现有效的IT治理需要展开风险评估,以识别不同的数字资产所
30、面临的风险,再加以有效的风险控制。有效的IT控制设计与实施有利于一个组织将信息技术条件下的风险降至可接受的水平。,第五节 IT控制与IT内审,IT控制,第五节 IT控制与IT内审,IT控制的类型 IT一般性控制的范围,主要包括信息系统开发流程的控制、程序变更管理控制、计算机运行管理控制、程序与数据访问控制、信息系统安全的控制以及IT计划等。 应用系统的控制,大致包括应用系统中设置的有关业务流程的输入、数据处理和输出控制。,第五节 IT控制与IT内审,IT控制的手段 不兼容职务分离控制 加强数据控制 应将交易权限嵌入到系统程序 计算机信息系统建设必须规范化 采用预防性措施,确保计算机信息系统的持
31、续运行 计算机信息系统必须建立访问安全制度 对计算机信息系统操作人员的操作权限控制 预防数据丢失 建立不同类别信息的授权使用制度 重要数据的准确性控制,第五节 IT控制与IT内审,IT内审:IT内审,就是本单位审计人员收集并评估证据,以判断一个计算机信息系统的合规性、安全性、可靠性和有效性。 IT内容的对象:企业IT内审的对象是企业各部门所使用的计算机系统、网络系统与信息技术基础设施和环境,从计算机系统和相关管理制度两个不同的角度进行IT内审,并更侧重对系统安全性、可靠性的审计,以保障信息系统与各项业务活动的正常运转。,第五节 IT控制与IT内审,IT内审的内容: 关键业务系统内部控制的审计 系统开发审计 对应用程序的审计 计算机信息资料审计,第五节 IT控制与IT内审,第三节 企业IT内控与业务数据保留,思考与讨论 1.企业内控与电子文件管理之间有何关联? 2.你认为中国实施企业内部控制基本规范将面临哪些困难?如何应对?,课后习题,仔细阅读教材第7章,并完成以下题目: (一)名词。 萨班斯法案(SOX法案) 企业法规遵从(企业合规) GRC法规遵从 信息生命周期管理 (二)简答。 1. 简述企业面向法规遵从的数据保留政策的内容。 2. 简述法规遵从的数据管控模型。 (三)论述。 试论述企业法规遵从、IT内控、和电子文件管理之间的关系。,Thank You !,