第7章 企業(yè)法規(guī)遵從與信息資產(chǎn)管理.ppt

1、第7章 企業(yè)法規(guī)遵從與信息資產(chǎn)管理,國家級精品課程電子文件管理,時間： 月 日 第 - 節(jié) 教室：,教學(xué)重點,本章關(guān)鍵內(nèi)容 薩班斯-奧克斯利法案的意義 企業(yè)法規(guī)遵從的范圍 企業(yè)法規(guī)遵從的核心問題 法規(guī)遵從的重要環(huán)節(jié) 數(shù)據(jù)保留的基本要求 文檔管理政策 信息生命周期的過程管理 數(shù)據(jù)管控要求 IT控制的范圍與內(nèi)控 IT內(nèi)審的內(nèi)容與意義 關(guān)鍵詞 企業(yè) 法規(guī)遵從 信息資產(chǎn)管理 薩班斯-奧克斯利法案 法規(guī)遵從GRC 內(nèi)部控制 IT控制 數(shù)據(jù)保留 審計 文檔管理 日志管理 自審 過程管理 數(shù)據(jù)清冊 IT控制 IT內(nèi)審,主要內(nèi)容,企業(yè)法規(guī)遵從的概念 薩班斯-奧克斯利法案 企業(yè)法規(guī)遵從的核心問題 法規(guī)遵從的信息

2、管理策略 IT控制與IT內(nèi)審,英特爾稱丟失員工郵件 AMD指控毀滅壟斷證據(jù) 據(jù)國外媒體3月6日報道，AMD起訴英特爾壟斷一案日前出現(xiàn)新動態(tài)。英特爾公司周一承認(rèn)，由于疏忽未能保全一部分證據(jù)文件，AMD立刻攻擊英特爾故意毀滅證據(jù)。在提交給特拉華州聯(lián)邦地方法庭的一個文件中，英特爾公司表示，由于工作疏忽，他們未能保留所有和官司有關(guān)的證據(jù)。據(jù)稱，在AMD起訴第二天，英特爾公司就通知所有相關(guān)的六百名員工，請保留各種文件和證據(jù)，其中包括往來電子郵件。然而，由于疏忽，英特爾公司未能通知員工保留“已發(fā)送郵件”。這樣，幾天之后，英特爾員工的“已發(fā)送郵件”被刪除。一些涉及訴訟的郵件證據(jù)丟失。英特爾公司在文件中說，對

3、于此事深表遺憾，英特爾對于此次疏漏的態(tài)度是嚴(yán)肅的。AMD公司迅速對英特爾公司的舉動作出了表態(tài)。在周一提交給法庭的文件中，AMD表示，表面上看，這是一個因為內(nèi)部溝通引起的失誤，但事實上，英特爾故意讓證據(jù)遭到毀滅。據(jù)悉，兩家公司將在本周到法庭討論這一事件。2005年，AMD起訴英特爾公司利用“威逼利誘”等手段，迫使電腦廠商和IT賣場打壓自己的產(chǎn)品,第一節(jié) 企業(yè)法規(guī)遵從的概念,花旗、美林和摩根斯坦利分別被罰款25萬美元 新華社華盛頓7月19日電 由于未能及時向投資者提供必需的文件，美國3家主要的投資公司花旗、美林和摩根斯坦利分別被罰款25萬美元。美國經(jīng)紀(jì)行業(yè)的自我監(jiān)督機(jī)構(gòu)美國全國證券交易商協(xié)會19日

4、宣布對這3家公司進(jìn)行罰款，并批評它們違反經(jīng)紀(jì)業(yè)有關(guān)證券仲裁審理的規(guī)定。該協(xié)會說，這3家公司沒有遵守規(guī)定，及時向過去兩年里20個仲裁案中向經(jīng)紀(jì)公司提出索賠要求的投資者提供有關(guān)文件。即使在全國證券交易商協(xié)會負(fù)責(zé)聽證這些案件的陪審團(tuán)提出要求并處以它們5.2萬美元罰款之后，它們?nèi)晕茨苓@樣做。證券經(jīng)紀(jì)代理合同一般要求投資者的投訴通過仲裁而不是法院程序解決。美國全國證券交易商協(xié)會處理大約90%的仲裁案，紐約證券交易所也處理這類案件。,第一節(jié) 企業(yè)法規(guī)遵從的概念,什么樣的數(shù)據(jù)檢索計劃值得一家公司打上一場官司？摩根斯坦利價值1500萬美元的訴訟案就是這樣。 在2006年，為了回應(yīng)美國監(jiān)管機(jī)構(gòu)對無法保留電子郵件

5、信息的調(diào)查，華爾街公司同意支付這筆罰款。 在15.8億美元（后來被推翻）摩根斯坦利訴科爾曼的案件中，電子郵件發(fā)揮了核心的作用。佩雷爾曼（Perelma）是一個億萬富翁投資人，他說自己在商業(yè)銷售中被公司騙了。佩雷爾曼的律師要求摩根士丹利出示電子郵件作為證據(jù)（該公司表示，磁帶備份已經(jīng)被覆蓋），但是他們無法做到，于是法官采取了不尋常的步驟，將舉證責(zé)任轉(zhuǎn)移到摩根士丹利，要該公司證明自己清白。,第一節(jié) 企業(yè)法規(guī)遵從的概念,白宮刪除電子郵件，疑為毀滅證據(jù) 美國觀察組織“華盛頓公民責(zé)任與道德”2007年4月12日發(fā)布報告說，白宮電子郵件服務(wù)器上丟失了數(shù)百天的電子郵件紀(jì)錄。報告中說，2003年3月至2005年

6、10月期間，白宮服務(wù)器上超過500萬封電子郵件沒有得到保存，與總統(tǒng)文件法相悖?！帮@然，白宮是在故意違反法律。”組織負(fù)責(zé)人梅拉妮。斯隆說。針對這份報告，白宮發(fā)言人達(dá)娜。佩里諾13日承認(rèn)，白宮可能已經(jīng)丟失約500萬封電子郵件，但佩里諾強(qiáng)調(diào)說，目前尚無跡象表明這些郵件系被故意刪除。不過，她也沒有否定外界此類推測。白宮和共和黨全國委員會此前表示，他們可能丟失了包括總統(tǒng)布什高級助手卡爾。羅夫在內(nèi)的多名白宮官員在RNC服務(wù)器上的郵件。而國會調(diào)查人員恰恰正在查找這些電子郵件，以便確定羅夫是否卷入檢察官遭解職事件。美國司法部2006年先后解除了八名聯(lián)邦檢察官的職務(wù)，并稱此舉是例行的人事更迭，但華盛頓郵報等媒體

7、報道說，司法部此舉系白宮授意，出于政治目的，美國國會隨后對羅夫等白宮人員展開調(diào)查。據(jù)美聯(lián)社報道，檢察官遭解職事伯已經(jīng)危及司法部長阿爾韋托。岡薩雷斯的職位。他擬于下周接受參議院司法委員會問訊?！鞍讓m正在違反要求他們保存所有記錄的現(xiàn)行法律，”斯隆說，“我們已經(jīng)得到重要證據(jù)，白宮正在千萬百計避免遵守這項法律?！?第一節(jié) 企業(yè)法規(guī)遵從的概念,第一節(jié) 企業(yè)法規(guī)遵從的概念,企業(yè)法規(guī)遵從： 企業(yè)法規(guī)遵從（Compliance）是企業(yè)內(nèi)外部在業(yè)務(wù)運(yùn)作中對于各項法律、法規(guī)及各種規(guī)章制度的遵從，并對信息具備足夠的可控性。它不僅要求企業(yè)要遵守自己的各項規(guī)章而且要遵守政府和行業(yè)制定的各項法律、法規(guī)及各種規(guī)章，同時又能

8、證明自己確實做到了相關(guān)的要求。企業(yè)法規(guī)遵從的目的之一就是確保企業(yè)的數(shù)據(jù)資產(chǎn)得到完全的保護(hù)，其中心問題是所保留數(shù)據(jù)的精確度、完整性以及可利用性，以保障客戶、合作伙伴和其它股東等群體的利益。若企業(yè)不遵守這些法規(guī)就會招致罰款或更大的法律風(fēng)險。,薩班斯-奧克斯利法案（Sarbanes-Oxley Act，SOX）全稱2002年公眾公司會計改革和投資者保護(hù)法案，又被稱作2002年薩班斯-奧克斯利法案。該法案對美國1933年證券法、1934年證券交易法做出大幅修訂，在公司治理、會計職業(yè)監(jiān)管、證券市場監(jiān)管等方面作出了許多新的規(guī)定。 該法案對上市公司的內(nèi)控機(jī)制及外部審計作出了明確的嚴(yán)格規(guī)定，適用于所有在證券交

9、易委員會 (SEC) 注冊的美國和其它國家的上市公司。該法案最初于2002年2月14日提交給國會眾議院金融服務(wù)委員會，到7月25日國會參眾兩院最終通過，先后有6個版本：2月14日、4月22日、4月24日、7月15日、7月24日、7月25日（最后版本）。,第二節(jié) 薩班斯-奧克斯利法案,SOX法案的主要措施： （1）嚴(yán)格界定高層管理人員責(zé)任與義務(wù)，并設(shè)定了問責(zé)機(jī)制與相應(yīng)的懲罰措施，保障記錄來源的準(zhǔn)確與完整。 （2）通過承擔(dān)法律責(zé)任，防止對企業(yè)重要記錄的隨意變更 （3）強(qiáng)化公司高管的財務(wù)報告責(zé)任、提供外部審計的獨(dú)立性等，有助于提高公司財務(wù)報告及信息披露的質(zhì)量； （4）加大對危害記錄安全的犯罪人的懲罰

10、力度,第二節(jié) 薩班斯-奧克斯利法案,SOX對企業(yè)財務(wù)行為的影響 加強(qiáng)公司的內(nèi)部管理，對企業(yè)保留的記錄與披露的信息負(fù)責(zé) 必須保留數(shù)據(jù)與不斷跟蹤記錄 ； IT控制不可或缺,第二節(jié) 薩班斯-奧克斯利法案,第三節(jié) 企業(yè)法規(guī)遵從的核心問題,企業(yè)法規(guī)遵從的范圍： 各國政府和行業(yè)管理部門制定的各種強(qiáng)制性的法律法規(guī)（必須嚴(yán)格遵守） 在全球經(jīng)濟(jì)一體化的背景下，企業(yè)必須遵從國與國之間各不相同的法規(guī)，以及現(xiàn)有法規(guī)的修訂和與時俱進(jìn)的法規(guī)解釋。 非強(qiáng)制性的業(yè)界標(biāo)桿，如ITIL（Information Technology Infrastructure Library，信息技術(shù)基礎(chǔ)設(shè)施庫）等相關(guān)標(biāo)準(zhǔn)（企業(yè)可以自主選擇）。

11、 企業(yè)自身訂制的各種規(guī)章制度,第三節(jié) 企業(yè)法規(guī)遵從的核心問題,第三節(jié) 企業(yè)法規(guī)遵從的核心問題,其他相關(guān)法案 保鍵機(jī)構(gòu)需遵守的健康保險可攜性和可糾責(zé)性法案（HIPAA） 金融服務(wù)機(jī)構(gòu)需遵守格雷姆-里奇-比利雷法（GLBA）為加利福尼亞州客戶提供服務(wù)的企業(yè)需遵守加利福尼亞州參議院第1386 號議案 歐洲共同體數(shù)據(jù)保密指令 制藥商需遵守美國食品和藥品管理局（FDA）制藥規(guī)定21 CFR第11篇 我國頒布實施的電子簽名法、中國信息安全產(chǎn)業(yè)反不正當(dāng)競爭公約等一系列法規(guī)，對企業(yè)的行為做出了嚴(yán)格要求。 我國質(zhì)量技術(shù)監(jiān)督部門還頒布了有關(guān)信息安全方面的一系列標(biāo)準(zhǔn)，這也是企業(yè)在生產(chǎn)經(jīng)營過程中需要遵循的內(nèi)容。,第三

12、節(jié) 企業(yè)法規(guī)遵從的核心問題,企業(yè)法規(guī)遵從是一個過程： 法規(guī)遵從不是結(jié)果而是過程，是以法規(guī)遵從為契機(jī)，深入研究IT治理，加強(qiáng)IT控制，降低風(fēng)險，把企業(yè)治理與IT治理相結(jié)合、全面風(fēng)險管理與IT治理相結(jié)合的理念徹底貫徹到業(yè)務(wù)運(yùn)作過程中，以達(dá)到對其產(chǎn)生、傳送、保存與利用中的信息具有可控性。其中包括： 防止非授權(quán)或因疏忽而更改、毀壞或破壞業(yè)務(wù)記錄和財務(wù)信息，可保護(hù)和維持?jǐn)?shù)據(jù)不被篡改； 對信息的跟蹤能力與具備審計軌跡，以確保企業(yè)財務(wù)和業(yè)務(wù)信息是準(zhǔn)確和可靠的，并能提供證據(jù)證明其準(zhǔn)確與可靠； 保留關(guān)鍵數(shù)據(jù)或電子記錄必須歸檔，并在指定的時期內(nèi)保留完好； 被保留的數(shù)據(jù)不僅要存在，在需要的時候還可盡快獲取并有效讀出

13、。,第三節(jié) 企業(yè)法規(guī)遵從的核心問題,第三節(jié) 企業(yè)法規(guī)遵從的核心問題,法規(guī)遵從GRC 針對這些問題，進(jìn)行企業(yè)治理（Governance）、風(fēng)險管理（Risk Management）和法規(guī)遵從（Compliance）的前瞻性措施稱為法規(guī)遵從GRC (Governance, Risk Management and Compliance) 法規(guī)遵從的GRC要素 保密性 完整性 驗證性 可用性 制度嚴(yán)密性,第三節(jié) 企業(yè)法規(guī)遵從的核心問題,企業(yè)法規(guī)遵從的重要環(huán)節(jié) 人員 流程 技術(shù) 有效法規(guī)遵從方案的基本要素： 一是管理層需要建立法規(guī)遵從的企業(yè)文化； 二是員工認(rèn)同這種文化，并相應(yīng)地貫徹到業(yè)務(wù)活動中。 三是管

14、理層檢查內(nèi)部和外部法規(guī)遵從要求，為其制定具體策略，并建立控制體系以確保業(yè)務(wù)流程遵守這些策略。,第四節(jié) 企業(yè)法規(guī)遵從的信息管理策略,企業(yè)法規(guī)遵從的目標(biāo) 法規(guī)遵從首先要求企業(yè)建立周密、完整的信息管理體系，該管理體系應(yīng)能解決一系列相關(guān)問題，如： 必須確保信息的長期完整性、安全性和可訪問性，必須確保滿足業(yè)務(wù)持續(xù)性和數(shù)據(jù)恢復(fù)等要求； 必須能夠符合相關(guān)法律法規(guī)的有關(guān)規(guī)定，降低法律風(fēng)險； 必須能夠有效利用最新技術(shù)對信息進(jìn)行最便捷的管理； 必須能應(yīng)對復(fù)雜多變的競爭環(huán)境、滿足靈活開放的管理要求，必須能夠在信息的整個生命周期中對其進(jìn)行有效管理、在優(yōu)化信息管理體系的基礎(chǔ)上實現(xiàn)最低成本運(yùn)作。,第四節(jié) 企業(yè)法規(guī)遵從的信

15、息管理策略,第一類 數(shù)據(jù)保留政策 數(shù)據(jù)保留政策是對數(shù)據(jù)在生命周期各階段的監(jiān)督與管理，不僅僅關(guān)注文檔與記錄的保存，它還覆蓋到數(shù)據(jù)產(chǎn)生、傳輸、存儲和最終控制性刪除的整個信息生命周期。它要求保存數(shù)據(jù)的所有方面：數(shù)據(jù)的存在或產(chǎn)生、數(shù)據(jù)本身、對數(shù)據(jù)內(nèi)容的任何存取、編輯或刪除數(shù)據(jù)的任何嘗試等，確保所創(chuàng)建的數(shù)據(jù)就是所存儲的數(shù)據(jù)并證明沒有數(shù)據(jù)丟失或被不恰當(dāng)刪除。事實上，就是從信息生命周期的每個階段獲取關(guān)鍵數(shù)據(jù)，用于證實證據(jù)的效力。,第四節(jié) 企業(yè)法規(guī)遵從的信息管理策略,數(shù)據(jù)保留的基本要求： 數(shù)據(jù)封存。需要法規(guī)遵從的數(shù)據(jù)必須能夠封存在某一存儲設(shè)備里，并保留至政策和法規(guī)要求的最少期限。在數(shù)據(jù)封存期里，數(shù)據(jù)需要從技術(shù)

16、上保證不可被更改、不能被刪除。 安全訪問。數(shù)據(jù)應(yīng)該被可靠地封存，并安全地訪問，滿足規(guī)定的訪問控制。比如企業(yè)需要保護(hù)顧客的隱私，顧客的數(shù)據(jù)只有滿足一定權(quán)限的人員才能夠進(jìn)行訪問。 審計。法規(guī)遵從除了需要保留數(shù)據(jù)的主體以外，還需要對數(shù)據(jù)的訪問過程進(jìn)行封存，從而滿足政策和法規(guī)對審計的要求。,第四節(jié) 企業(yè)法規(guī)遵從的信息管理策略,第二類 文檔管理政策 文檔管理政策為企業(yè)文檔和文件的存儲和銷毀提供了規(guī)則和指南。文檔管理政策的制定必須遵守國家、地方政府、主管機(jī)關(guān)以及相關(guān)行業(yè)關(guān)于文檔管理的法規(guī)，在滿足所有的法律義務(wù)基礎(chǔ)上，根據(jù)本企業(yè)的業(yè)務(wù)需求，確定應(yīng)該保存與必須保存的文檔，以及相關(guān)的文件歸檔方案。,第四節(jié) 企業(yè)

17、法規(guī)遵從的信息管理策略,文檔管理政策的內(nèi)容： 對文檔進(jìn)行分類，將關(guān)鍵記錄進(jìn)行管控 日志管理 強(qiáng)化電子文件管理系統(tǒng)的責(zé)任 法規(guī)遵從的自審,第四節(jié) 企業(yè)法規(guī)遵從的信息管理策略,信息生命周期的過程管理 信息生命周期管理（ILM ：Information Lifecycle Management）是一種信息管理模型，它貫穿于數(shù)據(jù)的整個生命線，從信息創(chuàng)建、保存、利用、歸檔直到處置。信息生命周期理論指出，并非所有數(shù)據(jù)的價值在其生命周期內(nèi)都是永恒的，大多數(shù)數(shù)據(jù)隨著時間推移，其價值也會發(fā)生變化。處于生命周期不同階段的數(shù)據(jù)，其與業(yè)務(wù)的相關(guān)性會發(fā)生變化，對企業(yè)的應(yīng)用價值與重要性也是不一樣的。長期對其進(jìn)行儲存和管理

18、是需要花費(fèi)成本的，理想的管理模式是讓數(shù)據(jù)價值和保存成本之間達(dá)成平衡。,第四節(jié) 企業(yè)法規(guī)遵從的信息管理策略,第四節(jié) 企業(yè)法規(guī)遵從的信息管理策略,數(shù)據(jù)在信息生命周期內(nèi)的動態(tài)存儲 基于法規(guī)遵從，歸檔有以下兩個基本要求： 一是對于歸檔數(shù)據(jù)的存儲，不僅要求歸檔系統(tǒng)具有存儲倉庫功能，還必須具有搜索查詢與無法變更與刪改數(shù)據(jù)的功能； 二是歸檔后對記錄的檢索必須在受控環(huán)境中，以防止對文件進(jìn)行意外或蓄意刪除或修改。,第四節(jié) 企業(yè)法規(guī)遵從的信息管理策略,信息的分層存儲： 作為ILM策略的基礎(chǔ)，分層存儲允許企業(yè)與組織把最新的、重要的和經(jīng)常被訪問的信息存儲在頂層（高性能的存儲），實現(xiàn)快速接入。隨著時間推移，當(dāng)這些信息變

19、得次要了，被訪問的不太頻繁了，就可移到花費(fèi)較少的中層存儲，以便釋放更多昂貴的高端資源。、 這種管理方式是為了控制存儲成本并簡單化存儲管理，其特點是依據(jù)數(shù)據(jù)價值與業(yè)務(wù)關(guān)聯(lián)度大小，對企業(yè)重要業(yè)務(wù)數(shù)據(jù)實施分層存儲，將能夠反映該企業(yè)和組織當(dāng)前的運(yùn)營結(jié)構(gòu)、法律和法規(guī)環(huán)境、訴訟歷史以及業(yè)務(wù)目標(biāo)的重要業(yè)務(wù)數(shù)據(jù)以不可重寫但可快速存取的方式存儲，使數(shù)據(jù)的保留既能滿足法規(guī)遵從又有利于控制存儲成本。,第四節(jié) 企業(yè)法規(guī)遵從的信息管理策略,法規(guī)遵從的數(shù)據(jù)管理模型,管理模型的四個階段： 1）創(chuàng)建詳細(xì)的數(shù)據(jù)清冊 2）執(zhí)行法規(guī)遵從評估 3）數(shù)據(jù)保護(hù)政策 4）持續(xù)的數(shù)據(jù)管理,第四節(jié) 企業(yè)法規(guī)遵從的信息管理策略,美國頂級公司破產(chǎn)

20、案的啟示 美國安然公司破產(chǎn)案,安然公司(ENRON)是美國能源業(yè)巨頭，成立于1985年，總部設(shè)在得克薩斯州的休斯頓。 安然公司因虛報近6億美元的盈利，導(dǎo)致其債信評級被降至垃圾等級，股價暴跌至1美元以下，并于2002年12月初申請破產(chǎn)保護(hù)，以498億美元的資產(chǎn)總額創(chuàng)下美國歷史上企業(yè)破產(chǎn)的記錄。 美國第二大長途電話公司世界通信公司申請破產(chǎn)。自2003年6月25日世通做假賬的丑聞曝光后，該公司一直面臨著內(nèi)外雙重巨大壓力。這是美國歷史上迄今為止最大的一樁企業(yè)破產(chǎn)案。世通以1070億美元的總資產(chǎn)額和300億美元債務(wù)申請破產(chǎn)，這一數(shù)額相當(dāng)于去年12月宣布破產(chǎn)的安然公司資產(chǎn)的兩倍。 美國雷曼兄弟公司（Leh

21、man Brothers Holdings ）是為全球公司、機(jī)構(gòu)、政府和投資者的金融需求提供服務(wù)的一家全方位、多元化投資銀行。雷曼兄弟被美國財富雜志選為財富500強(qiáng)公司之一。2008年9月15日，美國第四大投資銀行雷曼兄弟公司宣布破產(chǎn)。,第五節(jié) IT控制與IT內(nèi)審,金融危機(jī)席卷全球 金融危機(jī)又稱金融風(fēng)暴，是指一個國家或幾個國家與地區(qū)的全部或大部分金融指標(biāo)（如：短期利率、貨幣資產(chǎn)、證券、房地產(chǎn)、土地(價格）、商業(yè)破產(chǎn)數(shù)和金融機(jī)構(gòu)倒閉數(shù))的急劇、短暫和超周期的惡化。 金融危機(jī)可以分為貨幣危機(jī)、債務(wù)危機(jī)、銀行危機(jī)等類型。近年來的金融危機(jī)越來越呈現(xiàn)出某種混合形式的危機(jī)。其特征是人們基于經(jīng)濟(jì)未來將更加悲

22、觀的預(yù)期，整個區(qū)域內(nèi)貨幣幣值出現(xiàn)幅度較大的貶值，經(jīng)濟(jì)總量與經(jīng)濟(jì)規(guī)模出現(xiàn)較大的損失，經(jīng)濟(jì)增長受到打擊。往往伴隨著企業(yè)大量倒閉，失業(yè)率提高，社會普遍的經(jīng)濟(jì)蕭條，甚至有些時候伴隨著社會動蕩或國家政治層面的動蕩。 問題：導(dǎo)致這場危機(jī)的原因是什么？,第五節(jié) IT控制與IT內(nèi)審,次貸危機(jī)（subprime lending crisis） 次貸危機(jī)（subprime lending crisis）又稱次級房貸危機(jī)，也譯為次債危機(jī)。它是指一場發(fā)生在美國，因次級抵押貸款機(jī)構(gòu)破產(chǎn)、投資基金被迫關(guān)閉、股市劇烈震蕩引起的風(fēng)暴。它致使全球主要金融市場隱約出現(xiàn)流動性不足危機(jī)。美國“次貸危機(jī)”是從2006年春季開始逐步顯現(xiàn)

23、的。2007年8月席卷美國、歐盟和日本等世界主要金融市場。 問題：導(dǎo)致次貸危機(jī)的原因是什么？,第五節(jié) IT控制與IT內(nèi)審,畢馬威調(diào)查:內(nèi)控缺失是舞弊最大誘因 “國際四大會計事務(wù)所”之一的畢馬威會計師事務(wù)所對公司主管進(jìn)行的一項調(diào)查顯示：由于缺乏預(yù)防機(jī)制，舞弊通常都是由監(jiān)守自盜造成的。約42%的受訪者認(rèn)為，近年來他們所在公司發(fā)生舞弊最主要的原因是內(nèi)部控制的缺失。 畢馬威法律事務(wù)部的高級合伙人 Girgenti說：“全球化、更加嚴(yán)苛的投資界以及源于監(jiān)管者的零容忍政策（zero-tolerance policies）都要求企業(yè)確保它們的內(nèi)控措施發(fā)揮應(yīng)有的作用?！蓖瑫r，他還指出，對舞弊預(yù)防、舞弊偵測以及

24、舞弊反饋而言，戰(zhàn)略進(jìn)程是最關(guān)重要的。 Girgenti說：“該進(jìn)程始于對公司內(nèi)控有效性的評估，創(chuàng)建便于員工舉報不當(dāng)行為的文化氛圍，開發(fā)完善的內(nèi)部審計監(jiān)控體系，對舞弊風(fēng)險持續(xù)進(jìn)行審計以及IT支持技術(shù)（enabling technologies）的運(yùn)用。”,第五節(jié) IT控制與IT內(nèi)審,內(nèi)控合規(guī)必須以IT為突破口 在很多公司內(nèi)部，財務(wù)報告流程是由IT系統(tǒng)驅(qū)動的。無論是ERP系統(tǒng)還是其它系統(tǒng)，都與財務(wù)交易中的開始、批準(zhǔn)、記錄、處理和報告等活動緊密集成。比如財務(wù)報告保存在財務(wù)系統(tǒng)里，財務(wù)系統(tǒng)的數(shù)據(jù)從業(yè)務(wù)系統(tǒng)來，業(yè)務(wù)系統(tǒng)的數(shù)據(jù)也存放在相關(guān)的#數(shù)據(jù)庫里，數(shù)據(jù)庫又是保存在服務(wù)器上，服務(wù)器還可能跟網(wǎng)絡(luò)互聯(lián)。因此

25、，在財務(wù)信息操作上只要有一絲的漏洞，都可能是被IT系統(tǒng)出賣的。因此，合規(guī)的問題不再只是CEO、CFO的職責(zé)，IT部門在這方面也將漸漸承擔(dān)主角。簡單的說，IT是保證財務(wù)報告內(nèi)部控制有效性的基礎(chǔ)。 雖然我國的企業(yè)內(nèi)部控制基本規(guī)范要求企業(yè)實現(xiàn)的內(nèi)控是以戰(zhàn)略為導(dǎo)向的全面內(nèi)控，但該規(guī)范包括的范圍相當(dāng)廣泛，僅內(nèi)控這項內(nèi)容就包括：企業(yè)層面、業(yè)務(wù)流程與IT一般控制與IT應(yīng)用控制。由于所有的業(yè)務(wù)都可能產(chǎn)生數(shù)據(jù)，而如何確保數(shù)據(jù)的及時收集、準(zhǔn)確與完整性都離不開IT系統(tǒng)的支撐。因此，如何把IT內(nèi)控與企業(yè)內(nèi)控管理統(tǒng)一起來，是合規(guī)企業(yè)內(nèi)部控制基本規(guī)范的一個關(guān)鍵點。也就是說，在內(nèi)控合規(guī)方面，IT就是一個最佳的突破口。,第五

26、節(jié) IT控制與IT內(nèi)審,面向“電子發(fā)現(xiàn)”的業(yè)務(wù)數(shù)據(jù)保留 Electronic Discovery, 對可能涉及到訴訟相關(guān)的電子證據(jù)的歸檔和再現(xiàn)。2006年11月，美國政府又修訂了美國聯(lián)邦民事訴訟證據(jù)規(guī)則（Federal Rules of Civil Procedure，F(xiàn)RCP)，修改的重點在于企業(yè)律師不僅僅要在訴訟過程中提交電子文檔，還要在預(yù)審階段提供電子文檔。如果他們做不到這一點，法官可以判處該公司支付一大筆罰款。 區(qū)別與普通的歸檔存儲，電子發(fā)現(xiàn)要求有強(qiáng)大的查找功能，沒有相應(yīng)工具的幫助，在浩如煙海的歸檔文件中找到需要的信息可不是一件輕松的事情，何況法院明文規(guī)定必須在指定的時間內(nèi)提交這些電子

27、文檔，否則就又是一批巨額的罰款。 Recommind的市場部副總裁Craig Carpenter說，到最后電子發(fā)現(xiàn)中70%的成本都和查閱文件有關(guān)。,第五節(jié) IT控制與IT內(nèi)審,企業(yè)內(nèi)部控制基本規(guī)范 2008年6月，我國財政部、證監(jiān)會、銀監(jiān)會、保監(jiān)會及審計署等五部委聯(lián)合發(fā)布了“中國版薩班斯法案”企業(yè)內(nèi)部控制基本規(guī)范，并將于2010年1月起首先在上市企業(yè)中實施。 該規(guī)范第37條規(guī)定：“企業(yè)應(yīng)當(dāng)建立重大風(fēng)險預(yù)警機(jī)制和突發(fā)事件應(yīng)急處理機(jī)制，明確風(fēng)險預(yù)警標(biāo)準(zhǔn)，對可能發(fā)生的重大風(fēng)險或突發(fā)事件，制定應(yīng)急預(yù)案、明確責(zé)任人員、規(guī)范處置程序，確保突發(fā)事件得到及時妥善處理。”,第五節(jié) IT控制與IT內(nèi)審,第三十九條

28、 企業(yè)應(yīng)當(dāng)對收集的各種內(nèi)部信息和外部信息進(jìn)行合理篩選、核對、整合，提高信息的有用性。企業(yè)可以通過財務(wù)會計資料、經(jīng)營管理資料、調(diào)研報告、專項信息、內(nèi)部刊物、辦公網(wǎng)絡(luò)等渠道，獲取內(nèi)部信息。企業(yè)可以通過行業(yè)協(xié)會組織、社會中介機(jī)構(gòu)、業(yè)務(wù)往來單位、市場調(diào)查、來信來訪、網(wǎng)絡(luò)媒體以及有關(guān)監(jiān)管部門等渠道，獲取外部信息。 第四十一條 企業(yè)應(yīng)當(dāng)利用信息技術(shù)促進(jìn)信息的集成與共享，充分發(fā)揮信息技術(shù)在信息與溝通中的作用。企業(yè)應(yīng)當(dāng)加強(qiáng)對信息系統(tǒng)開發(fā)和維護(hù)、訪問與變更、數(shù)據(jù)輸入與輸出、文件儲存與保管、網(wǎng)絡(luò)安全等方面的控制，保證信息系統(tǒng)安全穩(wěn)定運(yùn)行。 第四十七條企業(yè)應(yīng)當(dāng)以書面或者其他適當(dāng)形式，妥善保存內(nèi)部控制建立與實施過程中的相關(guān)記錄或者資料，確保內(nèi)部控制建立與實施過程的可驗證性。,第五節(jié) IT控制與IT內(nèi)審,第五節(jié) IT控制與IT內(nèi)審,IT控制的意義：為了引導(dǎo)企業(yè)充分利用計算機(jī)信息系統(tǒng)規(guī)范交易行為，提高信息系統(tǒng)的可靠性、穩(wěn)定性、安全性及數(shù)據(jù)的完整性和準(zhǔn)確性，降低各種因素導(dǎo)致內(nèi)部控制失效的可能性，形成良好的信息傳遞渠道，必須實施IT控制。 IT控制的目標(biāo)：是指通過對具體的IT活動實施控制程序，以達(dá)到期望結(jié)果或目的的總體描述。其實質(zhì)是“治理”，即如何設(shè)計一種制衡的機(jī)