论文部分内容阅读
“法规遵从”(Compliance)这个词近几年颇受关注,其含义就是企业和组织在业务运作中,不仅要遵守企业自己的各项规章,而且要遵守政府和行业制定的各项法律、法规及各种规章,同时又能证明自己确实做到了相关的要求。我们所说的“法规遵从”主要针对的是企业需要遵守的来自外部的各种法规,而这其中就有一些国外监管机构的法规。
目前,企业在生产经营中经常会涉及到的国外法规包括《萨班斯-奥克斯莱法案》(Sarbanes-Oxley)、《健康保险可携性和可纠责性法案》(HIPAA)、《格雷姆-里奇-比利雷法》(GLBA)、《加利福尼亚州参议院第1386 号议案》、《欧洲共同体数据保密指令》以及美国食品和药品管理局(FDA)制药规定21 CFR第11 篇等。各国也分别制定了一些类似的相应法规,例如,近两年我国颁布实施的《电子签名法》、《中国信息安全产业反不正当竞争公约》以及有关信息安全方面的一系列标准,这都是企业在生产经营过程中需要遵循的内容。
就目前来说,中国企业法规遵从的主要问题集中在信息安全与信息披露等方面,尤其是国外相关管理部门制定的一系列信息安全规定。对于企业的CEO、CFO、CIO以及众多高层管理人员来说,法规遵从已经是他们不可回避的问题。要满足这些法规遵从方面的要求,企业一方面在业务流程上要依据法规要求,做出相应的调整;另一方面,由于现代企业中IT与业务息息相关,因此企业的IT系统也不可避免地需要进行相对应的改变。
要做好法规遵从,较好的方式是对企业所有的法规遵从行为进行通盘考虑,通过一系列适合现在所有主要要求的流程、软件和IT服务,同时满足多项法规遵从的要求。在法规遵从的启动阶段,一方面需要企业进行相应的资金投入,另一方面需要各公司的首席执行官、首席财务官、首席信息官、法律顾问和首席检察官之间能够有效合作。企业应该挑选经验丰富,熟悉全球相关法规的执行人员,组成一个团队,来保证企业法规遵从策略的正确制定与执行。
在人员和财务方面有了充足准备的情况下,企业大致可以遵循六个步骤,来有计划地实现法规遵从:
从上至下地开始
企业高层领导和企业各个层面的员工都要对法规遵从工作给予足够的重视和支持。
实施适当的控制
企业必须采用各种标准和软件来确保对法规遵从过程实施适当的控制。在此基础上,企业还可以通过以法规遵从为中心的软件和IT服务,来帮助自己加强对法规遵从实施过程的控制。
定期审计
法规遵从的执行过程中需要持续地强制执行和重复地审计,定期对法规遵从的状况加以评估,以避免法规遵从被破坏,建立有效的、持续的处理流程。
定期的培训与沟通
就各方的观点进行沟通以及适当的培训,是企业在法规遵从方面需要重视的两大问题。企业需要确保员工认真地对待法规遵从的相关事宜,让员工了解法规遵从的重要性。
听取批评
听取批评,积极改进,这是任何事情取得成功不可或缺的。企业在法规遵从方面遇到问题,需要顺畅的意见采纳渠道,同时,员工也需要一个沟通窗口来表达自己的困惑和担忧。
迅速、适当地采取行动
当法规遵从方面出现问题后,企业必须立即进行审计,并采取经过授权的惩戒或纠正行动。在面临实际的控诉或投诉之前,企业应该考虑好如何开展法规遵从方面的调查。
根据各自的不同特点,企业在具体执行过程中可以有针对性地加以侧重和增补。
企业正式进入法规遵从的实现阶段之后,可以利用一些业界认可、已经成型的标准,来启动与简化处理程序,这是企业实现法规遵从的重要手段之一。其中,有几个重要的标准值得企业注意:COBIT(信息及相关技术的控制目标)、ITIL(IT基础架构库)和ISO 17799。这些标准之间存在着互补关系,在实际应用中,企业可以采用一个以上的IT标准,根据具体目标的不同,选择不同标准中的相关部分来帮助自己更好地实现法规遵从的过程。
在企业考虑应用这些标准来实现法规遵从之前,企业的法规遵从执行团队的负责人通常需要先判定出企业需要遵守哪些法律法规,并提出遵从这些法规需要实现哪些目标。而此时企业CIO即可针对这些具体的目标,提出具体的解决方案,并分析企业可以通过满足哪些标准,来实现最终的法规遵从的目标。
目前,许多中国企业面临直接和紧迫的法规遵从问题就是萨班斯法案的404条款的遵守。该条款特别针对财务报告制作中的内部控制行为加以规定,它要求数千家大中型美国本土上市公司必须在2004年11月15日后结束的财政年度中遵守,非美国本土公司的遵守日期则约定在2006年7月15日。
在众多企业进行的遵守404条款实施工作中,许多IT审计机构发现了许多比较普遍的问题。这些问题包括:
系统文档与实际流程不匹配;
不存在或者不遵守人工处理过程的规程;
客户化程序、表和接口并不安全;
在GL应用内并未限制计入期限;
已中止雇佣关系的员工或已经离开的雇员仍然拥有访问权;
在生产过程中有大量用户拥有“超级用户”的访问权限;
研发人员可以在生产环境运行业务交易;
支持企业财务应用软件的数据库不安全;
支持企业财务应用软件或门户的操作系统不安全;
未经识别或未解决的职能分工事宜。
在上述这10个问题中,有7个问题与用户访问控制有关。因此,企业在404条款的遵从过程中,要特别注意用户身份识别及访问管理。对于萨班斯法案的遵守来说,企业可以选择一个有效的身份识别及访问管理系统,来弥补管理中的漏洞。
随着全球经济一体化的发展,中国企业对内部控制的要求会逐渐增强,法规遵从的重要性也将日益凸显。通过加强自身管理以及采用新技术,越来越多的企业会更好地迈出法规遵从的步伐。
英特尔AMD10月将再祭
价格利器 研发暗战升级
据台湾地区计算机业者透露,AMD将会于7月24日及10月23日两次调整移动处理器售价;而英特尔将在7月23日和10月22日对桌面处理器进行新一轮降价,但不涉及最新发布的Core 2 Duo和Core 2 Extreme处理器。在英特尔售出XScale手持处理器部门后,AMD也对Geode嵌入式处理器部门进行了重组。Geode处理器部门裁员约100人,AMD同时关闭在科罗拉多州朗蒙特的设计中心,另有大约75人将转岗前往该州柯林斯堡的设计中心。今年年初,英特尔负责Montecito核心Itanium 2处理器设计工作的技术主管Sam Naffziger“叛逃”至AMD,而他在新东家的工作正是帮助成立柯林斯堡设计中心。 (长乐)
http://tech.sina.com.cn/it/2006-07-19/00331043925.shtml
软件奇人叫板盖茨
1万美元打赌Vista仍然跳票
软件奇人Wil Shipley近日在其博客公开叫板微软公司董事会主席比尔·盖茨,称下一代Windows操作系统Vista将继续跳票,并且他愿意为此拿出1万美元打赌。在上周,盖茨表示下一代Windows操作系统Vista明年1月推出的可能性为80%。 (长乐)
http://tech.sina.com.cn/it/2006-07-18/00001041689.shtml
神秘中国公司称破解Skype
一家声称已破解Skype通讯协议的中国公司正考虑在8月初推出相关产品的测试版。这家中国公司甚至考虑把这项技术提供给中国运营商,以帮助其在华封杀Skype。但Skype公司否认其通讯协议已遭破解。知情人士透露,这是一家名为Coobol的香港公司所为,该团队大约有十余名工程师。这家公司在VoIP领域十分活跃。 (金磊)
http://tech.sina.com.cn/i/2006-07-17/14141040845.shtml
欧盟向微软示威
开出3.5亿美元巨额罚单
欧盟在上周三宣布,因微软未执行欧盟2004年的一项反垄断裁决,对其课以2.8亿欧元(约合3.57亿美元)的罚款,并警告称,如果微软仍拒不执行裁决,下个月将面临更严重的处罚。据悉,如果微软在7月31日前仍拒不执行欧盟反垄断裁决,将面临最高每日300万欧元的重罚。 (甘利)
http://tech.sina.com.cn/it/2006-07-12/17471034140.shtml
目前,企业在生产经营中经常会涉及到的国外法规包括《萨班斯-奥克斯莱法案》(Sarbanes-Oxley)、《健康保险可携性和可纠责性法案》(HIPAA)、《格雷姆-里奇-比利雷法》(GLBA)、《加利福尼亚州参议院第1386 号议案》、《欧洲共同体数据保密指令》以及美国食品和药品管理局(FDA)制药规定21 CFR第11 篇等。各国也分别制定了一些类似的相应法规,例如,近两年我国颁布实施的《电子签名法》、《中国信息安全产业反不正当竞争公约》以及有关信息安全方面的一系列标准,这都是企业在生产经营过程中需要遵循的内容。
就目前来说,中国企业法规遵从的主要问题集中在信息安全与信息披露等方面,尤其是国外相关管理部门制定的一系列信息安全规定。对于企业的CEO、CFO、CIO以及众多高层管理人员来说,法规遵从已经是他们不可回避的问题。要满足这些法规遵从方面的要求,企业一方面在业务流程上要依据法规要求,做出相应的调整;另一方面,由于现代企业中IT与业务息息相关,因此企业的IT系统也不可避免地需要进行相对应的改变。
要做好法规遵从,较好的方式是对企业所有的法规遵从行为进行通盘考虑,通过一系列适合现在所有主要要求的流程、软件和IT服务,同时满足多项法规遵从的要求。在法规遵从的启动阶段,一方面需要企业进行相应的资金投入,另一方面需要各公司的首席执行官、首席财务官、首席信息官、法律顾问和首席检察官之间能够有效合作。企业应该挑选经验丰富,熟悉全球相关法规的执行人员,组成一个团队,来保证企业法规遵从策略的正确制定与执行。
在人员和财务方面有了充足准备的情况下,企业大致可以遵循六个步骤,来有计划地实现法规遵从:
从上至下地开始
企业高层领导和企业各个层面的员工都要对法规遵从工作给予足够的重视和支持。
实施适当的控制
企业必须采用各种标准和软件来确保对法规遵从过程实施适当的控制。在此基础上,企业还可以通过以法规遵从为中心的软件和IT服务,来帮助自己加强对法规遵从实施过程的控制。
定期审计
法规遵从的执行过程中需要持续地强制执行和重复地审计,定期对法规遵从的状况加以评估,以避免法规遵从被破坏,建立有效的、持续的处理流程。
定期的培训与沟通
就各方的观点进行沟通以及适当的培训,是企业在法规遵从方面需要重视的两大问题。企业需要确保员工认真地对待法规遵从的相关事宜,让员工了解法规遵从的重要性。
听取批评
听取批评,积极改进,这是任何事情取得成功不可或缺的。企业在法规遵从方面遇到问题,需要顺畅的意见采纳渠道,同时,员工也需要一个沟通窗口来表达自己的困惑和担忧。
迅速、适当地采取行动
当法规遵从方面出现问题后,企业必须立即进行审计,并采取经过授权的惩戒或纠正行动。在面临实际的控诉或投诉之前,企业应该考虑好如何开展法规遵从方面的调查。
根据各自的不同特点,企业在具体执行过程中可以有针对性地加以侧重和增补。
企业正式进入法规遵从的实现阶段之后,可以利用一些业界认可、已经成型的标准,来启动与简化处理程序,这是企业实现法规遵从的重要手段之一。其中,有几个重要的标准值得企业注意:COBIT(信息及相关技术的控制目标)、ITIL(IT基础架构库)和ISO 17799。这些标准之间存在着互补关系,在实际应用中,企业可以采用一个以上的IT标准,根据具体目标的不同,选择不同标准中的相关部分来帮助自己更好地实现法规遵从的过程。
在企业考虑应用这些标准来实现法规遵从之前,企业的法规遵从执行团队的负责人通常需要先判定出企业需要遵守哪些法律法规,并提出遵从这些法规需要实现哪些目标。而此时企业CIO即可针对这些具体的目标,提出具体的解决方案,并分析企业可以通过满足哪些标准,来实现最终的法规遵从的目标。
目前,许多中国企业面临直接和紧迫的法规遵从问题就是萨班斯法案的404条款的遵守。该条款特别针对财务报告制作中的内部控制行为加以规定,它要求数千家大中型美国本土上市公司必须在2004年11月15日后结束的财政年度中遵守,非美国本土公司的遵守日期则约定在2006年7月15日。
在众多企业进行的遵守404条款实施工作中,许多IT审计机构发现了许多比较普遍的问题。这些问题包括:
系统文档与实际流程不匹配;
不存在或者不遵守人工处理过程的规程;
客户化程序、表和接口并不安全;
在GL应用内并未限制计入期限;
已中止雇佣关系的员工或已经离开的雇员仍然拥有访问权;
在生产过程中有大量用户拥有“超级用户”的访问权限;
研发人员可以在生产环境运行业务交易;
支持企业财务应用软件的数据库不安全;
支持企业财务应用软件或门户的操作系统不安全;
未经识别或未解决的职能分工事宜。
在上述这10个问题中,有7个问题与用户访问控制有关。因此,企业在404条款的遵从过程中,要特别注意用户身份识别及访问管理。对于萨班斯法案的遵守来说,企业可以选择一个有效的身份识别及访问管理系统,来弥补管理中的漏洞。
随着全球经济一体化的发展,中国企业对内部控制的要求会逐渐增强,法规遵从的重要性也将日益凸显。通过加强自身管理以及采用新技术,越来越多的企业会更好地迈出法规遵从的步伐。
英特尔AMD10月将再祭
价格利器 研发暗战升级
据台湾地区计算机业者透露,AMD将会于7月24日及10月23日两次调整移动处理器售价;而英特尔将在7月23日和10月22日对桌面处理器进行新一轮降价,但不涉及最新发布的Core 2 Duo和Core 2 Extreme处理器。在英特尔售出XScale手持处理器部门后,AMD也对Geode嵌入式处理器部门进行了重组。Geode处理器部门裁员约100人,AMD同时关闭在科罗拉多州朗蒙特的设计中心,另有大约75人将转岗前往该州柯林斯堡的设计中心。今年年初,英特尔负责Montecito核心Itanium 2处理器设计工作的技术主管Sam Naffziger“叛逃”至AMD,而他在新东家的工作正是帮助成立柯林斯堡设计中心。 (长乐)
http://tech.sina.com.cn/it/2006-07-19/00331043925.shtml
软件奇人叫板盖茨
1万美元打赌Vista仍然跳票
软件奇人Wil Shipley近日在其博客公开叫板微软公司董事会主席比尔·盖茨,称下一代Windows操作系统Vista将继续跳票,并且他愿意为此拿出1万美元打赌。在上周,盖茨表示下一代Windows操作系统Vista明年1月推出的可能性为80%。 (长乐)
http://tech.sina.com.cn/it/2006-07-18/00001041689.shtml
神秘中国公司称破解Skype
一家声称已破解Skype通讯协议的中国公司正考虑在8月初推出相关产品的测试版。这家中国公司甚至考虑把这项技术提供给中国运营商,以帮助其在华封杀Skype。但Skype公司否认其通讯协议已遭破解。知情人士透露,这是一家名为Coobol的香港公司所为,该团队大约有十余名工程师。这家公司在VoIP领域十分活跃。 (金磊)
http://tech.sina.com.cn/i/2006-07-17/14141040845.shtml
欧盟向微软示威
开出3.5亿美元巨额罚单
欧盟在上周三宣布,因微软未执行欧盟2004年的一项反垄断裁决,对其课以2.8亿欧元(约合3.57亿美元)的罚款,并警告称,如果微软仍拒不执行裁决,下个月将面临更严重的处罚。据悉,如果微软在7月31日前仍拒不执行欧盟反垄断裁决,将面临最高每日300万欧元的重罚。 (甘利)
http://tech.sina.com.cn/it/2006-07-12/17471034140.shtml