遵循SOX404的十大问题
发布时间:2006年10月02日点击数:
作者:ITGov 来源:ITGov
摘要:
一、系统文档与实际流程不匹配。在许多情况下,企业的内部控制文档还存在,但是已经过期,无法反映当前的流程与控制要求。企业在对IT运作、管理的流程进行梳理化的过程中,会形成多种流程内控文档,例如按照Cobit的控制活动将企业的流程规划为五大类的活动,或按照ITIL的最佳实践规范将企业的IT服务规划为多个独立并相互关联的管理流程。这些流程的建立并不是一蹴而就的,应该是按照其特定的生命周期进行不断的改进,并且实现人、流程、技术的完整结合。但是企业往往只把该类活动当作一个项目的输出,没有将这些流程不断地更新、完善,也没有将这些流程同步到流程控制文档中。
二、不存在的或者不遵守人工处理过程的规程。许多规程或者控制,仅仅作为管理存在于企业的日常运营中,并没有形成文档,或者是形成文档后也没有得到遵守,造成不但处理过程含糊不清,而且以后也几乎完全无法审计。规范的规程或控制文档,在企业的运营实践中,是作为管理策略或制度来表现的,必须用书面的形式表现出来。这些文档,可以用来体现、定义和传达董事会和决策层对于企业IT管理的理念和展望,定义其他用以运营管理和技术架构的宏观框架,是所有IT管理工作的基础和依据。
三、客户化程序、表和接口并不安全。许多企业自己开发的应用并不能充分地保护它们免受未经授权的访问与使用。在关注网络安全、系统安全的同时,好多企业没有建立一套规范化的体系,对应用的安全进行管理和约束,具体的一个体现就是,企业自己开发的应用并没有达到一个成熟的安全级别,没有将用户按照业务的需要进行权限的划分,从而导致关键数据暴露在并没有访问权限的用户面前。
四、在GL(总分类账,General Ledger)应用内并未限制计入期限。由于财务报告的时效性特别重要,因此确保财务交易不会被计入不适当的报告期成为404条款遵从中的一项关键性控制。
五、已中止雇佣关系的员工或已经离开的雇员仍然拥有访问权。一项研究表明,大约25~30%的用户账号的持有者是已经与企业脱离关系的个人。这些帐号带来了极大的安全风险,需要对其加以控制以确保此类账号立即停用。大多数企业缺乏适当的流程或制度对这个漏洞进行管理,更不要提配备合适的工具对账号进行统一的展现或管理。实际上,一个比较理想的模式,是员工从加入一个公司开始,到由于角色的变化而带来的对IT系统访问权限的更换,再到离开公司,其中的账号应该能够统一管理,实现账号的全生命周期的管理。
六、在生产过程中有大量用户拥有“超级用户”的访问权限。这个问题经常出自一个观点,就是企业应该存在有限的人员可以在IT基础设施内操作所有的功能。这样就造成有些人的行为不受任何限制,有时甚至可以执行未经审计的操作。企业应该明确所有用户甚至是最高级别管理员的特定职责,并就其职责明确规定一系列的访问权限,并定期登录和审计,以确保其被正确使用。将操作系统或数据库所固有的超级用户权限,根据业务的实际需求进行适当的分割,已是大势所趋。
七、研发人员可以在生产环境运行业务交易。研发人员经常需要额外的特权,以便在应用和交易正式应用前对其进行测试。但是这类访问权限通常不应授权他们在生产环境中对交易进行处理,并且任何此类授权必须经过审计,以确保不会被不适当的使用。
八、支持企业财务应用软件的数据库不安全。PeopleSoft、SAP等企业常用的应用软件所使用的重要数据经常不够安全,用户经常可以直接访问数据,而无需通过一定级别的访问控制机制。
九、支持企业财务应用软件或门户的操作系统不安全。涉及到操作系统的访问也和上面的情况类似。
十、未经识别或未解决的职能分工事宜。很多时候如果在系统和事务处理访问权限内进行符合要求的职能分工,就可以控制或者消除财务欺诈。特定人员(例如管理员)经常拥有批准自己所作的访问请求的权限。这样他们就能授予自己超越原计划的访问权限。企业应迅速确定职能分工问题,对其加以控制,以确保错误行为可以得到纠正,对于敏感资源的访问请求应由具有适当权限的人批准。
点击按钮自动加关注代码——新浪微博
二、不存在的或者不遵守人工处理过程的规程。许多规程或者控制,仅仅作为管理存在于企业的日常运营中,并没有形成文档,或者是形成文档后也没有得到遵守,造成不但处理过程含糊不清,而且以后也几乎完全无法审计。规范的规程或控制文档,在企业的运营实践中,是作为管理策略或制度来表现的,必须用书面的形式表现出来。这些文档,可以用来体现、定义和传达董事会和决策层对于企业IT管理的理念和展望,定义其他用以运营管理和技术架构的宏观框架,是所有IT管理工作的基础和依据。
三、客户化程序、表和接口并不安全。许多企业自己开发的应用并不能充分地保护它们免受未经授权的访问与使用。在关注网络安全、系统安全的同时,好多企业没有建立一套规范化的体系,对应用的安全进行管理和约束,具体的一个体现就是,企业自己开发的应用并没有达到一个成熟的安全级别,没有将用户按照业务的需要进行权限的划分,从而导致关键数据暴露在并没有访问权限的用户面前。
四、在GL(总分类账,General Ledger)应用内并未限制计入期限。由于财务报告的时效性特别重要,因此确保财务交易不会被计入不适当的报告期成为404条款遵从中的一项关键性控制。
五、已中止雇佣关系的员工或已经离开的雇员仍然拥有访问权。一项研究表明,大约25~30%的用户账号的持有者是已经与企业脱离关系的个人。这些帐号带来了极大的安全风险,需要对其加以控制以确保此类账号立即停用。大多数企业缺乏适当的流程或制度对这个漏洞进行管理,更不要提配备合适的工具对账号进行统一的展现或管理。实际上,一个比较理想的模式,是员工从加入一个公司开始,到由于角色的变化而带来的对IT系统访问权限的更换,再到离开公司,其中的账号应该能够统一管理,实现账号的全生命周期的管理。
六、在生产过程中有大量用户拥有“超级用户”的访问权限。这个问题经常出自一个观点,就是企业应该存在有限的人员可以在IT基础设施内操作所有的功能。这样就造成有些人的行为不受任何限制,有时甚至可以执行未经审计的操作。企业应该明确所有用户甚至是最高级别管理员的特定职责,并就其职责明确规定一系列的访问权限,并定期登录和审计,以确保其被正确使用。将操作系统或数据库所固有的超级用户权限,根据业务的实际需求进行适当的分割,已是大势所趋。
七、研发人员可以在生产环境运行业务交易。研发人员经常需要额外的特权,以便在应用和交易正式应用前对其进行测试。但是这类访问权限通常不应授权他们在生产环境中对交易进行处理,并且任何此类授权必须经过审计,以确保不会被不适当的使用。
八、支持企业财务应用软件的数据库不安全。PeopleSoft、SAP等企业常用的应用软件所使用的重要数据经常不够安全,用户经常可以直接访问数据,而无需通过一定级别的访问控制机制。
九、支持企业财务应用软件或门户的操作系统不安全。涉及到操作系统的访问也和上面的情况类似。
十、未经识别或未解决的职能分工事宜。很多时候如果在系统和事务处理访问权限内进行符合要求的职能分工,就可以控制或者消除财务欺诈。特定人员(例如管理员)经常拥有批准自己所作的访问请求的权限。这样他们就能授予自己超越原计划的访问权限。企业应迅速确定职能分工问题,对其加以控制,以确保错误行为可以得到纠正,对于敏感资源的访问请求应由具有适当权限的人批准。
下一篇:经历危机 才知有效IT治理是出路
相关文章
-
没有关键字相关信息!
推荐文章
- 信息系统运维预算定额参考标准研究[04-09]
- 第2章 跨文化管理理论和实践[01-14]
- 16:什么是关键成功因素法(CSF)?[06-09]
- 24:eSCM-SP(服务提供商外包能力模型)有哪些…[06-10]
- 第4章 跨文化沟通[01-14]
推荐专题
订阅
治理评论
- 治理评论第一期[01-20]
- 治理评论第二期[01-20]
- 治理评论第五期[01-20]
- 治理评论第三期[01-20]
- 治理评论第六期[01-20]
- 治理评论第四期[01-20]
- 太极凭什么中标12306? [09-26]
- 中国国际航空股份有限公司--书评[11-01]