下载本文的 PDF 版本 PDF

合规性解构

当您对其进行分解时,合规性在很大程度上是关于确保业务流程按预期执行。

JC CANNON 和 MARILEE BYERS,微软

合规性主题每年都变得越来越复杂。 数十项监管要求可能会影响公司的业务流程。 此外,这些要求通常含糊不清且令人困惑。 当负责合规性的人员被问及其业务流程是否符合合规性时,他们很难简洁而自信地回应,这可以理解。 本文着眼于公司如何解构合规性,以系统的方式处理合规性,并应用技术来自动化与合规性相关的业务流程。 本文还专门探讨了微软如何应对 SOX(2002 年萨班斯-奥克斯利法案)的合规性。

合规性驱动因素

监管立法和公司治理是合规性的主要驱动因素。 不遵守萨班斯-奥克斯利法案等立法可能会导致罚款和日常业务中断。 即使是不关心监管立法的公司也需要保护重要的公司资源,例如客户数据和商业机密。

这些合规性驱动因素导致人们越来越关注政策可能如何影响业务流程,范围从谁可以批准工资变更到使用哪家造纸供应商。 对于大多数公司而言,合规性的主要驱动因素应该是那些影响盈亏的流程。 这是进行正式合规性评估的一个很好的理由,作为开始合规性计划的第一步。 合规性评估可以识别可能对公司价值产生负面影响的糟糕或缺失的流程。

合规性并非新现象,也并非企业独有。 教师希望他们的学生遵守课堂要求。 警察希望公民遵守法律。 父母希望他们的孩子遵守某些行为。 然而,验证他们的孩子是否正在采纳期望的行为是困难的。 例如,父母可以告诉他们的孩子远离成人网站,并注意不要与互联网上的陌生人分享信息,但很难知道他们的请求是否被听到。 如果在您自己拥有高度控制权的家庭中都难以确保合规性,那么试图在一家拥有 1,000 名员工的公司中确保合规性确实是一项艰巨的任务。 这里的教训是,验证是合规性的本质。

合规性只是关于确保业务流程按预期执行。 许多公司都担心立法的猛烈冲击以及不遵守指令可能造成的罚款。 他们经常匆忙添加更严格的物理安全措施,改进文件共享和内部网站的访问权限,并大量投资加密技术,而没有考虑这些活动如何与业务流程联系起来。

在产品中添加加密功能是否有助于企业满足其合规性需求? 除非它可以由 IT 管理员集中管理,并且其保护数据的有效性可以在报告中得到验证,否则就无法做到。 否则,它能有多大用处? 技术投资固然好,但它们应该能够执行公司已定义的 IT 控制和业务流程。 此外,必须有一种方法来验证其有效性。 尽管加密是保护敏感数据的重要技术,但如果一家公司必须在数千台计算机上手动部署加密,却无法证明其有效性,那么从长远来看,它对公司就没有价值。

让我们考虑另一个家庭例子。 大多数家庭的门上都有锁,但如果他们去度假两周,他们能肯定地说没有人进入过他们的家吗? 即使房子有报警系统,也很难确定房子没有被闯入。 如果同一栋房子的每个房间都持续被摄像头扫描,并将图像转发到房主的手机上呢? 如果有人在屋内移动或监控系统被停用,房主可能会收到警告。 这将比锁或报警系统提供更好的证据。

现在让我们将同样的问题映射到一个企业,其中 CIO 可能负责保护数千个资源。 部署权限设置和加密无法验证合规性。 例如,如果 CIO 想要防止内幕交易,他或她可以对所有收购内容设置严格的访问权限,甚至加密最敏感的数据。 然而,如果审计员要求 CIO 验证只有收购团队的成员查看过收购文件,审计员不想看到加密设置。 CIO 应该能够生成报告,验证只有收购团队的成员在收购期间有权访问收购文件。 这只能通过访问日志来完成,这些访问日志可以轻松地输入到报告中,以回答以下问题:

这些问题都涉及合规性的本质——验证。

考虑一家企业策略管理软件公司的真实案例,该公司希望帮助公司对谁可以访问敏感数据施加复杂的控制。 在部署系统之前,所有敏感数据都必须分配到一组类别,例如医疗或财务,并且每位员工都必须分配到一个角色。 然后可以将规则应用于数据以控制访问。 例如,指定类别的数据可以由具有适当角色的个人在某些条件下出于批准的目的访问,并允许一些例外。 这似乎是大多数公司希望帮助他们解决合规性的系统类型,但该软件公司一次又一次地发现,大多数公司都担心如此复杂的系统可能会因为策略编写不当而导致正常的业务流程陷入停顿。 他们更感兴趣的是一个可以简单地告诉他们数据在哪里以及谁在访问数据的系统,特别是那些不当访问数据的人。

通过整合应对合规性

许多公司都有专门的团队专注于特定类型的合规性。 这可能会导致工作重复并导致政策冲突。 尽管不止一项立法可能要求保护个人信息,但公司不应制定多项政策来指导员工如何保护相同类型的数据。

整合合规性管理可以促成单一的企业合规性政策的制定。 这样,解决新的合规性立法就变得更简单,只需临时分配几个人来解构新立法的需求,并在必要时更新单一政策即可。

一些公司尝试在公司层面制定政策并将其应用于每个部门。 这对于部门多样化的公司来说可能是不切实际的。 确保政策对每个部门都有意义,并在流程演变时进行更新将是难以管理的。

更好的方法是制定企业政策,提供关于如何管理业务流程的高级视图。 然后,每个部门都应根据其自身的业务流程调整该政策。 例如,企业政策可以定义应用于所有企业数据的敏感度级别,并且可以规定必须加密最高敏感度级别的所有数据。 每个部门都可以确定其处理的哪些数据属于该类别,并可以确保对其进行加密。 当然,应审查部门政策,以确保其与企业政策不冲突。

自动化合规性

在公司执行合规性评估并实施一组控制措施来管理评估确定的风险之后,它应该确定如何自动化这些控制措施。 在验证控制措施是否适合解决公司的合规性需求之前,不应尝试自动化。

为什么要自动化? 使用纸张、电子邮件或不连贯的文件和应用程序实施业务流程很容易出错。 有太多的机会会遗失或被忽视某些东西。 此外,手动进行审计可能是一项昂贵而费力的任务。

当公司准备好自动化时,它应该寻找一个可以对业务流程提供端到端控制的系统。 该系统应具有强大的报告功能。 例如,公司可能希望将新员工的配置与工作流程连接起来,以确保员工在监督下被添加到适当的系统中。 任何合规性系统都应该能够回答以下问题: 为什么会发生某个操作? 谁批准的? 如果没有自动化的方法来确定安全性和工作流程是否在工作,那么自动化安全性和工作流程将无济于事。

一旦评估确定了需要自动化的业务流程,就有必要找到有助于自动化流程的系统。 微软的《监管合规性规划指南》(http://www.microsoft.com/technet/security/topics/complianceandpolicies/compliance/rcguide/default.mspx?mfr=true)描述了 19 个技术解决方案领域,这些领域为自动化合规性流程的技术提供了指导和信息。

微软的 SOX 合规性

微软的萨班斯-奥克斯利法案合规性是一个综合计划,包括以下组成部分:

年度 SOX 404 管理层评估

范围界定。 微软对内部控制的年度评估,以符合萨班斯-奥克斯利法案第 404 条的要求,首先从评估范围开始。 公司将其财务报表项目分解为周期和子周期。 例如,收入中的一个周期将是 MSN 广告和订阅收入,而订阅将是一个子周期。 然后,对每个子周期进行剖析,以找到贡献大量资金的地点——例如,雷德蒙德。 子周期地点的范围确定是根据定量和定性风险因素确定的。 通常,在范围内的子周期地点包括公司 90% 以上的财务报表交易和余额。 当子周期/地点组合被确定为在范围内时,微软会识别生成财务报表信息的交易或流程。 图 1 说明了范围界定过程。

控制识别。 对于为在范围内的子周期/地点组合识别的每项交易,微软都会确定会计信息不正确或遗漏的风险,制定控制目标以应对风险,然后找到确保风险得到充分缓解的关键控制措施。 关键控制措施既包括手动控制措施,也包括自动化应用程序控制措施。 交易流程和关键控制措施记录在叙述和流程图中。

例如,对于广告收入,一个风险是收入未在总账中正确记录。 控制目标将是收入按照当地会计惯例(遵循 GAAP(公认会计原则))正确记录。 一项关键控制措施是对订单系统、销售系统和总账中记录的收入进行核对。

通常,为 SOX 识别的关键控制措施是已经在会计流程中进行的活动。 挑战不在于找到足够的关键控制活动,而在于缩小被认为是重要的范围。

在范围界定和控制识别过程中吸取的关键教训包括:

IT 控制。 在确定业务流程的范围后,每个流程都链接到支持信息捕获和报告的应用程序。 发现属于范围内的应用程序随后与支持每个应用程序的 IT 组关联。 与在范围内的应用程序关联的基础设施元素(包括数据库、操作系统和硬件)也纳入范围。

微软对应用程序和支持基础设施元素使用标准控制目标,这些目标涵盖以下关键目标领域:访问控制、接口、数据库、软件开发生命周期、维护、外围网络、操作系统补丁管理、备份、物理安全和运营。 与业务流程一样,微软会查找并记录满足每个应用程序和 IT 组的控制目标的关键控制措施。 这些类型的控制措施适用于标准化,对每个应用程序和 IT 组测试相同或相似的控制措施。 再次考虑广告收入的示例:公司必须正确限制对系统内处理收入的特定功能的访问,并且应测试对系统限制访问能力以及授予和审查访问权限的流程的控制措施。

评估。 一旦所有关键控制措施都已指定和记录,公司就会评估控制措施的设计,然后制定测试计划,以执行对运营有效性的管理层评估。 控制措施每年都会进行测试,通常在财政年度第七个月结束之前进行,然后在年底之前通过更新测试重新评估。 控制措施的测试由同行测试员、外部签约资源或内部审计在正常审计计划的过程中执行。

先前描述的核对控制措施可以通过选择一个或多个核对(取决于频率)的样本,并获取和审查证据来证明核对已正确执行和审查,并且核对项目已得到及时调查来进行测试。 测试证据将被记录并作为 SOX 合规性工作底稿的一部分保留。

缺陷评估。 如果在控制措施的设计或运营有效性方面发现缺陷,管理层和内部审计会评估其重要性,并将其传递给外部审计师。 微软将缺陷评估作为季度报告流程的一部分。

季度 SOX 302 合规性

为了支持 CEO 和 CFO 的季度 302 认证,微软建立了一个季度的调查和子认证流程。 在整个组织中,控制员、子周期和子周期地点所有者以及财务主管完成各种调查,以评估披露控制和程序、财务报告内部控制以及控制措施变更的有效性。 此流程涉及大约 250 人。 对所有调查和信息请求的回复进行分析,并酌情纳入季度缺陷分析中。 还评估控制结构的变化是否具有重要性以及是否可能需要披露。

披露委员会监督

SOX 合规性计划的结果每季度向披露委员会报告,该委员会包括整个公司的主要财务领导。 委员会审查季度缺陷评估和控制措施变更的结果,并审查更新的风险评估。

内部审计和外部审计监督

微软的 SOX 合规性计划受内部审计师和外部审计师的审计。 管理层与这两个小组密切合作,以协调计划、测试和测试结果评估。

人员和组织

由于微软是一个庞大、全球性的组织,因此其 SOX 合规性计划是分散式的。 企业财务合规性小组管理 SOX 计划,制定政策,确定年度计划,提供培训,并协调缺陷评估。 每个业务部门、区域和运营中心都有一名或多名控制和合规性经理,他们为现场提供第一层支持。 每个子周期和子周期地点都有一个所有者,负责流程和控制措施的文档编制和评估。

SOX 计划组织如图 2 所示,以及 2006 财年涉及的大概人数。

正如预期的那样,管理全球性、分散式的合规性计划具有挑战性。 微软计划的关键成功因素是:

从一开始就获得强有力的资深管理层赞助和指导。 CEO 和 CFO 高度重视成功实施合规性计划,这种承诺在整个公司众所周知。 这种赞助和高度承诺存在于公司管理的各个层面。

良好的计划设计,从一开始就将问责制推向所有地点。 与许多其他公司不同,这些公司不得不在第二年或第三年向现场推广企业计划,子周期和子周期地点所有者始终对合规性负有主要责任。

中央团队提供一致的指导和沟通。 尽管沟通始终可以改进,但微软技术通过输入中央 SOX 合规性数据库以及通过双周 LiveMeeting 会议定期向外沟通指导和更新,实现了实时状态跟踪和报告,这些会议在全球范围内都可访问。

技术

由于微软最初处于最早的 SOX 合规性截止日期组中,因此它必须有选择地选择将其纳入系统解决方案中的元素。 公司知道其对文档进行版本控制、维护审计跟踪和提供安全访问的能力至关重要,并且它使用 Microsoft SharePoint 软件来满足这些要求。

随着提交日期的更改,微软的 SQL Server 团队抓住机会尝试使控制措施的组织和报告流程更有效率。 由于控制措施和测试数据的组织需要唯一的层次结构才能轻松管理(从财务报表类别开始,向下扩展到各个控制目标和活动),该团队构建了一个应用程序,该应用程序将允许用户轻松导航到其职责领域,并记录和记录其控制措施和测试结果。 该团队使用 SQL 2005 作为其实施平台,还集成了灵活的在线报告,以监控状态并为现场、管理层和高管审查提供更新。

当前状态和未来目标

由于微软的财政年度于 6 月 30 日结束,因此该公司刚刚完成其 SOX 合规性的第二年。(由于在公司完成大部分初始合规性工作后截止日期延长,因此在 2004 财年有一个“第 0 年”。)在这三年中,由于风险评估和控制措施合理化的改进,微软已成功将其范围和关键控制措施测试减少了 50% 以上。 公司致力于标准化控制措施,并在可能的情况下专注于更高层次的分析控制措施,以消除详细的和/或冗余的流程级控制措施。

一个关键的成功因素是分散式方法,该方法将所有权和问责制分配给整个组织中具有适当权限的人员。 它的支持技术使微软能够有效地管理分散式计划。 未来的目标包括继续提高计划的有效性和效率,同时保持强大的内部控制结构和及时补救缺陷。

成功的步骤

受托负责合规性的人员不应允许监管要求的压力迫使他们对解决合规性需求做出仓促的决定。 相反,请遵循以下步骤:

一旦您创建了一组 IT 控制措施来解决在评估过程中发现的风险,合规性工作将更加顺利。 使用技术可以帮助简化和自动化 IT 控制措施的定义、执行和验证。 最重要的是,在开始任何合规性计划之前,请寻求信誉良好的审计公司的帮助。

JC CANNON 是微软 SQL Server 团队负责合规性策略的高级项目经理。 他的任务是帮助确保 SQL Server 的新数据平台包含有助于公司满足其隐私和合规性需求的功能。 他还将专注于确保 SQL 是开发有效合规性解决方案的强大平台。

MARILEE BYERS 是财务合规性小组的组经理,该小组负责监督微软的萨班斯-奥克斯利法案合规性。 她曾在另一家财富 500 强公司担任过类似的职位。 她的职业生涯始于西雅图的德勤会计师事务所,并在金融服务行业以及多家初创公司担任过许多财务和运营领导职务。

软件配置管理案例研究

配置管理是一个合规性领域,可能对公司产生巨大影响。 在这里,我们仅考察 SCM(软件配置管理)。 然而,IT 配置管理可以包括操作系统、应用程序、网络和硬件设置。 安装在计算机系统上的软件可能会影响 CPU 和网络性能、许可成本、病毒扩散以及员工效率。 因此,IT 专业人员希望能够确保其范围内的每台计算机都运行正确的软件。

SCM 从评估开始。 您应该获得埃森哲和普华永道等公司的经验丰富的专业人员的协助。 评估应着眼于管理每项公司任务所需的各种计算机角色。 可能的服务器角色包括:Web、身份验证、数据库、开发、文件和打印以及会计。

对于每个服务器角色,您都需要确定合适的操作系统和应用软件。 您可能还需要防病毒软件和每个计算机所需的其他程序。 您需要跟踪软件的版本以及许可的副本数量。 风险管理评估将确定每个角色的重要性,然后将用于管理变更的推出。 在微软,SMS(系统管理服务器)以及其他工具用于确保符合配置策略。

一旦所有计算机系统都已正确配置,您就需要创建一个计划来管理安全修复程序、服务包和应用程序新版本的更新。 您应该包含一个在将更改部署到生产机器之前在测试实验室中验证更改的计划。 应首先更新高优先级机器(由风险管理评估定义),然后更新中等和低风险机器。 您应该包含一个在出现问题时的应急计划,以及监督以确保仅发生适当的更改。

一旦 SCM 计划完成,就必须有一种方法来跟踪更改并向审计师验证与软件更改相关的风险是否按照公司政策以及更重要的监管要求进行管理。 SMS 为微软执行该服务。

acmqueue

最初发表于 Queue 第 4 卷,第 7 期
数字图书馆 中评论本文




更多相关文章

Jatinder Singh, Jennifer Cobbe, Do Le Quoc, Zahra Tarkhani - 云中的飞地
随着组织数据实践受到越来越多的审查,对可以帮助组织履行其数据管理义务的机制的需求正在增长。 TEE(可信执行环境)提供基于硬件的机制,具有各种安全属性,用于辅助计算和数据管理。 TEE 关注数据、代码和相应计算的机密性和完整性。 由于主要安全属性来自硬件,即使主机特权软件堆栈易受攻击,也可以提供某些保护和保证。


Tracy Ragan - IT 合规性游戏中的得分
让开发人员接受用于管理从开发到发布的应用程序的标准化程序是当今组织面临的最大障碍之一。 建立标准化的从开发到发布的工作流程(通常称为 ALM(应用程序生命周期管理)流程)对于组织努力满足严格的 IT 合规性要求尤为重要。 这说起来容易做起来难,因为不同的开发团队创建了自己的独特程序,这些程序未记录、不明确且不可追溯。


John Bostick - 将他们的 SOX 踢开
数据对于任何大型组织来说都是宝贵的资源。 组织越大,它就越有可能在某种程度上依赖第三方供应商和合作伙伴来帮助其管理和监控其关键任务数据。 继上市公司的新法规(例如 SOX 第 404 条)之后,财富 1000 强公司的 IT 部门负责人越来越需要知道,当涉及到对其关键数据交易进行 24/7/365 全天候监控时,他们拥有具有良好计划和良好记录程序的业务合作伙伴。 为了响应验证第三方控制和程序的日益增长的需求,一些公司坚持要求某些供应商接受 SAS 70 Type II 审计。


Eric Allman - 遵守合规性
“嘿,合规性很无聊。 真的,真的很无聊。 除此之外,我既不在金融行业也不在医疗保健行业工作。 我为什么要关心 SOX 和 HIPAA?” 是的,您绝对正确。 您编写工资单应用程序、操作系统或用户界面,或者(天哪)电子邮件服务器。 您为什么要担心合规性问题?



© 保留所有权利。

© . All rights reserved.