周一至周日 8:00-22:30:
帮助中心 联系我们
当前位置:啊呀呀呀教科专业毕业设计 > 管理学 > 工商管理 > >列表
工商管理(  )
站点导航
展开/合拢

遵从萨班斯法案的信息安全管理研究

2013-10-15 09:38   来源:未知 人参与在线咨询

  摘要:开发就美国萨班斯法案对在美上市企业提出的监管内容进行分析,重点研究在美上市企业在遵从萨班斯法案项目上涉及信息安全管理方面的要求和存在的挑战。通过深入企业实践调查和系统总结,力图为大陆在美上市企业遵循萨班斯方案提供理论依据和实践指导。
  开发通过对萨班斯法案涉及企业信息安全管理要求的分析,提炼出法案合规的信息安全管理目标,进而根据所要达成的目标提出法案合规的方法论和解决方案.开发提出了企业需围绕萨班斯法案遵从目标构建信息安全管理体系、信息安全控制策略和信息安全管理原则,并提出针对性解决方案,解决方案主要解决了企业公开发布的财务报告和内部控制报告涉及的财务信息的可靠性和完整性要求。通过对企业职员进行智能统一的身份管理,保证仅被适当授权的职员进行对应的数据访问;通过对财务数据在访问、传输和使用等方面提供统一的安全访问控制,保证了财务信息数据流程的一致性;通过提供完善的审计解决方案,实现财务信息在使用过程中的可追溯性和可审计性。通过对上述解决方案的实施及动态修复完善,能够有效防止企业内部人员进行灰色交易并最大程度消除内部控制风险,从而实现对萨班斯法案的遵从要求。
  关键词:萨班斯法案,SOX,SOX法案遵从,IT风险,信息安全管理,信息安全解决方案
  绪论:
  一、选题背景
  2001年12月,美国最大的能源公司---安然公司,突然申请破产保护,紧接着在2002年6月世界最大通信公司世界通信被发现虚构了近百亿美元利润。一系列丑闻使美国资本市场陷入阴霆,给美国经济发展蒙上了深深的阴影。为了重建投资者信心,恢复资本市场活力,2002年6月布什总统签署的萨班斯一奥克斯利法案(简称萨斑斯法案)正式生效。该法案对美国 《1933年证券法》、(1934年证券交易法》作了大量修订,在会计职业监管、公司治理、证券市场监管等方面做出了许多新的规定,又被称为“公众公司会计改革与投资者保护法案”。法案的第一句话就是 “遵守证券法律以提高公司披露的准确性和可靠性,从而保护投资者及其他目的。布什总统在签署SOX法案的新闻发布会上称 “这是自罗斯福总统以来美国商业界影响最为深远的改革法案”。法案对公司治理、内部控制及外部审计同时做出了严格的要求。明确规定管理层要负责内控系统的完善和落实,并对财务报告的真实性负刑事责任。
  萨班斯法案的出台,使全球各国监管部门、企业和投资者都把目光关注在公司治理和全面风险管理上。为保护投资者、降低风险,各国纷纷效仿萨班斯法案,出台自己的公司治理要求以及全面风险管理指南。SOX法案引发了全球公司治理与风险管理翻天覆地的变化.如何更好地规范公司治理、完善公司全面风险管理框架,如何发挥信息技术在公司治理和风险管理中的作用,是目前理论界与实务界关注的热点话题。其中IT治理与风险管理,信息安全管理与SOX法案遵从等议题逐渐成为企业关注的焦点。
  二、研究的目的和意义
  2006年7月15日,萨班斯法案对中国在美上市公司开始正式生效,大陆和香港70多家在美上市公司正面临2006财年的萨班斯法案大考,如果在美上市公司不能通过该法案的认证,美证券市场会认为该公司财务管理不规范、企业内控不可信,公司将面临被摘牌的危险。
  由于目前几乎所有上市公司的核心业务运作都依赖于IT系统,信息资产已经成为                           遵从萨班斯法案的信息安全管理研究企业的核心价值资产。如何通过信息系统建立更好的内部过程控制视图,如何通过信息安全管理解决方案来实现对萨班斯法案的遵从正成为在美上市企业直接面临的挑战。
  萨班斯法案主要关注财务报告数据的准确性,它以法律形式强化了公司内部的风险控制,同时也将企业IT治理的重要性提高到了前所未有的高度,萨班斯法案关注的IT治理主要包含信息安全管理和IT业务流程风险管理.而其中信息安全管理主要涉及信息安全策略、信息安全解决方案和信息安全审计。通过严谨的、合乎流程的信息安全管理能够提高企业财务报告的可靠性和完整性。
  开发试图通过对萨班斯法案遵从项目中涉及IT治理中的信息安全领域进行深入分析和研究,探讨萨班斯法案对企业信息安全管理的要求,研究企业遵从萨班斯法案的解决之道,为大陆在美上市企业遵循萨班斯方案提供理论依据和实践指导。
  三、研究思路和研究方法
  萨班斯法案最初用于解决诸如帐外交易(灰色交易)之类的特殊舞弊行为。安全并不是首要考虑的问题.萨班斯法案中包含了这样一项规定:CEO和CFO必须证明其公司拥有适当的内部控制。法律专家指出,如果维护财务数据的系统不能被证明是安全的系统,则高层管理人员很难担保财务数据的准确性,也很难担保其内部控制的有效性。
  因此内部控制已经演变成为法律层面的需求。尽管企业对于审查一致性的审计在安全方面的苛刻要求仍然存在很多意见,但是正如权威人士所说,“如果没有适当的安全控制机制,高层管理人员实际上无法签名证明财务报表的准确性”。可见信息安全管理己经成为衡量企业内控机制是否合规的关键考核内容。
  开发将主要围绕SOX法案对在美上市企业的财务报表和内控报告要求展开深入分析和调查,重点研究在美上市的大陆企业在法案合规性方面存在的共性的安全管理问题和安全需求;分析如何通过信息安全管理体系规范和信息安全框架建立企业的安全管理策略,进而提出法规遵从的安全管理解决方案,为在美上市企业在实施信息安全解决方案和如何通过IT审计等方面提供参考建议。
  本人希望通过对ISMS(信息安全管理体系)标准和COBIT(信息及相关技术的控制目标)进行深入学习与研究:分析和研究SOX法案302和404条款对信息安全管理的审核要求;紧密跟踪业界发展动态;深入企业进行内部调研和实践,通过系统的学习、思考和总结为企业通过SOX法案审核提供理论指导和解决方案,同时在提高企业的IT治理能力方面提出参考建议。

  • 了解我们
  • 服务与支持
  • 工作时间
  • 我们的位置
  • 请认准本站唯一企业QQ:
  • 工作日周一至周日
  • 工作时间7×24小时制
  • 地址: