1、company logo 第第7 7章章 企業法規遵從與信息資產管理企業法規遵從與信息資產管理國家級精品課程國家級精品課程電子文件管理電子文件管理時間： 月 日 第 - 節教室：教學重點本章關鍵內容本章關鍵內容 薩班斯-奧克斯利法案的意義企業法規遵從的范圍企業法規遵從的核心問題法規遵從的重要環節數據保留的基本要求文檔管理政策信息生命周期的過程管理數據管控要求it控制的范圍與內控it內審的內容與意義關鍵詞關鍵詞企業 法規遵從 信息資產管理 薩班斯-奧克斯利法案 法規遵從grc 內部控制 it控制 數據保留 審計 文檔管理 日志管理 自審 過程管理數據清冊 it控制 it內審主要內容o企業法規遵從

2、的概念o薩班斯-奧克斯利法案o企業法規遵從的核心問題o法規遵從的信息管理策略oit控制與it內審o英英特特爾爾稱丟失員工稱丟失員工郵郵件件 amdamd指控毀指控毀滅壟滅壟斷證據斷證據 o 據國外媒體3月6日報道，amd起訴英特爾壟斷一案日前出現新動態。英特爾公司周一承認，由于疏忽未能保全一部分證據文件，amd立刻攻擊英特爾故意毀滅證據。 在提交給特拉華州聯邦地方法庭的一個文件中，英特爾公司表示，由于工作疏忽，他們未能保留所有和官司有關的證據。 據稱，在amd起訴第二天，英特爾公司就通知所有相關的六百名員工，請保留各種文件和證據，其中包括往來電子郵件。然而，由于疏忽，英特爾公司未能通知員工保留

3、“已發送郵件”。 這樣，幾天之后，英特爾員工的“已發送郵件”被刪除。一些涉及訴訟的郵件證據丟失。英特爾公司在文件中說，對于此事深表遺憾，英特爾對于此次疏漏的態度是嚴肅的。amd公司迅速對英特爾公司的舉動作出了表態。在周一提交給法庭的文件中，amd表示，表面上看，這是一個因為內部溝通引起的失誤，但事實上，英特爾故意讓證據遭到毀滅。據悉，兩家公司將在本周到法庭討論這一事件。2005年，amd起訴英特爾公司利用“威逼利誘”等手段，迫使電腦廠商和it賣場打壓自己的產品 第一節 企業法規遵從的概念o花花旗旗、美、美林林和和摩摩根斯根斯坦坦利分別被罰款利分別被罰款2525萬萬美美元元 o 新華社華盛頓7月

4、19日電 由于未能及時向投資者提供必需的文件，美國3家主要的投資公司花旗、美林和摩根斯坦利分別被罰款25萬美元。美國經紀行業的自我監督機構美國全國證券交易商協會19日宣布對這3家公司進行罰款，并批評它們違反經紀業有關證券仲裁審理的規定。該協會說，這3家公司沒有遵守規定，及時向過去兩年里20個仲裁案中向經紀公司提出索賠要求的投資者提供有關文件。即使在全國證券交易商協會負責聽證這些案件的陪審團提出要求并處以它們5.2萬美元罰款之后，它們仍未能這樣做。證券經紀代理合同一般要求投資者的投訴通過仲裁而不是法院程序解決。美國全國證券交易商協會處理大約90%的仲裁案，紐約證券交易所也處理這類案件。第一節 企

5、業法規遵從的概念o什么樣的數據檢索計劃值得一家公司打上一場官司？摩根斯坦利價值1500萬美元的訴訟案就是這樣。 在2006年，為了回應美國監管機構對無法保留電子郵件信息的調查，華爾街公司同意支付這筆罰款。o在15.8億美元（后來被推翻）摩根斯坦利訴科爾曼的案件中，電子郵件發揮了核心的作用。佩雷爾曼（perelma）是一個億萬富翁投資人，他說自己在商業銷售中被公司騙了。佩雷爾曼的律師要求摩根士丹利出示電子郵件作為證據（該公司表示，磁帶備份已經被覆蓋），但是他們無法做到，于是法官采取了不尋常的步驟，將舉證責任轉移到摩根士丹利，要該公司證明自己清白。第一節 企業法規遵從的概念o白宮白宮刪除電子刪除電

6、子郵郵件，件，疑疑為毀為毀滅滅證據證據o 美國觀察組織“華盛頓公民責任與道德”2007年4月12日發布報告說，白宮電子郵件服務器上丟失了數百天的電子郵件紀錄。報告中說，2003年3月至2005年10月期間，白宮服務器上超過500萬封電子郵件沒有得到保存，與總統文件法相悖。“顯然，白宮是在故意違反法律。”組織負責人梅拉妮。斯隆說。針對這份報告，白宮發言人達娜。佩里諾13日承認，白宮可能已經丟失約500萬封電子郵件，但佩里諾強調說，目前尚無跡象表明這些郵件系被故意刪除。不過，她也沒有否定外界此類推測。白宮和共和黨全國委員會此前表示，他們可能丟失了包括總統布什高級助手卡爾。羅夫在內的多名白宮官員在r

7、nc服務器上的郵件。而國會調查人員恰恰正在查找這些電子郵件，以便確定羅夫是否卷入檢察官遭解職事件。美國司法部2006年先后解除了八名聯邦檢察官的職務，并稱此舉是例行的人事更迭，但華盛頓郵報等媒體報道說，司法部此舉系白宮授意，出于政治目的，美國國會隨后對羅夫等白宮人員展開調查。據美聯社報道，檢察官遭解職事伯已經危及司法部長阿爾韋托。岡薩雷斯的職位。他擬于下周接受參議院司法委員會問訊。“白宮正在違反要求他們保存所有記錄的現行法律，”斯隆說，“我們已經得到重要證據，白宮正在千萬百計避免遵守這項法律。”第一節 企業法規遵從的概念第一節 企業法規遵從的概念o企業法規遵從：企業法規遵從：o 企業法規遵從（

8、compliance）是企業內外部在業務運作中對于各項法律、法規及各種規章制度的遵從，并對信息具備足夠的可控性。它不僅要求企業要遵守自己的各項規章而且要遵守政府和行業制定的各項法律、法規及各種規章，同時又能證明自己確實做到了相關的要求。企業法規遵從的目的之一就是確保企業的數據資產得到完全的保護，其中心問題是所保留數據的精確度、完整性以及可利用性，以保障客戶、合作伙伴和其它股東等群體的利益。若企業不遵守這些法規就會招致罰款或更大的法律風險。o薩班斯-奧克斯利法案（sarbanes-oxley act，sox）全稱2002年公眾公司會計改革和投資者保護法案，又被稱作2002年薩班斯-奧克斯利法案。

9、該法案對美國1933年證券法、1934年證券交易法做出大幅修訂，在公司治理、會計職業監管、證券市場監管等方面作出了許多新的規定。o該法案對上市公司的內控機制及外部審計作出了明確的嚴格規定，適用于所有在證券交易委員會 (sec) 注冊的美國和其它國家的上市公司。該法案最初于2002年2月14日提交給國會眾議院金融服務委員會，到7月25日國會參眾兩院最終通過，先后有6個版本：2月14日、4月22日、4月24日、7月15日、7月24日、7月25日（最后版本）。 第二節 薩班斯-奧克斯利法案osoxsox法案的主要措施：法案的主要措施：o（1）嚴格界定高層管理人員責任與義務，并設定了問責機制與相應的懲

10、罰措施，保障記錄來源的準確與完整。o（2）通過承擔法律責任，防止對企業重要記錄的隨意變更o（3）強化公司高管的財務報告責任、提供外部審計的獨立性等，有助于提高公司財務報告及信息披露的質量；o（4）加大對危害記錄安全的犯罪人的懲罰力度第二節 薩班斯-奧克斯利法案osox對企業財務行為的影響o加強公司的內部管理，對企業保留的記錄與披露的信息負責o必須保留數據與不斷跟蹤記錄 ；oit控制不可或缺第二節 薩班斯-奧克斯利法案第三節 企業法規遵從的核心問題企業法規遵從的范圍：企業法規遵從的范圍：o各國政府和行業管理部門制定的各種強制性的法律法規（必須嚴格遵守）o在全球經濟一體化的背景下，企業必須遵從國與

11、國之間各不相同的法規，以及現有法規的修訂和與時俱進的法規解釋。o非強制性的業界標桿，如itil（information technology infrastructure library，信息技術基礎設施庫）等相關標準（企業可以自主選擇）。o企業自身訂制的各種規章制度第三節 企業法規遵從的核心問題第三節 企業法規遵從的核心問題p其他相關法案其他相關法案p保鍵機構需遵守的健康保險可攜性和可糾責性法案（hipaa）p金融服務機構需遵守格雷姆-里奇-比利雷法（glba）為加利福尼亞州客戶提供服務的企業需遵守加利福尼亞州參議院第1386 號議案p歐洲共同體數據保密指令p制藥商需遵守美國食品和藥品管理局

12、（fda）制藥規定21 cfr第11篇p我國頒布實施的電子簽名法、中國信息安全產業反不正當競爭公約等一系列法規，對企業的行為做出了嚴格要求。p我國質量技術監督部門還頒布了有關信息安全方面的一系列標準，這也是企業在生產經營過程中需要遵循的內容。第三節 企業法規遵從的核心問題企業法規遵從是一個過程：企業法規遵從是一個過程：o法規遵從不是結果而是過程，是以法規遵從為契機，深入研究it治理，加強it控制，降低風險，把企業治理與it治理相結合、全面風險管理與it治理相結合的理念徹底貫徹到業務運作過程中，以達到對其產生、傳送、保存與利用中的信息具有可控性。其中包括：o防止非授權或因疏忽而更改、毀壞或破壞業

13、務記錄和財務信息，可保護和維持數據不被篡改；o對信息的跟蹤能力與具備審計軌跡，以確保企業財務和業務信息是準確和可靠的，并能提供證據證明其準確與可靠；o保留關鍵數據或電子記錄必須歸檔，并在指定的時期內保留完好； o被保留的數據不僅要存在，在需要的時候還可盡快獲取并有效讀出。第三節 企業法規遵從的核心問題第三節 企業法規遵從的核心問題o法規遵從法規遵從grco 針對這些問題，進行企業治理（governance）、風險管理（risk management）和法規遵從（compliance）的前瞻性措施稱為法規遵從grc (governance, risk management and complia

14、nce) o法規遵從的法規遵從的grc要素要素o保密性o完整性o驗證性o可用性o制度嚴密性第三節 企業法規遵從的核心問題p企業法規遵從的重要環節企業法規遵從的重要環節人員流程技術p有效法規遵從方案的基本要素：有效法規遵從方案的基本要素：一是管理層需要建立法規遵從的企業文化；二是員工認同這種文化，并相應地貫徹到業務活動中。三是管理層檢查內部和外部法規遵從要求，為其制定具體策略，并建立控制體系以確保業務流程遵守這些策略。第四節 企業法規遵從的信息管理策略o企業法規遵從的目標企業法規遵從的目標 法規遵從首先要求企業建立周密、完整的信息管理體系，該管理體系應能解決一系列相關問題，如：o必須確保信息的長

15、期完整性、安全性和可訪問性，必須確保滿足業務持續性和數據恢復等要求；o必須能夠符合相關法律法規的有關規定，降低法律風險；o必須能夠有效利用最新技術對信息進行最便捷的管理；o必須能應對復雜多變的競爭環境、滿足靈活開放的管理要求，必須能夠在信息的整個生命周期中對其進行有效管理、在優化信息管理體系的基礎上實現最低成本運作。第四節 企業法規遵從的信息管理策略o第一類第一類 數據保留政策數據保留政策o 數據保留政策是對數據在生命周期各階段的監督與管理，不僅僅關注文檔與記錄的保存，它還覆蓋到數據產生、傳輸、存儲和最終控制性刪除的整個信息生命周期。它要求保存數據的所有方面：數據的存在或產生、數據本身、對數據

16、內容的任何存取、編輯或刪除數據的任何嘗試等，確保所創建的數據就是所存儲的數據并證明沒有數據丟失或被不恰當刪除。事實上，就是從信息生命周期的每個階段獲取關鍵數據，用于證實證據的效力。第四節 企業法規遵從的信息管理策略o數據保留的基本要求：數據保留的基本要求：o數據封存。需要法規遵從的數據必須能夠封存在某一存儲設備里，并保留至政策和法規要求的最少期限。在數據封存期里，數據需要從技術上保證不可被更改、不能被刪除。o安全訪問。數據應該被可靠地封存，并安全地訪問，滿足規定的訪問控制。比如企業需要保護顧客的隱私，顧客的數據只有滿足一定權限的人員才能夠進行訪問。o審計。法規遵從除了需要保留數據的主體以外，還

17、需要對數據的訪問過程進行封存，從而滿足政策和法規對審計的要求。 第四節 企業法規遵從的信息管理策略o第二類第二類 文檔管理政策文檔管理政策 文檔管理政策為企業文檔和文件的存儲和銷毀提供了規則和指南。文檔管理政策的制定必須遵守國家、地方政府、主管機關以及相關行業關于文檔管理的法規，在滿足所有的法律義務基礎上，根據本企業的業務需求，確定應該保存與必須保存的文檔，以及相關的文件歸檔方案。 第四節 企業法規遵從的信息管理策略p文檔管理政策的內容：文檔管理政策的內容：p對文檔進行分類，將關鍵記錄進行管控 p日志管理p強化電子文件管理系統的責任p法規遵從的自審第四節 企業法規遵從的信息管理策略o信息生命周

18、期的過程管理信息生命周期的過程管理o 信息生命周期管理（ilm ：information lifecycle management）是一種信息管理模型，它貫穿于數據的整個生命線，從信息創建、保存、利用、歸檔直到處置。信息生命周期理論指出，并非所有數據的價值在其生命周期內都是永恒的，大多數數據隨著時間推移，其價值也會發生變化。處于生命周期不同階段的數據，其與業務的相關性會發生變化，對企業的應用價值與重要性也是不一樣的。長期對其進行儲存和管理是需要花費成本的，理想的管理模式是讓數據價值和保存成本之間達成平衡。第四節 企業法規遵從的信息管理策略第四節 企業法規遵從的信息管理策略o數據在信息生命周期內

19、的動態存儲數據在信息生命周期內的動態存儲o基于法規遵從，歸檔有以下兩個基本要求：o一是對于歸檔數據的存儲，不僅要求歸檔系統具有存儲倉庫功能，還必須具有搜索查詢與無法變更與刪改數據的功能；o二是歸檔后對記錄的檢索必須在受控環境中，以防止對文件進行意外或蓄意刪除或修改。 第四節 企業法規遵從的信息管理策略o信息的分層存儲：信息的分層存儲：o 作為ilm策略的基礎，分層存儲允許企業與組織把最新的、重要的和經常被訪問的信息存儲在頂層（高性能的存儲），實現快速接入。隨著時間推移，當這些信息變得次要了，被訪問的不太頻繁了，就可移到花費較少的中層存儲，以便釋放更多昂貴的高端資源。、o 這種管理方式是為了控制

20、存儲成本并簡單化存儲管理，其特點是依據數據價值與業務關聯度大小，對企業重要業務數據實施分層存儲，將能夠反映該企業和組織當前的運營結構、法律和法規環境、訴訟歷史以及業務目標的重要業務數據以不可重寫但可快速存取的方式存儲，使數據的保留既能滿足法規遵從又有利于控制存儲成本。第四節 企業法規遵從的信息管理策略o法規遵從的數據管理模型法規遵從的數據管理模型o 管理模型的四個階段：管理模型的四個階段：o1）創建詳細的數據清冊o2）執行法規遵從評估o3）數據保護政策o4）持續的數據管理第四節 企業法規遵從的信息管理策略o 美國頂級公司破產案的啟示o美國安然公司破產案,安然公司(enron)是美國能源業巨頭，

21、成立于1985年，總部設在得克薩斯州的休斯頓。 安然公司因虛報近6億美元的盈利，導致其債信評級被降至垃圾等級，股價暴跌至1美元以下，并于2002年12月初申請破產保護，以498億美元的資產總額創下美國歷史上企業破產的記錄。o美國第二大長途電話公司世界通信公司申請破產。自2003年6月25日世通做假賬的丑聞曝光后，該公司一直面臨著內外雙重巨大壓力。這是美國歷史上迄今為止最大的一樁企業破產案。世通以1070億美元的總資產額和300億美元債務申請破產，這一數額相當于去年12月宣布破產的安然公司資產的兩倍。o美國雷曼兄弟公司（lehman brothers holdings ）是為全球公司、機構、政府

22、和投資者的金融需求提供服務的一家全方位、多元化投資銀行。雷曼兄弟被美國財富雜志選為財富500強公司之一。2008年9月15日，美國第四大投資銀行雷曼兄弟公司宣布破產。第五節 it控制與it內審o金融危機席卷全球o 金融危機又稱金融風暴，是指一個國家或幾個國家與地區的全部或大部分金融指標（如：短期利率、貨幣資產、證券、房地產、土地(價格）、商業破產數和金融機構倒閉數)的急劇、短暫和超周期的惡化。 金融危機可以分為貨幣危機、債務危機、銀行危機等類型。近年來的金融危機越來越呈現出某種混合形式的危機。其特征是人們基于經濟未來將更加悲觀的預期，整個區域內貨幣幣值出現幅度較大的貶值，經濟總量與經濟規模出現

23、較大的損失，經濟增長受到打擊。往往伴隨著企業大量倒閉，失業率提高，社會普遍的經濟蕭條，甚至有些時候伴隨著社會動蕩或國家政治層面的動蕩。o問題：導致這場危機的原因是什么？第五節 it控制與it內審o次貸危機（次貸危機（subprime lending crisis）o次貸危機（subprime lending crisis）又稱次級房貸危機，也譯為次債危機。它是指一場發生在美國，因次級抵押貸款機構破產、投資基金被迫關閉、股市劇烈震蕩引起的風暴。它致使全球主要金融市場隱約出現流動性不足危機。美國“次貸危機”是從2006年春季開始逐步顯現的。2007年8月席卷美國、歐盟和日本等世界主要金融市場。o問

24、題：導致次貸危機的原因是什么？第五節 it控制與it內審o畢馬威調畢馬威調查查: :內控缺失是內控缺失是舞弊舞弊最大最大誘誘因因 o“國際四大會計事務所”之一的畢馬威會計師事務所對公司主管進行的一項調查顯示：由于缺乏預防機制，舞弊通常都是由監守自盜造成的。約42%的受訪者認為，近年來他們所在公司發生舞弊最主要的原因是內部控制的缺失。 o畢馬威法律事務部的高級合伙人 girgenti說：“全球化、更加嚴苛的投資界以及源于監管者的零容忍政策（zero-tolerance policies）都要求企業確保它們的內控措施發揮應有的作用。”同時，他還指出，對舞弊預防、舞弊偵測以及舞弊反饋而言，戰略進程是

25、最關重要的。ogirgenti說：“該進程始于對公司內控有效性的評估，創建便于員工舉報不當行為的文化氛圍，開發完善的內部審計監控體系，對舞弊風險持續進行審計以及it支持技術（enabling technologies）的運用。”第五節 it控制與it內審o內控合規必須以內控合規必須以it為為突突破破口口o在很多公司內部，財務報告流程是由it系統驅動的。無論是erp系統還是其它系統，都與財務交易中的開始、批準、記錄、處理和報告等活動緊密集成。比如財務報告保存在財務系統里，財務系統的數據從業務系統來，業務系統的數據也存放在相關的#數據庫里，數據庫又是保存在服務器上，服務器還可能跟網絡互聯。因此，在

26、財務信息操作上只要有一絲的漏洞，都可能是被it系統出賣的。因此，合規的問題不再只是ceo、cfo的職責，it部門在這方面也將漸漸承擔主角。簡單的說，it是保證財務報告內部控制有效性的基礎。o雖然我國的企業內部控制基本規范要求企業實現的內控是以戰略為導向的全面內控，但該規范包括的范圍相當廣泛，僅內控這項內容就包括：企業層面、業務流程與it一般控制與it應用控制。由于所有的業務都可能產生數據，而如何確保數據的及時收集、準確與完整性都離不開it系統的支撐。因此，如何把it內控與企業內控管理統一起來，是合規企業內部控制基本規范的一個關鍵點。也就是說，在內控合規方面，it就是一個最佳的突破口。第五節 i

27、t控制與it內審o面向“電子發現”的業務數據保留oelectronic discovery, 對可能涉及到訴訟相關的電子證據的歸檔和再現。2006年11月，美國政府又修訂了美國聯邦民事訴訟證據規則（federal rules of civil procedure，frcp)，修改的重點在于企業律師不僅僅要在訴訟過程中提交電子文檔，還要在預審階段提供電子文檔。如果他們做不到這一點，法官可以判處該公司支付一大筆罰款。o區別與普通的歸檔存儲，電子發現要求有強大的查找功能，沒有相應工具的幫助，在浩如煙海的歸檔文件中找到需要的信息可不是一件輕松的事情，何況法院明文規定必須在指定的時間內提交這些電子文檔，

28、否則就又是一批巨額的罰款。orecommind的市場部副總裁craig carpenter說，到最后電子發現中70%的成本都和查閱文件有關。 第五節 it控制與it內審o企業內部控制基本規范o2008年6月，我國財政部、證監會、銀監會、保監會及審計署等五部委聯合發布了“中國版薩班斯法案”企業內部控制基本規范，并將于2010年1月起首先在上市企業中實施。o該規范第37條規定：“企業應當建立重大風險預警機制和突發事件應急處理機制，明確風險預警標準，對可能發生的重大風險或突發事件，制定應急預案、明確責任人員、規范處置程序，確保突發事件得到及時妥善處理。” 第五節 it控制與it內審o第三十九條 企業

29、應當對收集的各種內部信息和外部信息進行合理篩選、核對、整合，提高信息的有用性。企業可以通過財務會計資料、經營管理資料、調研報告、專項信息、內部刊物、辦公網絡等渠道，獲取內部信息。企業可以通過行業協會組織、社會中介機構、業務往來單位、市場調查、來信來訪、網絡媒體以及有關監管部門等渠道，獲取外部信息。 o第四十一條 企業應當利用信息技術促進信息的集成與共享，充分發揮信息技術在信息與溝通中的作用。企業應當加強對信息系統開發和維護、訪問與變更、數據輸入與輸出、文件儲存與保管、網絡安全等方面的控制，保證信息系統安全穩定運行。 o第四十七條企業應當以書面或者其他適當形式，妥善保存內部控制建立與實施過程中的相關記錄或者資料，確保內部控制建立與實施過程的可驗證性。第五節 it控制與it內審第五節 it控制與it內審oitit控制的意義：控制的意義：為了引導企業充分利用計算機信息系統規范交易行為，提高信息系統的可靠性、穩定性、安全性及數據的完整性和準確性，降低各種因素導致內部控制失效的可能性，形成良好的信息傳遞渠道，必須實施it控制。oitit控制的目標控制的目標：是指通過對具體的it活動實施控制程序，以達到期望結果或目的的總體描述。其實質是“治理”，即如何設計一種制衡的機制