導(dǎo)語：小議法規(guī)遵從性與IT審計的研究一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：最近，在各種方案和產(chǎn)品中頻頻出現(xiàn)了“法規(guī)遵從性”（Compliance），其含義就是企業(yè)和組織在業(yè)務(wù)運作中，不僅要遵守企業(yè)自己的各項規(guī)章，而且要遵守政府和行業(yè)制定的各項法律、法規(guī)及各種規(guī)章，同時又能證明自己確實達(dá)到了相關(guān)的要求。而其實現(xiàn)的技術(shù)手段與IT審計又是密切相關(guān)的。兩者從指南和手段的兩個角度為企業(yè)的IT規(guī)劃劃定了一個熱點目標(biāo)。

關(guān)鍵詞：IT治理；審計；法規(guī)遵從

一、法規(guī)遵從性的含義與影響

1．何為遵從性

遵從（Compliance）在詞典里的含義是遵照正式或官方的規(guī)定。目前IT領(lǐng)域被廣泛研究和談?wù)摰姆ㄒ?guī)遵從性（ActCompliance）則將這種遵照的標(biāo)準(zhǔn)鎖定到了相關(guān)的正式法律和法規(guī)上。〔1〕這種遵照行為具有多重含義：

正式或官方規(guī)定的強制性；遵守正式規(guī)定所能帶給遵從者的利益和機會；選擇違反、忽視或放棄相關(guān)規(guī)定可能導(dǎo)致的政策、法律及連帶經(jīng)濟(jì)風(fēng)險；遵從者的出發(fā)點、意圖與策略；遵從者的行動過程及獲得的結(jié)果比對正式規(guī)定的符合度；符合性報告對遵從者未來行為與過程的改進(jìn)作用；遵從者為此的投入與付出。

IT法規(guī)遵從性從系統(tǒng)工程的角度，迫使企業(yè)重新檢查他們的IT系統(tǒng)，并要求企業(yè)認(rèn)真做好信息生命周期管理的每一個步驟。〔2〕相關(guān)法規(guī)和方案直接規(guī)定或間接關(guān)聯(lián)了若干與遵從性相關(guān)的關(guān)鍵能力項。保護(hù)系統(tǒng)和網(wǎng)絡(luò)需要有效的IT策略。在很多情況下，擁有周密的安全策略不僅僅是一個明智的選擇，有時也是法律要求。相關(guān)管理規(guī)章和法規(guī)（如《Sarbanes－Oxley法案》和《醫(yī)療保險信息交換與保密法案》）都為數(shù)據(jù)保護(hù)、保留和隱私制定了嚴(yán)格的標(biāo)準(zhǔn)。

保持遵從的關(guān)鍵在于能夠統(tǒng)一監(jiān)控并實施可使企業(yè)時刻受到保護(hù)的策略。

2．相關(guān)的法規(guī)、方案與要求

目前企業(yè)在生產(chǎn)經(jīng)營中經(jīng)常會涉及的國外法規(guī)包括《薩班斯－奧克斯萊法案（Sarbanes－Oxley）》、《健康保險可攜性和可糾責(zé)性法案（HIPAA）》、《格雷姆－里奇－比利雷法（GLBA）》、《加利福尼亞州參議院第1386號議案》、《歐洲共同體數(shù)據(jù)保密指令》美國食品和藥品管理局（FDA）制藥規(guī)定21CFR第11篇等。近兩年我國頒布實施的《電子簽名法》、《中國信息安全產(chǎn)業(yè)反不正當(dāng)競爭公約》以及有關(guān)信息安全方面的一系列標(biāo)準(zhǔn)，都是企業(yè)在生產(chǎn)經(jīng)營過程中需要遵循的內(nèi)容。〔3〕

就目前來說，中國企業(yè)法規(guī)遵從的主要問題集中在信息安全與信息披露等方面，尤其是國外相關(guān)管理部門制定的一系列信息安全規(guī)定。對于企業(yè)的CEO、CFO、CIO以及眾多高層管理人員來說，法規(guī)遵從已經(jīng)是他們不可回避的問題。要滿足這些法規(guī)遵從方面的要求，企業(yè)一方面在業(yè)務(wù)流程上要依據(jù)法規(guī)要求，做出相應(yīng)的調(diào)整，另一方面由于現(xiàn)代企業(yè)中IT與業(yè)務(wù)的息息相關(guān)，因此，企業(yè)的IT系統(tǒng)也不可避免地需要進(jìn)行相對應(yīng)的改變。

以美國證券交易委員會SEC（Securities＆ExchangeCommission）中對交易記錄保存所作規(guī)定為例。其中規(guī)定，如果會員單位、經(jīng)紀(jì)人或經(jīng)銷商使用電子存儲介質(zhì)，則對電子記錄有以下要求：只能以不可改寫、不可擦除的格式保存記錄；自動驗證存儲介質(zhì)記錄過程的質(zhì)量和準(zhǔn)確性；將原存儲介質(zhì)和其副本單元（如果合適）以及此電子存儲介質(zhì)上存儲的信息的保留期的日期和時間序列化；有能力應(yīng)交易委員會或自律機構(gòu)的要求隨時下載電子存儲介質(zhì)上保存的索引和記錄；對電子記錄所做出的以不可改寫、不可擦除的格式保存的要求是要確保信息的完整性。

驗證信息質(zhì)量和準(zhǔn)確性實際上也是對信息完整性的要求，在SEC所規(guī)定的“能夠及時下載保存在電子存儲介質(zhì)上的索引和記錄”，是對電子記錄的可存取性的具體規(guī)定。當(dāng)然，保密性對所有經(jīng)濟(jì)運營來說也是一個重要考慮事項。

從上述舉例中，我們可以看到其中對電子記錄有三個共同的基本要求：第一個要求是確保信息的完整性，第二個要求是維護(hù)信息的保密性，第三個要求是確保信息能夠在適當(dāng)?shù)臅r間以適當(dāng)?shù)母袷皆L問。〔4〕

二、IT審計

審計是一個范圍、層次和含義很廣的概念，如審計軟件或系統(tǒng)的定義為：對計算機上的通信和操作的內(nèi)容進(jìn)行采集、分析、追蹤、審查，提出警告信息，并給予日志性記載。而另一方面在更大的角度上，審計的概念可以概括為對管理和控制過程與行動的記錄和監(jiān)控，以判斷原始意圖是否正確貫徹。

隨著企業(yè)實施信息化進(jìn)程的不斷深入。從信息系統(tǒng)安全性方面我們看到硬件故障、程序故障、操作系統(tǒng)錯誤、計算機犯罪，設(shè)備災(zāi)害以及保密數(shù)據(jù)泄漏等現(xiàn)象發(fā)生的可能性愈來愈高。此外，從投資的角度上，隨著信息化投資成本的不斷增加，投資效果反而不明顯。信息系統(tǒng)審計（IT審計）正是為了解決上述問題，提高信息系統(tǒng)的安全性、可靠性和開發(fā)運營效率，使企業(yè)信息化得到健康、全面的發(fā)展而引入的預(yù)防機制。

因此，不難看出IT審計是實現(xiàn)法規(guī)遵從性的必然和必要工具和手段，同時遵從性法規(guī)的內(nèi)容在技術(shù)層面也是對企業(yè)IT系統(tǒng)及管理的要求和指南。信息系統(tǒng)審計的對象包括：由計算機硬件和軟件結(jié)合而成的信息系統(tǒng)以及與信息系統(tǒng)的輸入、輸出相關(guān)的活動。廣義的講，即信息系統(tǒng)以及信息系統(tǒng)生命周期的所有活動；因此，信息系統(tǒng)審計并不局限于業(yè)務(wù)運營時期，與信息系統(tǒng)相關(guān)的開發(fā)活動，包括企業(yè)信息化戰(zhàn)略企劃、信息系統(tǒng)計劃、開發(fā)、實施和維護(hù)等相關(guān)的開發(fā)方面的活動也是信息系統(tǒng)審計的內(nèi)容之一。

實施信息系統(tǒng)審計，可以從如下幾個方面著手提高信息系統(tǒng)的安全性：對自然災(zāi)害及不可抗拒災(zāi)害的應(yīng)對措施進(jìn)行審核和評價，一旦發(fā)生時能使損失和影響降至最低；從安全方面對信息系統(tǒng)進(jìn)行審核和評價，防止數(shù)據(jù)的外泄、破壞或修改、非法入侵等情況發(fā)生，保證企業(yè)機密不外泄。

實施信息系統(tǒng)審計，可以從如下幾個方面著手提高信息系統(tǒng)的效率：從信息系統(tǒng)的資源是否最大限度地被利用為落腳點進(jìn)行核查、評價，實現(xiàn)信息系統(tǒng)在業(yè)務(wù)和負(fù)載方面的均衡；對信息系統(tǒng)的計劃、開發(fā)、實施和運營各階段的（費用／效果）指標(biāo)進(jìn)行定性或定量的核查、評價，確保信息系統(tǒng)利益最大化。

三、法規(guī)遵從對企業(yè)IT建設(shè)的導(dǎo)向性作用

1．集中的安全風(fēng)險管理

以技術(shù)為中心的專門方法來解決安全和法規(guī)遵從問題，是一種直接和自然的應(yīng)對措施。然而，試圖靠單個產(chǎn)品的力量來解決新威脅和遵從新法規(guī)正變得越來越困難，成本也日益高昂。將廣泛分散的單點解決方案的信息集成起來并采取行動，也需要耗費大量的人力。另外，隨著解決方案的復(fù)雜性和數(shù)量的增加，人們出錯或疏忽的幾率也會上升。

集中的安全風(fēng)險管理方法將包括了威脅防護(hù)功能（防病毒、入侵防護(hù)以及防間諜軟件）、策略增強、漏洞修復(fù)、接入控制、審計和數(shù)據(jù)損失防護(hù)等安全功能和機制的服務(wù)進(jìn)行集成，通過統(tǒng)一和集中的管理機制來自動化地增強企業(yè)的整體防護(hù)并將遵從性的IT安全策略從紙面策略變?yōu)樾袆樱ㄟ^利用合并的管理點提高公司運營效率。

集中安全風(fēng)險管理解決能夠幫助企業(yè)優(yōu)化其安全風(fēng)險和法規(guī)遵從管理流程的同時，也很大程度地提高了其業(yè)務(wù)可用性和數(shù)據(jù)保護(hù)級別。統(tǒng)一的知識庫可以包含風(fēng)險以及前瞻性地配置和管理該環(huán)境所需的全部信息。威脅防護(hù)和法規(guī)遵從管理系統(tǒng)成為聯(lián)系業(yè)務(wù)流程和現(xiàn)實世界的紐帶，它能確保人們及其所用的技術(shù)與安全策略和諧相處，有效地抵御各種威脅。

2．人員、流程、技術(shù)

從信息技術(shù)的角度去審視法規(guī)遵從性，除了以上三個基本要求外，還涉及到人員、流程和技術(shù)三個重要環(huán)節(jié)。這些環(huán)節(jié)一定要與企業(yè)或組織的業(yè)務(wù)目標(biāo)和管理政策相結(jié)合，具體結(jié)合的情況可歸結(jié)為以下三個方面：

（1）信息和記錄管理政策和程序。企業(yè)和組織應(yīng)當(dāng)對其信息和記錄管理政策和做法加以定期審查，使所記錄的信息和數(shù)據(jù)能夠反映該企業(yè)和組織當(dāng)前的運營結(jié)構(gòu)、法律和法規(guī)環(huán)境、訴訟歷史以及業(yè)務(wù)目標(biāo)。

（2）領(lǐng)導(dǎo)支持和組織架構(gòu)。企業(yè)和組織高層主管應(yīng)當(dāng)認(rèn)識到信息和記錄管理的重要性，而且他們在開發(fā)、管理和推動各項計劃中能夠發(fā)揮積極作用。此外，高層管理人員必須經(jīng)常向所有員工和雇員明確信息和記錄管理的策略和內(nèi)部的規(guī)定，并且還配備必要的管理和監(jiān)督人員。

（3）技術(shù)環(huán)境。從大量案例看，許多信息和記錄管理的失敗源于企業(yè)在業(yè)務(wù)記錄創(chuàng)建、保存和管理所用信息技術(shù)方面的不當(dāng)投資和管理。電子郵件和其他形式的電子信息等的存儲和處理應(yīng)引起企業(yè)和組織的認(rèn)真對待，以便確保這些以電子形式存在的記錄能夠像紙質(zhì)信息那樣得到同等的照顧和關(guān)注。

3．信息生命周期的角色

值得注意的是，在技術(shù)的采用、過程的執(zhí)行和人員的協(xié)調(diào)中，業(yè)務(wù)記錄是其核心和焦點。業(yè)務(wù)記錄是有生命的，每一條信息和每一份業(yè)務(wù)文檔都有一個生命周期，從創(chuàng)建或捕獲起，歷經(jīng)多次修改、轉(zhuǎn)發(fā)和批準(zhǔn)，接觸許多不同的應(yīng)用程序，直至最后被處置掉。

經(jīng)歷了一個生命周期的過程，我們可以將業(yè)務(wù)記錄的管理納入到整個業(yè)務(wù)記錄生命周期管理中來考慮，這就是信息生命周期管理的觀點。

因而協(xié)調(diào)人員、過程和技術(shù)來實現(xiàn)法規(guī)遵從性，第一步是理解業(yè)務(wù)記錄的生命周期，并對所有業(yè)務(wù)記錄按照其重要性和價值進(jìn)行很好的分類。然后，按照業(yè)務(wù)流程中所制定的各項策略選擇業(yè)務(wù)記錄的存儲環(huán)境，確保在做到法規(guī)遵從性的同時，降低業(yè)務(wù)記錄的存儲和管理的費用和成本。

這就是以信息生命周期管理的策略來強化法規(guī)遵從性的一個重要目的，也是當(dāng)前信息系統(tǒng)主管為滿足法規(guī)遵從性的需要所尋求的新的信息管理的策略。

總之，面對經(jīng)濟(jì)和技術(shù)快速發(fā)展的今天，要做好法規(guī)遵從性，確實是一個巨大的挑戰(zhàn)，但同時又是一個極好的機遇，它促使我們的企業(yè)和組織去認(rèn)真思考和審視當(dāng)前信息管理的策略及各項工作，把我們的信息技術(shù)用得更好、更加安全和有效，幫助我們在新一輪的全球競爭環(huán)境中取勝。

參考文獻(xiàn)：

［1］方紅星，王宏．企業(yè)風(fēng)險管理：整合框架．ISBN：7810847252．東北財經(jīng)大學(xué)出版社，2005，9．

［2］史蒂文•J•魯特（StevenJ．Root）．超越COSO——強化公司治理的內(nèi)部控制．ISBN：7508602013．中信出版社，2004，8．

［3］ErmieJordan等．IT風(fēng)險：基于IT治理的風(fēng)險管理之道．ISBN：7302139474．清華大學(xué)出版社，2006，12．

［4］ITSMLibrary專家組．ITGovernancebasedonCobit4．0－AManagementGuide．ISBN：9087530218．VanHarenPublishing，2007，2．