進步立法的遠見 - SOX 法規急先鋒

重視資安問題
如同在感恩節時，哭喊著要跟大人們一起坐在奢華的燭光餐桌的任性小孩一般，資訊安全管理人員在這十年之初，飽受董事會的白眼。他們要如何得到全美公司中的大人物－公司管理階層－的青睞？他們要如何地合理化那些頻繁的急廹需求？他們要如何證明他們對於更多資源的需求，不僅僅是一個只有些許實際報酬的成本中心？一直到2001年，他們始終一籌莫展，即使在遭受恐怖份子攻擊的9/11事件後，也只是讓大家注意到備援資料中心和企業持續營運，而不是許多人所認為的：9/11將激起大家對資訊安全空前的關注。

資訊安全管理人員對於推動資訊安全真的一籌莫展！

直到當時全美第七大公司的能源鉅子安隆公司以及全球最大的電信公司之一的世界通訊公司，雙雙因會計醜聞而垮台。這兩件個別的詐欺案，不僅擊垮了這些企業和亞瑟安達信(Arthur Andersen) 這家不實的會計師事務所，同時也對才遭9/11恐怖攻擊事件重創及對股市重挫至7000點而束手無策之美國，動搖了其經濟根基。安隆的崩潰促使國會採取行動！兩位國會議員，一位是俄亥俄州的共和黨員，另一位是馬里蘭州的民主黨員，帶領著各自的委員會開始草擬一項具有指標性的法案，這個法案表面上看似與資訊科技毫不相干，更別說資訊安全了；然而事實上，它不僅刺激了資安市場的消費，同時也給了資安管理人員在公司組織內發聲的力量。
2002 年沙賓法案的發起人，Paul Sarbanes 和Michael Oxley引領著這項法律的制定，這項法案強制上市公司的高階主管負起財務報導真確性的責任，否則將面對罰款或監禁的刑責。這是近十年來在資訊安全領域最重要的里程碑，並且讓 Sarbanes 和 Oxley 成為留名青史的人物。

「雖然世界通訊比安隆的企業規模大了四倍之多，安隆事件還是震驚了每個人，它吸引了所有人的目光，成為眾所矚目的焦點。」Oxley 說。「再加上我所謂的資本市場民主化，有許多人投資在這個市場，民眾只因為他們的共同基金或投資組合裡有安隆或世界通訊的股票，而將這次的事件視為攸關個人權益。」


SECTION 404
安隆和世界通訊事件是源於許多層面的重大挫敗，高階主管、會計師、董事會、分析師和信用評等機構…等等，都是蘊釀這次詐欺事件的共犯。沙賓法案中隱含的目標是保障投資人及重拾市場的信心。
「如果投資大眾失去在資本市場的信心，那你就有了大麻煩了。部份的現況是：很多公司都輕忽了內部架構與良好監督公司內部和正確申報的關係，」Sarbanes 說。「IT 正是此中重要的角色。」
沙賓法案的404 條款是 IT 人員引頸企望已久的教鞭(譯按:懲處手段)，同時對資訊安全長而言，它是天使與魔鬼的化身，因為限期完成遵循而突然加諸其上的重擔，使得資訊安全長開始走出機房，進入會議室，被廹協助外部稽核人員的需求、向董事會報告以及引導公司政策以確保與財務報導相關的內控機制。
相關的開銷開始漸漸增加，原本鬆散的系統更新、次等的存取控制和被遺忘的員工宣導規劃，一夕之間突然讓企業不能接受了。資安廠商也開始反應市場，將產品行銷轉向定位為遵循及風險管理。AMR 的研究報告指出，因應沙賓法案持續遵循性的需求，2006 年相關的技術開銷已激增至 60 億美元。
SystemExperts首席顧問Dick Mackey 指出，「極少數像沙賓法案這樣的事件，能夠促使特定的技術如此蓬勃發展，並且將實務推向第一線的重要位置。單一法規能導致更多相關技術的建置，可能是史無前例的，確實令人驚訝。」
因為第五號稽核準則的發佈，404條款的強制性趨緩，它要求公開發行公司必須結合第三方稽核單位，以由上而下(top-down)的風險評鑑方法來評鑑內部控制的設計及運作有效性、了解交易流向、實施詐欺風險評鑑及評估詐欺預防或偵測的控制措施。新的準則反映了美國公開發行公司會計監督委員會(PCAOB)發佈的指引。PCAOB 是沙賓法案的衍生單位，主要工作為監督上市公司的稽核單位。



值得的投資
Sarbanes表示初期的成本會增加，主要是因為稽核單位著墨在所有的細節而非重大的風險。
「很多人告訴我們，一旦他們決議並開始進行遵循的工作，都認為這是值得投入的，而且隨著改善的系統上線，使得他們感到更放心和安全。」Sarbanes說。「我們必須將對於較佳系統的投資視為對 IT 的重要投資。當你加入一套系統時，它會花費你一些成本，但是一旦上線，在後續幾年成本會逐漸降低。已有證據顯示確實如此，我們曾經聽到人們在一開始時會抱怨，但是在他們實踐並讓系統上線後，都表示這對整個公司而言是有益的，而且他們對於營運面可以有較佳的控管。」
Oxley 說財星雜誌五百大企業中，大部分的公司已經接受這項法案，而且其必要支出和初期成本已逐漸下降。
「顯而易見地，我們的目標是恢復投資人的信心，我認為沒有比由市場本身來評估投資人信心更客觀的方法了，」Oxley 說。「市場已對這項改革做出正面的回應了，投資人再度回到這場遊戲中，這真是太好了！真要談成本的話，像世界通訊公司在一夕之間倒閉，它的股價由60美元掉到1美元，這可是單一公司一千億的損失啊！一個經濟體系能承受幾個世界通訊(WorldCom)事件的發生？如果我們能夠阻止一個世界通訊或安隆(Enron)事件，對我而言這就是值得的投資。」