承载萨班斯法案要求的HR信息化系统

　　随着全球一体化进程的加快，中国的很多企业也逐渐将眼光盯上了国际市场，不光将ModeInChina推向了全世界，同时也不断的从全世界获取新的投资来扩大生产和企业规模。但是在2002年，由于连续发生"安然"、"世界通讯"等财务欺诈事件对国际投资市场造成了重大损害，美国国会出台了《2002年公众公司会计改革和投资者保护法案》，又称《2002年萨班斯-奥克斯利法案》（即SOX法案）。

　　该法案的核心是通过立法加强对财务制度和企业内部的控制，并增加企业财务透明度和及时对各种缺陷进行修复。如果企业被认定未达到萨班斯法案的要求，将可能使企业受到严重处罚，包括高额罚款以及管理层个人形式责任追究。其中404条款涵盖企业运营的各个领域，当然在人力资源管理信息系统方面也必须要满足SOX法案的全方位的要求。其中对人力资源信息系统安全性方面主要存在以下几个方面的要求：

　　a） 用户密码安全性管理控制在过去大多数旧的企业管理信息系统对于用户名密码的安全性管理方面并没有得到足够的重视，往往只是系统管理员设定一下用户名密码，然后口头告知后即可以正常的使用此用户进行系统使用了。

　　但是，为通过SOX法案的认可，信息系统的用户名密码安全性必须满足一些关键性的安全性要求。

　　i. 设定用户后必须随即产生动态的初始密码；ii. 此初始密码，系统管理员无法获知；iii. 初始密码必须通过电子邮件或加密函件的形式告知实际使用人员iv. 用户每次使用系统初始密码登录必须手动修改为一个新的密码v. 密码强度必须达到一定的强度标准vi. 密码必须定期强制用户修改为新的密码vii. 对于可能出现暴力破解用户密码的用户可以支持锁定viii. 以上用户密码验证登录必须进行日志记录ix. 用户名密码判断代码逻辑不存在后门

　　是支持SOX法案要求的用户名密码强度验证级别的金蝶K/3HR系统的验证逻辑设置界面。当然，有些不需要与世界接轨的公司会觉得如此的用户名密码强度反而会让用户登录使用变得极为复杂，因此不需要使用如此高的安全级别进行验证。通过上图我们可以看到也支持各种简单低强度的用户密码规则逻辑。其中比较特殊的是可以设置密码字符的强度级别，例如：密码必须由英文字符、数字字符、特殊字符共同组合而成，而且每个字符在密码字符串当中的字符数量也不能稍微3个字符。如果按照这个逻辑来完成密码的最小位数必须是9位的一个密码，而且被破解的复杂程度将成几何倍数来提高。

　　b） 用户详细操作的日志记录上面提高用户登录日志的记录，关于这点现有的大多数企业管理信息系统都是支持的。但是，SOX法案所规定的日志记录的量级是对整个系统的任何数据的操作和修改都需要进行日志记录。

　　例如：针对人力资源信息系统来说，某位操作人员与某个日期、在某台机器上、将某个数据库当中的、某个员工的婚姻状况 由未婚修改为已婚。这就是一条详细的企业管理人员对企业管理数据影响的操作日志。其中记录了操作人员、操作日期、操作地点、操作对象、操作的过程。未来需要追踪回溯审计这个企业管理过程的时候，这个日志记录将成为法庭认可的证据来进行判定。

　　当然，对于一些敏感的数据为防止系统管理员的了解在记录日志期间必须进行加密处理。例如：当将企业领导的薪酬数据调整的时候，必须要对这部分薪酬的具体金额进行加密处理，防止系统管理员可以从系统操作日志当中浏览到企业的薪酬体系内容。

　　另外，对于系统管理员的任何操作日志也必须要进行记录。系统管理员每做一次新增、修改、删除的操作都必须要记录其操作的痕迹。

　　虽然，符合这类SOX法案可以较好的提高企业内控的信息系统安全性。但是，同样也会出现另外一个问题，即：信息系统的效率的下降，由于需要对每一个操作都记录详细的操作痕迹日志的记录，因此会降低一些系统的性能，特别是对考勤管理等原数据的处理上会比较大的影响整个系统的计算性能。因此，我们的建议是对于人力资源信息系统的日志记录，需要根据具体的业务需要来具体的分析和记录相应的日志，而不需要大而全的全面记录操作日志。

　　c） 历史轨迹数据的保存关于这点实际上是与上面的日志操作性质相似的一个要求，即是对一个业务数据可以浏览其从开始记录到人力资源系统后，一直到现在整个其变化的过程；当然关于这个需求，也是应该根据具体的业务需要来酌情处理的，而不应该是大而全的去记录所有数据的历史轨迹。

　　d） 权限体系的清晰关于信息系统的权限体系的划分以及其公开性，在SOX都是有严格的规定的。因此，作为人力资源管理信息系统也必须要获取一个清晰的权限体系描述，大概包括两个方面：系统功能权限、数据权限。而功能权限即代表的是对系统内的各个管理功能的权限控制。而数据权限有可以分为两个层面，一个是对系统内的信息项目的数据字段权限管控、另外一个是对系统内企业数据的可以查看范围的一个管控（在人力资源系统内一般是组织单元权限）；对于两个大的权限体系，都必须要有清晰的划分和罗列。

　　在SOX的要求下，人力资源系统必须要可以将系统的功能权限、数据权限以一种列表的形式清晰的展现出来。并可以输出方便外部审计人员进行审计检查。

　　以上就是在SOX法案下的，企业内控原则下的人力资源信息系统对系统安全性方面的一些特殊性的要求。若您所在的企业需要准手SOX法案的要求，那么就势必需要在产品选择上主要此方面的沟通和控制，而金蝶K/3HR系统在这方面就率先做了许多研究和实践。