萨班斯法案,又被称为萨班斯·奥克斯利法案,其全称为《2002年公众公司会计改革和投资者保护法案》,由参议院银行委员会主席萨班斯(Paul Sarbanes)和众议院金融服务委员会(Committee on Financial Services)主席奥克斯利(Mike Oxley)联合提出,又被称作《2002年萨班斯-奥克斯利法案》。该法案对美国《1933年证券法》、《1934年证券交易法》做出大幅修订,在公司治理、会计职业监管、证券市场监管等方面作出了许多新的规定。
萨班斯法案对在美国上市的公司提供了合规性要求,使上市公司不得不考虑控制IT风险在内的各种风险。国内众多在美国上市的公司都纷纷动了起来,其中最为突出的就是各大电信运营商对人、财、物的投入都非常巨大。
1. 有方法努力精简最大的SOX障碍工作: SOX404。例如,仅测试内部控制,如果他们失败了,可能导致一个重大的可罚的财务数据误述。从长远来看,通过过滤掉这个控件子集,你可以节省时间和精力。建立一个进程,程序和组织相关活动的流程图,知道在何处放置控件来避免错误。其他关键领域的工作包括通信,对SOX必要条件的培训,以及内部控制的要素和教育。
2. 回顾数据治理和安全协议。企业内的正在进行的与大数据相关的项目,大量的各类数据进入数据库,与业务部门之间的沟通引入了新的复杂性合规。
3. 大多数SOX控制的IT组织使用COBIT,ITIL或其它管理方法,以确保一致的做法。回顾是否建立了文档策略,大数据的内容管理工作和新的企业理念,并使用了自动记录管理和归档工具。
4. 所有这些内部SOX审计筹备是一个通过合规管理的最佳实践,更容易保护的新的IT方案,如虚拟桌面或云。
5. 不要忘了软件即服务(SaaS)。敏感数据经常存在于这些第三方SaaS应用程序之外,审计师正在修改出现的违规数据。如果组织依赖于SaaS供应商,请确认他们遵守SOX-符合SAS 70报告的数据。
6. 正确的审计师使整个过程更顺利的运行。在特定行业中选择一个有经验的公司。挑选那些更大名气的公司,除非有令人信服的理由 - 像在一家小公司内做一个引人注目的审计专家,或者一起去另一家公司。审计师无法为贵公司提供会计服务业务,并且不会提供有关纠正措施的深入支持。在公司评估,与审计师商量,而不是销售人员和高级职员。知道谁是实际执行的审计工作。
7.审计询问和审计师的方法都没有问题。它会帮助IT组织做准备 -甚至运行萨班斯-奥克斯利法案内部审计,避免常见的错误。
8. 大多数IT组织里,合规,管理和安全都在同一个地方出故障。这是个好消息。因为可以在审计过程开始之前识别和修复问题领域的。