《薩班斯-奧克斯利法案》(Sarbanes-Oxley Act),又稱《薩班斯-奧克斯利法案》(Sarbanes-Oxley Act),全稱為《2002年上市公司會計改革和投資者保護法案》(Public Company Accounting Reform and Investor Protection Act of 2002),由參議院銀行委員會主席保羅·薩班斯(Paul Sarbanes)和眾議院金融服務委員會主席邁克·奧克斯利(Mike Oxley)共同提出。該法案對美國1933《證券法》和1934《證券交易法》進行了大幅修改,在公司治理、會計專業監管、證券市場監管等方面做出了許多新的規定。
薩班斯-奧克斯利法案為在美國上市的公司提供了合規性要求,這使得上市公司不得不考慮控制各種風險,包括IT風險。國內很多在美國上市的公司都開始蠢蠢欲動,其中最突出的就是各大電信運營商投入了大量的人、財、物。
1.有很多方法可以簡化最大的SOX障礙:SOX404。例如,只測試內部控制,如果失敗,可能會導致重大財務數據錯報,從而受到懲罰。從長遠來看,您可以通過過濾掉這些控件來節省時間和精力。建立壹個流程圖,程序和組織活動,並知道在哪裏放置控制,以避免錯誤。其他關鍵工作領域包括溝通、SOX要求培訓、內部控制元素和教育。
2.審查數據治理和安全協議。在企業中正在進行的與大數據相關的項目中,大量各種類型的數據進入數據庫,與業務部門的通信引入了新的復雜性和合規性。
3.大多數SOX控制的IT組織使用COBIT、ITIL或其他管理方法來確保壹致的實踐。審查是否建立了文檔策略、大數據的內容管理和新的企業概念,以及是否使用了自動記錄管理和歸檔工具。
4.所有這些內部SOX審計準備工作都是壹種新的it解決方案,通過法規遵從性管理最佳實踐(如虛擬桌面或雲)更容易保護。
5.不要忘記軟件即服務(SaaS)。敏感數據通常存在於這些第三方SaaS應用程序之外,審計人員正在修改違規數據。如果組織依賴SaaS供應商,請確認他們符合SAS 70報告的SOX數據。
6.合適的審核員使整個過程更加順利。選擇特定行業有經驗的公司。選擇那些更有名的公司,除非有令人信服的理由——比如在小公司做壹名令人信服的審計專家,或者壹起去另壹家公司。審計師不能為貴公司提供會計服務,也不會為糾正措施提供深入支持。在公司進行評估,咨詢審計人員,而不是銷售人員和高級職員。知道誰實際執行審計工作。
7.審計詢問和審計人員的方法沒有問題。它將幫助IT組織準備-甚至運行薩班斯-奧克斯利內部審計,以避免常見錯誤。
8.在大多數IT組織中,合規性、管理和安全性都在同壹個地方失敗。這是好消息。因為問題區域可以在審計過程開始之前被識別和修復。