薩班斯-奧克斯利法案,也被稱為薩班斯-奧克斯利法案,被稱為2002年上市公司會計改革和投資者保護法案。它是由參議院銀行委員會主席保羅·薩班斯(Paul Sarbanes)和眾議院金融服務委員會主席邁克·奧克斯利(Mike Oxley)聯合提出的,也被稱為2002年薩班斯-奧克斯利法案。該法案對美國《1933年證券法》和《1934年證券交易法》進行了大幅修改,在公司治理、會計職業監管和證券市場監管等方面做出了許多新的規定。
薩班斯-奧克斯利法案為在美國上市的公司提供了合規性要求,這使得上市公司不得不考慮控制包括IT風險在內的各種風險。國內很多在美國上市的公司都開始蠢蠢欲動,其中最突出的就是各大電信運營商在人、錢、物上的大量投入。
1.有很多方法可以簡化最大的SOX障礙:SOX404。例如,僅測試內部控制,如果失敗,可能導致財務數據的重大和應受懲罰的錯報。從長遠來看,您可以通過過濾掉控件的這個子集來節省時間和精力。建立組織的過程、程序和相關活動的流程圖,並知道在哪裏進行控制以避免錯誤。其他關鍵工作領域包括溝通、SOX必要條件培訓以及內部控制要素和教育。
2.審查數據治理和安全協議。在企業正在進行的大數據相關項目中,各種數據大量進入數據庫,與業務部門的溝通引入新的復雜性合規。
3.大多數SOX控制的IT組織使用COBIT、ITIL或其他管理方法來確保壹致的實踐。審查是否建立了文件戰略、大數據的內容管理和新的企業概念,以及是否使用了自動記錄管理和歸檔工具。
4.所有這些內部SOX審計準備工作都是壹種新的it解決方案,通過法規遵從性管理的最佳實踐(如虛擬桌面或雲)更易於保護。
5.不要忘記軟件即服務(SaaS)。敏感數據通常存在於這些第三方SaaS應用程序之外,審計人員正在修改違規數據。如果組織依賴SaaS提供商,請確認他們符合SAS 70報告的SOX數據。
6.合適的審核員使整個過程更加順利。選擇特定行業有經驗的公司。選擇那些比較有名的公司,除非有令人信服的理由——比如在小公司做令人信服的審計師,或者壹起去另壹家公司。審計師不能為貴公司提供會計服務,也不會為糾正措施提供深入的支持。在公司評估中,咨詢審計人員,而不是銷售人員和高級人員。知道誰在實際執行審計工作。
7.審計詢問和審計人員的方法沒有問題。它將幫助IT組織準備-甚至運行薩班斯-奧克斯利內部審計,以避免常見錯誤。
8.在大多數IT組織中,合規性、管理和安全性都在同壹個地方失敗。這是好消息。因為問題區域可以在審計過程開始之前被識別和修復。