薩班斯法案,又被稱為薩班斯·奧克斯利法案,其全稱為《2002年公眾公司會計改革和投資者保護法案》,由參議院銀行委員會主席薩班斯(Paul Sarbanes)和眾議院金融服務委員會(Committee on Financial Services)主席奧克斯利(Mike Oxley)聯合提出,又被稱作《2002年薩班斯-奧克斯利法案》。該法案對美國《1933年證券法》、《1934年證券交易法》做出大幅修訂,在公司治理、會計職業監管、證券市場監管等方面作出了許多新的規定。
薩班斯法案對在美國上市的公司提供了合規性要求,使上市公司不得不考慮控制IT風險在內的各種風險。國內眾多在美國上市的公司都紛紛動了起來,其中最為突出的就是各大電信運營商對人、財、物的投入都非常巨大。
1. 有方法努力精簡最大的SOX障礙工作: SOX404。例如,僅測試內部控制,如果他們失敗了,可能導致壹個重大的可罰的財務數據誤述。從長遠來看,通過過濾掉這個控件子集,妳可以節省時間和精力。建立壹個進程,程序和組織相關活動的流程圖,知道在何處放置控件來避免錯誤。其他關鍵領域的工作包括通信,對SOX必要條件的培訓,以及內部控制的要素和教育。
2. 回顧數據治理和安全協議。企業內的正在進行的與大數據相關的項目,大量的各類數據進入數據庫,與業務部門之間的溝通引入了新的復雜性合規。
3. 大多數SOX控制的IT組織使用COBIT,ITIL或其它管理方法,以確保壹致的做法。回顧是否建立了文檔策略,大數據的內容管理工作和新的企業理念,並使用了自動記錄管理和歸檔工具。
4. 所有這些內部SOX審計籌備是壹個通過合規管理的最佳實踐,更容易保護的新的IT方案,如虛擬桌面或雲。
5. 不要忘了軟件即服務(SaaS)。敏感數據經常存在於這些第三方SaaS應用程序之外,審計師正在修改出現的違規數據。如果組織依賴於SaaS供應商,請確認他們遵守SOX-符合SAS 70報告的數據。
6. 正確的審計師使整個過程更順利的運行。在特定行業中選擇壹個有經驗的公司。挑選那些更大名氣的公司,除非有令人信服的理由 - 像在壹家小公司內做壹個引人註目的審計專家,或者壹起去另壹家公司。審計師無法為貴公司提供會計服務業務,並且不會提供有關糾正措施的深入支持。在公司評估,與審計師商量,而不是銷售人員和高級職員。知道誰是實際執行的審計工作。
7.審計詢問和審計師的方法都沒有問題。它會幫助IT組織做準備 -甚至運行薩班斯-奧克斯利法案內部審計,避免常見的錯誤。
8. 大多數IT組織裏,合規,管理和安全都在同壹個地方出故障。這是個好消息。因為可以在審計過程開始之前識別和修復問題領域的。