薩班斯-奧克斯利法案,也稱為薩班斯-奧克斯利法案,被稱為2002年會計改革和投資者保護法案。它是由參議院銀行委員會主席保羅·薩班斯和眾議院金融服務委員會主席邁克·奧克斯利聯合提出的,也被稱為2002年薩班斯-奧克斯利法案。該法案對美國1933《證券法》和1934《證券交易法》進行了大幅修改,在公司治理、會計專業監管和證券市場監管等方面作出了許多新規定。
薩班斯-奧克斯利法案對在美國上市的公司提出了合規要求,這使得上市公司不得不考慮控制各種風險,包括IT風險。許多在美國上市的國內公司急於搬遷,其中最突出的是各大電信運營商在人力、財力和物力方面的大量投資。
1.有許多方法可以簡化SOX的最大障礙:SOX404。例如,僅測試內部控制,如果失敗,可能會導致財務數據的重大和應受懲罰的錯報。從長遠來看,您可以通過過濾掉控件的子集來節省時間和精力。建立組織的過程、程序和相關活動的流程圖,並知道在哪裏控制它們以避免錯誤。其他關鍵工作領域包括溝通、SOX前提培訓、內部控制要素和教育。
2.審查數據治理和安全協議。在企業正在進行的大數據相關項目中,大量數據進入數據庫,與業務部門的通信引入了新的復雜性和合規性。
3.大多數受SOX控制的IT組織使用COBIT、ITIL或其他管理方法來確保壹致的做法。審查是否建立了文件戰略、大數據內容管理和新企業概念,以及是否使用了自動記錄管理和歸檔工具。
4.所有這些內部SOX審計準備工作都是壹種新的it解決方案,通過法規遵從性管理最佳實踐(如虛擬桌面或雲)更容易保護。
5.不要忘記軟件即服務(SaaS)。敏感數據通常存在於這些第三方SaaS應用程序之外,審計人員正在修改違規數據。如果組織依賴SaaS提供商,請確認他們符合SAS 70報告的SOX數據。
6.合適的審計人員使整個過程更加順暢。選擇在特定行業有經驗的公司。選擇那些知名的公司,除非有令人信服的理由——比如在壹家小公司擔任令人信服的審計師,或者壹起去另壹家公司。審計師不能為您的公司提供會計服務,也不會為糾正措施提供深入支持。在公司評估中,咨詢審計師,而不是銷售人員和高級人員。知道誰在實際執行審計。
7.審計詢問和審計人員的方法沒有問題。它將幫助IT組織準備-甚至運行-薩班斯-奧克斯利內部審計以避免常見錯誤。
8.在大多數IT組織中,合規性、管理和安全性都在同壹個地方失敗。這是好消息。因為在審計過程開始之前,可以識別和修復問題區域。