萨班斯法案审计失败的五种表现形式
来源:
2005-06-01
普通
(原作者Steve Lemme, Computer Associates Director Product Marketing)企业及其IT支持部门在新的一年里都面临着新的挑战,他们要继续忙活新的IT项目。几乎可以肯定的是,公司经理们现在最迫切的任务是时间越来越紧迫的“萨奥”法案遵循鉴证项目。法案404节要求上市公司管理层必须评估和报告其财务报告内控的有效性,并要求有独立审计者证实财务报告内控和程序的有效性。
尽管“萨奥”法案主要是为了保证公司管理财务报告和审计的标准,但从宽泛的意义上说还包括了支持企业的IT运行程序。现在,公司经理可以通过网络、服务器和数据库等IT技术来了解和提供控制财务系统和业务软件的规定和程序。在IT部门开始研究“萨奥”法案的规定时,一连串的问题就出来了:这些规定影响哪些部分、影响程度如何,应该检查和报告什么。尽管有各种来源的指南,但还没有一套进行公开解释的权威指南。下面给出五种在不认真准备的情况下可能面临的审计失败的表现形式(仅作为协助遵循法案的案例):
1、财务记录系统或可能影响财务系统真实性的系统缺乏安全管理或安全说明。公司必须确保财务信息不受未授权的外部或内部因素的影响。
2、当系统、数据库和网络管理员对财务记录系统或影响财务系统真实性的系统进行改造或升级时,没有留下存档的程序、记录、改变或改变管理的可审计的线索。恰当的改变管理必须确保软件和硬件的改变得以控制和记录。
3、没有存档的灾难恢复计划,或者可核查的成功恢复财务记录系统计划的证据。这包括证实财务系统具有能够使企业受较小影响而合理持续经营的可恢复性。不管系统的规模或复杂性如何,各组织必须确保在一段时间内恢复,以保证财务数据及时的可用性。
4、数据库日志没有激活,日志没有安全保证、没有报告数据的处理,或者没有对财务记录系统或影响财务系统真实性的其它系统的审计报告进行日志记录。如果没有数据库日志和日志报告,就几乎不可能确定谁对数据库作了什么改变。数据管理部门改变管理对比应该根据数据库日志进行验证,以确保所有的数据库改变都被记录了且可验证。
5、数据的备份,存储在磁盘、磁带或其它第三方地点不安全或无法追踪。未受保护的财务数据可能被偷或被未经授权的人改变或观察。比如,数据库的一个可移动表空间可能被移动和关联到另一个数据库,可以使别人未经授权观察。数据库文档、备份、装载和卸载、管理改变和报告应该定期予以验证,以确保数据安全。
由于“萨奥”法案相对较新,而且影响当今的大部分企业,美国证券交易委员会(SEC)已经指定了按COSO委员会提供的指南来评估内部控制。然而,由于COSO的框架是总括性的,IT部门可以从信息及相关技术组织系统的控制目标(Control Objectives for Information and related Technology ,CobiT)中寻找具体的IT模型来协助遵循法案。
名字解释:COSO,the Committee of Sponsoring Organizations of the Treadway Commission,发起组织委员会,简称COSO,从属于Treadway委员会,专门致力于内部控制研究。Treadway委员会是1985年成立的反虚假财务报表全国委员会。
尽管“萨奥”法案主要是为了保证公司管理财务报告和审计的标准,但从宽泛的意义上说还包括了支持企业的IT运行程序。现在,公司经理可以通过网络、服务器和数据库等IT技术来了解和提供控制财务系统和业务软件的规定和程序。在IT部门开始研究“萨奥”法案的规定时,一连串的问题就出来了:这些规定影响哪些部分、影响程度如何,应该检查和报告什么。尽管有各种来源的指南,但还没有一套进行公开解释的权威指南。下面给出五种在不认真准备的情况下可能面临的审计失败的表现形式(仅作为协助遵循法案的案例):
1、财务记录系统或可能影响财务系统真实性的系统缺乏安全管理或安全说明。公司必须确保财务信息不受未授权的外部或内部因素的影响。
2、当系统、数据库和网络管理员对财务记录系统或影响财务系统真实性的系统进行改造或升级时,没有留下存档的程序、记录、改变或改变管理的可审计的线索。恰当的改变管理必须确保软件和硬件的改变得以控制和记录。
3、没有存档的灾难恢复计划,或者可核查的成功恢复财务记录系统计划的证据。这包括证实财务系统具有能够使企业受较小影响而合理持续经营的可恢复性。不管系统的规模或复杂性如何,各组织必须确保在一段时间内恢复,以保证财务数据及时的可用性。
4、数据库日志没有激活,日志没有安全保证、没有报告数据的处理,或者没有对财务记录系统或影响财务系统真实性的其它系统的审计报告进行日志记录。如果没有数据库日志和日志报告,就几乎不可能确定谁对数据库作了什么改变。数据管理部门改变管理对比应该根据数据库日志进行验证,以确保所有的数据库改变都被记录了且可验证。
5、数据的备份,存储在磁盘、磁带或其它第三方地点不安全或无法追踪。未受保护的财务数据可能被偷或被未经授权的人改变或观察。比如,数据库的一个可移动表空间可能被移动和关联到另一个数据库,可以使别人未经授权观察。数据库文档、备份、装载和卸载、管理改变和报告应该定期予以验证,以确保数据安全。
由于“萨奥”法案相对较新,而且影响当今的大部分企业,美国证券交易委员会(SEC)已经指定了按COSO委员会提供的指南来评估内部控制。然而,由于COSO的框架是总括性的,IT部门可以从信息及相关技术组织系统的控制目标(Control Objectives for Information and related Technology ,CobiT)中寻找具体的IT模型来协助遵循法案。
名字解释:COSO,the Committee of Sponsoring Organizations of the Treadway Commission,发起组织委员会,简称COSO,从属于Treadway委员会,专门致力于内部控制研究。Treadway委员会是1985年成立的反虚假财务报表全国委员会。
