SOX的目的是通过规范财务报告的操作保护公众免受欺骗性的和误导的会计操作,然而事实上把SOX应用于实践并不是这么简单的,这篇文章分析了你现在可以采用的五个步骤来准备SOX审计……
对于你们中的尚未有幸被审计遵守Sarbanes-Oxley Act(萨班斯法案,SOX)的人来说,这个经历就像去看牙医一样的令人愉快。但是它不需要那么痛苦。就像看牙医时,一个积极主动的维护和准备可以使这个经历减少许多压力。如果忽视你的牙齿,你将最终付出代价(除非你喜欢钻在骨头里的声音)。
这篇文章突出了你现在可以采用的五个步骤来使准备SOX审计的经历变得不那么令人生畏。
什么是Sarbanes-Oxley(萨班斯)?
在你准备审计之前,你应该了解你正在为什么做准备。在1990年代股市蓬勃发展期间令人置疑的会计事件被批露出来,不久之后在2002年Sarbanes-Oxley Act(萨班斯法案)第一次成为了法律——尽管大多数人因为强制遵从性检查而把2004年记作了第一年。SOX的目的很简单:通过规范财务报告的操作保护公众免受欺骗性的和误导的会计操作。
然而事实上把SOX应用于实践并不是这么简单的。事实上,许多公司仍然不清楚怎样成为符合的或怎样准备审计。遵从性检查因此成为了一个数十亿美元的行业,而遵从性检查的费用对于各种规模的公众公司来说都是一个巨大的负担。
SOX和DBA
这时你可能会想,“我在IT行业——让会计师和CFO去处理SOX遵从性检查。”这个态度必然会给你带来严重的麻烦!乍一看SOX可能看起来是一个会计关注的事情,但是它毫无疑问的——IT很明确的处于这个问题的核心。想一想。大多数会计职能极大的依赖计算机上运行的应用程序。将这与财务数据存储在计算机上这个事实结合起来,则DBA尤其会觉得自己为遵从性检查而受到严密监视和详细的审查。
法案的302条和404条是与IT管理最具关联的。简单地说,这些条文要求所有公司的人员保证他们的财务报告的正确性。这反过来又要求所有的用来产生这些报告的公司数据遵守正规的审计过程以确保不受到不正确或非法的修改。因为财务报告依赖于使用公司的IT系统,这些系统的安全性和完整性就是非常重要的了。安全和变更管理是,并且将来继续是数据库支持的最细微的方面,这看起来很合理。毕竟,数据库是公司最宝贵的信息的主要仓库。
我应该关心什么?
如果你为一个上市的贸易公司工作,或曾经计划为一个上市贸易公司工作,那么机会不错,你将来某天将面对SOX审计。如果你为一个私人公司工作,还不能太放松。许多私人公司也采用、甚至信奉SOX(或其它)遵从性检查。你根本无法避免。作为一个DBA,你总有一天会负责一个存储敏感数据的数据库,无论它是SOX管制的财务数据(发薪、总帐、应付帐款、应收帐款),医疗数据(现在由HIPAA管制)或只是由隐私法管制的个人信息。
让别人担心它?我不认为。萨班斯旨在规范用于企业信息的内部控制。确保用来生成报告的数据是准确的并且不能通过任何方法来操纵是CEO的法定义务。它从CEO开始,从那里只向下进行。反过来CEO将依赖CIO以确保IT过程和控制是符合遵从性检查的,而CIO将反过来依赖IT经理,IT经理将最终依赖作为DBA的你,来确保数据处于控制之下并且是安全的。
审计的类型
你有必要先了解内部审计和外部审计的区别。在本质上,一个内部审计是用来为公司的外部审计做准备的。不管你是否相信,我发现大多数的内部审计往往比它们相应的外部审计时间更长、更详细和更彻底。外部审计员倾向于个性化他们的SOX诠释,每个审计员会侧重于IT遵从性检查的不同方面。因此,我的理论是内部审计员需要对每一个他们可能(或可能不会)遇到的外部审计员的诠释为公司做准备。
如果你家公司足够幸运,外部审计员甚至可能使用内部审计的一些调查结果,如果他们相信这是正确的。
1. 准备审计
我曾在500强公司做DBA和/或管理角色,并作为一个远程DBA提供商服务了很多各种规模的上市公司,我曾亲身参与了一些审计,没有两个是一样的。审计经历和你需要为它提供什么是真的取决于每个审计员,他们的方法和他们怎样将法案本身结合为最好的操作和过程。
所以,DBA需要做什么?我可以概括为一个词:准备!你可能不知道,但是通过阅读这篇文章你已经迈出了第一步,这就是要研究和了解SOX对于IT的重要性和关联。
这是你现在就可以采取的其余四个步骤。
2. 文档,文档,文档!
既然大多数的DBA(和一般的大多数IT人士)讨厌记录任何事,这可能是你想最后听到的事情。现在注意我的警告,每一个审计都将从文档开始。你将会被要求提供记录所有东西的文档,从用户和密码,到访问数据的应用列表,到什么被监管,到用于管理和保护数据库的处理和过程。想一想你在一个财务数据库上做的任何事,而你将很可能被要求解释和提供关于它的文档。
不要拖延!今天开始记录每一件事!
一个好的着手点是安全。记录你的安全策略和过程、应用访问类型、私有帐户(和为什么需要它们)、密码策略等等。编写脚本来查询和报告数据库用户、角色和权限。不要忘了记录用于运行和检查它们的过程。
在安全之后,关注记录变更管理策略。你有记载的变更管理策略吗?如果没有,现在可能是个很好的时间来写一个!你的策略记录了数据变化和结构变化了吗?谁批准变更?谁校验变更?在哪跟踪它们?它们被复查了吗?被谁?
你可能想考虑准备文档用于的