新用戶掃碼下載
掃碼下載APP
及時接收最新考試資訊及
備考信息
薩班斯法案審計失敗的五種表現形式
(原作者Steve Lemme, Computer Associates Director Product Marketing)企業及其IT支持部門在新的一年里都面臨著新的挑戰,他們要繼續忙活新的IT項目。幾乎可以肯定的是,公司經理們現在最迫切的任務是時間越來越緊迫的“薩奧”法案遵循鑒證項目。法案404節要求上市公司管理層必須評估和報告其財務報告內控的有效性,并要求有獨立審計者證實財務報告內控和程序的有效性。
盡管“薩奧”法案主要是為了保證公司管理財務報告和審計的標準,但從寬泛的意義上說還包括了支持企業的IT運行程序。現在,公司經理可以通過網絡、服務器和數據庫等IT技術來了解和提供控制財務系統和業務軟件的規定和程序。在IT部門開始研究“薩奧”法案的規定時,一連串的問題就出來了:這些規定影響哪些部分、影響程度如何,應該檢查和報告什么。盡管有各種來源的指南,但還沒有一套進行公開解釋的權威指南。下面給出五種在不認真準備的情況下可能面臨的審計失敗的表現形式(僅作為協助遵循法案的案例):
1、財務記錄系統或可能影響財務系統真實性的系統缺乏安全管理或安全說明。公司必須確保財務信息不受未授權的外部或內部因素的影響。
2、當系統、數據庫和網絡管理員對財務記錄系統或影響財務系統真實性的系統進行改造或升級時,沒有留下存檔的程序、記錄、改變或改變管理的可審計的線索。恰當的改變管理必須確保軟件和硬件的改變得以控制和記錄。
3、沒有存檔的災難恢復計劃,或者可核查的成功恢復財務記錄系統計劃的證據。這包括證實財務系統具有能夠使企業受較小影響而合理持續經營的可恢復性。不管系統的規模或復雜性如何,各組織必須確保在一段時間內恢復,以保證財務數據及時的可用性。
4、數據庫日志沒有激活,日志沒有安全保證、沒有報告數據的處理,或者沒有對財務記錄系統或影響財務系統真實性的其它系統的審計報告進行日志記錄。如果沒有數據庫日志和日志報告,就幾乎不可能確定誰對數據庫作了什么改變。數據管理部門改變管理對比應該根據數據庫日志進行驗證,以確保所有的數據庫改變都被記錄了且可驗證。
5、數據的備份,存儲在磁盤、磁帶或其它第三方地點不安全或無法追蹤。未受保護的財務數據可能被偷或被未經授權的人改變或觀察。比如,數據庫的一個可移動表空間可能被移動和關聯到另一個數據庫,可以使別人未經授權觀察。數據庫文檔、備份、裝載和卸載、管理改變和報告應該定期予以驗證,以確保數據安全。
由于“薩奧”法案相對較新,而且影響當今的大部分企業,美國證券交易委員會(SEC)已經指定了按COSO委員會提供的指南來評估內部控制。然而,由于COSO的框架是總括性的,IT部門可以從信息及相關技術組織系統的控制目標(Control Objectives for Information and related Technology ,CobiT)中尋找具體的IT模型來協助遵循法案。
名字解釋:COSO,the Committee of Sponsoring Organizations of the Treadway Commission,發起組織委員會,簡稱COSO,從屬于Treadway委員會,專門致力于內部控制研究。Treadway委員會是1985年成立的反虛假財務報表全國委員會。
盡管“薩奧”法案主要是為了保證公司管理財務報告和審計的標準,但從寬泛的意義上說還包括了支持企業的IT運行程序。現在,公司經理可以通過網絡、服務器和數據庫等IT技術來了解和提供控制財務系統和業務軟件的規定和程序。在IT部門開始研究“薩奧”法案的規定時,一連串的問題就出來了:這些規定影響哪些部分、影響程度如何,應該檢查和報告什么。盡管有各種來源的指南,但還沒有一套進行公開解釋的權威指南。下面給出五種在不認真準備的情況下可能面臨的審計失敗的表現形式(僅作為協助遵循法案的案例):
1、財務記錄系統或可能影響財務系統真實性的系統缺乏安全管理或安全說明。公司必須確保財務信息不受未授權的外部或內部因素的影響。
2、當系統、數據庫和網絡管理員對財務記錄系統或影響財務系統真實性的系統進行改造或升級時,沒有留下存檔的程序、記錄、改變或改變管理的可審計的線索。恰當的改變管理必須確保軟件和硬件的改變得以控制和記錄。
3、沒有存檔的災難恢復計劃,或者可核查的成功恢復財務記錄系統計劃的證據。這包括證實財務系統具有能夠使企業受較小影響而合理持續經營的可恢復性。不管系統的規模或復雜性如何,各組織必須確保在一段時間內恢復,以保證財務數據及時的可用性。
4、數據庫日志沒有激活,日志沒有安全保證、沒有報告數據的處理,或者沒有對財務記錄系統或影響財務系統真實性的其它系統的審計報告進行日志記錄。如果沒有數據庫日志和日志報告,就幾乎不可能確定誰對數據庫作了什么改變。數據管理部門改變管理對比應該根據數據庫日志進行驗證,以確保所有的數據庫改變都被記錄了且可驗證。
5、數據的備份,存儲在磁盤、磁帶或其它第三方地點不安全或無法追蹤。未受保護的財務數據可能被偷或被未經授權的人改變或觀察。比如,數據庫的一個可移動表空間可能被移動和關聯到另一個數據庫,可以使別人未經授權觀察。數據庫文檔、備份、裝載和卸載、管理改變和報告應該定期予以驗證,以確保數據安全。
由于“薩奧”法案相對較新,而且影響當今的大部分企業,美國證券交易委員會(SEC)已經指定了按COSO委員會提供的指南來評估內部控制。然而,由于COSO的框架是總括性的,IT部門可以從信息及相關技術組織系統的控制目標(Control Objectives for Information and related Technology ,CobiT)中尋找具體的IT模型來協助遵循法案。
名字解釋:COSO,the Committee of Sponsoring Organizations of the Treadway Commission,發起組織委員會,簡稱COSO,從屬于Treadway委員會,專門致力于內部控制研究。Treadway委員會是1985年成立的反虛假財務報表全國委員會。
下一篇:審計環境新變化及國家審計應對措施
學員討論(0)
實務學習指南
距6月報稅結束還有天
新用戶掃碼下載
京公網安備 11010802044457號