PDF全力以赴应对萨班斯-奥克斯利法案 (SOX)
在供应商关系中,积极主动地进行SAS 70 Type II审计对双方都有帮助。
JOHN BOSTICK,dbaDIRECT
对于任何大型组织而言,数据都是宝贵的资源。组织规模越大,就越有可能在一定程度上依赖第三方供应商和合作伙伴来帮助其管理和监控关键任务数据。随着针对上市公司的新法规(例如《萨班斯-奥克斯利法案》(Sarbanes-Oxley Act of 2002)第404条,简称SOX法案)的出台,财富1000强公司的IT部门负责人越来越需要确信,在对其关键数据交易进行24/7/365全天候监控时,他们的业务合作伙伴拥有完善的计划和充分记录的程序。
为了响应对第三方控制和程序进行验证的日益增长的需求,一些公司坚持要求某些供应商接受SAS(审计准则声明)70 Type II审计。这些审计参考了AICPA(美国注册会计师协会)的标准,该标准规定了评估外部服务组织绩效的实践。(Type I审计描述了企业的控制措施,并指出这些措施是否设计合理且已到位;Type II审计则测试这些控制措施,并报告它们是否运行良好。)
SAS 70 Type II审计对于大型公司而言变得越来越重要,因为管理层不仅要评估公司内部财务报告控制的有效性,还要评估可能对这些控制产生重大影响的关键外包服务,例如对组织数据库的第三方监控和管理。
作为大型公司的业务合作伙伴或服务提供商,您可以通过自行进行SAS 70 Type II审计,为当前和未来的客户提供有价值的服务。您可能已经习惯了在签字之前,人们会进来仔细检查您设施的每个角落,即使这通常被双方都认为是麻烦事。然而,由于SOX法案,这种检查将变得更加普遍。来自任何和所有您希望与之开展业务的公司的审计员都将开始出现在您家门口。
完成SAS 70 Type II审计表明一家公司拥有准确且稳健的流程,并提供官方联邦文件来支持这些声明。仅仅能够说您已完成此类审计,就可以简化潜在客户公司将要对您进行的剩余流程——虽然今天这可能是一种竞争优势,但很快将成为一种竞争必需品。
如何进行(第一手经验)
当您决定进行SAS 70 Type II审计时,请找到一家在SOX法案方面拥有强大审计实践的注册会计师事务所。一家优秀的事务所会进来,告诉您您将要经历什么,并向您展示Type II审计的路线图。
您要做的第一件事是创建一个“作战室”,在其中以特定的方式集中存放您的流程文档。您可能需要测试您的流程并不断地进行思考。传统上,您可能没有在“伙伴检查”方面做很多工作,但是Type II的准备工作将迫使您认真对待彼此的工作。伙伴检查有时意味着会伤害到敏感的自尊心。“大脑知识库”不能作为最终产品。重要的是要确保一切都井井有条并记录在案。
在我们的案例中,我让我们的首席技术官(公司最高IT负责人)指派他的安全和网络主管来承担该项目,并真正深入审计流程的内部。我们还让他的运营主管提供有关事件处理系统的文档。
在我们文档不足的领域,我们需要通宵达旦地工作,以开发审计师所需的稳健性。我们有一个关于要达到的深度级别的指导方针。这些级别对于大多数公司(无论大小)都很重要,但是如今,大多数公司都没有足够的内部资源来重新记录文档,同时还要执行日常活动。
至少,我们没有。因此,在为迎接挑战做准备时,我们有8到10名员工(不包括接受采访的员工)与审计师合作,以演示文档和流程。除三四名员工外,大多数员工只参与了半天左右。其他员工,尤其是那些负责安全和连接的员工,参与了大约两个星期,并且大部分时间都被占用。
但是,我再次要说,通过积极主动地进行最初的SAS 70 Type II审计以及随后的续审,我们确实从运营的角度帮助我们的公司走向成熟。坦率地说,作为一名首席执行官,鉴于公司的流程和控制措施很难在资产负债表上衡量,因此,知道您的公司在这些领域具有一定的准备水平和卓越的运营能力,这非常令人欣慰。
益处
对我们公司而言,最明显的益处是我们了解了组织内部跨职能的流程和控制措施。我们的首次SAS 70 Type II审计要求我们首先仔细查看我们拥有的控制措施以及可能存在漏洞的地方。有时,C级领导层认为控制措施已到位,但现实情况是,它们要么没有到位,要么没有得到适当的记录。SAS 70 Type II审计显示了我们可以在现有流程和控制措施方面进行改进的地方,并且它迫使我们增加周期时间,以实现更好的流程向前发展。
我建议每个与大型公司开展业务的人都进行这些审计。如果客户确实要求这样做,而您说不,那么您可能已经失去了作为业务合作伙伴的资格。
JOHN BOSTICK是dbaDIRECT的总裁兼首席执行官,该公司为财富1000强和私营500强企业(包括Cynergy和Kerr McGee等大型公用事业公司)提供数据基础设施管理服务。
最初发表于Queue杂志第4卷第7期—
在数字图书馆中评论本文
更多相关文章
Jatinder Singh, Jennifer Cobbe, Do Le Quoc, Zahra Tarkhani - 云端飞地
随着组织数据实践受到越来越多的审查,对可以协助组织履行其数据管理义务的机制的需求正在增长。TEE(可信执行环境)提供基于硬件的机制,具有各种安全属性,可用于辅助计算和数据管理。TEE关注数据、代码和相应计算的机密性和完整性。由于主要安全属性来自硬件,因此即使主机特权软件堆栈易受攻击,也可以提供某些保护和保证。
Tracy Ragan - IT合规游戏中的记分
让开发人员接受从开发到发布管理应用程序的标准化程序,是当今组织面临的最大障碍之一。建立标准化的开发到发布工作流程(通常称为ALM(应用程序生命周期管理)流程)对于组织努力满足严格的IT合规性要求至关重要。正如人们常说的,说起来容易做起来难,因为不同的开发团队创建了自己独特的程序,这些程序没有文档记录、不清晰且不可追溯。
J. C. Cannon, Marilee Byers - 合规性解构
合规性主题每年都变得越来越复杂。数十项监管要求可能会影响公司的业务流程。此外,这些要求通常含糊不清且令人困惑。当被问及他们的业务流程是否合规时,负责合规性的人员当然很难简洁而自信地回应。本文着眼于公司如何解构合规性,以系统的方式处理合规性,并将技术应用于自动化与合规性相关的业务流程。它还专门研究了微软如何应对SOX合规性。
Eric Allman - 遵守合规性
“嘿,合规性很无聊。真的,真的很无聊。而且,我既不在金融行业也不在医疗保健行业工作。我为什么要关心SOX和HIPAA?” 是的,你说的完全正确。您编写工资单应用程序、操作系统、用户界面或(天哪)电子邮件服务器。您为什么要担心合规性问题?
© 保留所有权利。