通过数据库审计提升公司治理和内控
导言
随着众多企业会计丑闻的出现,国际上一些国家已经做出了相应的监管措施。今天大多数的企业必须遵守新的法律,旨在使内部流程对投资者更透明,保护未经所有者同意就被共享的个人信息。在过去的十年中,2002年Sarbanes - Oxley法案( SOx )规定了财务数据应如何处理和保护,并向在美国市场公开上市的企业提出新的要求,保证财务报表准确性和完整性。
SOX强调了对所有财务数据--包括作为数据处理过程的电子数据--的处理。法律的第404条要求编制财务报表应包含内部控制和程序的年度评估和文档。内控必须记录,以及必须实施某个系统用于监测其效力。第302节要求CEO和CFO每季证明公司财务报表内控的存在和签字的真实性。
不遵守Sarbanes - Oxley法案的处罚包括对个别高管强制罚款和可能的刑事处罚。也许更重要的是,不遵守法律的其他风险可能危及企业作为一个商业实体存在。在以信息为基础的经济中,不能充分保护信息可能会导致可怕的后果-从误报财务报表到基于错误信息的决策。泄漏商业秘密,股东诉讼,品牌侵害,失去客户信任,从证券交易所除名等的潜在危害,将削弱或摧毁多年辛苦创造的成绩。
信息技术起着关键作用
信息技术提供了一个工具,以建立一个有效的内部控制系统。对于遵从Sarbanes - Oxley法案是很关键的。可靠的信息系统和有效的访问控制程序作为基础,企业可编制可信任的财务报告,并保证其准确性,报告的信息符合萨班斯法案的要求。
虽然IT可能发挥的作用似乎很明显,在许多组织里,初步遵守萨班斯法案的重点一直在财政和法律部门,IT被视为支撑的角色。这种方法存在的问题是过程的控制和数据完整性-Sox的关键问题及许多其他规则-没有项目可以提供一种事后的,或反应到一个新的法律。他们需要建立企业的一部分安全政策和结构的一部分IT基础设施。过程控制和数据的完整性不能被看作是表面,而是作为一个IT建立或管理的战略要素。利害攸关的是各种各样的风险,从经济处罚,通过由于受损的声誉导致的业务损失,到监禁的关键管理人员。
对Sarbanes - Oxley法案的重要性或意图毫无质疑,但由于缺乏具体细节,导致很多公司各自为营。需要切实的指导,以如何保持控制电子存储的数据,可以是一个令人沮丧和担忧的来源。第一步确定了内部控制系统涉及的内部工作或外部审计小组,以了解控制要求,支持既定的内部或外部审计标准。具体应注意支付给什么,需要审计的应用和所需要的数据库级别的审计。
一些范式存在,包括COSO内部控制框架,COBIT和法规的指导。无论什么方法,我们可以将IT一般性控制分为四大类:
- 控制程序开发
- 控制程序的变化
- 控制计算机操作
- 计算机安全
而IT一般控制效果,公司与公司之间不同, 大多数组织有一个成熟的系统开发生命周期,规范程序开发和项目的变更管理。他们这样做,不是意味着该故障的设计或操作不会发生。但更严重的风险通常是由于不适当安全,不当获取的数据或程序可以造成严重破坏。
数据的审计需要
一旦理解到审计的必须性,下一步则是如何控制设计将变成实际的审计规则来监测遵守情况。虽然COBIT 控制目标的信息和相关技术,已成被审计师所理解如同理解圣经一样。 什么是萨班斯法案审计要求, COBIT仅仅提供了一组目标但没有指令。尽管如此,许多组织正在发展基于他们的内部控制程序确定为基本COBIT 的领域监测和报告:
>帐户管理控制
>审计的政策变化
>成功登录跟踪
>无法登录的跟踪和报警
>文件的访问控制和通知
>用户权限追踪
>一般系统安全通过事件日志
>安全系统性能和稳定性确保持续可用性
我们生活在信息经济时代; 今天的企业依赖于数据库技术经营业务。其数据库关键的业务数据资产需要受到保护,免遭不适当的接入和数据变化。大多数的信息,包括一个组织的财务报告被储存和维护在数据库中,至关重要的是他们的数据库须连续审计。持续审计访问数据库和数据的变化是唯一的可靠方式,来验证是什么实际发生和监测预防控制以确保数据的完整性。结合预防与控制持续的监测将提供管理人员和审计者的能力证明,内部控制和程序,适当编制组织的财务报表。