?。ㄔ髡逽teve Lemme， Computer Associates　Director Product Marketing）企業(yè)及其IT支持部門(mén)在新的一年里都面臨著新的挑戰(zhàn)，他們要繼續(xù)忙活新的IT項(xiàng)目。幾乎可以肯定的是，公司經(jīng)理們現(xiàn)在最迫切的任務(wù)是時(shí)間越來(lái)越緊迫的“薩奧”法案遵循鑒證項(xiàng)目。法案404節(jié)要求上市公司管理層必須評(píng)估和報(bào)告其財(cái)務(wù)報(bào)告內(nèi)控的有效性，并要求有獨(dú)立審計(jì)者證實(shí)財(cái)務(wù)報(bào)告內(nèi)控和程序的有效性。

　　盡管“薩奧”法案主要是為了保證公司管理財(cái)務(wù)報(bào)告和審計(jì)的標(biāo)準(zhǔn)，但從寬泛的意義上說(shuō)還包括了支持企業(yè)的IT運(yùn)行程序?，F(xiàn)在，公司經(jīng)理可以通過(guò)網(wǎng)絡(luò)、服務(wù)器和數(shù)據(jù)庫(kù)等IT技術(shù)來(lái)了解和提供控制財(cái)務(wù)系統(tǒng)和業(yè)務(wù)軟件的規(guī)定和程序。在IT部門(mén)開(kāi)始研究“薩奧”法案的規(guī)定時(shí)，一連串的問(wèn)題就出來(lái)了：這些規(guī)定影響哪些部分、影響程度如何，應(yīng)該檢查和報(bào)告什么。盡管有各種來(lái)源的指南，但還沒(méi)有一套進(jìn)行公開(kāi)解釋的權(quán)威指南。下面給出五種在不認(rèn)真準(zhǔn)備的情況下可能面臨的審計(jì)失敗的表現(xiàn)形式（僅作為協(xié)助遵循法案的案例）：

　　1、財(cái)務(wù)記錄系統(tǒng)或可能影響財(cái)務(wù)系統(tǒng)真實(shí)性的系統(tǒng)缺乏安全管理或安全說(shuō)明。公司必須確保財(cái)務(wù)信息不受未授權(quán)的外部或內(nèi)部因素的影響。

　　2、當(dāng)系統(tǒng)、數(shù)據(jù)庫(kù)和網(wǎng)絡(luò)管理員對(duì)財(cái)務(wù)記錄系統(tǒng)或影響財(cái)務(wù)系統(tǒng)真實(shí)性的系統(tǒng)進(jìn)行改造或升級(jí)時(shí)，沒(méi)有留下存檔的程序、記錄、改變或改變管理的可審計(jì)的線索。恰當(dāng)?shù)母淖児芾肀仨毚_保軟件和硬件的改變得以控制和記錄。

　　3、沒(méi)有存檔的災(zāi)難恢復(fù)計(jì)劃，或者可核查的成功恢復(fù)財(cái)務(wù)記錄系統(tǒng)計(jì)劃的證據(jù)。這包括證實(shí)財(cái)務(wù)系統(tǒng)具有能夠使企業(yè)受較小影響而合理持續(xù)經(jīng)營(yíng)的可恢復(fù)性。不管系統(tǒng)的規(guī)模或復(fù)雜性如何，各組織必須確保在一段時(shí)間內(nèi)恢復(fù)，以保證財(cái)務(wù)數(shù)據(jù)及時(shí)的可用性。

　　4、數(shù)據(jù)庫(kù)日志沒(méi)有激活，日志沒(méi)有安全保證、沒(méi)有報(bào)告數(shù)據(jù)的處理，或者沒(méi)有對(duì)財(cái)務(wù)記錄系統(tǒng)或影響財(cái)務(wù)系統(tǒng)真實(shí)性的其它系統(tǒng)的審計(jì)報(bào)告進(jìn)行日志記錄。如果沒(méi)有數(shù)據(jù)庫(kù)日志和日志報(bào)告，就幾乎不可能確定誰(shuí)對(duì)數(shù)據(jù)庫(kù)作了什么改變。數(shù)據(jù)管理部門(mén)改變管理對(duì)比應(yīng)該根據(jù)數(shù)據(jù)庫(kù)日志進(jìn)行驗(yàn)證，以確保所有的數(shù)據(jù)庫(kù)改變都被記錄了且可驗(yàn)證。

　　5、數(shù)據(jù)的備份，存儲(chǔ)在磁盤(pán)、磁帶或其它第三方地點(diǎn)不安全或無(wú)法追蹤。未受保護(hù)的財(cái)務(wù)數(shù)據(jù)可能被偷或被未經(jīng)授權(quán)的人改變或觀察。比如，數(shù)據(jù)庫(kù)的一個(gè)可移動(dòng)表空間可能被移動(dòng)和關(guān)聯(lián)到另一個(gè)數(shù)據(jù)庫(kù)，可以使別人未經(jīng)授權(quán)觀察。數(shù)據(jù)庫(kù)文檔、備份、裝載和卸載、管理改變和報(bào)告應(yīng)該定期予以驗(yàn)證，以確保數(shù)據(jù)安全。

　　由于“薩奧”法案相對(duì)較新，而且影響當(dāng)今的大部分企業(yè)，美國(guó)證券交易委員會(huì)（SEC）已經(jīng)指定了按COSO委員會(huì)提供的指南來(lái)評(píng)估內(nèi)部控制。然而，由于COSO的框架是總括性的，IT部門(mén)可以從信息及相關(guān)技術(shù)組織系統(tǒng)的控制目標(biāo)（Control Objectives for Information and related Technology ，CobiT）中尋找具體的IT模型來(lái)協(xié)助遵循法案。

　　名字解釋：COSO，the Committee of Sponsoring Organizations of the Treadway Commission，發(fā)起組織委員會(huì)，簡(jiǎn)稱COSO，從屬于Treadway委員會(huì)，專門(mén)致力于內(nèi)部控制研究。Treadway委員會(huì)是1985年成立的反虛假財(cái)務(wù)報(bào)表全國(guó)委員會(huì)。