?。ㄔ髡逽teve Lemme， Computer Associates　Director Product Marketing）企業(yè)及其IT支持部門在新的一年里都面臨著新的挑戰(zhàn)，他們要繼續(xù)忙活新的IT項(xiàng)目。幾乎可以肯定的是，公司經(jīng)理們現(xiàn)在最迫切的任務(wù)是時(shí)間越來越緊迫的“薩奧”法案遵循鑒證項(xiàng)目。法案404節(jié)要求上市公司管理層必須評估和報(bào)告其財(cái)務(wù)報(bào)告內(nèi)控的有效性，并要求有獨(dú)立審計(jì)者證實(shí)財(cái)務(wù)報(bào)告內(nèi)控和程序的有效性。

　　盡管“薩奧”法案主要是為了保證公司管理財(cái)務(wù)報(bào)告和審計(jì)的標(biāo)準(zhǔn)，但從寬泛的意義上說還包括了支持企業(yè)的IT運(yùn)行程序?，F(xiàn)在，公司經(jīng)理可以通過網(wǎng)絡(luò)、服務(wù)器和數(shù)據(jù)庫等IT技術(shù)來了解和提供控制財(cái)務(wù)系統(tǒng)和業(yè)務(wù)軟件的規(guī)定和程序。在IT部門開始研究“薩奧”法案的規(guī)定時(shí)，一連串的問題就出來了：這些規(guī)定影響哪些部分、影響程度如何，應(yīng)該檢查和報(bào)告什么。盡管有各種來源的指南，但還沒有一套進(jìn)行公開解釋的權(quán)威指南。下面給出五種在不認(rèn)真準(zhǔn)備的情況下可能面臨的審計(jì)失敗的表現(xiàn)形式（僅作為協(xié)助遵循法案的案例）：

　　1、財(cái)務(wù)記錄系統(tǒng)或可能影響財(cái)務(wù)系統(tǒng)真實(shí)性的系統(tǒng)缺乏安全管理或安全說明。公司必須確保財(cái)務(wù)信息不受未授權(quán)的外部或內(nèi)部因素的影響。

　　2、當(dāng)系統(tǒng)、數(shù)據(jù)庫和網(wǎng)絡(luò)管理員對財(cái)務(wù)記錄系統(tǒng)或影響財(cái)務(wù)系統(tǒng)真實(shí)性的系統(tǒng)進(jìn)行改造或升級時(shí)，沒有留下存檔的程序、記錄、改變或改變管理的可審計(jì)的線索。恰當(dāng)?shù)母淖児芾肀仨毚_保軟件和硬件的改變得以控制和記錄。

　　3、沒有存檔的災(zāi)難恢復(fù)計(jì)劃，或者可核查的成功恢復(fù)財(cái)務(wù)記錄系統(tǒng)計(jì)劃的證據(jù)。這包括證實(shí)財(cái)務(wù)系統(tǒng)具有能夠使企業(yè)受較小影響而合理持續(xù)經(jīng)營的可恢復(fù)性。不管系統(tǒng)的規(guī)?；驈?fù)雜性如何，各組織必須確保在一段時(shí)間內(nèi)恢復(fù)，以保證財(cái)務(wù)數(shù)據(jù)及時(shí)的可用性。

　　4、數(shù)據(jù)庫日志沒有激活，日志沒有安全保證、沒有報(bào)告數(shù)據(jù)的處理，或者沒有對財(cái)務(wù)記錄系統(tǒng)或影響財(cái)務(wù)系統(tǒng)真實(shí)性的其它系統(tǒng)的審計(jì)報(bào)告進(jìn)行日志記錄。如果沒有數(shù)據(jù)庫日志和日志報(bào)告，就幾乎不可能確定誰對數(shù)據(jù)庫作了什么改變。數(shù)據(jù)管理部門改變管理對比應(yīng)該根據(jù)數(shù)據(jù)庫日志進(jìn)行驗(yàn)證，以確保所有的數(shù)據(jù)庫改變都被記錄了且可驗(yàn)證。

　　5、數(shù)據(jù)的備份，存儲在磁盤、磁帶或其它第三方地點(diǎn)不安全或無法追蹤。未受保護(hù)的財(cái)務(wù)數(shù)據(jù)可能被偷或被未經(jīng)授權(quán)的人改變或觀察。比如，數(shù)據(jù)庫的一個(gè)可移動表空間可能被移動和關(guān)聯(lián)到另一個(gè)數(shù)據(jù)庫，可以使別人未經(jīng)授權(quán)觀察。數(shù)據(jù)庫文檔、備份、裝載和卸載、管理改變和報(bào)告應(yīng)該定期予以驗(yàn)證，以確保數(shù)據(jù)安全。

　　由于“薩奧”法案相對較新，而且影響當(dāng)今的大部分企業(yè)，美國證券交易委員會（SEC）已經(jīng)指定了按COSO委員會提供的指南來評估內(nèi)部控制。然而，由于COSO的框架是總括性的，IT部門可以從信息及相關(guān)技術(shù)組織系統(tǒng)的控制目標(biāo)（Control Objectives for Information and related Technology ，CobiT）中尋找具體的IT模型來協(xié)助遵循法案。

　　名字解釋：COSO，the Committee of Sponsoring Organizations of the Treadway Commission，發(fā)起組織委員會，簡稱COSO，從屬于Treadway委員會，專門致力于內(nèi)部控制研究。Treadway委員會是1985年成立的反虛假財(cái)務(wù)報(bào)表全國委員會。