DoSTOR存储分析 5月23日消息:我们知道萨班斯奥克斯利法案令企业必须存储好自己的数据,并在应对法律诉讼时及时的按需提供。但是萨班斯奥克斯利法案对于企业及其审计师带来的繁重工作与成本目前较为高昂,因此萨班斯奥克斯利法案审计官制定的新方针可能将在本周晚些时候生效,降低萨班斯奥克斯利法案计划的成本并降低各企业在解释萨班斯奥克斯利法案要求时对审计官的依赖程度。
指导审计官们的私人非营利性组织上市公司会计监管委员会(Public Company Accounting Oversight Board)计划在星期四对许多新的建议进行投票表决,其中有些建议可以降低许多公司满足萨班斯奥克斯利法案要求的难度和成本。
安全和兼容工具和服务厂商Cybertrust公司的守法知识管理经理克里斯戴维斯说:“这些修改可以对为遵守萨班斯奥克斯利法案规定而作出的全部努力造成深远的影响,它可以解决某些问题。 它不能消除所有的困难,但是至少它可以减少一些困难。”
财务交易精确度和安全分析软件厂商Oversight公司的首席执行官帕特里克泰勒说:“如果那些建议获得通过,企业和审计师们就可以将更多的精力放在与财务欺诈有关的事情上。企业们就可以将更多精力集中在欺诈的普通方式上,比如改动总帐和营收确认,而不用担心类似备份等其他事务。”
自从萨班斯奥克斯利在2002年通过之后,它所消耗的企业IT和安全资源就一直非常惊人。主要问题在于那个原本为了防止上市公司在财报中作假的法令在要求尤其是关于IT方面的要求上规定得极其含糊。
戴维斯说:“最初的规定只有一段文字那么长,含义可以有多种解释。大部分人选择以很宽和很深的角度来解释它,这样要想满足它的规定就需要付出相当高昂的成本。”企业是否遵守了萨班斯奥克斯利法案的决定权主要握在萨班斯奥克斯利法案审计师手中,他们已经找到了自己的方法来判定一家企业是否遵守了萨班斯奥克斯利法案。
到目前为止,审计师们的要求都非常严格。戴维斯说:“比如,目前的方针要求审计师们通览可能导致财报数据变动的每一项交易的流程。 对于一家大型企业来说,你可以想象得到有多少项交易的流程需要核实。”
但是上市公司会计监管委员会的提出对查账准则的修改议案也许会令企业们对它们的系统和执行进行风险评估,然后将精力主要集中在与财务欺诈有关的类似流程中,而不是尽可能去堵住每一个漏洞。
泰勒说:“他们说,‘让我们停下来想想,’大部分财务欺诈都发生在财报周期的最后阶段,公司这时候才发现它的有些数据存在问题。” 那些会改动的通常是总帐,而那也相对比较容易发觉。
泰勒解释说:“比那相比,通过备份系统进行财务欺诈你就必须获得备份数据,然后你必须知道如何去修改它们。 然后你就必须破坏操作系统,调用备份数据。那个过程比简单改动总帐数据要更加复杂一些。 审计过程应反映出那些情况。”
上市公司会计监管委员会提出的修改议案可以做到那些。监管机构提议允许上市公司进行风险评估,这有助于它们鉴别出大部分财务欺诈的手段。 然后审计师们就可以在那些方面要求更严格一些,比如审计师们可以利用完善之后的法庭辩论来找到是谁以及在何时修改了总帐数据,从而无需细查也可以减少类似备份数据窜改等的欺诈可能性。
上市公司会计监管委员会还考虑采取其他一些新的方针比如让审计师接受可信第三方的数据而不是让受监察企业自己提供那些数据。戴维斯说:“那可以减少审计2周的结果与审计2月的结果之间的差异。”
上市公司会计监管委员会还考虑为审计师们制定更详细的方针。他说:“有些人担心萨班斯奥克斯利法案审计师确实一个标准的资格认定机制。 这有助于确定一个通用的审计师标准以及审计师应具备的资格。”
此次提请审批的方针还可以放宽对受萨班斯奥克斯利法案管辖的小型企业的要求。虽然那些要求没有发生较大改动,但是小型企业的流程和技术相对简单一些,因此就不会陷入同样严格的审计程序之中。
专家们承认,即使这些提请审批的方针获得通过,留给审计师们的解释空间仍有不少,特别是关于IT安全方面的要求。戴维斯预计:“我们将把更多的精力集中在业务要求上,而不是IT要求上。”