实践中的IT审计:20年前和今天袜法案对行业的影响

似乎到处都是欺诈和阴谋 us. 比如“误传”和 “虚假信息”困扰着每天的新闻和信任 似乎很难确定. 我们不仅饱受折磨 由于需要对每件事都进行事实核查，所以出现了 无处不在的欺诈行为 我们的社会. 不幸的是，只是一个快速的网络搜索 重点介绍了最近的几起欺诈案件，包括:

• 美国vs. Epsilon数据管理， 有限责任公司，(摘要号:1:21-cr-00006-RM)是一个 批准延期起诉的判决 协议(DPA)，于2021年1月27日 Epsilon数据管理有限责任公司故意出售 消费者向客户提供数据进行欺诈. 的 同意罚款1.5亿美元.¹
• 美国vs. Facebook公司.，摘要号 1:19-cv-2184 (DDC))是一个被批准的解决方案 Facebook和美国联邦贸易委员会之间 美国联邦贸易委员会(FTC)违反了美国联邦法律 关于虚假陈述的贸易委员会法案 消费者如何保护个人数据 关于Facebook如何使用消费者的错误陈述 个人资料. 被处以50亿美元的民事罚款 被美国哥伦比亚特区地方法院起诉. 此外，判决要求Facebook 设立独立的评估员和独立的评估员 私隐委员会监督遵守 判断. 判决由Facebook支付 2020年4月.²

在2002年美国萨班斯-奥克斯利法案通过20年后 (袜)，我们的情况好点了吗? 环境 前美国参议员保罗·萨班斯和前 美国众议员迈克尔·奥克斯利提出了袜法案 难道不像我们今天生活的世界吗 关于技术，这方面的影响还在继续 我们的生活节奏疯狂. 这是一个挑战 立法者和从业者面临的问题是:如何 使“旧”法适应新世界?

历史

世纪之交的时候，坏的事情激增 澳门赌场官方下载行为. 自由市场资本主义 鼓励一些人进行不公平的竞争 最坏的情况是非法的. 科技在不断发展 趋势，预示着互联网时代，这吸引了 求职者和投资者都一样，只是破灭和失败 直到21世纪初. 更令人担忧的是 来自两家公司的一系列活动 完全不同的行业，仅仅短短四年之后 废物管理公司的重大会计丑闻 发生在1998年的丑闻，至今仍被列为 全球最大的会计丑闻.³ 美国安然公司 能源公司，不久之后，世界通信公司 成为美国电信巨头的标志 这些案件促使美国国会迅速采取行动.

作为一家公开交易的能源公司，安然对此投入了大量精力 增加股东价值的原则. 在 上世纪90年代初，安然的业绩也出现了类似的变化 标准普尔500指数(S&500英镑)，但是 在1999年到2000年期间远远领先于其他公司， 1999年股价上涨了56% 2000年又增加了87%. 这是一个 S的时间&P在1999年和1999年增长了29% 2000年下降了10%.⁴ 各种会计 在公司内部隐藏非法活动的做法 被安然公司操纵，最具体的是“mark to” 市场.“按市值计价的做法，是美国证券的一种做法 和美国证券交易委员会(SEC)允许的手段 评估一个组织的价值，是为了 衡量波动账户的公平市场价值 随着时间的推移，对当前的市场价值，以 评估组织的价值.⁵ 对于安然(Enron)，请注意 市场成为公司价值膨胀的手段 除了实际的公司业绩，隐藏着 摇摇欲坠的结构导致2021年破产. 不像 丑闻中的继任者世通，安然的审计 部门，审计委员会和安达信 继续支持按市值计价会计核算 利用各种会计漏洞. 这让Sherron 沃特金斯，前澳门赌场官方下载发展副总裁 揭露这些问题，在那个时候 安然在2001年11月宣布破产 公司何时才能被拯救 雇员养老金和投资者的投资组合得以保存.

而不是多重复杂和令人费解的会计 在实践中，世通的非法活动发生在一个 内部人员的一次可疑行为 审计小组. 迅速的调查发现了预订 而不是“预付SONET”的费用 导致了一系列的起诉和世界通信公司 2002年7月破产.⁶ 告密者, 内部审计员副总裁辛西娅·库珀坚持说 把注意力集中在有问题的做法上.

世通欺诈案的影响却没有 只影响员工和世通的投资者. In 90年代末，电信业 被三个主要竞争者所控制， AT&T, MCI和Sprint，还有很多 电信经销商. 随着公司 为了谋求地位，世通与MCI合并 让顶级竞争者展开正面交锋，一 我担任过区域销售部门的参谋长 我公司的副总裁. 在一个非常真实的意义上， 我的公司是欺诈的受害者 不仅改变了我们公司的现状 对员工来说，对整个行业来说. MCI 一直是强有力的竞争者，在定价上咄咄逼人， 世界通信公司似乎加速了这一趋势 合并. 销售业绩低于公司的业绩 保持和扩大市场份额的期望; 必须从费用方面取得成果 的账本，和裁员成了不幸 20世纪90年代末和21世纪初的结果. 作为一个 销售团队，我们会自省:我们不是吗 在推销我们的服务时足够自信? 我们也是吗? 工程导向，不够强的能力 以客户为中心的营销观点? 什么 关于我们的定价策略? 我们在坚持什么 不切实际的高定价似乎是一个 整体价格直线下降? 只是后来，随着调查的深入 揭露了丑闻的程度，做了行动 世界通信公司首席执行官伯尼·埃伯斯和 他的公司阐明了一种不同的观点 发生了什么，以及为什么我们在竞争中挣扎.

而不是多重复 还有复杂的账目 世通的做法是非法的 活动被确定为 一个有问题的做法 由内部的一员 审计小组.

通过袜法案的立法回应

美国众议院的这两项法案，都被称为公司法案 和审计问责制，责任和 透明法案由迈克尔·奥克斯利发起 参议院的法案，被称为上市公司 会计改革与投资者保护法案 2002年由保罗·萨班斯提出旨在遏制 丑闻的浪潮. 几个月后，两张账单 被和解、通过并颁布为P. L. 107‒204, 也就是后来的萨班斯-奥克斯利法案 2002.⁷ 袜的第三节将其意图确定为“ 美国证券交易委员会(SEC)应颁布此类规则 条例，可能是必要的或适当的 公共利益或为保护投资者而设 (公法107-204,7月30日) 2002年116 STAT 745)”和关键要素包括:

• 设立上市公司会计 第一章下的监督委员会
• 根据第四章加强财务披露; 包括经常被引用的404条款 内部控制管理评估
• 公司和刑事欺诈责任 标题八世
• 加强白领犯罪和刑罚 根据第九条

排名前10的账户 丑闻表明确实存在 不是良好行为的分水岭 在袜法案生效后.

关于袜的矛盾意见

袜法案成为法律后不久撰写的白皮书 突出了令人难以置信的成本方面的业务 文件和证据收集，以支持 法律的要求，但同样的白皮书 注意到在治理、结构方面的好处 改进问责制. 一篇发表在 《澳门赌场官方下载》 一些高管注意到 欢迎这些要求，因为:

他们考虑的不仅仅是保护 利益相关者和保护他们的公司免受 诉讼，而是开发更好的信息 关于公司运营的避免 做出错误的决定.⁸

十年后的2012年，关于如何有效的辩论 袜法案仍在继续，众说纷纭 理由是数据收集的成本过高 保养，而别人意见和白 文件预告了控制框架 公司的关键结构包括在他们的 治理模型. 然而，大多数前10名的名单 账户丑闻表明并没有发生 袜法案生效后良好行为的分水岭:

1. 废物管理，一九九八年
2. 安然公司,2001
3. 世通,2002
4. 泰科,2002
5. 南方保健公司,2003
6. 房地美，2003年
7. 美国国际集团(AIG)、2005
8. 雷曼兄弟，2008年
9. 伯尼·麦道夫，2008年
10. 萨蒂扬,2009⁹

管制还是不管制:在哪里 我们从这里开始

尽管有关费用的争论仍在激烈进行 在袜遵从性和授权程度方面 向证交会提供的袜法案，显然是存在的 袜没有提供广泛接受的有益结果. 人们可以争辩说，欺诈行为的严重性 自2008年以来，澳门赌场官方下载的美元价值有所下降 开始采用的要求，并没有一个 疑云密布，欺诈活动无处不在 1998年到2003年间的大型组织 惊人的. 然而，并不是每个组织都做出了承诺 欺诈，还有一刀切的袜法案 需求可能过于苛刻，特别是对于 规模较小的澳门赌场官方下载. 此外，我们不再生活在早期 21^st 世纪，科技不断使声 审计实践并支持袜数据收集 以及保留要求.

袜法案的好处来源于监管的信念 有必要促进和执行良好的行为吗. 当一个人考虑到正负的时候 核心原则必须是规定的 认为袜是值得的. 作为审计人员 和风险管理专业人士，平衡 适当的需求是关键. 有人可能会 甚至建议适当的指导方针 监管或基本的内部业务治理是 审计行业的战斗口号. 以下 值得考虑的关键因素:

• 技术对记录保存的影响当 袜法案颁布后，大数据的挑战是 沉重的负担，但随着 成本合理的数据仓库功能 内部和托管提供经济 合理处理信息的方式 需求.
• 验证系统的“内联”审计工具 完整性审计变得不那么平凡了 更多的咨询，支持分析 程序可用. 而成本效益 需要仔细评估供应商 应用程序特性，分析的趋势 审计继续显示出希望，并塑造了 审计行业的未来.
• 监控的概念控制，而不是 只有预防性或检测性控制——的 监视控制作为关键组件的出现 对审计程序来说，识别和隔离的能力 潜在的欺诈行为几乎可以预测 时尚是可能的. 此外,监控 带有数据度量保留的控制可以很容易地实现 在适当的时候证实令人不安的活动 应用于过程中的关键控制点.

如果同意保留记录，则进行内联审计 工具和监控控制，尤其是自动化的 监控，减轻了很多行政负担 下一个要考虑的问题是那些 实践有助于减少滥用实践 对公众有利的程度. 对于像我这样的人 几乎都在受监管的行业工作， 很难想象一个没有监管的世界 更难判断是否存在疏忽 是必要的. 属于袜或的组织 其他类似的立法要求 列举一些关于会计的戏剧性案例 员工培训课程中的违规行为， 所提供的例子是否来自他们自己 组织或其他澳门赌场官方下载的历史. 现实生活中令人难忘的故事是 被视为重要的预防措施 预期行为的基调.

风险评估及审核 自律是取得成果的关键 受益于立法努力 比如袜.

行动比语言更响亮 (非言语事实)

入职培训和经常性培训是一个重要的环节 为员工奠基，但每天的期望 巩固澳门赌场官方下载的道德行为 员工、客户和供应商. 如果一个人认为 控制环境以防止欺诈， 然后是明确的期望，以控制和 指标让利益相关者保持警觉. 不管 澳门赌场官方下载规模甚至特定的袜适用性， 所有实施和监督a的组织 有证据支持的受控环境可以 利用共同目标的结构 以及记录适当执行的指导方针 在这些目标中. 最终，组织的规模不会 在欺诈方面很重要. 欺诈事件， 不幸的是，比人们想象的更常见的是， 可能是对一个小组织的最后一击 这比大型澳门赌场官方下载更重要.

风险评估和审计纪律是关键 从立法努力中获益，例如 袜. 正如风险评估专业人士所知，确实如此 不可能及时覆盖所有漏洞 的方式. 选择什么是最具影响力的 商业和建立控制对抗最多 关键领域可以集中精力，提高效率. 这需要全面的风险分析吗 三条不同的防线? 这些点可以是 争论的基础是操作的复杂性 在澳门赌场官方下载和监管的程度下 它是如何运作的. 即使有三道防线， 合作覆盖所有关键和高风险领域 vs. 抽样、监测和证据的重复 收集是司空见惯的事. 随着越来越多的趋势 综合审计，鉴于高度技术性 21世纪20年代的金融交易，时间和金钱 是否可以更有效地管理审计和一线 团队合作.

我们还需要袜吗? 作为我的推荐读物 清单显示，关于如何做到这一点的争论仍在继续 来管理袜需求和哪些变化 可能会使法律更有效. 20^th 周年纪念的法律，新的考虑正在进行中 关于它如何提供保护的见解 以创造法律的精神保护公众.

阅读列表

• 范宁,T.; S. Ravich; S. Spaulding; “Why a 萨班斯-奥克斯利法案需要更新来保护 我们的金融部门免受黑客攻击。” 山上, 2020年12月28日 http://thehill.com/blogs/congress-blog/technology/531781-why-a-sarbanes-oxley-update-is-needed-to-protect-our-financial
• 高烧,.; “的 Impact of the Sarbanes-Oxley Act 《澳门赌场官方下载》，2021年2月23日， http://www.investopedia.com/ask/answers/052815/what-impact-did-sarbanesoxley-act-have-corporate-governance-united-states.asp
• 瓦格纳,年代.; L. Dittmar; “的 Unexpected Benefits 《澳门赌场官方下载》 《澳门赌场官方下载》4月 2006, http://hbr.org/With the 2006/04/the-unexpected-benefits-of-sarbanes-oxley
• Mahoney J.; “Don’t Forget the Good That 袜 Has 完成”, 《澳门赌场官方软件》2018年2月28日 http://www.wsj.com/articles/dont-forget-the-good-that-sox-has-done-1519423423
• 位,K.; D. Aubin; “Analysis: A Decade on, Is 萨班斯-奥克斯利法案的工作?路透社，2012年7月30日 http://www.reuters.com/article/us-financial-sarbox/analysis-a-decade-on-is-sarbanes-oxley-working-idUSBRE86Q1BYWith the 201With the 20729
• 克拉克,C.; “Could 袜 Be Better?:探索 《澳门赌场官方下载》的利与弊 田纳西大学查塔努加分校， 2021年5月，美国田纳西州 http://scholar.utc.edu/honors-theses/294
• Curwen L.; “的 Collapse of Enron and the Dark 《澳门赌场官方下载》，BBC新闻，2021年8月3日， http://www.bbc.com/news/business-58026162
• 107^th 美国国会. R. 3763年萨班斯-奥克斯利法案 2002年7月30日美国2002年法案 http://www.congress.gov/bill/107th-congress/house-bill/3763/text

尾注

¹ 美国司法部，当前和最近的案件，民事，司法部， http://www.justice.gov/civil/current-and-recent-cases
² 同前.
³ 澳门赌场官方下载金融协会(CFI)，“十大会计丑闻”， http://corporatefinanceinstitute.com/resources/knowledge/other/top-accounting-scandals/
⁴ 希利,P. M.; K. G. Palepu; “的 Fall of Enron,”经济展望杂志，第17卷，no. 2, 2003年春季，p. 3–26, http://www.aeaweb.org/articles?id=10.1257/089533003765888403
⁵ 经济时报《澳门赌场官方下载》; http://economictimes.indiatimes.com/definition/mark-to-market
⁶ 伦理组织文化研究中心， 世通的破产危机哈伯特学院 美国阿拉巴马州奥本大学商学院 2019年6月19日，  http://harbert.auburn.edu/binaries/documents/center-for-ethical-organizational-cultures/cases/worldcom.pdf
⁷ 107^th 美国国会，P. L. 107 - 204,2002年7月30日 116第745条，2002年美国萨班斯-奥克斯利法案， http://www.congress.gov/bill/107th-congress/house-bill/3763/text
⁸ 瓦格纳,年代.; L. Dittmar; “的 Unexpected Benefits 萨班斯-奥克斯利法案。” 《澳门赌场官方下载》4月 2006,  http://hbr.org/With the 2006/04/the-unexpected-benefits-of-sarbanes-oxley
⁹ Op cit 公司财务学会

Cindy Baxter, CISA, ITIL基金会

是什么 's the Risk有限责任公司的董事. 她的业务重点是综合风险 网络安全、隐私和业务的控制和流程评估 连续性/灾难恢复. 她认为风险管理和控制 评估是一个了解客户业务细节的机会 并帮助他们减少担忧，因为差距已经被发现 可以建立更强大的运营模式. 巴克斯特借鉴了她的经验 在银行、保险、医疗保健和科技领域持有合规性后 在道富公司和美国国际担任管理职务 集团(AIG)，约翰逊 & 约翰逊和AT&T. 当她不冒险的时候 她从事审计工作，喜欢在气候和环境问题上做志愿者 影响她的澳门赌场官方下载.