对于在美国公共运营公司里的IT组织,SOX审计是一个不争的事实。期待这些公司直接和长期准备一个法规审计。

所有的数据中心都得益于日志收集和监控 - 它们简化故障诊断和性能优化。但是，在美国的公共机构，要求这些日志和组织标准通过审核-否则面临法律后果。

在美国，萨班斯-奥克斯利法案(SOX) 可以防止企业错误或恶意操纵财务数据。所有上市公司必须遵守, 证明可论证的的内部控制，网络日志,数据库,登录和账户的合法执业，每季度财务的用户活动。IT团队还必须显示他们如何控制信息访问。

SOX合规性要求十分复杂和具体。如果你有一个即将到来的年度萨班斯-奥克斯利法案审计,那么请你 重温你的岗位职责,做这八个步骤的准备工作。

1. 有方法努力精简最大的SOX障碍工作： SOX404。例如，仅测试内部控制，如果他们失败了，可能导致一个重大的可罚的财务数据误述。从长远来看，通过过滤掉这个控件子集，你可以节省时间和精力。建立一个进程，程序和组织相关活动的流程图，让您知道在何处放置控件来避免错误。其他关键领域的工作包括通信，对SOX必要条件的培训，以及内部控制的要素和教育。

2. 回顾你的数据治理和安全协议。企业内的正在进行的与大数据相关的项目，大量的各类数据进入数据库，与业务部门之间的沟通引入了新的复杂性合规。

3. 大多数SOX控制的IT组织使用COBIT，ITIL或其它管理方法，以确保一致的做法。回顾你是否建立了文档策略，大数据的内容管理工作和新的企业理念，并使用了自动记录管理和归档工具。

4. 所有这些内部SOX审计筹备是一个通过合规管理的最佳实践，更容易保护的新的IT方案，如虚拟桌面或云。

5. 不要忘了软件即服务（SaaS）。敏感数据经常存在于这些第三方SaaS应用程序之外，审计师正在修改出现的违规数据。如果您的组织依赖于SaaS供应商，请确认他们遵守SOX-符合SAS 70报告的数据。

6. 正确的审计师使整个过程更顺利的运行。在您的特定行业中选择一个有经验的公司。挑选那些更大名气的公司，除非有令人信服的理由 - 像在一家小公司内做一个引人注目的审计专家，或者一起去另一家公司。审计师无法为贵公司提供会计服务业务，并且不会提供有关纠正措施的深入支持。在公司评估，与审计师商量，而不是销售人员和高级职员。知道谁是实际执行的审计工作。

7.审计询问和审计师的方法都没有问题。它会帮助你的IT组织做准备 -甚至运行萨班斯-奥克斯利法案内部审计,避免常见的错误。

8. 大多数IT组织里，合规，管理和安全都在同一个地方出故障。这是个好消息。因为您可以在审计过程开始之前识别和修复问题领域的。

毫不奇怪,自动化工具胜过手动维护审计跟踪。即使没有专门的软件,但是,你可以严训纪律和勤勉最重要的问题:访问权限变更,特权分离和供应商管理。