对于你们中的尚未有幸被审计遵守Sarbanes-Oxley Act(萨班斯法案，SOX)的人来说，这个经历就像去看牙医一样的令人愉快。但是它不需要那么痛苦。就像看牙医时，一个积极主动的维护和准备可以使这个经历减少许多压力。如果忽视你的牙齿，你将最终付出代价(除非你喜欢钻在骨头里的声音)。

　　这篇文章突出了你现在可以采用的五个步骤来使准备SOX审计的经历变得不那么令人生畏。

　　什么是Sarbanes-Oxley(萨班斯)?

　　在你准备审计之前，你应该了解你正在为什么做准备。在1990年代股市蓬勃发展期间令人置疑的会计事件被批露出来，不久之后在2002年Sarbanes-Oxley Act(萨班斯法案)第一次成为了法律——尽管大多数人因为强制遵从性检查而把2004年记作了第一年。SOX的目的很简单：通过规范财务报告的操作保护公众免受欺骗性的和误导的会计操作。

　　然而事实上把SOX应用于实践并不是这么简单的。事实上，许多公司仍然不清楚怎样成为符合的或怎样准备审计。遵从性检查因此成为了一个数十亿美元的行业，而遵从性检查的费用对于各种规模的公众公司来说都是一个巨大的负担。

　　SOX和DBA

　　这时你可能会想，“我在IT行业——让会计师和CFO去处理SOX遵从性检查。”这个态度必然会给你带来严重的麻烦!乍一看SOX可能看起来是一个会计关注的事情，但是它毫无疑问的——IT很明确的处于这个问题的核心。想一想。大多数会计职能极大的依赖计算机上运行的应用程序。将这与财务数据存储在计算机上这个事实结合起来，则DBA尤其会觉得自己为遵从性检查而受到严密监视和详细的审查。

　　法案的302条和404条是与IT管理最具关联的。简单地说，这些条文要求所有公司的人员保证他们的财务报告的正确性。这反过来又要求所有的用来产生这些报告的公司数据遵守正规的审计过程以确保不受到不正确或非法的修改。因为财务报告依赖于使用公司的IT系统，这些系统的安全性和完整性就是非常重要的了。安全和变更管理是，并且将来继续是数据库支持的最细微的方面，这看起来很合理。毕竟，数据库是公司最宝贵的信息的主要仓库。

　　我应该关心什么?

　　如果你为一个上市的贸易公司工作，或曾经计划为一个上市贸易公司工作，那么机会不错，你将来某天将面对SOX审计。如果你为一个私人公司工作，还不能太放松。许多私人公司也采用、甚至信奉SOX(或其它)遵从性检查。你根本无法避免。作为一个DBA，你总有一天会负责一个存储敏感数据的数据库，无论它是SOX管制的财务数据(发薪、总帐、应付帐款、应收帐款)，医疗数据(现在由HIPAA管制)或只是由隐私法管制的个人信息。

　　让别人担心它?我不认为。萨班斯旨在规范用于企业信息的内部控制。确保用来生成报告的数据是准确的并且不能通过任何方法来操纵是CEO的法定义务。它从CEO开始，从那里只向下进行。反过来CEO将依赖CIO以确保IT过程和控制是符合遵从性检查的，而CIO将反过来依赖IT经理，IT经理将最终依赖作为DBA的你，来确保数据处于控制之下并且是安全的。

　　审计的类型

　　你有必要先了解内部审计和外部审计的区别。在本质上，一个内部审计是用来为公司的外部审计做准备的。不管你是否相信，我发现大多数的内部审计往往比它们相应的外部审计时间更长、更详细和更彻底。外部审计员倾向于个性化他们的SOX诠释，每个审计员会侧重于IT遵从性检查的不同方面。因此，我的理论是内部审计员需要对每一个他们可能(或可能不会)遇到的外部审计员的诠释为公司做准备。

　　如果你家公司足够幸运，外部审计员甚至可能使用内部审计的一些调查结果，如果他们相信这是正确的。

　　1. 准备审计

　　我曾在500强公司做DBA和/或管理角色，并作为一个远程DBA提供商服务了很多各种规模的上市公司，我曾亲身参与了一些审计，没有两个是一样的。审计经历和你需要为它提供什么是真的取决于每个审计员，他们的方法和他们怎样将法案本身结合为最好的操作和过程。

　　所以，DBA需要做什么?我可以概括为一个词：准备!你可能不知道，但是通过阅读这篇文章你已经迈出了第一步，这就是要研究和了解SOX对于IT的重要性和关联。

　　这是你现在就可以采取的其余四个步骤。

　　2. 文档，文档，文档！

　　既然大多数的DBA(和一般的大多数IT人士)讨厌记录任何事，这可能是你想最后听到的事情。现在注意我的警告，每一个审计都将从文档开始。你将会被要求提供记录所有东西的文档，从用户和密码，到访问数据的应用列表，到什么被监管，到用于管理和保护数据库的处理和过程。想一想你在一个财务数据库上做的任何事，而你将很可能被要求解释和提供关于它的文档。

　　不要拖延！今天开始记录每一件事！

　　一个好的着手点是安全。记录你的安全策略和过程、应用访问类型、私有帐户(和为什么需要它们)、密码策略等等。编写脚本来查询和报告数据库用户、角色和权限。不要忘了记录用于运行和检查它们的过程。

　　在安全之后，关注记录变更管理策略。你有记载的变更管理策略吗?如果没有，现在可能是个很好的时间来写一个!你的策略记录了数据变化和结构变化了吗?谁批准变更?谁校验变更?在哪跟踪它们?它们被复查了吗?被谁?

　　你可能想考虑准备文档用于的更多问题包括：

　　你是否有归档策略?它被记录了吗?

　　你是否有一个恢复策略?它被记录了吗?

　　你是否监管侵害和/或违反安全规定?它被记录了吗?

　　我可以继续下去，但是希望你明白了。

　　3. 研究、学习和将最好的实践框架付诸实践

　　你一定要有一个适当的最优方法框架以通过一个SOX审计。框架如COBIT(信息技术的控制目标)和ITIL(信息技术基础资料库)是非常好的起始点。如果你的公司还没有执行这些，那真是浪费时间。不要偷懒，要主动积极。不要等其他的IT部门采用或要求这些框架。成为一个领导者，亲自去研究他们，学习什么对于你的角色是最有用的，并且如果不是整个公司，那至少推荐在数据库组执行这些最优方法。

　　首先集中你的力量于变更管理策略、发布策略、事件和问题管理。

　　4. 准备好来证明它！

　　这是探究一个审计员的工作。审计是一个真正的调查，完成上百个要你回答的问题。但是回答是不够的——你必须有确凿证据支持你所说的话。你可以把这刻在石头上：一个审计员决不会相信你的话。你必须为你所有的答案提供证据，特别是那些与安全和变更控制相关的答案。

　　这有一些你可以预期会被问的样本问题：

　　你知道谁访问了这个数据吗?你怎么知道的?证明它！

　　你知道这个数据什么时候被修改了吗?你怎么知道的?证明它！

　　你执行了数据库级别的审计吗?你怎么复查?证明它！

　　你有什么适当的监控器?它们多久被检查一次?证明它！

　　你是否确信这个数据变更是合法的?你怎么知道的?证明它！

　　你定期应用安全补丁吗?证明它！

　　你确信这个数据是安全的?你怎么知道的?证明它！

　　你的数据是可恢复的吗?你怎么知道的?证明它！

　　你有异地灾难恢复策略吗?你最后一次测试它是什么时候?证明它！

　　正如你通过这列问话可以看到的，你有必要对你给出的每一个回答具有充足的证据。所以不要等被问的问题——现在通过收集你的证据开始准备。如果把过程调整适当或找工具来帮你自动进行证据收集过程那就更好了，以便你不用急着找到它或晚会儿生成它。

　　5. 对你的漏洞进行自我分析

　　如果你已经通过了一个审计，并获得了报告，这一步对你来说就很容易了，因为你很可能在下一次审计前获得一个要解决的各项的细目清单。如果你还没有经过审计，你仍可能发现许多漏洞，如果你按照这篇文章里所描述的前面四步做了。分析每一个漏洞，记录它并作个计划来解决它。将这个分析给你的老板并获得他的资助来支持你解决这些漏洞。最重要的事情是不要等到SOX人员来了才开始解决这些漏洞。没有什么比等着看的方法给你带来更多的麻烦或给你更大的压力。

　　你还在等什么?

　　我不会否定，SOX遵从性检查可能是痛苦万分的，而且大多数IT人员宁愿忽视它。但是别傻了。遵从性检查问题是现实的，并且他们任何时候都不会离开。不要拖延了。按照我的建议和努力于开始照这五个步骤做。了解SOX，记录每一件事，按照最优方法，准备好证明你所做的，解决你的漏洞，和最终成为你的IT公司的英雄!