根据CNET新闻网报道:尽管萨班斯法案的制定是对安然、世通等公司违丑闻的反应,但该法案要求公司在其网络上存储大量复杂数据的规定在分析家看来可能为舞弊创造了更大的机会。
赛仕软件研究所(SAS Institute)舞弊解决方案的负责人Peter Dorrington说,许多公司虽然存储了大量的数据,但几乎没有考虑过存储的是什么内容,所以存储的数据多则多矣,但对数据的解释却寥寥无几,这种情形可能使偶然发生的舞弊和数据异常很难被发现。
“舞弊者们靠‘把一棵树隐藏在一片森林的方式’来隐藏一笔交易”,Dorrington说,“公司按照萨班斯法案的要求存储海量数据只不过增加了‘森林’的规模和密度。存储的数据越多,就越容易隐藏某些特定数据,很少有人考虑过公司是否应该弄清楚这些数据里到底有什么。”
Dorrington说,很多公司觉得只要把所有的东西都保留下来就高枕无忧了,认为这就是能够确保“保留了应该保留的东西”的最简便的方法。
RedMonk的分析家James Governor说:“如果一个公司只是简单地把所有的东西都保留下来,这完全是在给自己制造进一步的麻烦,这只是在逃避责任,而不是在遵守规定且理解它们应该存储什么。”
他还表示,简单地保留一切数据也许还违反了公司政策中关于某些数据只能保留6或9个月的规定。但是,如果公司不折不扣地遵守这些规定,就会与萨班斯法案中的保留规定发生冲突,造成一个“全输”的局面。
“所以,大量的公司规定将会被打破以避免这种冲突的局面”,他说。
即使舞弊案被曝光,但公司想在大量面面俱到但却冗余无用的数据中找出想要的东西近乎一项“不可能的任务”。
Governor说:“如果我们把侦查舞弊比作大海捞针,那么现在很多公司做的事情就像往海里添水,这是一个很严重的问题。我们不要只顾花大把的钱来存储数据,多花些钱来研究公司到底需要存储什么才是有意义的事情。”
冠群国际有限公司(Computer Associates International)的安全战略和合规性专家Shaun Fothergill认为,尽管存在各种问题,但如果实施有效的话,萨班斯法案将改善公司的事务。但他也警告说遵从法案可能会引发更多的舞弊案件。
他说:“法律和规范正迫使IT业务正确经营,所以各种组织将开始比以前更多地进行评估和监控。
这可能会给人一种“舞弊正变得越来越多”的印象,但事实上各种组织只是在监控他们理应一开始就监控的东西。随着违规行为和舞弊问题得以纠正,问题“指示灯”将由红变黄,然后变绿。这些新的指示信号开始可能会让人发现更大的不足之处,但其实事情正变得越来越好。”
这种观念上的混淆可能是本周将总部设在欧洲的公司适用萨班斯法案的最后期限又推迟了一年的原因之一。饱受争议的法案404节(其中对存储数据作出了规定)原本应在今年7月15日生效。
然而,商业联盟伙伴公司Business Engine的首席运营官(COO)Mark Strauch警告说:“英国的公司绝不应该把404节法案生效的推迟看作是对合规性计划的推迟或放弃执行的理由。公司应该把按照404节的规定,长期内可靠地提高透明度的潜力视作在其它方面产生利润的机会,比如能够及早看清问题所在之处,从而更有效地对其进行处理来降低风险。”
