4月12日，美国审计署（GAO）向美国证券交易委员会（SEC）主席玛丽·夏佩罗（Mary Schapiro）发送了一份公函。在公函中，审计署金融管理和保障部负责人杰姆斯·达肯（James Dalkin）和信息安全部负责人格里高利·威尔森（Gregory Wilshusen）指出：SEC的内部控制和会计流程急需改善。

在对SEC 2010和2011年度财务报表的审计过程中，审计人员“发现SEC内部控制存在重大缺陷”，其中之一为信息系统安全项目。以下是针对该缺陷的简单描述。

在GAO的报告中列举了五项内控不足：

1、用户识别与认证的控制程序未得到一贯执行。
2、授权控制程序的弱点限制了控制程序自身的有效性。
3、某些敏感数据未实施加密传送。
4、某些系统没有针对系统安全事件设置审查路径。
5、系统没有执行持续地日常性修补。

GAO建议采取以下措施：

1、建立安全和监控系统的基本配置要求与操作指南
2、加强EDGAR（电子化数据收集、分析及检索系统）安全计划以满足系统安全性需求。
3、建立并执行系统弱点管理与应对策略，该策略应包括对系统弱点进行日常性检查、对扫描后结果进行评估以便采取必要纠正措施。

详细信息请参考GAO 4月13日发布的报告全文：GAO－12-42R号报告《管理报告：SEC内部控制与会计流程改善建议》。

原文地址：http://www.accountingweb.com/topic/accounting-auditing/gao-find-weaknesses-sec-information-systems-security-program

来源：中国会计视野