變化管理是SOX成功關(guān)鍵

申請免費試用、咨詢電話：400-8352-114

SOX法規(guī)遵從的重點應(yīng)放在那些可能引起最大風險的核心控制項目上，IT團隊則應(yīng)據(jù)此而實施對變化的管理。

在細讀《適用于薩班斯法案的IT控制對象（第二版）》草案時，我在有關(guān)法規(guī)遵從和IT治理的章節(jié)中發(fā)現(xiàn)了一些意味深長的說明：“并不存在能夠免除風險的環(huán)境，而對薩班斯法案（SOX）的遵從也不會創(chuàng)造出這樣一種環(huán)境……適用于計劃管理和生命周期控制對象的好的IT治理將會導致更精確和更準時的財務(wù)報告?！边@樣的思路是在讓今天的IT審計者們將重點放在那些可能引起最大風險的核心控制項目上，而不是放在一些無關(guān)緊要的項目上。

這一策略對于管理來說會有一個重大影響，那就是能夠通過檢查各種關(guān)鍵性控制而充分地削減SOX的審計成本和軟件成本，減少IT團隊花費在為審計者提供大量法規(guī)遵從所需資料上的時間成本。更重要的是，我們會看到有更多的熟知企業(yè)內(nèi)部SOX控制的團隊出現(xiàn)，他們會將對外的賬戶接口做得更友好。

這么做在什么情況下可以節(jié)省企業(yè)的資金呢？只有在這些外包的或者內(nèi)部的審計團隊能夠充分了解IT控制對象的內(nèi)容后才有可能。企業(yè)必須解決精確控制和堅持目標的問題。如果不能堅守每一項控制行為所描述的內(nèi)容，任何團隊都會迷失方向。隨著時間的推移，一項內(nèi)容的描述需要重新審視，人們需要認識事情是怎么發(fā)生的，浪費了多少時間，項目為何拖延了等等。

對變化的管理還會引發(fā)一個更為困難的挑戰(zhàn)，因為眾多的企業(yè)尚沒有建立滿足SOX要求的正規(guī)的策略或者適當?shù)某绦颉．敱粏柕饺绾喂芾碜兓瘯r，大多數(shù)IT團隊都會說：“我們知道需要做什么，每個人都要像在一個團隊里那樣工作?！蔽覐亩鄶?shù)IT團隊還得到了一個問的最多的問題：“何時我才能夠用一個IT變化請求來替代非常詳細的變化管理策略呢？”一個適當?shù)幕卮鹗?，在常?guī)維護期間，可以使用用于標準IT維護的一個IT變化請求。而一般的變化請求則不會對企業(yè)的財務(wù)結(jié)果產(chǎn)生什么重大影響。

變化管理策略要用于能夠?qū)ζ髽I(yè)財務(wù)起主要作用的項目上。在此策略中，業(yè)務(wù)流程的控制人應(yīng)能夠描述擬好的行為計劃、計劃的效果、所能提供的好處、需要的資源，以及完成計劃的時間框架（應(yīng)包括補救措施）、客戶認可計劃和其他特殊事項。該策略要發(fā)送給所有相關(guān)單位，而且更詳細的執(zhí)行計劃還應(yīng)讓所有人都認同。如果一個項目對于財務(wù)有重要影響、而且需要多個團隊協(xié)同保障其成功實施的話，該項目的風險就是高的。變化管理策略必須跟得上，IT審計者們也應(yīng)該檢查企業(yè)是否堅持執(zhí)行了各項書面程序的規(guī)定。(cnw-ccw)