變化管理是SOX成功關(guān)鍵

申請免費(fèi)試用、咨詢電話：400-8352-114

SOX法規(guī)遵從的重點(diǎn)應(yīng)放在那些可能引起最大風(fēng)險(xiǎn)的核心控制項(xiàng)目上，IT團(tuán)隊(duì)則應(yīng)據(jù)此而實(shí)施對變化的管理。

在細(xì)讀《適用于薩班斯法案的IT控制對象（第二版）》草案時，我在有關(guān)法規(guī)遵從和IT治理的章節(jié)中發(fā)現(xiàn)了一些意味深長的說明：“并不存在能夠免除風(fēng)險(xiǎn)的環(huán)境，而對薩班斯法案（SOX）的遵從也不會創(chuàng)造出這樣一種環(huán)境……適用于計(jì)劃管理和生命周期控制對象的好的IT治理將會導(dǎo)致更精確和更準(zhǔn)時的財(cái)務(wù)報(bào)告。”這樣的思路是在讓今天的IT審計(jì)者們將重點(diǎn)放在那些可能引起最大風(fēng)險(xiǎn)的核心控制項(xiàng)目上，而不是放在一些無關(guān)緊要的項(xiàng)目上。

這一策略對于管理來說會有一個重大影響，那就是能夠通過檢查各種關(guān)鍵性控制而充分地削減SOX的審計(jì)成本和軟件成本，減少IT團(tuán)隊(duì)花費(fèi)在為審計(jì)者提供大量法規(guī)遵從所需資料上的時間成本。更重要的是，我們會看到有更多的熟知企業(yè)內(nèi)部SOX控制的團(tuán)隊(duì)出現(xiàn)，他們會將對外的賬戶接口做得更友好。

這么做在什么情況下可以節(jié)省企業(yè)的資金呢？只有在這些外包的或者內(nèi)部的審計(jì)團(tuán)隊(duì)能夠充分了解IT控制對象的內(nèi)容后才有可能。企業(yè)必須解決精確控制和堅(jiān)持目標(biāo)的問題。如果不能堅(jiān)守每一項(xiàng)控制行為所描述的內(nèi)容，任何團(tuán)隊(duì)都會迷失方向。隨著時間的推移，一項(xiàng)內(nèi)容的描述需要重新審視，人們需要認(rèn)識事情是怎么發(fā)生的，浪費(fèi)了多少時間，項(xiàng)目為何拖延了等等。

對變化的管理還會引發(fā)一個更為困難的挑戰(zhàn)，因?yàn)楸姸嗟钠髽I(yè)尚沒有建立滿足SOX要求的正規(guī)的策略或者適當(dāng)?shù)某绦?。?dāng)被問到如何管理變化時，大多數(shù)IT團(tuán)隊(duì)都會說：“我們知道需要做什么，每個人都要像在一個團(tuán)隊(duì)里那樣工作?！蔽覐亩鄶?shù)IT團(tuán)隊(duì)還得到了一個問的最多的問題：“何時我才能夠用一個IT變化請求來替代非常詳細(xì)的變化管理策略呢？”一個適當(dāng)?shù)幕卮鹗?，在常?guī)維護(hù)期間，可以使用用于標(biāo)準(zhǔn)IT維護(hù)的一個IT變化請求。而一般的變化請求則不會對企業(yè)的財(cái)務(wù)結(jié)果產(chǎn)生什么重大影響。

變化管理策略要用于能夠?qū)ζ髽I(yè)財(cái)務(wù)起主要作用的項(xiàng)目上。在此策略中，業(yè)務(wù)流程的控制人應(yīng)能夠描述擬好的行為計(jì)劃、計(jì)劃的效果、所能提供的好處、需要的資源，以及完成計(jì)劃的時間框架（應(yīng)包括補(bǔ)救措施）、客戶認(rèn)可計(jì)劃和其他特殊事項(xiàng)。該策略要發(fā)送給所有相關(guān)單位，而且更詳細(xì)的執(zhí)行計(jì)劃還應(yīng)讓所有人都認(rèn)同。如果一個項(xiàng)目對于財(cái)務(wù)有重要影響、而且需要多個團(tuán)隊(duì)協(xié)同保障其成功實(shí)施的話，該項(xiàng)目的風(fēng)險(xiǎn)就是高的。變化管理策略必須跟得上，IT審計(jì)者們也應(yīng)該檢查企業(yè)是否堅(jiān)持執(zhí)行了各項(xiàng)書面程序的規(guī)定。(cnw-ccw)