CIO如何让企业成功转型
企业为适应SOX法案而实施的转型,对于CIO而言,既是一项复杂的系统工程,也是全面提升自身能力的不可多得的机遇。
SOX第二年
成立于2004年的美国CIO执行委员会是一个首席信息官的专业性组织,其目的是在重大技术问题与商业事务中让CIO们有一个共同的声音,这当中就包括诸如SOX(Sarbanes-Oxley)法案和其他法规。
重要信息的获取从来都是困难重重,如何遵从2002年颁布的SOX法案的复杂条款?许多CIO一直为类似的问题苦恼着。为了甩掉这个负担,委员会成员们在在2004年成立了一个特别小组,着手开发一种资源向导来帮助CIO们更好地查找棘手的遵从性资料。他们与Protiviti咨询公司合作开发的最终产品——CIO执行委员会制订的Sarbanes-Oxley法案,终于在2005年春季登场。不妨从该版本中摘录一些要点,从中品味未来CIO的职责与机会。
如果一个企业完成了上年的认证工作,它就应当在第二年及今后做出重要调整。在第一年中,资源被用来识别控制,以及通过测试并最终使控制系统生效。大多数企业已经在IT环境下熟悉了某些审计方式。SOX法案的审计部分要求IT部门开展大量的准备工作。在第二年及以后,风险前期管理和CIO的掌控,将促进形成有效的实现SOX遵从性的方法。
在为适应SOX法案而实施转型的过程中,大多数企业将对如何管理审计流程发生兴趣。该流程的功能包括对现实风险和长期风险的识别、对变革的认知,以及改进IT流程的持续性努力。这些都将提高CIO的能力,在降低企业与SOX法案的冲突及成本的同时,提高企业对SOX的遵从性。
风险识别
CIO具有独特的机会去识别企业流程中的风险。IT自身的特点及其对企业流程的支持、向决策者提供支持信息等功能,使得CIO对企业内部的风险有一个全面的视角。另外,在管理技术风险、渠道及有效性等方面,CIO都可以有所作为,帮助组织去理解和管理这些风险。
通过内部控制来进行风险评估和减少风险是非常重要的概念。COBIT框架是所有IT部门评估潜在风险的规范化标准。在企业内部,CIO有能力应用IT环境方面的知识,来决定控制潜在风险所需的级别。
商业风险与IT流程及控制之间的关系,已经成为CIO们实现SOX遵从性的基础。CIO应该更加明确各种风险,以更好地体现审计的必要性。然而,通过重要风险指标对新风险加以识别和控制,向CIO提供了一种提升自身价值的机制。
发现并管理变革
管理变革已经是影响SOX遵从性的关键。在IT环境下,对变革进行有效而有力的管理,包括应用软件与基础设施建设,是CIO关注的重要领域。 对于CIO而言,十分重要的是,积极洞察和掌握IT部门和IT环境的变革,对潜在变革和变革将产生的后果进行预测。一个有效且成熟的变革实施流程,将能够高效而持久地保持SOX遵从性。
预先对变革进行识别的方法之一,就是在IT部门成立一个项目管理办公室,收集来自IT领域和商业环境的关于改进、新增和废除的需求信息。在推进所有项目时,依据这些需求来实施和辨别,如何保证SOX遵从性。这将培养CIO的识别能力,即对那些企业业务部门的可能需求及变革进行预先判定。另外,把所有的控制文件和测试结果做成文档保存,将使项目管理办公室能更好地发现控制环境中的变革。
对重大新型应用系统的实施给予特别关注是非常重要的,包括应用功能的重要升级或修改工作。SOX在这些实施和升级中的作用,就是通过文件系统和测试工作,确保控制设计的应用效果,以及相关企业流程的效力。在实施SOX遵从性方案的第二个年头及将来,CIO的重要角色之一,将是确保IT部门在企业操作和企业增长中发挥作用的能力,同时还要保证与SOX的遵从性。
谈到变革管理,CIO应关注的三个重要领域包括:
测试关键的控制模块与功能模块,以保证控制功能先于实施的有效性;
在变革中和变革将要到来之前,为SOX更新文件系统;
扩大用户测试范围,以吸纳适合于测试变革带来的手工控制的测试方法。
这些应用变革和CIO保证SOX一致性的责任跟项目管理功能之间互相作用,这种相互作用将保证完成这些活动所需的预算与时间。勿庸置疑,IT必须支持并且实现企业的增长和进步,且同时保证SOX遵从性。在完成这些活动时应尽量控制费用。与此同时,作为年终审计流程的一部分,强调一致性非常重要。
作为第二年的最后一件事,CIO必须与跟SOX遵从性相关的领导活动及该组织保持联系。在第404节条款的文件与测试系统下,SOX的多个组成部分运行良好。第320条款要求公司每季度在其控制环境中就变革进行外部交流,在这项活动中,CIO对IT领域的控制与风险的开放式对话和预先关注,是SOX遵从性的重要组成部分。
