变化管理是SOX成功关键
SOX法规遵从的重点应放在那些可能引起最大风险的核心控制项目上,IT团队则应据此而实施对变化的管理。
在细读《适用于萨班斯法案的IT控制对象(第二版)》草案时,我在有关法规遵从和IT治理的章节中发现了一些意味深长的说明:“并不存在能够免除风险的环境,而对萨班斯法案(SOX)的遵从也不会创造出这样一种环境……适用于计划管理和生命周期控制对象的好的IT治理将会导致更精确和更准时的财务报告。”这样的思路是在让今天的IT审计者们将重点放在那些可能引起最大风险的核心控制项目上,而不是放在一些无关紧要的项目上。
这一策略对于管理来说会有一个重大影响,那就是能够通过检查各种关键性控制而充分地削减SOX的审计成本和软件成本,减少IT团队花费在为审计者提供大量法规遵从所需资料上的时间成本。更重要的是,我们会看到有更多的熟知企业内部SOX控制的团队出现,他们会将对外的账户接口做得更友好。
这么做在什么情况下可以节省企业的资金呢?只有在这些外包的或者内部的审计团队能够充分了解IT控制对象的内容后才有可能。企业必须解决精确控制和坚持目标的问题。如果不能坚守每一项控制行为所描述的内容,任何团队都会迷失方向。随着时间的推移,一项内容的描述需要重新审视,人们需要认识事情是怎么发生的,浪费了多少时间,项目为何拖延了等等。
对变化的管理还会引发一个更为困难的挑战,因为众多的企业尚没有建立满足SOX要求的正规的策略或者适当的程序。当被问到如何管理变化时,大多数IT团队都会说:“我们知道需要做什么,每个人都要像在一个团队里那样工作。”我从多数IT团队还得到了一个问的最多的问题:“何时我才能够用一个IT变化请求来替代非常详细的变化管理策略呢?”一个适当的回答是,在常规维护期间,可以使用用于标准IT维护的一个IT变化请求。而一般的变化请求则不会对企业的财务结果产生什么重大影响。
变化管理策略要用于能够对企业财务起主要作用的项目上。在此策略中,业务流程的控制人应能够描述拟好的行为计划、计划的效果、所能提供的好处、需要的资源,以及完成计划的时间框架(应包括补救措施)、客户认可计划和其他特殊事项。该策略要发送给所有相关单位,而且更详细的执行计划还应让所有人都认同。如果一个项目对于财务有重要影响、而且需要多个团队协同保障其成功实施的话,该项目的风险就是高的。变化管理策略必须跟得上,IT审计者们也应该检查企业是否坚持执行了各项书面程序的规定。(cnw-ccw)
- 1BI前端工具选型释疑
- 2E-learning架构构想
- 3如何在企业内部进行权限的配发和管理?
- 46款反垃圾邮件产品横向比较测试
- 5OA软件减少管理者的系统操作复杂度和时间
- 6我们介绍一下现阶段晶澳太阳能的信息化建设情况
- 7数据交换结构保持信息一致
- 8企业警惕垃圾邮件危机
- 9信息化让雅芳更美丽
- 10CIO怎样缩小目标与结果之间的差距
- 11—元数据管理技术及应用现状
- 12用企业网络规划提升工作效率
- 13自助服务也能提高ROI
- 14安全风险管理概述
- 15用组策略来部署软件
- 16搜索市场锁定中小企业客户
- 17移动名片”如何“动”
- 18IT应用的文化力
- 19企业实施供应链同步化之路
- 20集团企业eHR的四个误区
- 21中小型企业网络安全现状剖析
- 22当心被高估的技术
- 23怎么来为软件定价
- 24“竞业禁止”法规遵从进行时
- 25组织--环境适应性战略
- 26不同类型的BPM软件与客户需求
- 27多品种小批量模式下的MRP计算逻辑探讨
- 28企业电子用户的工作环境
- 29数据仓库应用行业有别
- 30软件项目质量问题出在哪里