变化管理是SOX成功关键

申请免费试用、咨询电话：400-8352-114

SOX法规遵从的重点应放在那些可能引起最大风险的核心控制项目上，IT团队则应据此而实施对变化的管理。

在细读《适用于萨班斯法案的IT控制对象（第二版）》草案时，我在有关法规遵从和IT治理的章节中发现了一些意味深长的说明：“并不存在能够免除风险的环境，而对萨班斯法案（SOX）的遵从也不会创造出这样一种环境……适用于计划管理和生命周期控制对象的好的IT治理将会导致更精确和更准时的财务报告。”这样的思路是在让今天的IT审计者们将重点放在那些可能引起最大风险的核心控制项目上，而不是放在一些无关紧要的项目上。

这一策略对于管理来说会有一个重大影响，那就是能够通过检查各种关键性控制而充分地削减SOX的审计成本和软件成本，减少IT团队花费在为审计者提供大量法规遵从所需资料上的时间成本。更重要的是，我们会看到有更多的熟知企业内部SOX控制的团队出现，他们会将对外的账户接口做得更友好。

这么做在什么情况下可以节省企业的资金呢？只有在这些外包的或者内部的审计团队能够充分了解IT控制对象的内容后才有可能。企业必须解决精确控制和坚持目标的问题。如果不能坚守每一项控制行为所描述的内容，任何团队都会迷失方向。随着时间的推移，一项内容的描述需要重新审视，人们需要认识事情是怎么发生的，浪费了多少时间，项目为何拖延了等等。

对变化的管理还会引发一个更为困难的挑战，因为众多的企业尚没有建立满足SOX要求的正规的策略或者适当的程序。当被问到如何管理变化时，大多数IT团队都会说：“我们知道需要做什么，每个人都要像在一个团队里那样工作。”我从多数IT团队还得到了一个问的最多的问题：“何时我才能够用一个IT变化请求来替代非常详细的变化管理策略呢？”一个适当的回答是，在常规维护期间，可以使用用于标准IT维护的一个IT变化请求。而一般的变化请求则不会对企业的财务结果产生什么重大影响。

变化管理策略要用于能够对企业财务起主要作用的项目上。在此策略中，业务流程的控制人应能够描述拟好的行为计划、计划的效果、所能提供的好处、需要的资源，以及完成计划的时间框架（应包括补救措施）、客户认可计划和其他特殊事项。该策略要发送给所有相关单位，而且更详细的执行计划还应让所有人都认同。如果一个项目对于财务有重要影响、而且需要多个团队协同保障其成功实施的话，该项目的风险就是高的。变化管理策略必须跟得上，IT审计者们也应该检查企业是否坚持执行了各项书面程序的规定。(cnw-ccw)