在SOX法案下 CIO该怎样发掘公司利益-爱ERP网

在SOX法案下 CIO该怎样发掘公司利益

作者：佚名文章来源：本站原创点击数：更新时间：2008-6-29

上一篇文章：萨班斯法案(SOX法案)

因为控制点后的控制系统必须建立并阐述清楚。有时候，在他看起来这就是，如果审计人员划定规则，他们遵照执行就是了。因此，他感到自己只有时间来做出反应，当反对审计人员针对审计出的缺陷提出的长期解决方案的时候，他也只有集中考虑通过审计。他估计，从普华永道的顾问在秋末完成他们关于他对公司的控制情况的第一份评论，到毕马威在二月中旬完成审计，他的足足花了一半的时间在审计上。

　　“审计人员一直在提出问题，”Schmidt说，“这是在耗费时间，有很多东西我以前都没有经历过。”

　　陷入不满的冬季　　

　　Schmidt的经历是典型的。随着公司的财年在11月30与12月31之间逐渐结束，CIO花去2004年的后几个月和2005年的前几个月，从限定特定系统的特定部分用户通道的控制器（这是按照Eaton公司的CIO兼副总裁Robert Sell的说法，该公司是一个价值98亿美元的工业制造公司），到为吸烟探测器拍数字照片的后台服务器储藏室，一一检查，并把本次出击的结果纪录送到审计人员手中。

　　几乎在每一个案例中，CIO的控制操作都是手工的。Forrester Research评估结果显示，2004年，只有不到1000家全国性的公司购买了Sarbanes-Oxley软件，而很大一部分公司都还没有开展这项工作。他们没有时间来做这事情。从自己应对Sarbanes-Oxley的经验中反映出的问题，Ann Harten，这位供职于价值23亿美元的再安装服务公司Sirva的高级副总裁兼CIO认为，“我们必须找到一个减轻这种痛苦的办法。”

　　阅读《SOX法案“剧本”》　　

　　从在线上可读到的《SOX法案“剧本”》（Sox compliance playbook）中学习CIO应当如何把握遵从SOX法案的做法吧。本文整理: 爱ERP网 http://www.loveerp.com/

　　但是，直到CIO找出这第二个SOX法案的IT审计与第一个的不同点之前，很容易出现花更多时间、费更多金钱并导致更多痛苦的情况。在接近审计的最终期限时，很多CIO在他们的确需要的地方加强控制。这将导致很多没有必要的工作，这些工作可能确实在这一年里加倍地进行，用以证明这些没有必要的控制在一直进行。因此，年末，CIO必须任命某人去检查当年的申请审计的日志，以通过审计，他们
　不去集中关注关键控制点，而先做其他的做法可能在财务上有很明显的影响——比如谁有权获得什么信息，谁能够对系统和应用程序做出变动——CIO花很多时间来建立针对IT的一般的控制点，有些事情应该，但另一些事情没有必要遵从SOX来做。但是内部审计人员和顾问——这些致力于使公司避免麻烦的人——鼓励CIO在适当的地方设置控制点。他们认为，安全总比遗憾好些。

　　“看起来，审计人员没有兴趣减少他们想尽量拥有的范围，”Tyler说，“一个审计人员问我的e-mail系统，我就想，这到底和财务报表有什么关系？”然而，和Tyler不一样，大多数CIO没有审计背景，所以他们没有拒绝这类问题。

　　复杂的问题在于，外部审计人员，他们中的大多数都遵从一份PCAOB关于审计方针的严格说明，它断定如果审计人员告诉它的客户需要建立哪些控制点，不需要建立哪些才能通过审计，将危及审计人员的独立性和合法性（在2005年5月，PCAOB主席William McDonough承认了这点并且说PCAOB并不是为了避免审计人员告诉顾客，让他们不要做太多不必要的东西）。为了安全起见，Computer Network Technology公司（价值3.66亿美元的硬件制造商）的CIO，Barbara Schmit，去年在适当的地方建立了185个IT控制点。“我知道这太多了”她说，“但我的审计人员没有告诉我那一个才是重要的，我只有自己猜。”

　　底线就是CIO翻船，Erickson说。

　　在五月份，PCAOB发表了一份正式的建议声明，命令审计人员和客户一起决定哪些控制点是不必要的。

　　迟来总比不来好。

　　针对（法案实施）第二年的两个做法

　　1、有关系的控制点与没有关系的控制点之间的区别。

　　今年，CIO必须使得SOX要求的控制点成为他们的日常操作中的一部分。这将要求一个结合体的出现，它包括某些程序自动化、监测行为电子化，并且要强化手动部分。但是，在开始自动化项目或者工作培训之前，CIO需要肯定他们将要踏出的一步是真正必要的。按照Erickson的说法，那意味着检查他们去年设置的控制点并问问自己，某个特定的控制点的错误有多大可能产生一个公司财务状况的错误陈述。如果答案涉及到世界上最老练的黑客，或者是某颗小行星砸中了公司的总部，这就没有必要告知你的审计人员了，Erickson如是说。（参看本文前面的，“最大的5个IT控制缺陷”）

　　Tyler，这位前审计人员，说，“CIO需要懂得404法案的要求，并知道它并没有要求所有的一般电脑控制点都需要被包括在内。”
　“我们有很多有争议的讨论，但是我们尽量排除很多不必要的控制点，”他说。比如，Tyler的审计师希望在审计中包括公司局域网的用户安全问题，但是Tyler坚持认为应用程序的安全问题是相关的，而局域网的安全问题是无关的。“我们有一个单一环境下的ERP系统，它是建立在网络基础上的，”Tyler说道。换句话说，世

上一页 [1] [2] [3] 下一页