SOX法案实施的重要性

　　【IT168 专稿】由于企业最初实施SOX法案需要花费大量的精力和金钱，因此一些企业刚刚从“SOX 后遗症”中恢复过来。然而，企业在法案的实施过程中是否获得了有用的东西？

　　实际上，根据目前分析家的报告，只有37%的人认为SOX法案的实施对他们的公司发展没有任何帮助。

　　这并不奇怪。同时，如果IT执行者认为遵守SOX法案无法达到企业的预期目标，那么他们往往就会失去促进他们企业更快发展的一个大好时机。然而，如果他们的竞争者也认为从法案的实施中不能获得潜在的平衡优势，那么这些IT执行者就可以获得主要的竞争优势。

　　一、法案实施的生命周期

　　大部分企业的法案生命周期主要有以下三个阶段：首先，当最初执行法案时，通常会以“强制性”方法创建或调整内部手动控制来充分满足规章需求。

　　第二阶段是内部控制的自动操作。使用自动操作可以使基础设施更加有效地运作。同时，比使用非自动操作控制的设备更安全。

　　最后一个阶段就是实施可以提高企业效益的法案。

　　由此，IT管理者可以营造一个更丰富、更有效和更有竞争力的IT操作环境，而不只是单纯为了遵守法案形式。

　　因此，一个企业如何遵守法案来更有效地促进企业发展呢？第一步就是要遵守法案规则。

　　这种行为方式并没有过时，而且还会不断颁布新的法案。此外，还需具备一个在任何时候都不会被淘汰的制度。因此，企业必须要遵守法案，越早地把这项任务作为其项目实施的一部分，企业的发展就会越快。

　　如果分散法案的实施过程，管理实际的内部控制就会如同管理数据一样。同时，还可以让程序人员创建控制文件来确保更有效的内部控制实施。

　　当然，这项工作会被许多内部和外部的IT审计员进行审计。然而，成功地执行法案是企业单位的责任。

　　实施分散控制策略应该是集中性和一致性法案的一部分。如果每一个组织单位都试图以自己的方式去遵守一个特定的法规，那么将会导致社会混乱，审计工作也将变得更加困难。

　　所以，要确保一个稳固、集中的法案策略并且要监视其实施流程。同时，每个人都要进行实际的控制管理，然后让评估小组来进行评估。

　　下一步，每个人都要对执行法案提出自己的建议，并把其视为个人责任。

　　法案并不是由那些周期性地审查实施过程的内部审计员来执行。这是一项企业员工每天必须做的工作，他们的工作职责就是接触所有规定的内部控制。

　　二、促进企业发展

　　理论上听起来很好，然而你是如何促进企业发展，并把它作为一个长久的奋斗目标呢？对于如何促进企业发展的细节问题对每一个企业来说都很详细、具体。以下是一些为了达到企业发展目标而实施的一些典型的、强制性的方法：

　　1、减少风险。一些企业发现SOX法案的实施使得内部安全控制变得更加稳固。比如，控制整个企业使用者的使用权限对于保护应用软件和数据来说可以更加稳固、更加持久。

　　减少IT风险同样是为了减少整体的企业风险。相对低的企业财政风险可以使企业更加有利地吸引投资者和询问者。

　　然而，降低主管者和执行者的个人责任保险成本，会使财政利益混淆。最终将会减少精力、成本以及即将进行的最终审计工作。

　　2、提高效率。从整体上说，法案是为了揭露和调整不稳定、低效率的内部控制所颁布的。因此，不能只从资源和金钱上的开销来考虑法案的实施，你应该考虑这些法案是如何实施的，也许他们的实施成本会比较高昂，但是却可以有效地减少IT成本。

　　3、促进企业进程。在企业中实施法案，其最有利的地方就是可以深入分析内部控制和企业进程。

　　为了确保企业正确和成功地实施法案，需要深入了解法案规则以及进程情况。有时会出现低效率或多余的法案实施或是无效的内部控制和进程。

　　解决这些问题可以使企业操作更加流程化。同时，IT基础设施的安全性也会更有保障。

　　其次，还有一点很重要，就是法案的实施可以确保企业履行责任。

　　当分析内部进程时，应该包括商业进程中每一阶段以及每一步的实施所应有的责任。正如在我们的日常工作环境中所经常看到的，责任明确可以提高企业效益，而遵守法案也需要明确责任。

　　4、更好地制定决策。SOX法案的实施需要制定安全控制决策，其主要目的是确保那些没有使用权限的人禁止使用、修改，对财政或企业信息进行保护。同时，管理控制的实施可以使有权限的人快速、方便地使用那些受保护的信息。

　　及时地访问重要的商业信息，就可以更好地进行计划、预算和全面的制定决策。更明确的说，更好和更有效的制定决策可以提高企业整体的竞争地位。

　　同时，这也是负责法案实施的员工经常忽视的地方，他们经常把注意力集中在满足法律形式上，而忽视了法案的实施可以为企业带来的潜在利益。

　　因此，当企业在实施进程中获得更多经验时，他们就可以更加流畅和更加有效地进行企业操作，法案的长期实施所带来的利益也将会变得更加明显。