美国萨班法案对企业CIO合规责任的挑战研究

您现在的位置：成功领袖网 >> 首席信息官CIO >> CIO执行力 >> 文章正文

进行业绩评估。很多销售人员拿到订单后，不是马上输入系统，而是先打一圈电话，确认仓库有货才输入系统，如果缺货，则将订单搁置一旁。最后的结果是每名销售员的订单履行率都很高。

　　朱力认为，IT部门需要针对流程制订完善的监控体系。当用户的某个行为不符合流程的时候，IT系统可以拒绝甚至报警。对于监控中发现的问题和漏洞，要找到相应的解决方案。在伯灵顿，这是一项从公司高层到下面每名员工都非常重视的工作。当出于业务的需要，要对系统的功能进行修改的时候，IT部门需要遵循严格的更改流程，比如是否得到审批和授权、是否经过内部测试等，并要保留一切更改纪录。

　　系统安全

　　爱迪斯高级顾问彭炎最近正在帮一家集团上市公司做萨班斯法案咨询。他认为，由于萨班斯法案要求有效内控的证据，经过信息系统的流程痕迹必须完整保留，一旦信息被修改或者丢失，可能给企业带来巨大的损失。因此，对信息系统的权限和安全管理也至关重要。

　　从严格的风险控制角度看，所有重要的数据都需要进行异地备份。但屈玉阁表示，“由于耗资巨大，河北网通目前只是建立了故障应急预案。 ”

　　据介绍，河北网通过去以功能为单位，分别制订了小型机、电源、软件故障的应急预案，现在则以系统为单位建立应急预案，并进行演练，演练控制纪录由领导签字。但这只是权宜之计，屈玉阁表示明年将逐渐加大投资，完善灾备系统。

　　还有很多看似很细微的问题，也对公司财务信息的安全性产生威胁。按照萨班斯法案要求，为保证访问权限的安全，应用系统的口令最好是六位以上，并且包括字母和数字。但屈玉阁表示，最初建立系统的时候，并没有对软件供应商提出这样的要求。现在要实现这样的需求就必须升级版本，可是时间根本来不及。另外，按照规定，系统的开发人员和维护人员、维护人员和操作人员、操作人员和监控人员都要由不同的人来担任。而现在的情况是，IT部门往往一人身兼数职。如果按照法案的要求，文欣荣粗算中国铝业需要90多人负责所有的信息系统，后来一再精简到20多人，目前整个信息部只有十个人。

　　文欣荣说，如果没有萨班斯法案，这些要求就可以一步一步慢慢来实现，但是在短时间内要一下子实现，压力非常大。ERP系统全面上线以来，虽然系统相对稳定、运行也基本正常，但文欣荣悬着的心始终不敢放下。他说：“如果信息控制不能过关，整个404项目就不能过关。”

　　IT治理

　　IT是公司治理的有力工具，但IT项目本身也有巨大的风险。由于IT系统耗资巨大，且对业务影响深远，作为公司治理的一部分，CIO也需要建立一套完整的可供审计的IT治理体系。

　　今年7月10日，北京市高级人民法院判决的温梦杰贪污案不能不引起企业的警惕。温梦杰在立案之前，是中国农业银行北京市分行科技处处长。科技处的主要职能是负责分行系统计算机和网络系统的技术支持，负责设备、软件的采购。据《新京报》报道，温梦杰从1999年开始，利用职务之便，大量收受采购贿赂，直到2004年才被举报发现。这在一定程度上也说明了IT审计和内控的缺失。

　　中国中化集团公司(下称中化集团)前不久刚刚花四个月时间，完成了“保证业务连续性”项目。中化集团信息技术部总经理彭劲松认为，IT项目决策的过程，也要按照统一的流程进行。在实施项目之前，他按照COBIT最佳管理实践的框架，把从业务需求到系统购买

上一页 [1] [2] [3] 下一页

上一篇文章：刀尖上舞蹈 CIO走向企业风险管理核心

下一篇文章：经济上升期企业CIO怎样吸纳人才？

【发表评论】【告诉好友】【打印此文】【关闭窗口】

【网友评论】