SOX法案实施的转型 CIO不可多得的机遇(上)

企业为适应SOX法案而实施的转型，对于CIO而言，既是一项复杂的系统工程，也是全面提升自身能力的不可多得的机遇。

SOX第二年

成立于2004年的美国CIO执行委员会是一个首席信息官的专业性组织，其目的是在重大技术问题与商业事务中让CIO们有一个共同的声音，这当中就包括诸如SOX（Sarbanes-Oxley）法案和其他法规。

重要信息的获取从来都是困难重重，如何遵从2002年颁布的SOX法案的复杂条款？许多CIO一直为类似的问题苦恼着。为了甩掉这个负担，委员会成员们在在2004年成立了一个特别小组，着手开发一种资源向导来帮助CIO们更好地查找棘手的遵从性资料。他们与Protiviti咨询公司合作开发的最终产品——CIO执行委员会制订的Sarbanes-Oxley法案，终于在2005年春季登场。不妨从该版本中摘录一些要点，从中品味未来CIO的职责与机会。

如果一个企业完成了上年的认证工作，它就应当在第二年及今后做出重要调整。在第一年中，资源被用来识别控制，以及通过测试并最终使控制系统生效。大多数企业已经在IT环境下熟悉了某些审计方式。SOX法案的审计部分要求IT部门开展大量的准备工作。在第二年及以后，风险前期管理和CIO的掌控，将促进形成有效的实现SOX遵从性的方法。

在为适应SOX法案而实施转型的过程中，大多数企业将对如何管理审计流程发生兴趣。该流程的功能包括对现实风险和长期风险的识别、对变革的认知，以及改进IT流程的持续性努力。这些都将提高CIO的能力，在降低企业与SOX法案的冲突及成本的同时，提高企业对SOX的遵从性。

风险识别

CIO具有独特的机会去识别企业流程中的风险。IT自身的特点及其对企业流程的支持、向决策者提供支持信息等功能，使得CIO对企业内部的风险有一个全面的视角。另外，在管理技术风险、渠道及有效性等方面，CIO都可以有所作为，帮助组织去理解和管理这些风险。

通过内部控制来进行风险评估和减少风险是非常重要的概念。COBIT框架是所有IT部门评估潜在风险的规范化标准。在企业内部，CIO有能力应用IT环境方面的知识，来决定控制潜在风险所需的级别。

商业风险与IT流程及控制之间的关系，已经成为CIO们实现SOX遵从性的基础。CIO应该更加明确各种风险，以更好地体现审计的必要性。然而，通过重要风险指标对新风险加以识别和控制，向CIO提供了一种提升自身价值的机制。

来源：ccw