SOX法案实施的转型 CIO不可多得的机遇(下)

发现并管理变革

管理变革已经是影响SOX遵从性的关键。在IT环境下，对变革进行有效而有力的管理，包括应用软件与基础设施建设，是CIO关注的重要领域。

对于CIO而言，十分重要的是，积极洞察和掌握IT部门和IT环境的变革，对潜在变革和变革将产生的后果进行预测。一个有效且成熟的变革实施流程，将能够高效而持久地保持SOX遵从性。

预先对变革进行识别的方法之一，就是在IT部门成立一个项目管理办公室，收集来自IT领域和商业环境的关于改进、新增和废除的需求信息。在推进所有项目时，依据这些需求来实施和辨别，如何保证SOX遵从性。这将培养CIO的识别能力，即对那些企业业务部门的可能需求及变革进行预先判定。另外，把所有的控制文件和测试结果做成文档保存，将使项目管理办公室能更好地发现控制环境中的变革。

对重大新型应用系统的实施给予特别关注是非常重要的，包括应用功能的重要升级或修改工作。SOX在这些实施和升级中的作用，就是通过文件系统和测试工作，确保控制设计的应用效果，以及相关企业流程的效力。在实施SOX遵从性方案的第二个年头及将来，CIO的重要角色之一，将是确保IT部门在企业操作和企业增长中发挥作用的能力，同时还要保证与SOX的遵从性。

谈到变革管理，CIO应关注的三个重要领域包括:

● 测试关键的控制模块与功能模块，以保证控制功能先于实施的有效性;

● 在变革中和变革将要到来之前，为SOX更新文件系统;

● 扩大用户测试范围，以吸纳适合于测试变革带来的手工控制的测试方法。

这些应用变革和CIO保证SOX一致性的责任跟项目管理功能之间互相作用，这种相互作用将保证完成这些活动所需的预算与时间。勿庸置疑，IT必须支持并且实现企业的增长和进步，且同时保证SOX遵从性。在完成这些活动时应尽量控制费用。与此同时，作为年终审计流程的一部分，强调一致性非常重要。

作为第二年的最后一件事，CIO必须与跟SOX遵从性相关的领导活动及该组织保持联系。在第404节条款的文件与测试系统下，SOX的多个组成部分运行良好。第320条款要求公司每季度在其控制环境中就变革进行外部交流，在这项活动中，CIO对IT领域的控制与风险的开放式对话和预先关注，是SOX遵从性的重要组成部分。

来源：ccw