控制业务：遵守SOX法案－IBM的解决之道

文章摘要：首席执行官和首席财务官必须亲自签署公司的财务文件。现在SOX第404条要求他们必须进行内部控制，在这一点上IBM能够提供帮助。

2001年多家企业卷入财务丑闻风波，其中包括Enron和WorldCom公司的破产，这促使国会在2002年通过了Sarbanes-Oxley（SOX）法案。SOX法案进行了彻底改革，它要求最高执行官负责执行该法案的规定，并且确保建立财务公开控制制度，否则将受到刑事处罚。违反该法案可能导致高达500万美元的罚款或20年刑期。

该法案的第404条要求上市公司的管理层提交一份内部控制效率年度报告。据新闻报导预测，2005年供应商在帮助公司遵守法案第404条上的收入额度将达到数十亿美元，其中技术公司将囊括15亿以上的收入。

随需应变的机遇

明智的公司不会仅仅遵守该法案，而是利用这个机会来设计内部系统，以便提高效率。这对于IBM来说是一次绝佳的机会，因为Sarbanes-Oxley 法案的意图恰好与IBM创建随需应变的目标和获益不谋而合。

例如，法案要求公司不仅要提供严格的年度报告，而且必须随时准备"实时的"内部检查和财务检查。随需应变环境的关键目标在于建立更好的内部过程控制视图，同时提高效率并且把IT与这些过程关联起来。

SOX解决方案

IBM 采取一种集成的方法来帮助客户遵守相关法案，除SOX法案之外，还帮助公司遵守最近实施的50余个公共法案和规定。IBM Global Services的Business Consulting Services工具、Tivoli管理解决方案和Lotus Workplace进行了集成，用来指导公司遵守法案并且完善内部控制。

IBM Workplace for Business Controls and Reporting 自动评估业务控制。本产品通过记录控制的情况，从而能够识别风险并且评估控制的效率。本产品帮助公司提供一个公共的平台，用来记录、评估和报告整个企业的控制管理状态。它还能够连接到不同供应商的多个数据源，以便让用户知道内容所在的位置和管理方式。

Tivoli 能够帮助客户分析差距，并帮助客户缩短这些差距。诸如Tivoli Identity Manager、 Tivoli Access Manager、Tivoli Privacy Manager和Tivoli Security Compliance Manager这样的安全产品使IBM客户能够实现严格的用户权限控制，并实施安全策略和标准。

在IBM的一家大型零售商客户的系统中，会计、销售和采购数据都得到良好的控制。但是底层数据库更新操作存在重大缺陷。当用户通过数据库的身份验证后，系统对用户的行为没有控制。 并且该用户可以通过Microsoft Excel这样的应用程序对数据库进行更新，而日志不会记录他们的行为。

Tivoli Access Manager在该零售商的整个财务系统中实现了一个一致且通用的访问策略。. Tivoli Privacy Manager形成了一道围绕关键数据库的保护"屏障"，它能够截获所有系统调用。Tivoli Identity Manager根据用户权限检查每一项变更请求。

按照法案的规定，这种控制正是目前大多数公司必须达到的要求。同时，这种控制也加强了业务策略、标准与IT系统活动之间的关联，而这正是随需应变的远景。

来源：IBM中国