为什么一个甚至没有提到业务连续性的法案会不断提升企业对业务连续性的兴趣,甚至使企业将业务连续性运用到管理整体风险上呢?萨班斯法案的404条款规定企业必须了解那些可能影响财务报告流程的风险,并要求他们实施恰当的控制以阻止财务违法行为。这就是为什么业务连续性能够成为萨班斯法案合规性一个内在部分的原因。没有对风险及其影响的掌握,将很难去了解合适的内控结构的本质和范围。
萨班斯法案的404条款要求企业在年度报告中包括内部控制报告,强调企业管理层建立和维护内部控制系统及相应控制程序充分有效的责任,以及发行人管理层最近财政年度末对内部控制体系及控制程序有效性的评价。404条款同时要求审计人员对企业按照公众公司会计监察委员会(PCAOB)制订的标准管理内部控制及其流程进行评价并作出证明和报告。
超过7500万美元资本规模的公司对404条款的合规性必须在2004年6月15日前完成,并对证券交易委员会(SEC)进行报告。对于其他在SEC报告的公司,则必须在2005年4月15日前完成。对于未能符合萨班斯法案要求的公司,其管理层将有可能面临20年以下的监禁,及高达500万美元的罚款。同时,未能符合萨班斯法案的要求也会给公司带来其他损失,比如企业的名誉、公众的信任以及公司的价值等等,这些都可能会影响到一个企业的财务健康状况。
符合404条款要求企业去建立一个基础设施,以确保所有的记录和数据不会被毁灭、丢失、未经授权地变更和错误地使用,这些行为都会严重地威胁到企业业务流程的完整性。
因此,企业需要去建立必要的控制,进行风险评估,执行控制活动,建立有效的沟通和信息流,以及监测,所有这些都是业务连续性方案的关键要素。企业必须按照一个结构化的内部控制框架来建立这个基础设施,比如“美国反对虚假财务报告委员会主持的发起组织委员会(COSO)内部控制整体框架”。COSO框架可为经营的有效性、财务报告的可靠性、适用法律法规的合规性提供合理的保证,它需要以下5个方面要素的支持:
1、控制环境:通过提供必要的纪律和结构来设定企业的基调并提升员工的有效控制意识;
2、风险评估:对内部和外部风险进行确认和分析以决定如何管理企业的内部风险;
3、控制活动:包括确保管理层指令得以实施的政策和程序;
4、信息和交流:相关信息不断地被确认、获取和交流,为管理层监督各项活动和在必要时采取纠正措施提供了保证;
5、监测:包括对企业内部控制质量的持续评估程序。
作为符合萨班斯法案工作的一部分,企业需要去明确和记录所有电子和手工的财务报告流程。业务连续性已经不仅仅局限在IT领域,而是涉及到了企业业务运营的整体。业务连续性规划的前提是对风险及其对业务可能的影响做出评估,包括两个基础分析:一是风险分析,用以确定和评估那些可能会导致业务中断的因素,另一个是业务影响分析(BIA),用以量化风险的影响。掌握这些风险及其影响是建立控制环境的基础,而控制环境又是建立一个基础设施所必需的。
满足恢复时间目标(RTO)、恢复点目标(RTO),需要哪些资源(技术、运营、行政等)?业务影响分析(BIA)能够帮助企业回答这一问题,从而促使企业寻找性价比最高的方法缩小业务中断的影响。
然后,企业将其现有的资源与所需的资源进行对比,了解两者之间的差距。这些差距主要表现在以下三个方面:
1、数据:企业上一次备份的数据与业务中断时的数据之间的差距;
2、时间:企业恢复时间目标和企业实际恢复时间之间的差距;
3、资源:达成恢复目标所需资源与现有资源之间的差距。
任何一种差距都将成为建立控制环境的障碍。例如,假设一个企业每天午夜对其数据进行一次远程备份,而中午时分该企业发生了一次系统崩溃(原因可能是火灾,也可能是病毒),那么,从午夜到中午之间所有输入、运算、接收和发送的数据都将丢失。这显然会使数据发生错误。完善的控制环境可以明确这些差距并将数据调整到合适的状态,同时,处理恢复时间和资源的流程必须到位。
考虑企业的供应链
控制不仅仅局限于企业内部流程,也必须涵盖企业的外部。只有将与自身有联系的外部企业考虑在内,企业才能建立一个完整的控制环境。因此,企业对外部合作者(如厂商、服务提供商、外包方)的考虑也是非常关键的。当企业的外包对起对财务报表有直接的影响时,SEC将要求评估该外包服务提供商的内控结构是否能够完成外包协议的规定,以符合404条款的规定。企业应该详细地了解其供应链中的合作伙伴是否有从业务中断中恢复的能力,并要求他们提供书面的证明。在这方面的强调,和404条款一起,更加突显出业务连续性的重要性。例如,最近一个国际无线和宽带通信生产商开始要求他的所有提供商提供书面的业务连续性计划以证明他们的恢复能力。
萨班斯法案对业务连续性的影响
由于萨班斯法案的出台,业务连续性重新成为首席官员们关注的焦点,并被作为确保企业合规性的一个有效的方法。同时,企业在业务连续性计划的实施方面也作出了改变,包括:
每年对业务连续性计划进行评估
以前,企业高层对其业务连续性计划非常不重视——假如他们有这个计划的话。业务连续性计划通常狭隘地集中在IT功能上,由中层管理人员来负责,并且只有在“必须”的情况下才会进行更新。唯一例外的是银行,他们在联邦金融机构检查委员会(FFIEC)的指令下检查计划的进度并验收测试结果。这种缺乏兴趣的行为在法规和重大事件的推动下不断发生变化。而今,企业的业务连续性计划变得更加全面,并且至少每年对其进行测试,定期举行演练和更新。
高级管理层的参与
萨班斯法案要求高层管理人员直接参与企业的内部管理流程。由高层管理人员组成的指导委员会开始形成以负责检查整个业务连续性规划的进程,甚至一些企业正在考虑在其高层中增加一位首席连续官。
对企业外部进行规划
高级管理人员开始考虑、评估和明确来自企业外部的风险,例如供应链的弱点等。以前,管理层几乎只关注企业的内部,而不会去考虑外部风险,而采取行动去明确和规避这些风险的人就更少了。
要求将业务连续性计划作为服务水平协议(SLA)的一部分
拥有风险管理最佳实践的企业更倾向于与那些在风险意识方面看法相似的企业进行合作。因此,企业开始要求他们的业务合作伙伴将业务连续性计划添加到服务水平协议中。
业务连续性预算不断增加
业务连续性工作——不仅是IT灾难恢复——的预算随着高级管理人员对业务连续性计划在规避企业内部风险方面作用的逐渐认识而不断增加。
随着萨班斯法案规定的合规时间越来越近,所有的企业,不管他们处于哪个行业,都必须完成他们的内控结构和流程。企业将发现这一过程会比预计花费更长的时间,而且肯定比SEC估计的最短时间要长。
然而,越早开始启动业务连续性规划就能越准确和准时地向SEC进行报告,其反馈的信息将有助于企业更新或建立一个公司范围的业务连续性计划。
因此,首席官员们不应低估业务连续性的价值,它不仅能够帮助企业符合法律的规定,而且能够提供及其重要的信息,帮助企业建立新的控制结构,提高企业管理,进而提升企业的整体运营水平。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
数据保护合规性既提升安全又提升盈利
2015年共发生了781起数据泄露事件,受连累的记录达到7亿份。网络犯罪已经发生了根本性的变化,从对网站造成严重危害的分布式拒绝服务攻击或者信用卡盗窃过渡到更阴险狡诈的犯罪意图。
-
教你如何规避五个常见灾难恢复陷阱
TechTarget最近在社交媒体Twitter上发起关于灾难恢复计划的讨论,很多从业人员以及专家们,包括特别专家Paul Kirvan(他是一位拥有超过20年业务连续性和灾难恢复经验的独立顾问和审计师),一起分享了他们的建议和想法,比如如何安排灾难恢复(DR)测试。
-
小企业环境如何避免服务器合并和虚拟化
对很多公司来说,服务器虚拟化意味着合并。通常,服务器的合并会带来性能和可用性问题。避免服务器合并的时间决定于在一台实体机上可放多少台虚拟机……
-
美航订票故障警示:IT投入不足后患无穷
美航糟糕的运营状况极大影响到企业IT系统的正常运营,缺乏足够的预算,无力完成IT系统的部署更新,可谓隐患重重。