企业如何利用业务连续性实现法规遵从

1、企业如何利用业务连续性实现法规遵从在几起引人注目的公司管理失败事件之后，国会公布了? 2002 年萨班斯 - 奥克斯利法案? 简称萨班斯法案 ，以明确公司管理的缺 陷，并在管理和财务报告的协助下提高对企业的整体控制。这次立法 的目的是为了保护员工、业务合作伙伴和企业。在一段时间内不断看到围绕着业务连续性出台的特别立法和 规章之后，很自然地，萨班斯法案被看作是这些规章类似的扩展。萨班斯法案并没有明确地提出对业务连续性的要求。 事实上， 它根本就没有提到业务连续性。但是作为一个实际的问题，业务连续 性被看作在企业内部建立全面控制环境的一个方法。萨班斯法案促使 企业采取更广泛的行动，使其业务连续性方

2、案更加完善。萨班斯法案的起源20 世纪 60 年代末，企业管理第一次被作为一个公共问题被 提出来，并逐渐引起企业的注意。当时，大型的企业集团 - 即那些拥 有互不关联资产的控股公司 - 由于他们的效率低下而广受批评。进入 80 年代，对储蓄和贷款的抨击及第三世界债务问题吸 引了整个市场的注意力， 企业管理并未受到重视。 90 年代中期， 运营 风险问题以及随后的 "企业再造 "概念风行一时。90 年代末至 2000 年， 公众的注意力集中在新经济需求上：新技术、互联网化以及雇佣技术 型的员工等。2002 年年中，明确企业治理的立法改革开始在国会酝酿。 6月15日，阿瑟安德森

3、对司法定罪的阻碍似乎平息了公众对一系列企 业管理失败的愤怒。然而，同一个月的晚些时候，几家大型企业的财 务造假被暴露出来。一夜之间，国会议员纷纷要求通过新的反欺骗法 案，目标直指企业违法行为。于是萨班斯法案应运而生，并于 2002 年 7 月 30 日被签署 为法律。萨班斯法案是美国历面的反企业违法行为的法律之一，明确 了从修改财务报表误导审计人员，到威胁揭发者等一系列违法行为。 萨班斯法案是企业管理开展道路上的一个分水岭。更重要的是，它将 建立一套全面控制系统的责任直接放在了 CEO 的肩膀上。萨班斯法案反映出，今天的企业管理已经不仅仅是首席官员 们的问题，也是董事会面临的主要问题。经理和董

4、事会成员随处都可 以发现企业管理风险：懒散的员工、失控的企业家、成心造假的财务 报表，以及不同业务部门之间的冲突等等。使用业务连续性去符合萨班斯法案 为什么一个甚至没有提到业务连续性的法案会不断提升企业 对业务连续性的兴趣，甚至使企业将业务连续性运用到管理整体风险 上呢?萨班斯法案的 404 条款规定企业必须了解那些可能影响财务报 告流程的风险，并要求他们实施恰当的控制以阻止财务违法行为。这 就是为什么业务连续性能够成为萨班斯法案合规性一个内在局部的原 因。没有对风险及其影响的掌握，将很难去了解适宜的内控结构的本 质和范围。萨班斯法案的 404 条款要求企业在年度报告中包括内部控 制报告，强调

5、企业管理层建立和维护内部控制系统及相应控制程序充 分有效的责任，以及发行人管理层最近财政年度末对内部控制体系及 控制程序有效性的评价。 404 条款同时要求审计人员对企业按照公众 公司会计监察委员会 (PCAOB) 制订的标准管理内部控制及其流程进 行评价并作出证明和报告。超过 7500 万美元资本规模的公司对 404 条款的合规性必须 在2004年6月15日前完成，并对证券交易委员会(SEC)进行报告。 对于其他在SEC报告的公司，那么必须在2005年4月15日前完成。 对于未能符合萨班斯法案要求的公司，其管理层将有可能面临 20 年 以下的监禁，及高达 500 万美元的罚款。同时，未能符合

6、萨班斯法案 的要求也会给公司带来其他损失，比方企业的名誉、公众的信任以及 公司的价值等等，这些都可能会影响到一个企业的财务健康状况。符合 404 条款要求企业去建立一个根底设施， 以确保所有的 记录和数据不会被消灭、丧失、未经授权地变更和错误地使用，这些 行为都会严重地威胁到企业业务流程的完整性。因此，企业需要去建立必要的控制，进行风险评估，执行控 制活动，建立有效的沟通和信息流，以及监测，所有这些都是业务连 续性方案的关键要素。企业必须按照一个结构化的内部控制框架来建 立这个根底设施， 比方"美国反对虚假财务报告委员会主持的发起组织 委员会(COSO)内部控制整体框架"。

7、COSO框架可为经营的有效性、 财务报告的可靠性、适用法律法规的合规性提供合理的保证，它需要以下 5 个方面要素的支持：1、控制环境：通过提供必要的纪律和结构来设定企业的基 调并提升员工的有效控制意识 ;2、风险评估：对内部和外部风险进行确认和分析以决定如 何管理企业的内部风险 ;3、控制活动：包括确保管理层指令得以实施的政策和程序;4、信息和交流：相关信息不断地被确认、获取和交流，为 管理层监督各项活动和在必要时采取纠正措施提供了保证 ;5、监测：包括对企业内部控制质量的持续评估程序。 作为符合萨班斯法案工作的一局部，企业需要去明确和记录 所有电子和手工的财务报告流程。 业务连续性已经不仅仅

8、局限在 IT 领 域，而是涉及到了企业业务运营的整体。业务连续性规划的前提是对 风险及其对业务可能的影响做出评估，包括两个根底分析：一是风险 分析，用以确定和评估那些可能会导致业务中断的因素，另一个是业 务影响分析 BIA ，用以量化风险的影响。 掌握这些风险及其影响是建 立控制环境的根底，而控制环境又是建立一个根底设施所必需的。满足恢复时间目标RTO、恢复点目标RTO,需要哪些资源 技术、运营、行政等?业务影响分析BIA能够帮助企业答复这一问题， 从而促使企业寻找性价比的方法缩小业务中断的影响 企业将其现有的资源与所需的资源进行比照，了解两者之间的差 距。这些差距主要表现在以下三个方面：1、

9、数据：企业上一次备份的数据与业务中断时的数据之间的差距;2、时间：企业恢复时间目标和企业实际恢复时间之间的差距;3、资源：达成恢复目标所需资源与现有资源之间的差距。 任何一种差距都将成为建立控制环境的障碍。例如，假设一 个企业每天午夜对其数据进行一次远程备份，而中午时分该企业发生 了一次系统崩溃 原因可能是火灾，也可能是病毒 ，那么，从午夜到 中午之间所有输入、运算、接收和发送的数据都将丧失。这显然会使 数据发生错误。完善的控制环境可以明确这些差距并将数据调整到合 适的状态，同时，处理恢复时间和资源的流程必须到位。考虑企业的供给链 控制不仅仅局限于企业内部流程，也必须涵盖企业的外部。只有将与自

10、身有联系的外部企业考虑在内，企业才能建立一个完整的 控制环境。因此，企业对外部合作者 如厂商、效劳提供商、外包方 的考虑也是非常关键的。当企业的外包对起对财务报表有直接的影响 时，SEC将要求评估该外包效劳提供商的内控结构是否能够完成外包 协议的规定， 以符合 404 条款的规定。 企业应该详细地了解其供给链 中的合作伙伴是否有从业务中断中恢复的能力，并要求他们提供书面 的证明。在这方面的强调，和 404 条款一起，更加突显出业务连续性 的重要性。例如，最近一个国际无线和宽带通信生产商开始要求他的 所有提供商提供书面的业务连续性方案以证明他们的恢复能力萨班斯法案对业务连续性的影响由于萨班斯法案

11、的出台，业务连续性重新成为首席官员们关 注的焦点，并被作为确保企业合规性的一个有效的方法。同时，企业 在业务连续性方案的实施方面也作出了改变，包括：每年对业务连续性方案进行评估 以前，企业高层对其业务连续性方案非常不重视 - 假设他们 有这个方案的话。 业务连续性方案通常狭隘地集中在 IT 功能上， 由中 层管理人员来负责，并且只有在 "必须 "的情况下才会进行更新。例外 的是银行，他们在联邦金融机构检查委员会FFIEC的指令下检查方案 的进度并验收测试结果。这种缺乏兴趣的行为在法规和重大事件的推 动下不断发生变化。而今，企业的业务连续性方案变得更加全面，并 且至少每年对其

12、进行测试，定期举行演练和更新。高级管理层的参与 萨班斯法案要求高层管理人员直接参与企业的内部管理流 程。由高层管理人员组成的指导委员会开始形成以负责检查整个业务 连续性规划的进程，甚至一些企业正在考虑在其高层中增加一位首席 连续官。对企业外部进行规划 高级管理人员开始考虑、评估和明确来自企业外部的风险， 例如供给链的弱点等。以前，管理层几乎只关注企业的内部，而不会 去考虑外部风险，而采取行动去明确和躲避这些风险的人就更少了。要求将业务连续性方案作为效劳水平协议SLA的一局部拥有风险管理实践的企业更倾向于与那些在风险意识方面看法相似的企业进行合作。考试大提示企业开始要求他们的业务合作伙 伴将业务

13、连续性方案添加到效劳水平协议中。 业务连续性预算不断增加 业务连续性工作 -不仅是 IT 灾难恢复 -的预算随着高级管理 人员对业务连续性方案在躲避企业内部风险方面作用的逐渐认识而不 断增加。结论 随着萨班斯法案规定的合规时间越来越近，所有的企业，不 管他们处于哪个行业，都必须完成他们的内控结构和流程。企业将发 现这一过程会比预计花费更长的时间， 而且肯定比 SEC 估计的最短时 间要长。然而，越早开始启动业务连续性规划就能越准确和准时地向 SEC进行报告，其反应的信息将有助于企业更新或建立一个公司范围 的业务连续性方案。因此，首席官员们不应低估业务连续性的价值，它不仅能够 帮助企业符合法律的规定，而且能够提供及其重要的信息，帮助企业 建立新的控制结构，提高企业管理，进而提升企业的整体运营水平。Word是学生和职场人士最常用的一款办公软件之一，99.99% 的人知道它，但其实，这个软件背后，还有一大批隐藏技能你不知道。掌握他们，你将开启新世界的大门。Tab+Enter,在编过号以后，会自动编号段落Ctrl + D 调出字体栏，配合 Tab+Enter 全键盘操作吧Ctrl + L 左对齐， Ctrl + R 右对齐， Ctrl + E 居中Ctrl + F 查找，Ctrl + H 替换。然后关于替换，里面又大有学问！有时候Word文档中有许多多余的空行需要删除，这个时候我们