使用业务连续性去符合萨班斯法案
为什么一个甚至没有提到业务连续性的法案会不断提升企业对业务连续性的兴趣,甚至使企业将业务连续性运用到管理整体风险上呢?萨班斯法案的404条款规定企业必须了解那些可能影响财务报告流程的风险,并要求他们实施恰当的控制以阻止财务违法行为。这就是为什么业务连续性能够成为萨班斯法案合规性一个内在部分的原因。没有对风险及其影响的掌握,将很难去了解合适的内控结构的本质和范围。
萨班斯法案的404条款要求企业在年度报告中包括内部控制报告,强调企业管理层建立和维护内部控制系统及相应控制程序充分有效的责任,以及发行人管理层最近财政年度末对内部控制体系及控制程序有效性的评价。404条款同时要求审计人员对企业按照公众公司会计监察委员会(PCAOB)制订的标准管理内部控制及其流程进行评价并作出证明和报告。
超过7500万美元资本规模的公司对404条款的合规性必须在2004年6月15日前完成,并对证券交易委员会(SEC)进行报告。对于其他在SEC报告的公司,则必须在2005年4月15日前完成。对于未能符合萨班斯法案要求的公司,其管理层将有可能面临20年以下的监禁,及高达500万美元的罚款。同时,未能符合萨班斯法案的要求也会给公司带来其他损失,比如企业的名誉、公众的信任以及公司的价值等等,这些都可能会影响到一个企业的财务健康状况。
符合404条款要求企业去建立一个基础设施,以确保所有的记录和数据不会被毁灭、丢失、未经授权地变更和错误地使用,这些行为都会严重地威胁到企业业务流程的完整性。
因此,企业需要去建立必要的控制,进行风险评估,执行控制活动,建立有效的沟通和信息流,以及监测,所有这些都是业务连续性方案的关键要素。企业必须按照一个结构化的内部控制框架来建立这个基础设施,比如“美国反对虚假财务报告委员会主持的发起组织委员会(COSO)内部控制整体框架”。COSO框架可为经营的有效性、财务报告的可靠性、适用法律法规的合规性提供合理的保证,它需要以下5个方面要素的支持:
1、控制环境:通过提供必要的纪律和结构来设定企业的基调并提升员工的有效控制意识;
2、风险评估:对内部和外部风险进行确认和分析以决定如何管理企业的内部风险;
3、控制活动:包括确保管理层指令得以实施的政策和程序;
4、信息和交流:相关信息不断地被确认、获取和交流,为管理层监督各项活动和在必要时采取纠正措施提供了保证;
5、监测:包括对企业内部控制质量的持续评估程序。
作为符合萨班斯法案工作的一部分,企业需要去明确和记录所有电子和手工的财务报告流程。业务连续性已经不仅仅局限在IT领域,而是涉及到了企业业务运营的整体。业务连续性规划的前提是对风险及其对业务可能的影响做出评估,包括两个基础分析:一是风险分析,用以确定和评估那些可能会导致业务中断的因素,另一个是业务影响分析(BIA),用以量化风险的影响。掌握这些风险及其影响是建立控制环境的基础,而控制环境又是建立一个基础设施所必需的。
满足恢复时间目标(RTO)、恢复点目标(RTO),需要哪些资源(技术、运营、行政等)?业务影响分析(BIA)能够帮助企业回答这一问题,从而促使企业寻找性价比高的方法缩小业务中断的影响。
然后,企业将其现有的资源与所需的资源进行对比,了解两者之间的差距。这些差距主要表现在以下三个方面:
1、数据:企业上一次备份的数据与业务中断时的数据之间的差距;
2、时间:企业恢复时间目标和企业实际恢复时间之间的差距;
3、资源:达成恢复目标所需资源与现有资源之间的差距。
任何一种差距都将成为建立控制环境的障碍。例如,假设一个企业每天午夜对其数据进行一次远程备份,而中午时分该企业发生了一次系统崩溃(原因可能是火灾,也可能是病毒),那么,从午夜到中午之间所有输入、运算、接收和发送的数据都将丢失。这显然会使数据发生错误。完善的控制环境可以明确这些差距并将数据调整到合适的状态,同时,处理恢复时间和资源的流程必须到位。