當(dāng)今的企業(yè)都需要遵守越來越多的政府法規(guī)，這些法規(guī)規(guī)定了企業(yè)信息如何管理和發(fā)布，有些法規(guī)僅僅需要某些行業(yè)遵守，而有些法規(guī)，如薩班斯法案（SOX），則要求所有行業(yè)都需要遵守。SOX法案雖然只針對美國上市公司，但是其影響力波及世界所有上市公司，因為他們碰到同樣的問題。

銀行的內(nèi)部管理一直以嚴(yán)格著稱，達(dá)到SOX的標(biāo)準(zhǔn)是許多銀行追求的目標(biāo)。銀行信息系統(tǒng)包括交易系統(tǒng)、客戶關(guān)系管理系統(tǒng)、財務(wù)系統(tǒng)、信貸系統(tǒng)、人力資源、資金系統(tǒng)等。過去很多中小銀行的管理信息系統(tǒng)建設(shè)，更多的是考慮功能上的應(yīng)用，對內(nèi)控管理和信息安全方面思考不多。本文試圖讓中小銀行的IT人員了解SOX理念，以及管理信息系統(tǒng)如何滿足SOX合規(guī)性要求。

洞悉SOX理念

1.SOX不是購買所謂的支持SOX的軟件。一定要清楚地認(rèn)識到，SOX的合規(guī)性要求并不能通過簡單購買軟件來實現(xiàn)。SOX首先要求的是企業(yè)改變業(yè)務(wù)處理方式，特別是涉及到資金方面的業(yè)務(wù)流程以及結(jié)果報告方式。

好的軟件雖然很重要，但它只是工具。

買一個世界上最好的錘子，并不能讓一個草率糊弄的木匠變得有效和認(rèn)真，除非他能改變他的工作態(tài)度和工作習(xí)慣。一個真正好的木匠即使沒有足夠的工具，也能建造出非常完美的房子。

企業(yè)的財務(wù)報告也是如此。即使使用最好的財務(wù)軟件，一個草率的財務(wù)人員，也會做出糊弄的報告。所以，建立符合以下理念的文化是非常重要的，包括守法、透明化和協(xié)作、管理和責(zé)任、培訓(xùn)等。

2.合規(guī)性要求在人員、流程和技術(shù)方面取得平衡。上面提到文化建設(shè)是使人了解合規(guī)性是什么，然后，強迫員工養(yǎng)成合規(guī)性的習(xí)慣，僅有這些仍不夠，還需要建立一致的業(yè)務(wù)流程來滿足合規(guī)性需求，流程建立不可能一步到位，首先需要建立影響業(yè)務(wù)操作和內(nèi)控的關(guān)鍵業(yè)務(wù)點流程，同時，要使這些流程更有效，必須引入?yún)f(xié)同辦公的軟件。協(xié)同辦公軟件是實現(xiàn)SOX合規(guī)性要求的很重要的工具。協(xié)同工作軟件一方面可以提供人員管理、流程控制、數(shù)據(jù)存取，另一方面，在信息查詢、變更控制、高級搜索上，可以提供可控的透明化的信息溝通。

文化建設(shè)、流程建立、軟件實現(xiàn)這三部分都很重要，都是為了實現(xiàn)一個共同目標(biāo)，因此，不存在哪個更重要，哪個不重要。更不要追求某一個部分的完美，要在人員建設(shè)、流程建立、軟件實現(xiàn)方面取得平衡，滿足SOX合規(guī)性的要求，使企業(yè)內(nèi)控效果最大化。

3.SOX內(nèi)控是透明化的人盯人管理。《賭場風(fēng)云》是一部精彩的以拉斯維加斯為背景的賭博電影。電影開始的時候，賭場經(jīng)理人愛司的畫外音在介紹賭場的內(nèi)部監(jiān)控體系：“在拉斯維加斯，每一個人都在監(jiān)視別人。發(fā)牌的人時刻監(jiān)視著賭客，小領(lǐng)班坐在場中間監(jiān)視發(fā)牌手，樓層領(lǐng)班站在身后監(jiān)視小領(lǐng)班，大堂領(lǐng)班監(jiān)視樓層領(lǐng)班，當(dāng)值領(lǐng)班監(jiān)視大堂領(lǐng)班，賭場經(jīng)理監(jiān)視當(dāng)值領(lǐng)班，我監(jiān)視賭場經(jīng)理。空中的眼睛監(jiān)視我們所有人。”然后，鏡頭轉(zhuǎn)向樓上的電視監(jiān)視室。同時樓上還有一些人手持望遠(yuǎn)鏡在觀察。愛司的畫外音繼續(xù)：“還有更厲害的，我們雇了十幾個人，這些家伙都是些老千前輩，對賭場中的所有騙術(shù)都了如指掌”。

這部電影形象地告訴我們，內(nèi)控理念的精髓是透明化的人盯人管理。所以，IT系統(tǒng)要滿足SOX合規(guī)性要求，企業(yè)IT人員面臨的最大挑戰(zhàn)，不是幫助業(yè)務(wù)部門選擇或采購多么復(fù)雜、先進(jìn)的IT系統(tǒng)，而是要求IT人員深入了解業(yè)務(wù)流程，然后用IT技術(shù)實現(xiàn)流程自動化和透明化管理。

4.SOX要求企業(yè)明確區(qū)分非正式溝通和正式溝通。我們在日常管理中經(jīng)常有這樣的場景，當(dāng)出現(xiàn)問題的時候，上級領(lǐng)導(dǎo)喜歡追究下級領(lǐng)導(dǎo)的責(zé)任，而下級領(lǐng)導(dǎo)又經(jīng)常用“我過去向某某下屬交代過這個問題（言外之意，是下屬不按照我說的做，才產(chǎn)生這樣的問題）”來推卸責(zé)任，層層追究到最后，最底層員工沒辦法再把責(zé)任往下推，只好把問題又向上推回去，說“你們領(lǐng)導(dǎo)過去說的東西多了，而且經(jīng)常出爾反爾，誰知道究竟哪句話是對的”。這就是企業(yè)管理中溝通混亂的表現(xiàn)。要避免問題以及遵循合規(guī)性的要求，SOX要求企業(yè)明確區(qū)分正式溝通和非正式溝通，企業(yè)要為正式溝通和非正式溝通建立不同的工作流程。

5.企業(yè)記錄管理滿足SOX及政府法規(guī)的要求。

企業(yè)中的那些電子記錄必須保留，保留多長時間，如何讓監(jiān)管機(jī)構(gòu)更易訪問，從而滿足SOX和政府法規(guī)的需要是企業(yè)面臨的巨大挑戰(zhàn)。記錄管理使得企業(yè)可以根據(jù)法律要求，在內(nèi)容項（或者記錄）從創(chuàng)建到銷毀的整個生命期中對其進(jìn)行有效管理。記錄管理的挑戰(zhàn)之一，就是跟蹤那些法律上或是商業(yè)上對企業(yè)非常重要的信息項目。

例如，一封包含有引用企業(yè)或一個客戶的財務(wù)信息的電子郵件，就會被當(dāng)作是一個記錄。記錄管理的另一個挑戰(zhàn)是，清除和過濾掉那些不需要存儲的記錄。例如，兩個員工間討論去哪兒吃午飯的電子郵件，就不應(yīng)當(dāng)被當(dāng)作是記錄材料。