银行管理系统中的SOX理念

银行管理系统中的SOX理念

当今的企业都需要遵守越来越多的政府法规,这些法规规定了企业信息如何管理和,有些法规仅仅需要某些行业遵守,而有些法规,如萨班斯法案(SOX),则要求所有行业都需要遵守。SOX法案虽然只针对美国上市公司,但是其影响力波及世界所有上市公司,因为他们碰到同样的问题。

银行的内部管理一直以严格著称,达到SOX的标准是许多银行追求的目标。银行信息系统包括交易系统、客户关系管理系统、财务系统、信贷系统、人力资源、资金系统等。过去很多中小银行的管理信息系统建设,更多的是考虑功能上的应用,对内控管理和信息安全方面思考不多。本文试图让中小银行的IT人员了解SOX理念,以及管理信息系统如何满足SOX合规性要求。   洞悉SOX理念   1.SOX不是购买所谓的支持SOX的软件。一定要清楚地认识到,SOX的合规性要求并不能通过简单购买软件来实现。SOX首先要求的是企业改变业务处理方式,特别是涉及到资金方面的业务流程以及结果报告方式。   好的软件虽然很重要,但它只是工具。   买一个世界上最好的锤子,并不能让一个草率糊弄的木匠变得有效和认真,除非他能改变他的工作态度和工作习惯。一个真正好的木匠即使没有足够的工具,也能建造出非常完美的房子。   企业的财务报告也是如此。即使使用最好的财务软件,一个草率的财务人员,也会做出糊弄的报告。所以,建立符合以下理念的文化是非常重要的,包括守法、透明化和协作、管理和责任、培训等。   2.合规性要求在人员、流程和技术方面取得平衡。上面提到文化建设是使人了解合规性是什么,然后,强迫员工养成合规性的习惯,仅有这些仍不够,还需要建立一致的业务流程来满足合规性需求,流程建立不可能一步到位,首先需要建立影响业务操作和内控的关键业务点流程,同时,要使这些流程更有效,必须引入协同办公的软件。协同办公软件是实现SOX合规性要求的很重要的工具。协同工作软件一方面可以提供人员管理、流程控制、数据存取,另一方面,在信息查询、变更控制、高级搜索上,可以提供可控的透明化的信息沟通。   文化建设、流程建立、软件实现这三部分都很重要,都是为了实现一个共同目标,因此,不存在哪个更重要,哪个不重要。更不要追求某一个部分的完美,要在人员建设、流程建立、软件实现方面取得平衡,满足SOX合规性的要求,使企业内控效果最大化。   3.SOX内控是透明化的人盯人管理。《风云》是一部精彩的以拉斯维加斯为背景的电影。电影开始的时候,经理人爱司的画外音在介绍的内部监控体系:“在拉斯维加斯,每一个人都在监视别人。发牌的人时刻监视着赌客,小领班坐在场中间监视发牌手,楼层领班站在身后监视小领班,大堂领班监视楼层领班,当值领班监视大堂领班,经理监视当值领班,我监视经理。空中的眼睛监视我们所有人。”然后,镜头转向楼上的电视监视室。同时楼上还有一些人手持望远镜在观察。爱司的画外音继续:“还有更厉害的,我们雇了十几个人,这些家伙都是些老千前辈,对中的所有骗术都了如指掌”。   这部电影形象地告诉我们,内控理念的精髓是透明化的人盯人管理。所以,IT系统要满足SOX合规性要求,企业IT人员面临的最大挑战,不是帮助业务部门选择或采购多么复杂、先进的IT系统,而是要求IT人员深入了解业务流程,然后用IT技术实现流程自动化和透明化管理。   4.SOX要求企业明确区分非正式沟通和正式沟通。我们在日常管理中经常有这样的场景,当出现问题的时候,上级领导喜欢追究下级领导的责任,而下级领导又经常用“我过去向某某下属交代过这个问题(言外之意,是下属不按照我说的做,才产生这样的问题)”来推卸责任,层层追究到最后,最底层员工没办法再把责任往下推,只好把问题又向上推回去,说“你们领导过去说的东西多了,而且经常出尔反尔,谁知道究竟哪句话是对的”。这就是企业管理中沟通混乱的表现。要避免问题以及遵循合规性的要求,SOX要求企业明确区分正式沟通和非正式沟通,企业要为正式沟通和非正式沟通建立不同的工作流程。   5.企业记录管理满足SOX及政府法规的要求。   企业中的那些电子记录必须保留,保留多长时间,如何让监管机构更易访问,从而满足SOX和政府法规的需要是企业面临的巨大挑战。记录管理使得企业可以根据法律要求,在内容项(或者记录)从创建到销毁的整个生命期中对其进行有效管理。记录管理的挑战之一,就是跟踪那些法律上或是商业上对企业非常重要的信息项目。   例如,一封包含有引用企业或一个客户的财务信息的电子邮件,就会被当作是一个记录。记录管理的另一个挑战是,清除和过滤掉那些不需要存储的记录。例如,两个员工间讨论去哪儿吃午饭的电子邮件,就不应当被当作是记录材料。