企业如何充分利用业务连续性去符合新法规

在几起引人注目的公司管理失败事件之后,国会颁布了《2002年萨班斯——奥克斯利法案》(简称萨班斯法案),以明确公司管理的缺陷,并在管理和财务报告的协助下提高对企业的整体控制。这次立法的目的是为了保护员工、业务合作伙伴和企业。在一段时间内不断看到围绕着业务连续性出台的特别立法和规章之后,很自然地,萨班斯法案被看作是这些规章类似的扩展。

萨班斯法案并没有明确地提出对业务连续性的要求。事实上,它根本就没有提到业务连续性。但是作为一个实际的问题,业务连续性被看作在企业内部建立全面控制环境的一个方法。萨班斯法案促使企业采取更广泛的行动,使其业务连续性计划更加完善。

萨班斯法案的起源

20世纪60年代末,企业管理第一次被作为一个公共问题被提出来,并逐渐引起企业的注意。当时,大型的企业集团——即那些拥有互不关联资产的控股公司——由于他们的效率低下而广受批评。

进入80年代,对储蓄和贷款的抨击及第三世界债务问题吸引了整个市场的注意力,企业管理并未受到重视。90年代中期,运营风险问题以及随后的“企业再造”概念风行一时。90年代末至2000年,公众的注意力集中在新经济需求上:新技术、互联网化以及雇佣技术型的员工等。

2002年年中,明确企业治理的立法改革开始在国会酝酿。6月15日,阿瑟•安德森对司法定罪的阻碍似乎平息了公众对一系列企业管理失败的愤怒。然而,同一个月的晚些时候,几家大型企业的财务造假被暴露出来。一夜之间,国会议员纷纷要求通过新的反欺骗法案,目标直指企业违法行为。

于是萨班斯法案应运而生,并于2002年7月30日被签署为法律。萨班斯法案是美国历史上最全面的反企业违法行为的法律之一,明确了从修改财务报表误导审计人员,到威胁告发者等一系列违法行为。萨班斯法案是企业管理发展道路上的一个分水岭。更重要的是,它将建立一套全面控制系统的责任直接放在了CEO的肩膀上。

萨班斯法案反映出,今天的企业管理已经不仅仅是首席官员们的问题,也是董事会面临的主要问题。经理和董事会成员随处都可以发现企业管理风险:懒散的员工、失控的企业家、故意造假的财务报表,以及不同业务部门之间的冲突等等。

使用业务连续性去符合萨班斯法案

为什么一个甚至没有提到业务连续性的法案会不断提升企业对业务连续性的兴趣,甚至使企业将业务连续性运用到管理整体风险上呢?萨班斯法案的404条款规定企业必须了解那些可能影响财务报告流程的风险,并要求他们实施恰当的控制以阻止财务违法行为。这就是为什么业务连续性能够成为萨班斯法案合规性一个内在部分的原因。没有对风险及其影响的掌握,将很难去了解合适的内控结构的本质和范围。

萨班斯法案的404条款要求企业在年度报告中包括内部控制报告,强调企业管理层建立和维护内部控制系统及相应控制程序充分有效的责任,以及发行人管理层最近财政年度末对内部控制体系及控制程序有效性的评价。404条款同时要求审计人员对企业按照公众公司会计监察委员会(PCAOB)制订的标准管理内部控制及其流程进行评价并作出证明和报告。

超过7500万美元资本规模的公司对404条款的合规性必须在2004年6月15日前完成,并对证券交易委员会(SEC)进行报告。对于其他在SEC报告的公司,则必须在2005年4月15日前完成。对于未能符合萨班斯法案要求的公司,其管理层将有可能面临20年以下的监禁,及高达500万美元的罚款。同时,未能符合萨班斯法案的要求也会给公司带来其他损失,比如企业的名誉、公众的信任以及公司的价值等等,这些都可能会影响到一个企业的财务健康状况。

符合404条款要求企业去建立一个基础设施,以确保所有的记录和数据不会被毁灭、丢失、未经授权地变更和错误地使用,这些行为都会严重地威胁到企业业务流程的完整性。

因此,企业需要去建立必要的控制,进行风险评估,执行控制活动,建立有效的沟通和信息流,以及监测,所有这些都是业务连续性方案的关键要素。企业必须按照一个结构化的内部控制框架来建立这个基础设施,比如“美国反对虚假财务报告委员会主持的发起组织委员会(COSO)内部控制整体框架”。COSO框架可为经营的有效性、财务报告的可靠性、适用法律法规的合规性提供合理的保证,它需要以下5个方面要素的支持:

1、控制环境:通过提供必要的纪律和结构来设定企业的基调并提升员工的有效控制意识;

2、风险评估:对内部和外部风险进行确认和分析以决定如何管理企业的内部风险;

3、控制活动:包括确保管理层指令得以实施的政策和程序;

4、信息和交流:相关信息不断地被确认、获取和交流,为管理层监督各项活动和在必要时采取纠正措施提供了保证;

5、监测:包括对企业内部控制质量的持续评估程序。

作为符合萨班斯法案工作的一部分,企业需要去明确和记录所有电子和手工的财务报告流程。业务连续性已经不仅仅局限在IT领域,而是涉及到了企业业务运营的整体。业务连续性规划的前提是对风险及其对业务可能的影响做出评估,包括两个基础分析:一是风险分析,用以确定和评估那些可能会导致业务中断的因素,另一个是业务影响分析(BIA),用以量化风险的影响。掌握这些风险及其影响是建立控制环境的基础,而控制环境又是建立一个基础设施所必需的。

满足恢复时间目标(RTO)、恢复点目标(RTO),需要哪些资源(技术、运营、行政等)?业务影响分析(BIA)能够帮助企业回答这一问题,从而促使企业寻找性价比最高的方法缩小业务中断的影响。

然后,企业将其现有的资源与所需的资源进行对比,了解两者之间的差距。这些差距主要表现在以下三个方面:

1、数据:企业上一次备份的数据与业务中断时的数据之间的差距;

2、时间:企业恢复时间目标和企业实际恢复时间之间的差距;

3、资源:达成恢复目标所需资源与现有资源之间的差距。

任何一种差距都将成为建立控制环境的障碍。例如,假设一个企业每天午夜对其数据进行一次远程备份,而中午时分该企业发生了一次系统崩溃(原因可能是火灾,也可能是病毒),那么,从午夜到中午之间所有输入、运算、接收和发送的数据都将丢失。这显然会使数据发生错误。完善的控制环境可以明确这些差距并将数据调整到合适的状态,同时,处理恢复时间和资源的流程必须到位。

考虑企业的供应链

控制不仅仅局限于企业内部流程,也必须涵盖企业的外部。只有将与自身有联系的外部企业考虑在内,企业才能建立一个完整的控制环境。因此,企业对外部合作者(如厂商、服务提供商、外包方)的考虑也是非常关键的。当企业的外包对起对财务报表有直接的影响时,SEC将要求评估该外包服务提供商的内控结构是否能够完成外包协议的规定,以符合404条款的规定。企业应该详细地了解其供应链中的合作伙伴是否有从业务中断中恢复的能力,并要求他们提供书面的证明。在这方面的强调,和404条款一起,更加突显出业务连续性的重要性。例如,最近一个国际无线和宽带通信生产商开始要求他的所有提供商提供书面的业务连续性计划以证明他们的恢复能力。

萨班斯法案对业务连续性的影响

由于萨班斯法案的出台,业务连续性重新成为首席官员们关注的焦点,并被作为确保企业合规性的一个有效的方法。同时,企业在业务连续性计划的实施方面也作出了改变,包括:

每年对业务连续性计划进行评估

以前,企业高层对其业务连续性计划非常不重视——假如他们有这个计划的话。业务连续性计划通常狭隘地集中在IT功能上,由中层管理人员来负责,并且只有在“必须”的情况下才会进行更新。唯一例外的是银行,他们在联邦金融机构检查委员会(FFIEC)的指令下检查计划的进度并验收测试结果。这种缺乏兴趣的行为在法规和重大事件的推动下不断发生变化。而今,企业的业务连续性计划变得更加全面,并且至少每年对其进行测试,定期举行演练和更新。

高级管理层的参与

萨班斯法案要求高层管理人员直接参与企业的内部管理流程。由高层管理人员组成的指导委员会开始形成以负责检查整个业务连续性规划的进程,甚至一些企业正在考虑在其高层中增加一位首席连续官。

对企业外部进行规划

高级管理人员开始考虑、评估和明确来自企业外部的风险,例如供应链的弱点等。以前,管理层几乎只关注企业的内部,而不会去考虑外部风险,而采取行动去明确和规避这些风险的人就更少了。

要求将业务连续性计划作为服务水平协议(SLA)的一部分

拥有风险管理最佳实践的企业更倾向于与那些在风险意识方面看法相似的企业进行合作。因此,企业开始要求他们的业务合作伙伴将业务连续性计划添加到服务水平协议中。

业务连续性预算不断增加

业务连续性工作——不仅是IT灾难恢复——的预算随着高级管理人员对业务连续性计划在规避企业内部风险方面作用的逐渐认识而不断增加。

结论

随着萨班斯法案规定的合规时间越来越近,所有的企业,不管他们处于哪个行业,都必须完成他们的内控结构和流程。企业将发现这一过程会比预计花费更长的时间,而且肯定比SEC估计的最短时间要长。

然而,越早开始启动业务连续性规划就能越准确和准时地向SEC进行报告,其反馈的信息将有助于企业更新或建立一个公司范围的业务连续性计划。

因此,首席官员们不应低估业务连续性的价值,它不仅能够帮助企业符合法律的规定,而且能够提供及其重要的信息,帮助企业建立新的控制结构,提高企业管理,进而提升企业的整体运营水平。