企業(yè)如何利用業(yè)務(wù)連續(xù)性實(shí)現(xiàn)法規(guī)遵從

在幾起引人注目的公司管理失敗事件之后，國(guó)會(huì)頒布了《2002年薩班斯——奧克斯利法案》(簡(jiǎn)稱薩班斯法案)，以明確公司管理的缺陷，并在管理和財(cái)務(wù)報(bào)告的協(xié)助下提高對(duì)企業(yè)的整體控制。這次立法的目的是為了保護(hù)員工、業(yè)務(wù)合作伙伴和企業(yè)。
    在一段時(shí)間內(nèi)不斷看到圍繞著業(yè)務(wù)連續(xù)性出臺(tái)的特別立法和規(guī)章之后，很自然地，薩班斯法案被看作是這些規(guī)章類似的擴(kuò)展。
    薩班斯法案并沒有明確地提出對(duì)業(yè)務(wù)連續(xù)性的要求。事實(shí)上，它根本就沒有提到業(yè)務(wù)連續(xù)性。但是作為一個(gè)實(shí)際的問題，業(yè)務(wù)連續(xù)性被看作在企業(yè)內(nèi)部建立全面控制環(huán)境的一個(gè)方法。薩班斯法案促使企業(yè)采取更廣泛的行動(dòng)，使其業(yè)務(wù)連續(xù)性計(jì)劃更加完善。
    薩班斯法案的起源
    20世紀(jì)60年代末，企業(yè)管理第一次被作為一個(gè)公共問題被提出來，并逐漸引起企業(yè)的注意。當(dāng)時(shí)，大型的企業(yè)集團(tuán)——即那些擁有互不關(guān)聯(lián)資產(chǎn)的控股公司——由于他們的效率低下而廣受批評(píng)。
    進(jìn)入80年代，對(duì)儲(chǔ)蓄和貸款的抨擊及第三世界債務(wù)問題吸引了整個(gè)市場(chǎng)的注意力，企業(yè)管理并未受到重視。90年代中期，運(yùn)營(yíng)風(fēng)險(xiǎn)問題以及隨后的“企業(yè)再造”概念風(fēng)行一時(shí)。90年代末至2000年，公眾的注意力集中在新經(jīng)濟(jì)需求上：新技術(shù)、互聯(lián)網(wǎng)化以及雇傭技術(shù)型的員工等。
    2002年年中，明確企業(yè)治理的立法改革開始在國(guó)會(huì)醞釀。6月15日，阿瑟·安德森對(duì)司法定罪的阻礙似乎平息了公眾對(duì)一系列企業(yè)管理失敗的憤怒。然而，同一個(gè)月的晚些時(shí)候，幾家大型企業(yè)的財(cái)務(wù)造假被暴露出來。一夜之間，國(guó)會(huì)議員紛紛要求通過新的反欺騙法案，目標(biāo)直指企業(yè)違法行為。
    于是薩班斯法案應(yīng)運(yùn)而生，并于2002年7月30日被簽署為法律。薩班斯法案是美國(guó)歷面的反企業(yè)違法行為的法律之一，明確了從修改財(cái)務(wù)報(bào)表誤導(dǎo)審計(jì)人員，到威脅告發(fā)者等一系列違法行為。薩班斯法案是企業(yè)管理發(fā)展道路上的一個(gè)分水嶺。更重要的是，它將建立一套全面控制系統(tǒng)的責(zé)任直接放在了CEO的肩膀上。
    薩班斯法案反映出，今天的企業(yè)管理已經(jīng)不僅僅是首席官員們的問題，也是董事會(huì)面臨的主要問題。經(jīng)理和董事會(huì)成員隨處都可以發(fā)現(xiàn)企業(yè)管理風(fēng)險(xiǎn)：懶散的員工、失控的企業(yè)家、故意造假的財(cái)務(wù)報(bào)表，以及不同業(yè)務(wù)部門之間的沖突等等。
    使用業(yè)務(wù)連續(xù)性去符合薩班斯法案
    為什么一個(gè)甚至沒有提到業(yè)務(wù)連續(xù)性的法案會(huì)不斷提升企業(yè)對(duì)業(yè)務(wù)連續(xù)性的興趣，甚至使企業(yè)將業(yè)務(wù)連續(xù)性運(yùn)用到管理整體風(fēng)險(xiǎn)上呢?薩班斯法案的404條款規(guī)定企業(yè)必須了解那些可能影響財(cái)務(wù)報(bào)告流程的風(fēng)險(xiǎn)，并要求他們實(shí)施恰當(dāng)?shù)目刂埔宰柚关?cái)務(wù)違法行為。這就是為什么業(yè)務(wù)連續(xù)性能夠成為薩班斯法案合規(guī)性一個(gè)內(nèi)在部分的原因。沒有對(duì)風(fēng)險(xiǎn)及其影響的掌握，將很難去了解合適的內(nèi)控結(jié)構(gòu)的本質(zhì)和范圍。
    薩班斯法案的404條款要求企業(yè)在年度報(bào)告中包括內(nèi)部控制報(bào)告，強(qiáng)調(diào)企業(yè)管理層建立和維護(hù)內(nèi)部控制系統(tǒng)及相應(yīng)控制程序充分有效的責(zé)任，以及發(fā)行人管理層最近財(cái)政年度末對(duì)內(nèi)部控制體系及控制程序有效性的評(píng)價(jià)。404條款同時(shí)要求審計(jì)人員對(duì)企業(yè)按照公眾公司會(huì)計(jì)監(jiān)察委員會(huì)(PCAOB)制訂的標(biāo)準(zhǔn)管理內(nèi)部控制及其流程進(jìn)行評(píng)價(jià)并作出證明和報(bào)告。
    超過7500萬美元資本規(guī)模的公司對(duì)404條款的合規(guī)性必須在2004年6月15日前完成，并對(duì)證券交易委員會(huì)(SEC)進(jìn)行報(bào)告。對(duì)于其他在SEC報(bào)告的公司，則必須在2005年4月15日前完成。對(duì)于未能符合薩班斯法案要求的公司，其管理層將有可能面臨20年以下的監(jiān)禁，及高達(dá)500萬美元的罰款。同時(shí)，未能符合薩班斯法案的要求也會(huì)給公司帶來其他損失，比如企業(yè)的名譽(yù)、公眾的信任以及公司的價(jià)值等等，這些都可能會(huì)影響到一個(gè)企業(yè)的財(cái)務(wù)健康狀況。
    符合404條款要求企業(yè)去建立一個(gè)基礎(chǔ)設(shè)施，以確保所有的記錄和數(shù)據(jù)不會(huì)被毀滅、丟失、未經(jīng)授權(quán)地變更和錯(cuò)誤地使用，這些行為都會(huì)嚴(yán)重地威脅到企業(yè)業(yè)務(wù)流程的完整性。
    因此，企業(yè)需要去建立必要的控制，進(jìn)行風(fēng)險(xiǎn)評(píng)估，執(zhí)行控制活動(dòng)，建立有效的溝通和信息流，以及監(jiān)測(cè)，所有這些都是業(yè)務(wù)連續(xù)性方案的關(guān)鍵要素。企業(yè)必須按照一個(gè)結(jié)構(gòu)化的內(nèi)部控制框架來建立這個(gè)基礎(chǔ)設(shè)施，比如“美國(guó)反對(duì)虛假財(cái)務(wù)報(bào)告委員會(huì)主持的發(fā)起組織委員會(huì)(COSO)內(nèi)部控制整體框架”。COSO框架可為經(jīng)營(yíng)的有效性、財(cái)務(wù)報(bào)告的可靠性、適用法律法規(guī)的合規(guī)性提供合理的保證，它需要以下5個(gè)方面要素的支持：
    1、控制環(huán)境：通過提供必要的紀(jì)律和結(jié)構(gòu)來設(shè)定企業(yè)的基調(diào)并提升員工的有效控制意識(shí);
    2、風(fēng)險(xiǎn)評(píng)估：對(duì)內(nèi)部和外部風(fēng)險(xiǎn)進(jìn)行確認(rèn)和分析以決定如何管理企業(yè)的內(nèi)部風(fēng)險(xiǎn);
    3、控制活動(dòng)：包括確保管理層指令得以實(shí)施的政策和程序;
    4、信息和交流：相關(guān)信息不斷地被確認(rèn)、獲取和交流，為管理層監(jiān)督各項(xiàng)活動(dòng)和在必要時(shí)采取糾正措施提供了保證;
    5、監(jiān)測(cè)：包括對(duì)企業(yè)內(nèi)部控制質(zhì)量的持續(xù)評(píng)估程序。
    作為符合薩班斯法案工作的一部分，企業(yè)需要去明確和記錄所有電子和手工的財(cái)務(wù)報(bào)告流程。業(yè)務(wù)連續(xù)性已經(jīng)不僅僅局限在IT領(lǐng)域，而是涉及到了企業(yè)業(yè)務(wù)運(yùn)營(yíng)的整體。業(yè)務(wù)連續(xù)性規(guī)劃的前提是對(duì)風(fēng)險(xiǎn)及其對(duì)業(yè)務(wù)可能的影響做出評(píng)估，包括兩個(gè)基礎(chǔ)分析：一是風(fēng)險(xiǎn)分析，用以確定和評(píng)估那些可能會(huì)導(dǎo)致業(yè)務(wù)中斷的因素，另一個(gè)是業(yè)務(wù)影響分析(BIA)，用以量化風(fēng)險(xiǎn)的影響。掌握這些風(fēng)險(xiǎn)及其影響是建立控制環(huán)境的基礎(chǔ)，而控制環(huán)境又是建立一個(gè)基礎(chǔ)設(shè)施所必需的。
    滿足恢復(fù)時(shí)間目標(biāo)(RTO)、恢復(fù)點(diǎn)目標(biāo)(RTO)，需要哪些資源(技術(shù)、運(yùn)營(yíng)、行政等)?業(yè)務(wù)影響分析(BIA)能夠幫助企業(yè)回答這一問題，從而促使企業(yè)尋找性價(jià)比的方法縮小業(yè)務(wù)中斷的影響
    企業(yè)將其現(xiàn)有的資源與所需的資源進(jìn)行對(duì)比，了解兩者之間的差距。這些差距主要表現(xiàn)在以下三個(gè)方面：
    1、數(shù)據(jù)：企業(yè)上一次備份的數(shù)據(jù)與業(yè)務(wù)中斷時(shí)的數(shù)據(jù)之間的差距;
    2、時(shí)間：企業(yè)恢復(fù)時(shí)間目標(biāo)和企業(yè)實(shí)際恢復(fù)時(shí)間之間的差距;
    3、資源：達(dá)成恢復(fù)目標(biāo)所需資源與現(xiàn)有資源之間的差距。
    任何一種差距都將成為建立控制環(huán)境的障礙。例如，假設(shè)一個(gè)企業(yè)每天午夜對(duì)其數(shù)據(jù)進(jìn)行一次遠(yuǎn)程備份，而中午時(shí)分該企業(yè)發(fā)生了一次系統(tǒng)崩潰(原因可能是火災(zāi)，也可能是病毒)，那么，從午夜到中午之間所有輸入、運(yùn)算、接收和發(fā)送的數(shù)據(jù)都將丟失。這顯然會(huì)使數(shù)據(jù)發(fā)生錯(cuò)誤。完善的控制環(huán)境可以明確這些差距并將數(shù)據(jù)調(diào)整到合適的狀態(tài)，同時(shí)，處理恢復(fù)時(shí)間和資源的流程必須到位。
    考慮企業(yè)的供應(yīng)鏈
    控制不僅僅局限于企業(yè)內(nèi)部流程，也必須涵蓋企業(yè)的外部。只有將與自身有聯(lián)系的外部企業(yè)考慮在內(nèi)，企業(yè)才能建立一個(gè)完整的控制環(huán)境。因此，企業(yè)對(duì)外部合作者(如廠商、服務(wù)提供商、外包方)的考慮也是非常關(guān)鍵的。當(dāng)企業(yè)的外包對(duì)起對(duì)財(cái)務(wù)報(bào)表有直接的影響時(shí)，SEC將要求評(píng)估該外包服務(wù)提供商的內(nèi)控結(jié)構(gòu)是否能夠完成外包協(xié)議的規(guī)定，以符合404條款的規(guī)定。企業(yè)應(yīng)該詳細(xì)地了解其供應(yīng)鏈中的合作伙伴是否有從業(yè)務(wù)中斷中恢復(fù)的能力，并要求他們提供書面的證明。在這方面的強(qiáng)調(diào)，和404條款一起，更加突顯出業(yè)務(wù)連續(xù)性的重要性。例如，最近一個(gè)國(guó)際無線和寬帶通信生產(chǎn)商開始要求他的所有提供商提供書面的業(yè)務(wù)連續(xù)性計(jì)劃以證明他們的恢復(fù)能力。
    薩班斯法案對(duì)業(yè)務(wù)連續(xù)性的影響
    由于薩班斯法案的出臺(tái)，業(yè)務(wù)連續(xù)性重新成為首席官員們關(guān)注的焦點(diǎn)，并被作為確保企業(yè)合規(guī)性的一個(gè)有效的方法。同時(shí)，企業(yè)在業(yè)務(wù)連續(xù)性計(jì)劃的實(shí)施方面也作出了改變，包括：
    每年對(duì)業(yè)務(wù)連續(xù)性計(jì)劃進(jìn)行評(píng)估
    以前，企業(yè)高層對(duì)其業(yè)務(wù)連續(xù)性計(jì)劃非常不重視——假如他們有這個(gè)計(jì)劃的話。業(yè)務(wù)連續(xù)性計(jì)劃通常狹隘地集中在IT功能上，由中層管理人員來負(fù)責(zé)，并且只有在“必須”的情況下才會(huì)進(jìn)行更新。例外的是銀行，他們?cè)诼?lián)邦金融機(jī)構(gòu)檢查委員會(huì)(FFIEC)的指令下檢查計(jì)劃的進(jìn)度并驗(yàn)收測(cè)試結(jié)果。這種缺乏興趣的行為在法規(guī)和重大事件的推動(dòng)下不斷發(fā)生變化。而今，企業(yè)的業(yè)務(wù)連續(xù)性計(jì)劃變得更加全面，并且至少每年對(duì)其進(jìn)行測(cè)試，定期舉行演練和更新。
    高級(jí)管理層的參與
    薩班斯法案要求高層管理人員直接參與企業(yè)的內(nèi)部管理流程。由高層管理人員組成的指導(dǎo)委員會(huì)開始形成以負(fù)責(zé)檢查整個(gè)業(yè)務(wù)連續(xù)性規(guī)劃的進(jìn)程，甚至一些企業(yè)正在考慮在其高層中增加一位首席連續(xù)官。
    對(duì)企業(yè)外部進(jìn)行規(guī)劃
    高級(jí)管理人員開始考慮、評(píng)估和明確來自企業(yè)外部的風(fēng)險(xiǎn)，例如供應(yīng)鏈的弱點(diǎn)等。以前，管理層幾乎只關(guān)注企業(yè)的內(nèi)部，而不會(huì)去考慮外部風(fēng)險(xiǎn)，而采取行動(dòng)去明確和規(guī)避這些風(fēng)險(xiǎn)的人就更少了。
    要求將業(yè)務(wù)連續(xù)性計(jì)劃作為服務(wù)水平協(xié)議(SLA)的一部分
    擁有風(fēng)險(xiǎn)管理實(shí)踐的企業(yè)更傾向于與那些在風(fēng)險(xiǎn)意識(shí)方面看法相似的企業(yè)進(jìn)行合作。考試大提示企業(yè)開始要求他們的業(yè)務(wù)合作伙伴將業(yè)務(wù)連續(xù)性計(jì)劃添加到服務(wù)水平協(xié)議中。
    業(yè)務(wù)連續(xù)性預(yù)算不斷增加
    業(yè)務(wù)連續(xù)性工作——不僅是IT災(zāi)難恢復(fù)——的預(yù)算隨著高級(jí)管理人員對(duì)業(yè)務(wù)連續(xù)性計(jì)劃在規(guī)避企業(yè)內(nèi)部風(fēng)險(xiǎn)方面作用的逐漸認(rèn)識(shí)而不斷增加。
    結(jié)論
    隨著薩班斯法案規(guī)定的合規(guī)時(shí)間越來越近，所有的企業(yè)，不管他們處于哪個(gè)行業(yè)，都必須完成他們的內(nèi)控結(jié)構(gòu)和流程。企業(yè)將發(fā)現(xiàn)這一過程會(huì)比預(yù)計(jì)花費(fèi)更長(zhǎng)的時(shí)間，而且肯定比SEC估計(jì)的最短時(shí)間要長(zhǎng)。
    然而，越早開始啟動(dòng)業(yè)務(wù)連續(xù)性規(guī)劃就能越準(zhǔn)確和準(zhǔn)時(shí)地向SEC進(jìn)行報(bào)告，其反饋的信息將有助于企業(yè)更新或建立一個(gè)公司范圍的業(yè)務(wù)連續(xù)性計(jì)劃。
    因此，首席官員們不應(yīng)低估業(yè)務(wù)連續(xù)性的價(jià)值，它不僅能夠幫助企業(yè)符合法律的規(guī)定，而且能夠提供及其重要的信息，幫助企業(yè)建立新的控制結(jié)構(gòu)，提高企業(yè)管理，進(jìn)而提升企業(yè)的整體運(yùn)營(yíng)水平。