當今的企業都需要遵守越來越多的政府法規，這些法規規定了企業信息如何管理和發布，有些法規僅僅需要某些行業遵守，而有些法規，如薩班斯法案（SOX），則要求所有行業都需要遵守。SOX法案雖然只針對美國上市公司，但是其影響力波及世界所有上市公司，因為他們碰到同樣的問題。

銀行的內部管理一直以嚴格著稱，達到SOX的標準是許多銀行追求的目標。銀行信息系統包括交易系統、客戶關系管理系統、財務系統、信貸系統、人力資源、資金系統等。過去很多中小銀行的管理信息系統建設，更多的是考慮功能上的應用，對內控管理和信息安全方面思考不多。本文試圖讓中小銀行的IT人員了解SOX理念，以及管理信息系統如何滿足SOX合規性要求。

洞悉SOX理念

1.SOX不是購買所謂的支持SOX的軟件。一定要清楚地認識到，SOX的合規性要求并不能通過簡單購買軟件來實現。SOX首先要求的是企業改變業務處理方式，特別是涉及到資金方面的業務流程以及結果報告方式。

好的軟件雖然很重要，但它只是工具。

買一個世界上最好的錘子，并不能讓一個草率糊弄的木匠變得有效和認真，除非他能改變他的工作態度和工作習慣。一個真正好的木匠即使沒有足夠的工具，也能建造出非常完美的房子。

企業的財務報告也是如此。即使使用最好的財務軟件，一個草率的財務人員，也會做出糊弄的報告。所以，建立符合以下理念的文化是非常重要的，包括守法、透明化和協作、管理和責任、培訓等。

2.合規性要求在人員、流程和技術方面取得平衡。上面提到文化建設是使人了解合規性是什么，然后，強迫員工養成合規性的習慣，僅有這些仍不夠，還需要建立一致的業務流程來滿足合規性需求，流程建立不可能一步到位，首先需要建立影響業務操作和內控的關鍵業務點流程，同時，要使這些流程更有效，必須引入協同辦公的軟件。協同辦公軟件是實現SOX合規性要求的很重要的工具。協同工作軟件一方面可以提供人員管理、流程控制、數據存取，另一方面，在信息查詢、變更控制、高級搜索上，可以提供可控的透明化的信息溝通。

文化建設、流程建立、軟件實現這三部分都很重要，都是為了實現一個共同目標，因此，不存在哪個更重要，哪個不重要。更不要追求某一個部分的完美，要在人員建設、流程建立、軟件實現方面取得平衡，滿足SOX合規性的要求，使企業內控效果最大化。

3.SOX內控是透明化的人盯人管理。《賭場風云》是一部精彩的以拉斯維加斯為背景的賭博電影。電影開始的時候，賭場經理人愛司的畫外音在介紹賭場的內部監控體系：“在拉斯維加斯，每一個人都在監視別人。發牌的人時刻監視著賭客，小領班坐在場中間監視發牌手，樓層領班站在身后監視小領班，大堂領班監視樓層領班，當值領班監視大堂領班，賭場經理監視當值領班，我監視賭場經理。空中的眼睛監視我們所有人。”然后，鏡頭轉向樓上的電視監視室。同時樓上還有一些人手持望遠鏡在觀察。愛司的畫外音繼續：“還有更厲害的，我們雇了十幾個人，這些家伙都是些老千前輩，對賭場中的所有騙術都了如指掌”。

這部電影形象地告訴我們，內控理念的精髓是透明化的人盯人管理。所以，IT系統要滿足SOX合規性要求，企業IT人員面臨的最大挑戰，不是幫助業務部門選擇或采購多么復雜、先進的IT系統，而是要求IT人員深入了解業務流程，然后用IT技術實現流程自動化和透明化管理。

4.SOX要求企業明確區分非正式溝通和正式溝通。我們在日常管理中經常有這樣的場景，當出現問題的時候，上級領導喜歡追究下級領導的責任，而下級領導又經常用“我過去向某某下屬交代過這個問題（言外之意，是下屬不按照我說的做，才產生這樣的問題）”來推卸責任，層層追究到最后，最底層員工沒辦法再把責任往下推，只好把問題又向上推回去，說“你們領導過去說的東西多了，而且經常出爾反爾，誰知道究竟哪句話是對的”。這就是企業管理中溝通混亂的表現。要避免問題以及遵循合規性的要求，SOX要求企業明確區分正式溝通和非正式溝通，企業要為正式溝通和非正式溝通建立不同的工作流程。

5.企業記錄管理滿足SOX及政府法規的要求。

企業中的那些電子記錄必須保留，保留多長時間，如何讓監管機構更易訪問，從而滿足SOX和政府法規的需要是企業面臨的巨大挑戰。記錄管理使得企業可以根據法律要求，在內容項（或者記錄）從創建到銷毀的整個生命期中對其進行有效管理。記錄管理的挑戰之一，就是跟蹤那些法律上或是商業上對企業非常重要的信息項目。

例如，一封包含有引用企業或一個客戶的財務信息的電子郵件，就會被當作是一個記錄。記錄管理的另一個挑戰是，清除和過濾掉那些不需要存儲的記錄。例如，兩個員工間討論去哪兒吃午飯的電子郵件，就不應當被當作是記錄材料。