今天,对Sarbanes-Oxley法案404部分的遵循已经成为企业的一个重要问题。
定义一个真正需要的控制层次通常是一个比较困难的事情。因此,如果不能有一个关于下列问题的正确解决方案,SOX-compliance将难以进行:
-我们希望实体化一个什么样的控制项目?
- 我们怎样才能获得这些控制?
好,现在您可以使用ActiveModeler Avantage SOX-检查器了!
为了使所有的信息一体化,这样的控制项目必须结合您的商业流程正确地被策划。
请想象一下- 如果您用国际BPMN标准来定义您的商业流程,并且作为对您的商业模型的延伸而增加这些控制项目到全COSO标准......
SOX检查器允许您增加控制检测点到您的任务级别或者是更高实体级别的商业流程上去。一个包含所有控制点的报告将以Excel报表的形式输出来让您进行分析。 这里您也能够看到控制项目何时被内部和外部的审计员最后更新和评估。
一个完整的方案 |
全方位链接到BPMN企业模型。使用这个方案,您可以通过SOX使您的企业以另外一些方式受益,比如提高效率,流程分析等。 |
| 集中化企业资源池 |
一个由版本控制来追踪改变安全中心库. |
有效成本 |
一个容易被使用的系统,通过它企业用户可以参与减少昂贵的咨询费用。 |
工作流 |
ActiveModeler Avantage允许测试为综合ActiveFlow工作流系统所有选择地校验。 |
让我们来看一下这个方案在下列操作中的表现。
1. 首先,您用Avantage来定义一个符合BPMN标准的商业流程。(点击显示全画面)
2. 然后,您在商业流程模型的相关点来捕捉数据-这就是数据捕捉。
您只需要选择图表(或者BP树)中的一个项目,然后再SOX检查器中改变SOX属性。
您可以容易地得到这些控制项目报表:
并且所有的控制项目都以Excel来显示. (点击下图显示详细信息).
有报告显示,企业在遵循SOX 404上花费了超出他们预算的相当高的费用。
为了提高利润,企业在寻求一个能够降低这个费用的方案。
建立在您的企业流程模型上的Avantage SOX检查器可以帮助您降低这个费用并且能够更好的合规化控制信息。
在SOX 404 compliance的早期阶段:
◆ 一般来讲,为了带来特定的而不是现有的专业知识,公司会雇用一些昂贵的外部顾问。
◆ 内部顾问被加入SOX组的目的并不是紧缩太多内部资源。
◆ 会计公司被用来稽核SOX-compliance。
◆ 内部管理大大地被卷入整个商业实绩,因而引起相当的花费。
◆ 标准化的工具不被使用。
这样的一个方案在SOX-compliance的“蜜月期“还是非常有用的,但是仍需要引进一个长期可行的方案。
我们仍需要集中SOX内部专家和某些内部/外部审计员估价的一些优势,但是Avantage方案可以使得被分离的和分散的组管理的诸多方面转换成每日商业运作方式的一部分。
用这种方式,流程拥有者将负责大部分的合规文档和控制测试。内部的审计职员或者是SOX专家也可以初步监视SOX-compliance,并且为了确认控制和过程是有效的,他们引 进的高水平估价也能够管理流程品质。
这种方案的另外一个好处是使流程拥有者开始更好地理解他们的流程,并且我们也将逐渐灌输商业流程再造和组织结构转换的概念。
首先,为了使流程定义更容易地使用和跨组织结构展开,您需要一个标准化工具。这样一个标准化工具可以确保,当从文档/测试职责部门转向流程拥有者时,流程定义和控制不被内部组织的各个组曲解。
ActiveModeler Avantage的一个优点是100%地遵守BPMN国际标准,所有公司流程文档将以一个可被接受地标准来开发。
培训您的员工可以使流程拥有者能够存档自己的流程,更为重要的是精确地存档各个细节层次。这一点通过Avantage您可以很容易的实现。同时您也可以确保所有员工以相同地方式存档流程。在1天的培训课程之后,您的员工能够以国际标准来存档流程。所有的图形元素都将被严格定义和控制,文档和规范也能够被很好的捕捉。
为了确保只有正确授权的人才能更新和评价这些文档,您的公司需要定义的一个很好评价流程来实现一个详细的文档控制。 这个对于长期保证流程和控制文档正确性是必要的。如果版本控制是必要的,这样一个流程文档能够被放入CVS资源池。这个过程就象一个电子的数据金库并且非常有用,尤其是针对大的公司。 对这些文档的更新被严格控制并且通过全方位地审计控制来check-in。Avantage通过简单的check-in/check-out命令很容易地和CVS资源池接口。
在流程文档被保存之后,我们需要对这些文档增加控制。 这就是为什么需要内部SOX专家给出自上而下的指导,为什么需要就哪些类型的控制是必要的和怎样测试那些内部控制,而对流程拥有者进行培训。请记住,SOX不仅仅存档流程,而且也是控制点。Avantage允许你突出这些控制点并且存档控制流程。 在流程图表里,所有的控制点能被显示,比如说用红色显示。
过去,很多公司执行了过多的SOX控制和估价,这就是为什么在精确决定什么类型的控制是必要的时候,自上而下的方案是必要的。 Avantage允许控制在任务层次或者更高的实体层次被引进。
在经过培训之后,流程拥有者能够辨出好的和弱的内部控制,或者好的和不满意的文档。他们应该有一个对所有流程文档需求的清晰的理解和所有他们管理的流程的内部控制的全部知识。 正常情况下,一个流程可以通过内部审计员和SOX专家的估价来提升为SOX-compliance流程。当流程的内部控制的缺陷被诊断时,或者自上次培训之后,已经过去一段时间,将自动触发对流程拥有者和组员的培训。
Avantage对于流程控制和测试结果能够产生一个标准的报告,目的是在一个公司内部,一直确保所有的内部控制以一种连贯的方式被测试,尽管它波及了所有操作。这个要求在对于一个商业部门成功地安装SOX-compliance流程是非常关键的。仅仅被授权的用户,比如内部审计职员或者流程管理者能够有权更新这些测试。 一旦一个内部控制的测试被更新,对于那些商业部门中波及所有操作的内部控制来讲,仅仅最新的版本才能够使用。
在Excel报告中,Avantage使得内部控制的下列门槛值显著而清晰。这些门槛值能够被自动标记为缺点,并且在一个公司内部可以被追踪。 关键的过程拥有者和内部审计职员能够看到这些缺陷。
为了确保缺陷在特定的时间范围内被校正,对于下面任意控制的校正动作需要在一个组织结构内部被追踪。
多功能性 |
BPMN流程将捕捉以下值:风险,控制点、决断、COSO属性、额定值、测试和估价。 |
不同实体级别的风险控制 |
风险控制可以被定义在图表、泳池、泳道和任务级别。 |
表编辑器 |
如果您的组织结构需要的话,风险,控制点、决断、COSO属性、额定值、测试和估价的标准集能够被编辑并且精确设定。 |
颜色编码和前缀标记 |
根据您的喜好,含有风险控制的任务能够被加上不同颜色来区别。同时也可以对这样的任务给予额外的标记(对于组织结构和单色打印非常有用)。 |
查帐索引 |
更新内部和外部查账索引,估价、时间被记录、版本被保保存在CVS资源池中。 |
Excel风险控制矩阵 |
RCM被输出到Excel. 对一个流程还是多个流程分析依赖于流程树中分析点的选择。 |
Excel格式 |
RCM表单能够依照您的喜好的格式来显示。 |
