改进的萨班斯法案（SOX）引导的方式

　　John Sapp是McKesson公司的高级管理员，主要从事IT管理、风险与规则遵守，同时也是国家最大的制药分销商。他说：“我们创建战略的方法绝对会是包罗万象的，要么遵守规则，要么遵守我们的内部策略。基本上，首先建立大的图像，然后，决定我们将如何实现它，并确保我们从事这项工作的方式允许我们能真正的做到跨企业的综合，同时又要脱离我们通常所见到的分散的做法。

　　McKesson公司2008年的财政年度收入是1071亿美元，关于遵守萨班斯-奥克斯莱法案，该公司有一个成熟的程序，并且这是Sapp模型和其团队正在遵循的程序，用以构建一个一站式企业范围内的遵守程序。

　　Sapp具有开发和项目管理的背景，他称财富500强中有很多企业想要制定一套可重复的流程来处理规则遵守问题，而他的组织与大部分这些企业不同。他已经采取措施来确定并了解McKesson公司的IT环境，制订对控件的测试，并使之自动化，评估并报告风险，提高组织风险和规则遵守程序的整体成熟性。他说，现在，McKesson处于一个特定的状态，向着可重复性迈进，并最终实现进程的标准化，同时优化进程。

　　Sapp说：“在三年内，我期望我们能处于一个标准化的状态，这对我而言，就是让我们达到这样的状况：我们拥有一套标准、进程和控件，可以始终如一地普遍适用于不同的企业，并能够进行优化，我们能够真正地获得即插即用的环境，即：无论我们获得了什么产品，我们都可以插上电源使用，或者如果我们选择卖掉某个企业，这个环境可以使我们轻松的处理这个过程。

　　作为McKesson公司以前风险服务方面的高级顾问，Sapp是SOX企业部门的协调管理人员，主要负责SOX法案项目的IT控制。接触到了更广泛的职能以后，他很快发现了McKesson公司的众多收购是如何创造了这样一种环境的，在这个环境里，公司是分散操作的，根本没有采用标准化的程序或者生命周期的方法来处理规则管理的工作。他的目标很快便很明确：克服分散的做法，建立一个项目，可以允许他通过这些活动来促进公司的运行。

　　McKesson公司的SOX项目利用了ISO27001标准，来进行信息安全管理；并且采用了COBIT框架来进行IT管理和计量。

　　Sapp说，虽然他的组织已经配置了Brabeion GRC 套件，但是他相信不同工具的结合将最终满足McKesson公司的需要。他正在评估几种其它类型的IT GRC工具，会帮助将多个规则（比如PCI和HIPAA）添加到这些框架之中。SOX、PCI和HIPAA是McKesson公司的三个最大的规则遵守问题。此外，该公司用于财政方面的SAP环境，是人们关注的主要领域。

　　Sapp说：“我们发现许多类似的规则，ISO中的一条规定可以满足每条这些规则中一些部分。”比如，访问控制就是每条规则的补充。“只要满足其中一项ISO的条款，ISO就允许我们在不同的规则中使用同一项条款，并且确保是正确的。我可以测试一次，并且可以进行多次确认。如果我正在每项规则中使用相同的访问控制程序，那么接下来，我就可以减少测试的次数。这就是采用我们的SOX项目，我所能做到的。由于我们已经大大地改善了我们的程序，因此我可以彻底的减少在审计上所花费的时间。我们已经完成了审计，这个时间我称之为创纪录的时间，也在我们的预算之内。”

　　Sapp希望，他现在所评估的GRC工具会进一步脱离繁琐、费力的手工过程，来从企业部门中收集数据、测试、并将控件与特定的规则相对应。随着200多个控件可适用于SOX项目，Sapp说，这是采用Brabeion工具实现自动化的第一个目标。

　　他说：“我们期待有一个自动化的工具，能够帮助我们测试这些控件，指认证据，并防止用户跳转到下一步。我有一个用户告诉我，我们已经改善了这里的生活质量。虽然，在自动化之前，我确实使用了SharePoint，但是，你获得了这些工具，工作量并不在于此。”

　　Sapp指出，他说看到的GRC工具在界定某个组织的资产和法人方面，做得相当出色。他说，他们一致赞成对工作流程进行分析，并创建附属的流程；这种信息也可以用于GRC以外的工具。他补充到，这个工具可以正确的收集资产的信息（比如，确认不受支持或者过期的软件版本），这在风险评估过程中有帮助。最后，他指出仪表板设施是一种强有力的方法，所提供的风险图片，可以达到C级。

　　他说，与此相反，一些工具虽然试图做很多工作，但是做得并不是很好。这些产品被宣传为一切齐全、即可使用。由于工作重点被误导了，因此，整个企业的GRC项目有时会遭受运行不好的工作流程。Sapp说：“厂商主要是出售工具，而不是让你退回去，查看进程和策略。他们最先考虑的不是进程和策略，他们把这项工具调整的任务丢给你，并且声称这可以解决你所与的问题。”

　　Forrester公司的Othersen说，在这些处于其核心地位的工具很好地遵守了规则，指出来源，自动进行人工测试，并提供可靠的报告。它们的失败之处在于没有将IT风险与行业风险挂钩。

　　Othersen说：“在风险引擎方面，它们没有商业前景。这些工具都集中处理IT方面的问题，但是大部分风险都是与业务一起发生的。如果你遗失了信用卡号码，相关的行业将支付损失，而不是IT行业支付。将IT控制失误转化为行业风险，这是这些产品的最大弱点。

　　他补充到，他们也不需要解决治理。“作为一个首席信息官（CIO）或者安全经理，应该由你自己来决定使用这种工具进行收集和分析数据”