尽管贝塔斯曼还不是美国上市公司，但江玮觉得加强内控是企业迟早要面对的要务。2004年12月，江玮到任时，贝塔斯曼由于之前内部出现的一些问题，正处于对内控有强烈需要的阶段，这也成了他抓住机会的契机。

　　经过半年对内部信息系统的整顿后，江玮开始把工作重心转移到加强内控上。在江玮看来，转变业务部门的工作理念是加强内控的关键。正如塞班斯法案要求得那样--让企业所有高管意识到并承认其对公司风险所负有的责任，并清楚不同责任的大小。为此，从2005年5月开始，江玮在全公司范围内展开了BIA（BusinessImpactAnalysis，业务影响分析）。

　　他给每个部门发放了两类问卷：第一类问卷是针对整个部门业务的，他要求部门管理者填写。问题主要涉及部门业务目标、定位、支持部门目标的流程和功能，未来24个月内，预计增加或减少的功能和流程以及对IT系统的依赖程度；第二类问卷针对的是每个具体流程或功能，问题包括\"如果这个环节出现问题，对公司的影响是什么？公司会在多长时间内感受到这个影响？需要恢复吗？由此增加多少费用？损失多少资产？\"

　　江玮在来贝塔斯曼之前，曾在一家法国银行负责其亚太地区的信息安全和内控。根据以往的经验，他给BIA问卷回收留出了4个月时间，他还指派信息安全官全程跟踪与协助这项工作。\"当业务部门认真面对这两份问卷时，他们就必须开始思考相关问题了；当他们真正用笔写下相关答案时，就达到了我帮他们理清思路的目的了。\"

　　江玮知道，回答问卷的过程将向所有高管清晰有力地说明有效的内控制度不会增加成本，反而能极大地降低风险成本。此外，根据业务答卷制订的企业内控方案的有效性将显而易见的。\"以后，拿着问卷数据跟业务部门沟通将会容易很多。\"江玮决定，为了确保内控制度的有效性，BIA每年必须做一次。

　　除了做自己所在企业的内控工程，江玮有时还会去别的企业客串一下塞班斯法案的预审计工作。那些对自身内控管理水平底气不足的企业不敢一下引进独立的第三方审计来审查自己的内控流程和系统，因此，像江玮这样有着丰富银行内控经验的专家就成为它们的座上宾。目前，国内非常缺乏江玮这种塞班斯项目第三方顾问。因此，这也是塞班斯法案衍生出来的商机之一。

上一篇 : 危机管理要避免哪些误区？             下一篇 : 冰淇淋 炎炎夏日勿贪吃冰淇淋 当心变成冻冻