1、数据：企业上一次备份的数据与业务中断时的数据之间的差距;

　　2、时间：企业恢复时间目标和企业实际恢复时间之间的差距;

　　3、资源：达成恢复目标所需资源与现有资源之间的差距。

　　任何一种差距都将成为建立控制环境的障碍。例如，假设一个企业每天午夜对其数据进行一次远程备份，而中午时分该企业发生了一次系统崩溃(原因可能是火灾，也可能是病毒)，那么，从午夜到中午之间所有输入、运算、接收和发送的数据都将丢失。这显然会使数据发生错误。完善的控制环境可以明确这些差距并将数据调整到合适的状态，同时，处理恢复时间和资源的流程必须到位。

　　考虑企业的供应链

　　控制不仅仅局限于企业内部流程，也必须涵盖企业的外部。只有将与自身有联系的外部企业考虑在内，企业才能建立一个完整的控制环境。因此，企业对外部合作者(如厂商、服务提供商、外包方)的考虑也是非常关键的。当企业的外包对起对财务报表有直接的影响时，SEC将要求评估该外包服务提供商的内控结构是否能够完成外包协议的规定，以符合404条款的规定。企业应该详细地了解其供应链中的合作伙伴是否有从业务中断中恢复的能力，并要求他们提供书面的证明。在这方面的强调，和404条款一起，更加突显出业务连续性的重要性。例如，最近一个国际无线和宽带通信生产商开始要求他的所有提供商提供书面的业务连续性计划以证明他们的恢复能力。

　　萨班斯法案对业务连续性的影响

　　由于萨班斯法案的出台，业务连续性重新成为首席官员们关注的焦点，并被作为确保企业合规性的一个有效的方法。同时，企业在业务连续性计划的实施方面也作出了改变，包括：

　　每年对业务连续性计划进行评估

　　以前，企业高层对其业务连续性计划非常不重视——假如他们有这个计划的话。业务连续性计划通常狭隘地集中在IT功能上，由中层管理人员来负责，并且只有在“必须”的情况下才会进行更新。唯一例外的是银行，他们在联邦金融机构检查委员会(FFIEC)的指令下检查计划的进度并验收测试结果。这种缺乏兴趣的行为在法规和重大事件的推动下不断发生变化。而今，企业的业务连续性计划变得更加全面，并且至少每年对其进行测试，定期举行演练和更新。

　　高级管理层的参与

　　萨班斯法案要求高层管理人员直接参与企业的内部管理流程。由高层管理人员组成的指导委员会开始形成以负责检查整个业务连续性规划的进程，甚至一些企业正在考虑在其高层中增加一位首席连续官。

　　对企业外部进行规划

　　高级管理人员开始考虑、评估和明确来自企业外部的风险，例如供应链的弱点等。以前，管理层几乎只关注企业的内部，而不会去考虑外部风险，而采取行动去明确和规避这些风险的人就更少了。

　　要求将业务连续性计划作为服务水平协议(SLA)的一部分

　　拥有风险管理最佳实践的企业更倾向于与那些在风险意识方面看法相似的企业进行合作。考试大提示企业开始要求他们的业务合作伙伴将业务连续性计划添加到服务水平协议中。

　　业务连续性预算不断增加

　　业务连续性工作——不仅是IT灾难恢复——的预算随着高级管理人员对业务连续性计划在规避企业内部风险方面作用的逐渐认识而不断增加。

　　结论

　　随着萨班斯法案规定的合规时间越来越近，所有的企业，不管他们处于哪个行业，都必须完成他们的内控结构和流程。企业将发现这一过程会比预计花费更长的时间，而且肯定比SEC估计的最短时间要长。

　　然而，越早开始启动业务连续性规划就能越准确和准时地向SEC进行报告，其反馈的信息将有助于企业更新或建立一个公司范围的业务连续性计划。

　　因此，首席官员们不应低估业务连续性的价值，它不仅能够帮助企业符合法律的规定，而且能够提供及其重要的信息，帮助企业建立新的控制结构，提高企业管理，进而提升企业的整体运营水平。