24周年

財稅實務(wù) 高薪就業(yè) 學(xué)歷教育
APP下載
APP下載新用戶掃碼下載
立享專屬優(yōu)惠

安卓版本:8.7.41 蘋果版本:8.7.40

開發(fā)者:北京正保會計科技有限公司

應(yīng)用涉及權(quán)限:查看權(quán)限>

APP隱私政策:查看政策>

HD版本上線:點擊下載>

構(gòu)建符合薩班斯法案的IT內(nèi)部控制體系的思路

來源: 孟秀轉(zhuǎn) 孫強 編輯: 2006/07/14 19:19:46  字體:

  面對安然、世通等財務(wù)欺詐事件,為提高上市公司(以下簡稱公司)治理水平,恢復(fù)投資者信心,美國總統(tǒng)布什于2002 年7 月30 日簽發(fā)了薩班斯法案(以下簡稱法案)。薩班斯法案顯示了美國國會強化公司責(zé)任的強硬手段,它試圖恢復(fù)投資者對美國資本市場的信心。

  薩班斯法案從根本上改變了企業(yè)的經(jīng)營環(huán)境和法律環(huán)境,其目的在于通過加強內(nèi)部控制,來改進公司治理狀況,并最終加強公司的責(zé)任。

  當(dāng)前IT系統(tǒng)越來越多地對業(yè)務(wù)經(jīng)營活動進行自動化處理,這就需要IT提供必要數(shù)量的控制程序。因此,遵循薩班斯法案的程序需要包括基于IT系統(tǒng)的控制程序。對大多數(shù)企業(yè)而言,IT在建立與保持有效的財務(wù)報告內(nèi)部控制方面將發(fā)揮重要作用。通過運用整合的ERP系統(tǒng),或綜合運用各種經(jīng)營管理、財務(wù)管理方面的軟件,IT系統(tǒng)將為有效的財務(wù)報告內(nèi)部控制系統(tǒng)提供強有力的支持。

  PCAOB第二號審計標(biāo)準(zhǔn)要求了解IT在內(nèi)部控制環(huán)境中的重要性。它特別指出:公司在其信息系統(tǒng)中運用信息技術(shù)的狀況,影響著公司財務(wù)報告的內(nèi)部控制。

  目前我國四大電信運營商全部在美國上市,他們現(xiàn)在正在構(gòu)建法案要求的內(nèi)控系統(tǒng),IT內(nèi)部控制系統(tǒng)構(gòu)建及評審是無法繞過的工作。完善內(nèi)控,特別是電信企業(yè)信息化水平很高、業(yè)務(wù)流程依賴于IT流程的背景下,重視IT內(nèi)部控制,完善IT內(nèi)部控制十分迫切。本文討論我國公司如何依據(jù)法案的要求在短時間內(nèi)構(gòu)建一套IT內(nèi)控系統(tǒng), 并通過有效的IT內(nèi)控評價活動保證其持續(xù)健全有效, 以支持CEO 和CFO 的承諾進行初步探討。

  一、薩班斯法案的要求

  世通公司造假案件和安然、安達信事件震驚了整個世界, 美國政府認為這是公司上下串通、內(nèi)外勾結(jié)的嚴重結(jié)果, 所以法案對公司治理、內(nèi)部控制及外部審計同時做出了嚴格的要求。明確規(guī)定要求建立獨立稱職的審計委員會,管理層要負責(zé)內(nèi)控系統(tǒng)的完善和落實,并對財務(wù)報告的真實性負刑事責(zé)任 .綜觀整個法案, 最主要的是對公司內(nèi)控系統(tǒng)的要求, 主要體現(xiàn)在302條款和404 條款。法案對公司內(nèi)控系統(tǒng)不但規(guī)定嚴格, 而且實施要求和指南也在相續(xù)出臺, 如SEC 于2003年6月5日根據(jù)法案的要求頒布了404條的細化條例, PCAOB于2004 年3月9日發(fā)布第2號審計準(zhǔn)則, 對公司管理層提出了更明確的要求。

  1、302條款的要求:

  該條款要求由首席執(zhí)行官和財務(wù)主管在內(nèi)的企業(yè)管理層,對公司財務(wù)報告的內(nèi)部控制按季度和年度就以下事項發(fā)表聲明(予以證實):

  ●對建立和維護與財務(wù)報告有關(guān)的內(nèi)部控制負責(zé)。

  ●設(shè)計了所需的內(nèi)部控制,以保證這些官員能知道該公司及其并表子公司的所有重大信息,尤其是報告期內(nèi)的重大信息;

  ●與財務(wù)報告有關(guān)的內(nèi)部控制的任何變更都已得到恰當(dāng)?shù)呐叮@里的變更指最近一個會計季度已經(jīng)產(chǎn)生,或者合理預(yù)期將對于財務(wù)報告有關(guān)的內(nèi)部控制產(chǎn)生重大影響的變更。

  在當(dāng)前環(huán)境下,IT系統(tǒng)驅(qū)動著財務(wù)報告流程。諸如ERP之類的IT系統(tǒng)緊密地貫穿于企業(yè)經(jīng)濟業(yè)務(wù)的開始、授權(quán)、記錄、處理和報告一整套過程中。就其本身而言,IT系統(tǒng)和整個財務(wù)報告流程也是緊密聯(lián)系的,為了遵循薩班斯法案,也要對IT內(nèi)部控制的有效性予以評估。

  為強調(diào)這一點,PCAOB第2號審計標(biāo)準(zhǔn)討論了IT以及IT在測試內(nèi)部控制設(shè)計合理性及運行有效性時的重要意義,并強調(diào)指出:[部分]

  …內(nèi)部控制,包括與財務(wù)報告中所有重要賬戶及披露內(nèi)容相關(guān)的控制政策與程序,都應(yīng)該予以測試。

  一般而言,這樣的控制包括IT一般控制,以及其他控制所依賴的控制。

  2、404條款管理要求

  薩班斯法案的404條款要求,管理層在其年度文件中提供關(guān)于與財務(wù)報告有關(guān)的內(nèi)部控制的年度評估報告。管理層的年度報告要求包括以下內(nèi)容:

  ●管理層有責(zé)任為企業(yè)建立和維護恰當(dāng)?shù)呢攧?wù)報告有關(guān)的內(nèi)部控制。

  ●識別管理層所采用的內(nèi)部控制框架以便按要求評估公司與財務(wù)報告有關(guān)的內(nèi)部控制的有效性。

  ●對從一上個會計年度未以來,與財務(wù)報告有關(guān)的內(nèi)部控制的有效性予以評估,其內(nèi)容也包括有關(guān)與財務(wù)報告有關(guān)的內(nèi)部控制是否有效的公開聲明。

  ●年度審計報告中,注冊會計師事務(wù)所發(fā)表的財務(wù)審計報告,包括管理層對與財務(wù)報告有關(guān)的內(nèi)部控制有效性評估的證明報告。

  ●管理層關(guān)于公司針對財務(wù)報告內(nèi)部控制有效性評估的書面結(jié)論,應(yīng)包含在其對財務(wù)報告內(nèi)部控制的報告和其對審計師的信函中。這一書面結(jié)論可采取多種形式,但是管理層對公司面向財務(wù)報告的內(nèi)部控制的有效性必須發(fā)表直接意見

  ●如果與財務(wù)報告有關(guān)的內(nèi)部控制中有一個或多個重要缺陷,管理層將不能對財務(wù)報告的內(nèi)部控制有效性做出評估結(jié)論,而且,管理層應(yīng)該披露自最近一個會計年度未以來財務(wù)報告內(nèi)部控制方面的所有重要缺陷。

  面向財務(wù)報告的內(nèi)部控制在這一會計期間可能存在一個或多個重要缺陷,但管理層仍可能會報告“從最近一個會計年度未起(上個會計年度未起),與財務(wù)報告有關(guān)的內(nèi)部控制是有效的”。如果要做出這樣的結(jié)論,管理層必須在評估日前已經(jīng)改進了內(nèi)部控制,消除了已有的缺陷,并在運行和測試其有效性后得到了滿意的結(jié)果,測試的時間足以讓管理層認為,從本會計年度起,與財務(wù)報告有關(guān)的內(nèi)部控制設(shè)計合理、運行有效。

  審計師需要合理地確定管理層的認定目標(biāo)或?qū)徲嬆康模◤亩来藖硎占瘜徲嬜C據(jù)),以支持管理層對內(nèi)部控制有效性的評估結(jié)論。通過對審計師在這一過程中所應(yīng)遵循程序的描述,PCAOB第二號審計標(biāo)準(zhǔn)接著指出:

  公司在對財務(wù)報告做出確認時需要借助于企業(yè)的IT系統(tǒng)。為了識別管理層對財務(wù)報告所作的相關(guān)認定,審計師應(yīng)考慮每個重要賬戶潛在錯報、漏報產(chǎn)生的原因。在決定一個認定是否與某一重要賬戶余額或其披露相關(guān)時,審計師應(yīng)該評價IT系統(tǒng)的性質(zhì)、復(fù)雜程度以及企業(yè)IT的使用狀況。

  PCAOB第2號審計標(biāo)準(zhǔn)還專門講述了IT在期末財務(wù)報告中運用,它指出:…要了解期末財務(wù)報告的提供過程,審計師就應(yīng)在每一會計期末評估IT在該過程中的應(yīng)用范圍。………[部分]

  因此所有企業(yè)構(gòu)建IT內(nèi)部控制至少都應(yīng)具備以下三層通用要素:企業(yè)管理層,業(yè)務(wù)流程和共享服務(wù)。

  二、我國電信運營企業(yè)面臨的挑戰(zhàn)

  由于電信企業(yè)的信息化水平比較高,業(yè)務(wù)對IT的依賴程度也比較高。因此依照薩班斯法案要求,完善與財務(wù)報告有關(guān)的內(nèi)部控制時,電信企業(yè)的內(nèi)部控制幾乎離不開IT,即使業(yè)務(wù)控制也是在IT支持環(huán)境下的控制。因此,電信企業(yè)完善內(nèi)部控制幾乎可以說是完善IT內(nèi)部控制,包括IT一般控制和IT應(yīng)用控制。但我們的現(xiàn)狀不容樂觀。

  1. IT專業(yè)人士,尤其是管理層,缺乏內(nèi)部控制理論與實踐來滿足薩班斯法案的要求。

  法案的要求使很多人認為,IT專業(yè)人士應(yīng)該對其負責(zé)的IT系統(tǒng)所產(chǎn)生的信息質(zhì)量及完整性負責(zé),但問題在于,大多數(shù)IT專業(yè)人士對復(fù)雜的內(nèi)部控制并不精通或了解,難負其責(zé)。盡管這并不說明IT人員沒有參與風(fēng)險管理,但至少IT管理層沒有按照組織管理層或?qū)徲嫀熕蟮男问竭M行正式的、規(guī)范化的風(fēng)險管理。 PCAOB指出首席信息官(CIO)們現(xiàn)在必須面對以下的挑戰(zhàn):(1)增強他們有關(guān)內(nèi)部控制方面的知識;(2)理解企業(yè)所制定的總的SOX遵循計劃;(3)專門針對IT控制擬定一個遵循執(zhí)行計劃;(4)把這個計劃與總體的SOX遵循計劃相整合。

  2 缺乏系統(tǒng)的內(nèi)部控制制度

  事實上,每個電信企業(yè)都或多或少會都有一些IT內(nèi)部控制制度,正是由于第一點原因,這些制度基本是由技術(shù)管理者制定,他們?nèi)狈σ?guī)范化風(fēng)險管理的經(jīng)驗,這些IT控制制度可能不太規(guī)范,控制政策程序不太完善, IT控制制度一般存在于系統(tǒng)安全和變更管理等一些一般控制領(lǐng)域,缺乏從公司透明度角度出發(fā)的、結(jié)合支持業(yè)務(wù)流程的完整的內(nèi)部控制制度。所以這也是在國內(nèi)企業(yè)在符合薩班斯法案的道路上,問題最多的領(lǐng)域。

  3.現(xiàn)有的IT內(nèi)部控制不具有可審計性

  薩班斯法案相關(guān)的條款要求上市公司必須有足夠的證據(jù)證明內(nèi)部控制的有效性,這就要求企業(yè)必須有完善的內(nèi)部控制流程及審計軌跡,在控制發(fā)揮作用的同時生成相應(yīng)的文檔記錄,以便在對內(nèi)部控制設(shè)計及運行的有效性進行評價時有足夠的證據(jù)。我國的電信運營商的IT控制程序相對其他行業(yè)企業(yè)而言還是比較完善的,但距離薩班斯法案的要求還很遠。很大的一個差距是我們內(nèi)部控制流程設(shè)計及運行的可審計性不具備。很多企業(yè)有厚厚的規(guī)章制度,但是否執(zhí)行、執(zhí)行是否有效卻沒有關(guān)注、或沒有證據(jù)進行評價。

  因此,我們構(gòu)建IT內(nèi)部控制系統(tǒng)時必須從全局考慮,借鑒國際內(nèi)部控制框架及國際最佳實踐經(jīng)驗,構(gòu)建一套系統(tǒng)化、標(biāo)準(zhǔn)化、可審計、可持續(xù)改進的IT內(nèi)部控制系統(tǒng)。

實務(wù)學(xué)習(xí)指南

回到頂部
折疊
網(wǎng)站地圖

Copyright © 2000 - galtzs.cn All Rights Reserved. 北京正保會計科技有限公司 版權(quán)所有

京B2-20200959 京ICP備20012371號-7 出版物經(jīng)營許可證 京公網(wǎng)安備 11010802044457號