六步詳解IT內(nèi)控—SOX的IT內(nèi)控指導(dǎo)書

2014-11-08 20:40:07 大云網(wǎng)　點擊量：評論 (0)

近年來，在美國上市的公司正受到薩班斯-奧克斯利法案（the Sarbanes-Oxley Act of 2002, 簡稱SOX法案）的影響。尤其隨著其第404條款的逐漸實施，該法案的影響正在席卷全球，包括美國上市公司的中國分公司。

近年來，在美國上市的公司正受到薩班斯-奧克斯利法案（the Sarbanes-Oxley Act of 2002, 簡稱SOX法案）的影響。尤其隨著其第404條款的逐漸實施，該法案的影響正在席卷全球，包括美國上市公司的中國分公司。可以說，SOX法案對全球的影響力直逼上世紀的“千年蟲”事件，由于SOX法案的相對完善性，研究SOX法案對中國公司也有很強的借鑒意義。尤其SOX法案對信息化的要求嚴格，從公司治理和IT治理的高度提出IT內(nèi)部控制的要求。

對于上市公司或者希望借鑒上市公司經(jīng)驗的公司來說，應(yīng)該如何改進自身的IT控制水平？又應(yīng)該如何治理IT以保證財務(wù)報告內(nèi)部控制的有效性？來看一個實際的案例，A 公司是一家財富500強企業(yè)，全球五大制藥公司之一。該公司在全球擁有58000余名員工，年銷售收入超過180億美元，年利潤超過40億美元。隨著 SOX法案第404條款的實施，一家會計師事務(wù)所將對其IT內(nèi)部控制進行審計。因此，該公司計劃在全球信息服務(wù)（IS）部門推行合規(guī)項目。項目分為以下幾個步驟，如圖1所示。

精通SOX

SOX法案的產(chǎn)生源自于公司操作的不規(guī)范和公司丑聞的披露。它對公司治理有著極為嚴格和苛刻的要求，要求公司針對產(chǎn)生財務(wù)交易的所有作業(yè)流程，都做到能見度、透明度、控制、通訊、風(fēng)險管理和欺詐防范，且這些流程必須詳細記錄到可追查交易源頭的地步。

所有人都清楚IT在現(xiàn)代企業(yè)中扮演著重要的角色。在很多公司內(nèi)部，財務(wù)報告流程是由IT系統(tǒng)驅(qū)動的，如圖2。無論是ERP還是其他系統(tǒng)，都與財務(wù)交易中的開始、批準、記錄、處理和報告等活動緊密集成。可以說，IT是保證財務(wù)報告內(nèi)部控制的有效性的基礎(chǔ)，IT控制至關(guān)重要。

從IT控制的范圍來說，IT控制通常包括IT控制環(huán)境、計算機運維、系統(tǒng)和數(shù)據(jù)的訪問、系統(tǒng)開發(fā)和系統(tǒng)變更。IT控制有一個治理框架，即COBIT 框架。COBIT的全稱是信息及相關(guān)技術(shù)的控制目標（Control Objectives for Information and related Technology）。COBIT將IT流程、IT資源及信息與企業(yè)的策略與目標聯(lián)系起來，在企業(yè)業(yè)務(wù)戰(zhàn)略指導(dǎo)下，對信息及相關(guān)資源進行規(guī)劃與處理。

制定項目計劃

項目計劃主要活動包括選擇合適的團隊和制定詳細的項目計劃。各國分公司團隊組成情況各不相同，以中國區(qū)分公司為例，項目團隊以中國區(qū)CEO、IS部門總監(jiān)、IS經(jīng)理和外部咨詢顧問組成。對于SOX合規(guī)項目，可以采用“差距分析”方法來進行。

風(fēng)險控制矩陣（Risk and Control Matrices，RCM）是差距分析和審計過程中的一個關(guān)鍵文檔。RCM為公司相關(guān)的風(fēng)險、需要達到的控制及當(dāng)前控制狀態(tài)等提供了一個控制范例。制定 RCM可以從以下三點來考慮。首先，是否已識別出了所有風(fēng)險？其次，已識別的風(fēng)險是否都與財務(wù)交易相關(guān)？最后，對于每一個風(fēng)險，有什么對應(yīng)的控制？

差距通常可以分為人員差距、流程差距和技術(shù)差距。例如，系統(tǒng)日志可以記錄系統(tǒng)運維狀態(tài)，但是如果加上適當(dāng)?shù)倪^濾工具，就可以保證對關(guān)鍵的突發(fā)事件及時的響應(yīng)，相關(guān)人員不在現(xiàn)場也不會造成不能及時響應(yīng)。

開展控制評估

第一步，要確定評估的控制范圍，可以分為四個步驟：首先，確定財務(wù)報告流程中的核心要素；其次，識別關(guān)鍵的業(yè)務(wù)流程；再次，確定IT系統(tǒng)范圍；最后，確定地理位置的范圍。該公司中國區(qū)項目組根據(jù)財務(wù)交易活動，確定了關(guān)鍵的業(yè)務(wù)流程、支持系統(tǒng)和所在的位置。

第二步，在這些選定的范圍內(nèi)進行風(fēng)險評估。風(fēng)險評估使公司更加清晰地認識到，意外事件的發(fā)生將如何限制業(yè)務(wù)目標的達成。風(fēng)險評估的目的就是辨別潛藏的內(nèi)在風(fēng)險與殘存風(fēng)險。

第三步，識別主要控制。對于公司和IT系統(tǒng)來說，存在三種控制：公司級控制、應(yīng)用控制和通用控制。公司級控制的評估主要包括“高層的聲音 ”（Tone at the top）、誠信、價值觀與競爭力、管理哲學(xué)與運營風(fēng)格、權(quán)責(zé)分配、政策與流程、員工的水平和技能、高層管理者的指示。應(yīng)用控制主要適用于IT系統(tǒng)所支持的業(yè)務(wù)流程，以及被設(shè)計用來預(yù)防或探測非授權(quán)業(yè)務(wù)活動的控制。通用控制用于所有的信息系統(tǒng)，保證安全連續(xù)的運作。對這些流程和系統(tǒng)進行風(fēng)險和控制評估后，就可以制定風(fēng)險控制矩陣（RCM）。

該公司識別出來的風(fēng)險涉及領(lǐng)域主要有：制度與流程手冊、系統(tǒng)變更（包括應(yīng)用系統(tǒng)及基礎(chǔ)設(shè)施）、邏輯訪問（包括應(yīng)用系統(tǒng)及基礎(chǔ)設(shè)施）、物理訪問、IT災(zāi)難備份、數(shù)據(jù)接口、第三方管理、環(huán)境控制、問題管理和作業(yè)調(diào)度等。

進行控制設(shè)計

為了減少這些風(fēng)險，中國區(qū)分公司進行了控制的優(yōu)化與設(shè)計。在公司級控制方面，創(chuàng)建或優(yōu)化各個制度，包括IS戰(zhàn)略計劃、邏輯訪問控制制度、物理訪問控制制度、第三方訪問控制制度、環(huán)境控制制度、變更管理制度、業(yè)務(wù)連續(xù)性計劃及災(zāi)備制度等。

在應(yīng)用、流程及通用控制方面，創(chuàng)建和優(yōu)化了流程，為重要的流程和應(yīng)用系統(tǒng)設(shè)計了一系列文檔，設(shè)計的主要流程包括采購管理、資產(chǎn)管理、系統(tǒng)開發(fā)生命周期（SDLC）管理、用戶管理流程、變更管理流程、第三方訪問權(quán)管理流程等。

進行內(nèi)部審計

在控制文檔設(shè)計完畢后，需要先進行一次內(nèi)部審計，溝通風(fēng)險控制矩陣、確定審計范圍、制定測試腳本。對于測試不合格的控制，需要糾正缺陷、完善控制的設(shè)計與運維，以確保其有效性。

報告管理層

在內(nèi)部審計通過后，管理層形成正式的書面內(nèi)部控制結(jié)論，迎接外部審計。

在此案例中，需要重點關(guān)注的是公司有哪些重要的流程和控制，有哪些相關(guān)的風(fēng)險和需要哪些相關(guān)的控制，以及如何設(shè)計與評估控制。通常來說，SOX合規(guī)項目會非常費時，成本也較高。不過，可以通過外部咨詢公司幫助企業(yè)做一個快速診斷，以尋找從哪些地方入手做關(guān)鍵改進。

對于大多數(shù)公司來說，要達到SOX法案的要求，需要從文化上去改變。從歷史事件來看，內(nèi)部控制有重大缺陷會對整個公司造成災(zāi)難，因此主動地去提升內(nèi)部控制，顯得至關(guān)重要。

免責(zé)聲明：本文僅代表作者個人觀點，與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實，對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾，請讀者僅作參考，并請自行核實相關(guān)內(nèi)容。

我要收藏

個贊

指導(dǎo)書