论文部分内容阅读
【摘要】 随着萨班斯(SOX)法案内控审计要求的出台,提升了IT控制在企业内部控制中的重要性,法案第404条款的合规性实践,展示了改善IT治理和判断IT治理成效的一种有效方法。由此产生的方法论和合规性实践,对IT治理的理论发展和实践很有借鉴意义。
【关键词】 萨班斯法案 404条款 内部控制 IT治理
一、SOX法案的缘起及主要要求
2001年底,美国最大的能源交易商——安然公司财务造假案爆发并申请破产,震惊世界。其外部审计师——原五大会计师事务所之一的安达信会计师事务所也因审计失败和妨碍司法遭到倒闭的命运。事件的硝烟还未散尽之时,又接连爆发了施乐、世通等大公司的财务造假案。全球互联网泡沫破灭的影响加上这一系列的财务丑闻产生了多米诺骨牌效应,一时引发人们对美国资本市场的信任危机。于是,在各方的敦促之下,美国国会参众两院加快了立法进程,力图弥补美国资本市场存在的制度性缺陷。2002年7月25日,美国国会讨论通过了《2002年公众公司会计改革和投资者保护法案》,即《2002年萨班斯—奥克斯利法案》(Sarbanes-Oxley法案,简称萨班斯法案或SOX法案)。2002年7月30日经美国总统布什签署,正式生效。
简单地讲,萨班斯法案是一部由美国颁布,涉及会计职业监管、公司治理、证券市场监管等方面改革的重要法律,包括在美国注册上市公司和在外国注册而于美国上市的公司,都必须遵守该法案。
美国出台萨班斯法案,以一部法案将公司治理的风险转嫁到上市公司的执行经理人身上,主要是公司的首席执行官(CEO)、首席财务官(CFO),还有外部的中介机构、会计师、律师等。
《SOX法案》的主要要求:
法案共分为11个部分,由若干个独立的章节组成。该法案主要强化了上市公司财务信息批露义务,加大了公司的财务报告责任;要求公司进行管理体制的改革,建立有效的内部控制体系;加重了违法行为的处罚措施,明确严重的违法所适用的刑法;强调并加强了审计委员会的角色和独立性;提出了更多的关于审计师独立性的约束。其中对上市公司有重大影响的主要是第302节、第906节和第404节。
1)第302节
要求公司的CEO和CFO在财务报告上签字,保证财务报告不存在重大错报、漏报,在所有重大方面公允地反映公司在该报告期末的财务状况及该报告期内的经营成果。同时要求CEO、CFO对相关批露的内部控制有效性进行评价。
2)第906节
明确规定上市公司管理层对舞弊和欺诈负有刑事责任。
3)第404节
404节核心内容是严格界定了上市公司管理层对公司内部控制需承担的责任和义务。
A.公司的年报中增加管理层关于公司内部控制情况的报告。该报告包括:明确阐明公司管理层有责任建立和保持一套完整的与财务报告相关的内部控制系统和程序;管理层应对财务年度期末与公司财务报告相关的内部控制系统及程序的有效性做出评价。公司全体管理层对报告负责。
B.公司外部审计师对管理层的内控报告出具鉴证报告。
萨班斯法案被认为是美国自20世纪30年代颁布财务规则以来,最为严厉和企业必须遵守的财务法则。显然,404条款对公司内部控制情况作出严厉要求是为了使公众更易于察觉到公司的欺诈行为,并确保公司财务报告的可靠性。
二、SOX遵循与IT治理
SOX法案的出台,对企业的公司治理、IT治理及IT内控提出了更严格的要求。SOX法案的本质是要求公司完善治理结构和内部控制框架,以实现公司运营过程中全方位的风险管理。
根据SOX法案的规定,在美上市企业必须建立内部控制体系,包括控制环境、风险评估、控制活动、信息沟通和监督五个部分。内部控制活动的记录不仅要细化到诸如产品付款时间之类的细节,而且对重大缺陷都必须予以披露。法案中最严苛、最复杂的404条款明确规定了管理层应承担设立和维持一个应有的内部控制结构的职责。
同时,萨班斯法案增加了审计师对信息系统的审计,要求审计师必须了解业务如何穿过系统,而不是绕过系统。审计师必须了解业务流程,评价IT应用控制与一般控制的设计及效果。评价IT控制设计效果,确定这些控制设计是否适当地实现相关目标。实施IT控制执行效果测试。
因此,萨班斯302、404以及409等条款对公司的要求,使得IT治理在公司治理中的作用日益凸现。目前越来越多的企业依靠信息系统支撑业务运作,没有相应IT治理机制的公司治理,是无法满足萨班斯的严格要求的。比如花旗银行等美国大金融企业已经引进或正在引进IT治理机制。
如图1所示,说明了SOX要求下,建立内部控制体系,IT治理与SOX审计的关系:
SOX要求:所有对财务报告有影响的人员操作、IT系统操作都应有明确的定义,并对这些定义进行记录,同时对这些操作要有过程审计记录(操作过程包括:事前、事中、事后)。整个企业内控涉及三个范畴:建立内控体系(人和系统)、加强IT内控(过程审计)、优化财务流程和财务应用系统。从这三个范畴的焦点可以看出,三个范畴都与IT系统和操作流程有关。因此在符合SOX要求的企业内部控制过程中,IT控制成为企业内部控制的重要组成部分。
三、IT治理途径:选择合适的内控框架并实施
企业欲建立和评价自己的内部控制制度必须有一个参照标准,这个标准应是国际普遍认可的,方可达到完善和规范。法案并没有规定公司必须选择什么样的内控框架,需要企业自己抉择。
国际上比较有名的内部控制框架有美国的COSO、加拿大的COCO、英国的Cadbury、国际内部审计师协会的SAC等,它们从不同的角度剖析公司的经营管理活动,为营造良好的内控框架提供了一系列趋于一致的政策和建议。PCAOB(PublicCompanyAccountingOversightBoard,美国公众公司会计监督委员会)于2004年推荐使用COSO框架,随后获得了SEC(SecuritiesandExchangeCommission,美国证券交易委员会)的批准。COSO框架得到了包括SEC、公司管理者、投资者、债权人及专家学者的普遍认可,国内外许多公司都依据这个框架建立了内控系统。笔者公司的内部控制也使用的是该框架。 下面简要介绍一下有关COSO框架的内容及其理解要点:
4.1 COSO框架关于内部控制的定义
现行的COSO内部控制框架是指COSO委员会在1992年发布的内部控制——整体框架。其中,对内部控制的定义为:内部控制是由企业董事会、管理层和其他员工实施的,为营运的有效性和效率、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。2004年,COSO委员会进一步将内部控制的涵义拓宽为企业风险管理,但是企业风险管理整体框架实际上并没有取代内部控制整体框架。
4.2 COSO框架的三个维度
COSO框架提出了内部控制制度的三维结构(见图2)。第一维度是内部控制目标,即运营的有效性和效率、财务报告的可靠性、相关法令的遵循性。第二维度要求公司在部门单位层次和业务流层层次两个层次上对内部控制进行评价。第三维度包含了内部控制的五大要素:控制环境、风险评估、控制活动、信息与沟通、监控。三个维度构成了内部控制整体框架,即要求对于给定目标(如财务报告可靠性),管理层必须在部门单位层次和业务流层层次对内部控制的五大要素进行评估。
4.3理解COSO内控框架的要点
A.COSO对内部控制的定义是一个过程,而不是结果。过程与结果之间有一定的对应性,但是结果的失败,比如产生了目标偏差,并不代表过程是有缺陷的,相反,结果达成了目标,也不代表控制过程是有效的。因此,公司应注意在评价内控有效性时,针对的是内控过程。
B.内部控制系统是为基本的业务需求而存在的。COSO框架认为内部控制是内嵌在组织的业务流程之中的,而不是独立的附加在公司已有系统之上的。
C.内部控制制度的设立应是灵活的、可修改的。COSO框架并不是一个刚性的规定,它承认不同的组织可以根据自己的情况选择不同的控制方法。此外,内控制度的设计应具有灵活性,始终保持其在动态环境下的有效性。
D.内部控制提供的是合理的保证。COSO框架承认内部控制的局限性,即不论内控系统的设计和运行多么完善,亦只能提供合理范围内的保证。内部控制失败(内控目标未能实现),并不意味着系统是失效的。
E.内部控制框架各要素之间并非简单的线性连续关系。内部控制框架的5要素之间相互联结、协同作用、相互影响,构成一个对环境动态反应的有机整体。
四、本单位SOX遵循与IT治理的做法和体会
按照SOX法案的相关要求,为应对SOX审计,国内通信运营商至少要满足以下基本条件:
首先,在公司治理方面,上市公司必须建立独立的审计委员会;其次,针对302条款,公司管理层应该设计所需的内部控制;第三,针对404条款,公司管理层应该有保证内部控制系统及相应控制程序充分有效的责任;第四,在审计方面,增加审计师对信息系统的审计,要求审计师必须了解业务系统的运作。
本单位作为国内著名的移动通信运营商,从2006年开始了SOX遵循与IT治理工作,并连续8年顺利通过SOX审计。以下是我们对SOX遵循与IT治理的一些做法和体会,与大家分享:
4.1领导重视,全员参与,建立和不断强化SOX遵循观念
SOX法案在强化管理层对内部控制的责任方面,强调了上层管理人员的重视与从上到下主导式的建立方式,这在很大程度上保证了内部控制工作的开展和落到实处。然而法案遵循是涉及到企业各个经营方面、各个环节、各个流程、各个岗位的,内部控制的对象可以是财务资源、人力资源、信息资源、客户关系资源等。法案遵循不是一朝一夕之事,只有全员参与,多方配合,建立覆盖公司全部业务和运作流程的控制系统,确保所有员工理解和执行相关制度,切实履行职责,才能真正建立完善有效的内部控制体系。通过宣贯,我公司各级员工充分认识到了这一点,将SOX遵循工作常态化,并不定期举办SOX培训或讲座,不断强化SOX遵循观念。
4.2制定内部控制制度和相关实施细则
内部控制是一个过程,它包括一整套制度和一系列行为以及相应实施的各种管理活动。几年来,公司以SEC相关监管要求和COSO内部控制框架为基础,按照集团公司的统一部署,从控制环境、风险评估、控制活动、信息和沟通、监控五个方面进行设计、执行和评价,制定了本公司的《内部控制手册》、《内部控制矩阵》、《内部控制手册和矩阵维护管理办法》、《SOX内控小组工作制度》等制度和相关实施细则。指定了各业务流程责任人进行职责分工,且不相容职责不得由同一人兼任,并通过组织内控自我评估(集团内部审计)和独立评估(聘请外部审计),促进内控设计及执行完善。
4.3引入内部控制体系并建立内控管理信息系统
SOX法案要求企业的内控活动,不论是人还是信息系统的操作流程,都必须明白地定义并保存相关记录,对审计过程也有存档的要求。这就需要完善IT治理机制,进行IT内部控制和信息系统审计。为此,我们引入了内部控制体系,将COSO框架与ITIL标准结合,并遵循ISO27001要求,先后建立并完善了一套内控管理信息系统,包括公司财务系统、公司OA系统、各部门“工作流程管理系统”、生产处理监控系统等。该体系能够创建和记录企业内部业务流程,使公司的CEO、CFO、员工和审计人员能够实时识别、分配、测试并监视内部控制与流程,确保业务流程根据内控标准执行。一旦系统发现任何违规行为,将向适当人员自动报警。公司不仅连续5年顺利通过SOX审计,而且还取得了CMMI(CapabilityMaturityModelIntegration,能力成熟度模型集成)3级认证。
4.4常态化SOX遵循工作,定期检测控制活动的有效性
根据SOX法案第404条款的要求,管理层必须每年对这些控制点进行测试和评估,对测试得出的控制缺陷,则需要增设补救和改进措施,并再次测试。如果在规定的期限内,控制缺陷还是不能得到改正,外部审计师将根据情况,针对控制缺陷和程度发表审计意见。 在内部控制体系建设中,对控制活动进行定期测试是非常重要的一环。我们将SOX遵循工作常态化,根据控制活动发生的频率,决定样本的大小,一般分为每月或每季度(半年)样本,定期专人对样本按照设计的测试步骤进行测试——独立于每年2次(年中、年底)的内外部审计,实际上我们每个月都在做这样的检测。任何被检测出的缺陷,都在规定的期限前改正和接受再测试。因此,每年我们在接受正式的内外部SOX审计的时候其实是充满信心的,因为对这些控制活动的检测,我们之前每个月都已经做过,所以通过审计也就成为水到渠成的事情了!
五、结束语
随着萨班斯法案内控审计要求的出台,提升了IT控制在企业内部控制中的重要性。特别是电信企业对IT的依赖性非常大,利用IT技术加强内部控制,建立有效的内部控制体系成为萨班斯遵循的必然要求。SEC对COSO框架的认可表明其已正式成为内部控制框架的标准。企业依据COSO框架建立的内部控制体系,通过引入COSO内控要素,形成一个相互联系、综合作用的控制整体,使单纯的控制活动与企业环境、管理目标及控制风险相结合,形成一套不断改进、自我完善的内控机制。SOX遵循需要IT治理,IT治理是实现公司治理的重要工具。
本人联系方式:
梁明煌
广东省深圳市福田区滨河大道9023号国通大厦10楼 中国移动(深圳)有限公司(邮编518000)
手机: 13823389166
Email: [email protected]
作者简介:
梁明煌:计算机软件学士,高级工程师,PMP,信息系统项目管理师,MCSE,MCSD,MCDBA,QC诊断师。目前主要从事移动互联网交易业务系统规划及SOX内控与审计等方面的工作。
参 考 文 献
[1]NASDAQ Issuer Survey Sarbanes-Oxley Act of 2002, April 13, 2005.
[2]刘迎宾.“萨班斯法案”对在美国上市的中国企业影响分析.经济师.2006年第2期.
[3]李传涛. 电信业的应对萨班斯法案路径分析. 通信产业报. 2006.07.
[4]胡敏. IT如何满足SOX法案的合规要求. 赛迪网-中国计算机用户. 2005.11.
[5]朱恩良. SOX法案促进IT治理的完善. IT商业新闻网. 2009.02.
[6]Chenxihui. 遵循SOX法案中的IT系统和IT审计.中国内部审计. 2008年第五期.
【关键词】 萨班斯法案 404条款 内部控制 IT治理
一、SOX法案的缘起及主要要求
2001年底,美国最大的能源交易商——安然公司财务造假案爆发并申请破产,震惊世界。其外部审计师——原五大会计师事务所之一的安达信会计师事务所也因审计失败和妨碍司法遭到倒闭的命运。事件的硝烟还未散尽之时,又接连爆发了施乐、世通等大公司的财务造假案。全球互联网泡沫破灭的影响加上这一系列的财务丑闻产生了多米诺骨牌效应,一时引发人们对美国资本市场的信任危机。于是,在各方的敦促之下,美国国会参众两院加快了立法进程,力图弥补美国资本市场存在的制度性缺陷。2002年7月25日,美国国会讨论通过了《2002年公众公司会计改革和投资者保护法案》,即《2002年萨班斯—奥克斯利法案》(Sarbanes-Oxley法案,简称萨班斯法案或SOX法案)。2002年7月30日经美国总统布什签署,正式生效。
简单地讲,萨班斯法案是一部由美国颁布,涉及会计职业监管、公司治理、证券市场监管等方面改革的重要法律,包括在美国注册上市公司和在外国注册而于美国上市的公司,都必须遵守该法案。
美国出台萨班斯法案,以一部法案将公司治理的风险转嫁到上市公司的执行经理人身上,主要是公司的首席执行官(CEO)、首席财务官(CFO),还有外部的中介机构、会计师、律师等。
《SOX法案》的主要要求:
法案共分为11个部分,由若干个独立的章节组成。该法案主要强化了上市公司财务信息批露义务,加大了公司的财务报告责任;要求公司进行管理体制的改革,建立有效的内部控制体系;加重了违法行为的处罚措施,明确严重的违法所适用的刑法;强调并加强了审计委员会的角色和独立性;提出了更多的关于审计师独立性的约束。其中对上市公司有重大影响的主要是第302节、第906节和第404节。
1)第302节
要求公司的CEO和CFO在财务报告上签字,保证财务报告不存在重大错报、漏报,在所有重大方面公允地反映公司在该报告期末的财务状况及该报告期内的经营成果。同时要求CEO、CFO对相关批露的内部控制有效性进行评价。
2)第906节
明确规定上市公司管理层对舞弊和欺诈负有刑事责任。
3)第404节
404节核心内容是严格界定了上市公司管理层对公司内部控制需承担的责任和义务。
A.公司的年报中增加管理层关于公司内部控制情况的报告。该报告包括:明确阐明公司管理层有责任建立和保持一套完整的与财务报告相关的内部控制系统和程序;管理层应对财务年度期末与公司财务报告相关的内部控制系统及程序的有效性做出评价。公司全体管理层对报告负责。
B.公司外部审计师对管理层的内控报告出具鉴证报告。
萨班斯法案被认为是美国自20世纪30年代颁布财务规则以来,最为严厉和企业必须遵守的财务法则。显然,404条款对公司内部控制情况作出严厉要求是为了使公众更易于察觉到公司的欺诈行为,并确保公司财务报告的可靠性。
二、SOX遵循与IT治理
SOX法案的出台,对企业的公司治理、IT治理及IT内控提出了更严格的要求。SOX法案的本质是要求公司完善治理结构和内部控制框架,以实现公司运营过程中全方位的风险管理。
根据SOX法案的规定,在美上市企业必须建立内部控制体系,包括控制环境、风险评估、控制活动、信息沟通和监督五个部分。内部控制活动的记录不仅要细化到诸如产品付款时间之类的细节,而且对重大缺陷都必须予以披露。法案中最严苛、最复杂的404条款明确规定了管理层应承担设立和维持一个应有的内部控制结构的职责。
同时,萨班斯法案增加了审计师对信息系统的审计,要求审计师必须了解业务如何穿过系统,而不是绕过系统。审计师必须了解业务流程,评价IT应用控制与一般控制的设计及效果。评价IT控制设计效果,确定这些控制设计是否适当地实现相关目标。实施IT控制执行效果测试。
因此,萨班斯302、404以及409等条款对公司的要求,使得IT治理在公司治理中的作用日益凸现。目前越来越多的企业依靠信息系统支撑业务运作,没有相应IT治理机制的公司治理,是无法满足萨班斯的严格要求的。比如花旗银行等美国大金融企业已经引进或正在引进IT治理机制。
如图1所示,说明了SOX要求下,建立内部控制体系,IT治理与SOX审计的关系:
SOX要求:所有对财务报告有影响的人员操作、IT系统操作都应有明确的定义,并对这些定义进行记录,同时对这些操作要有过程审计记录(操作过程包括:事前、事中、事后)。整个企业内控涉及三个范畴:建立内控体系(人和系统)、加强IT内控(过程审计)、优化财务流程和财务应用系统。从这三个范畴的焦点可以看出,三个范畴都与IT系统和操作流程有关。因此在符合SOX要求的企业内部控制过程中,IT控制成为企业内部控制的重要组成部分。
三、IT治理途径:选择合适的内控框架并实施
企业欲建立和评价自己的内部控制制度必须有一个参照标准,这个标准应是国际普遍认可的,方可达到完善和规范。法案并没有规定公司必须选择什么样的内控框架,需要企业自己抉择。
国际上比较有名的内部控制框架有美国的COSO、加拿大的COCO、英国的Cadbury、国际内部审计师协会的SAC等,它们从不同的角度剖析公司的经营管理活动,为营造良好的内控框架提供了一系列趋于一致的政策和建议。PCAOB(PublicCompanyAccountingOversightBoard,美国公众公司会计监督委员会)于2004年推荐使用COSO框架,随后获得了SEC(SecuritiesandExchangeCommission,美国证券交易委员会)的批准。COSO框架得到了包括SEC、公司管理者、投资者、债权人及专家学者的普遍认可,国内外许多公司都依据这个框架建立了内控系统。笔者公司的内部控制也使用的是该框架。 下面简要介绍一下有关COSO框架的内容及其理解要点:
4.1 COSO框架关于内部控制的定义
现行的COSO内部控制框架是指COSO委员会在1992年发布的内部控制——整体框架。其中,对内部控制的定义为:内部控制是由企业董事会、管理层和其他员工实施的,为营运的有效性和效率、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。2004年,COSO委员会进一步将内部控制的涵义拓宽为企业风险管理,但是企业风险管理整体框架实际上并没有取代内部控制整体框架。
4.2 COSO框架的三个维度
COSO框架提出了内部控制制度的三维结构(见图2)。第一维度是内部控制目标,即运营的有效性和效率、财务报告的可靠性、相关法令的遵循性。第二维度要求公司在部门单位层次和业务流层层次两个层次上对内部控制进行评价。第三维度包含了内部控制的五大要素:控制环境、风险评估、控制活动、信息与沟通、监控。三个维度构成了内部控制整体框架,即要求对于给定目标(如财务报告可靠性),管理层必须在部门单位层次和业务流层层次对内部控制的五大要素进行评估。
4.3理解COSO内控框架的要点
A.COSO对内部控制的定义是一个过程,而不是结果。过程与结果之间有一定的对应性,但是结果的失败,比如产生了目标偏差,并不代表过程是有缺陷的,相反,结果达成了目标,也不代表控制过程是有效的。因此,公司应注意在评价内控有效性时,针对的是内控过程。
B.内部控制系统是为基本的业务需求而存在的。COSO框架认为内部控制是内嵌在组织的业务流程之中的,而不是独立的附加在公司已有系统之上的。
C.内部控制制度的设立应是灵活的、可修改的。COSO框架并不是一个刚性的规定,它承认不同的组织可以根据自己的情况选择不同的控制方法。此外,内控制度的设计应具有灵活性,始终保持其在动态环境下的有效性。
D.内部控制提供的是合理的保证。COSO框架承认内部控制的局限性,即不论内控系统的设计和运行多么完善,亦只能提供合理范围内的保证。内部控制失败(内控目标未能实现),并不意味着系统是失效的。
E.内部控制框架各要素之间并非简单的线性连续关系。内部控制框架的5要素之间相互联结、协同作用、相互影响,构成一个对环境动态反应的有机整体。
四、本单位SOX遵循与IT治理的做法和体会
按照SOX法案的相关要求,为应对SOX审计,国内通信运营商至少要满足以下基本条件:
首先,在公司治理方面,上市公司必须建立独立的审计委员会;其次,针对302条款,公司管理层应该设计所需的内部控制;第三,针对404条款,公司管理层应该有保证内部控制系统及相应控制程序充分有效的责任;第四,在审计方面,增加审计师对信息系统的审计,要求审计师必须了解业务系统的运作。
本单位作为国内著名的移动通信运营商,从2006年开始了SOX遵循与IT治理工作,并连续8年顺利通过SOX审计。以下是我们对SOX遵循与IT治理的一些做法和体会,与大家分享:
4.1领导重视,全员参与,建立和不断强化SOX遵循观念
SOX法案在强化管理层对内部控制的责任方面,强调了上层管理人员的重视与从上到下主导式的建立方式,这在很大程度上保证了内部控制工作的开展和落到实处。然而法案遵循是涉及到企业各个经营方面、各个环节、各个流程、各个岗位的,内部控制的对象可以是财务资源、人力资源、信息资源、客户关系资源等。法案遵循不是一朝一夕之事,只有全员参与,多方配合,建立覆盖公司全部业务和运作流程的控制系统,确保所有员工理解和执行相关制度,切实履行职责,才能真正建立完善有效的内部控制体系。通过宣贯,我公司各级员工充分认识到了这一点,将SOX遵循工作常态化,并不定期举办SOX培训或讲座,不断强化SOX遵循观念。
4.2制定内部控制制度和相关实施细则
内部控制是一个过程,它包括一整套制度和一系列行为以及相应实施的各种管理活动。几年来,公司以SEC相关监管要求和COSO内部控制框架为基础,按照集团公司的统一部署,从控制环境、风险评估、控制活动、信息和沟通、监控五个方面进行设计、执行和评价,制定了本公司的《内部控制手册》、《内部控制矩阵》、《内部控制手册和矩阵维护管理办法》、《SOX内控小组工作制度》等制度和相关实施细则。指定了各业务流程责任人进行职责分工,且不相容职责不得由同一人兼任,并通过组织内控自我评估(集团内部审计)和独立评估(聘请外部审计),促进内控设计及执行完善。
4.3引入内部控制体系并建立内控管理信息系统
SOX法案要求企业的内控活动,不论是人还是信息系统的操作流程,都必须明白地定义并保存相关记录,对审计过程也有存档的要求。这就需要完善IT治理机制,进行IT内部控制和信息系统审计。为此,我们引入了内部控制体系,将COSO框架与ITIL标准结合,并遵循ISO27001要求,先后建立并完善了一套内控管理信息系统,包括公司财务系统、公司OA系统、各部门“工作流程管理系统”、生产处理监控系统等。该体系能够创建和记录企业内部业务流程,使公司的CEO、CFO、员工和审计人员能够实时识别、分配、测试并监视内部控制与流程,确保业务流程根据内控标准执行。一旦系统发现任何违规行为,将向适当人员自动报警。公司不仅连续5年顺利通过SOX审计,而且还取得了CMMI(CapabilityMaturityModelIntegration,能力成熟度模型集成)3级认证。
4.4常态化SOX遵循工作,定期检测控制活动的有效性
根据SOX法案第404条款的要求,管理层必须每年对这些控制点进行测试和评估,对测试得出的控制缺陷,则需要增设补救和改进措施,并再次测试。如果在规定的期限内,控制缺陷还是不能得到改正,外部审计师将根据情况,针对控制缺陷和程度发表审计意见。 在内部控制体系建设中,对控制活动进行定期测试是非常重要的一环。我们将SOX遵循工作常态化,根据控制活动发生的频率,决定样本的大小,一般分为每月或每季度(半年)样本,定期专人对样本按照设计的测试步骤进行测试——独立于每年2次(年中、年底)的内外部审计,实际上我们每个月都在做这样的检测。任何被检测出的缺陷,都在规定的期限前改正和接受再测试。因此,每年我们在接受正式的内外部SOX审计的时候其实是充满信心的,因为对这些控制活动的检测,我们之前每个月都已经做过,所以通过审计也就成为水到渠成的事情了!
五、结束语
随着萨班斯法案内控审计要求的出台,提升了IT控制在企业内部控制中的重要性。特别是电信企业对IT的依赖性非常大,利用IT技术加强内部控制,建立有效的内部控制体系成为萨班斯遵循的必然要求。SEC对COSO框架的认可表明其已正式成为内部控制框架的标准。企业依据COSO框架建立的内部控制体系,通过引入COSO内控要素,形成一个相互联系、综合作用的控制整体,使单纯的控制活动与企业环境、管理目标及控制风险相结合,形成一套不断改进、自我完善的内控机制。SOX遵循需要IT治理,IT治理是实现公司治理的重要工具。
本人联系方式:
梁明煌
广东省深圳市福田区滨河大道9023号国通大厦10楼 中国移动(深圳)有限公司(邮编518000)
手机: 13823389166
Email: [email protected]
作者简介:
梁明煌:计算机软件学士,高级工程师,PMP,信息系统项目管理师,MCSE,MCSD,MCDBA,QC诊断师。目前主要从事移动互联网交易业务系统规划及SOX内控与审计等方面的工作。
参 考 文 献
[1]NASDAQ Issuer Survey Sarbanes-Oxley Act of 2002, April 13, 2005.
[2]刘迎宾.“萨班斯法案”对在美国上市的中国企业影响分析.经济师.2006年第2期.
[3]李传涛. 电信业的应对萨班斯法案路径分析. 通信产业报. 2006.07.
[4]胡敏. IT如何满足SOX法案的合规要求. 赛迪网-中国计算机用户. 2005.11.
[5]朱恩良. SOX法案促进IT治理的完善. IT商业新闻网. 2009.02.
[6]Chenxihui. 遵循SOX法案中的IT系统和IT审计.中国内部审计. 2008年第五期.