IT如何遵從SOX法案

申請免費(fèi)試用、咨詢電話：400-8352-114

遵從SOX法案，要求上市公司的高管和業(yè)務(wù)、管理、技術(shù)等各個(gè)部門都要積極應(yīng)對：首先，對公司高管而言，要求他們必須清楚其對于公司財(cái)務(wù)報(bào)告、信息披露和內(nèi)部控制報(bào)告的責(zé)任，不遵從SOX所面臨的法律后果和證券市場的風(fēng)險(xiǎn)，掌握公司各個(gè)部門遵循SOX進(jìn)行內(nèi)部控制的措施和執(zhí)行情況，降低遵從SOX所花費(fèi)的內(nèi)外部成本等。其次，受SOX法案影響最大的是財(cái)務(wù)部門，對于財(cái)務(wù)部門尤其是CFO而言，要求能夠提供真實(shí)、準(zhǔn)確、可靠的財(cái)務(wù)信息，按時(shí)完成季度及年度的公司財(cái)務(wù)報(bào)告，建立和維護(hù)內(nèi)部控制結(jié)構(gòu)和程序，與外部審計(jì)人員有效配合，并有責(zé)任減少遵循SOX所產(chǎn)生的內(nèi)部及外部審計(jì)成本。

此外，還要看到，SOX涉及到所有影響財(cái)務(wù)報(bào)表生成的其他業(yè)務(wù)部門，其中影響較大的是IT部門。SOX法案有一些條款是與IT直接相關(guān)的，包括Sec.302對財(cái)務(wù)報(bào)告的提供，Sec.404內(nèi)控報(bào)告的提供，Sec.409實(shí)時(shí)披露材料的變更，Sec.802為審計(jì)和評審員保留相關(guān)的記錄等。對IT部門而言，遵循SOX方案，要求IT部門要支持公司高管、財(cái)務(wù)和內(nèi)外部審計(jì)人員的需求，以確保影響財(cái)務(wù)報(bào)表的業(yè)務(wù)流程、應(yīng)用和信息基礎(chǔ)設(shè)施的完整性、可用性和可審計(jì)性，保證內(nèi)控報(bào)告和內(nèi)控程序的完成，并能夠?qū)ν獠繉徲?jì)需求做出積極響應(yīng)。

為遵從SOX方案，保證會(huì)計(jì)賬務(wù)、財(cái)務(wù)報(bào)告、流程、財(cái)務(wù)應(yīng)用和底層IT基礎(chǔ)結(jié)構(gòu)的完整性、可用性和準(zhǔn)確性，要求IT在三方面有所準(zhǔn)備：

一是優(yōu)化財(cái)務(wù)流程，完善財(cái)務(wù)應(yīng)用系統(tǒng)。在財(cái)務(wù)應(yīng)用的基礎(chǔ)上，要實(shí)現(xiàn)財(cái)務(wù)數(shù)據(jù)整合和統(tǒng)計(jì)分析，引進(jìn)全面預(yù)算管理、KPI績效管理、財(cái)務(wù)預(yù)警等模塊，保證企業(yè)提供準(zhǔn)確、完整、實(shí)時(shí)、真實(shí)的財(cái)務(wù)報(bào)告。

二是建立內(nèi)部控制體系并引入內(nèi)控管理信息系統(tǒng)。SOX要求企業(yè)高管加強(qiáng)對內(nèi)控程序和內(nèi)控報(bào)告的責(zé)任，要求CEO和CFO能夠證明年度和季度財(cái)務(wù)報(bào)告沒有差錯(cuò)和遺漏現(xiàn)象，要求企業(yè)記錄并檢查企業(yè)的內(nèi)部控制情況，揭露任何“嚴(yán)重弱點(diǎn)”，要求企業(yè)高層能夠判斷與業(yè)務(wù)過程相關(guān)的風(fēng)險(xiǎn)，以及這些風(fēng)險(xiǎn)對公司財(cái)務(wù)報(bào)告可能產(chǎn)生的影響。達(dá)到上述要求的核心內(nèi)容首先是建立公司內(nèi)部控制體系，美國“反對虛假財(cái)務(wù)報(bào)告委員會(huì)”的COSO包括控制環(huán)境、風(fēng)險(xiǎn)評估、控制活動(dòng)、信息與溝通和監(jiān)督五個(gè)要素，強(qiáng)調(diào)建立一系列的管理體制，加強(qiáng)公司的內(nèi)部控制。IT是COSO實(shí)施的關(guān)鍵，應(yīng)建立起遵從SOX的企業(yè)內(nèi)控管理信息系統(tǒng)。

內(nèi)控管理信息系統(tǒng)至少應(yīng)實(shí)現(xiàn)下述功能：能夠創(chuàng)建和記錄企業(yè)內(nèi)部業(yè)務(wù)流程，使公司的CEO、CFO、員工和審計(jì)人員能夠?qū)崟r(shí)識別、分配、測試并監(jiān)視內(nèi)部控制與流程，確保業(yè)務(wù)流程根據(jù)內(nèi)控標(biāo)準(zhǔn)執(zhí)行。一旦系統(tǒng)發(fā)現(xiàn)任何違反行為，將向適當(dāng)人員自動(dòng)報(bào)警。能夠收集并監(jiān)視控制信息，使管理人員快速查看流程、組織、控制和風(fēng)險(xiǎn)的實(shí)時(shí)狀態(tài)，提示管理人員注意控制目標(biāo)是否實(shí)現(xiàn)。為了幫助企業(yè)更好地了解和跟蹤風(fēng)險(xiǎn)，內(nèi)控管理信息系統(tǒng)為企業(yè)建立一個(gè)能夠與企業(yè)的每項(xiàng)業(yè)務(wù)過程相關(guān)聯(lián)的風(fēng)險(xiǎn)庫。一旦認(rèn)識出潛在風(fēng)險(xiǎn)，內(nèi)部控制管理系統(tǒng)能夠允許企業(yè)設(shè)計(jì)控制以降低風(fēng)險(xiǎn)。

三是加強(qiáng)IT控制。SOX法案要求企業(yè)的內(nèi)控活動(dòng)，不論是人還是信息系統(tǒng)的操作流程都必須明白地定義并保存相關(guān)記錄，對審計(jì)過程也有存檔的要求。因此，對影響財(cái)務(wù)報(bào)告的信息系統(tǒng)的IT控制，也是SOX內(nèi)部控制的核心組成之一。這就要求IT完善治理機(jī)制，進(jìn)行IT內(nèi)部控制和信息系統(tǒng)審計(jì)，以保證達(dá)到SOX對IT的基本要求。國際上已經(jīng)形成一些較為完整的IT治理的規(guī)范，如ITIL（信息技術(shù)基礎(chǔ)結(jié)構(gòu)庫）、COBIT（信息和相關(guān)技術(shù)的控制目標(biāo)）、BS7799（信息安全管理標(biāo)準(zhǔn)）等。其中，COBIT是信息系統(tǒng)審計(jì)與控制協(xié)會(huì)提出的IT治理的控制框架。ITSM（IT服務(wù)管理）的標(biāo)準(zhǔn)ITIL則與COBIT緊密一致，通過IT服務(wù)管理流程與產(chǎn)品，能夠?qū)崿F(xiàn)IT的規(guī)范化管理，記錄和控制IT的基本信息，包括對網(wǎng)絡(luò)、硬件、網(wǎng)頁、應(yīng)用、防火墻、信息系統(tǒng)訪問控制權(quán)限、訪問密碼等信息，保證財(cái)務(wù)報(bào)告的底層IT基礎(chǔ)結(jié)構(gòu)的業(yè)務(wù)持續(xù)，幫助公司更有效監(jiān)督和管理IT風(fēng)險(xiǎn)。

來源：金融時(shí)報(bào)