對(duì)于上市公司或者希望借鑒上市公司經(jīng)驗(yàn)的公司來(lái)說(shuō)，應(yīng)該如何改進(jìn)自身的IT控制水平？又應(yīng)該如何治理IT以保證財(cái)務(wù)報(bào)告內(nèi)部控制的有效性？ 來(lái)看一個(gè)實(shí)際的案例，A 公司是一家財(cái)富500強(qiáng)企業(yè)，全球五大制藥公司之一。該公司在全球擁有58000余名員工，年銷售收入超過(guò)180億美元，年利潤(rùn)超過(guò)40億美元。隨著 SOX法案第404條款的實(shí)施，一家會(huì)計(jì)師事務(wù)所將對(duì)其IT內(nèi)部控制進(jìn)行審計(jì)。因此，該公司計(jì)劃在全球信息服務(wù)（IS）部門推行合規(guī)項(xiàng)目。項(xiàng)目分為以下幾個(gè)步驟，如圖1所示。

 

    精通SOX

 

    SOX法案的產(chǎn)生源自于公司操作的不規(guī)范和公司丑聞的披露。它對(duì)公司治理有著極為嚴(yán)格和苛刻的要求，要求公司針對(duì)產(chǎn)生財(cái)務(wù)交易的所有作業(yè)流程，都做到能見(jiàn)度、透明度、控制、通訊、風(fēng)險(xiǎn)管理和欺詐防范，且這些流程必須詳細(xì)記錄到可追查交易源頭的地步。

 

    所有人都清楚IT在現(xiàn)代企業(yè)中扮演著重要的角色。在很多公司內(nèi)部，財(cái)務(wù)報(bào)告流程是由IT系統(tǒng)驅(qū)動(dòng)的，如圖2。無(wú)論是ERP還是其他系統(tǒng)，都與財(cái)務(wù)交易中的開(kāi)始、批準(zhǔn)、記錄、處理和報(bào)告等活動(dòng)緊密集成。可以說(shuō)，IT是保證財(cái)務(wù)報(bào)告內(nèi)部控制的有效性的基礎(chǔ)，IT控制至關(guān)重要。

 

    從IT控制的范圍來(lái)說(shuō)，IT控制通常包括IT控制環(huán)境、計(jì)算機(jī)運(yùn)維、系統(tǒng)和數(shù)據(jù)的訪問(wèn)、系統(tǒng)開(kāi)發(fā)和系統(tǒng)變更。IT控制有一個(gè)治理框架，即COBIT 框架。COBIT的全稱是信息及相關(guān)技術(shù)的控制目標(biāo)（Control Objectives for Information and related Technology）。COBIT將IT流程、IT資源及信息與企業(yè)的策略與目標(biāo)聯(lián)系起來(lái)，在企業(yè)業(yè)務(wù)戰(zhàn)略指導(dǎo)下，對(duì)信息及相關(guān)資源進(jìn)行規(guī)劃與處理。

 

    制定項(xiàng)目計(jì)劃

 

   項(xiàng)目計(jì)劃主要活動(dòng)包括選擇合適的團(tuán)隊(duì)和制定詳細(xì)的項(xiàng)目計(jì)劃。各國(guó)分公司團(tuán)隊(duì)組成情況各不相同，以中國(guó)區(qū)分公司為例，項(xiàng)目團(tuán)隊(duì)以中國(guó)區(qū)CEO、IS部門總監(jiān)、IS經(jīng)理和外部咨詢顧問(wèn)組成。對(duì)于SOX合規(guī)項(xiàng)目，可以采用“差距分析”方法來(lái)進(jìn)行。

 

    風(fēng)險(xiǎn)控制矩陣（Risk and Control Matrices，RCM）是差距分析和審計(jì)過(guò)程中的一個(gè)關(guān)鍵文檔。RCM為公司相關(guān)的風(fēng)險(xiǎn)、需要達(dá)到的控制及當(dāng)前控制狀態(tài)等提供了一個(gè)控制范例。制定 RCM可以從以下三點(diǎn)來(lái)考慮。首先，是否已識(shí)別出了所有風(fēng)險(xiǎn)？其次，已識(shí)別的風(fēng)險(xiǎn)是否都與財(cái)務(wù)交易相關(guān)？最后，對(duì)于每一個(gè)風(fēng)險(xiǎn)，有什么對(duì)應(yīng)的控制？

 

    差距通常可以分為人員差距、流程差距和技術(shù)差距。例如，系統(tǒng)日志可以記錄系統(tǒng)運(yùn)維狀態(tài)，但是如果加上適當(dāng)?shù)倪^(guò)濾工具，就可以保證對(duì)關(guān)鍵的突發(fā)事件及時(shí)的響應(yīng)，相關(guān)人員不在現(xiàn)場(chǎng)也不會(huì)造成不能及時(shí)響應(yīng)。

 

    開(kāi)展控制評(píng)估

 

    第一步，要確定評(píng)估的控制范圍，可以分為四個(gè)步驟：首先，確定財(cái)務(wù)報(bào)告流程中的核心要素；其次，識(shí)別關(guān)鍵的業(yè)務(wù)流程；再次，確定IT系統(tǒng)范圍；最后，確定地理位置的范圍。該公司中國(guó)區(qū)項(xiàng)目組根據(jù)財(cái)務(wù)交易活動(dòng)，確定了關(guān)鍵的業(yè)務(wù)流程、支持系統(tǒng)和所在的位置。

 

    第二步，在這些選定的范圍內(nèi)進(jìn)行風(fēng)險(xiǎn)評(píng)估。風(fēng)險(xiǎn)評(píng)估使公司更加清晰地認(rèn)識(shí)到，意外事件的發(fā)生將如何限制業(yè)務(wù)目標(biāo)的達(dá)成。風(fēng)險(xiǎn)評(píng)估的目的就是辨別潛藏的內(nèi)在風(fēng)險(xiǎn)與殘存風(fēng)險(xiǎn)。

 

    第三步，識(shí)別主要控制。對(duì)于公司和IT系統(tǒng)來(lái)說(shuō)，存在三種控制：公司級(jí)控制、應(yīng)用控制和通用控制。公司級(jí)控制的評(píng)估主要包括“高層的聲音 ”（Tone at the top）、誠(chéng)信、價(jià)值觀與競(jìng)爭(zhēng)力、管理哲學(xué)與運(yùn)營(yíng)風(fēng)格、權(quán)責(zé)分配、政策與流程、員工的水平和技能、高層管理者的指示。應(yīng)用控制主要適用于IT系統(tǒng)所支持的業(yè)務(wù)流程，以及被設(shè)計(jì)用來(lái)預(yù)防或探測(cè)非授權(quán)業(yè)務(wù)活動(dòng)的控制。通用控制用于所有的信息系統(tǒng)，保證安全連續(xù)的運(yùn)作。對(duì)這些流程和系統(tǒng)進(jìn)行風(fēng)險(xiǎn)和控制評(píng)估后，就可以制定風(fēng)險(xiǎn)控制矩陣（RCM）。

 

    該公司識(shí)別出來(lái)的風(fēng)險(xiǎn)涉及領(lǐng)域主要有：制度與流程手冊(cè)、系統(tǒng)變更（包括應(yīng)用系統(tǒng)及基礎(chǔ)設(shè)施）、邏輯訪問(wèn)（包括應(yīng)用系統(tǒng)及基礎(chǔ)設(shè)施）、物理訪問(wèn)、IT災(zāi)難備份、數(shù)據(jù)接口、第三方管理、環(huán)境控制、問(wèn)題管理和作業(yè)調(diào)度等。

 

    進(jìn)行控制設(shè)計(jì)

 

    為了減少這些風(fēng)險(xiǎn)，中國(guó)區(qū)分公司進(jìn)行了控制的優(yōu)化與設(shè)計(jì)。在公司級(jí)控制方面，創(chuàng)建或優(yōu)化各個(gè)制度，包括IS戰(zhàn)略計(jì)劃、邏輯訪問(wèn)控制制度、物理訪問(wèn)控制制度、第三方訪問(wèn)控制制度、環(huán)境控制制度、變更管理制度、業(yè)務(wù)連續(xù)性計(jì)劃及災(zāi)備制度等。

  

    在應(yīng)用、流程及通用控制方面，創(chuàng)建和優(yōu)化了流程，為重要的流程和應(yīng)用系統(tǒng)設(shè)計(jì)了一系列文檔，設(shè)計(jì)的主要流程包括采購(gòu)管理、資產(chǎn)管理、系統(tǒng)開(kāi)發(fā)生命周期（SDLC）管理、用戶管理流程、變更管理流程、第三方訪問(wèn)權(quán)管理流程等。

 

    進(jìn)行內(nèi)部審計(jì)

 

    在控制文檔設(shè)計(jì)完畢后，需要先進(jìn)行一次內(nèi)部審計(jì)，溝通風(fēng)險(xiǎn)控制矩陣、確定審計(jì)范圍、制定測(cè)試腳本。對(duì)于測(cè)試不合格的控制，需要糾正缺陷、完善控制的設(shè)計(jì)與運(yùn)維，以確保其有效性。

 

   報(bào)告管理層

 

    在內(nèi)部審計(jì)通過(guò)后，管理層形成正式的書(shū)面內(nèi)部控制結(jié)論，迎接外部審計(jì)。

 

    在此案例中，需要重點(diǎn)關(guān)注的是公司有哪些重要的流程和控制，有哪些相關(guān)的風(fēng)險(xiǎn)和需要哪些相關(guān)的控制，以及如何設(shè)計(jì)與評(píng)估控制。通常來(lái)說(shuō)，SOX合規(guī)項(xiàng)目會(huì)非常費(fèi)時(shí)，成本也較高。不過(guò)，可以通過(guò)外部咨詢公司幫助企業(yè)做一個(gè)快速診斷，以尋找從哪些地方入手做關(guān)鍵改進(jìn)。

 

    對(duì)于大多數(shù)公司來(lái)說(shuō)，要達(dá)到SOX法案的要求，需要從文化上去改變。從歷史事件來(lái)看，內(nèi)部控制有重大缺陷會(huì)對(duì)整個(gè)公司造成災(zāi)難，因此主動(dòng)地去提升內(nèi)部控制，顯得至關(guān)重要。