www.e4938.cn-老师你下面太紧了拔不出来,99re8这里有精品热视频免费,国产第一视频一区二区三区,青青草国产成人久久

<button id="60qo0"></button>

<strike id="60qo0"></strike>
<del id="60qo0"></del>
<fieldset id="60qo0"><menu id="60qo0"></menu></fieldset>
  • 構(gòu)建符合薩班斯法案的IT內(nèi)部控制體系的思路

    2014-11-08 20:46:55 大云網(wǎng)  點擊量: 評論 (0)
    面對安然、世通等財務欺詐事件, 為提高上市公司(以下簡稱公司) 治理水平, 恢復投資者信心,美國總統(tǒng)布什于2002 年7 月30 日簽發(fā)了薩班斯法案(以下簡稱法案) 。薩班斯法案顯示了美國國會強化公司責任
    面對安然、世通等財務欺詐事件, 為提高上市公司(以下簡稱公司) 治理水平, 恢復投資者信心,美國總統(tǒng)布什于2002 年7 月30 日簽發(fā)了薩班斯法案(以下簡稱法案) 。薩班斯法案顯示了美國國會強化公司責任的強硬手段,它試圖恢復投資者對美國資本市場的信心。
      薩班斯法案從根本上改變了企業(yè)的經(jīng)營環(huán)境和法律環(huán)境,其目的在于通過加強內(nèi)部控制,來改進公司治理狀況,并最終加強公司的責任。
      當前IT系統(tǒng)越來越多地對業(yè)務經(jīng)營活動進行自動化處理,這就需要IT提供必要數(shù)量的控制程序。因此,遵循薩班斯法案的程序需要包括基于IT系統(tǒng)的控制程序。對大多數(shù)企業(yè)而言,IT在建立與保持有效的財務報告內(nèi)部控制方面將發(fā)揮重要作用。通過運用整合的ERP系統(tǒng),或綜合運用各種經(jīng)營管理、財務管理方面的軟件,IT系統(tǒng)將為有效的財務報告內(nèi)部控制系統(tǒng)提供強有力的支持。
      PCAOB第二號審計標準要求了解IT在內(nèi)部控制環(huán)境中的重要性。它特別指出:公司在其信息系統(tǒng)中運用信息技術(shù)的狀況,影響著公司財務報告的內(nèi)部控制。
      目前我國四大電信運營商全部在美國上市,他們現(xiàn)在正在構(gòu)建法案要求的內(nèi)控系統(tǒng),IT內(nèi)部控制系統(tǒng)構(gòu)建及評審是無法繞過的工作。完善內(nèi)控,特別是電信企業(yè)信息化水平很高、業(yè)務流程依賴于IT流程的背景下,重視IT內(nèi)部控制,完善IT內(nèi)部控制十分迫切。本文討論我國公司如何依據(jù)法案的要求在短時間內(nèi)構(gòu)建一套IT內(nèi)控系統(tǒng), 并通過有效的IT內(nèi)控評價活動保證其持續(xù)健全有效, 以支持CEO 和CFO 的承諾進行初步探討。
      一、薩班斯法案的要求
      世通公司造假案件和安然、安達信事件震驚了整個世界, 美國政府認為這是公司上下串通、內(nèi)外勾結(jié)的嚴重結(jié)果, 所以法案對公司治理、內(nèi)部控制及外部審計同時做出了嚴格的要求。明確規(guī)定要求建立獨立稱職的審計委員會,管理層要負責內(nèi)控系統(tǒng)的完善和落實,并對財務報告的真實性負刑事責任 。綜觀整個法案, 最主要的是對公司內(nèi)控系統(tǒng)的要求, 主要體現(xiàn)在302條款和404 條款。法案對公司內(nèi)控系統(tǒng)不但規(guī)定嚴格, 而且實施要求和指南也在相續(xù)出臺, 如SEC 于2003年6月5日根據(jù)法案的要求頒布了404條的細化條例, PCAOB于2004 年3月9日發(fā)布第2號審計準則, 對公司管理層提出了更明確的要求。
      1、302條款的要求:
      該條款要求由首席執(zhí)行官和財務主管在內(nèi)的企業(yè)管理層,對公司財務報告的內(nèi)部控制按季度和年度就以下事項發(fā)表聲明(予以證實):
      ●    對建立和維護與財務報告有關(guān)的內(nèi)部控制負責。
      ●    設(shè)計了所需的內(nèi)部控制,以保證這些官員能知道該公司及其并表子公司的所有重大信息,尤其是報告期內(nèi)的重大信息;
      ●    與財務報告有關(guān)的內(nèi)部控制的任何變更都已得到恰當?shù)呐叮@里的變更指最近一個會計季度已經(jīng)產(chǎn)生,或者合理預期將對于財務報告有關(guān)的內(nèi)部控制產(chǎn)生重大影響的變更。
      在當前環(huán)境下,IT系統(tǒng)驅(qū)動著財務報告流程。諸如ERP之類的IT系統(tǒng)緊密地貫穿于企業(yè)經(jīng)濟業(yè)務的開始、授權(quán)、記錄、處理和報告一整套過程中。就其本身而言,IT系統(tǒng)和整個財務報告流程也是緊密聯(lián)系的,為了遵循薩班斯法案,也要對IT內(nèi)部控制的有效性予以評估。
      為強調(diào)這一點,PCAOB第2號審計標準討論了IT以及IT在測試內(nèi)部控制設(shè)計合理性及運行有效性時的重要意義,并強調(diào)指出:[部分]
      …內(nèi)部控制,包括與財務報告中所有重要賬戶及披露內(nèi)容相關(guān)的控制政策與程序,都應該予以測試。
      一般而言,這樣的控制包括IT一般控制,以及其他控制所依賴的控制。
      2、404條款管理要求
      薩班斯法案的404條款要求,管理層在其年度文件中提供關(guān)于與財務報告有關(guān)的內(nèi)部控制的年度評估報告。管理層的年度報告要求包括以下內(nèi)容:
      ●    管理層有責任為企業(yè)建立和維護恰當?shù)呢攧請蟾嬗嘘P(guān)的內(nèi)部控制。
      ●    識別管理層所采用的內(nèi)部控制框架以便按要求評估公司與財務報告有關(guān)的內(nèi)部控制的有效性。
      ●    對從一上個會計年度未以來,與財務報告有關(guān)的內(nèi)部控制的有效性予以評估,其內(nèi)容也包括有關(guān)與財務報告有關(guān)的內(nèi)部控制是否有效的公開聲明。
      ●    年度審計報告中,注冊會計師事務所發(fā)表的財務審計報告,包括管理層對與財務報告有關(guān)的內(nèi)部控制有效性評估的證明報告。
      ●    管理層關(guān)于公司針對財務報告內(nèi)部控制有效性評估的書面結(jié)論,應包含在其對財務報告內(nèi)部控制的報告和其對審計師的信函中。這一書面結(jié)論可采取多種形式,但是管理層對公司面向財務報告的內(nèi)部控制的有效性必須發(fā)表直接意見
      ●    如果與財務報告有關(guān)的內(nèi)部控制中有一個或多個重要缺陷,管理層將不能對財務報告的內(nèi)部控制有效性做出評估結(jié)論,而且,管理層應該披露自最近一個會計年度未以來財務報告內(nèi)部控制方面的所有重要缺陷。
      面向財務報告的內(nèi)部控制在這一會計期間可能存在一個或多個重要缺陷,但管理層仍可能會報告“從最近一個會計年度未起(上個會計年度未起),與財務報告有關(guān)的內(nèi)部控制是有效的”。如果要做出這樣的結(jié)論,管理層必須在評估日前已經(jīng)改進了內(nèi)部控制,消除了已有的缺陷,并在運行和測試其有效性后得到了滿意的結(jié)果,測試的時間足以讓管理層認為,從本會計年度起,與財務報告有關(guān)的內(nèi)部控制設(shè)計合理、運行有效。
      審計師需要合理地確定管理層的認定目標或?qū)徲嬆康模◤亩来藖硎占瘜徲嬜C據(jù)),以支持管理層對內(nèi)部控制有效性的評估結(jié)論。通過對審計師在這一過程中所應遵循程序的描述,PCAOB第二號審計標準接著指出:
      公司在對財務報告做出確認時需要借助于企業(yè)的IT系統(tǒng)。為了識別管理層對財務報告所作的相關(guān)認定,審計師應考慮每個重要賬戶潛在錯報、漏報產(chǎn)生的原因。在決定一個認定是否與某一重要賬戶余額或其披露相關(guān)時,審計師應該評價IT系統(tǒng)的性質(zhì)、復雜程度以及企業(yè)IT的使用狀況。
      PCAOB第2號審計標準還專門講述了IT在期末財務報告中運用,它指出:…要了解期末財務報告的提供過程,審計師就應在每一會計期末評估IT在該過程中的應用范圍。……[部分]
      因此所有企業(yè)構(gòu)建IT內(nèi)部控制至少都應具備以下三層通用要素:企業(yè)管理層,業(yè)務流程和共享服務。
      二、我國電信運營企業(yè)面臨的挑戰(zhàn)
      由于電信企業(yè)的信息化水平比較高,業(yè)務對IT的依賴程度也比較高。因此依照薩班斯法案要求,完善與財務報告有關(guān)的內(nèi)部控制時,電信企業(yè)的內(nèi)部控制幾乎離不開IT,即使業(yè)務控制也是在IT支持環(huán)境下的控制。因此,電信企業(yè)完善內(nèi)部控制幾乎可以說是完善IT內(nèi)部控制,包括IT一般控制和IT應用控制。但我們的現(xiàn)狀不容樂觀。
      1 IT專業(yè)人士,尤其是管理層,缺乏內(nèi)部控制理論與實踐來滿足薩班斯法案的要求。
      法案的要求使很多人認為,IT專業(yè)人士應該對其負責的IT系統(tǒng)所產(chǎn)生的信息質(zhì)量及完整性負責,但問題在于,大多數(shù)IT專業(yè)人士對復雜的內(nèi)部控制并不精通或了解,難負其責。盡管這并不說明IT人員沒有參與風險管理,但至少IT管理層沒有按照組織管理層或?qū)徲嫀熕蟮男问竭M行正式的、規(guī)范化的風險管理。 PCAOB指出首席信息官(CIO)們現(xiàn)在必須面對以下的挑戰(zhàn):(1)增強他們有關(guān)內(nèi)部控制方面的知識;(2)理解企業(yè)所制定的總的SOX遵循計劃;(3)專門針對IT控制擬定一個遵循執(zhí)行計劃;(4)把這個計劃與總體的SOX遵循計劃相整合。
      2 缺乏系統(tǒng)的內(nèi)部控制制度
      事實上,每個電信企業(yè)都或多或少會都有一些IT內(nèi)部控制制度,正是由于第一點原因,這些制度基本是由技術(shù)管理者制定,他們?nèi)狈σ?guī)范化風險管理的經(jīng)驗,這些IT控制制度可能不太規(guī)范,控制政策程序不太完善, IT控制制度一般存在于系統(tǒng)安全和變更管理等一些一般控制領(lǐng)域,缺乏從公司透明度角度出發(fā)的、結(jié)合支持業(yè)務流程的完整的內(nèi)部控制制度。所以這也是在國內(nèi)企業(yè)在符合薩班斯法案的道路上,問題最多的領(lǐng)域。
      2現(xiàn)有的IT內(nèi)部控制不具有可審計性
      薩班斯法案相關(guān)的條款要求上市公司必須有足夠的證據(jù)證明內(nèi)部控制的有效性,這就要求企業(yè)必須有完善的內(nèi)部控制流程及審計軌跡,在控制發(fā)揮作用的同時生成相應的文檔記錄,以便在對內(nèi)部控制設(shè)計及運行的有效性進行評價時有足夠的證據(jù)。我國的電信運營商的IT控制程序相對其他行業(yè)企業(yè)而言還是比較完善的,但距離薩班斯法案的要求還很遠。很大的一個差距是我們內(nèi)部控制流程設(shè)計及運行的可審計性不具備。很多企業(yè)有厚厚的規(guī)章制度,但是否執(zhí)行、執(zhí)行是否有效卻沒有關(guān)注、或沒有證據(jù)進行評價。
      因此,我們構(gòu)建IT內(nèi)部控制系統(tǒng)時必須從全局考慮,借鑒國際內(nèi)部控制框架及國際最佳實踐經(jīng)驗,構(gòu)建一套系統(tǒng)化、標準化、可審計、可持續(xù)改進的IT內(nèi)部控制系統(tǒng)。
      三 構(gòu)建IT內(nèi)控系統(tǒng)的思路
      (1)不能因耗時且成本高昂就摒棄原有的IT控制而另搞一套。SEC管制條款內(nèi)容復雜,為了滿足薩班斯法案的要求,大多數(shù)企業(yè)需要調(diào)整其員工觀念和企業(yè)文化,通常也需要對IT系統(tǒng)和其處理流程作一些改進,改進的內(nèi)容包括其控制設(shè)計、控制文件、控制文件的保留,以及IT控制的評估等方面。這是一個循序漸進的過程,不能將原有的一切推倒重來。
      (2)要選擇好內(nèi)控框架。法案并沒有規(guī)定公司必須選擇什么樣的內(nèi)控框架, 需要企業(yè)自己抉擇。國際上比較有名的內(nèi)控模式有英國的Cadbury、美國的COSO 和加拿大的COCO , 它們從不同的角度剖析公司的經(jīng)營管理活動, 為營造良好的內(nèi)控框架提供了一系列的趨于一致的政策和建議。第2號審計標準依據(jù)COSO制定的內(nèi)部控制框架制訂,在“管理層用于開展其評估的框架”一節(jié)中,明確管理層要依據(jù)一個適宜且公認的由專家群體遵照應有的程序制定的控制框架,來評估公司財務報告內(nèi)部控制的有效性。SEC對該標準的認同等于從另外一個側(cè)面承認COSO框架。COSO 認為內(nèi)控是由企業(yè)董事會、經(jīng)理層和其他員工實施的, 為營運的效率效果、財務報告的可靠性及相關(guān)法令的遵循性等目標的達成提供合理保證的過程。內(nèi)控框架的構(gòu)成要素包括控制環(huán)境、風險評估、控制活動、信息和溝通、監(jiān)督五個方面。這套理論得到了包括SEC、公司管理者、投資者、債權(quán)人及專家學者的普遍認可, 國外許多公司都依據(jù)這個框架建立了內(nèi)控系統(tǒng), 我國公司也可以按COSO 建立內(nèi)控框架, 逐步與國際管理模式接軌。通過引入COSO 內(nèi)控要素, 形成一個相互聯(lián)系、綜合作用的控制整體, 使單純的控制活動與企業(yè)環(huán)境、管理目標及控制風險相結(jié)合, 形成一套不斷改進、自我完善的內(nèi)控機制。
      但是很明顯,SEC所推薦的COSO控制框架有助于遵循薩班斯法案,雖然它針對的是內(nèi)部控制,但沒有對IT控制目標和相關(guān)控制活動提出具體的要求與限制。由于COSO框架缺少對IT內(nèi)部控制的內(nèi)容,所以單獨以COSO為構(gòu)建IT內(nèi)部控制的框架顯然是不合適的。COBIT為管理IT風險與IT控制提供了一個綜合性的分析框架,是另外一個被國際認可的業(yè)內(nèi)標準,由4大部分、34個IT處理流程、318個詳細控制目標組成。COBIT也涉及企業(yè)經(jīng)營、薩班斯法案遵循等方面的控制。但在薩班斯法案要求下,我們只考慮應用COBIT中與財務報告相關(guān)的控制。
      因此Cobit與COSO結(jié)合作為構(gòu)建IT內(nèi)部控制框架,將是兩種國際標準優(yōu)勢互補。同時在確定控制點、控制程序、留下相應審計軌跡時,也可以參考BS15000以及ISO17799等一些國際標準,這些標準都是IT運營、安全方面可審計的一套標準管理控制體系。
      (3)要建立一套自評估機制,確保內(nèi)部控制系統(tǒng)的持續(xù)有效
      從歷史來看, 企業(yè)的發(fā)展階段和管理狀況,以及外部環(huán)境的變化都是決定企業(yè)內(nèi)控系統(tǒng)建立和運行有效的前提。任何內(nèi)部控制系統(tǒng)都只是在一個特定的歷史階段有效,管理層對內(nèi)部控制有效性的聲明,要求公司必須建立一套自我評價機制,評價內(nèi)部控制系統(tǒng)設(shè)計、執(zhí)行是否有效,以支持管理層的聲明。同時自我評估機制也可以幫助公司發(fā)現(xiàn)控制弱的區(qū)域,以及控制漏洞,及時審勢度勢,彌補內(nèi)控系統(tǒng)的缺陷,確保內(nèi)部控制系統(tǒng)持續(xù)有效。這也是薩班斯法案所要求的。
      控制自我評估(CSA)是指企業(yè)內(nèi)部為實現(xiàn)目標、控制風險而對內(nèi)部控制系統(tǒng)的有效性和恰當性實施自我評估的方法。國際內(nèi)部審計師協(xié)會(IIA)在1996年的研究報告中總結(jié)了CSA的三個基本特征:關(guān)注業(yè)務的過程和控制的成效;由管理部門和職員共同進行;用結(jié)構(gòu)化的方法開展自我評估。CSA最早出現(xiàn)在20世紀80年代末期,但其最主要的發(fā)展是在90年代,特別是在1992年COSO報告公布之后。COSO報告首次把內(nèi)部控制從原來自上而下財務模式的平面結(jié)構(gòu)發(fā)展為更具彈性的企業(yè)整體模式的立體框架。傳統(tǒng)的內(nèi)控評價方法只能用來評價諸如財務報告,資產(chǎn)與記錄的接觸、使用與傳遞,授權(quán)授信,崗位分離,數(shù)據(jù)處理與信息傳遞等的“硬控制”。在新的內(nèi)部控制模式下,迫切需要評價包括公司治理,高層經(jīng)營理念與管理風格,職業(yè)道德,誠實品質(zhì),勝任能力,風險評估等的“軟控制”。在這種情況下,作為一種既可以用來評價傳統(tǒng)的硬控制,又可以用來評價非正式控制即軟控制的機制,CSA得到了普遍的信賴。
      自評人員首先選擇要評審的內(nèi)控流程, 然后對其設(shè)計的健全性進行評價, 如果健全, 則測試其運行的有效性, 最后綜合設(shè)計測試和運行測試, 評價內(nèi)控系統(tǒng)的健全性和有效性。如果設(shè)計測試結(jié)果為不健全, 則直接進行內(nèi)控系統(tǒng)的評價, 而不再進行運行的有效性測試。
      內(nèi)控系統(tǒng)設(shè)計測試是指為了確定被審計單位內(nèi)控政策和程序設(shè)計是否合理、恰當和完善進行的測試。健全的標準即設(shè)計合理、恰當和完善, 能有效保證信息的機密性、完整性和可用性。運行有效性測試是指, 為了確定被審計單位的內(nèi)控政策和程序在實際工作中是否得到貫徹執(zhí)行, 并發(fā)揮應有的作用而進行的測試。有效的標準即內(nèi)控政策和程序在實際工作中得到了貫徹執(zhí)行并發(fā)揮了應有的作用。
      控制運行的有效性評估。一旦控制設(shè)計的評估結(jié)果認為內(nèi)部控制設(shè)計適當,就需要對其目前和以后的運行是否有效予以測試,而該測試由控制負責人及內(nèi)部控制程序管理團隊來進行。
      一般而言,有些控制(如一般控制)程序是其他控制程序(如應用控制)的基礎(chǔ),企業(yè)組織對這些控制的測試范圍應更廣、頻率更高。判斷測試范圍是否恰當時,組織應該考慮IT控制是如何影響財務信息披露與報告過程的。
      一些企業(yè)利用外部服務機構(gòu)所提供的外包服務,這也應該視為企業(yè)整個經(jīng)營職責的一部分,在整個IT內(nèi)部控制程序中應予以考慮。
      在這種情況下,組織在確定其內(nèi)部控制的可靠性時,應復核服務機構(gòu)所提供的控制活動,并將其記錄下來,以便獨立審計師收集內(nèi)部控制是否有效的證據(jù)。因此,在決定證據(jù)的充分性、適當性時,就有必要評估外包服務機構(gòu)的整體狀況。
      綜合前面的各種控制測試評價,對內(nèi)部控制有效性作出一個明確的評定,并最終以管理報告書的形式呈現(xiàn),以供高級經(jīng)理人員參考,用以表明IT控制系統(tǒng)總體的可靠性及完整性。控制不是一件簡單的事情,而是一個過程,需要對其不斷的評估,不斷的改進,以符合當前經(jīng)營的實際需要。這也必將成為IT部門組織文化的一個部分。
    大云網(wǎng)官方微信售電那點事兒
    免責聲明:本文僅代表作者個人觀點,與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實,對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關(guān)內(nèi)容。
    我要收藏
    個贊
    ?
    无码国内精品久久人妻| 国产麻豆剧传媒精在线播放| 91精品综合久久久久五月天| 国产人成精品一区二区三区无码| www.-级毛片线天内射视视| 三年片大全在线观看免费观看大全| 亚洲AVAPP精品白浆高清| 欧美成人大V领| 青柠影院观看免费高清电视剧| 性欧美丰满熟妇XXXX性久久久|