IT如何遵從SOX法案

申請免費試用、咨詢電話：400-8352-114

遵從SOX法案，要求上市公司的高管和業(yè)務、管理、技術(shù)等各個部門都要積極應對：首先，對公司高管而言，要求他們必須清楚其對于公司財務報告、信息披露和內(nèi)部控制報告的責任，不遵從SOX所面臨的法律后果和證券市場的風險，掌握公司各個部門遵循SOX進行內(nèi)部控制的措施和執(zhí)行情況，降低遵從SOX所花費的內(nèi)外部成本等。其次，受SOX法案影響最大的是財務部門，對于財務部門尤其是CFO而言，要求能夠提供真實、準確、可靠的財務信息，按時完成季度及年度的公司財務報告，建立和維護內(nèi)部控制結(jié)構(gòu)和程序，與外部審計人員有效配合，并有責任減少遵循SOX所產(chǎn)生的內(nèi)部及外部審計成本。

此外，還要看到，SOX涉及到所有影響財務報表生成的其他業(yè)務部門，其中影響較大的是IT部門。SOX法案有一些條款是與IT直接相關(guān)的，包括Sec.302對財務報告的提供，Sec.404內(nèi)控報告的提供，Sec.409實時披露材料的變更，Sec.802為審計和評審員保留相關(guān)的記錄等。對IT部門而言，遵循SOX方案，要求IT部門要支持公司高管、財務和內(nèi)外部審計人員的需求，以確保影響財務報表的業(yè)務流程、應用和信息基礎設施的完整性、可用性和可審計性，保證內(nèi)控報告和內(nèi)控程序的完成，并能夠?qū)ν獠繉徲嬓枨笞龀龇e極響應。

為遵從SOX方案，保證會計賬務、財務報告、流程、財務應用和底層IT基礎結(jié)構(gòu)的完整性、可用性和準確性，要求IT在三方面有所準備：

一是優(yōu)化財務流程，完善財務應用系統(tǒng)。在財務應用的基礎上，要實現(xiàn)財務數(shù)據(jù)整合和統(tǒng)計分析，引進全面預算管理、KPI績效管理、財務預警等模塊，保證企業(yè)提供準確、完整、實時、真實的財務報告。

二是建立內(nèi)部控制體系并引入內(nèi)控管理信息系統(tǒng)。SOX要求企業(yè)高管加強對內(nèi)控程序和內(nèi)控報告的責任，要求CEO和CFO能夠證明年度和季度財務報告沒有差錯和遺漏現(xiàn)象，要求企業(yè)記錄并檢查企業(yè)的內(nèi)部控制情況，揭露任何“嚴重弱點”，要求企業(yè)高層能夠判斷與業(yè)務過程相關(guān)的風險，以及這些風險對公司財務報告可能產(chǎn)生的影響。達到上述要求的核心內(nèi)容首先是建立公司內(nèi)部控制體系，美國“反對虛假財務報告委員會”的COSO包括控制環(huán)境、風險評估、控制活動、信息與溝通和監(jiān)督五個要素，強調(diào)建立一系列的管理體制，加強公司的內(nèi)部控制。IT是COSO實施的關(guān)鍵，應建立起遵從SOX的企業(yè)內(nèi)控管理信息系統(tǒng)。

內(nèi)控管理信息系統(tǒng)至少應實現(xiàn)下述功能：能夠創(chuàng)建和記錄企業(yè)內(nèi)部業(yè)務流程，使公司的CEO、CFO、員工和審計人員能夠?qū)崟r識別、分配、測試并監(jiān)視內(nèi)部控制與流程，確保業(yè)務流程根據(jù)內(nèi)控標準執(zhí)行。一旦系統(tǒng)發(fā)現(xiàn)任何違反行為，將向適當人員自動報警。能夠收集并監(jiān)視控制信息，使管理人員快速查看流程、組織、控制和風險的實時狀態(tài)，提示管理人員注意控制目標是否實現(xiàn)。為了幫助企業(yè)更好地了解和跟蹤風險，內(nèi)控管理信息系統(tǒng)為企業(yè)建立一個能夠與企業(yè)的每項業(yè)務過程相關(guān)聯(lián)的風險庫。一旦認識出潛在風險，內(nèi)部控制管理系統(tǒng)能夠允許企業(yè)設計控制以降低風險。

三是加強IT控制。SOX法案要求企業(yè)的內(nèi)控活動，不論是人還是信息系統(tǒng)的操作流程都必須明白地定義并保存相關(guān)記錄，對審計過程也有存檔的要求。因此，對影響財務報告的信息系統(tǒng)的IT控制，也是SOX內(nèi)部控制的核心組成之一。這就要求IT完善治理機制，進行IT內(nèi)部控制和信息系統(tǒng)審計，以保證達到SOX對IT的基本要求。國際上已經(jīng)形成一些較為完整的IT治理的規(guī)范，如ITIL（信息技術(shù)基礎結(jié)構(gòu)庫）、COBIT（信息和相關(guān)技術(shù)的控制目標）、BS7799（信息安全管理標準）等。其中，COBIT是信息系統(tǒng)審計與控制協(xié)會提出的IT治理的控制框架。ITSM（IT服務管理）的標準ITIL則與COBIT緊密一致，通過IT服務管理流程與產(chǎn)品，能夠?qū)崿F(xiàn)IT的規(guī)范化管理，記錄和控制IT的基本信息，包括對網(wǎng)絡、硬件、網(wǎng)頁、應用、防火墻、信息系統(tǒng)訪問控制權(quán)限、訪問密碼等信息，保證財務報告的底層IT基礎結(jié)構(gòu)的業(yè)務持續(xù)，幫助公司更有效監(jiān)督和管理IT風險。

來源：金融時報