六步詳解IT內控—SOX的IT內控指導書

2014-11-08 20:40:07 大云網　點擊量：評論 (0)

近年來，在美國上市的公司正受到薩班斯-奧克斯利法案（the Sarbanes-Oxley Act of 2002, 簡稱SOX法案）的影響。尤其隨著其第404條款的逐漸實施，該法案的影響正在席卷全球，包括美國上市公司的中國分公司。

近年來，在美國上市的公司正受到薩班斯-奧克斯利法案（the Sarbanes-Oxley Act of 2002, 簡稱SOX法案）的影響。尤其隨著其第404條款的逐漸實施，該法案的影響正在席卷全球，包括美國上市公司的中國分公司。可以說，SOX法案對全球的影響力直逼上世紀的“千年蟲”事件，由于SOX法案的相對完善性，研究SOX法案對中國公司也有很強的借鑒意義。尤其SOX法案對信息化的要求嚴格，從公司治理和IT治理的高度提出IT內部控制的要求。

對于上市公司或者希望借鑒上市公司經驗的公司來說，應該如何改進自身的IT控制水平？又應該如何治理IT以保證財務報告內部控制的有效性？來看一個實際的案例，A 公司是一家財富500強企業，全球五大制藥公司之一。該公司在全球擁有58000余名員工，年銷售收入超過180億美元，年利潤超過40億美元。隨著 SOX法案第404條款的實施，一家會計師事務所將對其IT內部控制進行審計。因此，該公司計劃在全球信息服務（IS）部門推行合規項目。項目分為以下幾個步驟，如圖1所示。

精通SOX

SOX法案的產生源自于公司操作的不規范和公司丑聞的披露。它對公司治理有著極為嚴格和苛刻的要求，要求公司針對產生財務交易的所有作業流程，都做到能見度、透明度、控制、通訊、風險管理和欺詐防范，且這些流程必須詳細記錄到可追查交易源頭的地步。

所有人都清楚IT在現代企業中扮演著重要的角色。在很多公司內部，財務報告流程是由IT系統驅動的，如圖2。無論是ERP還是其他系統，都與財務交易中的開始、批準、記錄、處理和報告等活動緊密集成。可以說，IT是保證財務報告內部控制的有效性的基礎，IT控制至關重要。

從IT控制的范圍來說，IT控制通常包括IT控制環境、計算機運維、系統和數據的訪問、系統開發和系統變更。IT控制有一個治理框架，即COBIT 框架。COBIT的全稱是信息及相關技術的控制目標（Control Objectives for Information and related Technology）。COBIT將IT流程、IT資源及信息與企業的策略與目標聯系起來，在企業業務戰略指導下，對信息及相關資源進行規劃與處理。

制定項目計劃

項目計劃主要活動包括選擇合適的團隊和制定詳細的項目計劃。各國分公司團隊組成情況各不相同，以中國區分公司為例，項目團隊以中國區CEO、IS部門總監、IS經理和外部咨詢顧問組成。對于SOX合規項目，可以采用“差距分析”方法來進行。

風險控制矩陣（Risk and Control Matrices，RCM）是差距分析和審計過程中的一個關鍵文檔。RCM為公司相關的風險、需要達到的控制及當前控制狀態等提供了一個控制范例。制定 RCM可以從以下三點來考慮。首先，是否已識別出了所有風險？其次，已識別的風險是否都與財務交易相關？最后，對于每一個風險，有什么對應的控制？

差距通常可以分為人員差距、流程差距和技術差距。例如，系統日志可以記錄系統運維狀態，但是如果加上適當的過濾工具，就可以保證對關鍵的突發事件及時的響應，相關人員不在現場也不會造成不能及時響應。

開展控制評估

第一步，要確定評估的控制范圍，可以分為四個步驟：首先，確定財務報告流程中的核心要素；其次，識別關鍵的業務流程；再次，確定IT系統范圍；最后，確定地理位置的范圍。該公司中國區項目組根據財務交易活動，確定了關鍵的業務流程、支持系統和所在的位置。

第二步，在這些選定的范圍內進行風險評估。風險評估使公司更加清晰地認識到，意外事件的發生將如何限制業務目標的達成。風險評估的目的就是辨別潛藏的內在風險與殘存風險。

第三步，識別主要控制。對于公司和IT系統來說，存在三種控制：公司級控制、應用控制和通用控制。公司級控制的評估主要包括“高層的聲音 ”（Tone at the top）、誠信、價值觀與競爭力、管理哲學與運營風格、權責分配、政策與流程、員工的水平和技能、高層管理者的指示。應用控制主要適用于IT系統所支持的業務流程，以及被設計用來預防或探測非授權業務活動的控制。通用控制用于所有的信息系統，保證安全連續的運作。對這些流程和系統進行風險和控制評估后，就可以制定風險控制矩陣（RCM）。

該公司識別出來的風險涉及領域主要有：制度與流程手冊、系統變更（包括應用系統及基礎設施）、邏輯訪問（包括應用系統及基礎設施）、物理訪問、IT災難備份、數據接口、第三方管理、環境控制、問題管理和作業調度等。

進行控制設計

為了減少這些風險，中國區分公司進行了控制的優化與設計。在公司級控制方面，創建或優化各個制度，包括IS戰略計劃、邏輯訪問控制制度、物理訪問控制制度、第三方訪問控制制度、環境控制制度、變更管理制度、業務連續性計劃及災備制度等。

在應用、流程及通用控制方面，創建和優化了流程，為重要的流程和應用系統設計了一系列文檔，設計的主要流程包括采購管理、資產管理、系統開發生命周期（SDLC）管理、用戶管理流程、變更管理流程、第三方訪問權管理流程等。

進行內部審計

在控制文檔設計完畢后，需要先進行一次內部審計，溝通風險控制矩陣、確定審計范圍、制定測試腳本。對于測試不合格的控制，需要糾正缺陷、完善控制的設計與運維，以確保其有效性。

報告管理層

在內部審計通過后，管理層形成正式的書面內部控制結論，迎接外部審計。

在此案例中，需要重點關注的是公司有哪些重要的流程和控制，有哪些相關的風險和需要哪些相關的控制，以及如何設計與評估控制。通常來說，SOX合規項目會非常費時，成本也較高。不過，可以通過外部咨詢公司幫助企業做一個快速診斷，以尋找從哪些地方入手做關鍵改進。

對于大多數公司來說，要達到SOX法案的要求，需要從文化上去改變。從歷史事件來看，內部控制有重大缺陷會對整個公司造成災難，因此主動地去提升內部控制，顯得至關重要。