构建符合萨班斯法案的IT内部控制体系的思路
●如果与财务报告有关的内部控制中有一个或多个重要缺陷,管理层将不能对财务报告的内部控制有效性做出评估结论,而且,管理层应该披露自最近一个会计年度未以来财务报告内部控制方面的所有重要缺陷。
面向财务报告的内部控制在这一会计期间可能存在一个或多个重要缺陷,但管理层仍可能会报告“从最近一个会计年度未起(上个会计年度未起),与财务报告有关的内部控制是有效的”。如果要做出这样的结论,管理层必须在评估日前已经改进了内部控制,消除了已有的缺陷,并在运行和测试其有效性后得到了满意的结果,测试的时间足以让管理层认为,从本会计年度起,与财务报告有关的内部控制设计合理、运行有效。
审计师需要合理地确定管理层的认定目标或审计目的(从而依此来收集审计证据),以支持管理层对内部控制有效性的评估结论。通过对审计师在这一过程中所应遵循程序的描述,PCAOB第二号审计标准接着指出:
公司在对财务报告做出确认时需要借助于企业的IT系统。为了识别管理层对财务报告所作的相关认定,审计师应考虑每个重要账户潜在错报、漏报产生的原因。在决定一个认定是否与某一重要账户余额或其披露相关时,审计师应该评价IT系统的性质、复杂程度以及企业IT的使用状况。
PCAOB第2号审计标准还专门讲述了IT在期末财务报告中运用,它指出:…要了解期末财务报告的提供过程,审计师就应在每一会计期末评估IT在该过程中的应用范围。………[部分]
因此所有企业构建IT内部控制至少都应具备以下三层通用要素:企业管理层,业务流程和共享服务。
二、我国电信运营企业面临的挑战
由于电信企业的信息化水平比较高,业务对IT的依赖程度也比较高。因此依照萨班斯法案要求,完善与财务报告有关的内部控制时,电信企业的内部控制几乎离不开IT,即使业务控制也是在IT支持环境下的控制。因此,电信企业完善内部控制几乎可以说是完善IT内部控制,包括IT一般控制和IT应用控制。但我们的现状不容乐观。
1. IT专业人士,尤其是管理层,缺乏内部控制理论与实践来满足萨班斯法案的要求。
法案的要求使很多人认为,IT专业人士应该对其负责的IT系统所产生的信息质量及完整性负责,但问题在于,大多数IT专业人士对复杂的内部控制并不精通或了解,难负其责。尽管这并不说明IT人员没有参与风险管理,但至少IT管理层没有按照组织管理层或审计师所要求的形式进行正式的、规范化的风险管理。 PCAOB指出首席信息官(CIO)们现在必须面对以下的挑战:(1)增强他们有关内部控制方面的知识;(2)理解企业所制定的总的SOX遵循计划;(3)专门针对IT控制拟定一个遵循执行计划;(4)把这个计划与总体的SOX遵循计划相整合。
2 缺乏系统的内部控制制度
事实上,每个电信企业都或多或少会都有一些IT内部控制制度,正是由于第一点原因,这些制度基本是由技术管理者制定,他们缺乏规范化风险管理的经验,这些IT控制制度可能不太规范,控制政策程序不太完善, IT控制制度一般存在于系统安全和变更管理等一些一般控制领域,缺乏从公司透明度角度出发的、结合支持业务流程的完整的内部控制制度。所以这也是在国内企业在符合萨班斯法案的道路上,问题最多的领域。
3.现有的IT内部控制不具有可审计性
萨班斯法案相关的条款要求上市公司必须有足够的证据证明内部控制的有效性,这就要求企业必须有完善的内部控制流程及审计轨迹,在控制发挥作用的同时生成相应的文档记录,以便在对内部控制设计及运行的有效性进行评价时有足够的证据。我国的电信运营商的IT控制程序相对其他行业企业而言还是比较完善的,但距离萨班斯法案的要求还很远。很大的一个差距是我们内部控制流程设计及运行的可审计性不具备。很多企业有厚厚的规章制度,但是否执行、执行是否有效却没有关注、或没有证据进行评价。
因此,我们构建IT内部控制系统时必须从全局考虑,借鉴国际内部控制框架及国际最佳实践经验,构建一套系统化、标准化、可审计、可持续改进的IT内部控制系统。
- 上一篇:后萨班斯时代国际内部控制的发展趋势
- 下一篇:内部控制的发展与创新
