作者单位:赛迪顾问股份有限公司信息化咨询中心
遵从SOX法案,要求上市公司的高管和业务、管理、技术等各个部门都要积极应对:首先,对公司高管而言,要求他们必须清楚其对于公司财务报告、信息披露和内部控制报告的责任,不遵从SOX所面临的法律后果和证券市场的风险,掌握公司各个部门遵循SOX进行内部控制的措施和执行情况,降低遵从SOX所花费的内外部成本等。其次,受SOX法案影响最大的是财务部门,对于财务部门尤其是CFO而言,要求能够提供真实、准确、可靠的财务信息,按时完成季度及年度的公司财务报告,建立和维护内部控制结构和程序,与外部审计人员有效配合,并有责任减少遵循SOX所产生的内部及外部审计成本。
此外,还要看到,SOX涉及到所有影响财务报表生成的其他业务部门,其中影响较大的是IT部门。SOX法案有一些条款是与IT直接相关的,包括Sec.302对财务报告的提供,Sec.404内控报告的提供,Sec.409实时披露材料的变更,Sec.802为审计和评审员保留相关的记录等。对IT部门而言,遵循SOX方案,要求IT部门要支持公司高管、财务和内外部审计人员的需求,以确保影响财务报表的业务流程、应用和信息基础设施的完整性、可用性和可审计性,保证内控报告和内控程序的完成,并能够对外部审计需求做出积极响应。
为遵从SOX方案,保证会计账务、财务报告、流程、财务应用和底层IT基础结构的完整性、可用性和准确性,要求IT在三方面有所准备:
一是优化财务流程,完善财务应用系统。在财务应用的基础上,要实现财务数据整合和统计分析,引进全面预算管理、KPI绩效管理、财务预警等模块,保证企业提供准确、完整、实时、真实的财务报告。
二是建立内部控制体系并引入内控管理信息系统。SOX要求企业高管加强对内控程序和内控报告的责任,要求CEO和CFO能够证明年度和季度财务报告没有差错和遗漏现象,要求企业记录并检查企业的内部控制情况,揭露任何“严重弱点”,要求企业高层能够判断与业务过程相关的风险,以及这些风险对公司财务报告可能产生的影响。达到上述要求的核心内容首先是建立公司内部控制体系,美国“反对虚假财务报告委员会”的COSO包括控制环境、风险评估、控制活动、信息与沟通和监督五个要素,强调建立一系列的管理体制,加强公司的内部控制。IT是COSO实施的关键,应建立起遵从SOX的企业内控管理信息系统。
内控管理信息系统至少应实现下述功能:能够创建和记录企业内部业务流程,使公司的CEO、CFO、员工和审计人员能够实时识别、分配、测试并监视内部控制与流程,确保业务流程根据内控标准执行。一旦系统发现任何违反行为,将向适当人员自动报警。能够收集并监视控制信息,使管理人员快速查看流程、组织、控制和风险的实时状态,提示管理人员注意控制目标是否实现。为了帮助企业更好地了解和跟踪风险,内控管理信息系统为企业建立一个能够与企业的每项业务过程相关联的风险库。一旦认识出潜在风险,内部控制管理系统能够允许企业设计控制以降低风险。
三是加强IT控制。SOX法案要求企业的内控活动,不论是人还是信息系统的操作流程都必须明白地定义并保存相关记录,对审计过程也有存档的要求。因此,对影响财务报告的信息系统的IT控制,也是SOX内部控制的核心组成之一。这就要求IT完善治理机制,进行IT内部控制和信息系统审计,以保证达到SOX对IT的基本要求。国际上已经形成一些较为完整的IT治理的规范,如ITIL(信息技术基础结构库)、COBIT(信息和相关技术的控制目标)、BS7799(信息安全管理标准)等。其中,COBIT是信息系统审计与控制协会提出的IT治理的控制框架。ITSM(IT服务管理)的标准ITIL则与COBIT紧密一致,通过IT服务管理流程与产品,能够实现IT的规范化管理,记录和控制IT的基本信息,包括对网络、硬件、网页、应用、防火墙、信息系统访问控制权限、访问密码等信息,保证财务报告的底层IT基础结构的业务持续,帮助公司更有效监督和管理IT风险。