论文部分内容阅读
郭建荣,AMT高级顾问,研究和咨询领域是IT规划和治理、Sarbanes-Oxley合规、经营分析和会议体系、供应链管理。
近年来,在美国上市的公司正受到萨班斯-奥克斯利法案(the Sarbanes-Oxley Act of 2002, 简称SOX法案)的影响。尤其随着其第404条款的逐渐实施,该法案的影响正在席卷全球,包括美国上市公司的中国分公司。可以说,SOX法案对全球的影响力直逼上世纪的“千年虫”事件,由于SOX法案的相对完善性,研究SOX法案对中国公司也有很强的借鉴意义。尤其SOX法案对信息化的要求严格,从公司治理和IT治理的高度提出IT内部控制的要求。
对于上市公司或者希望借鉴上市公司经验的公司来说,应该如何改进自身的IT控制水平?又应该如何治理IT以保证财务报告内部控制的有效性? 来看一个实际的案例,A公司是一家财富500强企业,全球五大制药公司之一。该公司在全球拥有58000余名员工,年销售收入超过180亿美元,年利润超过40亿美元。随着SOX法案第404条款的实施,一家会计师事务所将对其IT内部控制进行审计。因此,该公司计划在全球信息服务(IS)部门推行合规项目。项目分为以下几个步骤,如图1所示。
精通SOX
SOX法案的产生源自于公司操作的不规范和公司丑闻的披露。它对公司治理有着极为严格和苛刻的要求,要求公司针对产生财务交易的所有作业流程,都做到能见度、透明度、控制、通讯、风险管理和欺诈防范,且这些流程必须详细记录到可追查交易源头的地步。
所有人都清楚IT在现代企业中扮演着重要的角色。在很多公司内部,财务报告流程是由IT系统驱动的。无论是ERP还是其他系统,都与财务交易中的开始、批准、记录、处理和报告等活动紧密集成。可以说,IT是保证财务报告内部控制的有效性的基础,IT控制至关重要。
从IT控制的范围来说,IT控制通常包括IT控制环境、计算机运维、系统和数据的访问、系统开发和系统变更。IT控制有一个治理框架,即COBIT框架。COBIT的全称是信息及相关技术的控制目标(Control Objectives for Information and related Technology)。COBIT将IT流程、IT资源及信息与企业的策略与目标联系起来,在企业业务战略指导下,对信息及相关资源进行规划与处理。
制定项目计划
项目计划主要活动包括选择合适的团队和制定详细的项目计划。各国分公司团队组成情况各不相同,以中国区分公司为例,项目团队以中国区CEO、IS部门总监、IS经理和外部咨询顾问组成。对于SOX合规项目,可以采用“差距分析”方法来进行。
风险控制矩阵(Risk and Control Matrices,RCM)是差距分析和审计过程中的一个关键文档。RCM为公司相关的风险、需要达到的控制及当前控制状态等提供了一个控制范例。制定RCM可以从以下三点来考虑。首先,是否已识别出了所有风险?其次,已识别的风险是否都与财务交易相关?最后,对于每一个风险,有什么对应的控制?
差距通常可以分为人员差距、流程差距和技术差距。例如,系统日志可以记录系统运维状态,但是如果加上适当的过滤工具,就可以保证对关键的突发事件及时的响应,相关人员不在现场也不会造成不能及时响应。
开展控制评估
第一步,要确定评估的控制范围,可以分为四个步骤:首先,确定财务报告流程中的核心要
素;其次,识别关键的业务流程;再次,确定IT系统范围;最后,确定地理位置的范围。该公司中国区项目组根据财务交易活动,确定了关键的业务流程、支持系统和所在的位置。
第二步,在这些选定的范围内进行风险评估。风险评估使公司更加清晰地认识到,意外事件的发生将如何限制业务目标的达成。风险评估的目的就是辨别潜藏的内在风险与残存风险。
第三步,识别主要控制。对于公司和IT系统来说,存在三种控制:公司级控制、應用控制和通用控制。公司级控制的评估主要包括“高层的声音”(Tone at the top)、诚信、价值观与竞争力、管理哲学与运营风格、权责分配、政策与流程、员工的水平和技能、高层管理者的指示。应用控制主要适用于IT系统所支持的业务流程,以及被设计用来预防或探测非授权业务活动的控制。通用控制用于所有的信息系统,保证安全连续的运作。对这些流程和系统进行风险和控制评估后,就可以制定风险控制矩阵(RCM)。
该公司识别出来的风险涉及领域主要有:制度与流程手册、系统变更(包括应用系统及基础设施)、逻辑访问(包括应用系统及基础设施)、物理访问、IT灾难备份、数据接口、第三方管理、环境控制、问题管理和作业调度等。
进行控制设计
为了减少这些风险,中国区分公司进行了控制的优化与设计。在公司级控制方面,创建或优化各个制度,包括IS战略计划、逻辑访问控制制度、物理访问控制制度、第三方访问控制制度、环境控制制度、变更管理制度、业务连续性计划及灾备制度等。
在应用、流程及通用控制方面,创建和优化了流程,为重要的流程和应用系统设计了一系列文档,设计的主要流程包括采购管理、资产管理、系统开发生命周期(SDLC)管理、用户管理流程、变更管理流程、第三方访问权管理流程等。
进行内部审计
在控制文档设计完毕后,需要先进行一次内部审计,沟通风险控制矩阵、确定审计范围、制定测试脚本。对于测试不合格的控制,需要纠正缺陷、完善控制的设计与运维,以确保其有效性。
报告管理层
在内部审计通过后,管理层形成正式的书面内部控制结论,迎接外部审计。
在此案例中,需要重点关注的是公司有哪些重要的流程和控制,有哪些相关的风险和需要哪些相关的控制,以及如何设计与评估控制。通常来说,SOX合规项目会非常费时,成本也较高。不过,可以通过外部咨询公司帮助企业做一个快速诊断,以寻找从哪些地方入手做关键改进。
对于大多数公司来说,要达到SOX法案的要求,需要从文化上去改变。从历史事件来看,内部控制有重大缺陷会对整个公司造成灾难,因此主动地去提升内部控制,显得至关重要。
链接:中国企业IT内审的难点
1. 企业在观念上对IT内审的重视程度不够;
2. 企业IT内审的组织架构不清晰,因为IT内审既涉及IT,又包含审计的内容,很多企业不知道该由哪个部门来推动;
3. 很多企业的信息化建设不尽如人意,因此IT审计被忽略;
4. IT内审执行需要既了解IT又了解审计的人才,这样的人才比较缺乏。
近年来,在美国上市的公司正受到萨班斯-奥克斯利法案(the Sarbanes-Oxley Act of 2002, 简称SOX法案)的影响。尤其随着其第404条款的逐渐实施,该法案的影响正在席卷全球,包括美国上市公司的中国分公司。可以说,SOX法案对全球的影响力直逼上世纪的“千年虫”事件,由于SOX法案的相对完善性,研究SOX法案对中国公司也有很强的借鉴意义。尤其SOX法案对信息化的要求严格,从公司治理和IT治理的高度提出IT内部控制的要求。
对于上市公司或者希望借鉴上市公司经验的公司来说,应该如何改进自身的IT控制水平?又应该如何治理IT以保证财务报告内部控制的有效性? 来看一个实际的案例,A公司是一家财富500强企业,全球五大制药公司之一。该公司在全球拥有58000余名员工,年销售收入超过180亿美元,年利润超过40亿美元。随着SOX法案第404条款的实施,一家会计师事务所将对其IT内部控制进行审计。因此,该公司计划在全球信息服务(IS)部门推行合规项目。项目分为以下几个步骤,如图1所示。
精通SOX
SOX法案的产生源自于公司操作的不规范和公司丑闻的披露。它对公司治理有着极为严格和苛刻的要求,要求公司针对产生财务交易的所有作业流程,都做到能见度、透明度、控制、通讯、风险管理和欺诈防范,且这些流程必须详细记录到可追查交易源头的地步。
所有人都清楚IT在现代企业中扮演着重要的角色。在很多公司内部,财务报告流程是由IT系统驱动的。无论是ERP还是其他系统,都与财务交易中的开始、批准、记录、处理和报告等活动紧密集成。可以说,IT是保证财务报告内部控制的有效性的基础,IT控制至关重要。
从IT控制的范围来说,IT控制通常包括IT控制环境、计算机运维、系统和数据的访问、系统开发和系统变更。IT控制有一个治理框架,即COBIT框架。COBIT的全称是信息及相关技术的控制目标(Control Objectives for Information and related Technology)。COBIT将IT流程、IT资源及信息与企业的策略与目标联系起来,在企业业务战略指导下,对信息及相关资源进行规划与处理。
制定项目计划
项目计划主要活动包括选择合适的团队和制定详细的项目计划。各国分公司团队组成情况各不相同,以中国区分公司为例,项目团队以中国区CEO、IS部门总监、IS经理和外部咨询顾问组成。对于SOX合规项目,可以采用“差距分析”方法来进行。
风险控制矩阵(Risk and Control Matrices,RCM)是差距分析和审计过程中的一个关键文档。RCM为公司相关的风险、需要达到的控制及当前控制状态等提供了一个控制范例。制定RCM可以从以下三点来考虑。首先,是否已识别出了所有风险?其次,已识别的风险是否都与财务交易相关?最后,对于每一个风险,有什么对应的控制?
差距通常可以分为人员差距、流程差距和技术差距。例如,系统日志可以记录系统运维状态,但是如果加上适当的过滤工具,就可以保证对关键的突发事件及时的响应,相关人员不在现场也不会造成不能及时响应。
开展控制评估
第一步,要确定评估的控制范围,可以分为四个步骤:首先,确定财务报告流程中的核心要
素;其次,识别关键的业务流程;再次,确定IT系统范围;最后,确定地理位置的范围。该公司中国区项目组根据财务交易活动,确定了关键的业务流程、支持系统和所在的位置。
第二步,在这些选定的范围内进行风险评估。风险评估使公司更加清晰地认识到,意外事件的发生将如何限制业务目标的达成。风险评估的目的就是辨别潜藏的内在风险与残存风险。
第三步,识别主要控制。对于公司和IT系统来说,存在三种控制:公司级控制、應用控制和通用控制。公司级控制的评估主要包括“高层的声音”(Tone at the top)、诚信、价值观与竞争力、管理哲学与运营风格、权责分配、政策与流程、员工的水平和技能、高层管理者的指示。应用控制主要适用于IT系统所支持的业务流程,以及被设计用来预防或探测非授权业务活动的控制。通用控制用于所有的信息系统,保证安全连续的运作。对这些流程和系统进行风险和控制评估后,就可以制定风险控制矩阵(RCM)。
该公司识别出来的风险涉及领域主要有:制度与流程手册、系统变更(包括应用系统及基础设施)、逻辑访问(包括应用系统及基础设施)、物理访问、IT灾难备份、数据接口、第三方管理、环境控制、问题管理和作业调度等。
进行控制设计
为了减少这些风险,中国区分公司进行了控制的优化与设计。在公司级控制方面,创建或优化各个制度,包括IS战略计划、逻辑访问控制制度、物理访问控制制度、第三方访问控制制度、环境控制制度、变更管理制度、业务连续性计划及灾备制度等。
在应用、流程及通用控制方面,创建和优化了流程,为重要的流程和应用系统设计了一系列文档,设计的主要流程包括采购管理、资产管理、系统开发生命周期(SDLC)管理、用户管理流程、变更管理流程、第三方访问权管理流程等。
进行内部审计
在控制文档设计完毕后,需要先进行一次内部审计,沟通风险控制矩阵、确定审计范围、制定测试脚本。对于测试不合格的控制,需要纠正缺陷、完善控制的设计与运维,以确保其有效性。
报告管理层
在内部审计通过后,管理层形成正式的书面内部控制结论,迎接外部审计。
在此案例中,需要重点关注的是公司有哪些重要的流程和控制,有哪些相关的风险和需要哪些相关的控制,以及如何设计与评估控制。通常来说,SOX合规项目会非常费时,成本也较高。不过,可以通过外部咨询公司帮助企业做一个快速诊断,以寻找从哪些地方入手做关键改进。
对于大多数公司来说,要达到SOX法案的要求,需要从文化上去改变。从历史事件来看,内部控制有重大缺陷会对整个公司造成灾难,因此主动地去提升内部控制,显得至关重要。
链接:中国企业IT内审的难点
1. 企业在观念上对IT内审的重视程度不够;
2. 企业IT内审的组织架构不清晰,因为IT内审既涉及IT,又包含审计的内容,很多企业不知道该由哪个部门来推动;
3. 很多企业的信息化建设不尽如人意,因此IT审计被忽略;
4. IT内审执行需要既了解IT又了解审计的人才,这样的人才比较缺乏。