一、SOX历史:
2001年12月,美国最大的能源公司——安然公司,突然申请破产保护,此后,公司丑闻不断,规模也"屡创新高",特别是2002年6月的世界通信会计丑闻事件,"彻底打击了(美国)投资者对(美国)资本市场的信心"(Congress report, 2002).为了改变这一局面,美国国会和政府加速通过了《萨班斯法案》(以下简称SOX法案),该法案的另一个名称是"公众公司会计改革与投资者保护法案".法案的第一句话就是"遵守证券法律以提高公司披露的准确性和可靠性,从而达到保护投资者的目的。"
世通公司造假案件和安然、安达信事件震惊了整个世界, 美国政府认为这是公司上下串通、内外勾结的严重结果, 所以法案对公司治理、内部控制及外部审计同时做出了严格的要求。明确规定要求建立独立称职的审计委员会,管理层要负责内控系统的完善和落实,并对财务报告的真实性负刑事责任 .综观整个法案, 最主要的是对公司内控系统的提出严格的审计标准、实时监控及风险预警功能。萨班斯法案的立法从根本上改变了企业的经营环境和法律环境,其目的在于通过加强内部控制,来改进公司治理状况,并最终加强公司的责任。
当前IT系统越来越多地对业务经营活动进行自动化处理,这就需要IT提供必要数量的控制程序。因此,遵循萨班斯法案的程序需要包括基于IT系统的控制程序。对大多数企业而言,IT在建立与保持有效的财务报告内部控制方面将发挥重要作用。通过运用整合的ERP系统,或综合运用各种经营管理、财务管理方面的软件,IT系统将为有效的财务报告内部控制系统提供强有力的支持。
二、萨班斯在IT信息系统中的应用原则
1)优化财务流程,完善财务应用系统。 在财务应用的基础上,要实现财务数据整合和统计分析,保证财务软件的可靠性和准确性,减少人为操作干涉的可能。
2)建立内部控制体系并引入内控管理信息系统。内控管理信息系统至少应实现下述功能:能够创建和记录企业内部业务流程,使公司的CEO、CFO、员工和审计人员能够实时识别、分配、测试并监视内部控制与流程,确保业务流程根据内控标准执行。一旦系统发现任何违反行为,将向适当人员自动报警。能够收集并监视控制信息,使管理人员快速查看流程、组织、控制和风险的实时状态,提示管理人员注意控制目标是否实现。
3)加强IT控制。 SOX法案要求企业的内控活动,不论是人还是信息系统的操作流程都必须明白地定义并保存相关记录,对审计过程也有存档的要求。因此,对影响财务报告的信息系统的IT控制,也是SOX内部控制的核心组成之一。这就要求IT完善治理机制,进行IT内部控制和信息系统审计,以保证达到SOX对IT的基本要求。ITSM(IT服务管理)的标准ITIL则与COBIT紧密一致,通过IT服务管理流程与产品,能够实现IT的规范化管理,记录和控制IT的基本信息,包括对网络、硬件、网页、应用、防火墙、信息系统访问控制权限、访问密码等信息,保证财务报告的底层IT基础结构的业务持续,帮助公司更有效监督和管理IT风险。
阅读(6105) | 评论(0) | 转发(0) |