財務內審相關IT部分與財務數據并重

申請免費試用、咨詢電話：400-8352-114

《薩班斯－奧克利斯（SOX）法案》中已經明確規(guī)定，在美國上市企業(yè)必須保證公司管理層建立和維護內部控制系統及相應控制程序充分有效的責任體系，同時提供管理層最近財年對內部控制體系及控制程序有效性的證明及內控機制評價報告。

由此可見，《SOX法案》的嚴格性。相對于國內上市企業(yè)而言，未來由中國企業(yè)內部控制標準委員會制定的相關法規(guī)政策(詳見《中國式<薩班斯法案>標準即將出臺》)，其嚴格程度應該會比照《薩班斯法案》。

四方面都完善才可順利過關
目前，擺在美國上市的中國企業(yè)面前的，最急迫的問題是如何通過嚴格的審查順利過關。順利過關的企業(yè)所需具備的基本要素以下幾個方面：

公司治理方面 上市公司必須建立審計委員會，并對審計委員會的人員組成做出規(guī)定，保證審計委員會的獨立性，同時賦予審計委員會更多的責任，并增加高管人員及董事會的責任。

有一點需要注意，公司"治理"不同于公司"管理"，對控股股東越權和違規(guī)的必要防范和制約機制，以及對其侵害其它股東利益產生后果的糾正和補救措施，一直是上市公司治理結構的重要內容。市場上一系列觸目驚心的案例已證明了這一點，從早期的瓊民源假賬案，以及近年來的PT紅光、ST猴王、銀廣夏等案例可以看出，雖然我國關于控股股東的權利和義務，相應的法律、法規(guī)也制定了不少，但在這些控股股東前，所有的條款都形同虛設，在利益面前，一切都被變通，成千上萬的中小股東利益就這樣被置于腦后。

IT內控方面 針對《法案》302條款，公司管理層負責建立和維持公司所需的內部控制機制，并保證首席官員能知道公司及其合并報表子公司的所有重大信息，尤其是報告期內的重大信息；已評估了公司內部控制機制在編制財務報告日前90天的有效性。

內部控制是指由企業(yè)所設計及執(zhí)行的一系列措施以滿足相關的控制目標，即由公司董事會、管理層及其他員工實施，為達成經營的效率和效果、財務報表的可靠性以及相關法令的遵循性三方面目標提供合理保證的一個過程。內部控制活動在整個機構內所有級別和所有職能部門內進行。薩班斯項目關注的主要是財務報告與信息披露相關的內部控制的設計及運行有效性。

管理層方面 針對《法案》404條款，公司管理層應該建立和維護內部控制系統及相應控制程序充分有效的責任；發(fā)行人管理層要對最近財政年度末對內部控制體系及控制程序進行有效性的評價。

審計方面 增加審計師對信息系統的審計，要求審計師必須了解業(yè)務如何穿過系統，而不是繞過系統。

根據實質性的要求，如何建立一套完整的流程，即建立信息披露的控制程序，體現在《薩班斯法案》302條款中。

而達到302條款要求的關鍵是要做好基礎工作，在對外披露信息文件的形成過程中就建立起一種責任制度，形成行動上的監(jiān)督。這種監(jiān)督不是上級對下級的考核，而完全是由會計信息產生和報告單位自己發(fā)表的一個"聲明書"，承諾提交的會計信息真實、完整。這一流程保證了下級提供的會計報表、每個報表項目所對應的會計記錄以及會計記錄所對應的相關經濟活動都是真實可靠的、是經過層層核對的。到了總部之后，會經過一個包括CFO在內的信息披露審核委員會審核、討論。

只有建立了這一程序和責任體系才符合《薩班斯法案》302、404條款要求。通過履行信息披露程序，最大限度控制會計信息的錯誤和舞弊行為，提高投資者的投資信心和會計信息的可信度。

達不到關于《薩班斯法案》上述四個方面規(guī)定的公司，將不會通過外部審核。公司所受到的處罰將視其違規(guī)情況而定：輕則股價下跌，重則相關管理機構將會根據相應的法律法規(guī)，追究企業(yè)相關人等的刑事責任，公司也將被摘牌等。

安然公司財務丑聞教訓和中航油事件都揭示了內控缺失的危害。眾所周知的安然事件，迫使美國監(jiān)管機構出臺了商業(yè)界影響最為深遠的改革法案--《薩班斯法案》。中航油因為內控體系的缺失導致近6億美元的巨額損失，監(jiān)控機制形同虛設，陳久霖違規(guī)操作一年多無人知曉，成為央企實施責任追究的第一例，并直接導致《中央企業(yè)重大投資決策失誤責任追究制度》和《中央企業(yè)資產損失責任追究制度》將在近期出臺。國資委在總結中航油事件發(fā)生原因為：決策草率，法律審核把關不嚴，有的甚至根本就沒有進行法律論證，缺乏必需的制度和機制保障，充分暴露出一些央企治理結構不完善，組織結構不合理，資產配置鏈條過長，對下屬子企業(yè)管理失控。
 
IT流程層面的控制評估是財務報告內部控制的關鍵

在企業(yè)不斷發(fā)展壯大過程中，無疑將面臨諸多新挑戰(zhàn)：戰(zhàn)略目標制定并付諸實施過程中，會受到不斷的沖擊，這種沖擊則是來自于市場環(huán)境的快速多變；產品不斷升級，更新換代頻率加快與物美價廉的市場需求互為矛盾；產品快速投放市場，對企業(yè)物流和生產組織提出了前所未有的改進要求；龐大的用戶群使售后服務本應快速的反應受到制約。

解決上述問題的最佳途徑就是借用日新月異的科技手段。毋庸置疑的是，信息化已經成為企業(yè)提升競爭力的戰(zhàn)略武器。借助如此強大的"戰(zhàn)略武器"，企業(yè)可以有效整合貫穿于企業(yè)需求鏈、供應鏈間的物流、資金流和信息流。這將有利于向企業(yè)高層管理者提供最有效的數據支持。從目前發(fā)展趨勢看，業(yè)務流程對IT技術的依賴程度在逐年增強。業(yè)務流程與IT技術結合越緊密，將使業(yè)務越可以得到有效、及時準確地執(zhí)行。

對絕對大部分企業(yè)而言，財務數據的取得全過程（即財務數據的取得、記錄、積累及呈報）依賴于計算機、程序（財務系統及對財務數據有極大影響的應用系統）及其他技術性的工具和軟件來完成，因此應用系統和系統的控制成效會直接影響系統流程的完整性，包括系統中輸入的數據和流程最終輸出的信息。

財務系統及對財務數據有極大影響的應用系統是財務報告內部控制的關鍵。若這些程序化的控制有關鍵作用，在進行評估時就必須進行考慮，特別是在這些流程沒有經過驗證或驗證不足的情況下，仍然會使企業(yè)的管理層依賴此流程。

IT風險只在IT環(huán)境中存在。由于業(yè)務的需要，企業(yè)中不同的員工及供應商負責開發(fā)、維持及接觸到技術環(huán)境中的硬件、軟件及其他部分，如果沒有經過授權，他們會直接影響到流程和數據的可靠性。所以，由技術衍生的風險是由于技術自生應用而潛在，在評估與財務相關的內控報告時也是我們必須考慮的。例如：未經授權對系統數據的修改訪問，未經授權對系統流程的修改刪除等，都會導致流程和數據的可靠性存在極大風險。

例如我們在開篇中提及的北京移動發(fā)生的網上盜竊通信公司資費案，軟件研發(fā)工程師程稚瀚利用互聯網4次侵入北京移動充值中心數據庫，盜取充值卡密碼并通過淘寶網出售，共獲利370余萬元。只有加強最大程度公司內部的管控，才能使管控建立在規(guī)范化、標準化、低成本和低風險的基礎上。

綜上所述，我們必須看到在當今高度計算機化的商業(yè)環(huán)境中（根據《薩班斯法案》404條款），在進行財務報告內部控制的綜合評估時，必須考慮IT的風險及控制，那么如何考慮IT風險和控制，在考慮IT風險及控制時采用何種方法及管理層如何識別IT的風險及對風險如何進行優(yōu)先排序等將是我們下面所要展開討論的問題。(it168)