六步详解IT内控—SOX的IT内控指导书

2014-11-08 20:40:07 大云网　点击量：评论 (0)

近年来，在美国上市的公司正受到萨班斯-奥克斯利法案（the Sarbanes-Oxley Act of 2002, 简称SOX法案）的影响。尤其随着其第404条款的逐渐实施，该法案的影响正在席卷全球，包括美国上市公司的中国分公司。

近年来，在美国上市的公司正受到萨班斯-奥克斯利法案（the Sarbanes-Oxley Act of 2002, 简称SOX法案）的影响。尤其随着其第404条款的逐渐实施，该法案的影响正在席卷全球，包括美国上市公司的中国分公司。可以说，SOX法案对全球的影响力直逼上世纪的“千年虫”事件，由于SOX法案的相对完善性，研究SOX法案对中国公司也有很强的借鉴意义。尤其SOX法案对信息化的要求严格，从公司治理和IT治理的高度提出IT内部控制的要求。

对于上市公司或者希望借鉴上市公司经验的公司来说，应该如何改进自身的IT控制水平？又应该如何治理IT以保证财务报告内部控制的有效性？来看一个实际的案例，A 公司是一家财富500强企业，全球五大制药公司之一。该公司在全球拥有58000余名员工，年销售收入超过180亿美元，年利润超过40亿美元。随着 SOX法案第404条款的实施，一家会计师事务所将对其IT内部控制进行审计。因此，该公司计划在全球信息服务（IS）部门推行合规项目。项目分为以下几个步骤，如图1所示。

精通SOX

SOX法案的产生源自于公司操作的不规范和公司丑闻的披露。它对公司治理有着极为严格和苛刻的要求，要求公司针对产生财务交易的所有作业流程，都做到能见度、透明度、控制、通讯、风险管理和欺诈防范，且这些流程必须详细记录到可追查交易源头的地步。

所有人都清楚IT在现代企业中扮演着重要的角色。在很多公司内部，财务报告流程是由IT系统驱动的，如图2。无论是ERP还是其他系统，都与财务交易中的开始、批准、记录、处理和报告等活动紧密集成。可以说，IT是保证财务报告内部控制的有效性的基础，IT控制至关重要。

从IT控制的范围来说，IT控制通常包括IT控制环境、计算机运维、系统和数据的访问、系统开发和系统变更。IT控制有一个治理框架，即COBIT 框架。COBIT的全称是信息及相关技术的控制目标（Control Objectives for Information and related Technology）。COBIT将IT流程、IT资源及信息与企业的策略与目标联系起来，在企业业务战略指导下，对信息及相关资源进行规划与处理。

制定项目计划

项目计划主要活动包括选择合适的团队和制定详细的项目计划。各国分公司团队组成情况各不相同，以中国区分公司为例，项目团队以中国区CEO、IS部门总监、IS经理和外部咨询顾问组成。对于SOX合规项目，可以采用“差距分析”方法来进行。

风险控制矩阵（Risk and Control Matrices，RCM）是差距分析和审计过程中的一个关键文档。RCM为公司相关的风险、需要达到的控制及当前控制状态等提供了一个控制范例。制定 RCM可以从以下三点来考虑。首先，是否已识别出了所有风险？其次，已识别的风险是否都与财务交易相关？最后，对于每一个风险，有什么对应的控制？

差距通常可以分为人员差距、流程差距和技术差距。例如，系统日志可以记录系统运维状态，但是如果加上适当的过滤工具，就可以保证对关键的突发事件及时的响应，相关人员不在现场也不会造成不能及时响应。

开展控制评估

第一步，要确定评估的控制范围，可以分为四个步骤：首先，确定财务报告流程中的核心要素；其次，识别关键的业务流程；再次，确定IT系统范围；最后，确定地理位置的范围。该公司中国区项目组根据财务交易活动，确定了关键的业务流程、支持系统和所在的位置。

第二步，在这些选定的范围内进行风险评估。风险评估使公司更加清晰地认识到，意外事件的发生将如何限制业务目标的达成。风险评估的目的就是辨别潜藏的内在风险与残存风险。

第三步，识别主要控制。对于公司和IT系统来说，存在三种控制：公司级控制、应用控制和通用控制。公司级控制的评估主要包括“高层的声音 ”（Tone at the top）、诚信、价值观与竞争力、管理哲学与运营风格、权责分配、政策与流程、员工的水平和技能、高层管理者的指示。应用控制主要适用于IT系统所支持的业务流程，以及被设计用来预防或探测非授权业务活动的控制。通用控制用于所有的信息系统，保证安全连续的运作。对这些流程和系统进行风险和控制评估后，就可以制定风险控制矩阵（RCM）。

该公司识别出来的风险涉及领域主要有：制度与流程手册、系统变更（包括应用系统及基础设施）、逻辑访问（包括应用系统及基础设施）、物理访问、IT灾难备份、数据接口、第三方管理、环境控制、问题管理和作业调度等。

进行控制设计

为了减少这些风险，中国区分公司进行了控制的优化与设计。在公司级控制方面，创建或优化各个制度，包括IS战略计划、逻辑访问控制制度、物理访问控制制度、第三方访问控制制度、环境控制制度、变更管理制度、业务连续性计划及灾备制度等。

在应用、流程及通用控制方面，创建和优化了流程，为重要的流程和应用系统设计了一系列文档，设计的主要流程包括采购管理、资产管理、系统开发生命周期（SDLC）管理、用户管理流程、变更管理流程、第三方访问权管理流程等。

进行内部审计

在控制文档设计完毕后，需要先进行一次内部审计，沟通风险控制矩阵、确定审计范围、制定测试脚本。对于测试不合格的控制，需要纠正缺陷、完善控制的设计与运维，以确保其有效性。

报告管理层

在内部审计通过后，管理层形成正式的书面内部控制结论，迎接外部审计。

在此案例中，需要重点关注的是公司有哪些重要的流程和控制，有哪些相关的风险和需要哪些相关的控制，以及如何设计与评估控制。通常来说，SOX合规项目会非常费时，成本也较高。不过，可以通过外部咨询公司帮助企业做一个快速诊断，以寻找从哪些地方入手做关键改进。

对于大多数公司来说，要达到SOX法案的要求，需要从文化上去改变。从历史事件来看，内部控制有重大缺陷会对整个公司造成灾难，因此主动地去提升内部控制，显得至关重要。