构建符合萨班斯法案的IT内部控制体系的思路
面对安然、世通等财务欺诈事件,为提高上市公司(以下简称公司)治理水平,恢复投资者信心,美国总统布什于2002 年7 月30 日签发了萨班斯法案(以下简称法案)。萨班斯法案显示了美国国会强化公司责任的强硬手段,它试图恢复投资者对美国资本市场的信心。
萨班斯法案从根本上改变了企业的经营环境和法律环境,其目的在于通过加强内部控制,来改进公司治理状况,并最终加强公司的责任。
当前it系统越来越多地对业务经营活动进行自动化处理,这就需要it提供必要数量的控制程序。因此,遵循萨班斯法案的程序需要包括基于it系统的控制程序。对大多数企业而言,it在建立与保持有效的财务报告内部控制方面将发挥重要作用。通过运用整合的erp系统,或综合运用各种经营管理、财务管理方面的软件,it系统将为有效的财务报告内部控制系统提供强有力的支持。
pcaob第二号审计标准要求了解it在内部控制环境中的重要性。它特别指出:公司在其信息系统中运用信息技术的状况,影响着公司财务报告的内部控制。
目前我国四大电信运营商全部在美国上市,他们现在正在构建法案要求的内控系统,it内部控制系统构建及评审是无法绕过的工作。完善内控,特别是电信企业信息化水平很高、业务流程依赖于it流程的背景下,重视it内部控制,完善it内部控制十分迫切。本文讨论我国公司如何依据法案的要求在短时间内构建一套it内控系统, 并通过有效的it内控评价活动保证其持续健全有效, 以支持ceo 和cfo 的承诺进行初步探讨。WWw.11665.Com
一、萨班斯法案的要求
世通公司造假案件和安然、安达信事件震惊了整个世界, 美国*认为这是公司上下串通、内外勾结的严重结果, 所以法案对公司治理、内部控制及外部审计同时做出了严格的要求。明确规定要求建立独立称职的审计委员会,管理层要负责内控系统的完善和落实,并对财务报告的真实性负刑事责任 .综观整个法案, 最主要的是对公司内控系统的要求, 主要体现在302条款和404 条款。法案对公司内控系统不但规定严格, 而且实施要求和指南也在相续出台, 如sec 于2003年6月5日根据法案的要求颁布了404条的细化条例, pcaob于2004 年3月9日发布第2号审计准则, 对公司管理层提出了更明确的要求。
1、302条款的要求:
该条款要求由首席执行官和财务主管在内的企业管理层,对公司财务报告的内部控制按季度和年度就以下事项发表声明(予以证实):
●对建立和维护与财务报告有关的内部控制负责。
●设计了所需的内部控制,以保证这些官员能知道该公司及其并表子公司的所有重大信息,尤其是报告期内的重大信息;
●与财务报告有关的内部控制的任何变更都已得到恰当的披露,这里的变更指最近一个会计季度已经产生,或者合理预期将对于财务报告有关的内部控制产生重大影响的变更。
在当前环境下,it系统驱动着财务报告流程。诸如erp之类的it系统紧密地贯穿于企业经济业务的开始、授权、记录、处理和报告一整套过程中。就其本身而言,it系统和整个财务报告流程也是紧密联系的,为了遵循萨班斯法案,也要对it内部控制的有效性予以评估。
为强调这一点,pcaob第2号审计标准讨论了it以及it在测试内部控制设计合理性及运行有效性时的重要意义,并强调指出:[部分]
…内部控制,包括与财务报告中所有重要账户及披露内容相关的控制政策与程序,都应该予以测试。
一般而言,这样的控制包括it一般控制,以及其他控制所依赖的控制。
2、404条款管理要求
萨班斯法案的404条款要求,管理层在其年度文件中提供关于与财务报告有关的内部控制的年度评估报告。管理层的年度报告要求包括以下内容:
●管理层有责任为企业建立和维护恰当的财务报告有关的内部控制。
●识别管理层所采用的内部控制框架以便按要求评估公司与财务报告有关的内部控制的有效性。
●对从一上个会计年度未以来,与财务报告有关的内部控制的有效性予以评估,其内容也包括有关与财务报告有关的内部控制是否有效的公开声明。
●年度审计报告中,注册会计师事务所发表的财务审计报告,包括管理层对与财务报告有关的内部控制有效性评估的证明报告。
●管理层关于公司针对财务报告内部控制有效性评估的书面结论,应包含在其对财务报告内部控制的报告和其对审计师的信函中。这一书面结论可采取多种形式,但是管理层对公司面向财务报告的内部控制的有效性必须发表直接意见
●如果与财务报告有关的内部控制中有一个或多个重要缺陷,管理层将不能对财务报告的内部控制有效性做出评估结论,而且,管理层应该披露自最近一个会计年度未以来财务报告内部控制方面的所有重要缺陷。
面向财务报告的内部控制在这一会计期间可能存在一个或多个重要缺陷,但管理层仍可能会报告“从最近一个会计年度未起(上个会计年度未起),与财务报告有关的内部控制是有效的”。如果要做出这样的结论,管理层必须在评估日前已经改进了内部控制,消除了已有的缺陷,并在运行和测试其有效性后得到了满意的结果,测试的时间足以让管理层认为,从本会计年度起,与财务报告有关的内部控制设计合理、运行有效。
审计师需要合理地确定管理层的认定目标或审计目的(从而依此来收集审计证据),以支持管理层对内部控制有效性的评估结论。通过对审计师在这一过程中所应遵循程序的描述,pcaob第二号审计标准接着指出:
公司在对财务报告做出确认时需要借助于企业的it系统。为了识别管理层对财务报告所作的相关认定,审计师应考虑每个重要账户潜在错报、漏报产生的原因。在决定一个认定是否与某一重要账户余额或其披露相关时,审计师应该评价it系统的性质、复杂程度以及企业it的使用状况。
pcaob第2号审计标准还专门讲述了it在期末财务报告中运用,它指出:…要了解期末财务报告的提供过程,审计师就应在每一会计期末评估it在该过程中的应用范围。………[部分]
因此所有企业构建it内部控制至少都应具备以下三层通用要素:企业管理层,业务流程和共享服务。
二、我国电信运营企业面临的挑战
由于电信企业的信息化水平比较高,业务对it的依赖程度也比较高。因此依照萨班斯法案要求,完善与财务报告有关的内部控制时,电信企业的内部控制几乎离不开it,即使业务控制也是在it支持环境下的控制。因此,电信企业完善内部控制几乎可以说是完善it内部控制,包括it一般控制和it应用控制。但我们的现状不容乐观。
1. it专业人士,尤其是管理层,缺乏内部控制理论与实践来满足萨班斯法案的要求。
法案的要求使很多人认为,it专业人士应该对其负责的it系统所产生的信息质量及完整性负责,但问题在于,大多数it专业人士对复杂的内部控制并不精通或了解,难负其责。尽管这并不说明it人员没有参与风险管理,但至少it管理层没有按照组织管理层或审计师所要求的形式进行正式的、规范化的风险管理。 pcaob指出首席信息官(cio)们现在必须面对以下的挑战:(1)增强他们有关内部控制方面的知识;(2)理解企业所制定的总的sox遵循计划;(3)专门针对it控制拟定一个遵循执行计划;(4)把这个计划与总体的sox遵循计划相整合。
2 缺乏系统的内部控制制度
事实上,每个电信企业都或多或少会都有一些it内部控制制度,正是由于第一点原因,这些制度基本是由技术管理者制定,他们缺乏规范化风险管理的经验,这些it控制制度可能不太规范,控制政策程序不太完善, it控制制度一般存在于系统安全和变更管理等一些一般控制领域,缺乏从公司透明度角度出发的、结合支持业务流程的完整的内部控制制度。所以这也是在国内企业在符合萨班斯法案的道路上,问题最多的领域。
3.现有的it内部控制不具有可审计性
萨班斯法案相关的条款要求上市公司必须有足够的证据证明内部控制的有效性,这就要求企业必须有完善的内部控制流程及审计轨迹,在控制发挥作用的同时生成相应的文档记录,以便在对内部控制设计及运行的有效性进行评价时有足够的证据。我国的电信运营商的it控制程序相对其他行业企业而言还是比较完善的,但距离萨班斯法案的要求还很远。很大的一个差距是我们内部控制流程设计及运行的可审计性不具备。很多企业有厚厚的规章制度,但是否执行、执行是否有效却没有关注、或没有证据进行评价。
因此,我们构建it内部控制系统时必须从全局考虑,借鉴国际内部控制框架及国际最佳实践经验,构建一套系统化、标准化、可审计、可持续改进的it内部控制系统。