財務(wù)內(nèi)審相關(guān)IT部分與財務(wù)數(shù)據(jù)并重

申請免費試用、咨詢電話：400-8352-114

《薩班斯－奧克利斯（SOX）法案》中已經(jīng)明確規(guī)定，在美國上市企業(yè)必須保證公司管理層建立和維護(hù)內(nèi)部控制系統(tǒng)及相應(yīng)控制程序充分有效的責(zé)任體系，同時提供管理層最近財年對內(nèi)部控制體系及控制程序有效性的證明及內(nèi)控機制評價報告。

由此可見，《SOX法案》的嚴(yán)格性。相對于國內(nèi)上市企業(yè)而言，未來由中國企業(yè)內(nèi)部控制標(biāo)準(zhǔn)委員會制定的相關(guān)法規(guī)政策(詳見《中國式<薩班斯法案>標(biāo)準(zhǔn)即將出臺》)，其嚴(yán)格程度應(yīng)該會比照《薩班斯法案》。

四方面都完善才可順利過關(guān)
目前，擺在美國上市的中國企業(yè)面前的，最急迫的問題是如何通過嚴(yán)格的審查順利過關(guān)。順利過關(guān)的企業(yè)所需具備的基本要素以下幾個方面：

公司治理方面 上市公司必須建立審計委員會，并對審計委員會的人員組成做出規(guī)定，保證審計委員會的獨立性，同時賦予審計委員會更多的責(zé)任，并增加高管人員及董事會的責(zé)任。

有一點需要注意，公司"治理"不同于公司"管理"，對控股股東越權(quán)和違規(guī)的必要防范和制約機制，以及對其侵害其它股東利益產(chǎn)生后果的糾正和補救措施，一直是上市公司治理結(jié)構(gòu)的重要內(nèi)容。市場上一系列觸目驚心的案例已證明了這一點，從早期的瓊民源假賬案，以及近年來的PT紅光、ST猴王、銀廣夏等案例可以看出，雖然我國關(guān)于控股股東的權(quán)利和義務(wù)，相應(yīng)的法律、法規(guī)也制定了不少，但在這些控股股東前，所有的條款都形同虛設(shè)，在利益面前，一切都被變通，成千上萬的中小股東利益就這樣被置于腦后。

IT內(nèi)控方面 針對《法案》302條款，公司管理層負(fù)責(zé)建立和維持公司所需的內(nèi)部控制機制，并保證首席官員能知道公司及其合并報表子公司的所有重大信息，尤其是報告期內(nèi)的重大信息；已評估了公司內(nèi)部控制機制在編制財務(wù)報告日前90天的有效性。

內(nèi)部控制是指由企業(yè)所設(shè)計及執(zhí)行的一系列措施以滿足相關(guān)的控制目標(biāo)，即由公司董事會、管理層及其他員工實施，為達(dá)成經(jīng)營的效率和效果、財務(wù)報表的可靠性以及相關(guān)法令的遵循性三方面目標(biāo)提供合理保證的一個過程。內(nèi)部控制活動在整個機構(gòu)內(nèi)所有級別和所有職能部門內(nèi)進(jìn)行。薩班斯項目關(guān)注的主要是財務(wù)報告與信息披露相關(guān)的內(nèi)部控制的設(shè)計及運行有效性。

管理層方面 針對《法案》404條款，公司管理層應(yīng)該建立和維護(hù)內(nèi)部控制系統(tǒng)及相應(yīng)控制程序充分有效的責(zé)任；發(fā)行人管理層要對最近財政年度末對內(nèi)部控制體系及控制程序進(jìn)行有效性的評價。

審計方面 增加審計師對信息系統(tǒng)的審計，要求審計師必須了解業(yè)務(wù)如何穿過系統(tǒng)，而不是繞過系統(tǒng)。

根據(jù)實質(zhì)性的要求，如何建立一套完整的流程，即建立信息披露的控制程序，體現(xiàn)在《薩班斯法案》302條款中。

而達(dá)到302條款要求的關(guān)鍵是要做好基礎(chǔ)工作，在對外披露信息文件的形成過程中就建立起一種責(zé)任制度，形成行動上的監(jiān)督。這種監(jiān)督不是上級對下級的考核，而完全是由會計信息產(chǎn)生和報告單位自己發(fā)表的一個"聲明書"，承諾提交的會計信息真實、完整。這一流程保證了下級提供的會計報表、每個報表項目所對應(yīng)的會計記錄以及會計記錄所對應(yīng)的相關(guān)經(jīng)濟活動都是真實可靠的、是經(jīng)過層層核對的。到了總部之后，會經(jīng)過一個包括CFO在內(nèi)的信息披露審核委員會審核、討論。

只有建立了這一程序和責(zé)任體系才符合《薩班斯法案》302、404條款要求。通過履行信息披露程序，最大限度控制會計信息的錯誤和舞弊行為，提高投資者的投資信心和會計信息的可信度。

達(dá)不到關(guān)于《薩班斯法案》上述四個方面規(guī)定的公司，將不會通過外部審核。公司所受到的處罰將視其違規(guī)情況而定：輕則股價下跌，重則相關(guān)管理機構(gòu)將會根據(jù)相應(yīng)的法律法規(guī)，追究企業(yè)相關(guān)人等的刑事責(zé)任，公司也將被摘牌等。

安然公司財務(wù)丑聞教訓(xùn)和中航油事件都揭示了內(nèi)控缺失的危害。眾所周知的安然事件，迫使美國監(jiān)管機構(gòu)出臺了商業(yè)界影響最為深遠(yuǎn)的改革法案--《薩班斯法案》。中航油因為內(nèi)控體系的缺失導(dǎo)致近6億美元的巨額損失，監(jiān)控機制形同虛設(shè)，陳久霖違規(guī)操作一年多無人知曉，成為央企實施責(zé)任追究的第一例，并直接導(dǎo)致《中央企業(yè)重大投資決策失誤責(zé)任追究制度》和《中央企業(yè)資產(chǎn)損失責(zé)任追究制度》將在近期出臺。國資委在總結(jié)中航油事件發(fā)生原因為：決策草率，法律審核把關(guān)不嚴(yán)，有的甚至根本就沒有進(jìn)行法律論證，缺乏必需的制度和機制保障，充分暴露出一些央企治理結(jié)構(gòu)不完善，組織結(jié)構(gòu)不合理，資產(chǎn)配置鏈條過長，對下屬子企業(yè)管理失控。
 
IT流程層面的控制評估是財務(wù)報告內(nèi)部控制的關(guān)鍵

在企業(yè)不斷發(fā)展壯大過程中，無疑將面臨諸多新挑戰(zhàn)：戰(zhàn)略目標(biāo)制定并付諸實施過程中，會受到不斷的沖擊，這種沖擊則是來自于市場環(huán)境的快速多變；產(chǎn)品不斷升級，更新?lián)Q代頻率加快與物美價廉的市場需求互為矛盾；產(chǎn)品快速投放市場，對企業(yè)物流和生產(chǎn)組織提出了前所未有的改進(jìn)要求；龐大的用戶群使售后服務(wù)本應(yīng)快速的反應(yīng)受到制約。

解決上述問題的最佳途徑就是借用日新月異的科技手段。毋庸置疑的是，信息化已經(jīng)成為企業(yè)提升競爭力的戰(zhàn)略武器。借助如此強大的"戰(zhàn)略武器"，企業(yè)可以有效整合貫穿于企業(yè)需求鏈、供應(yīng)鏈間的物流、資金流和信息流。這將有利于向企業(yè)高層管理者提供最有效的數(shù)據(jù)支持。從目前發(fā)展趨勢看，業(yè)務(wù)流程對IT技術(shù)的依賴程度在逐年增強。業(yè)務(wù)流程與IT技術(shù)結(jié)合越緊密，將使業(yè)務(wù)越可以得到有效、及時準(zhǔn)確地執(zhí)行。

對絕對大部分企業(yè)而言，財務(wù)數(shù)據(jù)的取得全過程（即財務(wù)數(shù)據(jù)的取得、記錄、積累及呈報）依賴于計算機、程序（財務(wù)系統(tǒng)及對財務(wù)數(shù)據(jù)有極大影響的應(yīng)用系統(tǒng)）及其他技術(shù)性的工具和軟件來完成，因此應(yīng)用系統(tǒng)和系統(tǒng)的控制成效會直接影響系統(tǒng)流程的完整性，包括系統(tǒng)中輸入的數(shù)據(jù)和流程最終輸出的信息。

財務(wù)系統(tǒng)及對財務(wù)數(shù)據(jù)有極大影響的應(yīng)用系統(tǒng)是財務(wù)報告內(nèi)部控制的關(guān)鍵。若這些程序化的控制有關(guān)鍵作用，在進(jìn)行評估時就必須進(jìn)行考慮，特別是在這些流程沒有經(jīng)過驗證或驗證不足的情況下，仍然會使企業(yè)的管理層依賴此流程。

IT風(fēng)險只在IT環(huán)境中存在。由于業(yè)務(wù)的需要，企業(yè)中不同的員工及供應(yīng)商負(fù)責(zé)開發(fā)、維持及接觸到技術(shù)環(huán)境中的硬件、軟件及其他部分，如果沒有經(jīng)過授權(quán)，他們會直接影響到流程和數(shù)據(jù)的可靠性。所以，由技術(shù)衍生的風(fēng)險是由于技術(shù)自生應(yīng)用而潛在，在評估與財務(wù)相關(guān)的內(nèi)控報告時也是我們必須考慮的。例如：未經(jīng)授權(quán)對系統(tǒng)數(shù)據(jù)的修改訪問，未經(jīng)授權(quán)對系統(tǒng)流程的修改刪除等，都會導(dǎo)致流程和數(shù)據(jù)的可靠性存在極大風(fēng)險。

例如我們在開篇中提及的北京移動發(fā)生的網(wǎng)上盜竊通信公司資費案，軟件研發(fā)工程師程稚瀚利用互聯(lián)網(wǎng)4次侵入北京移動充值中心數(shù)據(jù)庫，盜取充值卡密碼并通過淘寶網(wǎng)出售，共獲利370余萬元。只有加強最大程度公司內(nèi)部的管控，才能使管控建立在規(guī)范化、標(biāo)準(zhǔn)化、低成本和低風(fēng)險的基礎(chǔ)上。

綜上所述，我們必須看到在當(dāng)今高度計算機化的商業(yè)環(huán)境中（根據(jù)《薩班斯法案》404條款），在進(jìn)行財務(wù)報告內(nèi)部控制的綜合評估時，必須考慮IT的風(fēng)險及控制，那么如何考慮IT風(fēng)險和控制，在考慮IT風(fēng)險及控制時采用何種方法及管理層如何識別IT的風(fēng)險及對風(fēng)險如何進(jìn)行優(yōu)先排序等將是我們下面所要展開討論的問題。(it168)