1.企業(yè)對(duì)財(cái)務(wù)報(bào)告的責(zé)任�。所有定期財(cái)務(wù)報(bào)告必須由負(fù)責(zé)簽章的主管查閱��、確認(rèn)并簽字�����;簽章的主管必須對(duì)財(cái)務(wù)報(bào)告的準(zhǔn)確度和清晰度負(fù)責(zé)。
合規(guī)性需求:通過(guò)簽章����,公司的簽章主管必須確認(rèn)已經(jīng)審查過(guò)財(cái)務(wù)報(bào)告����。這個(gè)簽章證明他們認(rèn)為財(cái)務(wù)報(bào)告是準(zhǔn)確的�����,并且所有數(shù)字來(lái)源是準(zhǔn)確的����。
這個(gè)需求對(duì)IT意味著:財(cái)務(wù)報(bào)告中使用的數(shù)據(jù)必須有已知的起源與推導(dǎo)��,有正確的格式���,在適當(dāng)?shù)膱?chǎng)景下被使用�����;整個(gè)流程必須有負(fù)責(zé)人;數(shù)據(jù)也必須有負(fù)責(zé)人�����;最終文檔以及相關(guān)的支持文檔必須記錄更改日志��,以進(jìn)行控制管理�����。
對(duì)特定的協(xié)同辦公軟件的要求:使用元數(shù)據(jù)進(jìn)行數(shù)據(jù)分類以及管理數(shù)據(jù)的屬性信息;協(xié)作網(wǎng)站必須在參與人員之間以一種有序的方式共享信息����;中心文檔庫(kù)需要提供一組專門(mén)的文檔供參與者共同進(jìn)行編輯���,文檔經(jīng)過(guò)核定并附帶更改記錄�,然后作為最終文檔被發(fā)布�����;最終文檔更改控制必須提供對(duì)更改的審核跟蹤與控制�,以保證文檔的權(quán)威可信�����;集中記錄跟蹤的目的是提供一個(gè)公共平臺(tái)�����,讓參與者可以對(duì)那些可能違背SOX的問(wèn)題和難點(diǎn)引起注意。
2.財(cái)務(wù)公開(kāi)����。滿足必要財(cái)務(wù)規(guī)則的財(cái)務(wù)報(bào)表和報(bào)告必須是由精確計(jì)算得出���,而且在報(bào)表和報(bào)告中不能有任何遺漏和省略��,以免產(chǎn)生誤解��。報(bào)表和報(bào)告中一定要包含影響企業(yè)健康的表外信息����。
合規(guī)性需求:企業(yè)負(fù)責(zé)人一定要對(duì)所有財(cái)務(wù)報(bào)表做準(zhǔn)確性確認(rèn)�;估計(jì)的數(shù)據(jù)一定要清晰準(zhǔn)確,并且要和企業(yè)實(shí)際的財(cái)務(wù)階段完全一致����;企業(yè)管理的責(zé)任就是建立和維護(hù)對(duì)財(cái)務(wù)報(bào)告負(fù)責(zé)的內(nèi)控架構(gòu)和內(nèi)控過(guò)程���。
這個(gè)需求對(duì)IT意味著:數(shù)據(jù)一定要可追溯�����;文檔一定要做變更管理;問(wèn)題一定要記載并公布出來(lái);定義的元數(shù)據(jù)必須能保證內(nèi)容進(jìn)行正確的分類�����、上下文以及對(duì)數(shù)據(jù)合理的解釋���;一定要保留審計(jì)痕跡����,數(shù)據(jù)擁有者對(duì)元數(shù)據(jù)操作過(guò)程,一定要進(jìn)行身份識(shí)別;流程擁有者在對(duì)那些影響企業(yè)績(jī)效的關(guān)鍵流程的操作,一定要進(jìn)行身份識(shí)別;通過(guò)元數(shù)據(jù)來(lái)清晰地區(qū)分歷史���、現(xiàn)實(shí)以及未來(lái)信息;數(shù)據(jù)源要具備內(nèi)部可追溯性�����;在建立���、修改�、刪除信息時(shí),要采用一致的、可重用的、可測(cè)量的��、標(biāo)準(zhǔn)的過(guò)程�����。
對(duì)特定協(xié)作軟件的需求:使用元數(shù)據(jù)進(jìn)行數(shù)據(jù)分類以及管理數(shù)據(jù)的屬性信息�����;協(xié)作網(wǎng)站必須在參與人員之間以一種有序的方式共享信息;中心文檔庫(kù)需要提供一組專門(mén)的文檔供參與者共同進(jìn)行編輯,文檔經(jīng)過(guò)核定并附帶更改記錄���,然后作為最終文檔被發(fā)布;最終文檔更改控制必須提供對(duì)更改的審核跟蹤與控制,以保證文檔的權(quán)威可信;企業(yè)內(nèi)外廣泛的審查者和參與者很容易使用企業(yè)的web站點(diǎn)�����;使用元數(shù)據(jù)進(jìn)行數(shù)據(jù)分類以及管理數(shù)據(jù)的屬性信息���;協(xié)作網(wǎng)站必須在參與人員之間以一種有序的方式共享信息�;中心文檔庫(kù)需要提供一組專門(mén)的文檔供參與者共同進(jìn)行編輯,文檔經(jīng)過(guò)核定并附帶更改記錄,然后作為最終文檔被發(fā)布�。
3.實(shí)時(shí)問(wèn)題暴露(公開(kāi))���。緊急事件發(fā)生的時(shí)候��,管理者必須報(bào)告企業(yè)財(cái)務(wù)及運(yùn)營(yíng)方面變化情況的信息。
這些信息一定要易于理解,以趨勢(shì)圖的方式表示出來(lái)�,信息質(zhì)量必須保證��。
合規(guī)性需求:企業(yè)信息的發(fā)布者必須提供最新的可用信息(例如,實(shí)時(shí)信息)。這些信息必須滿足財(cái)務(wù)期報(bào)告準(zhǔn)確性和清晰性的要求。
這個(gè)需求對(duì)IT意味著:一旦發(fā)生數(shù)據(jù)的畸變或者數(shù)據(jù)變化���,這些變化可能影響到現(xiàn)實(shí)財(cái)務(wù)報(bào)告的準(zhǔn)確性,IT部門(mén)必須能提供支持來(lái)快速識(shí)別���、分類、分析��、發(fā)布這些變化�。
對(duì)特定協(xié)作軟件的需求:使用元數(shù)據(jù)進(jìn)行數(shù)據(jù)分類以及管理數(shù)據(jù)的屬性信息;中心文檔庫(kù)需要提供一組專門(mén)的文檔供參與者共同進(jìn)行編輯�,文檔經(jīng)過(guò)核定并附帶更改記錄���,然后作為最終文檔被發(fā)布�;最終文檔更改控制必須提供對(duì)更改的審核跟蹤與控制��,以保證文檔的權(quán)威可信�����。
總之,為遵從SOX法案�,保證會(huì)計(jì)賬務(wù)�、財(cái)務(wù)報(bào)告���、流程�、財(cái)務(wù)應(yīng)用和底層IT基礎(chǔ)結(jié)構(gòu)的完整性、可用性和準(zhǔn)確性�����,要求IT在以下四方面有所準(zhǔn)備:
第一���,優(yōu)化財(cái)務(wù)流程��,完善財(cái)務(wù)應(yīng)用系統(tǒng)�。在財(cái)務(wù)應(yīng)用的基礎(chǔ)上要實(shí)現(xiàn)財(cái)務(wù)數(shù)據(jù)整合和統(tǒng)計(jì)分析��,引進(jìn)全面預(yù)算管理、KPI績(jī)效管理�����、財(cái)務(wù)預(yù)警等模塊��,保證企業(yè)提供準(zhǔn)確���、完整��、實(shí)時(shí)����、真實(shí)�����、有價(jià)值的財(cái)務(wù)報(bào)告���。
第二����,建立內(nèi)部控制體系并引入內(nèi)控管理信息系統(tǒng)�����。SOX要求企業(yè)高管加強(qiáng)對(duì)內(nèi)控程序和內(nèi)控報(bào)告的責(zé)任�����,要求CEO和CFO能夠證明年度和季度財(cái)務(wù)報(bào)告沒(méi)有差錯(cuò)和遺漏現(xiàn)象,要求企業(yè)記錄并檢查企業(yè)的內(nèi)部控制情況���,揭露任何“嚴(yán)重弱點(diǎn)”�����,要求企業(yè)高層能夠判斷與業(yè)務(wù)過(guò)程相關(guān)的風(fēng)險(xiǎn)����,以及這些風(fēng)險(xiǎn)對(duì)公司財(cái)務(wù)報(bào)告可能產(chǎn)生的影響���。達(dá)到上述要求的核心內(nèi)容首先是建立公司內(nèi)部控制體系���,美國(guó)“反對(duì)虛假財(cái)務(wù)報(bào)告委員會(huì)”的COSO是SEC(美國(guó)證券交易委員會(huì))及PCAOB(美國(guó)上市公司會(huì)計(jì)監(jiān)督委員會(huì))推薦的框架�����,COSO包括控制環(huán)境���、風(fēng)險(xiǎn)評(píng)估��、控制活動(dòng)、信息與溝通和監(jiān)督五個(gè)要素,強(qiáng)調(diào)建立一系列的管理體制�,加強(qiáng)公司的內(nèi)部控制�����。
第三,IT是COSO實(shí)施的關(guān)鍵,應(yīng)建立起遵從SOX的企業(yè)內(nèi)控管理信息系統(tǒng)�。內(nèi)控管理信息系統(tǒng)至少應(yīng)實(shí)現(xiàn)下述功能:能夠創(chuàng)建和記錄企業(yè)內(nèi)部業(yè)務(wù)流程�,使公司的CEO���、CFO�、員工和審計(jì)人員能夠?qū)崟r(shí)識(shí)別�、分配、測(cè)試并監(jiān)視內(nèi)部控制與流程����,確保業(yè)務(wù)流程根據(jù)內(nèi)控標(biāo)準(zhǔn)執(zhí)行����。一旦系統(tǒng)發(fā)現(xiàn)任何違反行為�����,將向適當(dāng)人員自動(dòng)報(bào)警��。能夠收集并監(jiān)視控制信息,使管理人員快速查看流程�、組織��、控制和風(fēng)險(xiǎn)的實(shí)時(shí)狀態(tài)����,提示管理人員注意控制目標(biāo)是否實(shí)現(xiàn)����。為了幫助企業(yè)更好地了解和跟蹤風(fēng)險(xiǎn),內(nèi)控管理信息系統(tǒng)為企業(yè)建立一個(gè)能夠與企業(yè)的每項(xiàng)業(yè)務(wù)過(guò)程相關(guān)聯(lián)的風(fēng)險(xiǎn)庫(kù)。一旦認(rèn)識(shí)出潛在風(fēng)險(xiǎn)���,內(nèi)部控制管理系統(tǒng)能夠允許企業(yè)設(shè)計(jì)控制以降低風(fēng)險(xiǎn)����。
某些公司的內(nèi)部控制管理系統(tǒng)的開(kāi)發(fā)旨在幫助企業(yè)有效地執(zhí)行SOX法案的要求��。
第四�����,加強(qiáng)IT控制���。SOX法案要求企業(yè)的內(nèi)控活動(dòng)���,不論是人還是信息系統(tǒng)的操作流程都必須明白地定義并保存相關(guān)記錄�����,對(duì)審計(jì)過(guò)程也有存檔的要求�����。因此���,對(duì)影響財(cái)務(wù)報(bào)告的信息系統(tǒng)的IT控制也是SOX內(nèi)部控制的核心組成部分之一��。這就要求IT完善治理機(jī)制����,進(jìn)行IT內(nèi)部控制和信息系統(tǒng)審計(jì)���,以保證達(dá)到SOX對(duì)IT的基本要求���。國(guó)際上已經(jīng)形成一些較為完整的IT治理的規(guī)范��,如ITIL(信息技術(shù)基礎(chǔ)結(jié)構(gòu)庫(kù))���、COBIT(信息和相關(guān)技術(shù)的控制目標(biāo))�、BS7799(信息安全管理標(biāo)準(zhǔn))等���。其中�,COBIT是信息系統(tǒng)審計(jì)與控制協(xié)會(huì)(ISACA)提出的IT治理的控制框架。IT服務(wù)管理(ITSM)的標(biāo)準(zhǔn)ITIL則與COBIT緊密一致�����,通過(guò)IT服務(wù)管理流程與產(chǎn)品,能夠?qū)崿F(xiàn)IT的規(guī)范化管理��,記錄和控制IT的基本信息�����,包括對(duì)網(wǎng)絡(luò)����、硬件、網(wǎng)頁(yè)�、應(yīng)用��、防火墻、信息系統(tǒng)訪問(wèn)控制權(quán)限�����、訪問(wèn)密碼等信息�����,保證財(cái)務(wù)報(bào)告的底層IT基礎(chǔ)結(jié)構(gòu)的業(yè)務(wù)持續(xù),幫助公司更有效監(jiān)督和管理IT風(fēng)險(xiǎn)。