財(cái)務(wù)內(nèi)審相關(guān)IT部分與財(cái)務(wù)數(shù)據(jù)并重

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

《薩班斯－奧克利斯（SOX）法案》中已經(jīng)明確規(guī)定，在美國上市企業(yè)必須保證公司管理層建立和維護(hù)內(nèi)部控制系統(tǒng)及相應(yīng)控制程序充分有效的責(zé)任體系，同時(shí)提供管理層最近財(cái)年對(duì)內(nèi)部控制體系及控制程序有效性的證明及內(nèi)控機(jī)制評(píng)價(jià)報(bào)告。

由此可見，《SOX法案》的嚴(yán)格性。相對(duì)于國內(nèi)上市企業(yè)而言，未來由中國企業(yè)內(nèi)部控制標(biāo)準(zhǔn)委員會(huì)制定的相關(guān)法規(guī)政策(詳見《中國式<薩班斯法案>標(biāo)準(zhǔn)即將出臺(tái)》)，其嚴(yán)格程度應(yīng)該會(huì)比照《薩班斯法案》。

四方面都完善才可順利過關(guān)
目前，擺在美國上市的中國企業(yè)面前的，最急迫的問題是如何通過嚴(yán)格的審查順利過關(guān)。順利過關(guān)的企業(yè)所需具備的基本要素以下幾個(gè)方面：

公司治理方面 上市公司必須建立審計(jì)委員會(huì)，并對(duì)審計(jì)委員會(huì)的人員組成做出規(guī)定，保證審計(jì)委員會(huì)的獨(dú)立性，同時(shí)賦予審計(jì)委員會(huì)更多的責(zé)任，并增加高管人員及董事會(huì)的責(zé)任。

有一點(diǎn)需要注意，公司"治理"不同于公司"管理"，對(duì)控股股東越權(quán)和違規(guī)的必要防范和制約機(jī)制，以及對(duì)其侵害其它股東利益產(chǎn)生后果的糾正和補(bǔ)救措施，一直是上市公司治理結(jié)構(gòu)的重要內(nèi)容。市場上一系列觸目驚心的案例已證明了這一點(diǎn)，從早期的瓊民源假賬案，以及近年來的PT紅光、ST猴王、銀廣夏等案例可以看出，雖然我國關(guān)于控股股東的權(quán)利和義務(wù)，相應(yīng)的法律、法規(guī)也制定了不少，但在這些控股股東前，所有的條款都形同虛設(shè)，在利益面前，一切都被變通，成千上萬的中小股東利益就這樣被置于腦后。

IT內(nèi)控方面 針對(duì)《法案》302條款，公司管理層負(fù)責(zé)建立和維持公司所需的內(nèi)部控制機(jī)制，并保證首席官員能知道公司及其合并報(bào)表子公司的所有重大信息，尤其是報(bào)告期內(nèi)的重大信息；已評(píng)估了公司內(nèi)部控制機(jī)制在編制財(cái)務(wù)報(bào)告日前90天的有效性。

內(nèi)部控制是指由企業(yè)所設(shè)計(jì)及執(zhí)行的一系列措施以滿足相關(guān)的控制目標(biāo)，即由公司董事會(huì)、管理層及其他員工實(shí)施，為達(dá)成經(jīng)營的效率和效果、財(cái)務(wù)報(bào)表的可靠性以及相關(guān)法令的遵循性三方面目標(biāo)提供合理保證的一個(gè)過程。內(nèi)部控制活動(dòng)在整個(gè)機(jī)構(gòu)內(nèi)所有級(jí)別和所有職能部門內(nèi)進(jìn)行。薩班斯項(xiàng)目關(guān)注的主要是財(cái)務(wù)報(bào)告與信息披露相關(guān)的內(nèi)部控制的設(shè)計(jì)及運(yùn)行有效性。

管理層方面 針對(duì)《法案》404條款，公司管理層應(yīng)該建立和維護(hù)內(nèi)部控制系統(tǒng)及相應(yīng)控制程序充分有效的責(zé)任；發(fā)行人管理層要對(duì)最近財(cái)政年度末對(duì)內(nèi)部控制體系及控制程序進(jìn)行有效性的評(píng)價(jià)。

審計(jì)方面 增加審計(jì)師對(duì)信息系統(tǒng)的審計(jì)，要求審計(jì)師必須了解業(yè)務(wù)如何穿過系統(tǒng)，而不是繞過系統(tǒng)。

根據(jù)實(shí)質(zhì)性的要求，如何建立一套完整的流程，即建立信息披露的控制程序，體現(xiàn)在《薩班斯法案》302條款中。

而達(dá)到302條款要求的關(guān)鍵是要做好基礎(chǔ)工作，在對(duì)外披露信息文件的形成過程中就建立起一種責(zé)任制度，形成行動(dòng)上的監(jiān)督。這種監(jiān)督不是上級(jí)對(duì)下級(jí)的考核，而完全是由會(huì)計(jì)信息產(chǎn)生和報(bào)告單位自己發(fā)表的一個(gè)"聲明書"，承諾提交的會(huì)計(jì)信息真實(shí)、完整。這一流程保證了下級(jí)提供的會(huì)計(jì)報(bào)表、每個(gè)報(bào)表項(xiàng)目所對(duì)應(yīng)的會(huì)計(jì)記錄以及會(huì)計(jì)記錄所對(duì)應(yīng)的相關(guān)經(jīng)濟(jì)活動(dòng)都是真實(shí)可靠的、是經(jīng)過層層核對(duì)的。到了總部之后，會(huì)經(jīng)過一個(gè)包括CFO在內(nèi)的信息披露審核委員會(huì)審核、討論。

只有建立了這一程序和責(zé)任體系才符合《薩班斯法案》302、404條款要求。通過履行信息披露程序，最大限度控制會(huì)計(jì)信息的錯(cuò)誤和舞弊行為，提高投資者的投資信心和會(huì)計(jì)信息的可信度。

達(dá)不到關(guān)于《薩班斯法案》上述四個(gè)方面規(guī)定的公司，將不會(huì)通過外部審核。公司所受到的處罰將視其違規(guī)情況而定：輕則股價(jià)下跌，重則相關(guān)管理機(jī)構(gòu)將會(huì)根據(jù)相應(yīng)的法律法規(guī)，追究企業(yè)相關(guān)人等的刑事責(zé)任，公司也將被摘牌等。

安然公司財(cái)務(wù)丑聞教訓(xùn)和中航油事件都揭示了內(nèi)控缺失的危害。眾所周知的安然事件，迫使美國監(jiān)管機(jī)構(gòu)出臺(tái)了商業(yè)界影響最為深遠(yuǎn)的改革法案--《薩班斯法案》。中航油因?yàn)閮?nèi)控體系的缺失導(dǎo)致近6億美元的巨額損失，監(jiān)控機(jī)制形同虛設(shè)，陳久霖違規(guī)操作一年多無人知曉，成為央企實(shí)施責(zé)任追究的第一例，并直接導(dǎo)致《中央企業(yè)重大投資決策失誤責(zé)任追究制度》和《中央企業(yè)資產(chǎn)損失責(zé)任追究制度》將在近期出臺(tái)。國資委在總結(jié)中航油事件發(fā)生原因?yàn)椋簺Q策草率，法律審核把關(guān)不嚴(yán)，有的甚至根本就沒有進(jìn)行法律論證，缺乏必需的制度和機(jī)制保障，充分暴露出一些央企治理結(jié)構(gòu)不完善，組織結(jié)構(gòu)不合理，資產(chǎn)配置鏈條過長，對(duì)下屬子企業(yè)管理失控。
 
IT流程層面的控制評(píng)估是財(cái)務(wù)報(bào)告內(nèi)部控制的關(guān)鍵

在企業(yè)不斷發(fā)展壯大過程中，無疑將面臨諸多新挑戰(zhàn)：戰(zhàn)略目標(biāo)制定并付諸實(shí)施過程中，會(huì)受到不斷的沖擊，這種沖擊則是來自于市場環(huán)境的快速多變；產(chǎn)品不斷升級(jí)，更新?lián)Q代頻率加快與物美價(jià)廉的市場需求互為矛盾；產(chǎn)品快速投放市場，對(duì)企業(yè)物流和生產(chǎn)組織提出了前所未有的改進(jìn)要求；龐大的用戶群使售后服務(wù)本應(yīng)快速的反應(yīng)受到制約。

解決上述問題的最佳途徑就是借用日新月異的科技手段。毋庸置疑的是，信息化已經(jīng)成為企業(yè)提升競爭力的戰(zhàn)略武器。借助如此強(qiáng)大的"戰(zhàn)略武器"，企業(yè)可以有效整合貫穿于企業(yè)需求鏈、供應(yīng)鏈間的物流、資金流和信息流。這將有利于向企業(yè)高層管理者提供最有效的數(shù)據(jù)支持。從目前發(fā)展趨勢看，業(yè)務(wù)流程對(duì)IT技術(shù)的依賴程度在逐年增強(qiáng)。業(yè)務(wù)流程與IT技術(shù)結(jié)合越緊密，將使業(yè)務(wù)越可以得到有效、及時(shí)準(zhǔn)確地執(zhí)行。

對(duì)絕對(duì)大部分企業(yè)而言，財(cái)務(wù)數(shù)據(jù)的取得全過程（即財(cái)務(wù)數(shù)據(jù)的取得、記錄、積累及呈報(bào)）依賴于計(jì)算機(jī)、程序（財(cái)務(wù)系統(tǒng)及對(duì)財(cái)務(wù)數(shù)據(jù)有極大影響的應(yīng)用系統(tǒng)）及其他技術(shù)性的工具和軟件來完成，因此應(yīng)用系統(tǒng)和系統(tǒng)的控制成效會(huì)直接影響系統(tǒng)流程的完整性，包括系統(tǒng)中輸入的數(shù)據(jù)和流程最終輸出的信息。

財(cái)務(wù)系統(tǒng)及對(duì)財(cái)務(wù)數(shù)據(jù)有極大影響的應(yīng)用系統(tǒng)是財(cái)務(wù)報(bào)告內(nèi)部控制的關(guān)鍵。若這些程序化的控制有關(guān)鍵作用，在進(jìn)行評(píng)估時(shí)就必須進(jìn)行考慮，特別是在這些流程沒有經(jīng)過驗(yàn)證或驗(yàn)證不足的情況下，仍然會(huì)使企業(yè)的管理層依賴此流程。

IT風(fēng)險(xiǎn)只在IT環(huán)境中存在。由于業(yè)務(wù)的需要，企業(yè)中不同的員工及供應(yīng)商負(fù)責(zé)開發(fā)、維持及接觸到技術(shù)環(huán)境中的硬件、軟件及其他部分，如果沒有經(jīng)過授權(quán)，他們會(huì)直接影響到流程和數(shù)據(jù)的可靠性。所以，由技術(shù)衍生的風(fēng)險(xiǎn)是由于技術(shù)自生應(yīng)用而潛在，在評(píng)估與財(cái)務(wù)相關(guān)的內(nèi)控報(bào)告時(shí)也是我們必須考慮的。例如：未經(jīng)授權(quán)對(duì)系統(tǒng)數(shù)據(jù)的修改訪問，未經(jīng)授權(quán)對(duì)系統(tǒng)流程的修改刪除等，都會(huì)導(dǎo)致流程和數(shù)據(jù)的可靠性存在極大風(fēng)險(xiǎn)。

例如我們?cè)陂_篇中提及的北京移動(dòng)發(fā)生的網(wǎng)上盜竊通信公司資費(fèi)案，軟件研發(fā)工程師程稚瀚利用互聯(lián)網(wǎng)4次侵入北京移動(dòng)充值中心數(shù)據(jù)庫，盜取充值卡密碼并通過淘寶網(wǎng)出售，共獲利370余萬元。只有加強(qiáng)最大程度公司內(nèi)部的管控，才能使管控建立在規(guī)范化、標(biāo)準(zhǔn)化、低成本和低風(fēng)險(xiǎn)的基礎(chǔ)上。

綜上所述，我們必須看到在當(dāng)今高度計(jì)算機(jī)化的商業(yè)環(huán)境中（根據(jù)《薩班斯法案》404條款），在進(jìn)行財(cái)務(wù)報(bào)告內(nèi)部控制的綜合評(píng)估時(shí)，必須考慮IT的風(fēng)險(xiǎn)及控制，那么如何考慮IT風(fēng)險(xiǎn)和控制，在考慮IT風(fēng)險(xiǎn)及控制時(shí)采用何種方法及管理層如何識(shí)別IT的風(fēng)險(xiǎn)及對(duì)風(fēng)險(xiǎn)如何進(jìn)行優(yōu)先排序等將是我們下面所要展開討論的問題。(it168)