a详解it内控.docVIP

详解IT内控——萨班斯法案的IT内控指导书近年来，在美国上市的公司正受到萨班斯-奥克斯利法案（the Sarbanes-Oxley Act of 2002, 简称SOX法案）的影响。尤其随着其第404条款的逐渐实施，该法案的影响正在席卷全球，包括美国上市公司的中国分公司。可以说，SOX法案对全球的影响力直逼上世纪的“千年虫”事件，由于SOX法案的相对完善性，研究SOX法案对中国公司也有很强的借鉴意义。尤其SOX法案对信息化的要求严格，从公司治理和IT治理的高度提出IT内部控制的要求。 对于上市公司或者希望借鉴上市公司经验的公司来说，应该如何改进自身的IT控制水平？又应该如何治理IT以保证财务报告内部控制的有效性？ 来看一个实际的案例，A公司是一家财富500强企业，全球五大制药公司之一。该公司在全球拥有58000余名员工，年销售收入超过180亿美元，年利润超过40亿美元。随着SOX法案第404条款的实施，一家会计师事务所将对其IT内部控制进行审计。因此，该公司计划在全球信息服务（IS）部门推行合规项目。项目分为以下几个步骤，如图1所示。 精通SOX SOX法案的产生源自于公司操作的不规范和公司丑闻的披露。它对公司治理有着极为严格和苛刻的要求，要求公司针对产生财务交易的所有作业流程，都做到能见度、透明度、控制、通讯、风险管理和欺诈防范，且这些流程必须详细记录到可追查交易源头的地步。 所有人都清楚IT在现代企业中扮演着重要的角色。在很多公司内部，财务报告流程是由IT系统驱动的，如图2。无论是ERP还是其他系统，都与财务交易中的开始、批准、记录、处理和报告等活动紧密集成。可以说，IT是保证财务报告内部控制的有效性的基础，IT控制至关重要。 从IT控制的范围来说，IT控制通常包括IT控制环境、计算机运维、系统和数据的访问、系统开发和系统变更。IT控制有一个治理框架，即COBIT框架。COBIT的全称是信息及相关技术的控制目标（Control Objectives for Information and related Technology）。COBIT将IT流程、IT资源及信息与企业的策略与目标联系起来，在企业业务战略指导下，对信息及相关资源进行规划与处理。 制定项目计划 项目计划主要活动包括选择合适的团队和制定详细的项目计划。各国分公司团队组成情况各不相同，以中国区分公司为例，项目团队以中国区CEO、IS部门总监、IS经理和外部咨询顾问组成。对于SOX合规项目，可以采用“差距分析”方法来进行。 风险控制矩阵（Risk and Control Matrices，RCM）是差距分析和审计过程中的一个关键文档。RCM为公司相关的风险、需要达到的控制及当前控制状态等提供了一个控制范例。制定RCM可以从以下三点来考虑。首先，是否已识别出了所有风险？其次，已识别的风险是否都与财务交易相关？最后，对于每一个风险，有什么对应的控制？ 差距通常可以分为人员差距、流程差距和技术差距。例如，系统日志可以记录系统运维状态，但是如果加上适当的过滤工具，就可以保证对关键的突发事件及时的响应，相关人员不在现场也不会造成不能及时响应。 开展控制评估 第一步，要确定评估的控制范围，可以分为四个步骤：首先，确定财务报告流程中的核心要素；其次，识别关键的业务流程；再次，确定IT系统范围；最后，确定地理位置的范围。该公司中国区项目组根据财务交易活动，确定了关键的业务流程、支持系统和所在的位置。 第二步，在这些选定的范围内进行风险评估。风险评估使公司更加清晰地认识到，意外事件的发生将如何限制业务目标的达成。风险评估的目的就是辨别潜藏的内在风险与残存风险。 第三步，识别主要控制。对于公司和IT系统来说，存在三种控制：公司级控制、应用控制和通用控制。公司级控制的评估主要包括“高层的声音”（Tone at the top）、诚信、价值观与竞争力、管理哲学与运营风格、权责分配、政策与流程、员工的水平和技能、高层管理者的指示。应用控制主要适用于IT系统所支持的业务流程，以及被设计用来预防或探测非授权业务活动的控制。通用控制用于所有的信息系统，保证安全连续的运作。对这些流程和系统进行风险和控制评估后，就可以制定风险控制矩阵（RCM）。 该公司识别出来的风险涉及领域主要有：制度与流程手册、系统变更（包括应用系统及基础设施）、逻辑访问（包括应用系统及基础设施）、物理访问、IT灾难备份、数据接口、第三方管理、环境控制、问题管理和作业调度等。 进行控制设计 为了减少这些风险，中国区分公司进行了控制的优化与设计。在公司级控制方面，创建或优化各个制度，包括IS战略计划、逻辑访问控制制度、物理访问控制制度、第三方访问控制制度、环境控制制度、变更管理制度、业务连续性计划及