萨班斯法案下公司会计信息系统内部控制.docVIP

萨班斯法案下公司会计信息系统内部控制一、会计信息系统内部控制建设对中国联通的意义 中国联通作为在上海、香港和美国三地上市的公司，根据萨班斯法案要求从2006年开始要严格遵循《索克斯法案》规定。公司管理层要披露与财务报告相关的内控评价报告；外部审计师要对管理层披露发表验证报告，并对公司内控的有效性发表独立评价报告。这些评价结果直接影响到公司在资本市场的形象和价值，甚至影响到消费者对公司的认可程度。同时，公司的持续健康发展，也迫切需要建立起一整套科学、有效的内部管理机制。 会计信息系统内控是公司整体内控的重要组成部分，是通过萨班斯法案404条款外部审计必不可少的重要内容。会计信息系统就是用计算机信息技术代替了人工记账、算账、报账，以及替代部分由人工完成的对会计信息的分析和判断的过程。会计报表的完整性极大地依赖于系统中传输的信息的完整性、准确性和及时性。另外，财务报表认定的自动控制直接取决于相关应用程序以及为应用程序提供支持的信息技术基础设施的稳定和正常运行。因此，公司应当加强会计信息系统工作，并对其工作流程进行有效控制。本文结合中国联通依据法案的要求构建会计信息系统内控，并保证其持续健全有效，以确保财务信息真实性，从而支持CEO和CFO的承诺进行初步探讨。 二、中国联通的会计信息系统的内部控制主要内容 1、前期工作 基于内外部发展形势的需要，自2004年开始，中国联通就按照美国COSO框架的要求开始完善公司内控制度，围绕经营的效益及效率性、财务信息真实性和法律法规遵循性目标，全面实施内控建设，切实防范和控制经营风险。 为实施会计信息系统内部控制建设，公司首先对会计政策、业务流程进行全面梳理，制定了统一的会计政策、会计制度、会计文档，实现会计信息系统的统一升级，同时对报表生成、报送软件也通过系统建设实现统一规范，并最终形成统一的会计信息系统内控规范。 2、明确职责分工 公司明确规定信息化部门是系统的维护建设归口管理部门，财务部门是用户部门，在保证系统正常安全运行过程中各自承担的职责。会计信息系统岗位一般包括：系统所有者、系统开发/变更审批人、程序开发/变更人员、程序验收/上线/割接人员、安全管理员、应用系统管理员、数据库管理员/操作系统管理员、最终用户。按照信息系统总体控制规范职责分工管理标准落实不相容岗位职责，具体如下表所示： 信息系统总体控制规范职责分工管理标准 ×表明此两个职责如果由同一个人执行，就会有潜在风险存在。 3、会计信息系统访问安全控制 对会计信息系统操作权限和操作规范、信息使用、信息管理进行明确规定，建立账号审批制度，形成分工牵制的控制形式，如出纳人员不得兼任电算化系统管理员，不得兼任记账凭证的审核和数据录入制单工作；数据录入员（财务制单），不得进行复核操作等。 对于发生岗位变化或离岗的用户，及时调整其在系统中的访问权限。财务负责人或经授权的人员需定期对系统中的账号进行审阅，避免有授权不当或冗余账号存在。利用系统自身提供的安全性能，设置安全参数，以加强系统访问安全。定期检测系统运行情况，及时进行计算机病毒的预防检查工作。按照信息安全管理规范中数据密级分类标准对数据密级进行分类设定，明确涉密岗位人员名单。要求操作人员在权限范围内进行操作，不得利用他人的口令和密码进入系统。更换操作人员或密码泄密后，须及时更改密码，每3个月必须对密码进行更换。操作人员离开工作现场，必须退出已运行的程序，防止其他人员越权操作。 4、硬件管理 会计信息系统硬件设备统一放置在信息化部机房管理，指定专人负责管理和检查，其他任何人未经授权不得接触系统硬件设备。硬件设备的更新、扩充、修复等工作需由相关人员提出申请，报上级主管负责人审批。未经允许，不得擅自拆装硬件设备。 5、会计信息系统开发、变更和维护控制 公司指定信息化部门对会计信息系统实施归口管理，负责系统开发、变更、运行、维护等工作。开发系统时考虑业务和信息的集成性，优化流程，将相应的处理规则嵌入到系统程序中，以预防、检查、纠正错误和舞弊行为，确保会计信息系统数据的真实性、合规性。倡导全体财务人员积极参与系统建设，正确理解和使用系统，提高系统运作效率。 对涉及新旧会计信息系统切换的情形，在上线计划中明确系统回退计划，保证新系统一旦失效，能够顺利回退到原来的系统状态；如涉及数据迁移，需制定详细的迁移计划，财务部门积极参与数据迁移过程，对数据迁移结果进行测试并签署测试报告。系统在投入使用前应至少完成整体测试和用户验收测试，以确保系统的正常运转。上线后发生的系统源代码等方面的变更，应参照系统开发的审批和上线程序执行。对正在使用的会计信息系统进行修改、升级和对硬件进行更换时，需通过书面审批流