SOX与IT控制资料.docVIP

一、企业SOX遵从挑战 1．遵从活动本身给企业带来新的机遇： SOX法案迫使上市公司对内部控制流程采取某些行动，但精明的公司同时将抓住这个机会制定长期战略，以便提高自己在随需应变世界中的竞争力，方法如下： 优化企业内部控制以及流程，感知并迅速响应市场变化 改造流程以降低风险并提高绩效 聚焦核心能力 实时感知意外变化、快速危机应对 通过IBM Workplace for Business Control and Reporting软件，企业将能够更好地评估其内部控制表现，这反过来有助于对财务报告活动建立透明的流程。它也使公共企业能够与审计员、审计委员会、分析家及投资人等财务报告链中的其他参与者共享信息 帮助企业建立透明化遵从平台 建立统一的企业遵从平台，提供企业级的信息汇总 提供企业遵从状态的管理快照，以随时了解企业遵从状态 集中化数据管理，并可以按照关联性查看所有的遵从具体详情 保持遵从活动的一致性和自动化 用户可以快速展开各自的相关任务，并可以随时延续之前的工作 纳入内部控制范畴的流程描述可以与相应的财务报表相链接 定义控制，并可通过测试案例检查控制从而进行验证 效率和效力 简单一致的流程化遵从活动展开管理 可维护的处理和文档化活动 提供和电子邮件、及时通讯技术结合的工作流程管理 责任制 按流程定义主要角色和风险（CFO、业务部门负责人、流程负责人以及控制负责人等） 分配所有权，实施责任制 建议使用有以下特色的软件 购买支持企业不仅仅局限在SOX范畴的软件。考虑构建跨越Sarbanes-Oxley范围的制度遵从基础技术设施，支持ADA、Basel II、HIPAA和平等就业机会等法案。 对您的制度遵从过程提供协作支持（实现全企业互动）。 关注提供电子内容管理功能的制度遵从应用软件。 这意味着 SOX制度遵从将成为 企业日常商业运行的不可分割的一部分。 SOX应用软件将更全面地涉及到SOX的各部分。该解决方案将扩展以包含其他的SOX要求，包括披露人和披露信息等（例如，第409部分规定了实时披露和电子文件归档要求）” ”购买可跨越SOX的软件。考虑构建跨越Sarbanes-Oxley范围的制度遵从基础技术设施，支持ADA、Basel II、HIPAA和平等就业机会等法案。“ “使您的制度遵从流程提供协作支持（实现全企业互动）” ――Forrester市场调查 –2004年3月11日 (Sarbanes-Oxley Solutions – Invest or Pay Later, Hybrid Applications Emerge for Internal Controls Compliance，Paul Hamerman, Robert Markham, Laurie M. Orlov, Colin Teubner 在为适应SOX法案而实施转型的过程中，大多数企业将对如何管理审计流程发生兴趣。该流程的功能包括对现实风险和长期风险的识别、对变革的认知，以及改进IT流程的持续性努力。 现在，除非CIO采取与以前不一样的方法来遵循奥克斯利法案法案（Sarbandes-Oxley Act,以下简称SOX法案，其中第201条款规定了外部审计师向企业执行审计服务的同时也提供非审计服务的行为是非法的），否则将会导致更多的支出、更多的事务和更多的痛苦。 　规避风险、完善内部控制，是SOX法案的核心诉求。由于企业的业务运作已经越来越依赖于IT系统，以致于IT控制成为企业内部控制的重要组成部分。也正因为如此，SOX法案与IT结下了不解之缘，成为时常萦绕在很多公司的CIO脑海中的一个新的词汇。 　对于在美国上市的30多家中国公司来说，他们正面临着紧迫的SOX法案合规的任务—2006年7月15日之前，这些公司必须通过SOX法案内部控制测试报告。“为了在截止期限之前实现SOX法案合规，一些中国公司目前正热火朝天地工作着。”毕马威会计师事务所的朱恩良说。 而对于更多的非在美上市的中国公司而言，虽然暂时可以置身事外，但并不意味着他们可以对加强公司内部控制一事漠不关心。 　　实际上，无论是上海证券交易所，还是香港联交所，都已经先后公布了与SOX法案类似的相关法规，对上市公司建立内部稽核制度和信息披露要求进行了探讨，也对与财务报告相关的IT控制提出了要求。可以预见，改进IT控制和完善IT治理，不久必将进入更多中国公司董事会和管理层的议事日程。 　　来自美国的SOX法案，正在点燃中国企业加强IT控制的星星之火。 “现在，很多企业，尤其是大型企业，早已不是手工作业。现在大多实施了ERP等信息管理系统。各公司的产品和服务的提供，都要通过复杂的应用系统来进行。如财务处理，基本上也是通过信息系统来做的，做财务报表需要输入账号和密码，这实际上就是一种IT控制的手段。