财务内审相关IT部分与财务数据并重

申请免费试用、咨询电话：400-8352-114

《萨班斯－奥克利斯（SOX）法案》中已经明确规定，在美国上市企业必须保证公司管理层建立和维护内部控制系统及相应控制程序充分有效的责任体系，同时提供管理层最近财年对内部控制体系及控制程序有效性的证明及内控机制评价报告。

由此可见，《SOX法案》的严格性。相对于国内上市企业而言，未来由中国企业内部控制标准委员会制定的相关法规政策(详见《中国式<萨班斯法案>标准即将出台》)，其严格程度应该会比照《萨班斯法案》。

四方面都完善才可顺利过关
目前，摆在美国上市的中国企业面前的，最急迫的问题是如何通过严格的审查顺利过关。顺利过关的企业所需具备的基本要素以下几个方面：

公司治理方面 上市公司必须建立审计委员会，并对审计委员会的人员组成做出规定，保证审计委员会的独立性，同时赋予审计委员会更多的责任，并增加高管人员及董事会的责任。

有一点需要注意，公司"治理"不同于公司"管理"，对控股股东越权和违规的必要防范和制约机制，以及对其侵害其它股东利益产生后果的纠正和补救措施，一直是上市公司治理结构的重要内容。市场上一系列触目惊心的案例已证明了这一点，从早期的琼民源假账案，以及近年来的PT红光、ST猴王、银广夏等案例可以看出，虽然我国关于控股股东的权利和义务，相应的法律、法规也制定了不少，但在这些控股股东前，所有的条款都形同虚设，在利益面前，一切都被变通，成千上万的中小股东利益就这样被置于脑后。

IT内控方面 针对《法案》302条款，公司管理层负责建立和维持公司所需的内部控制机制，并保证首席官员能知道公司及其合并报表子公司的所有重大信息，尤其是报告期内的重大信息；已评估了公司内部控制机制在编制财务报告日前90天的有效性。

内部控制是指由企业所设计及执行的一系列措施以满足相关的控制目标，即由公司董事会、管理层及其他员工实施，为达成经营的效率和效果、财务报表的可靠性以及相关法令的遵循性三方面目标提供合理保证的一个过程。内部控制活动在整个机构内所有级别和所有职能部门内进行。萨班斯项目关注的主要是财务报告与信息披露相关的内部控制的设计及运行有效性。

管理层方面 针对《法案》404条款，公司管理层应该建立和维护内部控制系统及相应控制程序充分有效的责任；发行人管理层要对最近财政年度末对内部控制体系及控制程序进行有效性的评价。

审计方面 增加审计师对信息系统的审计，要求审计师必须了解业务如何穿过系统，而不是绕过系统。

根据实质性的要求，如何建立一套完整的流程，即建立信息披露的控制程序，体现在《萨班斯法案》302条款中。

而达到302条款要求的关键是要做好基础工作，在对外披露信息文件的形成过程中就建立起一种责任制度，形成行动上的监督。这种监督不是上级对下级的考核，而完全是由会计信息产生和报告单位自己发表的一个"声明书"，承诺提交的会计信息真实、完整。这一流程保证了下级提供的会计报表、每个报表项目所对应的会计记录以及会计记录所对应的相关经济活动都是真实可靠的、是经过层层核对的。到了总部之后，会经过一个包括CFO在内的信息披露审核委员会审核、讨论。

只有建立了这一程序和责任体系才符合《萨班斯法案》302、404条款要求。通过履行信息披露程序，最大限度控制会计信息的错误和舞弊行为，提高投资者的投资信心和会计信息的可信度。

达不到关于《萨班斯法案》上述四个方面规定的公司，将不会通过外部审核。公司所受到的处罚将视其违规情况而定：轻则股价下跌，重则相关管理机构将会根据相应的法律法规，追究企业相关人等的刑事责任，公司也将被摘牌等。

安然公司财务丑闻教训和中航油事件都揭示了内控缺失的危害。众所周知的安然事件，迫使美国监管机构出台了商业界影响最为深远的改革法案--《萨班斯法案》。中航油因为内控体系的缺失导致近6亿美元的巨额损失，监控机制形同虚设，陈久霖违规操作一年多无人知晓，成为央企实施责任追究的第一例，并直接导致《中央企业重大投资决策失误责任追究制度》和《中央企业资产损失责任追究制度》将在近期出台。国资委在总结中航油事件发生原因为：决策草率，法律审核把关不严，有的甚至根本就没有进行法律论证，缺乏必需的制度和机制保障，充分暴露出一些央企治理结构不完善，组织结构不合理，资产配置链条过长，对下属子企业管理失控。
 
IT流程层面的控制评估是财务报告内部控制的关键

在企业不断发展壮大过程中，无疑将面临诸多新挑战：战略目标制定并付诸实施过程中，会受到不断的冲击，这种冲击则是来自于市场环境的快速多变；产品不断升级，更新换代频率加快与物美价廉的市场需求互为矛盾；产品快速投放市场，对企业物流和生产组织提出了前所未有的改进要求；庞大的用户群使售后服务本应快速的反应受到制约。

解决上述问题的最佳途径就是借用日新月异的科技手段。毋庸置疑的是，信息化已经成为企业提升竞争力的战略武器。借助如此强大的"战略武器"，企业可以有效整合贯穿于企业需求链、供应链间的物流、资金流和信息流。这将有利于向企业高层管理者提供最有效的数据支持。从目前发展趋势看，业务流程对IT技术的依赖程度在逐年增强。业务流程与IT技术结合越紧密，将使业务越可以得到有效、及时准确地执行。

对绝对大部分企业而言，财务数据的取得全过程（即财务数据的取得、记录、积累及呈报）依赖于计算机、程序（财务系统及对财务数据有极大影响的应用系统）及其他技术性的工具和软件来完成，因此应用系统和系统的控制成效会直接影响系统流程的完整性，包括系统中输入的数据和流程最终输出的信息。

财务系统及对财务数据有极大影响的应用系统是财务报告内部控制的关键。若这些程序化的控制有关键作用，在进行评估时就必须进行考虑，特别是在这些流程没有经过验证或验证不足的情况下，仍然会使企业的管理层依赖此流程。

IT风险只在IT环境中存在。由于业务的需要，企业中不同的员工及供应商负责开发、维持及接触到技术环境中的硬件、软件及其他部分，如果没有经过授权，他们会直接影响到流程和数据的可靠性。所以，由技术衍生的风险是由于技术自生应用而潜在，在评估与财务相关的内控报告时也是我们必须考虑的。例如：未经授权对系统数据的修改访问，未经授权对系统流程的修改删除等，都会导致流程和数据的可靠性存在极大风险。

例如我们在开篇中提及的北京移动发生的网上盗窃通信公司资费案，软件研发工程师程稚瀚利用互联网4次侵入北京移动充值中心数据库，盗取充值卡密码并通过淘宝网出售，共获利370余万元。只有加强最大程度公司内部的管控，才能使管控建立在规范化、标准化、低成本和低风险的基础上。

综上所述，我们必须看到在当今高度计算机化的商业环境中（根据《萨班斯法案》404条款），在进行财务报告内部控制的综合评估时，必须考虑IT的风险及控制，那么如何考虑IT风险和控制，在考虑IT风险及控制时采用何种方法及管理层如何识别IT的风险及对风险如何进行优先排序等将是我们下面所要展开讨论的问题。(it168)