24周年

財稅實務(wù) 高薪就業(yè) 學(xué)歷教育
APP下載
APP下載新用戶掃碼下載
立享專屬優(yōu)惠

安卓版本:8.7.50 蘋果版本:8.7.50

開發(fā)者:北京正保會計科技有限公司

應(yīng)用涉及權(quán)限:查看權(quán)限>

APP隱私政策:查看政策>

HD版本上線:點擊下載>

親身體會:SOX法案 促進(jìn)IT治理的完善

來源: 賽迪網(wǎng)·朱恩良 編輯: 2005/07/14 19:15:11  字體:

  為符合SOX法案第404條款的要求,相關(guān)公司在IT治理的改善上做了很大的努力,主要表現(xiàn)在IT一般性控制和應(yīng)用系統(tǒng)/業(yè)務(wù)流程層面的自動控制的改進(jìn)。

  所謂IT一般性控制,包括IT的控制環(huán)境、對程序和數(shù)據(jù)的訪問、程序開發(fā)、程序變更和計算機(jī)日常運作和最終用戶計算環(huán)境。而應(yīng)用系統(tǒng)/業(yè)務(wù)流程層面的自動控制則主要和應(yīng)用系統(tǒng)的功能特點相關(guān),并和IT治理間接相關(guān)。這些合規(guī)性的實踐,極大地豐富了IT治理實踐的內(nèi)容。

  筆者結(jié)合自身的工作實踐,提出下列體會供探討。

  SOX法案第404條款合規(guī)性實踐提出了一種檢驗IT治理成效的方法

  總的說來,IT治理是一種高層次的理念,比較理論化,衡量IT治理的成熟度模型所采用的指標(biāo)大都是定性指標(biāo)而非量化的指標(biāo)。因此IT治理成效難以得到合理的判斷和認(rèn)可。

  不過近年來SOX法案第404條款的合規(guī)性實踐,展示了改善IT治理和判斷IT治理成效的一種有效方法。雖然SOX法案第404條款合規(guī)性的要求有其特有的局限性,因為其主要關(guān)注的是和財務(wù)報告相關(guān)的信息系統(tǒng),但是由此產(chǎn)生的方法論和合規(guī)性實踐,對IT治理的理論發(fā)展和實踐很有借鑒意義。

  公司IT治理的一個重要部分是IT的一般性控制,其中包括IT控制環(huán)境、對程序和數(shù)據(jù)的訪問、程序開發(fā)、程序變更、計算機(jī)操作和最終用戶計算環(huán)境等領(lǐng)域。在SOX法案第404條款的合規(guī)性實踐中,上述領(lǐng)域的IT一般性控制已經(jīng)被發(fā)展成非常具體的控制要求了。

  SOX法案第404條款要求的IT一般性控制的合規(guī)性實踐往往采用下列的方法。

  首先是做一次IT一般性控制的現(xiàn)狀分析。然后參照COBIT的要求建立公司的IT控制目標(biāo)以便進(jìn)行差距分析,并在此基礎(chǔ)上找出和確定能涵蓋這些控制目標(biāo)的IT一般性控制的關(guān)鍵控制點。

  每個關(guān)鍵控制點的控制活動都被清晰地描述和文檔化,同時這些控制活動還必須具備可操作性和可檢驗性,最終形成所謂的IT控制矩陣(IT Control Matrix)。

  相關(guān)公司都必須完成一整套與IT控制相關(guān)的文檔,即所謂的SOX法案合規(guī)性文檔,如IT政策、IT控制矩陣、IT控制活動描述、IT控制的測試方法等。隨后通過細(xì)致扎實的工作落實已被確定的IT控制點,從而使IT控制得到貫徹實施。

  根據(jù)SOX法案第404條款的要求,管理層必須每年對這些控制點進(jìn)行測試和評估,對測試得出的控制缺陷,則需要增設(shè)補(bǔ)救和改進(jìn)措施,并再次測試。如果在規(guī)定的期限內(nèi),控制缺陷還是不能得到改正,外部審計師將根據(jù)情況,針對控制缺陷和程度發(fā)表審計意見。

  筆者從相關(guān)工作中體會到,將相關(guān)的IT控制措施文檔化并加以實施,再加上對IT控制進(jìn)行測試和控制缺陷的補(bǔ)救改進(jìn)工作,這可以在很大程度上將公司IT治理落到實處。

  確認(rèn)公司的IT控制目標(biāo)是落實公司IT治理架構(gòu)的重要基礎(chǔ)工作

  在SOX法案第404條款的合規(guī)性實踐中,很多公司以COBIT為參照標(biāo)準(zhǔn),根據(jù)其具體情況確定必要的IT控制目標(biāo)。由于在美國上市的公司分布在不同行業(yè),公司的規(guī)模相差懸殊,信息系統(tǒng)的應(yīng)用范圍也有很大的不同,故對不同的公司而言,在合規(guī)性的要求下要實現(xiàn)的IT控制目標(biāo)的范圍有很大的差異。

  公司要實現(xiàn)的IT控制目標(biāo),與公司IT應(yīng)用的情況和公司的IT管理運作方式有關(guān)。在確定了要實現(xiàn)的IT控制目標(biāo)后,接下來就是要發(fā)現(xiàn)和確認(rèn)相關(guān)的IT控制點和控制活動。實現(xiàn)任何一個IT控制目標(biāo)可能需要一個或多個相關(guān)的控制點,這取決于控制目標(biāo)的要求和控制點的控制方式。以上工作的結(jié)果可以產(chǎn)生所謂的IT控制目標(biāo)矩陣或IT控制矩陣。

  確認(rèn)公司的IT控制目標(biāo)是落實公司IT治理架構(gòu)的一個重要基礎(chǔ)工作。在此基礎(chǔ)上制定合理的IT控制矩陣是一項很重要的工作,它對落實公司IT治理架構(gòu)和SOX法案第404條款的合規(guī)性實踐有很大的實踐意義,整個合規(guī)性活動的工作量,也與此密切相關(guān)。

  定期測試IT控制活動的有效性是檢驗公司IT治理成效的試金石

  在SOX法案第404條款的合規(guī)性實踐中,對IT控制活動進(jìn)行定期測試是重要的一環(huán)。IT控制活動的測試分為管理層的自我評估測試和外部審計師的合規(guī)性審計測試。

  無論是上述何種測試,都將根據(jù)IT控制活動發(fā)生的頻率,決定樣本的大小,并對抽取的樣本按照設(shè)計的測試步驟進(jìn)行測試。IT控制的設(shè)計有效性和運行有效性二個方面將被分別測試。

  按照重要性原則,公司屬下的分公司、子公司或者分支機(jī)構(gòu),將會有選擇地接受測試。這樣的測試,一般每年進(jìn)行一次,公司的管理層和公司的外部審計師都將為測試付出很大的努力。

  任何被檢測出的IT控制缺陷,需要在規(guī)定的期限前改正和接受再測試??刂迫毕萑绻荒茉谝?guī)定的期限前通過改正和測試,外部審計師會發(fā)表相應(yīng)的審計意見。因此可以說,定期測試IT控制活動對公司的IT治理的落實和改進(jìn)有極大的幫助,是檢驗公司IT治理成效的一個試金石。

實務(wù)學(xué)習(xí)指南

回到頂部
折疊
網(wǎng)站地圖

Copyright © 2000 - 8riaszlp.cn All Rights Reserved. 北京正保會計科技有限公司 版權(quán)所有

京B2-20200959 京ICP備20012371號-7 出版物經(jīng)營許可證 京公網(wǎng)安備 11010802044457號