欧美日操-欧美日韩91-欧美日韩99-欧美日韩ay在线观看-xxxx色-xxxx视频在线

六步詳解IT內控—SOX的IT內控指導書

2014-11-08 20:40:07 大云網  點擊量: 評論 (0)
近年來,在美國上市的公司正受到薩班斯-奧克斯利法案(the Sarbanes-Oxley Act of 2002, 簡稱SOX法案)的影響。尤其隨著其第404條款的逐漸實施,該法案的影響正在席卷全球,包括美國上市公司的中國分公司。
 近年來,在美國上市的公司正受到薩班斯-奧克斯利法案(the Sarbanes-Oxley Act of 2002, 簡稱SOX法案)的影響。尤其隨著其第404條款的逐漸實施,該法案的影響正在席卷全球,包括美國上市公司的中國分公司。可以說,SOX法案對全球的影響力直逼上世紀的“千年蟲”事件,由于SOX法案的相對完善性,研究SOX法案對中國公司也有很強的借鑒意義。尤其SOX法案對信息化的要求嚴格,從公司治理和IT治理的高度提出IT內部控制的要求。
 
    對于上市公司或者希望借鑒上市公司經驗的公司來說,應該如何改進自身的IT控制水平?又應該如何治理IT以保證財務報告內部控制的有效性? 來看一個實際的案例,A 公司是一家財富500強企業,全球五大制藥公司之一。該公司在全球擁有58000余名員工,年銷售收入超過180億美元,年利潤超過40億美元。隨著 SOX法案第404條款的實施,一家會計師事務所將對其IT內部控制進行審計。因此,該公司計劃在全球信息服務(IS)部門推行合規項目。項目分為以下幾個步驟,如圖1所示。
 
    精通SOX
 
    SOX法案的產生源自于公司操作的不規范和公司丑聞的披露。它對公司治理有著極為嚴格和苛刻的要求,要求公司針對產生財務交易的所有作業流程,都做到能見度、透明度、控制、通訊、風險管理和欺詐防范,且這些流程必須詳細記錄到可追查交易源頭的地步。
 
    所有人都清楚IT在現代企業中扮演著重要的角色。在很多公司內部,財務報告流程是由IT系統驅動的,如圖2。無論是ERP還是其他系統,都與財務交易中的開始、批準、記錄、處理和報告等活動緊密集成。可以說,IT是保證財務報告內部控制的有效性的基礎,IT控制至關重要。
 
    從IT控制的范圍來說,IT控制通常包括IT控制環境、計算機運維、系統和數據的訪問、系統開發和系統變更。IT控制有一個治理框架,即COBIT 框架。COBIT的全稱是信息及相關技術的控制目標(Control Objectives for Information and related Technology)。COBIT將IT流程、IT資源及信息與企業的策略與目標聯系起來,在企業業務戰略指導下,對信息及相關資源進行規劃與處理。
 
    制定項目計劃
 
   項目計劃主要活動包括選擇合適的團隊和制定詳細的項目計劃。各國分公司團隊組成情況各不相同,以中國區分公司為例,項目團隊以中國區CEO、IS部門總監、IS經理和外部咨詢顧問組成。對于SOX合規項目,可以采用“差距分析”方法來進行。
 
    風險控制矩陣(Risk and Control Matrices,RCM)是差距分析和審計過程中的一個關鍵文檔。RCM為公司相關的風險、需要達到的控制及當前控制狀態等提供了一個控制范例。制定 RCM可以從以下三點來考慮。首先,是否已識別出了所有風險?其次,已識別的風險是否都與財務交易相關?最后,對于每一個風險,有什么對應的控制?
 
    差距通常可以分為人員差距、流程差距和技術差距。例如,系統日志可以記錄系統運維狀態,但是如果加上適當的過濾工具,就可以保證對關鍵的突發事件及時的響應,相關人員不在現場也不會造成不能及時響應。
 
    開展控制評估
 
    第一步,要確定評估的控制范圍,可以分為四個步驟:首先,確定財務報告流程中的核心要素;其次,識別關鍵的業務流程;再次,確定IT系統范圍;最后,確定地理位置的范圍。該公司中國區項目組根據財務交易活動,確定了關鍵的業務流程、支持系統和所在的位置。
 
    第二步,在這些選定的范圍內進行風險評估。風險評估使公司更加清晰地認識到,意外事件的發生將如何限制業務目標的達成。風險評估的目的就是辨別潛藏的內在風險與殘存風險。
 
    第三步,識別主要控制。對于公司和IT系統來說,存在三種控制:公司級控制、應用控制和通用控制。公司級控制的評估主要包括“高層的聲音 ”(Tone at the top)、誠信、價值觀與競爭力、管理哲學與運營風格、權責分配、政策與流程、員工的水平和技能、高層管理者的指示。應用控制主要適用于IT系統所支持的業務流程,以及被設計用來預防或探測非授權業務活動的控制。通用控制用于所有的信息系統,保證安全連續的運作。對這些流程和系統進行風險和控制評估后,就可以制定風險控制矩陣(RCM)。
 
    該公司識別出來的風險涉及領域主要有:制度與流程手冊、系統變更(包括應用系統及基礎設施)、邏輯訪問(包括應用系統及基礎設施)、物理訪問、IT災難備份、數據接口、第三方管理、環境控制、問題管理和作業調度等。
 
    進行控制設計
 
    為了減少這些風險,中國區分公司進行了控制的優化與設計。在公司級控制方面,創建或優化各個制度,包括IS戰略計劃、邏輯訪問控制制度、物理訪問控制制度、第三方訪問控制制度、環境控制制度、變更管理制度、業務連續性計劃及災備制度等。
  
    在應用、流程及通用控制方面,創建和優化了流程,為重要的流程和應用系統設計了一系列文檔,設計的主要流程包括采購管理、資產管理、系統開發生命周期(SDLC)管理、用戶管理流程、變更管理流程、第三方訪問權管理流程等。
 
    進行內部審計
 
    在控制文檔設計完畢后,需要先進行一次內部審計,溝通風險控制矩陣、確定審計范圍、制定測試腳本。對于測試不合格的控制,需要糾正缺陷、完善控制的設計與運維,以確保其有效性。
 
   報告管理層
 
    在內部審計通過后,管理層形成正式的書面內部控制結論,迎接外部審計。
 
    在此案例中,需要重點關注的是公司有哪些重要的流程和控制,有哪些相關的風險和需要哪些相關的控制,以及如何設計與評估控制。通常來說,SOX合規項目會非常費時,成本也較高。不過,可以通過外部咨詢公司幫助企業做一個快速診斷,以尋找從哪些地方入手做關鍵改進。
 
    對于大多數公司來說,要達到SOX法案的要求,需要從文化上去改變。從歷史事件來看,內部控制有重大缺陷會對整個公司造成災難,因此主動地去提升內部控制,顯得至關重要。
大云網官方微信售電那點事兒

責任編輯:葉雨田

免責聲明:本文僅代表作者個人觀點,與本站無關。其原創性以及文中陳述文字和內容未經本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關內容。
我要收藏
個贊
?
主站蜘蛛池模板: 一级片aa| 日韩色视频| 青青草这里只有精品| 色综色天天综合网| 色综合久久五月| 午夜国产精品影院在线观看| 四虎影视最新网站在线播放| 亚洲一区二区视频在线观看| 亚洲综合片| 亚洲日本欧美| 亚洲综合久久久| 亚洲美女精品视频| 亚洲另类激情专区小说婷婷久| 日韩免费视频网站| 亚洲人和日本人hd| 日日夜夜婷婷| 五月综合色啪| 无遮挡很爽很污很黄很色的网站| 欧美精品91| 欧美成人777| 亚洲欧美日韩国产综合专区| 亚洲一区二区三区在线观看蜜桃| 手机国产日韩高清免费看片| 亚洲国产成人久久77| 夜精品a一区二区三区| 四虎影视久久久免费| 涩涩www高清视频免费| 午夜在线播放视频在线观看视频| 全黄一级裸片视频免费区| 四虎精品影视| 亚洲精品自拍视频| 欧美一区二区免费| 亚州国产视频| 日韩一区二区三区四区不卡| 色秀视频免费高清网站| 日韩v欧美| 小xav导航福利网址| 日韩免费高清一级毛片| 亚洲欧美中文日韩v在线观看 | 日韩在线精品视频| 小说区乱图片区|