构建符合萨班斯法案的IT内部控制体系的思路
来源:网络 时间:2022-03-19
面对安然、世通等财务欺诈事件,为提高上市公司(以下简称公司)治理水平,恢复投资者信心,美国总统布什于2002 年7 月30 日签发了萨班斯法案(以下简称法案)。萨班斯法案显示了美国国会强化公司责任的强硬手段,它试图恢复投资者对美国资本市场的信心。萨班斯法案从根本上改变了企业的经营环境和法律环境,其目的在于通过加强内部控制,来改进公司治理状况,并最终加强公司的责任。
当前IT系统越来越多地对业务经营活动进行自动化处理,这就需要IT提供必要数量的控制程序。因此,遵循萨班斯法案的程序需要包括基于IT系统的控制程序。对大多数企业而言,IT在建立与保持有效的财务报告内部控制方面将发挥重要作用。通过运用整合的ERP系统,或综合运用各种经营管理、财务管理方面的软件,IT系统将为有效的财务报告内部控制系统提供强有力的支持。
PCAOB第二号审计标准要求了解IT在内部控制环境中的重要性。它特别指出:公司在其信息系统中运用信息技术的状况,影响着公司财务报告的内部控制。
目前我国四大电信运营商全部在美国上市,他们现在正在构建法案要求的内控系统,IT内部控制系统构建及评审是无法绕过的工作。完善内控,特别是电信企业信息化水平很高、业务流程依赖于IT流程的背景下,重视IT内部控制,完善IT内部控制十分迫切。本文讨论我国公司如何依据法案的要求在短时间内构建一套IT内控系统, 并通过有效的IT内控评价活动保证其持续健全有效, 以支持CEO 和CFO 的承诺进行初步探讨。
一、萨班斯法案的要求
世通公司造假案件和安然、安达信事件震惊了整个世界, 美国政府认为这是公司上下串通、内外勾结的严重结果, 所以法案对公司治理、内部控制及外部审计同时做出了严格的要求。明确规定要求建立独立称职的审计委员会,管理层要负责内控系统的完善和落实,并对财务报告的真实性负刑事责任 .综观整个法案, 最主要的是对公司内控系统的要求, 主要体现在302条款和404 条款。法案对公司内控系统不但规定严格, 而且实施要求和指南也在相续出台, 如SEC 于2003年6月5日根据法案的要求颁布了404条的细化条例, PCAOB于2004 年3月9日发布第2号审计准则, 对公司管理层提出了更明确的要求。
1、302条款的要求:
该条款要求由首席执行官和财务主管在内的企业管理层,对公司财务报告的内部控制按季度和年度就以下事项发表声明(予以证实):
●对建立和维护与财务报告有关的内部控制负责。
●设计了所需的内部控制,以保证这些官员能知道该公司及其并表子公司的所有重大信息,尤其是报告期内的重大信息;
●与财务报告有关的内部控制的任何变更都已得到恰当的披露,这里的变更指最近一个会计季度已经产生,或者合理预期将对于财务报告有关的内部控制产生重大影响的变更。
在当前环境下,IT系统驱动着财务报告流程。诸如ERP之类的IT系统紧密地贯穿于企业经济业务的开始、授权、记录、处理和报告一整套过程中。就其本身而言,IT系统和整个财务报告流程也是紧密联系的,为了遵循萨班斯法案,也要对IT内部控制的有效性予以评估。
为强调这一点,PCAOB第2号审计标准讨论了IT以及IT在测试内部控制设计合理性及运行有效性时的重要意义,并强调指出:[部分]
…内部控制,包括与财务报告中所有重要账户及披露内容相关的控制政策与程序,都应该予以测试。
一般而言,这样的控制包括IT一般控制,以及其他控制所依赖的控制。
2、404条款管理要求
萨班斯法案的404条款要求,管理层在其年度文件中提供关于与财务报告有关的内部控制的年度评估报告。管理层的年度报告要求包括以下内容:
●管理层有责任为企业建立和维护恰当的财务报告有关的内部控制。
●识别管理层所采用的内部控制框架以便按要求评估公司与财务报告有关的内部控制的有效性。
●对从一上个会计年度未以来,与财务报告有关的内部控制的有效性予以评估,其内容也包括有关与财务报告有关的内部控制是否有效的公开声明。
●年度审计报告中,注册会计师事务所发表的财务审计报告,包括管理层对与财务报告有关的内部控制有效性评估的证明报告。
●管理层关于公司针对财务报告内部控制有效性评估的书面结论,应包含在其对财务报告内部控制的报告和其对审计师的信函中。这一书面结论可采取多种形式,但是管理层对公司面向财务报告的内部控制的有效性必须发表直接意见
[1] [2] 下一页