掃碼下載APP
及時(shí)接收最新考試資訊及
備考信息
安卓版本:8.7.20 蘋果版本:8.7.20
開(kāi)發(fā)者:北京正保會(huì)計(jì)科技有限公司
應(yīng)用涉及權(quán)限:查看權(quán)限>
APP隱私政策:查看政策>
HD版本上線:點(diǎn)擊下載>
1997年的亞洲金融危機(jī)、美國(guó)股市相繼爆出的安然、世通等一系列丑聞,我國(guó)出現(xiàn)的藍(lán)田股份和銀廣夏的利潤(rùn)神話破滅事件,以及我國(guó)近期相繼出現(xiàn)的上市公司高管涉案,完善公司治理機(jī)制、有效管理企業(yè)風(fēng)險(xiǎn)正在成為企業(yè)議事日程中最重要和最迫切的任務(wù)。我國(guó)政府將建立有效的公司治理結(jié)構(gòu)視為“現(xiàn)代企業(yè)制度”建設(shè)的核心內(nèi)容,而加入WTO的承諾使得全面系統(tǒng)地處理這一問(wèn)題顯得更加緊迫。國(guó)務(wù)院國(guó)資委主任李榮融說(shuō),目前上市公司所出現(xiàn)的問(wèn)題都與公司治理結(jié)構(gòu)不完善有關(guān)。國(guó)資委要與證監(jiān)會(huì)聯(lián)合推動(dòng)國(guó)有企業(yè)完善公司治理結(jié)構(gòu)。
公司治理的效率、效果直接依賴于許多的制度要素。這既包括審計(jì)和信息披露的質(zhì)量,也包括法律系統(tǒng)對(duì)契約的監(jiān)督以及對(duì)外部投資者的保護(hù)能力等。例如,在逆向選擇的框架下,我們可以看到:一個(gè)更好的會(huì)計(jì)標(biāo)準(zhǔn)和更及時(shí)的信息披露要求將大大減輕經(jīng)理人與外部投資者之間的信息不對(duì)稱,從而便利了融資,降低了代理風(fēng)險(xiǎn)。因此,公司治理的核心問(wèn)題是信息不對(duì)稱性或不完全性,解決公司治理問(wèn)題,最核心的是公司信息的真實(shí)、準(zhǔn)確以及處理與傳遞的效率問(wèn)題,而IT技術(shù)在實(shí)時(shí)披露、實(shí)現(xiàn)透明度原則和體現(xiàn)監(jiān)控力度上正日益成為有效的工具。2002年美國(guó)頒布的《薩班斯法案》對(duì)公眾公司提出了更高的要求,法案的409條款要求上市公司必須向投資者實(shí)時(shí)披露必要的信息,包括圖片、表格等信息,302、404條款要求公司應(yīng)定期評(píng)價(jià)其信息系統(tǒng)及其內(nèi)部控制的充分性來(lái)保證提供給投資者信息的準(zhǔn)確和完整,強(qiáng)調(diào)公司管理層建立和維護(hù)內(nèi)部控制系統(tǒng)及相應(yīng)控制程序充分有效的責(zé)任。因此,研究IT治理,加強(qiáng)IT控制,降低風(fēng)險(xiǎn),有效地實(shí)現(xiàn)公司治理,成為全球關(guān)注的問(wèn)題。
公司治理是建立組織各利益相關(guān)者之間的相互制衡機(jī)制,管理風(fēng)險(xiǎn),有效實(shí)現(xiàn)組織目標(biāo)的一系列過(guò)程及制度。內(nèi)部控制制度是實(shí)現(xiàn)善治的制度安排之一。IT治理是實(shí)現(xiàn)公司治理的工具。IT治理不等于治理IT技術(shù),它是一個(gè)信息時(shí)代背景下的制度安排,包括內(nèi)部控制、審計(jì)以及公司信息的披露等。IT內(nèi)控是內(nèi)控的一個(gè)組成部分,信息時(shí)代,企業(yè)管理信息化水平日益提高,信息資產(chǎn)成為企業(yè)的核心價(jià)值資產(chǎn),IT在給企業(yè)帶來(lái)競(jìng)爭(zhēng)力的同時(shí),也帶來(lái)了極大的風(fēng)險(xiǎn)。因此利用IT技術(shù)加強(qiáng)內(nèi)部控制,并對(duì)信息系統(tǒng)自身加強(qiáng)管理控制,成為公司治理及IT治理必不可少的組成部分。IT內(nèi)控是強(qiáng)化風(fēng)險(xiǎn)管理,完善信息時(shí)代公司治理的必要手段。IT治理、內(nèi)部控制、審計(jì)、風(fēng)險(xiǎn)管理體系等都是促進(jìn)公司治理的有效工具。
SOX法案的出臺(tái),對(duì)企業(yè)的公司治理、IT治理及IT內(nèi)控提出了更嚴(yán)格的要求。
一、SOX法案的要求:
1.對(duì)公司治理的要求:
?。?)要求上市公司必須建立審計(jì)委員會(huì),并對(duì)審計(jì)委員會(huì)的人員組成做出了規(guī)定,保證審計(jì)委員會(huì)的獨(dú)立性,同時(shí)賦予審計(jì)委員會(huì)更多的責(zé)任:《薩班斯-奧克斯萊法》,及其緊接著全美證券交易商協(xié)會(huì)和紐約證券交易所于2003年11月又發(fā)布的新的公司治理最終規(guī)則詳細(xì)地界定了審計(jì)委員會(huì)的職責(zé), 具體來(lái)說(shuō)應(yīng)包括:1)每年獲取并審查獨(dú)立董事提交的報(bào)告。2)與管理當(dāng)局、獨(dú)立審計(jì)師一起討論經(jīng)審計(jì)的公司年度財(cái)務(wù)報(bào)表和季度財(cái)務(wù)報(bào)表,包括公司在“管理當(dāng)局對(duì)財(cái)務(wù)狀況和經(jīng)營(yíng)結(jié)果的討論和分析”項(xiàng)目中進(jìn)行公告的財(cái)務(wù)事項(xiàng)。3)討論公司收入公告及向分析師和評(píng)估機(jī)構(gòu)的財(cái)務(wù)信息、收益指南。4)討論風(fēng)險(xiǎn)評(píng)價(jià)、風(fēng)險(xiǎn)管理政策。5)分別與管理當(dāng)局、內(nèi)部審計(jì)師(或其他負(fù)責(zé)內(nèi)部審計(jì)機(jī)構(gòu)的人員)和獨(dú)立審計(jì)師定期會(huì)面。6)與獨(dú)立審計(jì)師討論所有的審計(jì)難題以及管理當(dāng)局的反應(yīng)。7)制定清晰的關(guān)于聘用現(xiàn)任或前任獨(dú)立審計(jì)師的政策。8)定期向董事會(huì)報(bào)告
?。?)增加高管人員及董事會(huì)的責(zé)任:CEOs and CFOs必須保證財(cái)務(wù)報(bào)告真實(shí),要求發(fā)行人的CEO和CFO保證定期報(bào)告沒(méi)有對(duì)重大事件的不真實(shí)表述,也沒(méi)有遺漏必須披露的重大事件,并保證財(cái)務(wù)報(bào)告在所有重大方面都公允反映了發(fā)行人的財(cái)務(wù)狀況和經(jīng)營(yíng)成果。在此基礎(chǔ)上,法案單獨(dú)規(guī)定了對(duì)管理人員證明財(cái)務(wù)報(bào)告時(shí)失職的刑事處罰。CEO和CFO如果知道定期報(bào)告不符合上述要求但仍然做出保證的,將判處不超過(guò)100萬(wàn)美元的罰款,或是不超過(guò)10年的監(jiān)禁,或是二者同罰;如果是蓄意做出書面保證的,將判處不超過(guò)500萬(wàn)的罰款,或是不超過(guò)20年的監(jiān)禁,或是二者同罰。
2.薩班斯法案對(duì)內(nèi)控的要求:
?。?)法案302要求:公司管理層設(shè)計(jì)所需的內(nèi)部控制,并保證首席官員能知道該公司及其合并報(bào)表子公司的所有重大信息,尤其是報(bào)告期內(nèi)的重大信息;評(píng)價(jià)公司的內(nèi)部控制在簽署報(bào)告前90天內(nèi)的有效性;在該定期報(bào)告中發(fā)布他們上述評(píng)價(jià)的結(jié)論。
?。?)法案404節(jié)要求:編制的年度報(bào)告中包括內(nèi)部控制報(bào)告,包括:強(qiáng)調(diào)公司管理層建立和維護(hù)內(nèi)部控制系統(tǒng)及相應(yīng)控制程序充分有效的責(zé)任;發(fā)行人管理層最近財(cái)政年度末對(duì)內(nèi)部控制體系及控制程序有效性的評(píng)價(jià)
3.薩班斯對(duì)審計(jì)師的要求:增加了審計(jì)師對(duì)信息系統(tǒng)的審計(jì),要求審計(jì)師必須了解業(yè)務(wù)如何穿過(guò)系統(tǒng),而不是繞過(guò)系統(tǒng)。審計(jì)師必須了解業(yè)務(wù)流程,評(píng)價(jià)IT 應(yīng)用控制與一般控制的設(shè)計(jì)及效果。評(píng)價(jià) IT 控制設(shè)計(jì)效果,確定這些控制設(shè)計(jì)是否適當(dāng)?shù)貙?shí)現(xiàn)相關(guān)目標(biāo)。實(shí)施IT控制執(zhí)行效果測(cè)試。
二、對(duì)上市電信運(yùn)營(yíng)商的挑戰(zhàn)
薩班斯法案對(duì)高管嚴(yán)格的法律處罰令其中許多公司的最高管理層都如坐針氈、夜不能寐。美國(guó)有多達(dá)5000家大中型公眾公司在2004年11月15日后結(jié)束的財(cái)政年度中緊張異常,這而對(duì)于公司治理尚不完善的中國(guó)電信企業(yè)領(lǐng)導(dǎo)來(lái)說(shuō),更是意味著要承擔(dān)重大國(guó)際法律責(zé)任的風(fēng)險(xiǎn)。公司治理決定企業(yè)的興衰,企業(yè)的興衰決定國(guó)家的興衰,因此公司治理建設(shè)不能出現(xiàn)任何重大失誤。
我國(guó)電信企業(yè)在公司治理制度在股份制改造過(guò)程逐步發(fā)展,中國(guó)網(wǎng)通借美國(guó)上市契機(jī)建立了新型的公司治理結(jié)構(gòu),董事長(zhǎng)與CEO分離,在董事會(huì)下設(shè)4個(gè)委員會(huì):審計(jì)委員會(huì)、戰(zhàn)略規(guī)劃委員會(huì)、公司治理委員會(huì)和薪酬委員會(huì)。2005年3月7日,在京召開(kāi)的中國(guó)電信集團(tuán)實(shí)業(yè)工作會(huì)議明確:經(jīng)過(guò)3年左右的時(shí)間,逐步規(guī)范法人治理結(jié)構(gòu)。由于我們的企業(yè)處于社會(huì)轉(zhuǎn)型的特定時(shí)期,公司治理水平與日、美等發(fā)達(dá)國(guó)家有一定的差距。信息產(chǎn)業(yè)部電信研究院公布的《中國(guó)電信業(yè)國(guó)際競(jìng)爭(zhēng)力發(fā)展報(bào)告(2004年)》顯示,我國(guó)電信業(yè)國(guó)際競(jìng)爭(zhēng)力在全世界主要國(guó)家和地區(qū)中(共33個(gè)國(guó)家和地區(qū))排名第14位,然而細(xì)細(xì)看來(lái),卻發(fā)現(xiàn)了很多隱憂。報(bào)告將國(guó)際競(jìng)爭(zhēng)力解析為3大競(jìng)爭(zhēng)力:環(huán)境競(jìng)爭(zhēng)力、市場(chǎng)競(jìng)爭(zhēng)力和企業(yè)競(jìng)爭(zhēng)力,其中企業(yè)競(jìng)爭(zhēng)力排名27,企業(yè)競(jìng)爭(zhēng)力指數(shù)包括“技術(shù)創(chuàng)新”、“生產(chǎn)率”和“公司治理結(jié)構(gòu)”,排名分別為18、28和21.不難看出,目前我國(guó)電信企業(yè)的公司治理水平。要成為電信強(qiáng)國(guó),環(huán)境競(jìng)爭(zhēng)力、市場(chǎng)競(jìng)爭(zhēng)力和企業(yè)競(jìng)爭(zhēng)力三者缺一不可,因此,我國(guó)目前距離電信強(qiáng)國(guó)還有較大差距。從分析要素來(lái)看,法律和制度框架、政府效率,以及企業(yè)技術(shù)創(chuàng)新、公司治理結(jié)構(gòu)等 “軟件”能力偏弱,單條腿走路。我國(guó)幾大運(yùn)營(yíng)商中雖然已經(jīng)有中國(guó)移動(dòng)和中國(guó)電信進(jìn)入了財(cái)富500強(qiáng),雖然幾大運(yùn)營(yíng)商均已上市實(shí)現(xiàn)了公司化治理,但由于脫胎于老的國(guó)有企業(yè),因此公司管理能力和治理結(jié)構(gòu)仍有待提高。因此,提高企業(yè)競(jìng)爭(zhēng)力,就應(yīng)該從改善公司治理結(jié)構(gòu)做起。
三、運(yùn)用信息化手段,完善公司治理
1.完善公司治理機(jī)制。我國(guó)電信運(yùn)營(yíng)商需要健全公司內(nèi)部治理的規(guī)則和程序、建立公司的合法守規(guī)管理、完善約束與激勵(lì)機(jī)制、加強(qiáng)公司的內(nèi)部控制體系以及建立公司的風(fēng)險(xiǎn)管理與控制機(jī)制。雖然在現(xiàn)有的公司治理結(jié)構(gòu)中,有些公司也有審計(jì)委員會(huì)、獨(dú)立董事等監(jiān)督機(jī)制,但這些人員的任職資格、發(fā)揮作用的程度、以及職責(zé)定位等都需要進(jìn)一步改進(jìn)。
2、利用信息技術(shù),完善公司治理的監(jiān)控體系。公司治理是一種對(duì)公司管理和運(yùn)營(yíng)進(jìn)行監(jiān)督和控制的體系。其核心是在所有權(quán)和經(jīng)營(yíng)權(quán)分離的條件下,解決好所有者和經(jīng)營(yíng)者的利益不一致而產(chǎn)生的委托-代理關(guān)系。由于委托人(所有者)和代理人(經(jīng)營(yíng)者)是不同的利益主體,委托人(所有者)與代理人(經(jīng)營(yíng)者)相比處于信息劣勢(shì)的情況下,必然有代理成本或激勵(lì)問(wèn)題的產(chǎn)生。為完善公司治理,必須重視委托與代理之間的信息不對(duì)稱問(wèn)題,通過(guò)對(duì)公司重要信息有效的傳遞、鑒別和處理,使代理成本最小化,提高企業(yè)的經(jīng)營(yíng)績(jī)效。薩班斯法案強(qiáng)化公司治理要求的目的也是提高上市公司透明度,提高公布信息的質(zhì)量,加強(qiáng)信息披露,從而保護(hù)投資者的利益。
在市場(chǎng)經(jīng)濟(jì)中,信息交換是否充分,是否對(duì)稱,直接關(guān)系到市場(chǎng)經(jīng)濟(jì)是否公平、是否有效。為了保證信息公平、公開(kāi),人們?cè)O(shè)立了一系列內(nèi)外部機(jī)制。獨(dú)立董事?lián)蔚膶徲?jì)委員會(huì),公司聘請(qǐng)的會(huì)計(jì)師事務(wù)所都層層對(duì)公司財(cái)務(wù)信息的真實(shí)性、準(zhǔn)確性、及時(shí)性進(jìn)行審核、這些約束與激勵(lì)機(jī)制的有效性取決于公司信息真實(shí)與準(zhǔn)確性和處理與傳遞效率的問(wèn)題。在這點(diǎn)上,IT技術(shù)正成為日益有效的工具。
薩班斯302、404、以及409等條款對(duì)公司的要求,使得IT在公司治理機(jī)制中的作用日益凸現(xiàn)。由于信息技術(shù)不以人們的意志為轉(zhuǎn)移地在各類組織中的普遍應(yīng)用,IT在各類組織中的多層次、橫縱向嵌入,正在改變著組織的業(yè)務(wù)流程,進(jìn)而改變組織的結(jié)構(gòu)、組織的管理及公司治理;特別是電信企業(yè)對(duì)IT的依賴性非常大,沒(méi)有相應(yīng)IT治理機(jī)制的公司治理,使無(wú)法滿足薩班斯的嚴(yán)格要求的。由于IT治理已成為完善公司治理的重要手段,成為實(shí)現(xiàn) IT與業(yè)務(wù)的匹配管理、IT價(jià)值貢獻(xiàn)管理、IT風(fēng)險(xiǎn)管理、IT績(jī)效管理等的重要保證,花旗銀行等美國(guó)大金融企業(yè)已經(jīng)引進(jìn)或正在引進(jìn)IT治理機(jī)制。
國(guó)資委連續(xù)舉辦的旨在推動(dòng)企業(yè)建立全面風(fēng)險(xiǎn)管理系統(tǒng),進(jìn)一步完善公司治理機(jī)制的企業(yè)全面風(fēng)險(xiǎn)管理培訓(xùn)上,也提到在公司董事會(huì)層面建立IT治理委員會(huì),建立IT治理機(jī)制,完善信息時(shí)代的公司治理,促進(jìn)現(xiàn)有公司治理制度安排的有效執(zhí)行。但由于信息技術(shù)在治理方面所具有的復(fù)雜性,完善IT治理機(jī)制,構(gòu)建符合薩班斯要求、適應(yīng)時(shí)代發(fā)展的公司治理機(jī)制任重道遠(yuǎn)。
構(gòu)建IT內(nèi)控系統(tǒng)的思路
?。?)不能因耗時(shí)且成本高昂就摒棄原有的IT控制而另搞一套。SEC管制條款內(nèi)容復(fù)雜,為了滿足薩班斯法案的要求,大多數(shù)企業(yè)需要調(diào)整其員工觀念和企業(yè)文化,通常也需要對(duì)IT系統(tǒng)和其處理流程作一些改進(jìn),改進(jìn)的內(nèi)容包括其控制設(shè)計(jì)、控制文件、控制文件的保留,以及IT控制的評(píng)估等方面。這是一個(gè)循序漸進(jìn)的過(guò)程,不能將原有的一切推倒重來(lái)。
?。?)要選擇好內(nèi)控框架。法案并沒(méi)有規(guī)定公司必須選擇什么樣的內(nèi)控框架, 需要企業(yè)自己抉擇。國(guó)際上比較有名的內(nèi)控模式有英國(guó)的Cadbury、美國(guó)的COSO 和加拿大的COCO , 它們從不同的角度剖析公司的經(jīng)營(yíng)管理活動(dòng), 為營(yíng)造良好的內(nèi)控框架提供了一系列的趨于一致的政策和建議。第2號(hào)審計(jì)標(biāo)準(zhǔn)依據(jù)COSO制定的內(nèi)部控制框架制訂,在“管理層用于開(kāi)展其評(píng)估的框架”一節(jié)中,明確管理層要依據(jù)一個(gè)適宜且公認(rèn)的由專家群體遵照應(yīng)有的程序制定的控制框架,來(lái)評(píng)估公司財(cái)務(wù)報(bào)告內(nèi)部控制的有效性。SEC對(duì)該標(biāo)準(zhǔn)的認(rèn)同等于從另外一個(gè)側(cè)面承認(rèn)COSO框架。COSO 認(rèn)為內(nèi)控是由企業(yè)董事會(huì)、經(jīng)理層和其他員工實(shí)施的, 為營(yíng)運(yùn)的效率效果、財(cái)務(wù)報(bào)告的可靠性及相關(guān)法令的遵循性等目標(biāo)的達(dá)成提供合理保證的過(guò)程。內(nèi)控框架的構(gòu)成要素包括控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息和溝通、監(jiān)督五個(gè)方面。這套理論得到了包括SEC、公司管理者、投資者、債權(quán)人及專家學(xué)者的普遍認(rèn)可, 國(guó)外許多公司都依據(jù)這個(gè)框架建立了內(nèi)控系統(tǒng), 我國(guó)公司也可以按COSO 建立內(nèi)控框架, 逐步與國(guó)際管理模式接軌。通過(guò)引入COSO 內(nèi)控要素, 形成一個(gè)相互聯(lián)系、綜合作用的控制整體, 使單純的控制活動(dòng)與企業(yè)環(huán)境、管理目標(biāo)及控制風(fēng)險(xiǎn)相結(jié)合, 形成一套不斷改進(jìn)、自我完善的內(nèi)控機(jī)制。
但是很明顯,SEC所推薦的COSO控制框架有助于遵循薩班斯法案,雖然它針對(duì)的是內(nèi)部控制,但沒(méi)有對(duì)IT控制目標(biāo)和相關(guān)控制活動(dòng)提出具體的要求與限制。由于COSO框架缺少對(duì)IT內(nèi)部控制的內(nèi)容,所以單獨(dú)以COSO為構(gòu)建IT內(nèi)部控制的框架顯然是不合適的。COBIT為管理IT風(fēng)險(xiǎn)與IT控制提供了一個(gè)綜合性的分析框架,是另外一個(gè)被國(guó)際認(rèn)可的業(yè)內(nèi)標(biāo)準(zhǔn),由4大部分、34個(gè)IT處理流程、318個(gè)詳細(xì)控制目標(biāo)組成。COBIT也涉及企業(yè)經(jīng)營(yíng)、薩班斯法案遵循等方面的控制。但在薩班斯法案要求下,我們只考慮應(yīng)用COBIT中與財(cái)務(wù)報(bào)告相關(guān)的控制。
因此Cobit與COSO結(jié)合作為構(gòu)建IT內(nèi)部控制框架,將是兩種國(guó)際標(biāo)準(zhǔn)優(yōu)勢(shì)互補(bǔ)。同時(shí)在確定控制點(diǎn)、控制程序、留下相應(yīng)審計(jì)軌跡時(shí),也可以參考BS15000以及ISO17799等一些國(guó)際標(biāo)準(zhǔn),這些標(biāo)準(zhǔn)都是IT運(yùn)營(yíng)、安全方面可審計(jì)的一套標(biāo)準(zhǔn)管理控制體系。
(3)要建立一套自評(píng)估機(jī)制,確保內(nèi)部控制系統(tǒng)的持續(xù)有效
從歷史來(lái)看, 企業(yè)的發(fā)展階段和管理狀況,以及外部環(huán)境的變化都是決定企業(yè)內(nèi)控系統(tǒng)建立和運(yùn)行有效的前提。任何內(nèi)部控制系統(tǒng)都只是在一個(gè)特定的歷史階段有效,管理層對(duì)內(nèi)部控制有效性的聲明,要求公司必須建立一套自我評(píng)價(jià)機(jī)制,評(píng)價(jià)內(nèi)部控制系統(tǒng)設(shè)計(jì)、執(zhí)行是否有效,以支持管理層的聲明。同時(shí)自我評(píng)估機(jī)制也可以幫助公司發(fā)現(xiàn)控制弱的區(qū)域,以及控制漏洞,及時(shí)審勢(shì)度勢(shì),彌補(bǔ)內(nèi)控系統(tǒng)的缺陷,確保內(nèi)部控制系統(tǒng)持續(xù)有效。這也是薩班斯法案所要求的。
控制自我評(píng)估(CSA)是指企業(yè)內(nèi)部為實(shí)現(xiàn)目標(biāo)、控制風(fēng)險(xiǎn)而對(duì)內(nèi)部控制系統(tǒng)的有效性和恰當(dāng)性實(shí)施自我評(píng)估的方法。國(guó)際內(nèi)部審計(jì)師協(xié)會(huì)(IIA)在1996年的研究報(bào)告中總結(jié)了CSA的三個(gè)基本特征:關(guān)注業(yè)務(wù)的過(guò)程和控制的成效;由管理部門和職員共同進(jìn)行;用結(jié)構(gòu)化的方法開(kāi)展自我評(píng)估。CSA最早出現(xiàn)在20世紀(jì)80年代末期,但其最主要的發(fā)展是在90年代,特別是在1992年COSO報(bào)告公布之后。COSO報(bào)告首次把內(nèi)部控制從原來(lái)自上而下財(cái)務(wù)模式的平面結(jié)構(gòu)發(fā)展為更具彈性的企業(yè)整體模式的立體框架。傳統(tǒng)的內(nèi)控評(píng)價(jià)方法只能用來(lái)評(píng)價(jià)諸如財(cái)務(wù)報(bào)告,資產(chǎn)與記錄的接觸、使用與傳遞,授權(quán)授信,崗位分離,數(shù)據(jù)處理與信息傳遞等的“硬控制”。在新的內(nèi)部控制模式下,迫切需要評(píng)價(jià)包括公司治理,高層經(jīng)營(yíng)理念與管理風(fēng)格,職業(yè)道德,誠(chéng)實(shí)品質(zhì),勝任能力,風(fēng)險(xiǎn)評(píng)估等的“軟控制”。在這種情況下,作為一種既可以用來(lái)評(píng)價(jià)傳統(tǒng)的硬控制,又可以用來(lái)評(píng)價(jià)非正式控制即軟控制的機(jī)制,CSA得到了普遍的信賴。
圖1 自評(píng)估流程(略)
如圖1所示,自評(píng)人員首先選擇要評(píng)審的內(nèi)控流程, 然后對(duì)其設(shè)計(jì)的健全性進(jìn)行評(píng)價(jià), 如果健全, 則測(cè)試其運(yùn)行的有效性, 最后綜合設(shè)計(jì)測(cè)試和運(yùn)行測(cè)試, 評(píng)價(jià)內(nèi)控系統(tǒng)的健全性和有效性。如果設(shè)計(jì)測(cè)試結(jié)果為不健全, 則直接進(jìn)行內(nèi)控系統(tǒng)的評(píng)價(jià), 而不再進(jìn)行運(yùn)行的有效性測(cè)試。
內(nèi)控系統(tǒng)設(shè)計(jì)測(cè)試是指為了確定被審計(jì)單位內(nèi)控政策和程序設(shè)計(jì)是否合理、恰當(dāng)和完善進(jìn)行的測(cè)試。健全的標(biāo)準(zhǔn)即設(shè)計(jì)合理、恰當(dāng)和完善, 能有效保證信息的機(jī)密性、完整性和可用性。運(yùn)行有效性測(cè)試是指, 為了確定被審計(jì)單位的內(nèi)控政策和程序在實(shí)際工作中是否得到貫徹執(zhí)行, 并發(fā)揮應(yīng)有的作用而進(jìn)行的測(cè)試。有效的標(biāo)準(zhǔn)即內(nèi)控政策和程序在實(shí)際工作中得到了貫徹執(zhí)行并發(fā)揮了應(yīng)有的作用。
為了幫助評(píng)估控制設(shè)計(jì),圖2(略)提供了一個(gè)IT控制設(shè)計(jì)與運(yùn)行有效性模型,它將依賴于企業(yè)所達(dá)到的狀態(tài)、階段,我們認(rèn)為有必要花時(shí)間來(lái)改進(jìn)控制程序的設(shè)計(jì)和有效性。
圖2顯示了企業(yè)中存在的控制可靠性的各種等級(jí)。就建立內(nèi)部控制目標(biāo)而言,一些企業(yè)可能愿意接受等級(jí)不高于3的IT內(nèi)部控制。然而,考慮到薩班斯法案要求的“外部審計(jì)師應(yīng)就控制出具獨(dú)立的證據(jù)”這一要求,對(duì)一些關(guān)鍵性的控制活動(dòng),控制的可靠性則不能低于3等級(jí)。
控制運(yùn)行的有效性評(píng)估。一旦控制設(shè)計(jì)的評(píng)估結(jié)果認(rèn)為內(nèi)部控制設(shè)計(jì)適當(dāng),就需要對(duì)其目前和以后的運(yùn)行是否有效予以測(cè)試,而該測(cè)試由控制負(fù)責(zé)人及內(nèi)部控制程序管理團(tuán)隊(duì)來(lái)進(jìn)行。
一般而言,有些控制(如一般控制)程序是其他控制程序(如應(yīng)用控制)的基礎(chǔ),企業(yè)組織對(duì)這些控制的測(cè)試范圍應(yīng)更廣、頻率更高。判斷測(cè)試范圍是否恰當(dāng)時(shí),組織應(yīng)該考慮IT控制是如何影響財(cái)務(wù)信息披露與報(bào)告過(guò)程的。
一些企業(yè)利用外部服務(wù)機(jī)構(gòu)所提供的外包服務(wù),這也應(yīng)該視為企業(yè)整個(gè)經(jīng)營(yíng)職責(zé)的一部分,在整個(gè)IT內(nèi)部控制程序中應(yīng)予以考慮。
在這種情況下,組織在確定其內(nèi)部控制的可靠性時(shí),應(yīng)復(fù)核服務(wù)機(jī)構(gòu)所提供的控制活動(dòng),并將其記錄下來(lái),以便獨(dú)立審計(jì)師收集內(nèi)部控制是否有效的證據(jù)。因此,在決定證據(jù)的充分性、適當(dāng)性時(shí),就有必要評(píng)估外包服務(wù)機(jī)構(gòu)的整體狀況。
綜合前面的各種控制測(cè)試評(píng)價(jià),對(duì)內(nèi)部控制有效性作出一個(gè)明確的評(píng)定,并最終以管理報(bào)告書的形式呈現(xiàn),以供高級(jí)經(jīng)理人員參考,用以表明IT控制系統(tǒng)總體的可靠性及完整性??刂撇皇且患?jiǎn)單的事情,而是一個(gè)過(guò)程,需要對(duì)其不斷的評(píng)估,不斷的改進(jìn),以符合當(dāng)前經(jīng)營(yíng)的實(shí)際需要。這也必將成為IT部門組織文化的一個(gè)部分。
安卓版本:8.7.20 蘋果版本:8.7.20
開(kāi)發(fā)者:北京正保會(huì)計(jì)科技有限公司
應(yīng)用涉及權(quán)限:查看權(quán)限>
APP隱私政策:查看政策>
HD版本上線:點(diǎn)擊下載>
官方公眾號(hào)
微信掃一掃
官方視頻號(hào)
微信掃一掃
官方抖音號(hào)
抖音掃一掃
Copyright © 2000 - m.jnjuyue.cn All Rights Reserved. 北京正保會(huì)計(jì)科技有限公司 版權(quán)所有
京B2-20200959 京ICP備20012371號(hào)-7 出版物經(jīng)營(yíng)許可證 京公網(wǎng)安備 11010802044457號(hào)