上市运营商强化公司治理 萨班斯之路任重道远(3)
2017-10-14 02:31
导读:构建IT内控系统的思路 (1)不能因耗时且成本高昂就摒弃原有的IT控制而另搞一套。SEC管制条款复杂,为了满足萨班斯法案的要求,大多数企业需要调整其
构建IT内控系统的思路 (1)不能因耗时且成本高昂就摒弃原有的IT控制而另搞一套。SEC管制条款复杂,为了满足萨班斯法案的要求,大多数企业需要调整其员工观念和企业文化,通常也需要对IT系统和其处理流程作一些改进,改进的内容包括其控制设计、控制文件、控制文件的保留,以及IT控制的评估等方面。这是一个循序渐进的过程,不能将原有的一切推倒重来。 (2)要选择好内控框架。法案并没有规定公司必须选择什么样的内控框架, 需要企业自己抉择。国际上比较有名的内控模式有英国的Cadbury、美国的COSO 和加拿大的COCO , 它们从不同的角度剖析公司的经营管理活动, 为营造良好的内控框架提供了一系列的趋于一致的政策和建议。第2号审计标准依据COSO制定的内部控制框架制订,在“管理层用于开展其评估的框架”一节中,明确管理层要依据一个适宜且公认的由专家群体遵照应有的程序制定的控制框架,来评估公司财务报告内部控制的有效性。SEC对该标准的认同等于从另外一个侧面承认COSO框架。COSO 认为内控是由企业董事会、经理层和其他员工实施的, 为营运的效率效果、财务报告的可靠性及相关法令的遵循性等目标的达成提供合理保证的过程。内控框架的构成要素包括控制环境、风险评估、控制活动、信息和沟通、监督五个方面。这套得到了包括SEC、公司管理者、投资者、债权人及专家学者的普遍认可, 国外许多公司都依据这个框架建立了内控系统, 我国公司也可以按COSO 建立内控框架, 逐步与国际管理模式接轨。通过引入COSO 内控要素, 形成一个相互联系、综合作用的控制整体, 使单纯的控制活动与企业环境、管理目标及控制风险相结合, 形成一套不断改进、自我完善的内控机制。 但是很明显,SEC所推荐的COSO控制框架有助于遵循萨班斯法案,虽然它针对的是内部控制,但没有对IT控制目标和相关控制活动提出具体的要求与限制。由于COSO框架缺少对IT内部控制的内容,所以单独以COSO为构建IT内部控制的框架显然是不合适的。COBIT为管理IT风险与IT控制提供了一个综合性的框架,是另外一个被国际认可的业内标准,由4大部分、34个IT处理流程、318个详细控制目标组成。COBIT也涉及企业经营、萨班斯法案遵循等方面的控制。但在萨班斯法案要求下,我们只考虑应用COBIT中与财务报告相关的控制。 因此Cobit与COSO结合作为构建IT内部控制框架,将是两种国际标准优势互补。同时在确定控制点、控制程序、留下相应审计轨迹时,也可以BS15000以及ISO17799等一些国际标准,这些标准都是IT运营、安全方面可审计的一套标准管理控制体系。 (3)要建立一套自评估机制,确保内部控制系统的持续有效 从来看, 企业的发展阶段和管理状况,以及外部环境的变化都是决定企业内控系统建立和运行有效的前提。任何内部控制系统都只是在一个特定的历史阶段有效,管理层对内部控制有效性的声明,要求公司必须建立一套自我评价机制,评价内部控制系统设计、执行是否有效,以支持管理层的声明。同时自我评估机制也可以帮助公司发现控制弱的区域,以及控制漏洞,及时审势度势,弥补内控系统的缺陷,确保内部控制系统持续有效。这也是萨班斯法案所要求的。 控制自我评估(CSA)是指企业内部为实现目标、控制风险而对内部控制系统的有效性和恰当性实施自我评估的。国际内部审计师协会(IIA)在1996年的报告中了CSA的三个基本特征:关注业务的过程和控制的成效;由管理部门和职员共同进行;用结构化的方法开展自我评估。CSA最早出现在20世纪80年代末期,但其最主要的发展是在90年代,特别是在1992年COSO报告公布之后。COSO报告首次把内部控制从原来自上而下财务模式的平面结构发展为更具弹性的企业整体模式的立体框架。传统的内控评价方法只能用来评价诸如财务报告,资产与记录的接触、使用与传递,授权授信,岗位分离,数据处理与信息传递等的“硬控制”。在新的内部控制模式下,迫切需要评价包括公司治理,高层经营理念与管理风格,职业道德,诚实品质,胜任能力,风险评估等的“软控制”。在这种情况下,作为一种既可以用来评价传统的硬控制,又可以用来评价非正式控制即软控制的机制,CSA得到了普遍的信赖。 图1 自评估流程(略) 如图1所示,自评人员首先选择要评审的内控流程, 然后对其设计的健全性进行评价, 如果健全, 则测试其运行的有效性, 最后综合设计测试和运行测试, 评价内控系统的健全性和有效性。如果设计测试结果为不健全, 则直接进行内控系统的评价, 而不再进行运行的有效性测试。 内控系统设计测试是指为了确定被审计单位内控政策和程序设计是否合理、恰当和完善进行的测试。健全的标准即设计合理、恰当和完善, 能有效保证信息的机密性、完整性和可用性。运行有效性测试是指, 为了确定被审计单位的内控政策和程序在实际工作中是否得到贯彻执行, 并发挥应有的作用而进行的测试。有效的标准即内控政策和程序在实际工作中得到了贯彻执行并发挥了应有的作用。 为了帮助评估控制设计,图2(略)提供了一个IT控制设计与运行有效性模型,它将依赖于企业所达到的状态、阶段,我们认为有必要花时间来改进控制程序的设计和有效性。 图2显示了企业中存在的控制可靠性的各种等级。就建立内部控制目标而言,一些企业可能愿意接受等级不高于3的IT内部控制。然而,考虑到萨班斯法案要求的“外部审计师应就控制出具独立的证据”这一要求,对一些关键性的控制活动,控制的可靠性则不能低于3等级。 控制运行的有效性评估。一旦控制设计的评估结果认为内部控制设计适当,就需要对其和以后的运行是否有效予以测试,而该测试由控制负责人及内部控制程序管理团队来进行。 一般而言,有些控制(如一般控制)程序是其他控制程序(如应用控制)的基础,企业组织对这些控制的测试范围应更广、频率更高。判断测试范围是否恰当时,组织应该考虑IT控制是如何财务信息披露与报告过程的。 一些企业利用外部服务机构所提供的外包服务,这也应该视为企业整个经营职责的一部分,在整个IT内部控制程序中应予以考虑。 在这种情况下,组织在确定其内部控制的可靠性时,应复核服务机构所提供的控制活动,并将其记录下来,以便独立审计师收集内部控制是否有效的证据。因此,在决定证据的充分性、适当性时,就有必要评估外包服务机构的整体状况。 综合前面的各种控制测试评价,对内部控制有效性作出一个明确的评定,并最终以管理报告书的形式呈现,以供高级经理人员参考,用以表明IT控制系统总体的可靠性及完整性。控制不是一件简单的事情,而是一个过程,需要对其不断的评估,不断的改进,以符合当前经营的实际需要。这也必将成为IT部门组织文化的一个部分。
