构建符合萨班斯法案的IT内部控制体系的思路(1(2)
2016-03-10 01:06
导读:二、我国电信运营企业面临的挑战 由于电信企业的信息化水平比较高,业务对IT的依靠程度也比较高。因此依照萨班斯法案要求,完善与财务报告有关的内
二、我国电信运营企业面临的挑战 由于电信企业的信息化水平比较高,业务对IT的依靠程度也比较高。因此依照萨班斯法案要求,完善与财务报告有关的内部控制时,电信企业的内部控制几乎离不开IT,即使业务控制也是在IT支持环境下的控制。因此,电信企业完善内部控制几乎可以说是完善IT内部控制,包括IT一般控制和IT应用控制。但我们的现状不容乐观。
1. IT专业人士,尤其是治理层,缺乏内部控制 理论 与实践来满足萨班斯法案的要求。 法案的要求使很多人以为,IT专业人士应该对其负责的IT系统所产生的信息质量及完整性负责,但 题目 在于,大多数IT专业人士对复杂的内部控制并不精通或了解,难负其责。尽管这并不说明IT职员没有参与风险治理,但至少IT治理层没有按照组织治理层或审计师所要求的形式进行正式的、规范化的风险治理。 PCAOB指出首席信息官(CIO)们现在必须面对以下的挑战:(1)增强他们有关内部控制方面的知识;(2)理解企业所制定的总的SOX遵循计划;(3)专门针对IT控制拟定一个遵循执行计划;(4)把这个计划与总体的SOX遵循计划相整合。
2 缺乏系统的内部控制制度 事实上,每个电信企业都或多或少会都有一些IT内部控制制度,正是由于第一点原因,这些制度基本是由技术治理者制定,他们缺乏规范化风险治理的经验,这些IT控制制度可能不太规范,控制政策程序不太完善, IT控制制度一般存在于系统安全和变更治理等一些一般控制领域,缺乏从公司透明度角度出发的、结合支持业务流程的完整的内部控制制度。所以这也是在国内企业在符合萨班斯法案的道路上,题目最多的领域。
3.现有的IT内部控制不具有可审计性 萨班斯法案相关的条款要求上市公司必须有足够的证据证实内部控制的有效性,这就要求企业必须有完善的内部控制流程及审计轨迹,在控制发挥作用的同时天生相应的文档记录,以便在对内部控制设计及运行的有效性进行评价时有足够的证据。我国的电信运营商的IT控制程序相对其他行业企业而言还是比较完善的,但间隔萨班斯法案的要求还很远。很大的一个差距是我们内部控制流程设计及运行的可审计性不具备。很多企业有厚厚的规章制度,但是否执行、执行是否有效却没有关注、或没有证据进行评价。 因此,我们构建IT内部控制系统时必须从全局考虑,鉴戒国际内部控制框架及国际最佳实践经验,构建一套系统化、标准化、可审计、可持续改进的IT内部控制系统。
