构建符合萨班斯法案的IT内部控制体系的思路(1)

面对安然、世通等财务欺诈事件，为进步上市公司（以下简称公司）治理水平，恢复投资者信心，美国总统布什于2002年7月30日签发了萨班斯法案（以下简称法案）。萨班斯法案显示了美国国会强化公司责任的强硬手段，它试图恢复投资者对美国资本市场的信心。萨班斯法案从根本上改变了企业的经营环境和法律环境，其目的在于通过加强内部控制，来改进公司治理状况，并终极加强公司的责任。当前IT系统越来越多地对业务经营活动进行自动化处理，这就需要IT提供必要数目的控制程序。因此，遵循萨班斯法案的程序需要包括基于IT系统的控制程序。对大多数企业而言，IT在建立与保持有效的财务报告内部控制方面将发挥重要作用。通过运用整合的ERP系统，或综合运用各种经营治理、财务治理方面的软件，IT系统将为有效的财务报告内部控制系统提供强有力的支持。PCAOB第二号审计标准要求了解IT在内部控制环境中的重要性。它特别指出：公司在其信息系统中运用信息技术的状况，影响着公司财务报告的内部控制。目前我国四大电信运营商全部在美国上市，他们现在正在构建法案要求的内控系统，IT内部控制系统构建及评审是无法绕过的工作。完善内控，特别是电信企业信息化水平很高、业务流程依靠于IT流程的背景下，重视IT内部控制，完善IT内部控制十分迫切。本文讨论我国公司如何依据法案的要求在短时间内构建一套IT内控系统，并通过有效的IT内控评价活动保证其持续健全有效，以支持CEO和CFO的承诺进行初步探讨。一、萨班斯法案的要求世通公司造假案件和安然、安达信事件震动了整个世界，美国政府以为这是公司上下串通、内外勾结的严重结果，所以法案对公司治理、内部控制及外部审计同时做出了严格的要求。明确规定要求建立独立称职的审计委员会，治理层要负责内控系统的完善和落实，并对财务报告的真实性负刑事责任.综观整个法案，最主要的是对公司内控系统的要求，主要体现在302条款和404条款。法案对公司内控系统不但规定严格，而且实施要求和指南也在相续出台，如SEC于2003年6月5日根据法案的要求颁布了404条的细化条例，PCAOB于2004年3月9日发布第2号审计准则，对公司治理层提出了更明确的要求。1、302条款的要求：该条款要求由首席执行官和财务主管在内的企业治理层，对公司财务报告的内部控制按季度和年度就以下事项发表声明（予以证实）：●对建立和维护与财务报告有关的内部控制负责。●设计了所需的内部控制，以保证这些官员能知道该公司及其并表子公司的所有重大信息，尤其是报告期内的重大信息；●与财务报告有关的内部控制的任何变更都已得到恰当的表露，这里的变更指最近一个会计季度已经产生，或者公道预期将对于财务报告有关的内部控制产生重大影响的变更。在当前环境下，IT系统驱动着财务报告流程。诸如ERP之类的IT系统紧密地贯串于企业经济业务的开始、授权、记录、处理和报告一整套过程中。就其本身而言，IT系统和整个财务报告流程也是紧密联系的，为了遵循萨班斯法案，也要对IT内部控制的有效性予以评估。为夸大这一点，PCAOB第2号审计标准讨论了IT以及IT在测试内部控制设计公道性及运行有效性时的重要意义，并夸大指出：[部分]…内部控制，包括与财务报告中所有重要账户及表露内容相关的控制政策与程序，都应该予以测试。一般而言，这样的控制包括IT一般控制，以及其他控制所依靠的控制。2、404条款治理要求萨班斯法案的404条款要求，治理层在其年度文件中提供关于与财务报告有关的内部控制的年度评估报告。治理层的年度报告要求包括以下内容：●治理层有责任为企业建立和维护恰当的财务报告有关的内部控制。●识别治理层所采用的内部控制框架以便按要求评估公司与财务报告有关的内部控制的有效性。●对从一上个会计年度未以来，与财务报告有关的内部控制的有效性予以评估，其内容也包括有关与财务报告有关的内部控制是否有效的公然声明。●年度审计报告中，注册会计师事务所发表的财务审计报告，包括治理层对与财务报告有关的内部控制有效性评估的证实报告。●治理层关于公司针对财务报告内部控制有效性评估的书面结论，应包含在其对财务报告内部控制的报告和其对审计师的信函中。这一书面结论可采取多种形式，但是治理层对公司面向财务报告的内部控制的有效性必须发表直接意见●假如与财务报告有关的内部控制中有一个或多个重要缺陷，治理层将不能对财务报告的内部控制有效性做出评估结论，而且，治理层应该表露自最近一个会计年度未以来财务报告内部控制方面的所有重要缺陷。面向财务报告的内部控制在这一会计期间可能存在一个或多个重要缺陷，但治理层仍可能会报告“从最近一个会计年度未起（上个会计年度未起），与财务报告有关的内部控制是有效的”。假如要做出这样的结论，治理层必须在评估日前已经改进了内部控制，消除了已有的缺陷，并在运行和测试其有效性后得到了满足的结果，测试的时间足以让治理层以为，从本会计年度起，与财务报告有关的内部控制设计公道、运行有效。审计师需要公道地确定治理层的认定目标或审计目的（从而依此来收集审计证据），以支持治理层对内部控制有效性的评估结论。通过对审计师在这一过程中所应遵循程序的描述，PCAOB第二号审计标准接着指出：公司在对财务报告做出确认时需要借助于企业的IT系统。为了识别治理层对财务报告所作的相关认定，审计师应考虑每个重要账户潜伏错报、漏报产生的原因。在决定一个认定是否与某一重要账户余额或其表露相关时，审计师应该评价IT系统的性质、复杂程度以及企业IT的使用状况。PCAOB第2号审计标准还专门讲述了IT在期末财务报告中运用，它指出：…要了解期末财务报告的提供过程，审计师就应在每一会计期末评估IT在该过程中的应用范围。………[部分]因此所有企业构建IT内部控制至少都应具备以下三层通用要素：企业治理层，业务流程和共享服务。