SOX法案对信息系统控制的要求-文档

1、sox法案对信息系统控制的要求以萨班斯 - 奥克斯利法案为代表的法律对上市公司的内控 体系建设提出了明确要求， 作为内控体系建设主要内容的信息系 统控制由此被提到一个前所未有的高度。美国安然与世通事件使得上市公司财务信息披露情况的法 律遵从问题备受关注， 2002年美国国会出台了萨班斯 - 奥克斯利 法案 （Sarbanes-Oxley法案，简称SOX法案）。严格地说，SOX 法案并没有对信息系统提出要求， 但法案中 404 条款对内控体系 建设有明确要求 : 公司除了有正确完整的财务报表外， 还要有确 保报表正确而完整的控制体系， 公司管理层每年需对内控体系的 运行效果进行评估， 外部审计师

2、要对内部控制体系和控制效果进 行测试并出具审计意见。由于上市公司的各个与财务数据相关的主要业务流程都有 相应的信息系统支持， 如果信息系统控制的一致性和有效性方面 不足，这将降低数据和自动控制的可依赖性， 增加管理层和审计 师在测试方面的工作量， 从而对整个内控体系的有效性产生负面 影响。为此，加强信息系统的控制体系建设成为上市公司 IT 部 门的一个重要工作。信息系统总体控制 信息系统控制主要包括信息系统总体控制（ GeneralComputer Control , 简称 GCC）、应用系统控制（ApplicationControl，简称AC）和电子表格控制三部分。信息系统总体控制指的是内部

3、控制中对信息系统相关部分 的控制， 它保证由信息系统支持的流程控制是可靠的， 生成的数 据和报告是可信的。信息系统总体控制涵盖了 IT 管理和运营所 涉及的各个方面 :1. 控制环境 : 包括信息技术组织、人力资源管理、信息沟 通、风险评估、监控等。2. 信息安全 : 包括信息安全组织、逻辑安全、物理安全、 网络安全、病毒防护、第三方管理、事件响应等。3. 项目建设管理 : 包括方法论、立项审批、项目启动、需 求分析、项目设计、系统开发实施、系统测试、数据移植、用户 培训、文档管理、验收和上线后审阅、商业软硬件外购等。4. 系统变更 : 包括日常变更、紧急变更等。5. 信息系统日常运作 : 包

4、括机房环境控制、日常监控、批 处理作业调度管理、数据备份与恢复、问题管理等。6. 最终用户操作 : 包括最终用户作安全制度、电子表格管 理等。应用系统控制 应用系统控制指的是业务流程中内嵌的信息系统相关控制， 信息系统应用的潜在风险直接影响业务流程中的信息控制目标 :1. 完整性 : 所有的交易都经过处理， 且只处理一次 ; 不允许 数据的重复录入和处理 ; 例外情况的发现和解决2. 准确性 : 所有的数据（包括金额和账户）是正确和合理的; 例外情况被及时发现以保证交易被记录在正确的会计期间。3. 有效性 : 交易被适当授权 ; 系统不接受虚假交易 ; 异常 情况被发现和处理。4. 接触控制

5、: 未经授权， 不得对系统或数据进行修改 ; 数据 保密性 ; 物理设备的保护。上市公司内部可能应用各类信息系统， 进行应用系统控制之 前，首先应对公司应用的信息系统进行判断， 界定是否属于与财 务报告相关的关键应用系统，判定原则包括 :1. 该应用系统是否用于进行有关重要交易事项的生成、授 权、记录、处理或报告 ;2. 该系统是否生成关键的表单和数据供财务部门使用，直 接作为记账依据或生成财务报表 ;3. 该系统是否生成关键的表单和数据为其他作为记账依据 或生成财务报表的系统使用 ;4. 对应用系统的依赖程度， 即是否有来自系统的计算结果， 应用系统中是否存在相应的计算、检查、核对过程的控制

6、 ;5. 上述应用控制是否是惟一依赖的控制措施，是否存在手 工控制可以达到控制目标，弥补风险。符合以上判断条件的与财务报告相关的关键应用系统应按 照应用系统控制进行控制，控制分为 5 类，即访问控制、职责分 离、输入控制、处理控制、输出控制。其中应用系统的用户权限管理和职责分离 (SoD， Segregation of Duties) ，是内部控制的 重要组成部分，也是SOX法案404条款要求的重点之一。如2005 年1月11日的Complianee Week的报道，在2004年SEC上登记 的上市公司最典型的问题之一就是SoD根据业界最新的统计，截止到 2005 年 4 月份，在所有报告的实

7、质性漏洞 (Material Weakness)中，SoD一项就占了 5%以上，因此必须对与财务报告 相关的关键应用系统的用户进行合理的管理， 以实现用户的授权 适当和合理分工。电子表格控制目前电子表格在上市公司的生产运营、 信息管理、数据分析、 财务核算与报告各个环节广泛运用。 电子表格中的公式、 宏及表 间链接等功能增加了电子表格计算的复杂程度， 同时也增加了电 子表格数据完整性及计算准确性的风险。SOX法案404条款中的一个重点就是关注在编制和维护电子表格过程中的相关控制。 即 使相对简单的电子表格计算的一个偏差也可能会对财务报告及 披露产生重大错报的风险。 内嵌在电子表格中的宏或其他功

8、能可 能会严重影响电子表格中数据的准确性。 公司需要对电子表格实 施的控制是否能支持重大会计事项及披露进行谨慎的评估。在SOX法案中需评价的电子表格是指由用户程序(如Excel、Aeeess、 Lotus 等)编制的各种支持财务报告及披露的电子表 格或文本文件，包括直接或间接作为财务记账依据的电子表格、 用于财务相关信息核对的电子表格、 以及支持财务信息披露的电 子表格，所涉及的使用部门通常包括财务部门编制及使用的电子 表格以及由其他业务部门传递至财务部门供其作为会计核算及 报告披露依据的电子表格。链接: 信息系统控制的实施体会1对于 IT 人员和业务人员来说， 内部控制体系和信息系统 控制是符合sox法案提出新的管理体系。因此，要结合内控实施 好信息系统控制就必须不断学习， 充分认识信息系统在内控项目 中的重要意义和关键作用，从而提高对信息系统控制的认知程 度，降低执行、整改过程中存在的阻力。2信息系统控制不仅涉及到 IT 部门， 更重要的是要在业务 流程中体现控制， 因此信息系统控制应以信息和财务为基础， 企 管、审计、电子商务、销售、人事部门协同配合，统筹安排，落 实各项控制措施，才能确保信息系统控制执行到位。3内控体系建设是一项长期性的工作，要在执行过程中根 据实际控制情况不断进行测试和检查， 对于测试和检查过程中发 现的例外事项，要逐项分析问