您现在的位置是:首页 > 行业 > 金融 >
如何设计符合“中国版SOX”规范的IT体系
2009-09-07 01:24:00作者:佚名来源:
摘要对于企业内部的IT建设与控制而言,企业内部控制规范的实施会带来怎样的影响呢?CIO们如何系统考虑从企业IT的内部控制建设来保障企业内部控制。本文从IT内部控制与IT风险管理的角度,阐述企业IT控制与企业内部控制之间的关系。...
新的一年很多法律法规即将实施,对国内上市公司而言,《企业内部控制基本规范》的实施将给不少企业带来脱胎换骨的影响。2008年6月28日,财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》(以下简称基本规范)。这个被称为“中国版SOX”的规范,被无数人寄予了期望,未来5年内,基本规范的实施将对中国的上市公司和大型企业的规范化运作带来实质性推动。这是我国继实施与国际接轨的企业会计准则和审计准则之后,在会计审计领域推出的又一与国际接轨的重大改革。这部规范的推出,意味着中国企业内部控制规范体系建设正在向国际标准靠拢。
这套适用于中国企业的内部控制体系,其基本规范借鉴了COSO报告五要素框架和风险管理八要素框架;具体规范以财务报告内部控制为主线,对与企业财务报表项目相关的、可能会对财务报告真实可靠性产生较大影响的经济业务事项以及与财务报表编报相关的业务活动提出具体的控制规范,并对为实现有效的财务报告内部控制的事前、事中和事后制度支持提出控制要求。企业的内部控制,应该贯穿于企业经营活动的决策、执行和监督的始终,涵盖企业各种业务和事项。企业每一项经营活动,从工作的效率性及风险的控制性来讲,都应强调过程控制,包括宏观上公司治理结构的确立、机构设置及权责分配、人力资源政策、企业文化等,也包括微观上企业股东会和董事会的决策程序,经理层及员工的执行程序和要求,监事会、内部审计委员会的监督程序,员工奖励计划,以及违反公司内部控制体系的罚则等等。
那么,对于企业内部的IT建设与控制而言,企业内部控制规范的实施会带来怎样的影响呢?CIO们如何系统考虑从企业IT的内部控制建设来保障企业内部控制。本文从IT内部控制与IT风险管理的角度,阐述企业IT控制与企业内部控制之间的关系。
1992年,Treadway委员会的发起组织委员会(theCommitteeofSponsoring Organizations of the Treadway Commission)发布了《内部控制——整合框架》,2004年,该委员会又发布了《企业风险管理—整合框架》,在该框架附件C中明确:内部控制被涵盖在企业风险管理之内,是其不可分割的一部分。无论是COSO框架,还是中国自己的企业内部控制规范,其基本控制目标无外乎防范风险、控制舞弊以及确保财务报告的真实可靠。现在大部分上市公司和大型企业,其企业运营已基本依赖于企业的各种信息系统,已经基本完成了企业信息化的初步建设,因此企业的内部控制就离不开企业IT的控制。
为此,有关专家提出了IT内部控制实施思路。专家建议,国内企业采用企业内部控制规范作为内控评估标准,结合国际上普遍采用COBIT框架作为IT控制的标准,将COBIT的相关IT控制目标与COSO五个要素关联起来,设计符合规范要求的IT内部控制体系。COBIT是一个很丰富IT内控框架,包括四个域、34个IT控制流程和318个详细的控制目标,是一个相当全面的信息系统内控框架体系。对于想遵循内部控制规范的企业来说,该体系所提供的控制目标和考虑一般会超过其需求。
建议首先需要对IT相关的风险进行评估,建立IT控制矩阵,以COBIT为参照依据,选取其中适合本身业务特点、复杂性和需求的控制流程和控制目标为对象,建立IT内部控制框架,作为后续制定控制文档体系和测试的基础。同时,在具体控制措施上可融合ISO27001(信息安全管理体系)、ISO20000(IT服务管理体系)、Prince2(IT项目管理)、CMMI(软件开发过程控制)等具体控制框架,分阶段分步骤的实施。(lynn)
(本文不涉密)
责任编辑: