1.企業對財務報告的責任。所有定期財務報告必須由負責簽章的主管查閱、確認并簽字;簽章的主管必須對財務報告的準確度和清晰度負責��。
合規性需求:通過簽章��,公司的簽章主管必須確認已經審查過財務報告。這個簽章證明他們認為財務報告是準確的��,并且所有數字來源是準確的����。
這個需求對IT意味著:財務報告中使用的數據必須有已知的起源與推導,有正確的格式����,在適當的場景下被使用����;整個流程必須有負責人�;數據也必須有負責人;最終文檔以及相關的支持文檔必須記錄更改日志�,以進行控制管理��。
對特定的協同辦公軟件的要求:使用元數據進行數據分類以及管理數據的屬性信息;協作網站必須在參與人員之間以一種有序的方式共享信息����;中心文檔庫需要提供一組專門的文檔供參與者共同進行編輯,文檔經過核定并附帶更改記錄,然后作為最終文檔被發布�;最終文檔更改控制必須提供對更改的審核跟蹤與控制�,以保證文檔的權威可信�;集中記錄跟蹤的目的是提供一個公共平臺,讓參與者可以對那些可能違背SOX的問題和難點引起注意。
2.財務公開����。滿足必要財務規則的財務報表和報告必須是由精確計算得出�,而且在報表和報告中不能有任何遺漏和省略,以免產生誤解。報表和報告中一定要包含影響企業健康的表外信息��。
合規性需求:企業負責人一定要對所有財務報表做準確性確認����;估計的數據一定要清晰準確,并且要和企業實際的財務階段完全一致��;企業管理的責任就是建立和維護對財務報告負責的內控架構和內控過程��。
這個需求對IT意味著:數據一定要可追溯�;文檔一定要做變更管理��;問題一定要記載并公布出來��;定義的元數據必須能保證內容進行正確的分類、上下文以及對數據合理的解釋�;一定要保留審計痕跡�,數據擁有者對元數據操作過程����,一定要進行身份識別;流程擁有者在對那些影響企業績效的關鍵流程的操作�,一定要進行身份識別�;通過元數據來清晰地區分歷史��、現實以及未來信息����;數據源要具備內部可追溯性����;在建立��、修改�、刪除信息時��,要采用一致的��、可重用的、可測量的、標準的過程�。
對特定協作軟件的需求:使用元數據進行數據分類以及管理數據的屬性信息����;協作網站必須在參與人員之間以一種有序的方式共享信息����;中心文檔庫需要提供一組專門的文檔供參與者共同進行編輯,文檔經過核定并附帶更改記錄,然后作為最終文檔被發布;最終文檔更改控制必須提供對更改的審核跟蹤與控制�,以保證文檔的權威可信��;企業內外廣泛的審查者和參與者很容易使用企業的web站點;使用元數據進行數據分類以及管理數據的屬性信息;協作網站必須在參與人員之間以一種有序的方式共享信息;中心文檔庫需要提供一組專門的文檔供參與者共同進行編輯����,文檔經過核定并附帶更改記錄����,然后作為最終文檔被發布�。
3.實時問題暴露(公開)。緊急事件發生的時候��,管理者必須報告企業財務及運營方面變化情況的信息�。
這些信息一定要易于理解,以趨勢圖的方式表示出來��,信息質量必須保證��。
合規性需求:企業信息的發布者必須提供最新的可用信息(例如��,實時信息)����。這些信息必須滿足財務期報告準確性和清晰性的要求。
這個需求對IT意味著:一旦發生數據的畸變或者數據變化�,這些變化可能影響到現實財務報告的準確性����,IT部門必須能提供支持來快速識別����、分類、分析��、發布這些變化。
對特定協作軟件的需求:使用元數據進行數據分類以及管理數據的屬性信息����;中心文檔庫需要提供一組專門的文檔供參與者共同進行編輯�,文檔經過核定并附帶更改記錄����,然后作為最終文檔被發布;最終文檔更改控制必須提供對更改的審核跟蹤與控制��,以保證文檔的權威可信��。
總之��,為遵從SOX法案,保證會計賬務�、財務報告、流程�、財務應用和底層IT基礎結構的完整性、可用性和準確性,要求IT在以下四方面有所準備:
第一��,優化財務流程�,完善財務應用系統。在財務應用的基礎上要實現財務數據整合和統計分析��,引進全面預算管理、KPI績效管理����、財務預警等模塊,保證企業提供準確�、完整�、實時��、真實�、有價值的財務報告����。
第二,建立內部控制體系并引入內控管理信息系統�。SOX要求企業高管加強對內控程序和內控報告的責任����,要求CEO和CFO能夠證明年度和季度財務報告沒有差錯和遺漏現象����,要求企業記錄并檢查企業的內部控制情況,揭露任何“嚴重弱點”����,要求企業高層能夠判斷與業務過程相關的風險����,以及這些風險對公司財務報告可能產生的影響��。達到上述要求的核心內容首先是建立公司內部控制體系����,美國“反對虛假財務報告委員會”的COSO是SEC(美國證券交易委員會)及PCAOB(美國上市公司會計監督委員會)推薦的框架��,COSO包括控制環境��、風險評估、控制活動��、信息與溝通和監督五個要素�,強調建立一系列的管理體制����,加強公司的內部控制。
第三,IT是COSO實施的關鍵,應建立起遵從SOX的企業內控管理信息系統����。內控管理信息系統至少應實現下述功能:能夠創建和記錄企業內部業務流程�,使公司的CEO�、CFO、員工和審計人員能夠實時識別、分配、測試并監視內部控制與流程����,確保業務流程根據內控標準執行��。一旦系統發現任何違反行為,將向適當人員自動報警。能夠收集并監視控制信息,使管理人員快速查看流程、組織、控制和風險的實時狀態�,提示管理人員注意控制目標是否實現�。為了幫助企業更好地了解和跟蹤風險����,內控管理信息系統為企業建立一個能夠與企業的每項業務過程相關聯的風險庫��。一旦認識出潛在風險,內部控制管理系統能夠允許企業設計控制以降低風險。
某些公司的內部控制管理系統的開發旨在幫助企業有效地執行SOX法案的要求����。
第四��,加強IT控制。SOX法案要求企業的內控活動��,不論是人還是信息系統的操作流程都必須明白地定義并保存相關記錄����,對審計過程也有存檔的要求。因此�,對影響財務報告的信息系統的IT控制也是SOX內部控制的核心組成部分之一。這就要求IT完善治理機制,進行IT內部控制和信息系統審計,以保證達到SOX對IT的基本要求。國際上已經形成一些較為完整的IT治理的規范����,如ITIL(信息技術基礎結構庫)�、COBIT(信息和相關技術的控制目標)��、BS7799(信息安全管理標準)等����。其中����,COBIT是信息系統審計與控制協會(ISACA)提出的IT治理的控制框架。IT服務管理(ITSM)的標準ITIL則與COBIT緊密一致����,通過IT服務管理流程與產品�,能夠實現IT的規范化管理�,記錄和控制IT的基本信息,包括對網絡��、硬件��、網頁�、應用����、防火墻、信息系統訪問控制權限、訪問密碼等信息�,保證財務報告的底層IT基礎結構的業務持續�,幫助公司更有效監督和管理IT風險����。