薩氏法案和其后SEC的一系列法規(guī)制定措施給公司治理�、財(cái)務(wù)報(bào)告披露和審計(jì)獨(dú)立帶來(lái)了深遠(yuǎn)的影響�����。特別需要關(guān)注的是��,在302和404章的要求下��,企業(yè)需要就其內(nèi)部控制環(huán)境的狀況進(jìn)行持續(xù)�、可靠地披露��。企業(yè)外部審計(jì)師同時(shí)需要就內(nèi)部控制有效性提供年度審計(jì)意見(jiàn)����。
盡管守法行為乍看上去是一個(gè)財(cái)務(wù)和審計(jì)方面的問(wèn)題,而不是一個(gè)信息系統(tǒng)問(wèn)題����,但理解信息技術(shù)在企業(yè)達(dá)成其守法目標(biāo)的過(guò)程中所起的作用是非常重要的。畢竟薩氏法案的核心就是要保證為編制和記錄財(cái)務(wù)披露信息而制定的內(nèi)部控制措施的有效性�。而在現(xiàn)下,又有哪個(gè)企業(yè)不是依靠信息技術(shù)來(lái)處理、編輯和管理信息的呢�?
企業(yè)為保證對(duì)薩氏法案的遵守,需要采取的關(guān)鍵行動(dòng)有:
以系統(tǒng)的�����、結(jié)構(gòu)化的方式記錄所有流程�����、政策�、風(fēng)險(xiǎn)領(lǐng)域、控制以及目標(biāo)�。有關(guān)流程和控制的文檔必須提供給企業(yè)所有相關(guān)員工。
監(jiān)控企業(yè)控制環(huán)境��,這包括包括確認(rèn)財(cái)務(wù)系統(tǒng)的系統(tǒng)控制和在出現(xiàn)違反控制的行為后的補(bǔ)救措施�����。
內(nèi)部控制評(píng)估是一個(gè)由企業(yè)管理層評(píng)價(jià)每個(gè)實(shí)體和流程完善性的程序����。
控制完善性評(píng)價(jià)是一個(gè)由企業(yè)管理層執(zhí)行的就企業(yè)在控制方面的進(jìn)度和滯后與最佳實(shí)務(wù)進(jìn)行比較的持續(xù)過(guò)程。
溝通是所有為遵守法規(guī)所采取措施的基礎(chǔ)�����。管理層、審計(jì)委員會(huì)���、審計(jì)小組和流程負(fù)責(zé)人必須及時(shí)溝通聯(lián)系以達(dá)成企業(yè)遵守法規(guī)的目標(biāo)���。
報(bào)告是為支持審計(jì)證實(shí)(attestation)而編制相關(guān)報(bào)告的行為。
在理解了上述關(guān)鍵措施后���,我們可以逐步了解信息技術(shù)在實(shí)現(xiàn)以上行為過(guò)程中所起到的重要作用:
歸檔:企業(yè)需要一個(gè)集中式的系統(tǒng)來(lái)記錄其內(nèi)部控制環(huán)境�。政策文檔�、流程文檔���、組織目標(biāo)����、目標(biāo)相關(guān)的風(fēng)險(xiǎn)和控制都必須在一個(gè)安全和可審計(jì)的環(huán)境下保存歸檔�。企業(yè)范圍內(nèi)的管理層和流程/控制負(fù)責(zé)人應(yīng)可以隨時(shí)隨地訪問(wèn)這些文件。現(xiàn)有的信息技術(shù)為集中創(chuàng)建和管理電子文檔提供可能���,這些材料可以通過(guò)一個(gè)建立在全球范圍內(nèi)的企業(yè)內(nèi)網(wǎng)��,由單一的驗(yàn)證和訪問(wèn)安全控制保證其訪問(wèn)安全性��。
監(jiān)控:對(duì)控制的監(jiān)控應(yīng)建立在企業(yè)實(shí)體和流程層面����。管理層所設(shè)計(jì)的實(shí)體級(jí)監(jiān)控也是為了實(shí)現(xiàn)在每個(gè)流程級(jí)別的控制。流程或控制負(fù)責(zé)人及數(shù)據(jù)校驗(yàn)點(diǎn)應(yīng)集成在財(cái)務(wù)系統(tǒng)中��。當(dāng)然企業(yè)需要同時(shí)保證有一個(gè)外部監(jiān)控系統(tǒng)來(lái)評(píng)價(jià)這些系統(tǒng)控制���。這可以通過(guò)將監(jiān)控系統(tǒng)與財(cái)務(wù)系統(tǒng)中的特定事件控制集成來(lái)實(shí)現(xiàn)�����。依靠財(cái)務(wù)系統(tǒng)中的技術(shù)�����,集成可以是一個(gè)基于事件的程序接口(該接口是業(yè)務(wù)級(jí)的)����,或者是一個(gè)與報(bào)告系統(tǒng)相關(guān)的分析性集成�����。應(yīng)用軟件程序接口可以由財(cái)務(wù)系統(tǒng)供應(yīng)商、XML技術(shù)或一些關(guān)鍵技術(shù)來(lái)實(shí)現(xiàn)(現(xiàn)在一些信息技術(shù)提供商為客戶公司實(shí)現(xiàn)守法目標(biāo)提供許多關(guān)鍵性技術(shù))�。
內(nèi)部控制評(píng)價(jià):企業(yè)管理層要判斷內(nèi)部控制有效性,對(duì)控制設(shè)計(jì)和經(jīng)營(yíng)有效性的評(píng)價(jià)和評(píng)估是不可缺少的����。管理層和審計(jì)小組需要規(guī)劃這些控制評(píng)價(jià),但實(shí)際評(píng)價(jià)方案是由單個(gè)流程負(fù)責(zé)人提供后綜合起來(lái)的�����。有效的信息技術(shù)工具在設(shè)計(jì)和制定這些評(píng)價(jià)問(wèn)卷時(shí)非常關(guān)鍵�����,同時(shí)信息技術(shù)在企業(yè)從分散的各個(gè)職能部門(mén)負(fù)責(zé)人處收集控制評(píng)價(jià)��,執(zhí)行日常項(xiàng)目的過(guò)程中也十分重要��。一些能夠集成內(nèi)部人力資源系統(tǒng)����、輕量級(jí)目錄訪問(wèn)協(xié)議數(shù)據(jù)庫(kù)(LDAPdatabases)�����,公司電子郵件系統(tǒng)的技術(shù)可以在內(nèi)部控制評(píng)價(jià)中大展身手。
衡量/考核:一個(gè)統(tǒng)一的衡量系統(tǒng)對(duì)于評(píng)估控制至關(guān)重要�����。衡量系統(tǒng)應(yīng)能夠幫助企業(yè)集合各個(gè)實(shí)體和流程中的控制����。在COSO框架下,衡量系統(tǒng)應(yīng)能夠提供評(píng)估控制信息的方式�����,這些控制信息涉及戰(zhàn)略���、財(cái)務(wù)與法規(guī)目標(biāo)����。衡量系統(tǒng)應(yīng)能夠幫助識(shí)別企業(yè)在實(shí)施流程優(yōu)化時(shí)的滯后程度���。管理層使用的“財(cái)務(wù)狀況儀表盤(pán)”(Financialdashboards)應(yīng)能夠顯示企業(yè)在公司治理中的整體完善程度��,可以在必要時(shí)讓管理層容易地了解單個(gè)流程或系統(tǒng)��。信息技術(shù)在這一領(lǐng)域起到的作用尤為關(guān)鍵��。內(nèi)部控制餓衡量系統(tǒng)應(yīng)與公司績(jī)效考核工具���、計(jì)分卡系統(tǒng)和其它分析程序無(wú)縫集成����。
溝通:能夠提供各個(gè)企業(yè)實(shí)體間的持續(xù)溝通�。企業(yè)電子郵件系統(tǒng),URL警告和escalation過(guò)程都是為了保證溝通而必須的技術(shù)�����。
報(bào)告:許多企業(yè)規(guī)范了報(bào)告和商務(wù)職能系統(tǒng)��,實(shí)現(xiàn)了集中式的報(bào)告編制和分發(fā)��。由內(nèi)部控制和鑒證等應(yīng)用產(chǎn)生的報(bào)告應(yīng)與這些報(bào)告標(biāo)準(zhǔn)無(wú)縫集成�。
結(jié)論:信息技術(shù)在保證企業(yè)遵守法律中的作用是多方面的。歸檔�����、監(jiān)控�、評(píng)價(jià)�、衡量/考核�、溝通以及報(bào)告這些行為需要與企業(yè)信息系統(tǒng)高度集成����。文件管理系統(tǒng)、ERP系統(tǒng)�、內(nèi)網(wǎng)門(mén)戶、人力資源系統(tǒng)����、企業(yè)績(jī)效考核系統(tǒng)、計(jì)分卡系統(tǒng)���、電子郵件工具和商務(wù)職能都是企業(yè)關(guān)鍵敏感數(shù)據(jù)的來(lái)源���。一個(gè)柔性、開(kāi)放且安全的技術(shù)平臺(tái)是建立守法體系所必須的��。信息技術(shù)部門(mén)和審計(jì)部門(mén)之間的持續(xù)合作也是守法體系成功的基礎(chǔ)�。
