SOX、审计与启明星辰安全管理平台解决方案-爱ERP网

SOX、审计与启明星辰安全管理平台解决方案

作者：佚名文章来源：本站原创点击数：更新时间：2008-7-14

上一篇文章：为了萨班斯中国公司一年多掏2亿美元…

一、SOX

2001年，由于安然、世通事件，美国500强中的前几名公司一下子轰然倒塌，这使得全球的投资者对美国的资本市场都产生了怀疑，在这种情况下，美国以最快的速度、最坚定的决心，开始实施《公众公司会计改革和投资者保护法》（以下简称《萨班斯法案》），因此，有人将实施《萨班斯法案》称作美国国家的救亡运动。
在美国这样靠资本市场输血来维持和发展经济的国家，财务做假、内控不严格相当严重，直接的影响就是使全球的投资者对美国资本市场失去信心，因此，美国出台《萨班斯法案》，以一部法案将公司治理的风险转嫁到上市公司的执行经理人身上，主要是公司的CEO、CFO，还有外部的中介机构、会计师、律师等。可以说这是美国政府的无奈之举。
7月15日，在美国上市的中国公司开始实施《萨班斯法案》，包括中国的四大基础电信运营商在内的几十家中国公司面对内控方面的巨大挑战。
“实际上，普华永道、毕马威、德勤、安永四大会计师事务所从两年前就各自成立了帮助企业实施《萨班斯法案》的相关部门”，供职于四大会计师事务所的一位内部人士说。
何谓《萨班斯—奥克斯利法案》
简单地讲，萨班斯法案是一部由美国颁布，涉及会计职业监管、公司治理、证券市场监管等方面改革的重要法律，包括在美国注册上市公司和在外国注册而于美国上市的公司，都必须遵守该法案。
《萨班斯—奥克斯利法案》的主要要求
法案共分为11个部分，由若干个独立的章节组成。该法案主要强化了上市公司财务信息批露义务，加大了公司的财务报告责任；要求公司进行管理体制的改革，建立有效的内部控制体系；加重了违法行为的处罚措施，明确严重的违法所适用的刑法；强调并加强了审计委员会的角色和独立性；提出了更多的关于审计师独立性的约束。其中对有限公司有重大影响的主要是第302节、第906节和第404节。
1) 第302节
要求公司的CEO和CFO在财务报告上签字，保证财务报告不存在重大错报、漏报，在所有重大方面公允地反映公司在该报告期末的财务状况及该报告期内的经营成果。同时要求CEO、CFO对相关批露的内部控制有效性进行评价。
2) 第906节
明确规定上市公司管理层对舞弊和欺诈负有刑事责任。
3) 第404节
404节核心内容是严格界定了上市公司管理层对公司内部控制需承担的责任和义务。
a) 公司的年报中增加管理层关于公司内部控制情况的报告。该报告包括：明确阐明公司管理层有责任建立和保持一套完整的与财务报告相关的内部控制系统和程序；管理层应对财务年度期末与公司财务报告相关的内部控制系统及程序的有效性做出评价。公司全体管理层对报告负责。
b) 公司外部审计师对管理层的内控报告出具鉴证报告。
萨班斯法案被认为是美国自20世纪30年代颁布财务规则以来，最为严厉和企业必须遵守的财务法则。萨班斯法案来了，中国企业如何应对？
对于在美上市的中国企业来说，一场残酷的萨式考验正在逼近。该法案中的404条款，是萨班斯法案中最难操作、最复杂、耗费成本最高的一个条款。条款规定，在美上市企业，要建立内部控制体系，其中包括控制环境、风险评估、控制活动、信息沟通以及监督5个部分。内部控制活动的记录不仅要细化到像产品付款时间这样的细节，而且对重大缺陷都要予以披露。
为应对第404条款的要求，首先需要开展与财务报表相关的公司内部控制项目。
由于财务报告及其相关的内部控制流程都依赖信息技术的重要支撑，因此需要加强相关的信息技术控制，以满足第404条款的要求。特别是在业务流程高度依赖IT系统支撑的电信与金融行业，重视信息技术控制、完善信息技术控制对满足监管机构要求和企业自身发展都至关重要。
要在短时间内满足审计要求，对企业而言是极大的挑战。在开展404合规性项目的实际过程中，也暴露出许多国内企业共性的一些问题：
一是普遍缺乏对信息系统从招投标建设到上线实施再到验收之后的运行维护的一整套成体系的IT管理制度。
二是员工的工作习惯问题。由于普遍具有的国有背景的特点，长期以来养成的工作习惯无法符合第404条款或是现代企业管理制度的要求。如有些系统维护人员在进行系统检查时发现了问题，随即进行排查和解决，却未留下任何的检修记录；如根据领导一个电话就为某位员工开通某个系统权限等。而《萨班斯法案》要求所有的操作都遵循一定控制要求来执行，所有的工作必须责任到人，对重要工作要留下相应的痕迹。
三是系统普遍未达到第404条款的要求。出于对财务报表相关的披露信息的关注和重视，第404条款要求企业通过公司层面的监督、信息与沟通、控制活动、风险评估和控制环境控制，以及信息技术一般性控制层面和业务应用层面的控制来确保构成财务报表的信息系统源数据以及计算逻辑准确和完整。而国内企业的系统和流程都存在着不少的问题，比如系统的密码策略没有固化、数据的备份策略不完整等。
二、审计与SOX
根据辞海的解释，“审计”二字的含义为审核、审查，其原始意义为“查帐”。而在现代，则赋予它对某行业审核、审查，并起到一定监督保障的作用。
来自网络的安全威胁日益增多，很多威胁并不是以网络入侵的形式进行的，这些威胁事件多数是来自于内部合法用户的误操作或恶意操作，仅靠系统自身的日志功能并不能满足对这些网络安全事件的审计要求。网络安全审计主要用于网络安全事件的事后查询和取证工作。
那么，SOX与审计有什么样的密切关系？图1很好地说明了SOX要求下，内部控制体系与审计的关系：