SCI期刊 | 网站地图 周一至周日 8:00-22:30
你的位置:首页 >  互联网 » 正文

业务需求中IT系统的影响

2021-4-10 | 互联网

 

1.企业对财务报告的责任。所有定期财务报告必须由负责签章的主管查阅、确认并签字;签章的主管必须对财务报告的准确度和清晰度负责。

 

合规性需求:通过签章,公司的签章主管必须确认已经审查过财务报告。这个签章证明他们认为财务报告是准确的,并且所有数字来源是准确的。

 

这个需求对IT意味着:财务报告中使用的数据必须有已知的起源与推导,有正确的格式,在适当的场景下被使用;整个流程必须有负责人;数据也必须有负责人;最终文档以及相关的支持文档必须记录更改日志,以进行控制管理。

 

对特定的协同办公软件的要求:使用元数据进行数据分类以及管理数据的属性信息;协作网站必须在参与人员之间以一种有序的方式共享信息;中心文档库需要提供一组专门的文档供参与者共同进行编辑,文档经过核定并附带更改记录,然后作为最终文档被发布;最终文档更改控制必须提供对更改的审核跟踪与控制,以保证文档的权威可信;集中记录跟踪的目的是提供一个公共平台,让参与者可以对那些可能违背SOX的问题和难点引起注意。

 

2.财务公开。满足必要财务规则的财务报表和报告必须是由精确计算得出,而且在报表和报告中不能有任何遗漏和省略,以免产生误解。报表和报告中一定要包含影响企业健康的表外信息。

 

合规性需求:企业负责人一定要对所有财务报表做准确性确认;估计的数据一定要清晰准确,并且要和企业实际的财务阶段完全一致;企业管理的责任就是建立和维护对财务报告负责的内控架构和内控过程。

 

这个需求对IT意味着:数据一定要可追溯;文档一定要做变更管理;问题一定要记载并公布出来;定义的元数据必须能保证内容进行正确的分类、上下文以及对数据合理的解释;一定要保留审计痕迹,数据拥有者对元数据操作过程,一定要进行身份识别;流程拥有者在对那些影响企业绩效的关键流程的操作,一定要进行身份识别;通过元数据来清晰地区分历史、现实以及未来信息;数据源要具备内部可追溯性;在建立、修改、删除信息时,要采用一致的、可重用的、可测量的、标准的过程。

 

对特定协作软件的需求:使用元数据进行数据分类以及管理数据的属性信息;协作网站必须在参与人员之间以一种有序的方式共享信息;中心文档库需要提供一组专门的文档供参与者共同进行编辑,文档经过核定并附带更改记录,然后作为最终文档被发布;最终文档更改控制必须提供对更改的审核跟踪与控制,以保证文档的权威可信;企业内外广泛的审查者和参与者很容易使用企业的web站点;使用元数据进行数据分类以及管理数据的属性信息;协作网站必须在参与人员之间以一种有序的方式共享信息;中心文档库需要提供一组专门的文档供参与者共同进行编辑,文档经过核定并附带更改记录,然后作为最终文档被发布。

 

3.实时问题暴露(公开)。紧急事件发生的时候,管理者必须报告企业财务及运营方面变化情况的信息。

 

这些信息一定要易于理解,以趋势图的方式表示出来,信息质量必须保证。

 

合规性需求:企业信息的发布者必须提供最新的可用信息(例如,实时信息)。这些信息必须满足财务期报告准确性和清晰性的要求。

 

这个需求对IT意味着:一旦发生数据的畸变或者数据变化,这些变化可能影响到现实财务报告的准确性,IT部门必须能提供支持来快速识别、分类、分析、发布这些变化。

 

对特定协作软件的需求:使用元数据进行数据分类以及管理数据的属性信息;中心文档库需要提供一组专门的文档供参与者共同进行编辑,文档经过核定并附带更改记录,然后作为最终文档被发布;最终文档更改控制必须提供对更改的审核跟踪与控制,以保证文档的权威可信。

 

总之,为遵从SOX法案,保证会计账务、财务报告、流程、财务应用和底层IT基础结构的完整性、可用性和准确性,要求IT在以下四方面有所准备:

 

第一,优化财务流程,完善财务应用系统。在财务应用的基础上要实现财务数据整合和统计分析,引进全面预算管理、KPI绩效管理、财务预警等模块,保证企业提供准确、完整、实时、真实、有价值的财务报告。

 

第二,建立内部控制体系并引入内控管理信息系统。SOX要求企业高管加强对内控程序和内控报告的责任,要求CEO和CFO能够证明年度和季度财务报告没有差错和遗漏现象,要求企业记录并检查企业的内部控制情况,揭露任何“严重弱点”,要求企业高层能够判断与业务过程相关的风险,以及这些风险对公司财务报告可能产生的影响。达到上述要求的核心内容首先是建立公司内部控制体系,美国“反对虚假财务报告委员会”的COSO是SEC(美国证券交易委员会)及PCAOB(美国上市公司会计监督委员会)推荐的框架,COSO包括控制环境、风险评估、控制活动、信息与沟通和监督五个要素,强调建立一系列的管理体制,加强公司的内部控制。

 

第三,IT是COSO实施的关键,应建立起遵从SOX的企业内控管理信息系统。内控管理信息系统至少应实现下述功能:能够创建和记录企业内部业务流程,使公司的CEO、CFO、员工和审计人员能够实时识别、分配、测试并监视内部控制与流程,确保业务流程根据内控标准执行。一旦系统发现任何违反行为,将向适当人员自动报警。能够收集并监视控制信息,使管理人员快速查看流程、组织、控制和风险的实时状态,提示管理人员注意控制目标是否实现。为了帮助企业更好地了解和跟踪风险,内控管理信息系统为企业建立一个能够与企业的每项业务过程相关联的风险库。一旦认识出潜在风险,内部控制管理系统能够允许企业设计控制以降低风险。

 

某些公司的内部控制管理系统的开发旨在帮助企业有效地执行SOX法案的要求。

 

第四,加强IT控制。SOX法案要求企业的内控活动,不论是人还是信息系统的操作流程都必须明白地定义并保存相关记录,对审计过程也有存档的要求。因此,对影响财务报告的信息系统的IT控制也是SOX内部控制的核心组成部分之一。这就要求IT完善治理机制,进行IT内部控制和信息系统审计,以保证达到SOX对IT的基本要求。国际上已经形成一些较为完整的IT治理的规范,如ITIL(信息技术基础结构库)、COBIT(信息和相关技术的控制目标)、BS7799(信息安全管理标准)等。其中,COBIT是信息系统审计与控制协会(ISACA)提出的IT治理的控制框架。IT服务管理(ITSM)的标准ITIL则与COBIT紧密一致,通过IT服务管理流程与产品,能够实现IT的规范化管理,记录和控制IT的基本信息,包括对网络、硬件、网页、应用、防火墙、信息系统访问控制权限、访问密码等信息,保证财务报告的底层IT基础结构的业务持续,帮助公司更有效监督和管理IT风险。

Top