薩氏法案和其后SEC的一系列法規(guī)制定措施給公司治理�����、財務(wù)報告披露和審計獨立帶來了深遠的影響。特別需要關(guān)注的是����,在302和404章的要求下,企業(yè)需要就其內(nèi)部控制環(huán)境的狀況進行持續(xù)�����、可靠地披露�����。企業(yè)外部審計師同時需要就內(nèi)部控制有效性提供年度審計意見��。
盡管守法行為乍看上去是一個財務(wù)和審計方面的問題,而不是一個信息系統(tǒng)問題���,但理解信息技術(shù)在企業(yè)達成其守法目標的過程中所起的作用是非常重要的���。畢竟薩氏法案的核心就是要保證為編制和記錄財務(wù)披露信息而制定的內(nèi)部控制措施的有效性。而在現(xiàn)下����,又有哪個企業(yè)不是依靠信息技術(shù)來處理、編輯和管理信息的呢����?
企業(yè)為保證對薩氏法案的遵守,需要采取的關(guān)鍵行動有:
以系統(tǒng)的����、結(jié)構(gòu)化的方式記錄所有流程、政策�、風(fēng)險領(lǐng)域、控制以及目標�。有關(guān)流程和控制的文檔必須提供給企業(yè)所有相關(guān)員工。
監(jiān)控企業(yè)控制環(huán)境����,這包括包括確認財務(wù)系統(tǒng)的系統(tǒng)控制和在出現(xiàn)違反控制的行為后的補救措施�。
內(nèi)部控制評估是一個由企業(yè)管理層評價每個實體和流程完善性的程序���。
控制完善性評價是一個由企業(yè)管理層執(zhí)行的就企業(yè)在控制方面的進度和滯后與最佳實務(wù)進行比較的持續(xù)過程��。
溝通是所有為遵守法規(guī)所采取措施的基礎(chǔ)。管理層�、審計委員會、審計小組和流程負責(zé)人必須及時溝通聯(lián)系以達成企業(yè)遵守法規(guī)的目標�����。
報告是為支持審計證實(attestation)而編制相關(guān)報告的行為��。
在理解了上述關(guān)鍵措施后�,我們可以逐步了解信息技術(shù)在實現(xiàn)以上行為過程中所起到的重要作用:
歸檔:企業(yè)需要一個集中式的系統(tǒng)來記錄其內(nèi)部控制環(huán)境。政策文檔��、流程文檔���、組織目標��、目標相關(guān)的風(fēng)險和控制都必須在一個安全和可審計的環(huán)境下保存歸檔��。企業(yè)范圍內(nèi)的管理層和流程/控制負責(zé)人應(yīng)可以隨時隨地訪問這些文件�,F(xiàn)有的信息技術(shù)為集中創(chuàng)建和管理電子文檔提供可能,這些材料可以通過一個建立在全球范圍內(nèi)的企業(yè)內(nèi)網(wǎng)��,由單一的驗證和訪問安全控制保證其訪問安全性�。
監(jiān)控:對控制的監(jiān)控應(yīng)建立在企業(yè)實體和流程層面。管理層所設(shè)計的實體級監(jiān)控也是為了實現(xiàn)在每個流程級別的控制���。流程或控制負責(zé)人及數(shù)據(jù)校驗點應(yīng)集成在財務(wù)系統(tǒng)中���。當然企業(yè)需要同時保證有一個外部監(jiān)控系統(tǒng)來評價這些系統(tǒng)控制。這可以通過將監(jiān)控系統(tǒng)與財務(wù)系統(tǒng)中的特定事件控制集成來實現(xiàn)�����。依靠財務(wù)系統(tǒng)中的技術(shù)���,集成可以是一個基于事件的程序接口(該接口是業(yè)務(wù)級的)����,或者是一個與報告系統(tǒng)相關(guān)的分析性集成����。應(yīng)用軟件程序接口可以由財務(wù)系統(tǒng)供應(yīng)商、XML技術(shù)或一些關(guān)鍵技術(shù)來實現(xiàn)(現(xiàn)在一些信息技術(shù)提供商為客戶公司實現(xiàn)守法目標提供許多關(guān)鍵性技術(shù))。
內(nèi)部控制評價:企業(yè)管理層要判斷內(nèi)部控制有效性����,對控制設(shè)計和經(jīng)營有效性的評價和評估是不可缺少的。管理層和審計小組需要規(guī)劃這些控制評價���,但實際評價方案是由單個流程負責(zé)人提供后綜合起來的��。有效的信息技術(shù)工具在設(shè)計和制定這些評價問卷時非常關(guān)鍵��,同時信息技術(shù)在企業(yè)從分散的各個職能部門負責(zé)人處收集控制評價,執(zhí)行日常項目的過程中也十分重要���。一些能夠集成內(nèi)部人力資源系統(tǒng)��、輕量級目錄訪問協(xié)議數(shù)據(jù)庫(LDAPdatabases)���,公司電子郵件系統(tǒng)的技術(shù)可以在內(nèi)部控制評價中大展身手。
衡量/考核:一個統(tǒng)一的衡量系統(tǒng)對于評估控制至關(guān)重要���。衡量系統(tǒng)應(yīng)能夠幫助企業(yè)集合各個實體和流程中的控制�。在COSO框架下���,衡量系統(tǒng)應(yīng)能夠提供評估控制信息的方式����,這些控制信息涉及戰(zhàn)略、財務(wù)與法規(guī)目標���。衡量系統(tǒng)應(yīng)能夠幫助識別企業(yè)在實施流程優(yōu)化時的滯后程度���。管理層使用的“財務(wù)狀況儀表盤”(Financialdashboards)應(yīng)能夠顯示企業(yè)在公司治理中的整體完善程度,可以在必要時讓管理層容易地了解單個流程或系統(tǒng)��。信息技術(shù)在這一領(lǐng)域起到的作用尤為關(guān)鍵�。內(nèi)部控制餓衡量系統(tǒng)應(yīng)與公司績效考核工具、計分卡系統(tǒng)和其它分析程序無縫集成���。
溝通:能夠提供各個企業(yè)實體間的持續(xù)溝通����。企業(yè)電子郵件系統(tǒng)��,URL警告和escalation過程都是為了保證溝通而必須的技術(shù)�。
報告:許多企業(yè)規(guī)范了報告和商務(wù)職能系統(tǒng),實現(xiàn)了集中式的報告編制和分發(fā)�。由內(nèi)部控制和鑒證等應(yīng)用產(chǎn)生的報告應(yīng)與這些報告標準無縫集成。
結(jié)論:信息技術(shù)在保證企業(yè)遵守法律中的作用是多方面的。歸檔��、監(jiān)控����、評價、衡量/考核��、溝通以及報告這些行為需要與企業(yè)信息系統(tǒng)高度集成�。文件管理系統(tǒng)、ERP系統(tǒng)�����、內(nèi)網(wǎng)門戶���、人力資源系統(tǒng)、企業(yè)績效考核系統(tǒng)���、計分卡系統(tǒng)�、電子郵件工具和商務(wù)職能都是企業(yè)關(guān)鍵敏感數(shù)據(jù)的來源����。一個柔性、開放且安全的技術(shù)平臺是建立守法體系所必須的。信息技術(shù)部門和審計部門之間的持續(xù)合作也是守法體系成功的基礎(chǔ)��。
