《萨班斯法案与IT控制.ppt》由会员分享,可在线阅读,更多相关《萨班斯法案与IT控制.ppt(56页珍藏版)》请在三一办公上搜索。
1、萨班斯法案与IT控制介绍 Introduction of Sarbanes-Oxley and IT Controls,背景介绍SOX法案简介SOX法案对IT的影响COSO内部控制标准CobiT IT控制框架SOX符合性实施过程总结,背景,安然事件引爆危机,安然(ENRON),全球第一大能源交易商,总市值700亿美元,在财富500中列美国第七,世界第十六,连续6年被财富杂志评选为美国最有创意的公司,被英国金融时报评为“年度能源公司奖”、“最大胆的成功投资决策奖”、“美国人最爱任职的百大企业”2001年11月下旬,安然承认自1997年以来,通过非法手段虚报利润5.86亿美元,在与关联公司内部交易
2、中,不断隐藏债务和损失,管理层从中非法获益,消息传出,立刻引起美国金融与商品交易市场的巨大动荡;2001年12月2日,申请破产保护。,背景,世通紧接着轰然倒塌,世界通信公司(WORLDCOM),美国第二大长途电话和互联网数据传输公司,成立后吞并70多家公司,创造了小鱼吃大鱼(MCI)的奇迹,拥有2千万个人顾客、数千个团体客户,资产总值曾高达1153亿美元,股价曾高达64美元;2002年6月25日,世通承认自2001年初到2002年第一季度,通过将大量的费用支出计入资本项目的手法,共虚增收入38亿美元,虚增利润16亿多美元;2002年6月26日,世通股票停牌。此前,股价仅为83美分,市值只剩下1
3、0亿美元;2002年7月21日,申请破产保护。,背景,安达信(ANDERSEN),曾是全球收入总额最高且最有影响的会计师事务所和财务咨询公司,收入总额过200亿美元。与埃森哲分手后,2001年收入总额仍达93亿美元,在全球有480多个分支机构、8.5万员工;正是安达信,为涉嫌造假的安然公司及世通公司提供财务保教审计;2002年3月14日,美国司法部宣布对安达信提出“妨碍司法”的指控;2002年6月15日,美国联邦大陪审团裁定安达信妨碍司法罪成立;2002年8月底,安达信宣布,停止在美国市场上承担上市公司审计业务。,安达信最终也难逃厄运,背景,美国证交会主席哈维皮特将世界通信公司会计造假案、安然
4、事件、安达信解体和“9.11事件”并称为美国金融证券市场遭遇的“四大危机”;危机导致投资人信心丧失,导致公共市场严重衰退,动摇了公众对会计师行业的信心。危机引起的一系列“多米诺骨牌”效应不啻是对美国公司治理及证券业甚至于世界证券业的一个打击;在处理这些事件的过程中,法律的漏洞以及制度的缺陷显露无疑;公共急切呼唤信任回归;于是,美国证券交易委员会(SEC)协同美国国会展开行动,颁布新的法律。,美国会计丑闻影响极其深远,背景介绍SOX法案简介SOX法案对IT的影响COSO内部控制标准CobiT IT控制框架SOX符合性实施过程总结,SOX法案简介,美国IT及InfoSec相关立法发展过程,针对安然
5、、世通等财务欺诈事件,美国国会出台2002年公众公司会计改革和投资者保护法案(Public Company Accounting Reform and Investor Protection Act of 2002);该法案由美国众议院金融服务委员会主席奥克斯利(Oxley)和参议院银行委员会主席萨班斯(Sarbanes)联合提出,又名萨班斯法案,简写为SOX法;该法案对美国1933年证券法、1934年证券交易法作了不少修订,在会计职业监管、公司治理、证券市场监管等方面作出了许多新的规定;2002年7月30日,美国总统布什签署生效。,2002年美国颁布萨班斯法案,SOX法案简介,法案的目的是
6、根据美国证券法,通过提高公司信息披露的准确性和可靠性,增加公司责任,为上市公司会计和审计的不适当行为规定更加严厉的处罚,同时保护投资者;该法案是美国有史以来通过的最具有深远意义的证券立法之一。法案广泛地适用于所有根据美国1934年证券交易法向或者被要求向证券交易委员会(SEC)递交定期报告的公司,包括美国和非美国公司;法案包括非常专门的额外的信息披露要求和新的公司治理规则,要求SEC和证券交易所采纳广泛的额外的信息披露、公司治理和其他相关规则,授权SEC和总会计师对相关问题进行进一步的研究;法案代表着联邦立法对原属于州立法范围(如对会计职业的管理),以及原属于州公司法调整范围(如董事会与管理层
7、、董事会和其委员会之间的关系)等事项的重大参与。,SOX法案总体介绍,SOX法案简介,美国2001年至2002年度所爆发的各项公司丑闻事件中,企业管理层无疑应当负有最主要的责任,因而,SOX法案的主要内容之一就是明确公司管理层责任(如对公司内部控制进行评估等)、尤其是对股东所承担的受托责任,同时,加大对公司管理层及白领犯罪的刑事责任。企业会计人员以及外部审计人员在这些事件中的负面作用,不容否定,比如,安然通过复杂的“特殊目的主体”安排,虚构利润、隐瞒债务,而世界通讯则是赤裸裸的假账,提高财务报告的可靠性,成为SOX法案的另一个主要内容,法案的要求包括:建立一个独立机构来监管上市公司审计、审计师
8、定期轮换、全面修订会计准则、制订关于审计委员会成员构成的标准、要求管理层及时评估内部控制、更及时的财务报告、对审计时提供咨询服务进行限制等。并且,从全部法案的次序安排来看,这些内容排在前三章,而篇幅也超过2/3。因而,SOX法案更像一个会计改革法案。,SOX法案主要针对对象,SOX法案简介,最后修订完稿的SOX法案共分11章 第1至第6章主要涉及对会计职业及公司行为的监管,包括:建立一个独立的“公众公司会计监管委员会”(Public Company Accounting Oversight Board,PCAOB),对上市公司审计进行监管;通过负责合伙人轮换制度,以及咨询与审计服务不兼容等制度
9、,以此提高审计的独立性;对公司高管人员的行为进行限定,改善公司治理结构,以增进公司的报告责任;加强财务报告的披露;通过增加拨款和雇员等来提高SEC的执法能力。第8至第11章主要是提高对公司高管及白领犯罪的刑事责任,比如:针对安达信销毁安然审计档案事件,专门制订相关法律,规定了销毁审计档案最高可判10年监禁、在联邦调查及破产事件中销毁档案最高可判20年监禁;为强化公司高管层对财务报告的责任,要求公司高管对财务报告的真实性宣誓,并就提供不实财务报告分别设定了10年或20年的刑事责任。,SOX法案的组织架构,SOX法案简介,SOX法案内容目录,SOX法案简介,第一章 公众公司会计监察委员会第101节
10、 组建、管理条款第102节 在委员会注册第103节 审计、质量控制和独立性准则及规定第104节 对注册的会计师事务所的检查第105节 调查和惩戒程序第106节 外国注册的会计师事务所第107节 SEC对委员会的监管第108节 会计准则第109节 资金 第二章 审计师的独立性第201节 审计师执业范围之外的业务第202节 事前许可第203节 负责审计合伙人的轮换第204节 审计师向审计委员会报告第205节 保持一致性的修订第206节 利益的冲突第207节 关于强制轮换注册会计师事务所的研究第208节 对SEC的授权第209节 州级管理当局的考虑,第三章 公司的责任第301节 公众公司审计委员会第
11、302节 公司对财务报告的责任第303节 对审计不正当的影响第304节 没收奖金及收益第305节 对公司官员及董事的处罚第306节 禁止在养老基金的管制期内进行内部交易第307节 关于律师职业责任的规定第308节 投资者公平基金第四章 强化财务信息披露第401节 定期报告中的披露第402节 强化利益冲突的信息披露第403节 同管理层和主要股东有关经济业务的披露第404节 管理层对内部控制的评价第405节 例外情形第406节 高级财务管理人员的道德守则第407节 同审计委员会财务专家有关的信息披露第408节 加强定期信息披露的复核第409节 实时信息披露,SOX法案内容目录(续),SOX法案简介
12、,第五章 利益冲突的分析第501节 如何管理执业证券分析师及证券交易所第六章 委员会的组成及其权利第601节 财政拨款方面的权利第602节 SEC的执业许可权第603节 联邦法院规定的市场禁入权第604节 证券经纪人和交易商的从业资格第七章 研究及报告第701节 审计总署对会计师事务所合并行为的研 究及报告第702节 SEC对评级机构的研究及报告第703节 关于违法者和违法行为的研究和报告第704节 执法行为研究第705节 投资银行研究第八章 公司欺诈及其刑事责任第801节 小标题第802节 篡改文件的刑事责任第803节 违反证券欺诈法不能免除债务第804节 证券欺诈的限制性条款第805节 对
13、联邦判决指南关于妨碍司法公正和广 义欺诈犯罪的回顾第806节 保护提供欺诈证据的公众公司的雇员第807节 公众公司欺骗股东的刑事责任,第九章 强化白领刑事责任第901节 小标题第902节 企图和阴谋进行欺诈犯罪活动第903节 邮件及电传欺诈的刑事责任第904节 违反美国1974年退休雇员收入保障 法的刑事责任第905节 修改关于白领犯罪行为的判决指南第906节 公司对财务报告的责任第十章 公司纳税申报表第1001节 参议院要求考虑公司首席执行官签署纳 税申报表第十一章 公司欺诈责任 第1101节 小标题第1102节 篡改记录或者阻止官方调查第1103节 SEC的暂时冻结权第1104节 联邦判决
14、指南的修改第1105节 SEC有权禁止有关人士担任公司官员或 者董事第1106节 按照1934年证券交易法加重刑事责 任第1107节 对举报人打击报复,成立独立的公众公司会计监察委员会(PCAOB)PCAOB负责监管执行公众公司审计的会计师事务所及注册会计师 授权美国证券交易委员会(以下简称SEC)对PCAOB实施监督 要求执行或参与公众公司审计的会计师事务所须向PCAOB注册登记 审计美国公司(包括审计美国公司的国外子公司)的外国会计师事务所也必须向PCAOB登记 要求加强注册会计师的独立性 要求加大公司的财务报告责任 要求强化财务披露义务 加重了违法行为的处罚措施 增加经费拨款,强化SEC
15、的监管职能 要求美国审计总署加强调查研究,SOX法案内容总结,SOX法案简介,背景介绍SOX法案简介SOX法案对IT的影响COSO内部控制标准CobiT IT控制框架SOX符合性实施过程总结,SOX对公司不同部门的影响程度,SOX法案对IT的影响,受SOX影响的流程、人和系统,SOX法案对IT的影响,SOX法案将对财务报告的内部控制作为关注的具体内容。要求高管报告公司对财务报告的内部控制,并要求独立审计师证实管理层报告的准确性;什么是内部控制(internal control,IC)?内控被广泛定义为一种过程(process),被企业董事会、高管及其他人员所实施,用来提供对下列目标达成的合理的
16、保证 运营的效力(effectiveness)和效率(efficiency);财务报告的可靠性(reliability);对适用法律法规的符合性(compliance)。包括IT一般控制和应用控制:IT general controls针对基本的计算基础设施,包括物理和逻辑网络安全、DB管理、系统开发、变更控制、灾难恢复等 Application controls针对支持财务报告的特定应用 为符合SOX法案而做准备是非常重要而且具有挑战性的任务,这里有许多要求,包括识别并支持重要的财务报表帐目、过程和系统,将其文件化并进行测试,内部控制成为最受关注的焦点,SOX法案对IT的影响,SOX法案中与
17、内控相关的部分,302 公司财务报告的责任 CEO和CFO在季报和年报中必须确保:报告不包含不实陈述 报告在所有材料方面都有展示 负责设计和维护披露控制及程序,以及对财务报告的内控 于2002年生效(修正到2003年6月)404 管理层对内部控制的评价 CEO和CFO必须在年度报告中确保:负责建立和维护对财务报告的有效内控 随同独立审核员证明报告一起,评估内部控制,SOX法案对IT的影响,IT对业务提供支持,SOX法案对IT的影响,IT控制纵览,SOX法案对IT的影响,Account balance:Trade AR,SalesClasses of Transactions:Invoices,
18、Sales ordersBusiness Process:AR,Sales Order processesProcess Stages:Initiate,record,processApplication Controls:Access controlsBuilt in limits for credit approvalRestricted access to pricing table GCC Controls:Program change Operations Network&system security,一个例子,SOX法案对IT的影响,Weak General Computer C
19、ontrols,Strong General Computer Controls,自动化的控制程序和使用计算机生成信息的手工控制程序,有赖于一般性计算机控制的效力,为什么一般性控制很重要?,SOX法案对IT的影响,关键的符合性要求:管理层需要评估其财务报告内部控制的设计和效力,并且在公布的财务报告中提供对此的声明 公司的外部审计师需要就管理层评估表达一个意见,包括对公司内控发表自己的意见 尽管法案或SEC规则都没有提及IT或者信息安全,但对绝大多数现代企业来说,财务报告无可避免地会与信息技术联系在一起;换句话说,如果某些关键系统失效了,企业正确报告其财务状况的能力就可能严重受限,甚至短期内丧失
20、;法案对IT控制的影响:审计师必须审查重要过程的主要交易类型,以理解过程流程,并且评估包括应用及IT一般控制在内的控制的设计和效力;评估IT控制的设计效力,确定其是否为实现相关声明而恰当设计;对实现相关声明所必须的IT控制的操作效力进行测试。,理解规则对IT的影响,SOX法案对IT的影响,安全(Security)基于应用和平台;定位在那些可能影响财务和支持基础设施的应用上 需要有安全的操作系统、数据库、网络、防火墙和基础设施 审计师会寻找过度访问、缺乏职责分离、不恰当的访问授权的问题,他们也会测试关键过程,以确定控制的有效性 变更控制(Change Control)需要有程序能控制和确保对生产
21、系统变更的恰当批准 通过技术性控制来限制和控制开发者访问生产系统 灾难恢复(Disaster Recovery)定位在基本的财务数据备份和恢复上 IT治理(IT Governance)IT是否存在清晰的策略、程序和沟通?职责分离是否明确?IT组织是否有合适的“上层论调“?开发及实施活动(Development And Implementation Activities)在将新系统或系统变更引入到生产环境之前,需要内建恰当的控制 审计师可能会评估新的财务系统;数据转换和测试是关键,TOP5 404 IT控制需求,SOX法案对IT的影响,缺乏一个企业级的、行政驱动的内部控制管理程序 缺乏一个正式的
22、企业风险管理程序 与记录非常规的、复杂的、不寻常交易相关联的控制不充分 无效控制下的兼并后整合(post-merger integration)缺乏对IT环境的有效控制 无效的财务报告和披露准备过程 缺乏对财务结帐(financial closing)过程的正式控制 缺乏现行的、完备的、文件化的会计策略和程序 不能评估和测试对外包过程的控制 委员会和审计委员会对风险及控制理解不周,企业致力于404符合性的最大问题,SOX法案对IT的影响,变更控制过程并不存在(特别是在分布式或基于Web的环境中)针对关键应用的安全程序、策略和配置结构并没有文件化 组织的安全策略、程序、角色与责任等方面存在差距
23、安全管理程序缺乏适当的控制,或者往往:缺乏人员离职或改变工作职责情况下对访问进行删除或变更的控制(特别是对合同人员)对访问变更的批准不够充分 管理层对访问级别没有进行有规律的复查和批准 对系统的过度访问 对操作系统、数据库和应用环境的特权访问 职责分离不足 应用开发者和数据库管理员能够访问生产系统 基础架构支持应用不够安全(网络、OS、DB)并没有将IT控制集成到关键的业务过程中去(SDCL、变更控制、符合性、测试和数据转换程序)缺乏对控制持续有效的校验过程(至少应该一个季度一次)没有对风险进行评估的长期策略,IT控制亟待解决的问题,SOX法案对IT的影响,背景介绍SOX法案简介SOX法案对I
24、T的影响COSO内部控制标准CobiT IT控制框架SOX符合性实施过程总结,1985年,由AICPA、AAA、FEI等机构共同赞助成立了全国舞弊性财务报告委员会,即tread-way委员会。COSO(Committee of Sponsoring Organizations of the Treadway Commission)是Tread-way委员会的赞助机构成立的私人性质组织,于1992年公布了内部控制整体框架(也被称作COSO框架);2004年3月9日,PCAOB发布了其第2号审计标准(“与财务报表审计相关的针对财务报告的内部控制的审计”),依据就是COSO内部控制框架,并于6月18
25、日经SEC批准;该标准关注对财务报告的内部控制的审计工作,以及这项工作与财务报表审计的关系问题;过去,内部控制仅是管理者考虑的事情,而现在审计师们要对内部控制进行详细的测试和检查;SEC对该标准的认同等于从另外一个侧面承认了COSO框架,这表明COSO框架已正式成为内部控制的标准。,COSO内部控制标准的由来,COSO内部控制标准,PCAOB的第2号审计标准中明确:管理层要依据一个适宜且公认的由专家群体遵照应有的程序制定的控制框架,来评估公司财务报告内部控制的有效性;在美国,这个适宜框架就是COSO框架。当然,其他国家也公布了一些适宜的框架,如加拿大的COCO框架、英国的Cadbury报告、国
26、际内部审计师协会(IIA)的SAC、信息系统审计与控制协会(ISACA)的Cobit等,都与COSO框架紧密相关;标准还指出,尽管不同的框架可能没有精确的含有与COSO一样的组成要素,但他们所含有的组成部分涵盖了COSO的所有常规主题。因此,如果管理层运用了区别于COSO的适宜框架时,审计师应以合理的方式标准中的概念和方针;也就是说,任何控制框架,只要满足PCAOB的标准,就可以被接受使用,但在审计标准的执行和报告格式上要基于COSO框架,因此也被称作COSO报告。,符合PCAOB审计标准的控制框架,COSO内部控制标准,COSO的核心内容,COSO内部控制标准,内部控制是为达到目标提供合理保
27、证而设计的过程:提供可靠财务报告;遵循法律法规;提高经营效率效果 COSO报告指出内部控制本身不是目的,而是实现目标的手段 三类目标:经营效率与效果(Operational efficiency and effectiveness)财务报告可靠(Financial reporting reliability)遵纪守法(Compliance with laws and regulations 五项要素:控制环境(Control environment)、风险评估(Risk assessment)、控制活动(Control activities)、信息与沟通(Information&Communi
28、cation)和监测(Monitoring),COSO框架的5项构成要素,COSO内部控制标准,背景介绍SOX法案简介SOX法案对IT的影响COSO内部控制标准CobiT IT控制框架SOX符合性实施过程总结,COSO只提供了一般性的指南,并没有特别针对IT风险管理和控制,因此,具体IT活动的实施还需要其他的补充标准作为指导 CobiT Control Objectives for Information and related Technology 是一套将IT与业务需求联系在一起的IT过程及控制框架 ISO/IEC17799:2000/BS7799 是实施信息安全管理的一套最佳实践 ISO
29、/IEC TR 13335 Guidelines for the Management of IT Security 专注于IT安全计划、实施和维护的话题 ITIL IT Infrastructure Library 是一套IT服务管理的最佳实践 BS-15000 其他(Common Criteria、SSE-CMM等),IT控制框架,CobiT IT控制框架,IT Considerations in Control Environment,Systems planningGovernanceEnterprise policiesOperating style,IT General Contr
30、ols,Systems Security/AccessChange ManagementSystem DevelopmentComputer Operations,Application Controls,AuthorizationConfiguration/account mappingException/edit reportsInterface/conversionSystem access,CollaborationInformation SharingCode of ConductFraud Prevention,IT控制组件,CobiT IT控制框架,将IT控制组件联系在一起,Co
31、biT IT控制框架,CobiT简介,CobiT IT控制框架,CobiT是由ISACA(Information Systems Audit and Control Association)在1996年公布的、目前在国际上公认的最先进、最权威的安全与信息技术管理和控制标准。CobiT是一套专供企业经营者、使用者、IT专家、审计员与安控人员来强化和评估IT管理和控制的规范。,CobiT架构的主要目的是为业界提供关于IT控制的一个清楚的政策和发展的良好的典范,这个架构共有34个IT程序,分成4个领域:PO(Planning&Organization)、AI(Acquisition&Implemen
32、tation)、DS(Delivery and Support)、和Monitoring,所有的程序中包含了302个控制目标,全都提供了最佳的施行指导。,CobiT立方体,CobiT IT控制框架,管理层看的是质量、信任或安全这样的特定的信息标准,IT经理考虑的是所负责的IT资源,而过程属主、IT专家及用户则更专注于特定的过程或者活动/任务。审计师希望从一个控制覆盖的观点来走近框架。,CobiT适应COSO框架,CobiT IT控制框架,PCAOB将COSO指定为标准控制框架 评估内控时,所有5个层次都必须考虑 不过,COSO并没有提供对IT控制的具体指导 CobiT是被广泛接受的IT控制框架
33、 CobiT提供了4个领域的IT控制,可以针对COSO的5个层次 沿着CobiT指引的路子,组织能够相信最终会满足COSO的要求 ITGI是在IT治理方面全球公认的领导者,2004年,ITGI(www.itgi.org)针对CEO/CFO证明的需要,为IT专家提供了一个指导:Sarbanes-Oxley;The importance of information technology in the design,implementation and sustainability of internal control,CobiT可以映射到COSO,CobiT IT控制框架,背景介绍SOX法案简
34、介SOX法案对IT的影响COSO内部控制标准CobiT IT控制框架SOX符合性实施过程总结,SOX成功之路,SOX符合性实施过程,Step1计划和范围,SOX符合性实施过程,理解财务报告过程,识别信息系统和要用到的相关资源 关键的考虑:范围内的系统 vs 范围外的系统 改进的机会 预防、识别和检测欺诈 关键的组件:财务报告过程(Financial reporting processes)启动(Initiating)记录(Recording)处理(Processing)报告(Reporting)交易类型(Classes of transactions)非例行的及系统化的(Non-routine
35、 and systematic),Step2执行风险评估,SOX符合性实施过程,识别与信息系统相关联的风险以及相关的IT资源(什么会出现问题?)关键的考虑:特定的风险区域 数据确认,数据转换,接口,管理报告,复杂或关键的运算,电子数据表 关键的组件:IT风险 质量和完整性故障 安全故障 可用性故障 风险评估 故障的可能性;对业务的影响,Step3识别重要的控制,SOX符合性实施过程,识别应用及一般性控制 关键的考虑:控制框架 CobiT 在过程级(process level)有12项主要的控制目标 针对实体级(entity level)的控制环境问卷 关键的组件:应用控制 嵌入到业务过程里 直
36、接支持财务声明 一般性控制 程序开发;程序变更;程序操作;访问控制,Step4文件化控制,SOX符合性实施过程,文件化控制过程,以便支持管理层的评估 关键的考虑:包含补偿性控制 对整个测试程序的影响 在文件中报告差距 充分支持管理层声明 关键的组件:过程描述 风险评估 控制目标 控制活动 控制测试 结论和改进计划,Step5评价控制设计,SOX符合性实施过程,控制的设计应该能够将出错风险减少到一个可接受的水平 关键的考虑:预防性 vs.检测性 自动的 vs.手工的 人、过程和技术 控制成熟度 控制被定义、管理、度量和重复 关键的组件:充分演示:设计控制用来预防或检测材料出错 断定测试被恰当施行
37、 测试结果被恰当评估,Step6评价运营效力,SOX符合性实施过程,对控制进行测试,确保其按照设计运营,并且在一段时间内持续有效 关键的考虑:运营时间段 vs.时间点 审计证据 单单询问是不够的 样本大小 必须充分 服务组织 SAS70 关键的组件:应用控制和一般性控制 可靠性:被在行的人执行 一致执行 恰当监视 及时跟进问题,Step7识别并改进不足,SOX符合性实施过程,识别薄弱点,在符合性期限到来之前加以改进并测试 关键的考虑:孤立的/手工的出错 vs.系统性出错 有效运营的时间段 是否执行了影响评估?以确定其对财务报告过程的重要性 如果观察到不足,可能需要重新追究控制设计或者运营 关键
38、的组件:对财务报表的影响 是否很不合理?出现的可能性 补偿性控制,Step8文件化过程和结果,SOX符合性实施过程,维护充分的证据,以支持管理评估过程 关键的考虑:材料的薄弱点 重要的不足 关键的组件:整个评估过程 考虑风险评估结果 披露所有已知的控制不足和薄弱点 包含对控制设计效力的评估,Step9建立持续性,SOX符合性实施过程,建立一个“卓越核心”模型,支持持续的符合性过程 关键的考虑:持续的改进过程 规则、途径和最佳实践 关键的组件:内部控制的持续效力 监视活动 变更管理 知识获取和共享,背景介绍SOX法案简介SOX法案对IT的影响COSO内部控制标准CobiT IT控制框架SOX符合
39、性实施过程总结,总结,总结,因为可靠的财务报告过程有赖于IT,所以,IT在SOX 404符合性努力过程中扮演着关键的角色;对许多组织来说,SOX可以简化为对现有责任的法律条文化。这些IT控制责任早已存在,不过,SOX可能要求进行额外的形式化,并且要求在文件化和测试方面做出努力 公司应该确保IT在SOX符合性努力中扮演主动的角色:参与符合性领导委员会 理解财务报告过程,就IT(应用、基础架构、安全等)的依赖性进行沟通 在确保财务报告过程具有充分控制方面,建立IT的角色 文件化IT风险及与财务报告过程相关的控制 定期测试控制,改进重要的不足 建立监视活动,以确保IT控制在特定时间内的效力,Q&A,?,?,
