2005年中国公司治理暨IT治理年会（G2峰会）-会议介绍-会议序言

首页

会议报道

原文

演讲主题：符合 SOX 的 IT 内部控制与 IS 审计

演讲者： ITGov内控专家国资委全面风险管理专家组成员 孟秀转

大家下午好，我今天给大家分享的题目就是《符合萨班斯法案的 IT 内部控制与 IS 审计》。今天我跟大家讨论的话题有四个方面。

一个是萨班斯 IT 的内部控制目标，我们要看一下萨班斯法案对我们 IT 部门或者是对我们管理部门提出了哪些内部控制的要求，特别是对 IT 的控制目标的要求。第二我给大家介绍一下萨班斯内部控制的审计标准。因为我们的控制目标做的怎么样，我们的控制措施设计的是否恰当，我们执行的是否有效，我们需要有审计来给我们做一个评价，在这个评价的基础上我们可以找到我们的弱项，以便于我们弥补。因为符合萨班斯的过程是一个持续的过程，而且这个内部控制受他固有的限制，也不可能一开始就很完美，需要不断的完善它。第三个就是符合萨班斯的信息系统审计工具与审计流程。有了内控审计的标准，接下来我们用什么样的审计工具可以对我们的内部控制给予一个恰当的评价，这个可能是企业的高端人员非常关注的问题。因为萨班斯法案出台以后，要求企业的高管人员对内控的有效性做一个评价。所以管理者也非常需要有这样一套审计的工作和流程，以帮助他们对自己做一个相对客观的评价。最后一部分我希望跟大家分享一个审计案例。我们先看一下符合萨班斯的，对于我们企业内控来讲增加了哪些责任。萨班斯 404 条款给我们增加了更多的责任，这个责任在管理层方面是负责财务报告内部控制的有效性。那么内部控制的建设和完善是管理层的责任，不可能有任何第三方来替你承担责任。管理层要求萨班斯法案每年都对自己企业的与财务报告有关的有效性做一个确定。那么对于审计师来讲，我们就是对管理当局的认定做一个再评价，那么审计师要负责鉴定管理层对财务报告有关报告对财务控制的有效性。所以必须在发布财务报告审计的过程中，发布一个与财务报告有关的内部控制有效性的审计报告。那么面对 404 条款这样一个强加在管理层和审计师的责任，我们应该怎么样去构建符合萨班斯要求的内控环境呢？我们 PCUB 在审计的标准建议里面，就是我们在评价一个企业的内控是否完善的时候要遵守一个 COSO 控制标准。所以我们看一下萨班斯和 COSO 的关系，这个是美国注册会计师协会的一个审计准则针对萨班斯提出的理解。就是与萨班斯有关的内部控制评价要求只是与财务报告有关的内部控制。关于合法合规和运营实务不在范围之内。但是因为萨班斯对企业的整体经营有一个广泛的影响，所以我们把有关企业的风险控制也纳入了这个萨班斯的考虑之内。那么萨班斯和我们的 IT 控制有什么关系呢？萨班斯对于 IT 的要求我们可以通过这个图来看一下，我们就可以深刻的体会到萨班斯为什么对 IT 管理者提出了更高的要求。我们看现在进入到了信息时代，企业的信息化水平都非常高。我们看一下我们的财务应用，还有我们整个的交易和业务，以及我们报告的产生，即是我们 IT 的基础架构的服务。你要保证你的财务报告的有效，就不可能忽略 IT 的内部控制。那么 IT 的内部控制里面，因为 COSO 框架里面缺少对 IT 内部控制的关注。所以国际上关于 IT 的内控基本上是采用美国信息系统审计与控制协会的 Cobit 标准。那么我们看一下这个 COSO 框架和 Cobit 是否可以整合。 COSO 提出了五个要素的框架要求，就是我们在 IT 部门要求里面，如果采用 Cobit 要求的话是符合 COSO 的要求的。那么除此之外，这些控制框架可以帮助我们企业去建立和完善与 IT 有关的内部控制目标，和你的控制活动的设计。这些框架我列了一个表希望和大家分享一下，一个就是我刚才讲的 Cobit ，管理者和最终用户还有审计师是比较支持这个应用的。他们是把内控流程化的。另外他把每一个流程当中所涉及到的组织结构都有明确的规范。他的整个体系构成把 IT 的生命周期划分为四个构成要素。 BS15000 是一个 IT 服务领域，因为 IT 除了建设以外，更长时期是支持我们企业的运营，使得我们财务报告的数据能够真实合法，并且是完整、安全的。所以这个 BS15000 就是关于运维过程当中的管理控制的框架。这个框架会成为 ISO20000 的一个标准，他的特点就是在 IT 支持业务的当中，产生一系列的标准化的可审计的流程和程序。他最大的特点就是你要遵守 BS15000 ，你的流程必须是可审计的。另外还有就是 BS7799 。这个是关于信息安全的一个标准，这个他也是一个标准化的可审计的流程。主要是有 10 个管理要项， 36 个执行目标，和 127 个详细的控制目标。这个市关于安全方面的。他的安全是机密性和可用性。就是萨班斯对我们财务报告的要求还有一个实时性。那么当审查人需要的时候你要能马上可以提供数据报表。同时 Cobit 还有 BS15000 本身就是一个审计流程。那么 Cobit 里面与萨班斯 404 条款有关的流程这些。这些控制流程分布在不同的领域，这个是根据 PCOB 指导的就是在审萨班斯 404 控制项目的时候关于 IT 的部分怎么审。一个是应用控制，一个是一般控制。那么一般控制又分四个方面。那么这四个方面就可以从 Cobid 当中找到相应的控制目标。下面给大家说一下内部审计的标准。这个 PCOB 为了解决 404 条款的内部控制审计，出台了一个审计标准二，这个是关于内部控制审计的标准。那么这个标准要求审计师在执行财务报告审计的时候，要对财务报告有关的内部控制进行审计。这个审计主要是用来给管理层和审计师提供内控评价的指导。那么关键的一些问题就是要知道管理层和外部审计师确定审计的范围。怎么样做产品测试，测试多少，还有就是审计委员会的职能发挥的如何，以及定义了重要缺乏和实质性缺陷。如果存在一个实质性的缺陷的话必然要出否定意见的审计报告。什么算是控制缺陷？控制缺陷主要是指我们在做内控设计和执行的时候，没有考虑到公司那个人员来做同样的工作的时候，都有标准化的流程和依据。这样无论是人员更替也好，最终经过标准化的流程，产生的结果是一个标准的结果。能够及时的防止财务报告发生错漏。如何我们在设计的时候没有考虑到人员可以标准化的执行，这就是一个控制缺陷。因为张三可能很严肃很认真，这样时候也很在工作状况他就可以控制得很好。如果换一个人就不行。这个就是控制缺陷。那么重要的控制缺陷会导致年终你的财务报告出现错漏的可能性明显的高于最低你所能够容忍的水平，这个就是重要缺陷。那么实质性缺陷可能有多个重要缺陷，也可能财务报告出现的重大错漏报的可能性更高。并且这个重大错漏报没有被内部控制发现，并且防止。那么评价控制缺陷的时候我们要考虑到重要性水平。并不是所有的控制缺陷都在我们的考虑范围内，因为我们的控制是有成本的，所以我们要考虑到对我们影响最大的。那么重大的缺陷就可能是会计政策的选择上有问题，还有反欺诈的控制等等。还有非常规的事项发生的话，我们能否很好的评估。那么实质性缺陷就是一旦出现一个实质性缺陷就会出一个内部控制否定评价的审计报告。那么什么样是实质性的缺陷呢？这里给大家举了一下例子，像审计委员会的监控无效，高层舞弊，没有定期沟通重要缺陷，控制环境无效等等都属于实质性的缺陷。接下来我们看一下符合萨班斯的审计共聚合审计流程。刚才我们介绍了审计标准，我们在做审计的时候就要遵照这个标准来审计。那么我们在审计的过程当中怎么样审。因为审计和内部控制之间的关系通过这个图表大家可以看到，我们的甚至工作是要进一得检查我们的控制目标是否实现。那么我们的审计目标是根据我们的控制目标所决定的。所以我们审计的工作是要先看你的控制和控制目标。针对你的控制目标来确定我的审计目标，然后我们的审计是审我们的控制活动，审我们的控制设计。关于 IT 这样部分我们的控制目标是应用 COSO 和 Cobit 等等。我们以 Cobit 为例，他关于安全、运维、组织规划都有。但是在运维的过程当中没有 BS15000 更详细，在安全方法没有 BS7799 更详细更规范。那么我们的审计流程就是首先要了解并且进行记录，在这个基础上评价内部控制。这个评价主要是考虑有没有必要做控制测试，控制测试以后我们要做实际性测试来确保我们的内控实际水平。那么我们需要了解什么内容呢？怎么样去做初步的评价和控制的设计，怎么样做复合测试就不给大家详细讲了。最后一个就是审计案例，这是一个关于数字化资产的保护。因为我国目前也越来越关注这块，特别是银行业。这个数字化资产保护我们要审这个企业，假如说银行现在已经实施了，你数字化资产保护的怎么样。做这个审计我们怎么样找相应的控制目标和控制流程，我们就从 Cobit 的四个域里面找与数字化保护有关的流程。我们首先找到控制流程所涉及到的问题，这样我们就可以确定访谈对象。还有控制程序当中应该包含哪些，他有没有做到。我们需要评价哪些部分，还有与数据流有关的弱点在哪。这些都是我们要做的。那么所有的流程评价以后，我们就可以给他一个总体的审计意见。那么我们做一个总结，就是萨班斯的 IT 控制和审计这部分，我们认为一定要在高管层内有一个统一的认识。不要认为 IT 是 IT 的事，业务是业务的事，人为的把两者割裂起来。而我们的业务是建立在 IT 基础上运营的，所以我们要把它作为一盘棋考虑。还有一个就是我们建议在构造你的内部构造框架的时候，因为现在很多的企业都走向国际化。所以希望大家在构建内部框架的时候要注意自己的标准。另外还要注意标准的审查流程。这些就是今天我和大家分享的。谢谢各位。