薩班斯法案下公司會計信息系統(tǒng)的內(nèi)部控制

1、各抒己見薩班斯法案下公司會計信息系統(tǒng)的內(nèi)部控制張清范蔚文一、會計信息系統(tǒng)內(nèi)部控制建設(shè)對中國聯(lián)通的意義中國聯(lián)通作為在上海、香港和美國三地上市的公司,根據(jù)薩班斯法案要求從2006年開始要嚴格遵循索克斯法案規(guī)定。公司管理層要披露與財務(wù)報告相關(guān)的內(nèi)控評價報告;外部審計師要對管理層披露發(fā)表驗證報告,并對公司內(nèi)控的有效性發(fā)表獨立評價報告。這些評價結(jié)果直接影響到公司在資本市場的形象和價值,甚至影響到消費者對公司的認可程度。同時,公司的持續(xù)健康發(fā)展,也迫切需要建立起一整套科學、有效的內(nèi)部管理機制。會計信息系統(tǒng)內(nèi)控是公司整體內(nèi)控的重要組成部分,是通過薩班斯法案404條款外部審計必不可少的重要內(nèi)容。會計信息系統(tǒng)就

2、是用計算機信息技術(shù)代替了人工記賬、算賬、報賬,以及替代部分由人工完成的對會計信息的分析和判斷的過程。會計報表的完整性極大地依賴于系統(tǒng)中傳輸?shù)男畔⒌耐暾?、準確性和及時性。另外,財務(wù)報表認定的自動控制直接取決于相關(guān)應用程序以及為應用程序提供支持的信息技術(shù)基礎(chǔ)設(shè)施的穩(wěn)定和正常運行。因此,公司應當加強會計信息系統(tǒng)工作,并對其工作流程進行有效控制。本文結(jié)合中國聯(lián)通依據(jù)法案的要求構(gòu)建會計信息系統(tǒng)內(nèi)控,并保證其持續(xù)健全有效,以確保財務(wù)信息真實性,從而支持CEO和CFO的承諾進行初步探討。二、中國聯(lián)通的會計信息系統(tǒng)的內(nèi)部控制主要內(nèi)容前期工作1、基于內(nèi)外部發(fā)展形勢的需要,自2004年開始,中國聯(lián)通就按照美國財

3、COSO框架的要求開始完善公司內(nèi)控制度,圍繞經(jīng)營的效益及效率性、務(wù)信息真實性和法律法規(guī)遵循性目標,全面實施內(nèi)控建設(shè),切實防范和控制經(jīng)營風險。業(yè)務(wù)流程為實施會計信息系統(tǒng)內(nèi)部控制建設(shè),公司首先對會計政策、進行全面梳理,制定了統(tǒng)一的會計政策、會計制度、會計文檔,實現(xiàn)會計信息系統(tǒng)的統(tǒng)一升級,同時對報表生成、報送軟件也通過系統(tǒng)建設(shè)實現(xiàn)統(tǒng)一規(guī)范,并最終形成統(tǒng)一的會計信息系統(tǒng)內(nèi)控規(guī)范。明確職責分工2、公司明確規(guī)定信息化部門是系統(tǒng)的維護建設(shè)歸口管理部門,財務(wù)部門是用戶部門,在保證系統(tǒng)正常安全運行過程中各自承擔的職責。會計信息系統(tǒng)崗位一般包括:系統(tǒng)所有者、系統(tǒng)開發(fā)/變更審批人、程序開發(fā)/變更安全管理員、應用系統(tǒng)

4、管理員、數(shù)據(jù)庫人員、程序驗收/上線/割接人員、最終用戶。按照信息系統(tǒng)總體控制規(guī)范職責分管理員/操作系統(tǒng)管理員、工管理標準落實不相容崗位職責,具體如下表所示:信息系統(tǒng)總體控制規(guī)范職責分工管理標×準系統(tǒng)開程序開發(fā)系統(tǒng)程序驗收/上線/割接人員應安全系管理員用統(tǒng)數(shù)據(jù)庫管理員/操作系統(tǒng)管理員最終用戶備注所有者發(fā)/變更審批人/程序變更人員管理員系統(tǒng)所有者系統(tǒng)開發(fā)/變更審批人程序開發(fā)/程序變更人員程序驗收/上線/割接人員安全管理員應用系統(tǒng)管理員數(shù)據(jù)庫管理員/操作系統(tǒng)管理員最終用戶××××××××××

5、×××××表明此兩個職責如果由同一個人執(zhí)行,就會有潛在風險存在。會計信息系統(tǒng)訪問安全控制3、對會計信息系統(tǒng)操作權(quán)限和操作規(guī)范、信息使用、信息管理進行明確規(guī)定,建立賬號審批制度,形成分工牽制的控制形式,如出納人員不得兼任電算化系統(tǒng)管理員,不得兼任記賬憑證的審核和數(shù)據(jù)錄入制單工作;數(shù)據(jù)錄入員(財務(wù)制單),不得進行復核操作等。對于發(fā)生崗位變化或離崗的用戶,及時調(diào)整其在系統(tǒng)中的訪問權(quán)限。財務(wù)負責人或經(jīng)授權(quán)的人員需定期對系統(tǒng)中的賬號進行審閱,避免有授權(quán)不當或冗余賬號存在。利用系統(tǒng)自身提供的安全性能,設(shè)置安全參數(shù),40審計與理財2007.7以加強系統(tǒng)訪問安

6、全。定期檢測系統(tǒng)運行情況,及時進行計算機病毒的預防檢查工作。按照信息安全管理規(guī)范中數(shù)據(jù)密級分類標準對數(shù)據(jù)密級進行分類設(shè)定,明確涉密崗位人員名單。要求操作人員在權(quán)限范圍內(nèi)進行操作,不得利用他人的口令和密碼進入系統(tǒng)。更換操作人員或密碼泄密后,須及時更改密碼,每操作人3個月必須對密碼進行更換。員離開工作現(xiàn)場,必須退出已運行的程序,防止其他人員越權(quán)操作。硬件管理4、會計信息系統(tǒng)硬件設(shè)備統(tǒng)一放置在信息化部機房管理,指定專人負責管理和檢查,其他任何人未經(jīng)授權(quán)不得接觸系統(tǒng)硬件設(shè)備。硬件設(shè)備的更新、擴充、修復等工作需由相關(guān)人員提出申請,報上級主管負責人審批。未經(jīng)允許,不得擅自拆裝硬件設(shè)備。會計信息系統(tǒng)開發(fā)、變

7、更和5、維護控制公司指定信息化部門對會計信息系統(tǒng)實施歸口管理,負責系統(tǒng)開發(fā)、變更、運行、維護等工作。開發(fā)系統(tǒng)時考慮業(yè)務(wù)和信息的集成性,優(yōu)化流程,將相應的處理規(guī)則嵌入到檢查、糾正錯系統(tǒng)程序中,以預防、誤和舞弊行為,確保會計信息系統(tǒng)數(shù)據(jù)的真實性、合規(guī)性。倡導全體財務(wù)人員積極參與系統(tǒng)建設(shè),正確理解和使用系統(tǒng),提高系統(tǒng)運作效率。對涉及新舊會計信息系統(tǒng)切換的情形,在上線計劃中明確系統(tǒng)回退計劃,保證新系統(tǒng)一旦失效,能夠順利回退到原來的系統(tǒng)狀態(tài);如涉及數(shù)據(jù)遷移,需制定詳細的遷移計劃,財務(wù)部門積極參與數(shù)據(jù)遷移過程,對數(shù)據(jù)遷移結(jié)果進行測試并簽署測試報告。系統(tǒng)在投入使用前應至少完成整體測試和用戶驗收測試,以確保系

8、統(tǒng)的正常運轉(zhuǎn)。上線后發(fā)生的系統(tǒng)源代碼等方面的變更,應參照系統(tǒng)開發(fā)的審批和上線程序執(zhí)行。對正在使用的會計信息系統(tǒng)進行修改、升級和對硬件進行更換時,需通過書面審批流程,并采取替代性措施確保會計數(shù)據(jù)的連續(xù)性。會計信息系統(tǒng)的會計檔案管理6、會計信息系統(tǒng)的會計檔案主要是存儲在計算機硬盤或其他磁性介質(zhì)會計賬或光盤存儲和打印出來的書面等形式的會計數(shù)據(jù),包括記賬憑證、簿、會計報表等數(shù)據(jù)。公司指定專人負責電算化會計檔案的管理,做好防消磁、防火、防潮和防塵等工作;建立數(shù)據(jù)信息定期備份制度和數(shù)據(jù)批處理或?qū)Υ判越橘|(zhì)存放的數(shù)據(jù)進行實時處理的處理前自動備份制度(交易日志)。雙備份,在遠離計算機設(shè)備和操作的地方保存一套備份

9、和交易日志。三、會計信息系統(tǒng)內(nèi)部控制持續(xù)有效的保障機制要滿足薩班斯法案要求,實現(xiàn)長效機制,在做好會計信息系統(tǒng)內(nèi)部控制建設(shè)的同時,還必須落實好后續(xù)的維護保障機制,這樣才能真正構(gòu)建一套系統(tǒng)化、標準化、可審計、可持續(xù)改進的會計信息系統(tǒng)內(nèi)部控制體系。建立良好的內(nèi)部控制環(huán)境1、建立反舞弊機制和加強職業(yè)道德行為規(guī)范教育,防止個人與公司經(jīng)濟利益沖突,防止不正確業(yè)績觀驅(qū)使虛假報告。提高全體員工的風險識別和控制能力,建立和維護安全可靠的財務(wù)信息系統(tǒng)控制,培養(yǎng)和考核員工自覺履行內(nèi)控職責的工作勝任能力。建立風險評估機制2、設(shè)立風險評估組織(委員會)和日常管理機構(gòu),定期(中期、年度)組織控制缺陷既預見的未來對現(xiàn)有風險

10、管理狀況進行評估,分析其剩余風險、風險揭示將有哪些風險,根據(jù)評估揭示的風險,針對不同風險分別設(shè)計出相關(guān)控制措施和可接受的風險控制目標,組織制度的完善和按設(shè)計的控制措施監(jiān)督實施。建立良好的信息溝通環(huán)境3、在廣泛的范圍內(nèi)進行有效的溝通,包括自上而下、機構(gòu)內(nèi)部及自上而下的溝通。管理層必須清楚的告知所有員工他們必須嚴格執(zhí)行的各自內(nèi)控職責。員工必須理解他們在內(nèi)控系統(tǒng)中的職責以及他們自身的活動與其他人的工作之間的互動關(guān)系,并使得員工能夠各行其責。加強會計信息系統(tǒng)內(nèi)控的內(nèi)部審計監(jiān)督4、內(nèi)部審計既是公司內(nèi)部控制系統(tǒng)的重要組成部分,也是強化內(nèi)控監(jiān)督的制度安排。根據(jù)薩班斯法案相關(guān)的條款要求有足夠的證據(jù)證明內(nèi)部控制

11、的有效性,通過內(nèi)部審計檢查企業(yè)是否有完善的內(nèi)部控制流程及審計軌跡,在控制發(fā)揮作用的同時是否形成相應的文檔記錄(如財務(wù)系統(tǒng)賬號申請審批表、系統(tǒng)帳號權(quán)限檢查表等)。通過對會計資料定期進行內(nèi)部審計,審查會計信息系統(tǒng)賬務(wù)處理是否正確,是否遵照會計法及有關(guān)法律、法規(guī)的規(guī)定,審核費用簽字是否符合有關(guān)內(nèi)控制度,憑證附件是否規(guī)范完整等;審查電子數(shù)據(jù)與書面資料的一致性,對不妥或錯誤的賬表處理合法性,防止發(fā)生應及時調(diào)整并有書面記錄;監(jiān)督數(shù)據(jù)保存方式的安全、非法修改歷史數(shù)據(jù)的現(xiàn)象;對系統(tǒng)運行各環(huán)節(jié)進行審查,防止存在漏洞。五、結(jié)束語隨著中國企業(yè)會計準則及內(nèi)部控制規(guī)范的國際趨同,建立完備的符合國際標準的內(nèi)部控制將是國內(nèi)廣大企業(yè)適應現(xiàn)代企業(yè)制度建設(shè)和經(jīng)濟全球化對會計工作的新