掃碼下載APP
及時(shí)接收最新考試資訊及
備考信息
安卓版本:8.7.50 蘋(píng)果版本:8.7.50
開(kāi)發(fā)者:北京正保會(huì)計(jì)科技有限公司
應(yīng)用涉及權(quán)限:查看權(quán)限>
APP隱私政策:查看政策>
HD版本上線:點(diǎn)擊下載>
為符合SOX法案第404條款的要求,相關(guān)公司在IT治理的改善上做了很大的努力,主要表現(xiàn)在IT一般性控制和應(yīng)用系統(tǒng)/業(yè)務(wù)流程層面的自動(dòng)控制的改進(jìn)。
所謂IT一般性控制,包括IT的控制環(huán)境、對(duì)程序和數(shù)據(jù)的訪問(wèn)、程序開(kāi)發(fā)、程序變更和計(jì)算機(jī)日常運(yùn)作和最終用戶計(jì)算環(huán)境。而應(yīng)用系統(tǒng)/業(yè)務(wù)流程層面的自動(dòng)控制則主要和應(yīng)用系統(tǒng)的功能特點(diǎn)相關(guān),并和IT治理間接相關(guān)。這些合規(guī)性的實(shí)踐,極大地豐富了IT治理實(shí)踐的內(nèi)容。
筆者結(jié)合自身的工作實(shí)踐,提出下列體會(huì)供探討。
SOX法案第404條款合規(guī)性實(shí)踐提出了一種檢驗(yàn)IT治理成效的方法
總的說(shuō)來(lái),IT治理是一種高層次的理念,比較理論化,衡量IT治理的成熟度模型所采用的指標(biāo)大都是定性指標(biāo)而非量化的指標(biāo)。因此IT治理成效難以得到合理的判斷和認(rèn)可。
不過(guò)近年來(lái)SOX法案第404條款的合規(guī)性實(shí)踐,展示了改善IT治理和判斷IT治理成效的一種有效方法。雖然SOX法案第404條款合規(guī)性的要求有其特有的局限性,因?yàn)槠渲饕P(guān)注的是和財(cái)務(wù)報(bào)告相關(guān)的信息系統(tǒng),但是由此產(chǎn)生的方法論和合規(guī)性實(shí)踐,對(duì)IT治理的理論發(fā)展和實(shí)踐很有借鑒意義。
公司IT治理的一個(gè)重要部分是IT的一般性控制,其中包括IT控制環(huán)境、對(duì)程序和數(shù)據(jù)的訪問(wèn)、程序開(kāi)發(fā)、程序變更、計(jì)算機(jī)操作和最終用戶計(jì)算環(huán)境等領(lǐng)域。在SOX法案第404條款的合規(guī)性實(shí)踐中,上述領(lǐng)域的IT一般性控制已經(jīng)被發(fā)展成非常具體的控制要求了。
SOX法案第404條款要求的IT一般性控制的合規(guī)性實(shí)踐往往采用下列的方法。
首先是做一次IT一般性控制的現(xiàn)狀分析。然后參照COBIT的要求建立公司的IT控制目標(biāo)以便進(jìn)行差距分析,并在此基礎(chǔ)上找出和確定能涵蓋這些控制目標(biāo)的IT一般性控制的關(guān)鍵控制點(diǎn)。
每個(gè)關(guān)鍵控制點(diǎn)的控制活動(dòng)都被清晰地描述和文檔化,同時(shí)這些控制活動(dòng)還必須具備可操作性和可檢驗(yàn)性,最終形成所謂的IT控制矩陣(IT Control Matrix)。
相關(guān)公司都必須完成一整套與IT控制相關(guān)的文檔,即所謂的SOX法案合規(guī)性文檔,如IT政策、IT控制矩陣、IT控制活動(dòng)描述、IT控制的測(cè)試方法等。隨后通過(guò)細(xì)致扎實(shí)的工作落實(shí)已被確定的IT控制點(diǎn),從而使IT控制得到貫徹實(shí)施。
根據(jù)SOX法案第404條款的要求,管理層必須每年對(duì)這些控制點(diǎn)進(jìn)行測(cè)試和評(píng)估,對(duì)測(cè)試得出的控制缺陷,則需要增設(shè)補(bǔ)救和改進(jìn)措施,并再次測(cè)試。如果在規(guī)定的期限內(nèi),控制缺陷還是不能得到改正,外部審計(jì)師將根據(jù)情況,針對(duì)控制缺陷和程度發(fā)表審計(jì)意見(jiàn)。
筆者從相關(guān)工作中體會(huì)到,將相關(guān)的IT控制措施文檔化并加以實(shí)施,再加上對(duì)IT控制進(jìn)行測(cè)試和控制缺陷的補(bǔ)救改進(jìn)工作,這可以在很大程度上將公司IT治理落到實(shí)處。
確認(rèn)公司的IT控制目標(biāo)是落實(shí)公司IT治理架構(gòu)的重要基礎(chǔ)工作
在SOX法案第404條款的合規(guī)性實(shí)踐中,很多公司以COBIT為參照標(biāo)準(zhǔn),根據(jù)其具體情況確定必要的IT控制目標(biāo)。由于在美國(guó)上市的公司分布在不同行業(yè),公司的規(guī)模相差懸殊,信息系統(tǒng)的應(yīng)用范圍也有很大的不同,故對(duì)不同的公司而言,在合規(guī)性的要求下要實(shí)現(xiàn)的IT控制目標(biāo)的范圍有很大的差異。
公司要實(shí)現(xiàn)的IT控制目標(biāo),與公司IT應(yīng)用的情況和公司的IT管理運(yùn)作方式有關(guān)。在確定了要實(shí)現(xiàn)的IT控制目標(biāo)后,接下來(lái)就是要發(fā)現(xiàn)和確認(rèn)相關(guān)的IT控制點(diǎn)和控制活動(dòng)。實(shí)現(xiàn)任何一個(gè)IT控制目標(biāo)可能需要一個(gè)或多個(gè)相關(guān)的控制點(diǎn),這取決于控制目標(biāo)的要求和控制點(diǎn)的控制方式。以上工作的結(jié)果可以產(chǎn)生所謂的IT控制目標(biāo)矩陣或IT控制矩陣。
確認(rèn)公司的IT控制目標(biāo)是落實(shí)公司IT治理架構(gòu)的一個(gè)重要基礎(chǔ)工作。在此基礎(chǔ)上制定合理的IT控制矩陣是一項(xiàng)很重要的工作,它對(duì)落實(shí)公司IT治理架構(gòu)和SOX法案第404條款的合規(guī)性實(shí)踐有很大的實(shí)踐意義,整個(gè)合規(guī)性活動(dòng)的工作量,也與此密切相關(guān)。
定期測(cè)試IT控制活動(dòng)的有效性是檢驗(yàn)公司IT治理成效的試金石
在SOX法案第404條款的合規(guī)性實(shí)踐中,對(duì)IT控制活動(dòng)進(jìn)行定期測(cè)試是重要的一環(huán)。IT控制活動(dòng)的測(cè)試分為管理層的自我評(píng)估測(cè)試和外部審計(jì)師的合規(guī)性審計(jì)測(cè)試。
無(wú)論是上述何種測(cè)試,都將根據(jù)IT控制活動(dòng)發(fā)生的頻率,決定樣本的大小,并對(duì)抽取的樣本按照設(shè)計(jì)的測(cè)試步驟進(jìn)行測(cè)試。IT控制的設(shè)計(jì)有效性和運(yùn)行有效性二個(gè)方面將被分別測(cè)試。
按照重要性原則,公司屬下的分公司、子公司或者分支機(jī)構(gòu),將會(huì)有選擇地接受測(cè)試。這樣的測(cè)試,一般每年進(jìn)行一次,公司的管理層和公司的外部審計(jì)師都將為測(cè)試付出很大的努力。
任何被檢測(cè)出的IT控制缺陷,需要在規(guī)定的期限前改正和接受再測(cè)試??刂迫毕萑绻荒茉谝?guī)定的期限前通過(guò)改正和測(cè)試,外部審計(jì)師會(huì)發(fā)表相應(yīng)的審計(jì)意見(jiàn)。因此可以說(shuō),定期測(cè)試IT控制活動(dòng)對(duì)公司的IT治理的落實(shí)和改進(jìn)有極大的幫助,是檢驗(yàn)公司IT治理成效的一個(gè)試金石。
安卓版本:8.7.50 蘋(píng)果版本:8.7.50
開(kāi)發(fā)者:北京正保會(huì)計(jì)科技有限公司
應(yīng)用涉及權(quán)限:查看權(quán)限>
APP隱私政策:查看政策>
HD版本上線:點(diǎn)擊下載>
官方公眾號(hào)
微信掃一掃
官方視頻號(hào)
微信掃一掃
官方抖音號(hào)
抖音掃一掃
Copyright © 2000 - jnjuyue.cn All Rights Reserved. 北京正保會(huì)計(jì)科技有限公司 版權(quán)所有
京B2-20200959 京ICP備20012371號(hào)-7 出版物經(jīng)營(yíng)許可證 京公網(wǎng)安備 11010802044457號(hào)