IT应该如何遵从SOX法案?

赵鸿敬 2019-12-21 18:31:00

推荐回答

1、优化财务流程,完善财务应用系统在财务应用的基础上,要实现财务数据整合和统计分析,引进全面预算管理、KPI绩效管理、财务预警等模块,保证企业提供准确、完整、实时、真实的财务报告。2、是建立内部控制体系并引入内控管理信息系统SOX要求企业高管加强对内控程序和内控报告的责任,要求CEO和CFO能够证明年度和季度财务报告没有差错和遗漏现象,要求企业记录并检查企业的内部控制情况,揭露任何“严重弱点”,要求企业高层能够判断与业务过程相关的风险,以及这些风险对公司财务报告可能产生的影响。达到上述要求的核心内容首先是建立公司内部控制体系,美国“反对虚假财务报告委员会”的COSO包括控制环境、风险评估、控制活动、信息与沟通和监督五个要素,强调建立一系列的管理体制,加强公司的内部控制。IT是COSO实施的关键,应建立起遵从SOX的企业内控管理信息系统。内控管理信息系统至少应实现下述功能:能够创建和记录企业内部业务流程,使公司的CEO、CFO、员工和审计人员能够实时识别、分配、测试并监视内部控制与流程,确保业务流程根据内控标准执行。一旦系统发现任何违反行为,将向适当人员自动报警。能够收集并监视控制信息,使管理人员快速查看流程、组织、控制和风险的实时状态,提示管理人员注意控制目标是否实现。为了帮助企业更好地了解和跟踪风险,内控管理信息系统为企业建立一个能够与企业的每项业务过程相关联的风险库。一旦认识出潜在风险,内部控制管理系统能够允许企业设计控制以降低风险。3、加强IT控制SOX法案要求企业的内控活动,不论是人还是信息系统的操作流程都必须明白地定义并保存相关记录,对审计过程也有存档的要求。因此,对影响财务报告的信息系统的IT控制,也是SOX内部控制的核心组成之一。这就要求IT完善治理机制,进行IT内部控制和信息系统审计,以保证达到SOX对IT的基本要求。国际上已经形成一些较为完整的IT治理的规范,如ITIL信息技术基础结构库、COBIT信息和相关技术的控制目标、BS7799信息安全管理标准等。其中,COBIT是信息系统审计与控制协会提出的IT治理的控制框架。
车建丽2019-12-21 18:41:45

提示您:回答为网友贡献,仅供参考。

其他回答

  • 在这个SOX中关于IT审计过程中间,我们需要相关的像C-SOX安全一些策略也好,规范条例也好,真正实现这样一个安全控制和管理。IT控制在每一个公司中存在,至少是下面三个因素,像决策管理、商务流程和IT服务。决策管理是建立在实体上,就是人的因素上,如果在一个企业中,不管是IT部门的负责人,还是一个企业的CEO也好,高层管理人员,如果他们没有充分地认识到IT管理的安全,首先来讲,就决定在IT层面上将不可能真正做到一种安全。其次是商务流程,商务流程就是说我们因为是要通过我们这些系统,来给我们企业创造价值,IT永远是作为一个帮助企业的业务部门来实现自身价值的部门。所以通过商务上由于业务的需求,我们引进了很多商务软件,包括大型ERP系统,通过这样系统跟我们IT硬件相结合在一起,形成高效一个系统集成这样一个概念。IT服务这一块,除了日常的IT维护和管理等等,它来决定服务好坏,同样决定安全非常重要的因素。其实我们也看到这样一张图表,这包括了SOX法案所要遵循的部分,中间包括实体层控制,这也给大家解释过了。现在ITAC应用方面,就是我们讲大型系统。再往下最底层是我们ITGC一般应用控制,在这个控制中间我们简单成为系统开发、系统变更、运营管理、安全管理四大块,我常常比喻为是一个金字塔形的框架。在金字塔的底层是由ITGC来控制的,中间是应用程序控制方面,在塔尖一定是人的控制,通过这样一个搭建结构才能保证我们整个IT的在大型企业中,IT非常安全的控制。再用一个同样的图表来给大家解释一下,在我们ITAC和ITGC相近的关系,上面有一系列安全产品,这样搭建我们IT的基础安全措施,上面是我们常见的财务系统,不管是什么样的系统,它也应该是只有秉承安全的,上面才安全,上面是我们业务系统、采购系统、销售系统等等,我们财务相关接口实现有效的管理。再往上我们可以看到通过一系列这样的流程,最后我们呈现这份财务报表,为什么在说到C-SOX当中大家说我们需要做IT安全,在整个《萨班斯法》并没有说到IT审计,但是在我们日益们上市公司做审计的时候面临财务审计,基于这样的原因,在ITGC大概控制点,这是AC准确、完整、授权职责分离。这是ITGC和ITAC关系的图表,首先从信息管理和人事结构,这是一个公司,其次是上升到人的,在有是整个公司的管理,凭险评估,再就是流程层面评估,分为早期,系统与数据所有者,包括业务有关数据控制等等。
    齐敦苏2019-12-21 18:57:48

相关问答