一.审计的定义
审计是指有胜任能力的独立机构或人员接受委托或授权,对特定经济实体的可计量的信息证据进行客观地收集和评价,以确定这些信息与既定标准的符合程度,并向利益相关者报告的一个系统的过程。
一个完整的审计过程一定包括以下要素:
审计主体:“独立机构或人员”
审计关系:“接受委托或授权”
审计对象:“可计量的信息”
审计依据:“既定标准”
审计工作:“客观地收集和评价证据”
审计目标:“确定这些信息与既定标准的符合程度,并向利益相关者报告”
审计过程:“系统的过程”-遵循逻辑顺序、结构严密的活动。
审计的性质:独立、客观
二.SOX的起源及影响:
2001年,由于安然、世通事件,美国500强中的前几名公司一下子轰然倒塌,这使得全球的投资者对美国的资本市场都产生了怀疑,在这种情况下,美国以最快的速度、最坚定的决心,开始实施《公众公司会计改革和投资者保护法》(以下简称《萨班斯法案》)。
美国出台《萨班斯法案》,以一部法案将公司治理的风险转嫁到上市公司的执行经理人身上,主要是公司的CEO、CFO,还有外部的中介机构、会计师、律师等。
简单地讲,萨班斯法案是一部由美国颁布,涉及会计职业监管、公司治理、证券市场监管等方面改革的重要法律,包括在美国注册上市公司和在外国注册而于美国上市的公司,都必须遵守该法案。
《萨班斯&奥克斯利法案》的主要要求:
法案共分为11个部分,由若干个独立的章节组成。该法案主要强化了上市公司财务信息批露义务,加大了公司的财务报告责任;要求公司进行管理体制的改革,建立有效的内部控制体系;加重了违法行为的处罚措施,明确严重的违法所适用的刑法;强调并加强了审计委员会的角色和独立性;提出了更多的关于审计师独立性的约束。其中对有限公司有重大影响的主要是第302节、第906节和第404节。
1)第302节
要求公司的CEO和CFO在财务报告上签字,保证财务报告不存在重大错报、漏报,在所有重大方面公允地反映公司在该报告期末的财务状况及该报告期内的经营成果。同时要求CEO、CFO对相关批露的内部控制有效性进行评价。
2)第906节
明确规定上市公司管理层对舞弊和欺诈负有刑事责任。
3)第404节
404节核心内容是严格界定了上市公司管理层对公司内部控制需承担的责任和义务。
a)公司的年报中增加管理层关于公司内部控制情况的报告。该报告包括:明确阐明公司管理层有责任建立和保持一套完整的与财务报告相关的内部控制系统和程序;管理层应对财务年度期末与公司财务报告相关的内部控制系统及程序的有效性做出评价。公司全体管理层对报告负责。
b)公司外部审计师对管理层的内控报告出具鉴证报告。
为应对第404条款的要求,首先需要开展与财务报表相关的公司内部控制项目。
由于财务报告及其相关的内部控制流程都依赖信息技术的重要支撑,因此需要加强相关的信息技术控制,以满足第404条款的要求。特别是在业务流程高度依赖IT系统支撑的电信与金融行业,重视信息技术控制、完善信息技术控制对满足监管机构要求和企业自身发展都至关重要。
同时在SOX中提到了主要控制IT控制点,如信息安全、业务的流程、数据的备份及灾难恢复。
SOX的基本条文非常简单,于是推荐了COSO等一些控制措施框架,在COSO的框架中有一半是和IT直接相关的。
三、IT审计:
随着全球信息化和审计理论的发展,信息系统审计逐渐引起人们的关注。IT风险已逐渐成为组织的重要风险,随着IT技术的快速发展与应用的深入,企业对IT系统的依赖性越来越强的同时,面临不断增多的系统薄弱性和各种各样的威胁,在全球加强行业监管和内部控制的趋势中,IT越来越充当重要角色,IT不仅要为业务的风险控制提供保障环境,而且其自身的风险控制也倍受关注。
国际信息系统审计协会(ISACA)规定了信息系统审计主要内容:1.信息系统审计程序。依据信息系统审计标准、准则和最佳实务等提供信息系统审计服务,以帮助组织确保其信息技术和运营系统得到保护并受控;2. IT治理(信息技术治理)。确保组织拥有适当的结构、政策、工作职责、运营管理机制和监督实务,以达到公司治理中对IT 方面的要求;3.系统和基础建设生命周期管理。系统的开发、采购、测试、实施(交付)、维护和(配置)使用,与基础框架,确保实现组织的目标;4. IT 服务的交付与支持。IT 服务管理实务可确保提供所要求的等级、类别的服务,来满足组织的目标;5. 信息资产的保护。通过适当的安全体系(如,安全政策、标准和控制),保证信息资产的机密性、完整性和有效性;6. 灾难恢复和业务连续性计划。一旦连续的业务被(意外)中断(或破环),灾难恢复计划确保(灾难)对业务影响最小化的同时,及时恢复(中断的)IT 服务。
与传统的审计相比,两者既有区别又有联系,两者的联系是:信息系统审计继承了传统审计的基本理论与方法,与传统的审计一样。在立场上,要求信息系统审计师站在独立的立场上,通过选择特定的审计对象,采用询问、检查、分析、模拟、测试等方法获得客观的审计证据,来判断其与既定标准的符合程度。在程序上,信息系统审计一般也要经过审计计划、符合性测试与实质性测试、审计报告等主要阶段来进行审计工作,实现审计目标;两者的区别也比较明显,主要表现在:首先,信息系统的审计对象不同于传统审计的财务领域,而是信息系统,包括基础设施,软硬件管理,信息安全,网络管理合通信等;其次,信息系统审计提出了更多的审计法与审计程序,这都是传统审计所不具备的,比如对某软件进行审计时,要采用技术含量相当高的测试,对网络安全审计时要采用穿透性测试(模拟成黑客进行各种攻击以验证其安全性);第三,信息系统审计不光是事后审计,主要关注系统的运行现状,在某种情况下,直接参与项目的开发或变更过程,以保证足够的控制得以顺利实施;最后,信息系统审计的咨询价值显得更高,信息化的风险很高,信息系统审计师可凭借其专门知识和实践经验,受托或主动服务于被审计单位的管理者或其业务人员,在企业信息化过程中,帮助企业建立健全内部控制制度,进行系统诊断,根据企业需求,确定信息化的目标和内容,选择合适的信息系统。
四、本单位的IT审计及SOX审计体会:
最为一家美国上市公司的全资子公司,我们公司也开始通过IT的SOX审计。以下是我对SOX审计的一些体会:
为遵从SOX方案,保证会计账务、财务报告、流程、财务应用和底层IT基础结构的完整性、可用性和准确性,要求IT在三方面有所准备:
一是优化财务流程,完善财务应用系统。 在财务应用的基础上,要实现财务数据整合和统计分析,保证财务软件的可靠性和准确性,减少人为操作干涉的可能。
二是建立内部控制体系并引入内控管理信息系统。内控管理信息系统至少应实现下述功能:能够创建和记录企业内部业务流程,使公司的CEO、CFO、员工和审计人员能够实时识别、分配、测试并监视内部控制与流程,确保业务流程根据内控标准执行。一旦系统发现任何违反行为,将向适当人员自动报警。能够收集并监视控制信息,使管理人员快速查看流程、组织、控制和风险的实时状态,提示管理人员注意控制目标是否实现。
三是加强IT控制。 SOX法案要求企业的内控活动,不论是人还是信息系统的操作流程都必须明白地定义并保存相关记录,对审计过程也有存档的要求。因此,对影响财务报告的信息系统的IT控制,也是SOX内部控制的核心组成之一。这就要求IT完善治理机制,进行IT内部控制和信息系统审计,以保证达到SOX对IT的基本要求。ITSM(IT服务管理)的标准ITIL则与COBIT紧密一致,通过IT服务管理流程与产品,能够实现IT的规范化管理,记录和控制IT的基本信息,包括对网络、硬件、网页、应用、防火墙、信息系统访问控制权限、访问密码等信息,保证财务报告的底层IT基础结构的业务持续,帮助公司更有效监督和管理IT风险。