业务需求中IT系统的影响

1、业务需求中IT系统的影响2.企业对财务报告的责任。所有定期财务报告必须由负责签章的 主管查阅、确认并签字；签章的主管必须对财务报告的准确度和清晰 度负责。合规性需求：通过签章，公司的签章主管必须确认己经审查过财 务报告。这个签章证明他们认为财务报告是准确的，并且所有数字来 源是准确的。这个需求对IT意味着：财务报告中使用的数据必须有己知的起源 与推导，有正确的格式，在适当的场景下被使用；整个流程必须有负 责人；数据也必须有负责人；最终文档以及相关的支持文档必须记录 更改H志，以进行控制管理。对特定的协同办公软件的要求：使用元数据进行数据分类以及管 理数据的属性信息；协作网站必须在参与人员之间以

2、一种有序的方式 共享信息；中心文档库需要提供一组专门的文档供参与者共同进行编 辑，文档经过核定并附带更改记录，然后作为最终文档被发布；最终 文档更改控制必须提供对更改的审核跟踪与控制，以保证文档的权威 可信；集中记录跟踪的目的是提供一个公共平台，让参与者可以对那 些可能违背SOX的问题和难点引起注意。2.财务公开。满足必要财务规则的财务报表和报告必须是由精确 计算得出，而且在报表和报告中不能有任何遗漏和省略，以免产生误 解。报表和报告中一定要包含影响企业健康的表外信息。合规性需求：企业负责人一定要对所有财务报表做准确性确认； 估计的数据一定要清晰准确，并且要和企业实际的财务阶段完全一致; 企业

3、管理的责任就是建立和维护对财务报告负责的内控架构和内控 过程。这个需求对IT意味着：数据一定要可追溯；文档一定要做变更管 理；问题一定要记载并公布出来；定义的元数据必须能保证内容进行 正确的分类、上下文以及对数据合理的解释；一定要保留审计痕迹， 数据拥有者对元数据操作过程，一定要进行身份识别；流程拥有者在 对那些影响企业绩效的关键流程的操作，一定要进行身份识别；通过 元数据来清晰地区分历史、现实以及未来信息；数据源要具备内部可 追溯性；在建立、修改、删除信息时，要采用一致的、可重用的、可 测量的、标准的过程。对特定协作软件的需求：使用元数据进行数据分类以及管理数据 的属性信息；协作网站必须在参

4、与人员之间以一种有序的方式共享信 息；中心文档库需要提供一组专门的文档供参与者共同进行编辑，文 档经过核定并附带更改记录，然后作为最终文档被发布；最终文档更 改控制必须提供对更改的审核跟踪与控制，以保证文档的权威可信; 企业内外广泛的审查者和参与者很容易使用企业的web站点；使用 元数据进行数据分类以及管理数据的属性信息；协作网站必须在参与 人员之间以一种有序的方式共享信息；中心文档库需要提供一组专门 的文档供参与者共同进行编辑，文档经过核定并附带更改记录，然后 作为最终文档被发布。3.实时问题暴露（公开）。紧急事件发生的时候，管理者必须报告 企业财务及运营方面变化情况的信息。这些信息一定要易

5、于理解，以趋势图的方式表示出来，信息质量 必须保证。合规性需求：企业信息的发布者必须提供最新的可用信息（例如， 实时信息）。这些信息必须满足财务期报告准确性和清晰性的要求。这个需求对IT意味着：一旦发生数据的畸变或者数据变化，这些 变化可能影响到现实财务报告的准确性，IT部门必须能提供支持来快 速识别、分类、分析、发布这些变化。对特定协作软件的需求：使用元数据进行数据分类以及管理数据 的属性信息；中心文档库需要提供一组专门的文档供参与者共同进行 编辑，文档经过核定并附带更改记录，然后作为最终文档被发布；最 终文档更改控制必须提供对更改的审核跟踪与控制，以保证文档的权 威可信。总之，为遵从sox

6、法案，保证会计账务、财务报告、流程、财务 应用和底层IT基础结构的完整性、可用性和准确性，要求IT在以下 四方而有所准备：第一，优化财务流程，完善财务应用系统。在财务应用的基础上 要实现财务数据整合和统计分析，引进全面预算管理、KPI绩效管理、 财务预警等模块，保证企业提供准确、完整、实时、真实、有价值的 财务报告。第二，建立内部控制体系并引入内控管理信息系统。SOX要求企 业高管加强对内控程序和内控报告的责任，要求CEO和CFO能够证 明年度和季度财务报告没有差错和遗漏现象，要求企业记录并检查企 业的内部控制情况，揭露任何严重弱点，要求企业高层能够判断与 业务过程相关的风险，以及这些风险对公

7、司财务报告可能产生的影响。 达到上述要求的核心内容首先是建立公司内部控制体系，美国反对 虚假财务报告委员会的COSO是SEC（美国证券交易委员会PCAOB （美国上市公司会计监督委员会）推荐的框架，COSO包括控制环境、 风险评估、控制活动、信息与沟通和监督五个要素，强调建立一系列 的管理体制，加强公司的内部控制。第三，IT是COSO实施的关键，应建立起遵从SOX的企业内控管 理信息系统。内控管理信息系统至少应实现下述功能：能够创建和记 录企业内部业务流程，使公司的CEO、CFO、员工和审计人员能够实 时识别、分配、测试并监视内部控制与流程，确保业务流程根据内控 标准执行。一旦系统发现任何违反

8、行为，将向适当人员自动报警。能 够收集并监视控制信息，使管理人员快速查看流程、组织、控制和风 险的实时状态，提示管理人员注意控制目标是否实现。为了帮助企业 更好地了解和跟踪风险，内控管理信息系统为企业建立一个能够与企 业的每项业务过程相关联的风险库。一旦认识出潜在风险，内部控制 管理系统能够允许企业设计控制以降低风险。某些公司的内部控制管理系统的开发旨在帮助企业有效地执行 SOX法案的要求。第四，加强IT控制。SOX法案要求企业的内控活动，不论是人还 是信息系统的操作流程都必须明口地定义并保存相关记录，对审计过 程也有存档的要求。因此，对影响财务报告的信息系统的IT控制也 是SOX内部控制的核心组成部分之一。这就要求IT完善治理机制， 进行IT内部控制和信息系统审计，以保证达到SOX对IT的基木要求。 国际上己经形成一些较为完整的IT治理的规范，如ITIL （信息技术基 础结构库）、COBIT （信息和相关技术的控制目标）、BS7799 （信息安 全管理标准）等。其中，COBIT是信息系统审计与控制协会（ISACA） 提出的IT治理的控制框架。IT服务管理（ITSM ）的标准