摘要：隨著計算機和現(xiàn)代信息技術(shù)在會計中的廣泛應(yīng)用，會計系統(tǒng)處理結(jié)果的正確性更多地依賴于內(nèi)部控制制度的完善。信息環(huán)境對會計信息系統(tǒng)的內(nèi)部控制要求更加嚴格，控制的范圍也更為廣泛。為了確保信息環(huán)境下會計內(nèi)部控制的有效實施，文章從IT的視角對傳統(tǒng)的控制觀點進行改革，探討了遵守“薩班斯—奧克斯利”法案時的整體IT風險的控制方法及應(yīng)重點考慮的問題，并著重分析了404條款合規(guī)小組如何就IT流程層面的IT基礎(chǔ)設(shè)施控制（ITGC）進行審核。

關(guān)鍵詞：內(nèi)部控制；信息環(huán)境；SOX-404；ITGC；ITAC

信息技術(shù)和網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和廣泛運用對傳統(tǒng)會計和審計來說不啻于一場革命，它改變了會計控制的性質(zhì)，改變了會計信息存放、傳輸及加工處理的技術(shù)基礎(chǔ)。隨著會計信息系統(tǒng)在企業(yè)中發(fā)展的日趨成熟，控制環(huán)境發(fā)生變化，內(nèi)部控制也呈現(xiàn)出新的特征。

一、 從ＩＴ的視角更新控制觀點

盡管會計首先大量使用計算機，使會計處理自動化，但會計師們在開發(fā)IT的應(yīng)用能力方面卻落在了后面。會計師和審計師的控制觀點沒有考慮IT對業(yè)務(wù)運行、對規(guī)則的符合程度和信息過程相關(guān)的風險的影響， 并已經(jīng)對幫助企業(yè)識別和控制業(yè)務(wù)過程的風險感到力不從心。因此，我們需要建立起一種新的控制觀念，讓IT有效地集成到業(yè)務(wù)和信息過程中，把保護企業(yè)和促進企業(yè)有機結(jié)合起來。

1. 擴大控制的范圍強調(diào)第三方監(jiān)督。傳統(tǒng)上會計師和審計師常常采用標準驅(qū)動的觀點，這在獨立外部審計中更為明顯。大部分審計活動和審計標準主要在年末檢查財務(wù)錯誤和舞弊。審計師對財務(wù)報表的公允性及其是否符合會計原則進行檢查時，只關(guān)注發(fā)表審計意見所必要的控制。但事實上，大部分針對業(yè)務(wù)操作和規(guī)章遵守情況的控制與財務(wù)報表的獨立審計并沒有關(guān)系。因此，在建立內(nèi)部控制制度時，會計師們應(yīng)該打破這種獨立的、反映的和檢查性的模式，以一種復(fù)雜的、積極的業(yè)務(wù)觀點來幫助設(shè)計和實現(xiàn)業(yè)務(wù)的規(guī)則，在更廣泛的環(huán)境中來看待業(yè)務(wù)，強調(diào)預(yù)防、業(yè)務(wù)操作和對規(guī)章的遵守情況。COBIT模型對企業(yè)實踐具有重要指導(dǎo)意義，它增強了IT控制在企業(yè)日常運營過程中的可操作性。此外，企業(yè)的控制漏洞依然存在，上市公司財務(wù)丑聞始終不斷，原因究竟何在？本文作者認為，獨立第三方監(jiān)督的缺失是企業(yè)內(nèi)部控制屢屢失敗的根源。企業(yè)IT控制的有效實施同樣需要一個統(tǒng)一的衡量標準，且該標準的制定方必須保持中立。顯然作為IT控制的實施者和受益者——企業(yè)以及企業(yè)IT控制的重要參與者——會計師事務(wù)所等都不應(yīng)該成為標準的制定方。事實表明，完全獨立于企業(yè)經(jīng)濟利益的國家政府及其相關(guān)部門是執(zhí)行企業(yè)內(nèi)部控制（包括IT控制）監(jiān)督職能的最佳人選，在這方面可以借鑒由美國政府出臺SOX法案，其中SOX-404、SOX-302法案的苛刻內(nèi)控要求隱含了對企業(yè)IT控制的控制要求。其制定的SOX-404影響深遠而廣泛，是衡量企業(yè)IT控制是否有效的事實標準。IT控制是企業(yè)管理信息化下內(nèi)部控制的新構(gòu)成，SOX-404在對企業(yè)內(nèi)部控制提出要求的同時，必然對其IT控制做出相應(yīng)的要求，且企業(yè)有效的IT控制是其內(nèi)部控制體系的整體有效實施并通過SOX-404測試的前提?；贗T控制和企業(yè)整體內(nèi)部控制的關(guān)系，針對SOX-404的控制需求，作者認為要實效的IT控制，就要首先理解公司的總體SOX合規(guī)計劃，然后制定一項有關(guān)IT控制的計劃，并做到IT控制計劃與公司總體SOX合規(guī)計劃的合理集成。

2. 特定控制程序分析。通常情況下，職責分離是傳統(tǒng)內(nèi)部控制的一個重要組成部分。職責分離——傳統(tǒng)上，控制程序?qū)⑾铝胸熑畏峙山o不同的人，將活動劃分為一定的結(jié)構(gòu)：（1）交易授權(quán)；（2）在會計記錄中記錄交易；（3）維護和保管資產(chǎn)。實施這種程序是為了防止雇員在正常工作中發(fā)生錯誤和舞弊并將其隱藏。在手工環(huán)境下，分離這些職責（保管、記錄和授權(quán)）是非常有用的。但IT應(yīng)用的介入使有些情形發(fā)生了改變。如，傳統(tǒng)的職責分離概念是讓執(zhí)行業(yè)務(wù)事件的人記錄所有的相關(guān)的業(yè)務(wù)事件數(shù)據(jù)。而現(xiàn)在很可能幾個部門同時由一個人在執(zhí)行業(yè)務(wù)事件時實時地記錄一個業(yè)務(wù)事件數(shù)據(jù)。自動控制處理代替了分離的人的角色，消除了一個人執(zhí)行兩項不相容活動的風險。在IT環(huán)境下，信息技術(shù)取代了人的作用，其監(jiān)控能力更強。職責分離仍然是形成內(nèi)部控制觀點的重要概念。但它的適用方式發(fā)生了變化。這時，我們需要分離新的職責（保管、授權(quán)、操縱數(shù)據(jù)和信息），以反映用來設(shè)計和運行系統(tǒng)的手段的更新。

3. 強調(diào)預(yù)防。一般來說，內(nèi)部控制制度是預(yù)防、檢測和糾正風險的程序的集合。由于審計本身的性質(zhì)，審計師一般主要關(guān)注檢查性控制。審計的主要目的是對前一段時間的財務(wù)報表的公允性發(fā)表意見。而審計的這種思想也影響了會計。許多會計系統(tǒng)并沒有與業(yè)務(wù)過程的執(zhí)行相結(jié)合。因此，當數(shù)據(jù)最后到達會計系統(tǒng)時，及時預(yù)防甚至檢查錯誤的時機已經(jīng)錯過了。一個有效的內(nèi)部控制制度需要預(yù)防性的、檢查性的和糾正性的控制。一旦檢查出錯誤和舞弊，應(yīng)該糾正其影響，同時制定預(yù)防性控制措施以確保錯誤和舞弊不再發(fā)生。如果能事先預(yù)防錯誤和舞弊，而不是事后檢查或糾正，這樣的內(nèi)部控制將給企業(yè)帶來更大的價值。

4. 選擇設(shè)計和實施控制的時機。IT在企業(yè)中的應(yīng)用通過以下兩方面提供價值：

（１）幫助企業(yè)更積極地預(yù)防、檢查和糾正錯誤和舞弊。

（２）促進而不是阻止業(yè)務(wù)過程和信息過程的持續(xù)改善

要得到這些益處，必須具備“實時”的控制思想?？刂茟?yīng)該嵌入到系統(tǒng)中，在每項業(yè)務(wù)活動中預(yù)防、檢查和糾正，而不是在系統(tǒng)實現(xiàn)后再加入控制程序。正如ＣＯＳＯ所認為的：“內(nèi)部控制不應(yīng)被看作是添加在組織正常運行結(jié)構(gòu)之上的東西。這樣做將削弱組織的競爭能力。內(nèi)部控制應(yīng)該被嵌入到企業(yè)的基礎(chǔ)結(jié)構(gòu)中。當控制與運行活動融為一體時，控制的觀點將深入人心，組織將以最小的代價獲得更好的控制……”。

因此，會計師和審計師在研制新系統(tǒng)或修改原有系統(tǒng)時，應(yīng)在系統(tǒng)的設(shè)計和開發(fā)階段積極介入，幫助提出控制方案和實施有效控制。

二、 遵守薩班斯法案時的整體IT風險及控制方法

業(yè)務(wù)流程對技術(shù)的依賴程度逐年增加，使得業(yè)務(wù)的執(zhí)行更加及時、全面及準確。財務(wù)報告流程及其他流程，即財務(wù)報告所記載的交易的獲取、記錄、匯總、計量及列報均需要依靠計算機程序即其他技術(shù)性的工具和軟件來完成。因此，應(yīng)用系統(tǒng)和系統(tǒng)的控制成效直接影響流程的完整性，包括輸入流程的數(shù)據(jù)和流程完成時最終呈報的信息（即輸出資料）。應(yīng)用系統(tǒng)已有自己的控制程序。在這些程序化的控制中，有些可能是財務(wù)報告內(nèi)部控制的關(guān)鍵，若這些程序化的控制起關(guān)鍵作用，在進行評估時就必須予以考慮，特別是在流程結(jié)果沒有經(jīng)過驗證或者驗證不足的情況下，管理層仍然需要依賴這些控制。IT風險只在IT環(huán)境中存在，因此，由IT技術(shù)衍生的相關(guān)風險必須在評估與財務(wù)報告相關(guān)的內(nèi)控風險時予以考慮。簡而言之，在當今高度信息化的商業(yè)環(huán)境下，根據(jù)Sarbanes-Oxley第404條款的規(guī)定在進行財務(wù)報告內(nèi)部控制的整體評估時，必須考慮有關(guān)IT的風險和控制。

404條款合規(guī)小組應(yīng)該如何定義“IT風險及控制”？ 404條款合規(guī)小組應(yīng)考慮的風險及控制包括i）因技術(shù)（例如應(yīng)用系統(tǒng)中的程序化控制）而存在的風險及控制，ii）影響相關(guān)程序或數(shù)據(jù)完整性的風險及控制。此外，就404條款合規(guī)工作而應(yīng)予以考慮的IT風險及控制，只限于那些與實現(xiàn)財務(wù)報告可靠性該內(nèi)部控制目標有關(guān)的風險及控制。因此，“IT風險及控制”主要涉及兩個大的領(lǐng)域-基礎(chǔ)設(shè)施控制（ITGC）和應(yīng)用系統(tǒng)控制（ITAC）。ITGC通常會影響到技術(shù)環(huán)境內(nèi)眾多單一的應(yīng)用系統(tǒng)及信息生成。一般來說，由于這些控制會影響相關(guān)程序和數(shù)據(jù)的可靠性，所以最終會影響財務(wù)報表認定的實現(xiàn)，即控制能防范或預(yù)防某些影響相關(guān)程序和數(shù)據(jù)可靠性的事件發(fā)生。ITAC領(lǐng)域涉及一下兩個重要領(lǐng)域：（1）由相關(guān)的應(yīng)用系統(tǒng)和數(shù)據(jù)負責人設(shè)計并實施業(yè)務(wù)中的控制及流程；（2）應(yīng)用系統(tǒng)中的程序化控制，負責執(zhí)行控制有關(guān)的特定活動，例如在輸入過程中對主要欄目中的被輸入數(shù)據(jù)進行錯誤檢查或驗證。其中一個應(yīng)用系統(tǒng)的控制的例子是不兼容職責的分離，數(shù)據(jù)負責人需負責設(shè)計及合理地判斷哪些責任和職責被分離。程序編制小組在負責設(shè)計和開發(fā)應(yīng)用系統(tǒng)，使交易能夠按照系統(tǒng)負責人的設(shè)計旨意在程序化的和其他形式的控制下完成，為達到財務(wù)報告認定提供一定保障。

在進行財務(wù)報告內(nèi)部控制的評估時，應(yīng)謹慎考慮信息技術(shù)所產(chǎn)生的影響，包括一些IT所獨有的風險。本文系統(tǒng)性的描述了IT風險及控制評估時所遵循的整體方法及有關(guān)框架。

圖1說明IT風險與控制評估所應(yīng)該遵循的順序，每一個步驟都會影響范圍的界定，有時候還會影響到下一步要進行的工作的性質(zhì)。第一步是理解“IT組織和結(jié)構(gòu)”，這一步為IT公司層面的控制評估奠定了基礎(chǔ)。公司層面的控制的強弱又會影響對IT業(yè)務(wù)流程從三個層面進行控制評估的性質(zhì)和程度。對IT流程層面控制的評估是SOX-404條款合規(guī)項目中最繁瑣的一項工作。對IT流程層面的評估要從“一般IT的業(yè)務(wù)流程”、“應(yīng)用系統(tǒng)和數(shù)據(jù)負責人的流程”以及“綜合應(yīng)用系統(tǒng)—特定流程”三個不同層面予以考慮。

1. 一般IT的業(yè)務(wù)流程。IT基礎(chǔ)設(shè)施控制的審核是針對公司的主要IT流程，或是支持財務(wù)報告的關(guān)鍵IT應(yīng)用系統(tǒng)。404條款合規(guī)項目小組可能需要對同一個基礎(chǔ)設(shè)施控制進行不止一次的審核，例如，多個流程同時影響每個重要財務(wù)報告領(lǐng)域，而該流程又不是受限于相似的政策、流程活動和控制程序，那么該流程可能需要被分別予以審核。在評估一般IT流程中應(yīng)該包括的基本部分：安全管理、應(yīng)用系統(tǒng)/系統(tǒng)變更管理、數(shù)據(jù)管理與災(zāi)難恢復(fù)、數(shù)據(jù)中心的操作及問題管理、資產(chǎn)管理。

2. 應(yīng)用系統(tǒng)和數(shù)據(jù)負責人流程。這方面被評估的是那些直接被應(yīng)用系統(tǒng)和數(shù)據(jù)負責人控制和管理的程序。404合規(guī)項目階段應(yīng)該予以評估的流程包括：建立和維持不兼容職責的分離（安全角色和管理）、確認/審核對關(guān)鍵交易和數(shù)據(jù)的存取、開發(fā)和維護業(yè)務(wù)影響分析/業(yè)務(wù)持續(xù)計劃、制定和維護業(yè)務(wù)負責人變更控制。

3. 綜合應(yīng)用系統(tǒng)——特定流程。對業(yè)務(wù)流程層面的所有IT控制和人工控制進行綜合評估是必須的。評估中有關(guān)IT的部分主要集中在對關(guān)鍵應(yīng)用系統(tǒng)的控制，在對企業(yè)業(yè)務(wù)流程進行評估時也應(yīng)該評估相關(guān)的IT風險和控制，從而對控制環(huán)境有全面了解。負責人應(yīng)該對每個重要業(yè)務(wù)流程中關(guān)鍵財務(wù)應(yīng)用系統(tǒng)的控制有充分的了解包括：應(yīng)用系統(tǒng)程序化控制、關(guān)鍵交易和數(shù)據(jù)信息的獲取控制、數(shù)據(jù)驗證/錯誤檢查程序、錯誤報告、復(fù)雜運算、報告的可靠性和準確性、關(guān)鍵接口。

三、 SOX-404條款合規(guī)小組對于IT基礎(chǔ)設(shè)施控制的關(guān)注

“IT基礎(chǔ)設(shè)施控制”的性質(zhì)對于財務(wù)報告內(nèi)部控制評估具有十分重要的意義，但其產(chǎn)生的影響卻經(jīng)常被誤解。本文作者認為SOX-404條款合規(guī)小組應(yīng)該從流程的角度去了解這些控制。本文將IT基礎(chǔ)設(shè)施控制細分為若干基本流程，闡述這些基本流程與財務(wù)報告的相關(guān)性。這些控制包括安全管理、應(yīng)用系統(tǒng)的變更控制管理、數(shù)據(jù)管理和災(zāi)難恢復(fù)、數(shù)據(jù)中心操作和問題管理，以及資產(chǎn)管理與有關(guān)的流程。

1. SOX-404條款合規(guī)項目小組對安全管理評估時的關(guān)注。在安全管理領(lǐng)域中，首要的流程目標是創(chuàng)建和維護IT環(huán)境的整體計算機安全措施。安全管理的焦點是全面性的，其中包括關(guān)于應(yīng)用系統(tǒng)、數(shù)據(jù)庫、平臺、和網(wǎng)絡(luò)的流程；還有其他的流程，涉及識別風險、制定策略以便將風險減低至可接受的程度，以及管理層明確接受剩余的風險或風險容忍度。安全管理需要一套有效的流程，一便執(zhí)行及監(jiān)控IT環(huán)境各個層面中的政策和流程的執(zhí)行。此外，還有一些子流程，負責處理個別信息資產(chǎn)的存取，以及控制非授權(quán)存取的風險。在很多公司，安全管理是一個復(fù)雜且分散的流程，涉及眾多的“技術(shù)層”，分別由不同的IT部門負責處理。應(yīng)用系統(tǒng)上的安全管理會被派發(fā)到不同的IT和用戶群組。進行內(nèi)部控制評估時的一個嚴峻的挑戰(zhàn)是要了解公司是如何部署安全管理的。因此，404條款合規(guī)小組須了解關(guān)于IT組織的足夠細節(jié)，從而能夠了解公司的關(guān)鍵數(shù)據(jù)及應(yīng)用系統(tǒng)的授權(quán)獲取及應(yīng)用是在哪個“技術(shù)層”被怎樣管理的。安全管理流程也包括如何管理那些擁有全面權(quán)限可自由訪問系統(tǒng)中儲存的各種交易及數(shù)據(jù)的特殊用戶。公司應(yīng)了解這些特殊用戶的特殊權(quán)限存在的必要性（而且在需要情況下這些權(quán)限不能全部被限制）；但是公司應(yīng)具備嚴格的控制來盡量限制和監(jiān)控這些特殊權(quán)限的使用。以下簡要列出公司財務(wù)報告認定的影響，以及如何影響薩班斯法案404條款合規(guī)項目的范圍：

安全管理流程對財務(wù)報告認定的影響：

（1）按業(yè)務(wù)需要限制對關(guān)鍵系統(tǒng)（交易、應(yīng)用系統(tǒng)、數(shù)據(jù)庫、平臺和網(wǎng)絡(luò)）的操作，以確保數(shù)據(jù)（資產(chǎn)）的訪問權(quán)限。

（2）執(zhí)行、審批和檢視交易的權(quán)利只限于有正當業(yè)務(wù)需求的人士，以確保授權(quán)是按照管理準則適當受到限制。

2. SOX-404條款合規(guī)項目小組對應(yīng)用系統(tǒng)的變更控制評估時的關(guān)注。應(yīng)用系統(tǒng)變更控制是財務(wù)報告內(nèi)部控制中的一個尤其重要的因素。應(yīng)用系統(tǒng)變更的可靠性會直接影響交易流程的準確性、一致性和完整性，以及交易的及時累積、總結(jié)和呈報。公司變更其應(yīng)用系統(tǒng)時所面臨的風險是：新的變更可能導(dǎo)致曾用于處理和呈報交易的應(yīng)用系統(tǒng)，失去其原有的可靠性。這將造成財務(wù)報告不準確、不完整或不正確等潛在的重大風險。鑒于可能出現(xiàn)這些與財務(wù)報告有關(guān)的風險（以及其他顯著的策略及業(yè)務(wù)操作風險問題），公司必須有一個涉及周詳且運作有效的應(yīng)用系統(tǒng)變更管理流程。該變更流程應(yīng)包括適當?shù)某绦?，以建立監(jiān)督、測試及審批有關(guān)變更，并將經(jīng)適當審批的變更轉(zhuǎn)移至生產(chǎn)環(huán)境。該流程必須設(shè)置適當?shù)谋０泊胧苑乐关撠熢摿鞒痰娜藛T在未被發(fā)現(xiàn)的情況下，對程序或有關(guān)數(shù)據(jù)做不適當變更?？紤]到變更可能產(chǎn)生的所有影響，例如系統(tǒng)接口、數(shù)據(jù)和例行錯誤偵測程序、應(yīng)用系統(tǒng)的安全管理變更、管理報告等，因此變更流程必須包括周全的措施及步驟。

應(yīng)用系統(tǒng)的變更流程對財務(wù)報告認定的影響主要包括如下幾點：

（1）應(yīng)用系統(tǒng)的變更直接影響應(yīng)用的安全性、準確性和一致性，這里的應(yīng)用系統(tǒng)是指進行交易、將會計信息匯總、分類、計量和披露是所用到的程序。

（2）因為增加或修改職責或因為對敏感交易及數(shù)據(jù)的存取授權(quán)交易修改而作出對應(yīng)用系統(tǒng)的變更時，可能影響不兼容職責的適當分離。

（3）在變更的操作過程中可能會使未獲授權(quán)人士也能夠存取信息資產(chǎn)，而這將導(dǎo)致應(yīng)用系統(tǒng)或數(shù)據(jù)在無從被一般控制活動發(fā)現(xiàn)的情況下，被有意或無意地篡改。

3. SOX-404條款合規(guī)項目小組對數(shù)據(jù)管理和災(zāi)難恢復(fù)評估時的關(guān)注。數(shù)據(jù)管理對技術(shù)組織的工作成效和效率起關(guān)鍵作用，為了便于討論，我們將“數(shù)據(jù)管理”歸納為與數(shù)據(jù)備份、恢復(fù)和修復(fù)有關(guān)的流程。在很多情況下，需要進行數(shù)據(jù)的恢復(fù)大部分原因是由于硬件或者軟件損壞而導(dǎo)致數(shù)據(jù)受損或遺失。公司必須有能力修復(fù)或重新啟動系統(tǒng)，以確保持續(xù)操作及不損害交易或數(shù)據(jù)的可靠性和完整性。數(shù)據(jù)管理也包括應(yīng)用系統(tǒng)的關(guān)鍵性，以及備份流程的合適時間和次數(shù)的考慮。備份流程的次數(shù)和可靠性反映出一家公司對成本/風險/收益的判斷結(jié)果，即在不會對業(yè)務(wù)造成負面影響的情況下，該公司可以承受多大的數(shù)據(jù)損失或多少交易的損失。

災(zāi)難恢復(fù)的流程和程序是與數(shù)據(jù)管理相關(guān)聯(lián)的。業(yè)務(wù)的持續(xù)運作和IT的災(zāi)難恢復(fù)，主要涉及公司是否能夠持續(xù)遵照SEC的規(guī)則和條例、準確且適時的提交其財務(wù)報告和其他報告。

數(shù)據(jù)管理和災(zāi)難恢復(fù)流程對財務(wù)報告認定的影響：（1）公司能否完整及準確的報告交易和財務(wù)報告數(shù)據(jù)的能力會收到數(shù)據(jù)管理和災(zāi)難恢復(fù)流程的影響。（2）如果透過數(shù)據(jù)管理流程而賦予對生產(chǎn)或備份數(shù)據(jù)不恰當?shù)拇嫒?quán)利，資產(chǎn)的獲取可能會受到影響。（3）如果業(yè)務(wù)持續(xù)運作和災(zāi)難恢復(fù)計劃不夠全面和得到及時更新，那么公司履行其義務(wù)的能力，即完整且準確的報告及時提交SEC的能力將會受到影響。

4. SOX-404條款合規(guī)項目小組對數(shù)據(jù)中心操作和問題管理評估時的關(guān)注。數(shù)據(jù)中心的操作和問題管理也會像前面討論的數(shù)據(jù)管理流程一樣影響應(yīng)用系統(tǒng)和數(shù)據(jù)。這些流程會影響數(shù)據(jù)的可靠性及程序的完整性和準確性。當有問題發(fā)生時，數(shù)據(jù)中心的操作和問題管理會影響應(yīng)用系統(tǒng)的正常操作。在諸如接口的處理不完整或程序被中斷等類似情況下，交易或數(shù)據(jù)的處理不完整不準確的風險概率就會增高。計算機操作和問題管理方面的步驟，旨在提供處理這些問題的方法。這些流程通常涉及數(shù)據(jù)和應(yīng)用系統(tǒng)負責人之間就解決相關(guān)事宜和問題而進行的交流和溝通。此外，這些部門的負責人員通常在數(shù)據(jù)的存取和應(yīng)用系統(tǒng)的操作方面擁有廣泛的權(quán)力，以及時解決出現(xiàn)的有關(guān)問題。這就增加了交易及數(shù)據(jù)在非常情況下，未經(jīng)正常授權(quán)下被存取的風險。

數(shù)據(jù)中心操作和問題管理流程對財務(wù)報告認定的影響：（1）報告的完整性、準確性和一致性會直接受計算機操作和問題管理流程影響。（2）如果沒有適應(yīng)的限制和監(jiān)督計算機操作和問題的管理， 信息資產(chǎn)的存取會受直接影響。

5. SOX-404條款合規(guī)項目小組對資產(chǎn)管理評估時的關(guān)注。資產(chǎn)管理領(lǐng)域是現(xiàn)今IT組織中重要的一環(huán)。原因是除了硬件和軟件價格不菲之外，在以往的管理過程中一直表現(xiàn)欠佳。從SOX-404條款合規(guī)項目的角度來看，資產(chǎn)管理的重要方面與IT資產(chǎn)的獲取、操作和報廢的正確會計處理有關(guān)。此外，該領(lǐng)域也涉及一些軟件版權(quán)的適當使用及監(jiān)督的潛在問題。不正確使用軟件可導(dǎo)致未記錄的負債以及圍繞正確使用軟件和遵守軟件使用法例而產(chǎn)生的潛在信息披露問題。就公開報告的角度而言，另一個值得關(guān)注的領(lǐng)域是對資產(chǎn)存在的定期驗證、記錄余額的定期評估以及根據(jù)使用年期進行的資產(chǎn)變現(xiàn)。有關(guān)IT資產(chǎn)管理的主要報告問題，與有關(guān)所有固定只產(chǎn)的報告問題并無差異。該IT資產(chǎn)的會計處理所經(jīng)常涉及的流程不同于其他固定資產(chǎn)的監(jiān)管及程序。IT資產(chǎn)包括硬件和軟件以及用戶的桌上計算機和工作站，這些資產(chǎn)都是現(xiàn)今技術(shù)環(huán)境中重要投資。

資產(chǎn)管理流程對財務(wù)報告認定的影響：

（1）資產(chǎn)應(yīng)在財務(wù)報表中予以正確列報。這意味這資產(chǎn)已根據(jù)公認會計準則（GAAP）其當?shù)挠枰再Y本化或記作費用，且已經(jīng)對所有資產(chǎn)租賃作出適當?shù)臅嬏幚?。此外，任何及所有要求的披露均已在財?wù)報表中呈報。

（2）資產(chǎn)余額可透過觀察或其他一些途徑進行周期性披露，以驗證它們的存在。此外，需對資產(chǎn)的賬面值進行周期性評估、并審核相關(guān)資產(chǎn)類別的預(yù)計可使用年限是否合理。

（3）資產(chǎn)的存取以適當方式予以保護，從而合理保證任何報告日期下資產(chǎn)的存在。

四、 總結(jié)與展望

隨著我國市場經(jīng)濟的發(fā)展，經(jīng)濟信息化的日趨成熟，我國的企業(yè)將面對更加激烈的市場競爭環(huán)境，建立信息環(huán)境下良好的內(nèi)部控制制度有助于我國企業(yè)在未來激烈的競爭中求得生存和發(fā)展。信息環(huán)境下的內(nèi)部控制，對人、機都提出了更高的要求。薩班斯（SOX）旨在規(guī)范用于企業(yè)信息的內(nèi)部控制。確保用來生成報告的數(shù)據(jù)是準確的并且不能通過任何方法來操縱是CEO的法定義務(wù)。它從CEO開始，從那里依次向下傳遞。反過來CEO將依賴CIO以確保IT過程和控制是符合遵從性檢查的，而CIO將反過來依賴IT經(jīng)理，IT經(jīng)理將最終依賴DBA（Database Administrator），來確保數(shù)據(jù)處于控制之下并且是安全的。因此，我們要以ＩＴ的視角更新內(nèi)部控制觀點，打破傳統(tǒng)，從基礎(chǔ)控制和應(yīng)用控制兩方面著手，真正做到“兩手抓，兩手都要硬”。

參考文獻：

1. Fujitsu Services， IT Governance-The Futu- re of Control，2002，（11）.

2. Armour， Internal Control: Governance Fr- amework and Business Risk Assessment at Reed

3. IT Governance Institute， COBIT 3rd Edi- tion Control Objectives，2000，（7）.

4. Ron Weber， Information Systems Control and Audit，Prentice Hall. Inc.，1999，（10）.

5. Victor Bennett、Bob Cancilla，IT responses to Sarbanes-Oxley，www.ibm.com，2005-12-15.

6. KPMG，Sarbanes-Oxley section 404:management assessment of internal control and proposed auditing standards，2003，（3）.

7. 道格拉斯·R·卡邁克爾.審計概念與方法.大連：東北財經(jīng)大學出版社，1999.

8. Larry F. Konrath. Auditing a Risk Analy- sis Approach.北京：中國人民大學出版社，2004，（10）.

9. Sally Chan，Mapping COSO and COBIT for Sarbanes-Oxley Compliance，2002.

10. T. Hoffman， The Sarb-Ox Shift， in Com- puterworld，2005：35.

11. PricewaterhouseCoopers， The Use of Spre- adsheets and Considerations for Section 404 of the Sarbanes-Oxley Act， PricewaterhouseCoopers LLP， Newark， Del，2004.

基金項目：福建省教育廳社會科學研究項目“我國財務(wù)會計信息化發(fā)展方向研究”（項目號：JA08003S）支持。

作者簡介：莊明來，廈門大學管理學院教授、博士生導(dǎo)師；周元元，廈門大學管理學院會計系博士生。

收稿日期：2011-08-20。