SOX法案对信息系统控制的要求

以萨班斯-奥克斯利法案为代表的法律对上市公司的内控体系建设提出了明确要求，作为内控体系建设主要内容的信息系统控制由此被提到一个前所未有的高度。

美国安然与世通事件使得上市公司财务信息披露情况的法律遵从问题备受关注，2002年美国国会出台了萨班斯-奥克斯利法案 （Sarbanes-Oxley法案，简称SOX法案）。严格地说，SOX法案并没有对信息系统提出要求，但法案中404条款对内控体系建设有明确要求: 公司除了有正确完整的财务报表外，还要有确保报表正确而完整的控制体系，公司管理层每年需对内控体系的运行效果进行评估，外部审计师要对内部控制体系和控制效果进行测试并出具审计意见。

由于上市公司的各个与财务数据相关的主要业务流程都有相应的信息系统支持，如果信息系统控制的一致性和有效性方面不足，这将降低数据和自动控制的可依赖性，增加管理层和审计师在测试方面的工作量，从而对整个内控体系的有效性产生负面影响。为此，加强信息系统的控制体系建设成为上市公司IT部门的一个重要工作。

信息系统总体控制

信息系统控制主要包括信息系统总体控制（General Computer Control ,简称GCC ）、应用系统控制（Application Control，简称AC）和电子表格控制三部分。

信息系统总体控制指的是内部控制中对信息系统相关部分的控制，它保证由信息系统支持的流程控制是可靠的，生成的数据和报告是可信的。信息系统总体控制涵盖了IT管理和运营所涉及的各个方面:

1. 控制环境: 包括信息技术组织、人力资源管理、信息沟通、风险评估、监控等。

2. 信息安全: 包括信息安全组织、逻辑安全、物理安全、网络安全、病毒防护、第三方管理、事件响应等。

3. 项目建设管理: 包括方法论、立项审批、项目启动、需求分析、项目设计、系统开发实施、系统测试、数据移植、用户培训、文档管理、验收和上线后审阅、商业软硬件外购等。

4. 系统变更: 包括日常变更、紧急变更等。

5. 信息系统日常运作: 包括机房环境控制、日常监控、批处理作业调度管理、数据备份与恢复、问题管理等。

6. 最终用户操作: 包括最终用户作安全制度、电子表格管理等。

应用系统控制

应用系统控制指的是业务流程中内嵌的信息系统相关控制，信息系统应用的潜在风险直接影响业务流程中的信息控制目标:

1. 完整性:所有的交易都经过处理，且只处理一次; 不允许数据的重复录入和处理; 例外情况的发现和解决。

2. 准确性: 所有的数据（包括金额和账户）是正确和合理的; 例外情况被及时发现以保证交易被记录在正确的会计期间。

3. 有效性:交易被适当授权; 系统不接受虚假交易; 异常情况被发现和处理。

4. 接触控制:未经授权，不得对系统或数据进行修改; 数据保密性; 物理设备的保护。

上市公司内部可能应用各类信息系统，进行应用系统控制之前，首先应对公司应用的信息系统进行判断，界定是否属于与财务报告相关的关键应用系统，判定原则包括:

1. 该应用系统是否用于进行有关重要交易事项的生成、授权、记录、处理或报告;

2. 该系统是否生成关键的表单和数据供财务部门使用，直接作为记账依据或生成财务报表;

3. 该系统是否生成关键的表单和数据为其他作为记账依据或生成财务报表的系统使用;

4. 对应用系统的依赖程度，即是否有来自系统的计算结果，应用系统中是否存在相应的计算、检查、核对过程的控制;

5. 上述应用控制是否是惟一依赖的控制措施，是否存在手工控制可以达到控制目标，弥补风险。

符合以上判断条件的与财务报告相关的关键应用系统应按照应用系统控制进行控制，控制分为5类，即访问控制、职责分离、输入控制、处理控制、输出控制。其中应用系统的用户权限管理和职责分离(SoD，Segregation of Duties)，是内部控制的重要组成部分，也是SOX法案404条款要求的重点之一。如2005年1月11日的Compliance Week的报道，在2004年SEC上登记的上市公司最典型的问题之一就是SoD。根据业界最新的统计，截止到2005年4月份，在所有报告的实质性漏洞(Material Weakness)中，SoD一项就占了5％以上，因此必须对与财务报告相关的关键应用系统的用户进行合理的管理，以实现用户的授权适当和合理分工。

电子表格控制

目前电子表格在上市公司的生产运营、信息管理、数据分析、财务核算与报告各个环节广泛运用。电子表格中的公式、宏及表间链接等功能增加了电子表格计算的复杂程度，同时也增加了电子表格数据完整性及计算准确性的风险。SOX法案404条款中的一个重点就是关注在编制和维护电子表格过程中的相关控制。即使相对简单的电子表格计算的一个偏差也可能会对财务报告及披露产生重大错报的风险。内嵌在电子表格中的宏或其他功能可能会严重影响电子表格中数据的准确性。公司需要对电子表格实施的控制是否能支持重大会计事项及披露进行谨慎的评估。

在SOX法案中需评价的电子表格是指由用户程序（如Excel、Access、 Lotus等）编制的各种支持财务报告及披露的电子表格或文本文件，包括直接或间接作为财务记账依据的电子表格、用于财务相关信息核对的电子表格、以及支持财务信息披露的电子表格，所涉及的使用部门通常包括财务部门编制及使用的电子表格以及由其他业务部门传递至财务部门供其作为会计核算及报告披露依据的电子表格。

对电子表格的控制包括开发控制、变更控制、版本控制、存取控制、输入控制、安全控制、存储归档控制、备份控制、文档记录、权限控制、逻辑检查。（作者单位: 中国石油新疆油田公司科技信息处）

链接:信息系统控制的实施体会

1．对于IT人员和业务人员来说，内部控制体系和信息系统控制是符合SOX法案提出新的管理体系。因此，要结合内控实施好信息系统控制就必须不断学习，充分认识信息系统在内控项目中的重要意义和关键作用，从而提高对信息系统控制的认知程度，降低执行、整改过程中存在的阻力。

2．信息系统控制不仅涉及到IT部门，更重要的是要在业务流程中体现控制，因此信息系统控制应以信息和财务为基础，企管、审计、电子商务、销售、人事部门协同配合，统筹安排，落实各项控制措施，才能确保信息系统控制执行到位。

3．内控体系建设是一项长期性的工作，要在执行过程中根据实际控制情况不断进行测试和检查，对于测试和检查过程中发现的例外事项，要逐项分析问题发生的原因，举一反三，提出应对办法，责任落实到人，积极实施整改措施，完善管理制度，强化执行力度。

4．信息系统控制对日常工作提出了更为细致的要求，操作流程都必须明确地定义并保存相关记录，然后才能实施。因此，各岗位相关人员在实施过程中要注意做好表单等实施证据的填写和留存工作。