“竞业禁止”法规遵从进行时
时间:2007年02月05日 作者:佚名 点击:
加入收藏 中人网
理相关的应用系统,特别是跟业务流程有关的系统的影响。要建立很多审批流程,特别是与财务活动相关的信息功能,包括采购、销售、库存等。这都需要应用系统的支撑,这些系统如果做得不严格,审计的时候也很难通过。
第三是对基础设施的影响,可以分两部分: 一部分是物理基础设施,包括基础软件、硬件、存储等; 另一个是安全访问的平台,包括对用户身份的管理、对信息访问控制、存储机制等。现在应用系统的安全访问控制,基本上都是分散在各个应用系统里,没有实现统一的集中管理,这会带来很多不安全隐患。
第四个就是整个企业的IT治理,要保证做好前三点,除了要做好应用系统,服务器、存储、物理设施也必须跟上,“只有符合一系列标准,才能够保证IT系统的强健。要建立一个能够符合法规政策要求的系统,IT治理必不可少”。
IT部门的庞大任务
企业的IT部门要支持公司高管、财务和内外部审计人员的需求,确保影响财务报表的业务流程、应用和信息基础设施的完整性、可用性和可审计性,保证内控报告和内控程序的完成,并能够对外部审计需求做出积极响应。
一个更好的会计标准和更及时的信息披露要求将大大减轻经理人与外部投资者之间的信息不对称。因此,公司治理的核心问题是信息不对称性或不完全性,解决公司治理问题,最核心的是公司信息的真实、准确以及处理与传递的效率问题,而IT技术在实现透明度原则和体现监控力度上正日益成为有效的工具。
IT部门需要在许多方面有所准备,譬如如何优化财务流程,完善财务应用系统,在财务应用的基础上,实现财务数据整合和统计分析告; 如何建立内部控制体系并引入内控管理信息系统,创建和记录企业内部业务流程,使公司的CEO、CFO、员工和审计人员能够实时识别、分配、测试并监视内部控制与流程,确保业务流程根据内控标准执行; 如何收集并监视控制信息,使管理人员能够快速查看流程、组织、控制和风险的实时状态; 如何对影响财务报告的信息系统的IT控制,完善治理机制,进行IT内部控制和信息系统审计,以保证达到萨班斯法案对IT的基本要求。
IT控制既是萨班斯法案的重要内容,也和企业IT治理架构的建立有密切的关系。IT既是一种手段,也是一个控制的对象。在依赖先进的IT方法,提高内部控制效果的同时,可以迅速地查找问题和监控问题,提高相互交流和信息传递的效率。同时因为IT所占据的重要地位,由此产生的风险又造成了企业新的灾难性的风险。如果系统的安全性存在问题,就可能有未经授权的数据更改或程序更改。如果系统开发流程存在问题,则会影响到整个系统的运行操作,从而影响到应用系统本身。
总而言之,计算机信息系统介入管理层对内部控制的评估,是一个非常复杂的过程,而IT系统本身不完善所造成的限制,又可能造成内部控制本身的水平降低、被测试者的效益降低、费用增加等一系列问题。
如何平衡IT部门与企业各部门之间的协作关系,保证各部门之间交流顺畅、监管明晰,并保证系统的安全可靠,对信息化建设相对薄弱的中国企业的IT部门来说,无疑是一个十分庞大的任务。
事实上,如果中国企业能够顺利通过萨班斯法的审计工作,深入研究IT治理,加强IT控制,降低风险,有效地实现公司治理,把公司治理与IT治理相结合、全面风险管理与IT治理相结合以及“六方”(CEO、CFO、CIO、COO、CKO、CMO)相结合的理念彻底贯彻下去,中国企业
第三是对基础设施的影响,可以分两部分: 一部分是物理基础设施,包括基础软件、硬件、存储等; 另一个是安全访问的平台,包括对用户身份的管理、对信息访问控制、存储机制等。现在应用系统的安全访问控制,基本上都是分散在各个应用系统里,没有实现统一的集中管理,这会带来很多不安全隐患。
第四个就是整个企业的IT治理,要保证做好前三点,除了要做好应用系统,服务器、存储、物理设施也必须跟上,“只有符合一系列标准,才能够保证IT系统的强健。要建立一个能够符合法规政策要求的系统,IT治理必不可少”。
IT部门的庞大任务
企业的IT部门要支持公司高管、财务和内外部审计人员的需求,确保影响财务报表的业务流程、应用和信息基础设施的完整性、可用性和可审计性,保证内控报告和内控程序的完成,并能够对外部审计需求做出积极响应。
一个更好的会计标准和更及时的信息披露要求将大大减轻经理人与外部投资者之间的信息不对称。因此,公司治理的核心问题是信息不对称性或不完全性,解决公司治理问题,最核心的是公司信息的真实、准确以及处理与传递的效率问题,而IT技术在实现透明度原则和体现监控力度上正日益成为有效的工具。
IT部门需要在许多方面有所准备,譬如如何优化财务流程,完善财务应用系统,在财务应用的基础上,实现财务数据整合和统计分析告; 如何建立内部控制体系并引入内控管理信息系统,创建和记录企业内部业务流程,使公司的CEO、CFO、员工和审计人员能够实时识别、分配、测试并监视内部控制与流程,确保业务流程根据内控标准执行; 如何收集并监视控制信息,使管理人员能够快速查看流程、组织、控制和风险的实时状态; 如何对影响财务报告的信息系统的IT控制,完善治理机制,进行IT内部控制和信息系统审计,以保证达到萨班斯法案对IT的基本要求。
IT控制既是萨班斯法案的重要内容,也和企业IT治理架构的建立有密切的关系。IT既是一种手段,也是一个控制的对象。在依赖先进的IT方法,提高内部控制效果的同时,可以迅速地查找问题和监控问题,提高相互交流和信息传递的效率。同时因为IT所占据的重要地位,由此产生的风险又造成了企业新的灾难性的风险。如果系统的安全性存在问题,就可能有未经授权的数据更改或程序更改。如果系统开发流程存在问题,则会影响到整个系统的运行操作,从而影响到应用系统本身。
总而言之,计算机信息系统介入管理层对内部控制的评估,是一个非常复杂的过程,而IT系统本身不完善所造成的限制,又可能造成内部控制本身的水平降低、被测试者的效益降低、费用增加等一系列问题。
如何平衡IT部门与企业各部门之间的协作关系,保证各部门之间交流顺畅、监管明晰,并保证系统的安全可靠,对信息化建设相对薄弱的中国企业的IT部门来说,无疑是一个十分庞大的任务。
事实上,如果中国企业能够顺利通过萨班斯法的审计工作,深入研究IT治理,加强IT控制,降低风险,有效地实现公司治理,把公司治理与IT治理相结合、全面风险管理与IT治理相结合以及“六方”(CEO、CFO、CIO、COO、CKO、CMO)相结合的理念彻底贯彻下去,中国企业
-
注意:本网所刊登的文章,均仅代表作者个人观点,并不代表本网立场。