國際內(nèi)部控制協(xié)會(huì)ICI內(nèi)控快訊:自動(dòng)化SOX控制測試

2019-07-04 17:14
0個(gè)贊

歡迎注冊(cè)內(nèi)控網(wǎng)賬號(hào),海量行業(yè)內(nèi)控測評(píng)表單內(nèi)控課程學(xué)習(xí)盡在內(nèi)控網(wǎng)www.neikong.com

自動(dòng)化SOX控制測試

作者:杰比金(jbelkin)

securityboulevard.com

2019年6月6日

 

畢馬威每年都會(huì)對(duì)來自不同行業(yè)和規(guī)模的100個(gè)組織中負(fù)責(zé)財(cái)務(wù)報(bào)告內(nèi)部控制(ICFR)和/或薩班斯-奧克斯利法案(SOX)的團(tuán)隊(duì)進(jìn)行調(diào)查,特別是針對(duì)負(fù)責(zé)財(cái)務(wù)報(bào)告內(nèi)部控制(ICFR)和/或薩班斯-奧克斯利法案(SOX)的團(tuán)隊(duì)。該結(jié)果最近發(fā)表在畢馬威2018年內(nèi)部控制調(diào)查中。

 

由于ERP系統(tǒng),如SAP和位于業(yè)務(wù)核心的Oracle 電子商務(wù)套件 (EBS),這些系統(tǒng)也必須是SOX審計(jì)的重點(diǎn)。業(yè)務(wù)關(guān)鍵型應(yīng)用程序(包括財(cái)務(wù))由ERP系統(tǒng)支持,問題很容易成為重大缺陷。因此,在降低實(shí)施和測試內(nèi)部控制的成本的同時(shí),有必要了解不同行業(yè)在保護(hù)財(cái)務(wù)報(bào)表完整性方面所做的最新工作。

 

我想在這里強(qiáng)調(diào)的畢馬威報(bào)告中最重要的一些結(jié)論是自動(dòng)化控制和最小化測試控制的成本。我還將討論這與ERP系統(tǒng)的關(guān)系。

 

71%的受訪企業(yè)希望控制自動(dòng)化

60%的受訪者表示,將測試控制的成本降至最低是首要任務(wù)

 

測試控制措施

 

控制措施可以是手動(dòng)或自動(dòng)的。在大多數(shù)情況下,自動(dòng)控制由ERP系統(tǒng)實(shí)現(xiàn)的,其余的手動(dòng)控制通常與需要人工標(biāo)準(zhǔn)的主觀任務(wù)相關(guān)。

 

在任何一種情況下,控制措施都必須由審計(jì)人員或SOX團(tuán)隊(duì)(在這種情況下)進(jìn)行測試。測試財(cái)務(wù)報(bào)告內(nèi)部控制(ICFR)的有效性是整個(gè)ICFR評(píng)估中最苛刻的任務(wù)。這項(xiàng)工作每年由獨(dú)立的外聘審計(jì)師進(jìn)行。但是,內(nèi)部團(tuán)隊(duì)通常采取更積極的方法,至少每季度評(píng)估一次財(cái)務(wù)報(bào)告內(nèi)部控制的有效性。

 

根據(jù)《2019年北美內(nèi)部審計(jì)脈動(dòng)》報(bào)告,上市公司只將30%的審計(jì)計(jì)劃分配給ICFR。此外,甫瀚(Protiviti)在其SOX成本、工時(shí)和控制基準(zhǔn)中指出,測試運(yùn)營有效性的關(guān)鍵控制措施是最耗時(shí)的。畢馬威的調(diào)查結(jié)果與這些來源相結(jié)合,有助于支持畢馬威的調(diào)查聲稱,“在大多數(shù)組織中,測試I財(cái)務(wù)報(bào)告內(nèi)部控制(ICFR)的有效性仍然是大多數(shù)組織中最耗時(shí)的活動(dòng)。”

 

對(duì)ERP的關(guān)注

 

您的ERP系統(tǒng)可能是需要評(píng)估的最重要的資產(chǎn),因?yàn)榇蠖鄶?shù)關(guān)鍵控制都在這些系統(tǒng)中。因此,ICFR的大多數(shù)測試都是在SAP系統(tǒng)中手動(dòng)執(zhí)行的。根據(jù)控制類型的不同,審計(jì)人員可以自己測試它,或者他們可能需要其他團(tuán)隊(duì)的幫助,比如IT和信息安全,這些團(tuán)隊(duì)可以訪問特定的數(shù)據(jù),并且具有SAP的理解來正確地檢索和分析它。

 

這不僅是一組繁重的手動(dòng)任務(wù),而且還是一組非常重復(fù)的任務(wù)。大多數(shù)關(guān)鍵控制措施每季度進(jìn)行一次ICFR測試。這還不包括基于相同或非常類似控制的其他合規(guī)性法規(guī)或內(nèi)部倡議行動(dòng)。當(dāng)公司擁有一個(gè)復(fù)雜組織——在SOX范圍內(nèi)有數(shù)十個(gè)ERP系統(tǒng)時(shí),這個(gè)痛點(diǎn)就會(huì)變得更加嚴(yán)重,你可以算一算加起來需要多少時(shí)間!

 

自動(dòng)化的需要

 

如果我們深入研究這個(gè)問題,財(cái)務(wù)報(bào)告內(nèi)部控制ICFR可以通過業(yè)務(wù)流程分開測試。畢馬威還對(duì)這些組織的流程控制平均數(shù)進(jìn)行了調(diào)查(例如固定資產(chǎn)、訂單到現(xiàn)金、采購到付款、人力資源和薪酬、財(cái)務(wù)等)。這個(gè)問題的結(jié)果強(qiáng)調(diào)了我們?cè)谡麄€(gè)組織中使用的技術(shù)的重要性和緊迫性。

 

ITGC *(IT 一般控制)擁有所有組織中最多的關(guān)鍵ICFR控制。

 

*ITGC(IT一般控制)通常包括安全性(加密、補(bǔ)丁管理),訪問控制(密碼策略,對(duì)敏感應(yīng)用程序和數(shù)據(jù)的訪問等),職責(zé)分離,變更管理和數(shù)據(jù)恢復(fù)控制。

 

ERP系統(tǒng)是所有核心業(yè)務(wù)流程的主要基礎(chǔ)。因此,ITGC變得更加重要,不僅從定量的角度,而且從定性的角度來看。

 

目前,ITGC在ERP系統(tǒng)中的測試是一項(xiàng)非常繁瑣的工作。審計(jì)人員(通常還有系統(tǒng)管理員)必須重復(fù)特定的步驟,截屏并將它們粘貼到word文檔中,作為有效步驟的證明。

 

2019年,我們?nèi)栽诓扇∵@些手動(dòng)步驟,這似乎適得其反。實(shí)踐中有足夠的證據(jù)表明,粘貼在word文檔中的一組屏幕截圖不是一個(gè)可靠的過程。更令人擔(dān)憂的是,在調(diào)查一家上市公司的財(cái)務(wù)報(bào)表時(shí),竟然會(huì)接受這種“證據(jù)”。SOX法案的最終目標(biāo)是確保每個(gè)上市公司財(cái)務(wù)報(bào)告內(nèi)部控制的可靠性來增加整個(gè)美國金融市場的可靠性。

 

管理層應(yīng)該把重點(diǎn)放在財(cái)務(wù)報(bào)告內(nèi)部控制ICFR的自動(dòng)化測試上,對(duì)IT一般控制的測試更是如此。這是一個(gè)雙贏的局面,因?yàn)樗粌H降低了手工工作的成本,而且還允許審計(jì)人員執(zhí)行更多的增值活動(dòng),提高了上市公司財(cái)務(wù)報(bào)告的可靠性。

 

近期課程安排:

《國際注冊(cè)內(nèi)部控制師CICS資格認(rèn)證》面授及網(wǎng)絡(luò)課程學(xué)習(xí)班:

報(bào)名鏈接:http://www.neikong.com/kecheng/detail_870826

聯(lián)系電話:010-68004176、68004186

聯(lián) 系 人:孫老師、邱老師

 

這篇文章對(duì)你有沒有幫助?有 0無 0
上一篇:國際內(nèi)部控制協(xié)會(huì)ICI內(nèi)控快訊2019年6月刊下一篇:南京大學(xué)舉辦內(nèi)部控制專題培訓(xùn)會(huì)