1,形成原因:
2001年2月,美國最大的能源公司安然公司突然申請破產保護。此後,公司醜聞不斷,規模也“屢創新高”,尤其是2002年6月的世界通信會計醜聞,“徹底打擊了(美國)投資者對(美國)資本市場的信心”(剛果報告)
為了改變這種狀況,美國國會和政府加速通過了薩班斯-奧克斯利法案(簡稱SOX法案),其另壹個名稱是《上市公司會計改革和投資者保護法案》。該法案的第壹句話是“遵守證券法,以提高公司披露的準確性和可靠性,從而保護投資者和其他目的。”薩班斯-奧克斯利法案為在美國上市的公司提供了合規性要求,這使得上市公司不得不考慮控制各種風險,包括IT風險。
2.內部控制信息披露的內容:
美國COSO的定義:內部控制是壹個受董事會、經理和其他人影響的過程。這壹過程將為實現以下目標提供合理的保證:業務的效率和效力、財務報告的可靠性以及遵守適用的法律和法規。資源的安全性也是運營效率和有效性的壹個組成部分。
內部控制由五個要素組成:
(1)控制環境:決定組織內部控制意識的基調是其他要素的基礎,包括:人的能力、誠實和道德價值觀;管理理念和管理風格;權責分配方式和人員組織開發方式;董事會的關註和指導。
(2)風險評估:組織面臨來自外部和內部的各種風險。風險評估的前提是建立目標,這些目標是在不同的層次上確定和協調的。風險評估是分析影響目標實現的風險因素,並為如何管理這些風險因素提供依據。由於經濟、產業、監管和運營條件不斷變化,因此有必要建立壹種機制來識別和處理這種變化所帶來的風險。
(3)控制活動:控制活動是由管理指令實施的政策和程序。這些政策和程序確保采取必要的行動來處理影響組織目標實現的風險。控制活動發生在壹個組織的所有級別和所有領域,包括授權、審查、檢查、再檢查、責任分離和資產安全(授權、核查、對賬、經營業績審查、資產安全和責任分離)。
(4)信息與溝通:為了使組織中的人員有效地履行職責,必須及時確認、捕捉和溝通相關信息。信息系統產生的管理、財務和合規信息是業務運營和控制的基礎。信息系統不僅包括內部信息,還包括外部相關信息。信息必須在組織所有層次的所有組成部分之間進行有效的溝通。每個人都應該從最高管理層清楚地知道,控制責任必須得到重視,每個人都必須了解自己在內部控制中的作用以及與他人的關系。每個人都要有向上溝通信息的手段。同時,我們必須與外部人員進行有效溝通,包括客戶、供應商、監管機構和股東。
(5)監控:內部控制需要監控,監控是評價內部系統運行有效性的過程。監測包括持續的監測活動和單獨的評價或兩者的結合。運行監控是使用過程中的監控。個體評估的頻率和範圍主要取決於風險和運行監控的效果。內部控制的缺陷應報告給上級,嚴重的問題應報告給高層管理人員和董事會。