在年度审计周期内, 公司肯定会向审计师提供大量信息. 这被称为被审计单位提供的信息(IPE),被认为是审计师用来得出用于形成审计意见的结论的所有类型的信息.
这可能包括测试内部控制或执行其他实质性程序. 对于那些接受萨班斯-奥克斯利法案(SOX)检验的公司, 提供给审计员的一项关键信息是财务报告. 因为报告对测试非常重要, 接受SOX测试的公司需要确保他们使用受控的和独立测试的应用程序来生成财务报告,而不是手动更新电子表格或不遵循或不符合SOX信息技术通用控制(ITGC)的应用程序。. 为了确保这些财务报告的完整和准确,ITGC的控制变得更加重要. 在公司的环境中, 审计人员通常会将报告的公众环境研究项目分为以下几类:
- 标准应用程序报告——这些报告是由拥有应用程序的供应商开发的. 公司没有能力修改或编辑这些报告.
- 自定义报告——这些报告是由公司的IT团队创建的, 基于业务团队设定的需求.
- 特别报告——这些报告是业务用户自己创建的,可以根据需要使用.
在使用自定义报告时,公司要考虑的一些最重要的ITGC控制是在报告上执行的变更管理过程. 有效的变更管理应包括:
- 确定在财务报告中使用的范围内SOX报告.
- 范围内的报告应该是基线, 这意味着如果报告在用户验收测试期间在源系统中,那么报告需要绑定回源系统或另一个报告/方法.
- 对报告的更改应在票务系统中记录.
- 业务用户应该为每个变更执行用户验收测试和基线测试.
- 来自业务和IT团队的批准应该在变更票据中执行和获取.
- 开发人员不应该有能力将他们自己的更改迁移到生产环境.
- 开发、质量保证(QA)和生产应该有独立的环境.
- 系统生成的报告更改日志应该可供审核员使用.
当在报告中存在无效的变更管理程序时, 比如没有跟踪变更的过程, 职责隔离问题或缺少日志记录, 公司可能需要实现额外的程序,以确保范围内的SOX报告是完整和准确的,并确保审计员将依赖这些报告. 这些额外的过程可能涉及重新创建报告并将数字与源系统联系起来, 确保它们是正确的. 它还可能涉及对所做的报告和更改进行定期审查,以确保更改是适当的.
最后,在财务报告中应谨慎使用特别报告. 临时报告通过其灵活性和对问题的调查为业务用户提供了价值. 然而,这种灵活性通常是以变更的控制和可审计性为代价的. 如果使用临时报告, 用户应该在每次生成报告时用报告记录参数. 即使记录了这些参数, 你的审计师很可能会为关键的财务报告争取一个更可控的环境.
整体, 公司需要有必要的流程,以确保在其环境中使用的所有报告都是完整和准确的. 这包括拥有正确的ITGC控制,特别是变更管理控制,以监视和跟踪这些报告的变更. IT和业务团队都需要一起工作,以确保正确的控制就位,报告准确无误. IT团队负责建立报告, 确保适当的用户具有访问权限, 确保报告在必要的时间表上运行, 报告中有正确的数据. 另一方面, 业务用户负责与IT合作设置所有必要的报告,并验证每个报告中包含的信息是否正确. IT和业务使用的参与, 以及对范围内SOX报告的强有力的变更管理控制, 确保公司在生成财务报告时提供准确和最新的数据.
欲了解更多信息,请访问我们专门的 萨班斯-奥克斯利法案解决方案页面 or bet9平台游戏.