SOX内部审计监管体系之设计和实现

第一章 引 言

1.1 课题背景
内部审计一直以来都是国有大中型企业加强内部管理，强化内在流程控制，规范公司行为的重要手段。过去内部审计一直以公司主体主导，在审计对象、要素、文档、流程等方面缺乏一定的标准和规范。进行 2000 年以来，随着国际金融危机以及安然、世通等公司丑闻的曝光，美国立法和监管机构意识到需要对内部审计进行规范，构筑一个面向各种行业和流程的世界规范。于是，2002 年 7 月 30 号美国总统布什签署颁布了《2002 年公众公司会计改革和投资者保护法案》。该法案简称《萨班斯 SOX 法案》。为了提高上市公司的透明度，防止类似事故的发生，除美国之外，英国和日本等国也先后颁布了类似的企业内部控制法案。中国也在 2008 年颁布了《企业内控基本法案》，又称 China SOX 或 C-SOX 法案，希望通过法律的形式来强制相关公司进行严格内部管理，以保障公司投资者利益。2010 年 4 月，国家财政部、国家证监会、审计署、银监会、保监会等五部门联合发布《企业内部控制配套指引》的相关政策，明确关于 China SOX 法案的实施时间计划：自 2011 年 1 月 1 日起企业内部控制首先在境内外同时上市的公司实施，自 2012 年 1 月 1 日起扩大到上交所、深交所主板上市的公司。
当前我国的国内主要国有大中型企业的管理主要是基于 KPI 考核驱动的管理方法。KPI 考核方式在提升了管理效率的同时，也很容易造成公司实际运营工作的割裂。从 2005 年开始，国内大中型企业也开始有步骤的开始推进《萨班斯法案》的实施，通过实施 SOX 法案，可以帮助企业在每个运营关键点能否真正预见可能遇到的风险，并有针对性的做出改进，在提高企业的管理的效率和水平基础上，保证公司的 SOX 内控条目能够得到有效的管理和跟踪，对于产生涉及到财务交易的所有内部作业流程，必须按照相关 SOX 法案的内容，做到可见、可控、可管理、可追踪并要具有内部反欺诈流程，这些流程还要求能够详细记录到交易源头[19]。通过构建 SOX 内部审计管理系统，通过 IT 系统的方式来固化和保障所有交易源头的可追溯，这样，SOX 系统就可以与财务报告流程、ERP 系统以及内部其他 IT 系统对接，并相互流程交错，保障 SOX 系统在财务交易中的每个流程：从交易开始、交易申请、交易批准、交易记录、业务流程处理和审计报告等相关活动紧密集成。可以说，IT 系统的准确性以及可控性是保证公司财务报告可控可见的基础，IT 系统控制至关重要[2]。IT 系统控制包括 IT 系统环境、计算机运维规范、操作系统和应用数据的访问、应用系统的开发和应用系统的升级。IT 系统控制的治理框架简称为 COBIT（ControlObjectives for Information and related Technology）框架。通过 COBIT 框架可以将系统运行与所需要的业务流程、IT 资源、信息规划、企业策略与应用目标联系起来，对业务信息以及相关的应用资源进行规划与处理。SOX 法案是目前国有大中型企业必须满足的法案，通过对内部流程的审计和规划，帮助公司进行规范的运营。建立 SOX 内部审计管理系统是具有以下有点：
一、以系统方式固化流程通过建设 SOX 内部审计管理系统，将内部的控制和审计流程利用系统进行固化，保障所有的内控和内审工作按照规范定义的进行。
二、快速定位问题和分析系统将所有的控制点和业务流程以系统的方式进行实时在线监控管理，在出现风险的时候，能够联动到相关的责任人，提高了问题定位、分析、响应的速度。
三、审计组织响应便捷性通过系统中的历史审计，能够便捷的组织审计过程，简化内审的步骤，提供一个提纲性的行动指南。

1.2 国内外现状及发展趋势
美国安然与世通事件作为 2000 年最大的财务丑闻引起了全世界的关注，如何规范上市公司财务信息披露，已经从传统的财务层面的问题升华为法律层面的问题。2002 年美国国会出台了萨班斯-奥克斯利法案 （Sarbanes-Oxley 法案，简称SOX 法案）。严格意义上，SOX 法案与信息系统没有太多的相关性，SOX 法案的重点在于突出财务和公司内控方面的规范和具体的要求。但法案中 404 条款对内控体系建设有明确要求: 公司除了有正确完整的财务报表外，还要有确保报表正确而完整的控制体系，公司管理层每年需对内控体系的运行效果进行评估，外部审计师要对内部控制体系和控制效果进行测试并出具审计意见。

第二章 相关技术介绍

作为一个高可用性、高可扩展性、高可伸缩性的大型软件平台，在面对海量数据与文档的业务挑战下，需要系统具有相应的关键技术进行支撑来实现全面的功能需求与最大可能的性能需求。以下部分是在 SOX 内部审计管理系统平台建设中引入的关键技术。

2. 1 页面缓存技术
本期各功能的操作和使用方式以 WEB 页面为主，WEB 页面和数据承载可能成为系统的性能瓶颈。通过采用数据缓存技术能很好大幅度提高页面的数据访问性能，为建立大容量 WEB 应用程序打下基础[6]。统一门户的页面使用缓存引擎通过 HTTP 请求存储和检索任意对象。缓存对于每个应用程序是私有的并且将对象存储在内存中。缓存的生存期与应用程序的生存期相同，也就是说，当应用程序重新启动时，将重新创建缓存。页面缓存策略的实施可以很好的解决那些请求多，而变化少的页面或是数据的性能问题，一旦我们为这些内容实施了缓存策略，那末在特定时间以内，如果有新的请求，系统会直接从内存中调出缓存的内容，反馈给 client，而不必每次都从数据库重新获得数据，再进行 html 转换后反馈。数据缓存：这里指的是利用 cache 进行数据缓存。关于 cache 的用法之前已经谈过，通常的做法是：对某些信息 insert 到 cache 中，并设置过期时间;每次调用cache 的时候，检查是否为 null ,如果是 null，重新 insert,负责直接使用 cache 中数据即可.当然也经常会采用文件依赖来动态更新 cache 数据。

第三章 SOX 内审管理系统的需求分析......................... 23-35
    3.1 系统目标 ......................23-24
        3.1.1 系统规划 ......................23-24
        3.1.2 建设目标 ......................24
        3.1.3 性能设计目标...................... 24
    3.2 系统功能需求 ......................24-26
        3.2.1 需要实现的功能描述 ......................24-26
    3.3 系统用例分析...................... 26-33
    3.4 系统业务流程图 ......................33
    3.5 本章小结 ......................33-35
第四章 SOX 内审管理系统的设计...................... 35-67
    4.1 设计原则 ......................35-36
    4.2 设计思路...................... 36-37
    4.3 总体设计概述...................... 37-38
    4.4 系统总体架构...................... 38-40
    4.5 数据库设计 ......................40-45
    4.6 接口系统...................... 45-46
    4.7 系统功能结构 ......................46-66
    4.8 本章小结 ......................66-67
第五章 SOX 内审管理系统的实现...................... 67-78
    5.1 详细设计和实现概述 ......................67
    5.2 构建开发环境...................... 67-68
        5.2.1 硬件环境 ......................67
        5.2.2 软件环境...................... 67-68
    5.3 系统整体实现...................... 68-77
5.4 本章小结 ......................77-78

结论

SOX 内审管理系统为满足监管环境和公司发展的要求，特别是遵从《萨班斯法案》相关条款以达到对公司内部控制记录、评测、审计、报告、披露和归档等方面的要求，以及支撑正在推进的核心流程审计工作。该系统不仅要及时（更新）准确(描述)、充分反映公司“内控手册”的架构和内容，实现和发挥“内控手册”在公司内部控制体系建设和运行期间的长效指导作用；同时，也希望借此建立以风险管理为核心的内部控制体系，完善公司审计监督机制，实现对公司业务流程的高效管理，全面提升公司管理水平。在 SOX 内审管理系统的设计和实现过程中，笔者严格按照现代软件工程的设计要求，利用 UML 建模，从 SOX 法案的内在要求出发，通过企业内部的功能要求，进行需求分析入手，综合利用 ORACLE 数据库、J2EE 技术，实现面向对象的SOX 内审管理应用系统。
通过对 SOX 内审管理系统的测试试用，我们发现 SOX 内审管理系统运行效果在总体上是良好的。在 SOX 内审管理系统在企业内部测试运行中，我们发现系统的操作方便，功能强大，数据存储准确，统计分析维度广，适合企业操作，能够提升企业内部操作员和管理员的工作效率。另一方面，SOX 内审管理系统在某些方面有有一定的问题。比如数据库的应用数据备份与数据容灾方面，该系统由于数据量大，跨接到多个应用系统，在数据备份和容灾处理上面，还缺少一定的支撑能力。此外，系统还有一些用户体验和人性化的地方需要进一步的改善。#p#分页标题#e#

参考文献
[1]张友生,徐锋.系统分析师技术指南[M].北京:清华大学出版社,2004
[2]管理信息系统开发案例分析[M].北京:清华大学出版社,北京交通大学出版社
[3] Oracle Database 9i/10g/11g 编程艺术：深入数据库体系结构.北京:人民邮电出版社，2011
[4] 西尔伯沙茨.数据库系统概念. 机械工业出版社，2006
[5] Bruce Eckel. Java 编程思想. 机械工业出版社，2006
[6] 孙卫琴. JAVA 面向对象编程. 电子工业出版社 2006
[7] 陈刚. Eclipse 从入门到精通. 北京:清华大学出版社,2007
[8] 邬继成 J2EE 开源编程精要 15 讲. 电子工业出版社 2008
[9]JamesF./nbsjlw Kurose，KeithW.Ross.计算机网络[M].北京:清华大学出版社，2003.
[10]IvarJaeobson，GradyBooeh，JamesRumbaugh.统一软件开发过程[M].北京:机械工业出版社，2002.