| 出版日期:2004-08-09 总期号:1337 本年期号:58 |
|
 |
莎氏法案404条:CIO的定时炸弹
作者:John R. Logan 编译:袁子 CIO们正坐在一颗定时炸弹上,但是他们大都浑然不知。 莎氏法案中,有一个条令在今年生效:CIO们要证明其公司的IT内部控制系统的有效性。绝大多数CIO们错误地认为他们已经做了足够多的工作来遵守规定,实际上还远远不足以通过外部审计。 事实是,80%以上的CIO们还没有认识到他们的实际责任所在。问题在于,CIO们与其公司的外部审计师和上市公司会计监督委员会PCAOB间缺乏充分的沟通。 莎氏法案明确规定了外部审计师和公司CIO之间的交流方式。而PCAOB,至少3个月之内不会发布IT控制评估指南。 同时,IT管理机构已经发布了关于如何确定IT控制遵守规定的大量指南。坏消息是,要实施这些指南,还有大量的工作要做。改进IT组织的大量工作需要由公司的IT专业人员开展,而他们对于莎氏法案404条好像并不太了解。 还有更糟的情况。一个骇人听闻的消息是,财年在2004年11月14日后结束的公司,内部控制的评估必须由美国上市公司的所有外部审计师完成、签字。 对那些公司本财年到12月31日结束的CIO们来说,这意味着评估必须在2004年底前完成。事情还没有结束:评估过程还会不断增加新内容。内部控制的重要变化必须每季都得进行评估和汇报,所有的内部控制则必须一年评估一次。 这最终改变了CIO们的管理方式。在404条规定下,作为本职工作的最低要求,CIO们必须获得外部审计师对其IT控制的肯定评估。不遵守规定,忘记最终期限,或者内部控制存在重大控制弱点,都会理所当然地损害到公司股东的利益和业务关系,当然也会有损于执行官的职业生涯。 编者注:2002年7月30日,美国总统布什签署了《2002萨贝恩斯—奥克斯利法案》Sarbanes-Oxley Act of 2002(又称莎氏方案、索克斯法案)。其中第404条对上市公司提出了评价及披露内部控制的要求。 |
||||||||||||||||||||||||
