无IT系统支撑的内控测试与报告

管理会计

     SOX法案对上市公司最为严格的一项要求是定期的对外披露并签署内部控制执行情况，还须经过外部审计师的鉴证。该条款充分体现了美国证券监管机构及司法机构的管理智慧，即证据保留，责任连带的原则。因为英美法系遵循的是无罪假设，有罪举证的原则，通过SOX法案要求上市公司把所有证据保留下来并经过鉴证与对外披露，使得在美上市公司一旦被查出财务丑闻，管理层就无法逃避其法律责任，即或者因为签署的内控报告隐瞒了真实情况而承担欺诈的罪名，或者就是因为没有按照SOX法律规定签署内控报告而承担规避上市监管法规的责任。

    同样，会计师事务所也因为必须按照SOX法案鉴证企业披露的内控报告，而不得不承担连带的独立中介是否诚免尽职的责任。于是，无论上市公司还是会计师事务所在第一年中都投入了大量的人力与财力对企业内部控制的测试执行情况进行记录与报告。为此，企业的审计成本与合规成本都成倍增长，大量的测试组织、记录、报告工作都需要手工完成。

    这其中由于测试记录流程的非自动化又造成了很多重复工作及错漏现象的发生，同时，企业内控管理部门被如潮水般涌现出的控制缺陷报告搞得疲于应付，无法集中精力去关注企业整体流程及相关内控措施、风险设置的合理有效性，无法集中精力优化内控体系与业务流程以降低总体合规成本。这时候，很多企业开始考虑是否有合适的IT系统以支撑以后年度的内控测试报告、缺陷管理、签署管理、以及流程管理等工作。