IT企业风险管控的坚实后盾

摘要：企业如果构建IT内部控制系统时必须从全局考虑，借鉴国际内部控制框架及国际最佳实践经验，构建一套系统化、标准化、可审计、可持续改进的IT内部控制系统。

关键词：IT风险风险管控

金融危机让我们感觉到了寒冷，近两年的过渡，寒冷的的冬天终于让企业看到了春天的温暖。进入后危机时代的企业在不断的反思，是什么造成了金融危机的产生，在应对金融危机的过程中企业面对着强大生存环境的限制，当经历了这场“浩劫”以后，生存下来的企业则需要不断的在反思，在应对危机的过程当中,企业究竟有没有办法来抵制外来的风险？ 而对于内中混乱的管理,又如何来加强建设？尤其针对于大型的企业。从行业的角度来讲，雷曼兄弟的破产成为此次金融危机的“导火线”，进入后危机时代的企业用户逐渐关注到企业内外控制以及风险管理的重要性，而早在2008年5月就颁布的《企业内部控制基本规范》（以下简称内控）自2010年1月1日起，国内将首先在上市公司范围内施内控，这个被称为“中国版的萨班斯法案”是由财政部、证监会、审计署、银监会、保监会联合发布的我国第一部“企业内控规范”。内控的推出正为企业内部控制和风险管理的指出了方向。

IT——企业内控与风险管理的基础

对于上市企业，企业内部会设置专有的内控部门或者合规部，许多的上市企业或者大型的企业认为，内控是企业合规部的事情，和企业的IT没有太多的联系，但实际的情况并非这样。当前IT系统越来越多地对业务经营活动进行自动化处理，这就需要IT提供必要数量的控制程序。因此，遵循萨班斯法案的程序需要包括基于IT系统的控制程序。对大多数企业而言，IT在建立与保持有效的财务报告内部控制方面将发挥重要作用。通过运用整合的ERP系统，或综合运用各种经营管理、财务管理方面的软件，IT系统将为有效的财务报告内部控制系统提供强有力的支持。

内控和风险管理是企业发展战略、战略执行的一个核心组成部分。很多大的企业由于内控和风险管理缺陷，出现了很多问题。因此，从企业内部自身来讲，需要一个系统性规范来建立企业内部的风险管理体系。资料显示，本次出台“基本规范”的意义在于：将内控和风险管理界定为一个长期管理的规划。而这个规划的实施不能一蹴而就，必须从企业整体发的角度加以设计和实施；“基本规范”所界定的管理是全员参与的过程。它不是一个部门或一个管理领域体系所能够单独来完成的。

“基本规范”是一个完整的系统，其中的各个部分一定是可操作、可运行的体系机构；“基本规范”一定是可计量、可定型的过程；“基本规范”是一个企业管理思想和技术手段结合的系统。而这金融危机带给我们的最大教训就是加强风险的监管力度，如何更好的进行风险管理已经成为政府、以及银行等机构重要的课题。

内控及风险管控的现状

部署企业内部控制几乎离不开IT，即使业务控制也是在IT支持环境下的控制。因此，部分在企业完善内部控制几乎可以说是完善IT内部控制，包括IT一般控制和IT应用控制。但目前存在很多的不足，主要是几方面的原因：

1. IT专业人士，尤其是管理层，缺乏内部控制理论与实践来满足萨班斯法案的要求。

法案的要求使很多人认为，IT专业人士应该对其负责的IT系统所产生的信息质量及完整性负责，但问题在于，大多数IT专业人士对复杂的内部控制并不精通或了解，难负其责。尽管这并不说明IT人员没有参与风险管理，但至少IT管理层没有按照组织管理层或审计师所要求的形式进行正式的、规范化的风险管理。 PCAOB指出首席信息官（CIO）们现在必须面对以下的挑战：（1）增强他们有关内部控制方面的知识；（2）理解企业所制定的总的SOX遵循计划；（3）专门针对IT控制拟定一个遵循执行计划；（4）把这个计划与总体的SOX遵循计划相整合。

2 缺乏系统的内部控制制度

事实上，每个电信企业都或多或少会都有一些IT内部控制制度，正是由于第一点原因，这些制度基本是由技术管理者制定，他们缺乏规范化风险管理的经验，这些IT控制制度可能不太规范，控制政策程序不太完善， IT控制制度一般存在于系统安全和变更管理等一些一般控制领域，缺乏从公司透明度角度出发的、结合支持业务流程的完整的内部控制制度。所以这也是在国内企业在符合萨班斯法案的道路上，问题最多的领域。

3.现有的IT内部控制不具有可审计性

萨班斯法案相关的条款要求上市公司必须有足够的证据证明内部控制的有效性，这就要求企业必须有完善的内部控制流程及审计轨迹，在控制发挥作用的同时生成相应的文档记录，以便在对内部控制设计及运行的有效性进行评价时有足够的证据。我国的电信运营商的IT控制程序相对其他行业企业而言还是比较完善的，但距离萨班斯法案的要求还很远。很大的一个差距是我们内部控制流程设计及运行的可审计性不具备。很多企业有厚厚的规章制度，但是否执行、执行是否有效却没有关注、或没有证据进行评价。

建设基于IT的风险管理有章可循

由于不企业的信息化水平不一样， 有高有低。如金融、电信领域对于其业务对IT的依赖程度也比较高。因此依照萨班斯法案要求，完善与财务报告有关的内部控制时，IT非常重要，可以说，没有IT的支撑，这些领域的企业只能终止自己的业务。对于此，作为对于迫切需要IT的支撑，又必须要满足达到企业的内控要求， 作为CIO,应该如何来协作管理部门来做好企业的内控建设，笔者认为，主要有以下几点：

1.改善企业控制的IT环境

内控的控制在企业中最重要的两方面的控制，一是财务的控制；二是IT本身的控制。财务可以使用遵照国家颁布财务相关法律来严格执行，使财务的更加透明化、更加可控。而对于IT本身的控制要提高IT硬件环境的控制，比如机房的的部署，服务器的部署，除了选安全可靠的硬件产品以外，在软件产品方面也要提供可控的环境，避免形成由软件服务商主导的策略，要达到让把IT的软硬环境都可控的阶段。

2.加大风险管理范畴

风险管理涉及到方面，IT是一方面， 另一方面就是企业业务、管理人员，要培养提高企业风险管理的经营意识，加大过去只是专注于“发现问题、解决问题”的阶段，而要主动的转变为积极的“防御状态”。管理的范畴也应该扩建成全员、全过程的控制。

3.业务流程控制与IT的控制成为重点

IT是帮助企业解决问题的一个重要工具或者手段，一个企业只有把企业的流程做清楚 了，才能让IT发挥它最大的价值。对于业务流程的控制和IT的控制是内控的一个关键，作为CIO不仅仅要懂得IT的技术，还要懂得管理，更要懂得企业的业务，在企业中CIO虽然没有管理业务的权力， 但能让IT来为业务做支撑 ，因此，做好的IT的管控也就做好业务的管控。因此，在内控中，CIO的角色同样至关重要。

总结，企业如果构建IT内部控制系统时必须从全局考虑，借鉴国际内部控制框架及国际最佳实践经验，构建一套系统化、标准化、可审计、可持续改进的IT内部控制系统。

责编：

泰安西服定制

烟台西服定做

黑龙江定制西服