企業(yè)內(nèi)部控制與合規(guī)，應從IT抓起

申請免費試用、咨詢電話：400-8352-114

信息化與風險管理緊密相連，隨著信息化應用的逐步深入，企業(yè)的日常運營越來越依賴于IT系統(tǒng)的支撐，IT風險正成為管理層、監(jiān)管部門重點關注的對象，IT內(nèi)控也逐漸成為企業(yè)內(nèi)部控制的重要組成部分，并成為審計對象之一。

IT，為內(nèi)控夯實根基

信息化與風險管理緊不僅是整個企業(yè)業(yè)務的重要支撐，也是對企業(yè)運營活動進行控制的重要輔助手段。以具體運營流程為基礎展開的IT控制，直接關系運營活動的實施。IT控制分為IT一般性控制和應用系統(tǒng)控制兩種。SOX法案所規(guī)定IT一般性控制，主要包括信息系統(tǒng)開發(fā)流程的控制、程序變更管理控制、計算機運行管理控制、程序與數(shù)據(jù)訪問控制、信息系統(tǒng)安全的控制，還有IT計劃等。在一般性控制之外，還有應用系統(tǒng)的控制，包括應用系統(tǒng)中設置的有關業(yè)務流程的輸入、數(shù)據(jù)處理和輸出控制等。

以IT為基礎和手段的控制方法，效率要明顯高于傳統(tǒng)手工或基于紙張的控制方式；利用IT固化內(nèi)控流程可以簡化企業(yè)的內(nèi)控過程，降低內(nèi)控成本，優(yōu)化內(nèi)控項目的成本效益比，并幫助企業(yè)達到內(nèi)控效力持續(xù)性的要求。IT的規(guī)范化操作程序以及信息系統(tǒng)的信息備份功能，能夠降低內(nèi)控審計的難度。

IT管理者應該清晰地認識到，IT在企業(yè)建立內(nèi)部控制中的優(yōu)勢和承擔的責任。由于信息技術的復雜性，IT部門有責任幫助和配合企業(yè)其他部門建立合適的“IT控制”——這不僅能夠幫助企業(yè)達到內(nèi)部控制的要求，也有利于提升IT在企業(yè)中的價值。

基于IT的控制內(nèi)容

基于IT的內(nèi)控制度至少應涵蓋以下6方面內(nèi)容：

一、信息處理部門與使用部門權責的劃分

無論企業(yè)的信息處理部門組織結構如何，都必須與使用部門進行明確的權責劃分，并且成文定義。明確定義的權責將加強信息處理部門與使用部門間的溝通和相互理解，避免推諉和責任不清造成的管理漏洞和效率低下。

二、信息處理部門的功能及職責劃分

由于信息系統(tǒng)的特殊性，信息處理部門本身的功能和職責劃分是復雜的。功能和職責的復雜性增加了IT服務和運營的風險，所以必須建立相應機制加以管理。信息處理部門管理者首先必須明確本部門在整個企業(yè)中起到的作用和承擔的角色，明確提供的服務和相應的責任，并且成文定義。

三、系統(tǒng)開發(fā)及程序修改的控制

系統(tǒng)開發(fā)和程序修改主要包括兩部分：新應用軟件的開發(fā)和實施、現(xiàn)有應用軟件的變更和維護。新應用軟件獲得和實施失敗風險很高。為了降低這種風險，企業(yè)應該建立成體系的軟件開發(fā)質(zhì)量控制方法，比如標準軟件開發(fā)工具和IT構件的選用。

四、程序及資料的存取、數(shù)據(jù)處理的控制

程序和數(shù)據(jù)存取訪問控制需要技術和管理兩方面的共同保障。首先，信息和系統(tǒng)安全技術是防止非法訪問的有效方法，比如各類密碼保護、防火墻、數(shù)據(jù)加密存儲、密鑰技術等。其次，需要從管理和流程上保證程序和數(shù)據(jù)的訪問安全，最重要的就是建立完善的系統(tǒng)用戶管理制度。

五、檔案、設備、信息的安全控制

由于信息技術的廣泛使用，信息安全一直是信息處理部門和信息使用部門極其關注的一個問題。信息資產(chǎn)安全的漏洞可能造成機密信息外泄、病毒入侵等問題，嚴重的信息安全問題可能危及整個企業(yè)的運營，造成財務和聲譽上的重大損失。

六、在網(wǎng)站上進行公開信息披露活動的控制

在網(wǎng)站上進行公開信息披露活動，需要信息處理部門與企業(yè)執(zhí)行層和內(nèi)部控制體系其它部門的緊密聯(lián)系。為了保證信息披露的正確性和及時性，企業(yè)應該制定一套流程進行信息披露活動的管理，包括網(wǎng)站上的信息披露。

IT內(nèi)控，從何做起

IT內(nèi)部控制應該滿足“目標設定，內(nèi)部環(huán)境，風險確認，風險評估，風險管理策略選擇，控制活動，信息溝通，檢查監(jiān)督”這八個要素的要求。需要強調(diào)的是，IT內(nèi)部控制并不是孤立的，它是企業(yè)以業(yè)務目標為主導的整體內(nèi)部控制項目的一部分。

簡單來說，企業(yè)必須首先確定主要經(jīng)營活動以及與這些經(jīng)營活動相關的業(yè)務流程和活動，劃分內(nèi)部控制的工作范圍。其次，企業(yè)在工作范圍內(nèi)定義具體的控制對象。再次，針對控制對象，進行風險分析、評估，決定每項風險的管理策略，制定企業(yè)具體的控制程序、控制目標以及審計標準。然后，對現(xiàn)行的運作，實施變革以達到預定目標。最后，評價控制措施的實施后果，加以鞏固或改進。

IT內(nèi)部控制必須遵循企業(yè)的內(nèi)部控制機制和策略，確保IT控制符合企業(yè)內(nèi)部控制的基調(diào)。此外，IT內(nèi)部控制還擔當支持企業(yè)高層管理活動的責任，在企業(yè)內(nèi)設定業(yè)務目標，確立企業(yè)政策，在組織資源配置及管理決策時，IT負責輔助企業(yè)制定政策方針并在組織內(nèi)部傳達交流。

IT內(nèi)部控制可以歸納為企業(yè)控制、應用控制和基礎控制三個層次，企業(yè)層面的控制決定了IT內(nèi)部控制的基調(diào)；應用層面的控制與業(yè)務流程相結合，體現(xiàn)在應用系統(tǒng)中；基礎層面的控制則體現(xiàn)在IT服務過程中。

面對即將于2009年7月實施的《企業(yè)內(nèi)部控制基本規(guī)范》，上市公司急需一套普遍適用的IT內(nèi)部控制方法論以滿足《企業(yè)內(nèi)部控制基本規(guī)范》的要求，協(xié)助IT部門建立合適的內(nèi)部控制機制；上市公司還需一套可操作的行動指南和評價體系，指導企業(yè)在進行IT控制的同時，方便審計機構制訂評估標準，并有利于雙方就審計細節(jié)達成一致。（e-works）