IT环境下对企业内控的思考.docVIP

那么，对于企业内部的IT建设与控制而言，企业内部控制规范的实施会带来怎样的影响呢?CIO们如何系统考虑从企业IT的内部控制建设来保障企业内部控制。本文从IT内部控制与IT风险管理的角度，阐述企业IT控制与企业内部控制之间的关系。现在大部分上市公司和大型企业，其企业运营已基本依赖于企业的各种信息系统，已经基本完成了企业信息化的初步建设，因此企业的内部控制就离不开企业IT的控制。　　企业内部控制规范与IT内部控制的关系　　企业内部控制基本规范包含的五要素框架：　　(一)内部环境。(二)风险评估。(三)控制措施。(四)信息与沟通。(五)监督检查。相应，IT内部控制框架也应对应于企业内部控制的五要素框架：　　(一)IT内部控制环境。内部环境在企业IT领域的体现是IT的内部控制环境，同样IT内部控制环境是实施IT内部控制的基础。主要包括IT治理架构、IT组织与职责，IT决策机制，IT合规与IT审计等。　　(二)IT风险评估。企业信息化带来的IT风险已经成为企业风险管理的主要方面。风险评估主要包括目标设定、风险识别、风险分析和风险应对。IT目标设定可以理解为IT战略与IT规划，IT风险识别与分析应对包括对信息资产的风险、IT流程的风险以及应用系统的风险识别分析与应对。　　(三)IT控制措施。针对风险评估的结果，在IT方面需要实施具体的IT控制措施，包括IT技术类控制措施，如防火墙、防病毒、入侵检测、身份管理、权限管理等，以及IT管理类控制措施，包括各类IT管控制度与流程，如开发管理、项目管理、变更管理、安全管理、运营管理、职责分离，授权审批等。　　(四)信息与沟通。在IT领域也需要明确具体的IT管理制度和沟通机制，建立服务台与事件管理程序，及时传达企业内部层级之间和与企业外部相关的信息。　　(五)监督检查。需要建立IT内部控制体系的审核机制，评价IT控制的有效性。通过IT技术手段如日志、监控系统、综合分析平台等，和管理手段如内部IT审核、管理评审、专项检查等措施，不断改进企业的IT内部控制。综合分析IT内部控制的组件，我们可以将IT的控制分为三个层面：　　(一)公司层控制。在公司层面建立IT治理架构，完善IT组织与职责，制定IT决策机制，实行IT人员绩效考核，加强IT合规与IT审计。　　(二)流程与应用层控制。分析企业业务流程与活动，在企业业务流程、应用系统层面与通用IT流程层面建立控制，重点关注与财务报表相关的各种业务与应用系统的技术控制与流程控制。　　(三)资源层控制。针对企业业务运作所依赖的各类信息资产和IT资源，分析具体每个资源点的风险，建立风险控制措施。IT内部控制实施思路　　企业内部控制规范并没有对IT控制的目标和相关的控制活动做出明确的规定。COSO并没有提供IT 控制方面的详细控制目标和控制方法，从而进行IT治理。直到 COBIT(直译为信息及相关技术的控制目标)被提出来以后，IT 治理才有了一个开放性的标准，目前其已成为国际上公认的最先进、最权威的信息安全与信息技术管理和控制的标准。所以建设和完善IT内部控制体系的指导框架必须同时结合企业内控框架和COBIT标准。　　我们建议国内企业采用企业内部控制规范作为内控评估标准，结合国际上普遍采用COBIT框架作为IT 控制的标准，将COBIT的相关IT控制目标与COSO五个要素关联起来，设计符合规范要求的IT内部控制体系。　　建议首先需要对IT相关的风险进行评估，建立IT控制矩阵，以COBIT为参照依据，选取其中适合本身业务特点、复杂性和需求的控制流程和控制目标为对象，建立IT内部控制框架，作为后续制定控制文档体系和测试的基础。　　另外一般企业或多或少已经建立了一些具体的IT控制措施，在建立IT内部控制体系时要充分考虑并整合企业原有的控制措施。针对每个风险点建立控制措施，逐步从技术和管理两方面落实具体措施，并建立体系化运作与审核办法。实施IT内部控制体系主要可以三个层面进行：IT公司层面、IT一般控制层面及IT应用程序控制层面。　　IT公司层面涉及如下四个方面：　　1政策制订：公司整体的IT治理架构、决策机制和IT基本策略　　信息与沟通：IT制度的发布，沟通机制与管理程序　　 风险评估：建立风险评估流程和IT风险矩阵，包括信息资产评估程序，流程风险评估　　监控检查：建立IT技术监控措施，内部IT审核、管理评审、专项检查等措施　　IT一般控制层面主要包含以下几个方面：信息系统的开发和实施：开发与实施活动的管理、项目启动、需求分析与设计、系统自行开发管理;　信息系统的建设与软件包的选择、测试和质量保证、数据转换、上线、文档与培训等;　　3信息系统的变更和维护：授权和跟踪变更申请、系统编