金融危机发生之后，大部分企业开始有针对性地加强内控管理，但内控尚没有形成一种常态。调查表明，半数以上企业风险管控不到位。
　　信息化与风险管理紧密相连，随着信息化应用的逐步深入，企业的日常运营越来越依赖于IT系统的支撑，IT风险正成为管理层、监管部门重点关注的对象，IT内控也逐渐成为企业内部控制的重要组成部分，并成为审计对象之一。
　　信息化与风险管理不仅是整个企业业务的重要支撑，也是对企业运营活动进行控制的重要辅助手段。以具体运营流程为基础展开的IT控制，直接关系运营活动的实施。IT控制分为IT一般性控制和应用系统控制两种。美国SOX（萨班斯）法案所规定IT一般性控制，主要包括信息系统开发流程的控制、程序变更管理控制、计算机运行管理控制、程序与数据访问控制、信息系统安全的控制，还有IT计划等。在一般性控制之外，还有应用系统的控制，包括应用系统中设置的有关业务流程的输入、数据处理和输出控制等。
　　以IT为基础和手段的控制方法，效率要明显高于传统手工或基于纸张的控制方式；利用IT固化内控流程可以简化企业的内控过程，降低内控成本，优化内控项目的成本效益比，并帮助企业达到内控效力持续性的要求。IT的规范化操作程序以及信息系统的信息备份功能，能够降低内控审计的难度。
　　2008年，备受关注的《企业内部控制基本规范》由财政部、证监会、银监会、保监会及审计署等五部委会联合发布，被喻为“企业的体检表”，该规范是我国首部“企业内控法规”。《企业内部控制基本规范》推出至今，已经引起很大的关注，是中国资本市场规范动作走出了具有历史意义的一步，也是中国企业自我内部管理完善的重要依据。尽管《企业内部控制基本规范》实施日期由今年的7月1日延期至2010年1月1日，对于国内上市公司和众多大中型企业而言，企业内控已经成为不可回避的话题，而IT内控则日益成为企业IT管理者关注的重点。为了了解国内企业IT内控现状及IT管理者对其的认知情况，本刊于6月份在读者中做了本次调查。
　　功能及职责划分日渐清晰
　　IT管理者应该清晰地认识到，IT在企业建立内部控制中的优势和承担的责任。由于信息技术的复杂性，IT部门有责任帮助和配合企业其他部门建立合适的“IT控制”—这不仅能够帮助企业达到内部控制的要求，也有利于提升IT在企业中的价值。
　　无论企业的信息处理部门组织结构如何，都必须与使用部门进行明确的权责划分，并且成文定义。明确定义的权责将加强信息处理部门与使用部门间的沟通和相互理解，避免推诿和责任不清造成的管理漏洞和效率低下。
　　由于信息系统的特殊性，信息处理部门本身的功能和职责划分是复杂的。功能和职责的复杂性增加了IT服务和运营的风险，所以必须建立相应机制加以管理。信息处理部门管理者首先必须明确本部门在整个企业中起到的作用和承担的角色，明确提供的服务和相应的责任，并且成文定义。
　　在国内企业，信息处理部门本身的功能和职责划分正日渐清晰。在问到“是否有一个明确的职责分工以计划、管理和控制电子数据处理工作”时，60.10%的读者表示自己的单位已经做到这一点。而针对“是否对不同岗位、级别的工作人员设置不同的操作权限，并且得到认真执行？”的问题，则有72.00%的读者表示已经做到这一点。这一比例说明，国内企业的IT管理者已经开始意识到信息处理部门的功能及职责划分的重要性；另一方面，从对于不同工作人员设置操作权限的做法来看，也已经得到较为广泛的认可。
　　企业管理控制的主要目的在于规范运作，防止发生经营风险、合规风险及财务报告风险。传统认为内部控制更多关注防范财务报告风险，实际企业中更多的管理控制还存在于防范经营风险，如授权、审批、合同、价格、安全生产等日常经营业务流程中的风险控制；合规风险，如满足法律、审计、税收、环保等外部强制性管理流程的要求。
　　随着企业管理幅度与深度的不断加深，以及企业流程自动化水平的不断提高，内部控制已经与流程管理紧密地结合在一起。以往的手工流程逐渐被自动化设备、信息系统所取代，传统的通过组织会议、定期报告了解业务流程运作情况及管理控制情况的方式已经不再适合；大量的业务流程被自动化运转的机器设备、信息系统所执行，不再像过去那样一个资深的业务人员就能够很好的描述企业实际运作的各个流程。如何将被系统固化的业务流程重新展现出来，如何全盘地了解企业各业务流程中的风险控制系统执行情况。这些问题都是现代企业内控管理者所关心的问题。
　　在本次IT内控调查中也发现，伴随企业IT建设的深入和与流程管理的结合，如何通过IT手段实现业务流程管理，也成为当前企业IT管理者关注的重心。
　　流程管理有待加强
　　对于国内企业而言，利用IT固化内控流程可以简化企业的内控过程，降低内控成本，优化内控项目的成本效益比，并帮助企业达到内控效力持续性的要求。所以，IT也已经成为企业内控的重要手段。而对于IT管理自身而言，必要的流程管理可以加强IT系统开发及程序修改的控制。
　　系统开发和程序修改主要包括两部分：新应用软件的开发和实施、现有应用软件的变更和维护。新应用软件获得和实施失败风险很高。为了降低这种风险，企业应该建立成体系的软件开发质量控制方法，比如标准软件开发工具和IT构件的选用。在本次调查中，对于“是否对任何系统或软件的应用以及随后的修改都经过适当的批准”这个问题，54.30%的读者选择了是，表示已经做到上述要求。而37.00%的读者则选择了“否”。另有8.70%的读者选择了不适用于本单位。这说明在流程管理的规范方面，还有相当一部分企业做得不够严谨。
　　对比一下，对于可追溯性的调查，我们可以发现类似的结论。在回答“是否保留完整的记录以便追踪软件和系统的使用”时，仅有57.20%的读者表示，已经保留完整的记录；另有35.80%的读者回答“否”；还有6.90%的读者表示不适用于自己的企业。针对“新系统实施前是否先要经过测试检查”这样的问题时，57.00%的读者表示已经做到。40.00%的读者表示企业没有做到。另有3.00%的读者则表示这一条不适用于自己的企业。
　　程序和数据存取访问控制需要技术和管理两方面的共同保障。首先，信息和系统安全技术是防止非法访问的有效方法，比如各类密码保护、防火墙、数据加密存储、密钥技术等。其次，需要从管理和流程上保证程序和数据的访问安全，最重要的就是建立完善的系统用户管理制度。
　　在本次调查中，针对数据处理是否合规，本刊专门设计了问题。在回答“电子数据处理的规定和程序是否按照管理需要和已知法律法规的要求设计”时，65.90%的参与调查的用户表示已经能够做到这一点；13.90%的读者表示没有达到上述要求。另有20.20%的读者认为这并不适用于本单位。从上述的内容可以发现，一方面信息处理的合规性已经得到大多数企业IT管理者的认可，另一方面，也还有不少企业对于其重要性认知有待提升。与此相类似，在回答“电子数据处理的规定和程序是否被有效地执行，以保证被处理数据的可靠性和安全性”时，65.00%的参与调查的用户表示已经能够做到这一点；而17.00%的读者表示企业尚没有达到上述要求；还有18.00%的读者认为这并不适用于自己的单位。
　　持续风险管控的企业不到半数
　　信息化要顺利走向成功，必须进行有效地管理风险，而认识并理解企业信息化的每一个阶段的主要目标与工作内容，掌握信息化风险管理的方法，准确进行风险分析是有效风险控制的关键。高度重视信息化风险的存在，无需惧怕，不必回避，定期分析，重点突破，有效管理，并且通过一套成熟、系统的方法进行有效地管理，才能真正规避风险的发生，降低风险的影响，使企业的信息化进程在有序、稳定的状态下进行。
　　要有效地管理信息化风险，先要对信息化有一个正确的认识。企业的信息化不是一两个项目的问题，它是一个持续不断的过程，由IT需求明晰、IT系统实施和IT应用与持续改进三个阶段不断循环构成。IT需求明晰阶段主要明确企业信息化的价值与目标，明确企业的IT需求，获得企业一把手与高层的理解和支持；IT系统实施阶段主要是在确定的项目范围、成本、进度和质量控制下完成本阶段信息化项需求，实现企业信息化的目标；IT应用与持续改进阶段主要由大量日常工作构成，通过不断地实践、系统地使用，实现IT系统价值，进而发现新的IT需求。
　　在这个持续不断的过程中，信息化的其风险表现与影响也是不同的。比如在需求明晰阶段出现IT需求不明，在系统实施阶段出现企业上系统不合适，而在应用过程中又贪大求全，不顾实际，硬性推行，在后期系统部分上线后丢失了持续的管理与跟进，这些都会影响企业的信息化进程。
　　开发和获取应用系统是组织实施信息化的核心内容，但开发和获取应用系统是一个高风险的过程。首先，如果组织所开发的应用系统不能准确地反映业务目标，将产生IT 应用与业务需求之间的逻辑错位风险；如果应用系统开发过程不能遵守相关规范和内置充分的安全措施措施，IT应用将面临系统脆弱性风险；如果应用系统不能经过严格的各种测试，IT应用将面临可靠性风险；如果应用系统不能周密地迁移、过渡到生产环境，IT应用系统将面临可用性风险。
　　此外，应用系统风险还表现在应用控制方面：业务安全控制点是否在应用系统中得到有效实施；在应用系统中是否仅有完整的、准确的和有效的数据被输入和更新；处理过程是否完成了正确的任务；处理结果与预期目标是否相符合；输出数据是否得到了维护。
　　在本次调查中也发现，国内企业虽然对于IT管控有了一定的认识和应对措施，但是在做到持续的风险管控方面尚有一定的差距。在回答“是否对计算机产生的数据进行定期检查”时，有62.00%的读者选了“是”。这表示有一半多的企业能够做到对信息数据进行定期检查。在回答“是否跟踪所有已发现的错误，以确保其已被解决，并且错误纠正工作得到了良好控制”时，也有58.00%的读者表示能够做到。当然，同时也有35.00%的企业表示不能做到，另有7.00%的读者表示不适用于自身的企业。
　　应该说，对于上述问题的回答至少反映了国内企业在风险管控方面已经开始着手一些基本的工作，也有了一定的成效。但联系到“是否对计算机系统进行持续的风险控制分析”问题的调查情况，情况并不容乐观。仅有44.00%的读者表示能够做到“持续的风险控制分析”；47.00%的读者主动选择了做不到；9.00%的读者则选择了不适用于自己所在的单位。
　　当然，这无疑也与国内的内控现状有着紧密的联系。在德勤最新调查报告《中国上市公司内部控制调查分析报告（2009）》中的数据显示，仅有23.53％的被调查企业将内控工作的重点从书面制度转变为落地实施，并加强了监督管理。同样数量的企业增加了内控检查的频率，仅约17.65％的企业落实了内控考核工作。这也意味着，虽然在一定程度上说，国际金融危机发生之后，大部分企业能有针对性地加强内控管理。但内控尚没有形成一种常态。这在一定程度上表明企业的内控建设更多的是一种“救火式”管理，内控工作还处于一种刚刚建立并初步实施的阶段。
　　一般来讲，企业信息化的风险是无处不在的，在IT规划的基础上，对风险进行充分的预测、分析、评估其影响、采取合理的措施与方法进行量化管理，通过有效规划执行风险管理办法进行风险的管理，一般的都可以有效地控制与避免风险的影响。
　　另外，在风险的管理中，与企业高层的沟通是最大的一个风险，也经常是CIO们容易忽视的，也是CIO在工作时最大的一块儿心病，如何获取高层持续的支持？比如在规划阶段，在实施阶段，在后续的应用阶段，经常是刚开始时，企业老总很支持，但随着实施的投入，由于沟通与信息化成效的问题，管理层可能会越来越有疑虑。
　　从信息化的需求、信息化产生的价值，到可能产生的风险，风险规避的措施，要让老总充分的了解，多沟通多交流，建立一个定期的沟通机制，在有效的管理的前提下不断地沟通，获取企业老总与高层持续的支持与理解。而如果老总与高层对信息化不了解，风险没有得到有效的分析与控制，信息化过程中沟通不到位，风险突现，问题百出，这是信息化实施过程中最大的风险，要充分给以重视。
　　现今的信息化项目具有高风险性，由于在业务高集成性、变化快，应用环境复杂多变，信息化技术又不断发展，因此往往导致系统的复杂性不断提高，开发的信息系统往往跟不上变化，无法很好地使用，这也是众多CIO最为头疼的因素之一。
　　通过IT规划的方式，以业务为导向，而非以技术以为导向，进行分析与规划，整体规划、分步实施。在软件方面慎重选型，选用成熟的、能够支持自己企业行业特色的（最好有很多成功案例）软件平台，采用可定义的平台式软件，减少系统的开发，加强组织与人员保障，有组织有计划地多层次培训、规范业务与技术管理。并在此基础上不间断地应用、持续地改进，不断地优化企业的信息化管理和IT管控，才是企业信息化的终极目标。
　　》用户点评
　　包东智  河北电信设计咨询有限公司情报中心主任：
　　我们企业在通过IT部门与业务部门协同改善企业内控建设方面还算可以，主要做法有：
　　1.多年来，我们单位贯彻执行各级关于企业内控管理的各项制度规定，领导重视，经常进行教育，提高思想认识，形成自觉执行的风气；2.建立了严格的制度，如科室（部门）需要扩容、更新、新购、升级、新购设备时，要有计划，有书面报告，有主管签字，有维护中心领导签字，有主管领导签字方可实施；3.严格执行ISO9000、ISO14000等管理体系认证，加强内部管理，提高企业信誉度；4.建立了严格的登记制度，科室（部门）新购设备必须通过服务中心进行检验、登记、建立档案、指定专人负责、定期进行维护等。
　　罗余作  江西井冈山卷烟厂信息管理科科长：
　　问题：针对权限管理、信息基础平台建设、安全系统的应用和审计监视等方面有待改善。
　　建议：通过制度和流程的梳理和优化改善企业内控建设。
　　邢川 湖北省房县国家税务局信息中心 主任
　　国内企业在IT内控方面有以下需要改善的地方： 1.政策制订方面存在问题，企业内部政策有待完善；2.IT内控机制不完善，IT管理机制不完善造成内控不严密； 3.IT内控意识不强。
　　朱士宇  浙江省丽水市人民医院信息科副研究员
　　问题：内控的规章制度、内部监控软件有待进一步的完善和改进。
　　建议：当业务部门对软件有新的建议或要求修改时，IT部门与业务部门共同做出需求分析，确实可以实施时，再由IT部门或软件公司增加或修改软件。
　　王富均  北京博兰特食品工贸集团公司副总经理
　　问题：没有明确的规范标准，应该有考评监测制度，纳入企业发展规划，对不同行业有标准要求，政府引导企业重视这一工作，让企业知道它对企业经济效益的提高，管理创新，抵御各种风险意义重大。
　　建议：1.要有企业信息化的总体规划，从企业发展战略角度要合理整合企业资源；2.IT部门在技术管理方面要起主导作用，在设施维护方面要服务好；3.各业务部门要结合业务特点做好自身工作，不能形成信息‘孤岛’；4.企业要形成一盘棋，统筹兼顾，协调发展。
　　王发祥  福建省武平县金源信息中心  网络管理中心 主任
　　国内内控建设对国内的上市企业来说其实并不陌生，部分上市公司甚至已经实施了相对规范的体系化的内控建设。但是在《企业内部控制基本规范》出台之前，企业内控的IT治理并没有统一的标准，主要以行业规范为指导。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。