IT内控,其实企业所关注的比合规更多_企业合规和内控

IT内控,其实企业所关注的比合规更多由刀豆文库小编整理，希望给你工作、学习、生活带来方便，猜你可能喜欢“企业合规和内控”。

IT内控，其实企业关注的比合规更多

友联时骏企业管理顾问有限公司 梁文昭、罗军

二十一世纪的今天，信息技术已经成为推动企业发展的重要动力。随着信息化程度日益提高，企业的经营运作对IT系统的依赖程度也越来越高，IT内控也逐渐成为企业内部控制中不可或缺的重要环节之一。

在众多关于企业内部控制的文章中，总是看到“中国企业对IT风险和内控缺乏重视”等类似的观点。但是，实际的情况并非完全如此，在我们与众多企业合作的过程中，我们感觉企业对于IT内控的实际关注程度比大家普遍认为的要高。

那么，是什么原因使人们产生不同的理解呢？

首先是采用的IT内控评价标准对目前大多数中国企业而言偏高。我们知道，目前中国企业的信息化水平相对于国外先进企业来说整体上是偏低的，大多数中国企业还处在信息化的建设过程中，IT技术在企业的应用范围和规模都还比较小。然而，当我们评价一个企业的IT内控水平时，往往直接采用或参照COBIT、ISO27001、ITIL等国际标准，但这些标准通常是行业内的最佳实践，较适用于公司成熟度和信息化水平都比较高的企业。因此，以严格的、高级别的IT管理标准来衡量绝大多数还处于信息化初级阶段的中国企业，IT内控的评价结果就难以令人满意了。

其次是由对IT内控的评价方法引起的。内控评价机构（通常是审计师）在评价一个企业的IT内控能力时，通常都是以IT内控合规文档作为依据的，往往由于企业IT控制过程文档的缺失或不健全，使他们得出企业的IT内控缺失的结论。然而，没有IT控制过程的文档，并不能说明企业就没有IT内控。我们知道，大多数的中国企业还处于一个由小到大快速发展的过程之中，还处于专注于效率的阶段，企业所进行的内部控制，更多的是直接注重于控制的实质性效果，还没有注重对内控过程文档的规范管理。例如：对于IT系统的备份管理，企业通常是会对重要的IT系统和数据进行定期的备份控制，但往往不会对备份的结果进行文档的记录；还有对于IT内控中很重要的系统权限管理，可能企业没有规范的审批流程和表单，通常都是经过相关领导的邮件审批或口头的批准。因此，如果从企业的角度去看，由于缺少内控过程的文档便被判定为对IT风险缺乏重视和IT内控失效，是不完全客观的。

随着中国企业信息化程度的不断提高，企业已经会自觉地从自身的利益出发关注IT风险和IT内控。因为企业非常明白，假如企业的财务信息遭受篡改或丢失、企业的ERP系统发生中断或故障，如此种种IT风险的发生都可能会给企业带来不可估量的损失。所以说，企业是愿意投入资源和精力，真正有效地进行IT风险的控制，大众的普遍认识显然低估了企业对于IT风险和控制的重视程度。

在我们与企业的合作过程中，我们发现企业并不愿意把IT内控的目标仅仅停留在内控合规的层面，他们往往担心的是：为合规而建立的IT内控会不会只是“花架子”，能不能产生实效？他们通常更希望能根据企业的实际情况，采用一些真正有效的控制手段来控制IT风险。

有一家大型的家电企业集团，企业的信息化程度已经相当高，大多数业务流程的控制已经固化在企业的各个IT系统中（ERP、CRM、SRM、OA等），因此他们对IT内控的要求自然已经相当高了。他们起初比较困惑，如果企业自身都已经很重视IT内控了，还有没有必要为合规做额外的工作？在我们与企业进行交流后，他们自己作了一个非常有趣而有启发性的结论：企业从经营管理的角度，希望内控是“无形”的，能植入到各个IT系统中，企业员工可以在“无形”中就遵守执行了；而内控合规是要求建立一套“有形”的内控体系，让企业员工更清楚规则，同时便于监管机构和内控评价机构进行监督与检查。“有形的”与“无形的”并不是两套东西，它们是一致的，两者加起来才是真正有效和完善的内控。

多年以来，我们在给企业做风险管理和内控咨询的过程中，诚然看到了企业在进行内部控制建设过程中遇到的各种现实困惑和挑战。那么，中国企业的IT内控怎样才能做到既满足合规要求，又能够有效达到经营管理所关注的目标呢？我们提出几点建议：

第一，对于上市公司来说，合规是一项很重要的工作，也是企业系统性地完善IT内控的一个很好的契机。企业可以借助于IT内控的相关标准和要求、借助外部机构的力量，结合自身实际情况，优化和提升IT内控。

第二，重视IT内控的效果和价值收益。一方面，采用IT为基础和手段的控制方法，效率要明显高于传统手工或基于纸张的控制方式，利用IT固化内控流程可以简化企业的内控过程，降低内控成本，并帮助企业达到内控效力持续性的要求；另一方面，IT技术本身又是企业内控的对象，由于IT系统固有的弱点和复杂性，信息系统的开发流程、程序变更、运行管理控制、程序与数据访问、信息安全等都是IT内控需要控制的风险。只有企业建立起一套经济有效的IT内控体系，通过不断地提高企业IT治理的水平，才能最终有效改善企业的经营效果和效率。

第三，通过将IT内控目标和企业风险管理目标相互融合，将IT内控转化为企业的日常管理，使IT内控落地，成为企业经营运作的一种常态。让企业的IT管理人员和执行人员在“无形”中都参与了企业的内控，不再是刻意地因为“要内控”而“做内控”。

我们相信，伴随着中国企业信息化水平的不断提高，以及外部监管等客观条件，中国企业的IT风险管理能力将会得到更加快速地提升和加强，IT内控也必然将给企业带来越来越显著的实际价值。