企业IT内控及风险管理探析.docVIP

企业IT内控与风险管理探析 摘要：为了加强对企业的风险管理，必须建立有效的内部控制框架。而it技术的日益成熟和发展，使得企业的信息化进程加快，企业的日常经营越来越依赖于it系统的支撑。因此，在企业内部控制中，it内控占有非常重要的地位。从企业面临的风险入手，对it内控的作用、思路和方法做了深入的分析，为企业it内控的实施奠定了基础。 关键词：信息化；it内控；风险管理 1 引言 2002年美国国会发布的《萨班斯—奥克斯利法案》（简称为sox法案）中明确提出了所有上市公司都必须加强风险管理，建立有效的内部控制框架。2008年6月，由国家财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》，要求“内控”将自2009年7月1日起首先在上市公司范围内施行，主要是针对国内财务及会计监控体制的发展趋势，以及企业内部的委托-代理关系等各个方面的需求。2010年4月，财政部、证监会、审计署、银监会、保监会五部门又联合发布了被称为“中国版萨班斯法案”的《企业内部控制配套指引》（简称为指引）。指引文件明确指出要把企业内部it风险控制建设情况纳入上市公司日常监管的范围，确保it内控风险预警体系的执行质量。这使得国内企业开始重视it内控在整个企业风险管控中的作用。 不论是sox法案还是指引文件，虽然因其主要关注的是和财务报告相关的信息系统，故对合规性的要求有其特有的局限性，但是由此产生