IT内控调查多数企业风险管控不到位.docVIP

IT内控调查多数企业风险管控不到位 　　金融危机发生之后,大部分企业开始有针对性地加强内控管理,但内控尚没有形成一种常态。调查表明,半数以上企业风险管控不到位。 　　 　　信息化与风险管理紧密相连,随着信息化应用的逐步深入,企业的日常运营越来越依赖于IT系统的支撑,IT风险正成为管理层、监管部门重点关注的对象,IT内控也逐渐成为企业内部控制的重要组成部分,并成为审计对象之一。 　　信息化与风险管理不仅是整个企业业务的重要支撑,也是对企业运营活动进行控制的重要辅助手段。以具体运营流程为基础展开的IT控制,直接关系运营活动的实施。IT控制分为IT一般性控制和应用系统控制两种。美国SOX(萨班斯)法案所规定IT一般性控制,主要包括信息系统开发流程的控制、程序变更管理控制、计算机运行管理控制、程序与数据访问控制、信息系统安全的控制,还有IT计划等。在一般性控制之外,还有应用系统的控制,包括应用系统中设置的有关业务流程的输入、数据处理和输出控制等。 　　以IT为基础和手段的控制方法,效率要明显高于传统手工或基于纸张的控制方式;利用IT固化内控流程可以简化企业的内控过程,降低内控成本,优化内控项目的成本效益比,并帮助企业达到内控效力持续性的要求。IT的规范化操作程序以及信息系统的信息备份功能,能够降低内控审计的难度。 　　2008年,备受关注的《企业内部控制基本规范》由财政部、证监会、银监会、保监会及审计署等五部委会联合发布,被喻为“企业的体检表”,该规范是我国首部“企业内控法规”。《企业内部控制基本规范》推出至今,已经引起很大的关注,是中国资本市场规范动作走出了具有历史意义的一步,也是中国企业自我内部管理完善的重要依据。尽管《企业内部控制基本规范》实施日期由今年的7月1日延期至2010年1月1日,对于国内上市公司和众多大中型企业而言,企业内控已经成为不可回避的话题,而IT内控则日益成为企业IT管理者关注的重点。为了了解国内企业IT内控现状及IT管理者对其的认知情况,本刊于6月份在读者中做了本次调查。 　　 　　功能及职责划分日渐清晰 　　 　　IT管理者应该清晰地认识到,IT在企业建立内部控制中的优势和承担的责任。由于信息技术的复杂性,IT部门有责任帮助和配合企业其他部门建立合适的“IT控制”―这不仅能够帮助企业达到内部控制的要求,也有利于提升IT在企业中的价值。 　　无论企业的信息处理部门组织结构如何,都必须与使用部门进行明确的权责划分,并且成文定义。明确定义的权责将加强信息处理部门与使用部门间的沟通和相互理解,避免推诿和责任不清造成的管理漏洞和效率低下。 　　由于信息系统的特殊性,信息处理部门本身的功能和职责划分是复杂的。功能和职责的复杂性增加了IT服务和运营的风险,所以必须建立相应机制加以管理。信息处理部门管理者首先必须明确本部门在整个企业中起到的作用和承担的角色,明确提供的服务和相应的责任,并且成文定义。 　　在国内企业,信息处理部门本身的功能和职责划分正日渐清晰。在问到“是否有一个明确的职责分工以计划、管理和控制电子数据处理工作”时,60.10%的读者表示自己的单位已经做到这一点。而针对“是否对不同岗位、级别的工作人员设置不同的操作权限,并且得到认真执行?”的问题,则有72.00%的读者表示已经做到这一点(见图2)。这一比例说明,国内企业的IT管理者已经开始意识到信息处理部门的功能及职责划分的重要性;另一方面,从对于不同工作人员设置操作权限的做法来看,也已经得到较为广泛的认可。 　　企业管理控制的主要目的在于规范运作,防止发生经营风险、合规风险及财务报告风险。传统认为内部控制更多关注防范财务报告风险,实际企业中更多的管理控制还存在于防范经营风险,如授权、审批、合同、价格、安全生产等日常经营业务流程中的风险控制;合规风险,如满足法律、审计、税收、环保等外部强制性管理流程的要求。 　　随着企业管理幅度与深度的不断加深,以及企业流程自动化水平的不断提高,内部控制已经与流程管理紧密地结合在一起。以往的手工流程逐渐被自动化设备、信息系统所取代,传统的通过组织会议、定期报告了解业务流程运作情况及管理控制情况的方式已经不再适合;大量的业务流程被自动化运转的机器设备、信息系统所执行,不再像过去那样一个资深的业务人员就能够很好的描述企业实际运作的各个流程。如何将被系统固化的业务流程重新展现出来,如何全盘地了解企业各业务流程中的风险控制系统执行情况。这些问题都是现代企业内控管理者所关心的问题。 　　在本次IT内控调查中也发现,伴随企业IT建设的深入和与流程管理的结合,如何通过IT手段实现业务流程管理,也成为当前企业IT管理者关注的重心。 　　 　　流程管理有待加强 　　 　　对于国内企业而言,利用IT固化