香江集团IT内控体系建设.docxVIP

香江集团创建于 1990 年，秉承“办好实业、回报社会”的企业宗旨，近二十 年的发展，产业包括家居流通、房地产开发与建设、铝业和金融投资。在家居 流通领域，投资控股的金海马集团和香江家居 MALL 连锁机构，在全国建成和 经营了 200 多家大型家居连锁店，已成为中国最大的家居连锁企业，同时也是 首家采用德国 SAP 先进 ERP 管理系统的家居零售企业。 事实证明，在香江集团迅速发展的过程中，快捷高效的信息化平台成为了企业 发展不可或缺的核心竞争力。近年来，“敢为人先”的香江人在企业信息化建 设中进行了许多富有建设意义的尝试，并取得了显著成效——从 2000 年香江 人首次创建金海马集团电子商务网站，到 2001 年金海马率先成功引入 ERP 系 统（在国内流通企业中第一家成功导入 SAP 信息管理系统），再到 2005 年香 江集团采用办公自动化系统（OA）；从财务系统 NC 的上线推广，到物业管理 软件在南方香江的广泛应用，再到 EHR 软件在人力资源系统的升级优化。香江 集团在企业信息化方面所进行的探索，赢得了各方的广泛赞誉。 凡事预则立，不预则废 该集团信息技术部经理梁维说：“除了上市公司-香江地产以外，其它两个事业 部也是按筹备上市的要求要求进行管控，这就势必要求通过 IT 管控防止和减少 风险，进而提升管理。”梁维进一步强调：“上市公司针对产生财务交易的所 有作业流程，都做到能见度、透明度、控制、通讯、风险管理和欺诈防范，且 这些流程必须详细记录到可追查交易源头的地步。因此，我们必须加强和建立 有效的内部控制框架，以确保上市公司遵守证券法律和提高公司披露信息的准 确性和可靠性。” 俗话说“凡事预则立，不预则废”。IT 内控作为集团企业内部控制的有机组成 部分，对企业竞争力和经济效益的影响越来越大。一个成功的 IT 内控体系可以 防止和减少许多潜在 IT 事件的发生和破坏。正如居安思危，有备无患一样。一 个优秀的 IT 管 理者内控和风险管理之间达成一种平衡，要大大减小内外部风险 对企业发展进程造成的不良影响。 梁维坦言：“企业 IT 部门只有加强 IT 内控管理，严格执行各项 IT 内控的规章 制度，才能有效的实现风险控制。因此，企业应要借鉴国内外先进的经验，结 合业务需要分层次、分步骤地制定和完善 IT 内控工作流程。例如，可从物理安 全、系统安全和管理安全三个方面制定相应的规章制度，逐步形成完备的管理 手册，使 IT 内控工作有章可依、有据可查，并且定期对 IT 内控制度的执行情 况进行评估。由此看来，通过 IT 内控体系与合规管理来防范和降低集团管控风 险，是信息技术部门工作的重要组成部分。” 梁维解释到：“IT 内控这个词听起来好象很时髦。其实，在 IT 内控这个词流行 以前，我们是用的规章制度、政策和程序手册来描述具体做事的步骤和规定。 但两者之间是有很大的区别：首先，我们以前的规章制度一般是条文式地说明 一件事情，而 IT 内控则强调信息的输入和输出。其次，IT 内控非常强调流程的 逻辑严密，而以前的规章制度是不容易达到严丝合缝和责任分明。” 四大体系建立是保障 2010 年，香江集团通过优化管理架构和管理制度，初步形成立体的管控体系， IT 内控不同程度凸现出在业务支持方面的关键作用。那 IT 是如何成为公司内部 控制的一部分呢？ “香江集团是以具体运营流程为基础展开的 IT 控制，直接关系运营活动的实施。 美国 SOX（萨班斯）法案所规定 IT 一般性控制，主要包括信息系统开发流程 的控制、程序变更管理控制、计算机运行管理控制、程序与数据访问控制、信 息系统安全的控制，还有 IT 计划等。在一般性控制之外，还有应用系统的控制， 包括应用系统中设置的有关业务流程的输入、数据处理和输出控制等。另外， 信息技术部门更应侧重于管理，包括加大对分支机构信息系统、系统建设、运 维、数据等集中管理的力度，降低分散管理隐含的风险。” 2008 年 6 月，财政部、证监会、银监会、保监会及审计署委联合发布了被称 为“中国版萨班斯法案”的《企业内部控制基本规范》，此规范已于 2009 年 7 月起在上市企业中实施。其中，该规范第 37 条规定：“企业应当建立重大风 险预警机制和突发事件应急处理机制，明确风险预警标准，对可能发生的重大 风险或突发事件，制定应急预案、明确责任人员、规范处置程序，确保突发事 件得到及时妥善处理。” 梁维进一步解释到：“IT 内控通常包括信息技术部门与使用部门的职责、程序 开发修改及控制、程序及数据资料的存取、数据信息的安全控制、公开披露活 动的控制等。IT 控制有一个 治 理框架，即 COBIT 框架。COBIT 全称是信息及 相关技术的控制目标 (ControlObj