居安思危，防微杜漸。近日我參加了一個上市公司CIO的專題研討會，主題是如何建立IT內(nèi)控風險預警體系。起因是2010年4月，財政部、證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會等五部門聯(lián)合發(fā)布了被稱為“中國版薩班斯法案”的《企業(yè)內(nèi)部控制配套指引》。指引文件在第37條中明確指出要把企業(yè)內(nèi)部IT風險控制建設情況納入上市公司日常監(jiān)管的范圍，確保IT內(nèi)控風險預警體系的執(zhí)行質(zhì)量。而且，為了確保上市公司IT內(nèi)控風險預警體系的順利實施，財政部等五個部門還制定了IT內(nèi)控建設的實施時間表。

　　一.什么是IT內(nèi)控風險預警體系？

　　風險無處不在、而且還難以度量，這使到企業(yè)很難去評估和預防風險。因此，很多時候企業(yè)在實施IT內(nèi)控和風險管理時常常感到無從下手。從研討會上眾多CIO討論的情況來看，目前國內(nèi)大部分上市公司在IT內(nèi)控風險預警和防范方面還存在很多模糊的認識和誤解。

　　(1)什么是IT內(nèi)控風險預警體系？

　　在風險管理體系中，一般包括風險管理計劃、風險識別、風險定性分析、風險定量分析、風險響應和風險監(jiān)控。風險管理貫穿企業(yè)各項業(yè)務的整個過程，包括事前、事中和事后。統(tǒng)計資料表明越早發(fā)現(xiàn)風險、越早采取措施，則風險管理的成本就越低，給企業(yè)帶來的效益也就越大。按照1：10：100的理論，在第一個階段控制風險的成本是1，那么如果到了第二個階段才采取措施，它的成本就會是10，而到了第三個階段時才采取措施的成本將會是100。因此，在風險管理領域中普遍強調(diào)風險管理的計劃性和預測性。也就是說，風險預警系統(tǒng)可以為風險識別、風險分析、風險監(jiān)控等提供強有力的手段，在整個風險管理體系中具有極其重要的地位。

　　為此，2010年4月財政部等五部門聯(lián)合發(fā)布的“中國版薩班斯法案”《企業(yè)內(nèi)部控制配套指引》在第37條明確指出“企業(yè)應當建立重大風險預警機制和突發(fā)事件應急處理機制，明確風險預警標準，對可能發(fā)生的重大風險或突發(fā)事件，制定應急預案、明確責任人員、規(guī)范處置程序，確保突發(fā)事件得到及時妥善處理”的規(guī)定。要求IT系統(tǒng)提供對風險事件的預警，并能及時通過各種通訊方式通知相關崗位人員。因此，通過IT內(nèi)控風險控制體系來防范和降低上市公司的IT違規(guī)風險，是企業(yè)高層領導和CIO目前最迫切需要解決的難題。

　　(2)IT內(nèi)控風險預警體系的具體內(nèi)容

　　任何風險的出現(xiàn)都會有預兆，警兆是指風險發(fā)生前的先兆。通常某些指標會提前出現(xiàn)異常的波動，預警系統(tǒng)就是根據(jù)一定的原則捕捉到這些異常。因此，企業(yè)風險預警系統(tǒng)主要包括警源分析和警兆辨識兩部分。警源分析著重分析風險發(fā)生的根源性因素;警兆辨識主要通過定量的指標體系分析法和定性描述分析法相結(jié)合的方式，提前向企業(yè)IT決策者發(fā)出預警信號。

　　具體來說，要實現(xiàn)對IT風險警兆的辨識可通過兩方面來進行：一是定性分析，即通過對有關IT項目從決策到運營等方面的定性描述判別是否出現(xiàn)警兆;二是定量分析，即通過預警指標體系的指標計算來確定警兆是否出現(xiàn)。因此，風險預警指標體系包括定性指標和定量指標兩部分。其中風險預警系統(tǒng)中的定性分析主要是通過對一些無法具體量化而又對IT項目的運行起到?jīng)Q定作用的關鍵問題進行是非判斷，從而決定是否發(fā)出預警。定量分析的主要內(nèi)容是對IT項目中的統(tǒng)計信息設立數(shù)量化指標體系，是指通過建立和運用數(shù)量化指標體系從定量的角度來分析項目是否存在潛在的風險，從而確定是否存在警兆。

　　一般來說，在IT內(nèi)控時可能會碰到很多的風險，通常的做法是把可能的IT風險劃分一個優(yōu)先級，對于優(yōu)先級高的風險要給以更多的關注。例如，對財務違規(guī)的IT操作流程和可能會影響上市公司股價波動的IT流程給予高優(yōu)先級考慮。因此，IT體系風險評估的目的是要辨別出潛藏的IT內(nèi)在風險與殘存風險。通常包括風險判斷標準、風險發(fā)生的可能性、風險發(fā)生的危險度、風險預防措施、風險消除措施等幾個方面進行評估。為了更加形象地標識企業(yè)出現(xiàn)的IT風險所處的級次，應該把IT風險預警區(qū)間分為安全區(qū)(綠區(qū))、預警區(qū)(黃區(qū))、危機區(qū)(紅區(qū))三個區(qū)域。指標在安全區(qū)，表示發(fā)生危機的可能性較小;指標在預警區(qū)，表示存在發(fā)生危機的可能性;指標在危機區(qū)，表示發(fā)生危機的可能性較大。根據(jù)風險評估得分，對照相應的預警區(qū)間就可以快速的判斷出各企業(yè)的IT風險預警警度。

　　在這次研討會上，眾多CIO關注的焦點是如何實現(xiàn)五部門聯(lián)合發(fā)布的“中國版薩班斯法案”《企業(yè)內(nèi)部控制配套指引》第37條。也就是：為使預警功能得到正常充分的發(fā)揮，企業(yè)應如何建立預警機制。包括信息收集/傳遞機制、預警分析機制、危機分析機制以及危機處理機制。總結(jié)這次研討會的發(fā)言，CIO們一致的認為預警系統(tǒng)的建立有幾個關鍵核心：①是確定預警的指標和判斷預警的警戒線，因為預警分析一般包括預警指標和預警指標的臨界點等兩個要素，一旦評測指標超過臨界點，應急計劃則應馬上啟動。②IT預警系統(tǒng)的核心是高效的風險分析機制，是指通過風險分析迅速對影響的因素作出判斷，從而可以把主要精力放在有可能造成重大影響的警情上。③預先制定危機處理機制，主要包括應急措施、補救方法、改進方案，并在分析清楚危機后應立即采取消除措施，以減少危機帶來的損失。

　　二.如何打造符合第37條的IT內(nèi)控風險預警體系？

　　古希臘政治家伯利克利認為：“提升風險管理水平，并不是為了能夠準確的預見未來的風險，而是為了不可預知的風險做好準備”。這與中國的諺語“居安思危，有備無患”有異曲同工之妙。因此，中國版薩班斯法案《企業(yè)內(nèi)部控制配套指引》在第37條也明確指出企業(yè)必須要先打造一個預警式IT內(nèi)控體系。所以，構(gòu)建一個滿足企業(yè)業(yè)務發(fā)展需要的預警式IT內(nèi)控體系，是目前很多CIO在思考的問題。結(jié)合研討會上眾多CIO的意見和經(jīng)驗，提供以下幾個建設高效IT內(nèi)控風險預警體系的策略僅大家參考：

　　(1)確定IT內(nèi)控風險預警范圍

　　第一步是先確定IT內(nèi)控風險預警的范圍，它是指根據(jù)財政部等五部門在去年發(fā)布《企業(yè)內(nèi)部控制基本規(guī)范》的要求，再結(jié)合在今年4月發(fā)布的《企業(yè)內(nèi)部控制配套指引》的建議，從全局角度去考慮、分析、規(guī)劃需要控制的IT內(nèi)容和范圍。這是IT內(nèi)控風險預警控制中最為關鍵的內(nèi)容，包括風險形勢評估、風險識別、風險分析和風險評價等幾部分。一般來說，確定IT內(nèi)控風險預警體系的范圍可以分為這幾個步驟：首先確定IT風險預警報告流程中的核心要素;其次，識別關鍵的IT內(nèi)控風險預警流程;最后，是根據(jù)IT活動確定關鍵的IT風險流程和IT風險支持系統(tǒng)，從而確定IT內(nèi)控風險預警范圍。

　　(2)對選定范圍進行風險識別和評估

　　對企業(yè)IT運營中可能遇到的潛在IT風險進行正確評估其破壞力，是IT內(nèi)控風險預警最為關鍵的內(nèi)容。因為通過對IT風險的識別和評估可使企業(yè)更加清晰地認識到IT意外事件的發(fā)生將會如何限制企業(yè)業(yè)務目標的達成。所以，企業(yè)在構(gòu)建靈活安全的IT內(nèi)控風險預警體系之前，需要先透徹地分析企業(yè)所面臨的潛在IT風險的破壞力。也就是說，要對IT系統(tǒng)出現(xiàn)故障時對各關鍵業(yè)務的影響和破壞力作出正確的評估。因為只有正確分析可能存在的各類IT風險，并正確評估各類IT風險可能造成的影響，才能采取正確有效的措施來規(guī)避IT風險。這也是構(gòu)建高效IT內(nèi)控風險預警體系的一個重要步驟。

　　(3)對潛在IT風險實時監(jiān)控，并實施有效的控制措施

　　建立起全面IT風險預警機制的核心一步，是根據(jù)風險識別、評估的結(jié)果，針對相關IT風險源制定統(tǒng)一的風險管理戰(zhàn)略，加強實時監(jiān)控。例如，對IT風險預警系統(tǒng)的有效運行進行持續(xù)監(jiān)控與個別評估，充分發(fā)揮對潛在IT風險的實時監(jiān)控作用，實現(xiàn)對潛在風險的實時監(jiān)控與內(nèi)部控制措施的有效結(jié)合，以改善IT風險控制與管理的效果。

　　(4)組建責任明確的IT風險內(nèi)控小組，完善監(jiān)控職能

　　《企業(yè)內(nèi)部控制配套指引》指出IT內(nèi)控風險預警不應只是IT部門一個部門的工作和責任，而應該是要上升為全員參與。因此，在研討會上許多CIO紛紛表示，企業(yè)應該要成立由公司領導和各部門負責人組成的責任明確的IT風險內(nèi)控小組，該小組要制定出符合本企業(yè)需要的IT內(nèi)控風險預警策略。例如，企業(yè)可定期組織跨部門IT內(nèi)控風險預警工作會議，加強部門間IT內(nèi)控風險預警工作的協(xié)同配合，保障企業(yè)IT內(nèi)控的高效率執(zhí)行和實施。這個小組除了擔任IT內(nèi)控風險預警的日常工作外，還可負責對IT內(nèi)控、企業(yè)管控的質(zhì)量進行協(xié)調(diào)和監(jiān)督。

　　(5)培訓宣貫與運行推廣實施

　　最后，建立IT內(nèi)控風險預警體系還需要通過宣講、培訓等方式，對企業(yè)各部門和人員進行IT內(nèi)控風險預警體系相關制度的介紹和學習，并根據(jù)事先制定好的IT控制框架體系進行試運行和推廣實施。也就是說，IT內(nèi)控風險預警體系的建立和運行的關鍵在于向全體人員宣傳和推廣。否則，IT風險預警將成為空中樓閣，紙上談兵。