CIO：淺談企業IT風險管控體系

2014-11-08 22:38:21 大云網　點擊量：評論 (0)

當今企業中各種各樣的財務報表和經營報表等都是通過IT系統計算處理后呈現出來的。假如IT系統的安全控制不住的話，風險就非常大，因此信息系統的管控就變得越來越重要。根據2005年2月畢馬威的調查數據，美國上市公

當今企業中各種各樣的財務報表和經營報表等都是通過IT系統計算處理后呈現出來的。假如IT系統的安全控制不住的話，風險就非常大，因此信息系統的管控就變得越來越重要。根據2005年2月畢馬威的調查數據，美國上市公司在各業務流程中存在的控制缺陷、顯著缺陷和實質性漏洞所占的比例，分析了包括信息技術、固定資產、財務報告、采購、人力資源等方面的數據，可以看到信息技術控制的缺陷是最大的，控制缺陷高達36%，顯著缺陷達到22%，實質性漏洞達到21%，遠遠高于其他方面。

　　在企業追求成功的道路上，往往要做到有效的內部控制，其趨勢是創造風險與經營回報的良好平衡。但有效的內部控制就像在企業成功途中設置紅綠燈，會亮紅燈或亮黃燈，就帶來不方便。就像足球比賽會有紅牌和黃牌，但比較成功的裁判是合理利用手中的紅黃牌，不僅有力的控制場上局面，也讓球賽順暢的進行下去，不會讓人感覺特別的中斷，這就是一種風險與回報的良好平衡藝術。

　　目前IT風險管理的內控一般都在IT治理層面，大部分都是高層在做，往往是制定出責權利等規定掛在墻上就結束了。包括剛才德勤專家介紹到的，很多企業制度都已經制定了，但還是會出現問題，重要的原因之一就是把管控僅當作治理層面來看造成的，所以現在的趨勢是風險的管控不僅是治理層面的事情，還需要往下移，也應該包括日常的運營，以及風險預警和監控，即企業整個風險管控和內控體系不僅是治理問題，也是管理問題，如此才能實現從高層決策到基層執行，構建統一有效的治理和管控體系。

　　同時，我們也注意到國家也出臺了一系列規范和條文，比如COSO報告的《內部控制-整體架構》，AICPA《審計準則公告第78號》、《會計法》中第四章第27條，財政部頒布的《內部會計控制規范》，證監會也出臺了《證券公司內部控制指引》和《商業銀行內部控制指引》征求意見稿，五部委出臺有《企業內部控制基本規范》及《企業內部控制配套指引》。這些法規都是從各方面提出了很多治理要求，作為規范和指引企業內部控制作用。

　　據中國上市公司2011年內部控制白皮書數據介紹，2010年我國上市公司的內部控制披露水平有所提升，披露了內部控制自我評價報告的上市公司的比例達到76.86%，聘請了會計師事務所出具內部控制審計報告的上市公司的比例達到41.57%。然而，2010年，我國上市公司自愿披露內部控制缺陷的比例低于1%，會計師事務所出具的內部控制審計報告中認為上市公司失效的比例也低于1%。在99%以上認為自身內部控制體系有效的上市公司中，多家上市公司存在著內部控制的重大缺陷，其內部控制體系實質上是失效的，以2010年違法違規及財務重述的數據為例，我國有50家上市公司由于違法違規而被監管機構處罰，占2105家上市公司的2.38%。

　　與我國相比，美國上市公司自愿披露內部控制缺陷的比例高達13.8%。美國的上市公司大部分都必須經過會計師事務所出具內控審計報告，同時有接近百分之十一左右提出問題。薩班斯法案有明確的懲罰體制，如果審計隱瞞就會懲罰。然而在國內存在很大問題，能通過會計師事務所出具內控審計報告的公司不到一半，很多公司的審計部就下屬在財務部或者總經理，但其實審計是主要審核財務和經營的，應該直接在董事會下，為股東負責。因此，針對這些現象，國內可以借鑒美國的薩班斯法案中的906條款對隱瞞內部控制缺陷、虛假披露內部控制有效性的上市公司進行嚴厲處罰，以此促進我國資本市場健康發展。

　　當前企業內部控制體系還面臨這樣的現狀，即會計師事務所對上市公司的內部控制體系的審核依據各不一致，有遵照薩班斯法案的，也有按照香港審計準則，還有中國注冊會計師審計準則和內部審計指導意見的。因此我們的建議是按照財政部等五部委已經出臺的《企業內部控制基本規范》及《企業內部控制配套指引》，為企業實施內部控制體系提供了基本的框架體系，并規范了公司披露《內部控制自我評價報告》和《內部控制審計報告》的內容與格式。采用COSO為基礎建立企業整體內控框架和用COBIT為基礎建立企業IT內控體系。

　　但通過COSO的整體內控框架的五個方面來看，直接用于IT還是欠缺不少，所以當2002年薩班斯法案出臺后，通常就直接用COBIT這個框架來做IT的內控審計框架了。2004年9月，結合《SOX法案》，COSO頒布了《企業風險管理--總體框架》，提出內部環境、目標制定、事件識別、風險評估、風險對策、控制活動、信息與溝通、監控的風險八要素，達到實現發展戰略、日常經營的效率和效益、經營信息報告體系和滿足合規性的目標。

　　我們建議國內企業采用財政部等五部委頒布的企業內部控制基本規范作為內控評估標準，結合國際上普遍采用COBIT框架作為IT控制的標準，將COBIT的相關IT控制目標與COSO風險八要素關聯起來，設計符合規范要求的IT內部控制體系。COBIT是一個很豐富IT內控框架，包括三維架構、四個域、34個IT控制流程和318個詳細的控制目標，是一個相當全面的信息系統內控框架體系。對想遵循內部控制規范的企業來說，該體系的控制目標和考慮一般會超過其需求，可實現業務需求的七個業務指標：有效性、高效性、保密性、完整性、可用性、一致性、可靠性。

　　隨著計算機系統的運用越來越廣泛，業務/財務數據處理計算機化，計算機數據的完整性、可靠性和準確性、集成性直接影響管理層決策，因此信息系統控制要實現的目標是保持數據完整，維護資產安全，提高資源使用效率，符合相關的法律、法規和政策，從而有效達到企業目標。為此，我們提出的IT內控控制框架從營運、財務報告和合規性三方面對整個企業的IT進行治理，分為以下五個部分：

　　1、IT內控環境--是在企業IT領域的體現是IT的內部控制環境，是實施IT內部控制的基礎，主要包括IT治理架構、IT組織與職責，IT決策機制，IT合規與IT審計等；

　　2、IT風險評估--是企業信息化帶來的IT風險已經成為企業風險管理的主要方面。風險評估主要包括目標設定、風險識別、風險分析和風險應對。IT目標設定可以理解為IT戰略與IT規劃，IT風險識別與分析應對包括對信息資產的風險、IT流程的風險以及應用系統的風險識別分析與應對；

　　3、IT控制措施--是針對風險評估的結果，在IT方面需要實施具體的IT控制措施，包括IT技術類控制措施，如防火墻、防病毒、入侵檢測、身份管理、權限管理等，以及IT管理類控制措施，包括各類IT管控制度與流程，如開發管理、項目管理、變更管理、安全管理、運營管理、職責分離，授權審批等。

　　4、信息和溝通--在IT領域也需要明確具體的IT管理制度和溝通機制，建立服務臺與事件管理程序，及時傳達企業內部層級之間和與企業外部相關的信息。

　　5、監控--需要建立IT內部控制體系的審核機制，評價IT控制的有效性。通過IT技術手段如日志、監控系統、綜合分析平臺等，和管理手段如內部IT審核、管理評審、專項檢查等措施，不斷改進企業的IT內部控制。

　　在實際的IT控制落地實現上，我們可分八大方面組件包括IT治理，法規和標準符合性、IT戰略規劃、在IT應用系統中內置對時間的識別和報警；IT風險評估及業務影響分析；風險管理策略及應對措施；防火墻、反病毒、災難恢復、SDLC、變更管理、運營管理；IT政策、標準、程序、OA、Email、平衡計分卡、幫助臺；系統和數據庫、防火墻日志、入侵檢測、安全意識。這八大方面的組件正好與COSO的風險八要素相對應。綜合分析IT內部控制的組件，我們可以將IT的控制分為三個層面：

　　1、公司層控制--在公司層面建立IT治理架構，完善IT組織與職責，制定IT決策機制，實行IT人員績效考核，加強IT合規與IT審計。

　　2、流程與應用層控制--分析企業業務流程與活動，與通用IT流程層面建立控制，重點關注與財務報表相關的各種業務與應用系統的技術控制與流程控制。

　　3、資源層控制--針對企業業務運作所依賴的各類信息資產和IT資源，分析具體每個資源點的風險，建立風險控制措施。

　　最后介紹下IT總體內控的實施過程，第一階段是制定計劃、確定范圍，主要任務是確定IT總體內控的大體范圍及對象，制定項目計劃，組成項目組。通過資料收集、現場業務系統調研、分析控制實體及控制系統、撰寫項目計劃的方法和步驟。

　　第二階段是IT總體內控現狀調研與差距分析（或風險評估），主要任務是調查企業IT總體內控現狀，參照Cobit確定的控制目標，進行差距分析，方法及步驟有資料收集與分析、現場調研、差距分析、確定整改內容及計劃。

　　第三階段是IT總體內控體系設計，完善內控管理組織及監控職能，主要任務是按照整改計劃，進行IT總體內控體系設計，完善監控職能，有設計控制體系和控制體系討論修改、批準控制體系。

　　第四階段是培訓與實施，其主要任務是對用戶進行培訓，實施已建立的IT總體內控體系，方法有體系培訓、體系實施和實施總結。

　　第五階段是控制測試與實施監控，主要任務是按照IT審計標準及方法，測試IT總體內控，方法包括制定測試計劃與方法、測試培訓、實施測試、測試總結。

　　第六階段是回顧調整與監督優化，主要任務是根據管理層測試及內控執行過程中遇到的問題，定期進行回顧，不斷完善IT總體內控。