對于企業(yè)內部的IT建設與控制而言，企業(yè)內部控制規(guī)范的實施會帶來怎樣的影響呢？CIO們如何系統(tǒng)考慮從企業(yè)IT的內部控制建設來保障企業(yè)內部控制。本文從IT內部控制與IT風險管理的角度，闡述企業(yè)IT控制與企業(yè)內部控制之間的關系。企業(yè)內部控制規(guī)范與IT內部控制的關系<BR>企業(yè)內部控制基本規(guī)范包含的五要素框架：

（一）內部環(huán)境。內部環(huán)境是影響、制約企業(yè)內部控制建立與執(zhí)行的各種內部因素的總稱，是實施內部控制的基礎。內部環(huán)境主要包括治理結構、組織機構設置與權責分配、企業(yè)文化、人力資源政策、內部審計機構設置、反舞弊機制等。

（二）風險評估。風險評估是及時識別、科學分析和評價影響企業(yè)內部控制目標實現(xiàn)的各種不確定因素并采取應對策略的過程，是實施內部控制的重要環(huán)節(jié)。風險評估主要包括目標設定、風險識別、風險分析和風險應對。

（三）控制措施?？刂拼胧┦歉鶕L險評估結果、結合風險應對策略所采取的確保企業(yè)內部控制目標得以實現(xiàn)的方法和手段，是實施內部控制的具體方式?？刂拼胧┙Y合企業(yè)具體業(yè)務和事項的特點與要求制定，主要包括職責分工控制、授權控制、審核批準控制、預算控制、財產保護控制、會計系統(tǒng)控制、內部報告控制、經濟活動分析控制、績效考評控制、信息技術控制等。

（四）信息與溝通。信息與溝通是及時、準確、完整地收集與企業(yè)經營管理相關的各種信息，并使這些信息以適當?shù)姆绞皆谄髽I(yè)有關層級之間進行及時傳遞、有效溝通和正確應用的過程，是實施內部控制的重要條件。

（五）監(jiān)督檢查。監(jiān)督檢查是企業(yè)對其內部控制的健全性、合理性和有效性進行監(jiān)督檢查與評估，形成書面報告并作出相應處理的過程，是實施內部控制的重要保證。

相應，IT內部控制框架也應對應于企業(yè)內部控制的五要素框架：

（一）IT內部控制環(huán)境。內部環(huán)境在企業(yè)IT領域的體現(xiàn)是IT的內部控制環(huán)境，同樣IT內部控制環(huán)境是實施IT內部控制的基礎。主要包括IT治理架構、IT組織與職責，IT決策機制，IT合規(guī)與IT審計等。

（二）IT風險評估。企業(yè)信息化帶來的IT風險已經成為企業(yè)風險管理的主要方面。風險評估主要包括目標設定、風險識別、風險分析和風險應對。IT目標設定可以理解為IT戰(zhàn)略與IT規(guī)劃，IT風險識別與分析應對包括對信息資產的風險、IT流程的風險以及應用系統(tǒng)的風險識別分析與應對。

（三）IT控制措施。針對風險評估的結果，在IT方面需要實施具體的IT控制措施，包括IT技術類控制措施，如防火墻、防病毒、入侵檢測、身份管理、權限管理等，以及IT管理類控制措施，包括各類IT管控制度與流程，如開發(fā)管理、項目管理、變更管理、安全管理、運營管理、職責分離，授權審批等。

（四）信息與溝通。在IT領域也需要明確具體的IT管理制度和溝通機制，建立服務臺與事件管理程序，及時傳達企業(yè)內部層級之間和與企業(yè)外部相關的信息。

（五）監(jiān)督檢查。需要建立IT內部控制體系的審核機制，評價IT控制的有效性。通過IT技術手段如日志、監(jiān)控系統(tǒng)、綜合分析平臺等，和管理手段如內部IT審核、管理評審、專項檢查等措施，不斷改進企業(yè)的IT內部控制。

綜合分析IT內部控制的組件，我們可以將IT的控制分為三個層面：

（一）公司層控制。在公司層面建立IT治理架構，完善IT組織與職責，制定IT決策機制，實行IT人員績效考核，加強IT合規(guī)與IT審計。

（二）流程與應用層控制。分析企業(yè)業(yè)務流程與活動，在企業(yè)業(yè)務流程、應用系統(tǒng)層面與通用IT流程層面建立控制，重點關注與財務報表相關的各種業(yè)務與應用系統(tǒng)的技術控制與流程控制。

（三）資源層控制。針對企業(yè)業(yè)務運作所依賴的各類信息資產和IT資源，分析具體每個資源點的風險，建立風險控制措施。

IT內部控制實施思路

我們建議國內企業(yè)采用企業(yè)內部控制規(guī)范作為內控評估標準，結合國際上普遍采用COBIT框架作為IT 控制的標準，將COBIT的相關IT控制目標與COSO五個要素關聯(lián)起來，設計符合規(guī)范要求的IT內部控制體系。COBIT是一個很豐富IT內控框架，包括四個域、34個IT控制流程和318個詳細的控制目標，是一個相當全面的信息系統(tǒng)內控框架體系。對于想遵循內部控制規(guī)范的企業(yè)來說，該體系所提供的控制目標和考慮一般會超過其需求。

建議首先需要對IT相關的風險進行評估，建立IT控制矩陣，以COBIT為參照依據，選取其中適合本身業(yè)務特點、復雜性和需求的控制流程和控制目標為對象，建立IT內部控制框架，作為后續(xù)制定控制文檔體系和測試的基礎。同時，在具體控制措施上可融合ISO27001（信息安全管理體系）、ISO20000（IT服務管理體系）、Prince2（IT項目管理）、CMMI（軟件開發(fā)過程控制）等具體控制框架，分階段分步驟的實施。

實施IT內部控制體系主要可以三個層面進行：IT公司層面、IT一般控制層面及IT應用程序控制層面。

IT公司層面涉及如下四個方面：

政策制訂：公司整體的IT治理架構、決策機制和IT基本策略

信息與溝通：IT制度的發(fā)布，溝通機制與管理程序

風險評估：建立風險評估流程和IT風險矩陣，包括信息資產評估程序，流程風險評估

監(jiān)控檢查：建立IT技術監(jiān)控措施，內部IT審核、管理評審、專項檢查等措施

IT一般控制層面主要包含以下幾個方面：

?信息系統(tǒng)的開發(fā)和實施：開發(fā)與實施活動的管理、項目啟動、需求分析與設計、系統(tǒng)自行開發(fā)管理；

?信息系統(tǒng)的建設與軟件包的選擇、測試和質量保證、數(shù)據轉換、上線、文檔與培訓等；

?信息系統(tǒng)的變更和維護：授權和跟蹤變更申請、系統(tǒng)編程、測試和質量保證、遷移到生產環(huán)境的授權、文檔和培訓、變更管理等；

?信息系統(tǒng)的操作和運行：對系統(tǒng)操作的總體控制、批處理、備份管理、管理數(shù)據中心環(huán)境、第三方管理、帳號與權限管理、用戶培訓、服務水平協(xié)議、問題管理、事件管理等；

?系統(tǒng)和數(shù)據的訪問安全：信息安全組織和管理、信息安全策略和流程、數(shù)據操作、數(shù)據批量處理、數(shù)據安全、操作系統(tǒng)安全、內部網絡安全、邊界網絡安全、物理安全等。

?應用系統(tǒng)的控制：系統(tǒng)的安全管理，訪問控制，流程和系統(tǒng)的完整性，數(shù)據管理與數(shù)據質量等。

IT應用程序控制主要包括在信息系統(tǒng)如ERP系統(tǒng)中針對財務相關的控制流程，主要包括：

?采購與應付賬款

?銷售管理

?資金管理

?薪酬與福利

?會計結算流程

?折舊、折耗與攤銷的計算

?成本管理

IT內部控制體系實施階段

IT內部控制體系建設包括以下主要階段：

階段一：現(xiàn)狀調研及診斷。主要實施任務是對IT內控現(xiàn)狀進行了解，確認IT控制的相關范圍，審閱相關政策和程序，調研和識別企業(yè)內部控制規(guī)范所要求范圍內的重點應用系統(tǒng)及模塊清單，對信息系統(tǒng)的相關控制設計情況進行了解，在現(xiàn)有的業(yè)務流程控制文檔基礎上，識別的有關自動/半自動活動控制活動描述，提出調研報告和改進建議。

階段二：風險識別與分析。主要實施任務是在對現(xiàn)有的信息系統(tǒng)建設、實施與支持運維各個流程進行充分的風險評估、調研及訪談的基礎上，找到現(xiàn)有內控體系與完善的內控體系之間的差距，并分析所得到的差距結果，建立IT風險控制矩陣。

階段三：IT內部控制體系設計與整改方案。主要實施任務是參照《企業(yè)內部控制規(guī)范》及COBIT框架要求，結合ISO20000與ISO27001標準，設計一套具有比較完善嚴謹、實際操作性以及可推廣性的IT內部控制體系。

階段四：培訓宣貫與運行推廣實施。主要實施任務通過宣講、培訓等方式，對企業(yè)各單位和人員進行內控流程設計和相關制度介紹和學習，在領導統(tǒng)一的部署下，督導其改進流程的實施。并根據建立好的IT控制框架體系進行試運行，推廣實施。

階段五：體系改進修正和監(jiān)督優(yōu)化。實施任務是將各個部門和終端操作人員在試運行階段發(fā)現(xiàn)的問題、產生的問題及反饋意見，經過討論研究，通過分析問題，進而對整個IT內控體系進行有針對性改進或修正，進而對流程的實際可操作性和可行性進一步的優(yōu)化和完善。

CIO之家 www.ciozj.com 微信公眾號:imciow