信息化与风险管理紧密相连,随着信息化应用的逐步深入,企业的日常运营越来越依赖于IT系统的支撑,IT风险正成为管理层、监管部门重点关注的对象,IT内控也逐渐成为企业内部控制的重要组成部分,并成为审计对象之一。
IT为内控夯实根基
信息化与风险管理紧不仅是整个企业业务的重要支撑,也是对企业运营活动进行控制的重要辅助手段。以具体运营流程为基础展开的IT控制,直接关系运营活动的实施。IT控制分为IT一般性控制和应用系统控制两种。SOX法案所规定IT一般性控制,主要包括信息系统开发流程的控制、程序变更管理控制、计算机运行管理控制、程序与数据访问控制、信息系统安全的控制,还有IT计划等。在一般性控制之外,还有应用系统的控制,包括应用系统中设置的有关业务流程的输入、数据处理和输出控制等。
以IT为基础和手段的控制方法,效率要明显高于传统手工或基于纸张的控制方式;利用IT固化内控流程可以简化企业的内控过程,降低内控成本,优化内控项目的成本效益比,并帮助企业达到内控效力持续性的要求。IT的规范化操作程序以及信息系统的信息备份功能,能够降低内控审计的难度。
IT管理者应该清晰地认识到,IT在企业建立内部控制中的优势和承担的责任。由于信息技术的复杂性,IT部门有责任帮助和配合企业其他部门建立合适的“IT控制”——这不仅能够帮助企业达到内部控制的要求,也有利于提升IT在企业中的价值。
基于IT的控制内容
基于IT的内控制度至少应涵盖以下6方面内容:
一、信息处理部门与使用部门权责的划分
无论企业的信息处理部门组织结构如何,都必须与使用部门进行明确的权责划分,并且成文定义。明确定义的权责将加强信息处理部门与使用部门间的沟通和相互理解,避免推诿和责任不清造成的管理漏洞和效率低下。
二、信息处理部门的功能及职责划分
由于信息系统的特殊性,信息处理部门本身的功能和职责划分是复杂的。功能和职责的复杂性增加了IT服务和运营的风险,所以必须建立相应机制加以管理。信息处理部门管理者首先必须明确本部门在整个企业中起到的作用和承担的角色,明确提供的服务和相应的责任,并且成文定义。
三、系统开发及程序修改的控制
系统开发和程序修改主要包括两部分:新应用软件的开发和实施、现有应用软件的变更和维护。新应用软件获得和实施失败风险很高。为了降低这种风险,企业应该建立成体系的软件开发质量控制方法,比如标准软件开发工具和IT构件的选用。
四、程序及资料的存取、数据处理的控制
程序和数据存取访问控制需要技术和管理两方面的共同保障。首先,信息和系统安全技术是防止非法访问的有效方法,比如各类密码保护、防火墙、数据加密存储、密钥技术等。其次,需要从管理和流程上保证程序和数据的访问安全,最重要的就是建立完善的系统用户管理制度。
五、档案、设备、信息的安全控制
由于信息技术的广泛使用,信息安全一直是信息处理部门和信息使用部门极其关注的一个问题。信息资产安全的漏洞可能造成机密信息外泄、病毒入侵等问题,严重的信息安全问题可能危及整个企业的运营,造成财务和声誉上的重大损失。
六、在网站上进行公开信息披露活动的控制
在网站上进行公开信息披露活动,需要信息处理部门与企业执行层和内部控制体系其它部门的紧密联系。为了保证信息披露的正确性和及时性,企业应该制定一套流程进行信息披露活动的管理,包括网站上的信息披露。
IT内控,从何做起
IT内部控制应该满足“目标设定,内部环境,风险确认,风险评估,风险管理策略选择,控制活动,信息沟通,检查监督”这八个要素的要求。需要强调的是,IT内部控制并不是孤立的,它是企业以业务目标为主导的整体内部控制项目的一部分。
简单来说,企业必须首先确定主要经营活动以及与这些经营活动相关的业务流程和活动,划分内部控制的工作范围。其次,企业在工作范围内定义具体的控制对象。再次,针对控制对象,进行风险分析、评估,决定每项风险的管理策略,制定企业具体的控制程序、控制目标以及审计标准。然后,对现行的运作,实施变革以达到预定目标。最后,评价控制措施的实施后果,加以巩固或改进。
IT内部控制必须遵循企业的内部控制机制和策略,确保IT控制符合企业内部控制的基调。此外,IT内部控制还担当支持企业高层管理活动的责任,在企业内设定业务目标,确立企业政策,在组织资源配置及管理决策时,IT负责辅助企业制定政策方针并在组织内部传达交流。
IT内部控制可以归纳为企业控制、应用控制和基础控制三个层次,企业层面的控制决定了IT内部控制的基调;应用层面的控制与业务流程相结合,体现在应用系统中;基础层面的控制则体现在IT服务过程中。
面对即将于2009年7月实施的《企业内部控制基本规范》,上市公司急需一套普遍适用的IT内部控制方法论以满足《企业内部控制基本规范》的要求,协助IT部门建立合适的内部控制机制;上市公司还需一套可操作的行动指南和评价体系,指导企业在进行IT控制的同时,方便审计机构制订评估标准,并有利于双方就审计细节达成一致。