企业IT内控与风险管理探析.doc

企业IT内控与风险管理探析摘要：为了加强对企业的风险管理，必须建立有效的内部控制框架。而it技术的日益成熟和发展，使得企业的信息化进程加快，企业的日常经营越来越依赖于it系统的支撑。因此，在企业内部控制中，it内控占有非常重要的地位。从企业面临的风险入手，对it内控的作用、思路和方法做了深入的分析，为企业it内控的实施奠定了基础。关键词：信息化；it内控；风险管理1 引言2002年美国国会发布的萨班斯奥克斯利法案（简称为sox法案）中明确提出了所有上市公司都必须加强风险管理，建立有效的内部控制框架。2008年6月，由国家财政部、证监会、审计署、银监会、保监会联合发布了企业内部控制基本规范，要求“内控”将自2009年7月1日起首先在上市公司范围内施行，主要是针对国内财务及会计监控体制的发展趋势，以及企业内部的委托-代理关系等各个方面的需求。2010年4月，财政部、证监会、审计署、银监会、保监会五部门又联合发布了被称为“中国版萨班斯法案”的企业内部控制配套指引（简称为指引）。指引文件明确指出要把企业内部it风险控制建设情况纳入上市公司日常监管的范围，确保it内控风险预警体系的执行质量。这使得国内企业开始重视it内控在整个企业风险管控中的作用。不论是sox法案还是指引文件，虽然因其主要关注的是和财务报告相关的信息系统，故对合规性的要求有其特有的局限性，但是由此产生的方法论和合规性实践，对it内控的理论发展和实践很有借鉴意义。事实上，随着it应用的逐步深入，企业的日常运营越来越依赖于it系统的支撑，it技术在现代企业中扮演着重要的角色。it不仅作为财务流程的系统驱动，还是控制整个企业业务活动的重要手段。因此，企业进行内部风险控制应该从以it为主的内部控制为突破口。但it内部控制并不是孤立的，它是企业以业务目标为主导的整体内部控制项目的一部分。2 企业内控和信息化面临的风险目前我国的信息化正处在一个由初级水平的投入期，向中高级水平的见效期过渡的关键时期，信息化的重点己从注重硬件设备的配备，逐步过渡到强调整合和开发利用信息资源，对客户需求做出快速反应，提高应用水平和服务质量，使组织的价值最大化的阶段。在这一阶段里信息化的机会与风险并存，许多以前还没有考虑到的深层次问题都一一暴露出来，这对企业将是个严峻的考验。2.1 合规性风险由于it在生产和生活中充当越来越重要的角色，国内外近年来出台了不少法律法规加强对it进行监督和控制。sox法案的发布是确保上市公司遵守证券法律以提高公司披露的准确性和可靠性。虽然其没有直接明确对it的要求，但企业在实施符合法案要求的内控过程时，发现it方面的工作量竟然占到了相当大的比重。这是因为一方面it要作为管理组织业务风险的工具与手段，例如，对财务应用系统的机密性、完整性控制，以及对业务交易信息的监督和数据的采集；另一方面it本身的风险，例如系统风险、网络风险、应用风险，也是sox法案关注的重要内容。另外，国内的指引文件也明确指出了合规性风险，具体为：第一，信息系统缺乏或规划不合理，可能造成信息孤岛或重复建设，导致企业经营管理效率低下；第二，系统开发不符合内部控制要求，授权管理不当，可能导致无法利用信息技术实施有效控制；第三，系统运行维护和安全措施不到位，可能导致信息泄漏或毁损，系统无法正常行。2.2 信息化建设风险随着it应用的不断深入，it与业务的关联越来越紧密，创造机会的同时也使it面临着越来越多的问题。2.2.1 it规划与架构风险企业在进行信息化建设的时候，往往是由业务部门先提出业务需求，it部门则根据不同的需求去选择不同的应用系统。这导致的结果为技术体系复杂混乱、技术标准不兼容、系统安全脆弱等等，企业得到的是一个个条块化的it架构。产生这些问题的原因主要有：第一，it建设缺乏从组织角度出发的总体规划和架构设计。第二，it部门在企业中处于从属的地位，不具备话语权。第三，企业高层对信息化整体建设的意识不够。因此，有效的it规划可以将组织战略目标转化为it系统的战略目标，这是现代企业战略规划的重要组成部分，也是企业商业模式创新的最好机会。这样可最大限度的避免这种自然发生的it架构造成的混乱和复杂，同时避免企业的it战略方向及it具体实现上存在的风险。2.2.2 it基础平台风险技术的日新月异，给it基础平台（如硬件、网络、系统）带来高速发展的同时，也给企业增加了各种各样的威胁。漏洞层出不穷、攻击的变化多端、频繁的当机等等让it部门应对不暇。企业对it平台的依赖性越来越强的同时，it系统的风险造成的企业损失也越来越大。硬件的故障、网络的中断、系统的崩溃每一个细小的环节都使得企业的管理者如坐针毡，不得不又加大力度对it基础设施更新换代。实际上，高性能的基础设施并不能完全解决管理上的苦恼，相反，这些高性能的基础设施和脆弱的it管理流程，使得这种不断增强的对it的依赖性就变成了潜在的更大的风险。2.2.3 it应用系统风险开发和获取应用系统是组织实施信息化的核心内容，但开发和获取应用系统是一个高风险的过程。首先，如果组织所开发的应用系统不能准确地反映业务目标，将产生it应用与业务需求之间的逻辑错位风险。其次，如果应用系统开发过程不能遵守相关规范和内置充分的安全措施，it应用将面临系统脆弱性风险。第三，如果应用系统不能经过严格的各种测试，it应用将面临可靠性风险。最后，如果应用系统不能周密地迁移、过渡到生产环境，it应用系统将面临可用性风险。此外，应用系统风险还表现在以下应用控制方面：业务安全控制点是否在应用系统中得到有效实施；在应用系统中是否仅有完整的、准确的和有效的数据被输入和更新；处理过程是否完成了正确的任务；处理结果与预期目标是否相符合；输出数据是否得到了维护等等。2.2.4 信息安全风险在信息化日渐完善的今天，信息比以往有了更高的价值。信息作为一种资源，它的普遍性、共享性、增值性、可处理性和多效用性，使其对企业来说具有特别重要的意义。信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏，即保证信息的安全性。但信息固有的特点也决定其具有易传播、易毁损、易伪造的弱点。而互联网环境下的信息安全则面临着更为严峻的挑战。it部门在保证信息给企业带来效益的同时，还要保证其保密、真实、完整、未授权拷贝的安全性。3 it内控对风险的管控在应对这些各式各样的it风险时，我们有多种成熟的风险控制方法和模型，但一般都是针对技术风险提出来的，偏重于某一技术领域，而且大多是采用事后反应式的控制措施。在信息化的高速发展期，这种单一的应对模式将使it部门处于一种头痛医头，脚痛医脚的尴尬局面。特别对于像制度、流程、人员行为等方面有可能涉及组织核心价值的风险，传统的控制方法显得有些力不从心。为此，信息化建设应当结合企业组织架构、业务范围、地域分布、技术能力等因素，制定信息系统建设整体规划，有序的组织信息系统开发、运行与维护，优化it管理流程，防范经营风险。具体思路如下：第一，企业应当根据信息系统建设整体规划提出项目建设方案，明确建设目标、人员配备、职责分工、经费保障和进度安排等相关内容，按照规定的权限和程序审批后实施。第二，企业开发信息系统，应当将生产经营管理业务流程、关键控制点和处理规则嵌入系统程序，实现手工环境下难以实现的控制功能。第三，企业应当加强信息系统开发全过程的跟踪管理，组织开发单位与内部各单位的日常沟通和协调，督促开发单位按时保质完成编程工作，对配备的硬件设备和系统软件进行检查验收，组织系统上线运行等。企业还应当组织独立于开发单位的专业人员对开发完成的信息系统进行验收测试，并做好信息系统上线的各项准备工作。第四，企业应当加强信息系统运行与维护的管理，制定信息系统工作程序、信息管理制度以及各模块子系统的具体操作规范，及时跟踪、发现和解决系统运行中存在的问题，确保信息系统按照规定的程序、制度和操作规范持续稳定运行。第五，企业应当重视信息系统运行中的安全保密工作，确定信息系统的安全等级，建立不同等级信息的授权使用制度、用户管理制度和网络安全制度，并定期对数据进行备份，避免损失。对于服务器等关键信息设备，未经授权，任何人不得接触。4 实施it内控的思路及方法4.1 it内控实施理论支撑和思路任何体系的构建都需要相应的标准及理论支持，it内控也不例外，cobit（control objectives for information and related technology）和iso27004就是最为典型的2个。cobit作为国际上公认的最先进、最权威的信息安全与信息技术管理和控制的标准，其不仅可以指导企业有效地利用信息资源，而且可以指导企业有效地控制与信息相关的风险。所以建设和完善it内部控制体系的指导框架必须同时结合企业内控框架和cobit标准。cobit建立了一个包含7个业务需求、20个业务目标、28个it目标、34个it过程、100多个控制管理目标的it管理框架，通过控制度、度量、标准三个纬度来度量it过程能力。iso27004作为iso27*系列中的一个重要组成部分，对信息安全度量目标、度量项、度量过程、度量值乃至度量实施都给出了指引。企业可以采用企业内部控制规范作为内控评估标准，结合cobit框架作为it控制的标准，设计出符合规范要求的it内部控制体系。首先，企业需要对it相关的风险进行评估，建立it控制矩阵，以cobit为参照依据，选取其中适合本身业务特点、复杂性和需求的控制流程和控制目标为对象，建立it内部控制框架，作为后续制定控制文档体系和测试的基础。同时，在具体控制措施上可融合iso27001（信息安全管理体系）、iso20000（it服务管理体系）、prince2（it项目管理）、cmmi（软件开发过程控制）等具体控制框架，分阶段分步骤的实施。4.2 it内控实施前提第一，管理层重视和支持。内控工作涉及到对各部门的检查和考核，需要得到企业管理层的大力支持，在此基础上，可以确保相关工作高效、持续的落实，具体工作实施也将在管理层的支持下得到顺利开展，并确保it内控建设及今后的实施过程中得到足够的资源支持。第二，健全的信息安全管理制度。由于it内控工作主要是对现有制度的执行情况以及日常工作中涉及安全管理部分内容的检查分析，信息安全管理制度的建设是否成熟就显得尤为重要。既要有相关的管理办法，也要有具体的操作、实施细则，只有建立层次化的制度体系，才能有效对信息安全管理提供制度支持。成熟的管理制度体系可以为it内控工作提供充分的检查依据及相关的检查输入。第三，技术支持体系。由于it内控工作的开展需要大量信息的输入，这些输入信息都是it内控体系的评价基准，只有根据大量真实客观的信息，才能有效评估企业信息安全管理现状，才能发现存在的问题与不足。这些信息既包括人工采集的信息，也包含通过系统、设备采集的信息，后者尤为重要。第四，各部门协调配合。信息安全管理涉及企业信息管理的方方面面，需要企业内各部门积极配合it内控体系的建设及后续度量工作的开展，唯有各部门之间相互协作、紧密配合，才能确保度量工作高效、顺利、持续的开展。4.3 it内控实施方案完整的体系架构、严格的权限管理、稳固的信息基础平台、安全的应用系统和全面的审计监控是保证it内控合规的五大核心要素。企业可根据自身的特点，针对这五大要素整理出it内控实施方案，打造出一个合规的it内控体系。第一阶段，完善it内部控制环境。内部环境在企业it领域的体现是it的内部控制环境，同样it内部控制环境是实施it内部控制的基础。主要包括it组织架构、it决策与职责等。第二阶段，落实it风险评估。企业信息化带来的it风险已经成为企业风险管理的主要方面。风险评估主要包括目标设定、风险识别、风险分析和风险应对。此阶段的工作可以理解为it战略与it规划，it风险识别与分析，对信息资产的风险、it流程的风险以及应用系统的风险识别分析与应对。第三阶段，明确it控制措施。针对风险评估的结果，在it方面需要实施具体的it控制措施，包括it技术类控制措施，如防火墙、防病毒、入侵检测、身份管理、权限管理等，以及it管理类控制措施，包括各类it管控制度与流程，如开发管理、项目管理、变更管理、安全管理、运营管理、职责分离，授权审批等。第四阶段，加强信息与沟通。在it领域也需要明确具体的it管理制度和沟通机制，建立服务机制与事件管理程序，及时传达企业内部层级之间和与企业外部相关的信息。第五阶段，强化监督检查。需要建立it内部控制体系的审核机制，评价it控制的有效性。通过it技术手段如日志、监控系统、综合分析平台等，和管理手段如内部it审核、管理评审、专项检查等措施，不断改进企业的it内部控制。5 总结it技术能帮助企业在内控和风险管理过程中实现可行、可控和可视，使内控规范具体落地，并且能对执行的效果进行评估、评价和信息反馈。it内控是一个需要企业全员参与的体系，它的安全、稳定和可靠尤为重要，其整个授权和相关的权限管理对技术要求非常高。同时，it内控也是一个需要逐步建设、长期规划的系统，这就要求该系统的架构必须能够满足可扩展、个性化应用的需求。科学合理的it内控机制还应当具有前瞻性的、全局性的控制机制，能融合防范与应对合规性、it决策与管理、信息安全、it应用、it基础设施等方面的风险，并能有效地指导组织控制it风险，使it战略与企业战略相融合，促进it为组织持续地创造价值，以帮助企业实现有