企业IT部门如何应对《企业内部控制基本规范》.doc

企业IT部门如何应对企业内部控制基本规范企业IT部门如何应对企业内部控制基本规范ITIL篇 原定于2009年7月1日起实施的我国首部企业内部控制基本规范及其配套指引延至2010年1月1日。到2010年年底，要求执行企业出具内控自我评价报告。 这并不意味着企业可以就此松懈，相反，更表明了政府对这套法规的重视程度，以及日后的监管力度。 随着这部中国萨班斯法案实施脚步的逼近，IT服务管理ITSM越来越受到企业CIO的青睐，ITIL为企业IT部门所带来的价值也越来越受到瞩目。作为ITIL项目的实施方，我们北京捷先科技有限公司也乐见其成。 IT内部控制与企业内部控制规范息息相关。企业内部控制基本规范包含内部环境、风险评估、控制措施、信息与沟通以及监督检查等五要素框架。相应的IT内部控制框架也对应于：(一)IT内部控制环境。内部环境在企业IT领域的体现是IT的内部控制环境，它是实施IT内部控制的基础。包括IT治理架构、IT组织与职责，IT决策机制，IT合规与IT审计等。(二)IT风险评估。风险评估是及时识别、科学分析和评价影响企业内部控制目标实现的各种不确定因素并采取应对策略的过程，是实施内部控制的重要环节。风险评估主要包括目标设定、风险识别、风险分析和风险应对。体现在IT部门主要是对变更风险的管理。(三)IT控制措施。针对风险评估的结果，在IT方面需要实施具体的IT控制措施，包括IT技术类控制措施，如防火墙、防病毒、入侵检测、身份管理、权限管理等；以及IT管理类控制措施，包括各类IT管控制度与流程，如项目管理、变更管理、安全管理、运营管理、职责分离、授权审批等。(四)IT信息与沟通。在IT领域也需要明确具体的IT管理制度和沟通机制，建立服务台与事件管理程序，及时传达企业内部层级之间和与企业外部相关的信息。(五)IT监督检查。需要建立IT内部控制体系的审核机制，评价IT控制的有效性。通过IT技术手段如日志、监控系统、综合分析平台等，和管理手段如内部IT审核、管理评审、专项检查等措施，不断改进企业的IT内部控制。应对上述内控细节，企业IT部门距离还有多远？ 就捷先科技多年的ITIL实施经验来看，我国大多数企业的IT运维仍是在发生问题之后充当“救火队”的角色，缺乏固化的工作流程，职责分派不清，而且自动化程度较低。随着企业的不断发展，IT技术的不断进步与完善，业务越来越依赖于IT。为了更好的为业务提供服务，IT服务管理项目被逐步提上日程，ITIL也成为业界推崇的标准。ITIL通过一个职能（即服务台），五大流程（即事件管理、问题管理、变更管理、配置管理、发布管理流程），将IT部门的日常工作规范化、自动化、流程化、分工明确，而且能够做到工作可计量。具体而言：（1）ITIL可以对IT部门工作流程进行有效梳理，按照事件对业务的影响度进行优先级划分，同时根据现有员工的实际工作能力、专长，进行合理分工，从而分派其在问题处理流程中充当的角色。将日常运维工作的流程固化、显性化。使得只要业务部门提出请求，IT部门就能够在第一时间做出反应，安排正确的人在正确的时间给予正确的解决，从而提高业务影响力。（2）ITIL对整个运维管理流程，精细到每个事件的处理，都有详细的记录，包括问题描述、解决方案、操作人员等等。使得我们对人员的考核有了量化的标准，同时这个过程有助于知识积累，形成有效的知识库，可以极大地减少对关键人员的依赖，降低人员流失的风险。（3）ITIL定义了严密的变更管理流程，通过一系列计划、审核、审批、实施、回顾等流程，进行有效地风险控制，将其对业务的影响降至最低。（4）ITIL可以提供详尽的报表统计数据，将IT部门的工作量化、显性化，有强有力的证据来说明IT的时间和资金花在什么地方，让企业知道IT的预算花在什么地方，让业务部门清楚地了解IT部门所做的努力和工作，提高透明度。（5）ITIL可以变被动为主动，从根本上改善服务质量，减少事件的发生，降低IT成本。ITIL源自最佳实践，是一套先进的管理理念，但要真正为企业带来效益还需要进一步的落地实施。BMC的Remedy产品基于开放灵活的平台，具有开箱即用的流程模块，是业界公认IT