IT环境下对企业内控的思考.doc

IT环境下对企业内控的思考.DOC:..那么,对于企业内部的IT建设与控制而言,企业内部控制规范的实施会带来怎样的影响呢?CIO们如何系统考虑从企业IT的内部控制建设来保障企业内部控制。本文从IT内部控制与IT风险管理的角度,阐述企业IT控制与企业内部控制之间的关系。现在大部分上市公司和大型企业,其企业运营已基本依赖于企业的各种信息系统,已经基本完成了企业信息化的初步建设,因此企业的内部控制就离不开企业IT的控制。企业内部控制规范与IT内部控制的关系企业内部控制基本规范包含的五要素框架:(一)内部环境。(二)风险评估。(三)控制措施。(四)信息与沟通。(五)监督检查。相应,IT内部控制框架也应对应于企业内部控制的五要素框架:(一) IT内部控制环境。内部环境在企业IT领域的体现是IT的内部控制环境,同样IT内部控制环境是实施IT内部控制的基础。主要包括IT治理架构、IT组织与职责,IT决策机制,IT合规与IT审计等。(二) IT风险评估。企业信息化带来的IT风险已经成为企业风险管理的主要方面。风险评估主要包括目标设定、风险识别、风险分析和风险应对。IT目标设定可以理解为IT战略与IT规划,I「风险识别与分析应对包括对信息资产的风险、IT流程的风险以及应用系统的风险识别分析与应对。(三) IT控制措施。针对风险评估的结果,在IT方面需要实施具体的IT控制措施,包括IT技术类控制措施,如防火墙、防病毒、入侵检测、身份管理、权限管理等,以及IT管理类控制措施,包括各类IT管控制度与流程,如开发管理、项目管理、变更管理、安全管理、运营管理、职责分离,授权审批等。(四) 信息与沟通。在IT领域也需要明确具体的IT管理制度和沟通机制,建立服务台与事件管理程序,及吋传达企业内部层级之间和与企业外部相关的信息。(五) 监務检查。需要建立IT内部控制体系的审核机制,评价IT控制的有效性。通过IT技术手段如H志、监控系统、综合分析平台等,和管理手段如内部IT审核、管理评审、专项检查等措施,不断改进企业的IT内部控制。综合分析IT内部控制的组件,我们可以将IT的控制分为三个层面:(一)公司层控制。在公司层面建立IT治理架构,完善IT组织与职责,制定IT决策机制,实行IT人员绩效考核,加强IT合规与IT审计。(二) 流程与应用层控制。分析企业业务流程与活动,在企业业务流程、应用系统层面与通用IT流程层面建立控制,重点关注与财务报表相关的各种业务与应用系统的技术控制与流程控制。(三) 资源层控制。针对企业业务运作所依赖的各类信息资产和IT资源,分析具体每个资源点的风险,建立风险控制措施。IT内部控制实施思路企业内部控制规范并没有对IT控制的目标和相关的控制活动做出明确的规定。COSO并没有提供IT控制方而的详细控制目标和控制方法,从而进行IT治理。直到COBIT(直译为信息及相关技术的控制目标)被提出来以后,IT治理才有了一个开放性的标准,目前其已成为国际上公认的最先进、最权威的信息安全与信息技术管理和控制的标准。所以建设和完善IT内部控制体系的指导框架必须同时结合企业内控框架和COBIT标准。我们建议国内企业釆用企业内部控制规范作为内控评估标准,结合国际上普遍采用COBIT框架作为IT控制的标准,将COBIT的相关