CIO：淺談企業(yè)IT風(fēng)險(xiǎn)管控體系

2014-11-08 22:38:21 大云網(wǎng)　點(diǎn)擊量：評(píng)論 (0)

當(dāng)今企業(yè)中各種各樣的財(cái)務(wù)報(bào)表和經(jīng)營報(bào)表等都是通過IT系統(tǒng)計(jì)算處理后呈現(xiàn)出來的。假如IT系統(tǒng)的安全控制不住的話，風(fēng)險(xiǎn)就非常大，因此信息系統(tǒng)的管控就變得越來越重要。根據(jù)2005年2月畢馬威的調(diào)查數(shù)據(jù)，美國上市公司在各業(yè)務(wù)流程中存在的控制缺陷、顯著缺陷和實(shí)質(zhì)性漏洞所占的比例，分析了包括信息技術(shù)、固定資產(chǎn)、財(cái)務(wù)報(bào)告、采購、人力資源等方面的數(shù)據(jù)，可以看到信息技術(shù)控制的缺陷是最大的，控制缺陷高達(dá)36%，顯著缺陷達(dá)到22%，實(shí)質(zhì)性漏洞達(dá)到21%，遠(yuǎn)遠(yuǎn)高于其他方面。

　　在企業(yè)追求成功的道路上，往往要做到有效的內(nèi)部控制，其趨勢是創(chuàng)造風(fēng)險(xiǎn)與經(jīng)營回報(bào)的良好平衡。但有效的內(nèi)部控制就像在企業(yè)成功途中設(shè)置紅綠燈，會(huì)亮紅燈或亮黃燈，就帶來不方便。就像足球比賽會(huì)有紅牌和黃牌，但比較成功的裁判是合理利用手中的紅黃牌，不僅有力的控制場上局面，也讓球賽順暢的進(jìn)行下去，不會(huì)讓人感覺特別的中斷，這就是一種風(fēng)險(xiǎn)與回報(bào)的良好平衡藝術(shù)。

　　目前IT風(fēng)險(xiǎn)管理的內(nèi)控一般都在IT治理層面，大部分都是高層在做，往往是制定出責(zé)權(quán)利等規(guī)定掛在墻上就結(jié)束了。包括剛才德勤專家介紹到的，很多企業(yè)制度都已經(jīng)制定了，但還是會(huì)出現(xiàn)問題，重要的原因之一就是把管控僅當(dāng)作治理層面來看造成的，所以現(xiàn)在的趨勢是風(fēng)險(xiǎn)的管控不僅是治理層面的事情，還需要往下移，也應(yīng)該包括日常的運(yùn)營，以及風(fēng)險(xiǎn)預(yù)警和監(jiān)控，即企業(yè)整個(gè)風(fēng)險(xiǎn)管控和內(nèi)控體系不僅是治理問題，也是管理問題，如此才能實(shí)現(xiàn)從高層決策到基層執(zhí)行，構(gòu)建統(tǒng)一有效的治理和管控體系。

　　同時(shí)，我們也注意到國家也出臺(tái)了一系列規(guī)范和條文，比如COSO報(bào)告的《內(nèi)部控制-整體架構(gòu)》，AICPA《審計(jì)準(zhǔn)則公告第78號(hào)》、《會(huì)計(jì)法》中第四章第27條，財(cái)政部頒布的《內(nèi)部會(huì)計(jì)控制規(guī)范》，證監(jiān)會(huì)也出臺(tái)了《證券公司內(nèi)部控制指引》和《商業(yè)銀行內(nèi)部控制指引》征求意見稿，五部委出臺(tái)有《企業(yè)內(nèi)部控制基本規(guī)范》及《企業(yè)內(nèi)部控制配套指引》。這些法規(guī)都是從各方面提出了很多治理要求，作為規(guī)范和指引企業(yè)內(nèi)部控制作用。

　　據(jù)中國上市公司2011年內(nèi)部控制白皮書數(shù)據(jù)介紹，2010年我國上市公司的內(nèi)部控制披露水平有所提升，披露了內(nèi)部控制自我評(píng)價(jià)報(bào)告的上市公司的比例達(dá)到76.86%，聘請(qǐng)了會(huì)計(jì)師事務(wù)所出具內(nèi)部控制審計(jì)報(bào)告的上市公司的比例達(dá)到41.57%。然而，2010年，我國上市公司自愿披露內(nèi)部控制缺陷的比例低于1%，會(huì)計(jì)師事務(wù)所出具的內(nèi)部控制審計(jì)報(bào)告中認(rèn)為上市公司失效的比例也低于1%。在99%以上認(rèn)為自身內(nèi)部控制體系有效的上市公司中，多家上市公司存在著內(nèi)部控制的重大缺陷，其內(nèi)部控制體系實(shí)質(zhì)上是失效的，以2010年違法違規(guī)及財(cái)務(wù)重述的數(shù)據(jù)為例，我國有50家上市公司由于違法違規(guī)而被監(jiān)管機(jī)構(gòu)處罰，占2105家上市公司的2.38%。

　　與我國相比，美國上市公司自愿披露內(nèi)部控制缺陷的比例高達(dá)13.8%。美國的上市公司大部分都必須經(jīng)過會(huì)計(jì)師事務(wù)所出具內(nèi)控審計(jì)報(bào)告，同時(shí)有接近百分之十一左右提出問題。薩班斯法案有明確的懲罰體制，如果審計(jì)隱瞞就會(huì)懲罰。然而在國內(nèi)存在很大問題，能通過會(huì)計(jì)師事務(wù)所出具內(nèi)控審計(jì)報(bào)告的公司不到一半，很多公司的審計(jì)部就下屬在財(cái)務(wù)部或者總經(jīng)理，但其實(shí)審計(jì)是主要審核財(cái)務(wù)和經(jīng)營的，應(yīng)該直接在董事會(huì)下，為股東負(fù)責(zé)。因此，針對(duì)這些現(xiàn)象，國內(nèi)可以借鑒美國的薩班斯法案中的906條款對(duì)隱瞞內(nèi)部控制缺陷、虛假披露內(nèi)部控制有效性的上市公司進(jìn)行嚴(yán)厲處罰，以此促進(jìn)我國資本市場健康發(fā)展。

　　當(dāng)前企業(yè)內(nèi)部控制體系還面臨這樣的現(xiàn)狀，即會(huì)計(jì)師事務(wù)所對(duì)上市公司的內(nèi)部控制體系的審核依據(jù)各不一致，有遵照薩班斯法案的，也有按照香港審計(jì)準(zhǔn)則，還有中國注冊(cè)會(huì)計(jì)師審計(jì)準(zhǔn)則和內(nèi)部審計(jì)指導(dǎo)意見的。因此我們的建議是按照財(cái)政部等五部委已經(jīng)出臺(tái)的《企業(yè)內(nèi)部控制基本規(guī)范》及《企業(yè)內(nèi)部控制配套指引》，為企業(yè)實(shí)施內(nèi)部控制體系提供了基本的框架體系，并規(guī)范了公司披露《內(nèi)部控制自我評(píng)價(jià)報(bào)告》和《內(nèi)部控制審計(jì)報(bào)告》的內(nèi)容與格式。采用COSO為基礎(chǔ)建立企業(yè)整體內(nèi)控框架和用COBIT為基礎(chǔ)建立企業(yè)IT內(nèi)控體系。

　　但通過COSO的整體內(nèi)控框架的五個(gè)方面來看，直接用于IT還是欠缺不少，所以當(dāng)2002年薩班斯法案出臺(tái)后，通常就直接用COBIT這個(gè)框架來做IT的內(nèi)控審計(jì)框架了。2004年9月，結(jié)合《SOX法案》，COSO頒布了《企業(yè)風(fēng)險(xiǎn)管理--總體框架》，提出內(nèi)部環(huán)境、目標(biāo)制定、事件識(shí)別、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)對(duì)策、控制活動(dòng)、信息與溝通、監(jiān)控的風(fēng)險(xiǎn)八要素，達(dá)到實(shí)現(xiàn)發(fā)展戰(zhàn)略、日常經(jīng)營的效率和效益、經(jīng)營信息報(bào)告體系和滿足合規(guī)性的目標(biāo)。

　　我們建議國內(nèi)企業(yè)采用財(cái)政部等五部委頒布的企業(yè)內(nèi)部控制基本規(guī)范作為內(nèi)控評(píng)估標(biāo)準(zhǔn)，結(jié)合國際上普遍采用COBIT框架作為IT控制的標(biāo)準(zhǔn)，將COBIT的相關(guān)IT控制目標(biāo)與COSO風(fēng)險(xiǎn)八要素關(guān)聯(lián)起來，設(shè)計(jì)符合規(guī)范要求的IT內(nèi)部控制體系。COBIT是一個(gè)很豐富IT內(nèi)控框架，包括三維架構(gòu)、四個(gè)域、34個(gè)IT控制流程和318個(gè)詳細(xì)的控制目標(biāo)，是一個(gè)相當(dāng)全面的信息系統(tǒng)內(nèi)控框架體系。對(duì)想遵循內(nèi)部控制規(guī)范的企業(yè)來說，該體系的控制目標(biāo)和考慮一般會(huì)超過其需求，可實(shí)現(xiàn)業(yè)務(wù)需求的七個(gè)業(yè)務(wù)指標(biāo)：有效性、高效性、保密性、完整性、可用性、一致性、可靠性。

　　隨著計(jì)算機(jī)系統(tǒng)的運(yùn)用越來越廣泛，業(yè)務(wù)/財(cái)務(wù)數(shù)據(jù)處理計(jì)算機(jī)化，計(jì)算機(jī)數(shù)據(jù)的完整性、可靠性和準(zhǔn)確性、集成性直接影響管理層決策，因此信息系統(tǒng)控制要實(shí)現(xiàn)的目標(biāo)是保持?jǐn)?shù)據(jù)完整，維護(hù)資產(chǎn)安全，提高資源使用效率，符合相關(guān)的法律、法規(guī)和政策，從而有效達(dá)到企業(yè)目標(biāo)。為此，我們提出的IT內(nèi)控控制框架從營運(yùn)、財(cái)務(wù)報(bào)告和合規(guī)性三方面對(duì)整個(gè)企業(yè)的IT進(jìn)行治理，分為以下五個(gè)部分：

　　1、IT內(nèi)控環(huán)境--是在企業(yè)IT領(lǐng)域的體現(xiàn)是IT的內(nèi)部控制環(huán)境，是實(shí)施IT內(nèi)部控制的基礎(chǔ)，主要包括IT治理架構(gòu)、IT組織與職責(zé)，IT決策機(jī)制，IT合規(guī)與IT審計(jì)等；

　　2、IT風(fēng)險(xiǎn)評(píng)估--是企業(yè)信息化帶來的IT風(fēng)險(xiǎn)已經(jīng)成為企業(yè)風(fēng)險(xiǎn)管理的主要方面。風(fēng)險(xiǎn)評(píng)估主要包括目標(biāo)設(shè)定、風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)應(yīng)對(duì)。IT目標(biāo)設(shè)定可以理解為IT戰(zhàn)略與IT規(guī)劃，IT風(fēng)險(xiǎn)識(shí)別與分析應(yīng)對(duì)包括對(duì)信息資產(chǎn)的風(fēng)險(xiǎn)、IT流程的風(fēng)險(xiǎn)以及應(yīng)用系統(tǒng)的風(fēng)險(xiǎn)識(shí)別分析與應(yīng)對(duì)；

　　3、IT控制措施--是針對(duì)風(fēng)險(xiǎn)評(píng)估的結(jié)果，在IT方面需要實(shí)施具體的IT控制措施，包括IT技術(shù)類控制措施，如防火墻、防病毒、入侵檢測、身份管理、權(quán)限管理等，以及IT管理類控制措施，包括各類IT管控制度與流程，如開發(fā)管理、項(xiàng)目管理、變更管理、安全管理、運(yùn)營管理、職責(zé)分離，授權(quán)審批等。

　　4、信息和溝通--在IT領(lǐng)域也需要明確具體的IT管理制度和溝通機(jī)制，建立服務(wù)臺(tái)與事件管理程序，及時(shí)傳達(dá)企業(yè)內(nèi)部層級(jí)之間和與企業(yè)外部相關(guān)的信息。

　　5、監(jiān)控--需要建立IT內(nèi)部控制體系的審核機(jī)制，評(píng)價(jià)IT控制的有效性。通過IT技術(shù)手段如日志、監(jiān)控系統(tǒng)、綜合分析平臺(tái)等，和管理手段如內(nèi)部IT審核、管理評(píng)審、專項(xiàng)檢查等措施，不斷改進(jìn)企業(yè)的IT內(nèi)部控制。

　　在實(shí)際的IT控制落地實(shí)現(xiàn)上，我們可分八大方面組件包括IT治理，法規(guī)和標(biāo)準(zhǔn)符合性、IT戰(zhàn)略規(guī)劃、在IT應(yīng)用系統(tǒng)中內(nèi)置對(duì)時(shí)間的識(shí)別和報(bào)警；IT風(fēng)險(xiǎn)評(píng)估及業(yè)務(wù)影響分析；風(fēng)險(xiǎn)管理策略及應(yīng)對(duì)措施；防火墻、反病毒、災(zāi)難恢復(fù)、SDLC、變更管理、運(yùn)營管理；IT政策、標(biāo)準(zhǔn)、程序、OA、Email、平衡計(jì)分卡、幫助臺(tái)；系統(tǒng)和數(shù)據(jù)庫、防火墻日志、入侵檢測、安全意識(shí)。這八大方面的組件正好與COSO的風(fēng)險(xiǎn)八要素相對(duì)應(yīng)。綜合分析IT內(nèi)部控制的組件，我們可以將IT的控制分為三個(gè)層面：

　　1、公司層控制--在公司層面建立IT治理架構(gòu)，完善IT組織與職責(zé)，制定IT決策機(jī)制，實(shí)行IT人員績效考核，加強(qiáng)IT合規(guī)與IT審計(jì)。

　　2、流程與應(yīng)用層控制--分析企業(yè)業(yè)務(wù)流程與活動(dòng)，與通用IT流程層面建立控制，重點(diǎn)關(guān)注與財(cái)務(wù)報(bào)表相關(guān)的各種業(yè)務(wù)與應(yīng)用系統(tǒng)的技術(shù)控制與流程控制。

　　3、資源層控制--針對(duì)企業(yè)業(yè)務(wù)運(yùn)作所依賴的各類信息資產(chǎn)和IT資源，分析具體每個(gè)資源點(diǎn)的風(fēng)險(xiǎn)，建立風(fēng)險(xiǎn)控制措施。

　　最后介紹下IT總體內(nèi)控的實(shí)施過程，第一階段是制定計(jì)劃、確定范圍，主要任務(wù)是確定IT總體內(nèi)控的大體范圍及對(duì)象，制定項(xiàng)目計(jì)劃，組成項(xiàng)目組。通過資料收集、現(xiàn)場業(yè)務(wù)系統(tǒng)調(diào)研、分析控制實(shí)體及控制系統(tǒng)、撰寫項(xiàng)目計(jì)劃的方法和步驟。

　　第二階段是IT總體內(nèi)控現(xiàn)狀調(diào)研與差距分析（或風(fēng)險(xiǎn)評(píng)估），主要任務(wù)是調(diào)查企業(yè)IT總體內(nèi)控現(xiàn)狀，參照Cobit確定的控制目標(biāo)，進(jìn)行差距分析，方法及步驟有資料收集與分析、現(xiàn)場調(diào)研、差距分析、確定整改內(nèi)容及計(jì)劃。

　　第三階段是IT總體內(nèi)控體系設(shè)計(jì)，完善內(nèi)控管理組織及監(jiān)控職能，主要任務(wù)是按照整改計(jì)劃，進(jìn)行IT總體內(nèi)控體系設(shè)計(jì)，完善監(jiān)控職能，有設(shè)計(jì)控制體系和控制體系討論修改、批準(zhǔn)控制體系。

　　第四階段是培訓(xùn)與實(shí)施，其主要任務(wù)是對(duì)用戶進(jìn)行培訓(xùn)，實(shí)施已建立的IT總體內(nèi)控體系，方法有體系培訓(xùn)、體系實(shí)施和實(shí)施總結(jié)。

　　第五階段是控制測試與實(shí)施監(jiān)控，主要任務(wù)是按照IT審計(jì)標(biāo)準(zhǔn)及方法，測試IT總體內(nèi)控，方法包括制定測試計(jì)劃與方法、測試培訓(xùn)、實(shí)施測試、測試總結(jié)。

　　第六階段是回顧調(diào)整與監(jiān)督優(yōu)化，主要任務(wù)是根據(jù)管理層測試及內(nèi)控執(zhí)行過程中遇到的問題，定期進(jìn)行回顧，不斷完善IT總體內(nèi)控。

免責(zé)聲明：本文僅代表作者個(gè)人觀點(diǎn)，與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請(qǐng)讀者僅作參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個(gè)贊