如何建立IT內控風險預警體系？

2014-11-08 22:24:07 大云網　點擊量：評論 (0)

2010年依然是一個充滿變數的一年，目前全球經濟正處于動蕩之中。從歐洲希臘經濟危機到冰島火山危機，眾多的風險和危機在警示我們：風險如影隨形，無處不在。但是，目前很多企業在風險防范意識方面都存在著重視程

2010年依然是一個充滿變數的一年，目前全球經濟正處于動蕩之中。從歐洲希臘經濟危機到冰島火山危機，眾多的風險和危機在警示我們：風險如影隨形，無處不在。但是，目前很多企業在風險防范意識方面都存在著重視程度嚴重不足，在風險管控措施方面執行不到位，這使得在面對重大突發災難時很容易陷入生存危機。即使不受突發災難影響，由于盲目擴張、造假和管理失控等風險造成的“突然死亡事件”也不勝枚舉。

　　居安思危，防微杜漸。近日我參加了一個上市公司CIO的專題研討會，主題是如何建立IT內控風險預警體系。起因是2010年4月，財政部、證監會、審計署、銀監會、保監會等五部門聯合發布了被稱為“中國版薩班斯法案”的《企業內部控制配套指引》。指引文件在第37條中明確指出要把企業內部IT風險控制建設情況納入上市公司日常監管的范圍，確保IT內控風險預警體系的執行質量。而且，為了確保上市公司IT內控風險預警體系的順利實施，財政部等五個部門還制定了IT內控建設的實施時間表。

　　一.什么是IT內控風險預警體系？

　　風險無處不在、而且還難以度量，這使到企業很難去評估和預防風險。因此，很多時候企業在實施IT內控和風險管理時常常感到無從下手。從研討會上眾多CIO討論的情況來看，目前國內大部分上市公司在IT內控風險預警和防范方面還存在很多模糊的認識和誤解。

　　(1)什么是IT內控風險預警體系？

　　在風險管理體系中，一般包括風險管理計劃、風險識別、風險定性分析、風險定量分析、風險響應和風險監控。風險管理貫穿企業各項業務的整個過程，包括事前、事中和事后。統計資料表明越早發現風險、越早采取措施，則風險管理的成本就越低，給企業帶來的效益也就越大。按照1：10：100的理論，在第一個階段控制風險的成本是1，那么如果到了第二個階段才采取措施，它的成本就會是10，而到了第三個階段時才采取措施的成本將會是100。因此，在風險管理領域中普遍強調風險管理的計劃性和預測性。也就是說，風險預警系統可以為風險識別、風險分析、風險監控等提供強有力的手段，在整個風險管理體系中具有極其重要的地位。

　　為此，2010年4月財政部等五部門聯合發布的“中國版薩班斯法案”《企業內部控制配套指引》在第37條明確指出“企業應當建立重大風險預警機制和突發事件應急處理機制，明確風險預警標準，對可能發生的重大風險或突發事件，制定應急預案、明確責任人員、規范處置程序，確保突發事件得到及時妥善處理”的規定。要求IT系統提供對風險事件的預警，并能及時通過各種通訊方式通知相關崗位人員。因此，通過IT內控風險控制體系來防范和降低上市公司的IT違規風險，是企業高層領導和CIO目前最迫切需要解決的難題。

　　(2)IT內控風險預警體系的具體內容

　　任何風險的出現都會有預兆，警兆是指風險發生前的先兆。通常某些指標會提前出現異常的波動，預警系統就是根據一定的原則捕捉到這些異常。因此，企業風險預警系統主要包括警源分析和警兆辨識兩部分。警源分析著重分析風險發生的根源性因素;警兆辨識主要通過定量的指標體系分析法和定性描述分析法相結合的方式，提前向企業IT決策者發出預警信號。

　　具體來說，要實現對IT風險警兆的辨識可通過兩方面來進行：一是定性分析，即通過對有關IT項目從決策到運營等方面的定性描述判別是否出現警兆;二是定量分析，即通過預警指標體系的指標計算來確定警兆是否出現。因此，風險預警指標體系包括定性指標和定量指標兩部分。其中風險預警系統中的定性分析主要是通過對一些無法具體量化而又對IT項目的運行起到決定作用的關鍵問題進行是非判斷，從而決定是否發出預警。定量分析的主要內容是對IT項目中的統計信息設立數量化指標體系，是指通過建立和運用數量化指標體系從定量的角度來分析項目是否存在潛在的風險，從而確定是否存在警兆。

　　一般來說，在IT內控時可能會碰到很多的風險，通常的做法是把可能的IT風險劃分一個優先級，對于優先級高的風險要給以更多的關注。例如，對財務違規的IT操作流程和可能會影響上市公司股價波動的IT流程給予高優先級考慮。因此，IT體系風險評估的目的是要辨別出潛藏的IT內在風險與殘存風險。通常包括風險判斷標準、風險發生的可能性、風險發生的危險度、風險預防措施、風險消除措施等幾個方面進行評估。為了更加形象地標識企業出現的IT風險所處的級次，應該把IT風險預警區間分為安全區(綠區)、預警區(黃區)、危機區(紅區)三個區域。指標在安全區，表示發生危機的可能性較小;指標在預警區，表示存在發生危機的可能性;指標在危機區，表示發生危機的可能性較大。根據風險評估得分，對照相應的預警區間就可以快速的判斷出各企業的IT風險預警警度。

　　在這次研討會上，眾多CIO關注的焦點是如何實現五部門聯合發布的“中國版薩班斯法案”《企業內部控制配套指引》第37條。也就是：為使預警功能得到正常充分的發揮，企業應如何建立預警機制。包括信息收集/傳遞機制、預警分析機制、危機分析機制以及危機處理機制。總結這次研討會的發言，CIO們一致的認為預警系統的建立有幾個關鍵核心：①是確定預警的指標和判斷預警的警戒線，因為預警分析一般包括預警指標和預警指標的臨界點等兩個要素，一旦評測指標超過臨界點，應急計劃則應馬上啟動。②IT預警系統的核心是高效的風險分析機制，是指通過風險分析迅速對影響的因素作出判斷，從而可以把主要精力放在有可能造成重大影響的警情上。③預先制定危機處理機制，主要包括應急措施、補救方法、改進方案，并在分析清楚危機后應立即采取消除措施，以減少危機帶來的損失。

　　二.如何打造符合第37條的IT內控風險預警體系？

　　古希臘政治家伯利克利認為：“提升風險管理水平，并不是為了能夠準確的預見未來的風險，而是為了不可預知的風險做好準備”。這與中國的諺語“居安思危，有備無患”有異曲同工之妙。因此，中國版薩班斯法案《企業內部控制配套指引》在第37條也明確指出企業必須要先打造一個預警式IT內控體系。所以，構建一個滿足企業業務發展需要的預警式IT內控體系，是目前很多CIO在思考的問題。結合研討會上眾多CIO的意見和經驗，提供以下幾個建設高效IT內控風險預警體系的策略僅大家參考：

　　(1)確定IT內控風險預警范圍

　　第一步是先確定IT內控風險預警的范圍，它是指根據財政部等五部門在去年發布《企業內部控制基本規范》的要求，再結合在今年4月發布的《企業內部控制配套指引》的建議，從全局角度去考慮、分析、規劃需要控制的IT內容和范圍。這是IT內控風險預警控制中最為關鍵的內容，包括風險形勢評估、風險識別、風險分析和風險評價等幾部分。一般來說，確定IT內控風險預警體系的范圍可以分為這幾個步驟：首先確定IT風險預警報告流程中的核心要素;其次，識別關鍵的IT內控風險預警流程;最后，是根據IT活動確定關鍵的IT風險流程和IT風險支持系統，從而確定IT內控風險預警范圍。

　　(2)對選定范圍進行風險識別和評估

　　對企業IT運營中可能遇到的潛在IT風險進行正確評估其破壞力，是IT內控風險預警最為關鍵的內容。因為通過對IT風險的識別和評估可使企業更加清晰地認識到IT意外事件的發生將會如何限制企業業務目標的達成。所以，企業在構建靈活安全的IT內控風險預警體系之前，需要先透徹地分析企業所面臨的潛在IT風險的破壞力。也就是說，要對IT系統出現故障時對各關鍵業務的影響和破壞力作出正確的評估。因為只有正確分析可能存在的各類IT風險，并正確評估各類IT風險可能造成的影響，才能采取正確有效的措施來規避IT風險。這也是構建高效IT內控風險預警體系的一個重要步驟。

　　(3)對潛在IT風險實時監控，并實施有效的控制措施

　　建立起全面IT風險預警機制的核心一步，是根據風險識別、評估的結果，針對相關IT風險源制定統一的風險管理戰略，加強實時監控。例如，對IT風險預警系統的有效運行進行持續監控與個別評估，充分發揮對潛在IT風險的實時監控作用，實現對潛在風險的實時監控與內部控制措施的有效結合，以改善IT風險控制與管理的效果。

　　(4)組建責任明確的IT風險內控小組，完善監控職能

　　《企業內部控制配套指引》指出IT內控風險預警不應只是IT部門一個部門的工作和責任，而應該是要上升為全員參與。因此，在研討會上許多CIO紛紛表示，企業應該要成立由公司領導和各部門負責人組成的責任明確的IT風險內控小組，該小組要制定出符合本企業需要的IT內控風險預警策略。例如，企業可定期組織跨部門IT內控風險預警工作會議，加強部門間IT內控風險預警工作的協同配合，保障企業IT內控的高效率執行和實施。這個小組除了擔任IT內控風險預警的日常工作外，還可負責對IT內控、企業管控的質量進行協調和監督。

　　(5)培訓宣貫與運行推廣實施

　　最后，建立IT內控風險預警體系還需要通過宣講、培訓等方式，對企業各部門和人員進行IT內控風險預警體系相關制度的介紹和學習，并根據事先制定好的IT控制框架體系進行試運行和推廣實施。也就是說，IT內控風險預警體系的建立和運行的關鍵在于向全體人員宣傳和推廣。否則，IT風險預警將成為空中樓閣，紙上談兵。