企業(yè)部署內(nèi)控 困惑重重

　　繼《企業(yè)內(nèi)部控制基本規(guī)范》公布后，《企業(yè)內(nèi)部控制評(píng)價(jià)指引》、《企業(yè)內(nèi)部控制應(yīng)用指引》以及《企業(yè)內(nèi)部控制鑒證指引》三個(gè)更具體的指引文件也進(jìn)入征求意見(jiàn)中。但是，實(shí)施細(xì)則的缺失、合規(guī)衡量標(biāo)準(zhǔn)的不明，讓企業(yè)陷入了迷茫。

　　中國(guó)化工信息中心副主任李中指出，《基本規(guī)范》引起了很多化工生產(chǎn)企業(yè)的關(guān)注，但是問(wèn)題也很多。“具體的實(shí)施細(xì)則還沒(méi)有出臺(tái)，每個(gè)企業(yè)都有自己的理解，相關(guān)廠商也推出了很多方案，但到底誰(shuí)才是合規(guī)的呢？”李中表示。

　　這些細(xì)節(jié)問(wèn)題也給企業(yè)具體的法規(guī)遵從工作造成了障礙，一些企業(yè)甚至呼吁，能夠有一些類似會(huì)計(jì)師事務(wù)所的機(jī)構(gòu)明確地告訴他們，一個(gè)合規(guī)的財(cái)務(wù)與風(fēng)險(xiǎn)管理體系應(yīng)該是什么樣的。

　　中國(guó)石油化工股份有限公司信息系統(tǒng)管理部副總工程師吳正宏說(shuō)，完善內(nèi)控對(duì)企業(yè)的IT系統(tǒng)也是一大挑戰(zhàn)，企業(yè)設(shè)計(jì)IT系統(tǒng)時(shí)不僅要考慮方便、可用，還要考慮符合法規(guī)的要求。

　　但如何建立科學(xué)有效的內(nèi)控信息系統(tǒng)呢？中國(guó)煤炭工業(yè)協(xié)會(huì)信息化分會(huì)秘書(shū)長(zhǎng)程煒認(rèn)為，內(nèi)控信息系統(tǒng)的建立不能簡(jiǎn)單照搬手工處理的方式，而應(yīng)該首先建立科學(xué)的流程，再用IT手段將其固化下來(lái)。

　　國(guó)家會(huì)計(jì)學(xué)院教務(wù)部副主任鄭洪濤則指出，企業(yè)內(nèi)部控制給IT治理帶來(lái)了四大機(jī)遇與五大挑戰(zhàn): 改善企業(yè)控制環(huán)境、提高運(yùn)行效率、優(yōu)化信息系統(tǒng)、建立內(nèi)部信息共享機(jī)制等，是其機(jī)遇。挑戰(zhàn)則表現(xiàn)在: 第一、IT的應(yīng)用改變了授權(quán)方式，由原來(lái)的簽章變成了口令，一旦口令被竊取，便會(huì)帶來(lái)巨大隱患； 第二、IT手段的應(yīng)用使得內(nèi)部控制程序化，一旦程序的bug不能被及時(shí)發(fā)現(xiàn)，就可能使同一種錯(cuò)誤反復(fù)發(fā)生; 第三、IT手段使得原始憑證數(shù)字化，會(huì)計(jì)信息更易于被篡改或偽造了; 第四、網(wǎng)絡(luò)環(huán)境的開(kāi)放性給會(huì)計(jì)信息系統(tǒng)的內(nèi)部控制帶來(lái)了許多新問(wèn)題，加劇了會(huì)計(jì)信息失真的風(fēng)險(xiǎn); 第五、IT體系本身也面臨著病毒感染、黑客入侵、違規(guī)操作、非法拷貝帶來(lái)的風(fēng)險(xiǎn)。

　　廠商聞風(fēng)而動(dòng) 強(qiáng)化合規(guī)

　　盡管《基本規(guī)范》的規(guī)定比較籠統(tǒng)，卻給IT廠商帶來(lái)了不少的商機(jī)。眾多IT廠商聞風(fēng)而動(dòng)，紛紛強(qiáng)化自己解決方案的合規(guī)性。

　　比蒙新帆是一家專注于通信、安全和應(yīng)用綜合解決方案的廠商，來(lái)自比蒙新帆的王升平認(rèn)為，企業(yè)的主要任務(wù)就是將內(nèi)控落地。顯然，這是單一產(chǎn)品或單一功能無(wú)法解決的，需要多種手段綜合應(yīng)用。

　　RSA、EMC信息安全部大中華區(qū)高級(jí)信息安全系統(tǒng)構(gòu)架師司馬麗維指出，信息安全的理念也在不斷變化。“五六年前我們說(shuō)網(wǎng)絡(luò)安全，后來(lái)提的是信息安全，最近幾年，信息安全已經(jīng)上升到IT風(fēng)險(xiǎn)管理的高度”。

　　一項(xiàng)調(diào)查顯示，只有不到1/5的公司認(rèn)為他們的數(shù)據(jù)得到了有效保護(hù)。如今，對(duì)企業(yè)信息技術(shù)主管來(lái)說(shuō)，他們不僅要保護(hù)敏感數(shù)據(jù)不被非法訪問(wèn)和使用，還要考慮到如何符合審計(jì)和相關(guān)法規(guī)的要求。

　　RSA幾十種安全產(chǎn)品中，有兩款是與內(nèi)部控制相關(guān)的。一款是enVision 合規(guī)性管理解決方案，具有日志分析和風(fēng)險(xiǎn)監(jiān)控的功能; 另一款產(chǎn)品是RSA DLP 防數(shù)據(jù)丟失、泄露解決方案。

　　另一個(gè)引起IT企業(yè)關(guān)注的商機(jī)則是存檔解決方案。《基本規(guī)范》第四十七條指出，“企業(yè)應(yīng)當(dāng)以書(shū)面或者其他適當(dāng)?shù)男问剑咨票４鎯?nèi)部控制建立與實(shí)施過(guò)程中的相關(guān)記錄或者資料，確保內(nèi)部控制建立與實(shí)施過(guò)程的可驗(yàn)證性。”

　　這就意味著，企業(yè)相關(guān)的記錄必須是固定不變的、具有極高的真實(shí)性和可靠性。日立數(shù)據(jù)系統(tǒng)公司資深解決方案顧問(wèn)盧向東指出，日立的數(shù)據(jù)動(dòng)態(tài)歸檔解決方案，能幫助企業(yè)真實(shí)準(zhǔn)確地記錄控制過(guò)程，并對(duì)這些信息進(jìn)行快速完整的訪問(wèn)和檢索。

　　而2004年就進(jìn)入內(nèi)控領(lǐng)域的慧點(diǎn)科技認(rèn)為，企業(yè)用戶完善內(nèi)控一定要明確三件事：第一、業(yè)務(wù)部門有什么內(nèi)控和合規(guī)性的要求; 第二、企業(yè)60%的管理要求會(huì)落實(shí)到IT上，這些要求是否真正落實(shí)了；第三、按照合規(guī)要求改造IT系統(tǒng)后，還需要驗(yàn)證實(shí)際運(yùn)行數(shù)據(jù)與企業(yè)要求之間的匹配度。

　　“內(nèi)控的未來(lái)是沒(méi)內(nèi)控，這是我們的希望。”慧點(diǎn)科技公司副總裁、風(fēng)險(xiǎn)管理與控制事業(yè)部總經(jīng)理韓國(guó)權(quán)說(shuō)。