CIO：淺談企業(yè)IT風險管控體系

2014-11-08 22:38:21 大云網(wǎng)　點擊量：評論 (0)

當今企業(yè)中各種各樣的財務報表和經(jīng)營報表等都是通過IT系統(tǒng)計算處理后呈現(xiàn)出來的。假如IT系統(tǒng)的安全控制不住的話，風險就非常大，因此信息系統(tǒng)的管控就變得越來越重要。根據(jù)2005年2月畢馬威的調(diào)查數(shù)據(jù)，美國上市公司在各業(yè)務流程中存在的控制缺陷、顯著缺陷和實質(zhì)性漏洞所占的比例，分析了包括信息技術、固定資產(chǎn)、財務報告、采購、人力資源等方面的數(shù)據(jù)，可以看到信息技術控制的缺陷是最大的，控制缺陷高達36%，顯著缺陷達到22%，實質(zhì)性漏洞達到21%，遠遠高于其他方面。

　　在企業(yè)追求成功的道路上，往往要做到有效的內(nèi)部控制，其趨勢是創(chuàng)造風險與經(jīng)營回報的良好平衡。但有效的內(nèi)部控制就像在企業(yè)成功途中設置紅綠燈，會亮紅燈或亮黃燈，就帶來不方便。就像足球比賽會有紅牌和黃牌，但比較成功的裁判是合理利用手中的紅黃牌，不僅有力的控制場上局面，也讓球賽順暢的進行下去，不會讓人感覺特別的中斷，這就是一種風險與回報的良好平衡藝術。

　　目前IT風險管理的內(nèi)控一般都在IT治理層面，大部分都是高層在做，往往是制定出責權利等規(guī)定掛在墻上就結束了。包括剛才德勤專家介紹到的，很多企業(yè)制度都已經(jīng)制定了，但還是會出現(xiàn)問題，重要的原因之一就是把管控僅當作治理層面來看造成的，所以現(xiàn)在的趨勢是風險的管控不僅是治理層面的事情，還需要往下移，也應該包括日常的運營，以及風險預警和監(jiān)控，即企業(yè)整個風險管控和內(nèi)控體系不僅是治理問題，也是管理問題，如此才能實現(xiàn)從高層決策到基層執(zhí)行，構建統(tǒng)一有效的治理和管控體系。

　　同時，我們也注意到國家也出臺了一系列規(guī)范和條文，比如COSO報告的《內(nèi)部控制-整體架構》，AICPA《審計準則公告第78號》、《會計法》中第四章第27條，財政部頒布的《內(nèi)部會計控制規(guī)范》，證監(jiān)會也出臺了《證券公司內(nèi)部控制指引》和《商業(yè)銀行內(nèi)部控制指引》征求意見稿，五部委出臺有《企業(yè)內(nèi)部控制基本規(guī)范》及《企業(yè)內(nèi)部控制配套指引》。這些法規(guī)都是從各方面提出了很多治理要求，作為規(guī)范和指引企業(yè)內(nèi)部控制作用。

　　據(jù)中國上市公司2011年內(nèi)部控制白皮書數(shù)據(jù)介紹，2010年我國上市公司的內(nèi)部控制披露水平有所提升，披露了內(nèi)部控制自我評價報告的上市公司的比例達到76.86%，聘請了會計師事務所出具內(nèi)部控制審計報告的上市公司的比例達到41.57%。然而，2010年，我國上市公司自愿披露內(nèi)部控制缺陷的比例低于1%，會計師事務所出具的內(nèi)部控制審計報告中認為上市公司失效的比例也低于1%。在99%以上認為自身內(nèi)部控制體系有效的上市公司中，多家上市公司存在著內(nèi)部控制的重大缺陷，其內(nèi)部控制體系實質(zhì)上是失效的，以2010年違法違規(guī)及財務重述的數(shù)據(jù)為例，我國有50家上市公司由于違法違規(guī)而被監(jiān)管機構處罰，占2105家上市公司的2.38%。

　　與我國相比，美國上市公司自愿披露內(nèi)部控制缺陷的比例高達13.8%。美國的上市公司大部分都必須經(jīng)過會計師事務所出具內(nèi)控審計報告，同時有接近百分之十一左右提出問題。薩班斯法案有明確的懲罰體制，如果審計隱瞞就會懲罰。然而在國內(nèi)存在很大問題，能通過會計師事務所出具內(nèi)控審計報告的公司不到一半，很多公司的審計部就下屬在財務部或者總經(jīng)理，但其實審計是主要審核財務和經(jīng)營的，應該直接在董事會下，為股東負責。因此，針對這些現(xiàn)象，國內(nèi)可以借鑒美國的薩班斯法案中的906條款對隱瞞內(nèi)部控制缺陷、虛假披露內(nèi)部控制有效性的上市公司進行嚴厲處罰，以此促進我國資本市場健康發(fā)展。

　　當前企業(yè)內(nèi)部控制體系還面臨這樣的現(xiàn)狀，即會計師事務所對上市公司的內(nèi)部控制體系的審核依據(jù)各不一致，有遵照薩班斯法案的，也有按照香港審計準則，還有中國注冊會計師審計準則和內(nèi)部審計指導意見的。因此我們的建議是按照財政部等五部委已經(jīng)出臺的《企業(yè)內(nèi)部控制基本規(guī)范》及《企業(yè)內(nèi)部控制配套指引》，為企業(yè)實施內(nèi)部控制體系提供了基本的框架體系，并規(guī)范了公司披露《內(nèi)部控制自我評價報告》和《內(nèi)部控制審計報告》的內(nèi)容與格式。采用COSO為基礎建立企業(yè)整體內(nèi)控框架和用COBIT為基礎建立企業(yè)IT內(nèi)控體系。

　　但通過COSO的整體內(nèi)控框架的五個方面來看，直接用于IT還是欠缺不少，所以當2002年薩班斯法案出臺后，通常就直接用COBIT這個框架來做IT的內(nèi)控審計框架了。2004年9月，結合《SOX法案》，COSO頒布了《企業(yè)風險管理--總體框架》，提出內(nèi)部環(huán)境、目標制定、事件識別、風險評估、風險對策、控制活動、信息與溝通、監(jiān)控的風險八要素，達到實現(xiàn)發(fā)展戰(zhàn)略、日常經(jīng)營的效率和效益、經(jīng)營信息報告體系和滿足合規(guī)性的目標。

　　我們建議國內(nèi)企業(yè)采用財政部等五部委頒布的企業(yè)內(nèi)部控制基本規(guī)范作為內(nèi)控評估標準，結合國際上普遍采用COBIT框架作為IT控制的標準，將COBIT的相關IT控制目標與COSO風險八要素關聯(lián)起來，設計符合規(guī)范要求的IT內(nèi)部控制體系。COBIT是一個很豐富IT內(nèi)控框架，包括三維架構、四個域、34個IT控制流程和318個詳細的控制目標，是一個相當全面的信息系統(tǒng)內(nèi)控框架體系。對想遵循內(nèi)部控制規(guī)范的企業(yè)來說，該體系的控制目標和考慮一般會超過其需求，可實現(xiàn)業(yè)務需求的七個業(yè)務指標：有效性、高效性、保密性、完整性、可用性、一致性、可靠性。

　　隨著計算機系統(tǒng)的運用越來越廣泛，業(yè)務/財務數(shù)據(jù)處理計算機化，計算機數(shù)據(jù)的完整性、可靠性和準確性、集成性直接影響管理層決策，因此信息系統(tǒng)控制要實現(xiàn)的目標是保持數(shù)據(jù)完整，維護資產(chǎn)安全，提高資源使用效率，符合相關的法律、法規(guī)和政策，從而有效達到企業(yè)目標。為此，我們提出的IT內(nèi)控控制框架從營運、財務報告和合規(guī)性三方面對整個企業(yè)的IT進行治理，分為以下五個部分：

　　1、IT內(nèi)控環(huán)境--是在企業(yè)IT領域的體現(xiàn)是IT的內(nèi)部控制環(huán)境，是實施IT內(nèi)部控制的基礎，主要包括IT治理架構、IT組織與職責，IT決策機制，IT合規(guī)與IT審計等；

　　2、IT風險評估--是企業(yè)信息化帶來的IT風險已經(jīng)成為企業(yè)風險管理的主要方面。風險評估主要包括目標設定、風險識別、風險分析和風險應對。IT目標設定可以理解為IT戰(zhàn)略與IT規(guī)劃，IT風險識別與分析應對包括對信息資產(chǎn)的風險、IT流程的風險以及應用系統(tǒng)的風險識別分析與應對；

　　3、IT控制措施--是針對風險評估的結果，在IT方面需要實施具體的IT控制措施，包括IT技術類控制措施，如防火墻、防病毒、入侵檢測、身份管理、權限管理等，以及IT管理類控制措施，包括各類IT管控制度與流程，如開發(fā)管理、項目管理、變更管理、安全管理、運營管理、職責分離，授權審批等。

　　4、信息和溝通--在IT領域也需要明確具體的IT管理制度和溝通機制，建立服務臺與事件管理程序，及時傳達企業(yè)內(nèi)部層級之間和與企業(yè)外部相關的信息。

　　5、監(jiān)控--需要建立IT內(nèi)部控制體系的審核機制，評價IT控制的有效性。通過IT技術手段如日志、監(jiān)控系統(tǒng)、綜合分析平臺等，和管理手段如內(nèi)部IT審核、管理評審、專項檢查等措施，不斷改進企業(yè)的IT內(nèi)部控制。

　　在實際的IT控制落地實現(xiàn)上，我們可分八大方面組件包括IT治理，法規(guī)和標準符合性、IT戰(zhàn)略規(guī)劃、在IT應用系統(tǒng)中內(nèi)置對時間的識別和報警；IT風險評估及業(yè)務影響分析；風險管理策略及應對措施；防火墻、反病毒、災難恢復、SDLC、變更管理、運營管理；IT政策、標準、程序、OA、Email、平衡計分卡、幫助臺；系統(tǒng)和數(shù)據(jù)庫、防火墻日志、入侵檢測、安全意識。這八大方面的組件正好與COSO的風險八要素相對應。綜合分析IT內(nèi)部控制的組件，我們可以將IT的控制分為三個層面：

　　1、公司層控制--在公司層面建立IT治理架構，完善IT組織與職責，制定IT決策機制，實行IT人員績效考核，加強IT合規(guī)與IT審計。

　　2、流程與應用層控制--分析企業(yè)業(yè)務流程與活動，與通用IT流程層面建立控制，重點關注與財務報表相關的各種業(yè)務與應用系統(tǒng)的技術控制與流程控制。

　　3、資源層控制--針對企業(yè)業(yè)務運作所依賴的各類信息資產(chǎn)和IT資源，分析具體每個資源點的風險，建立風險控制措施。

　　最后介紹下IT總體內(nèi)控的實施過程，第一階段是制定計劃、確定范圍，主要任務是確定IT總體內(nèi)控的大體范圍及對象，制定項目計劃，組成項目組。通過資料收集、現(xiàn)場業(yè)務系統(tǒng)調(diào)研、分析控制實體及控制系統(tǒng)、撰寫項目計劃的方法和步驟。

　　第二階段是IT總體內(nèi)控現(xiàn)狀調(diào)研與差距分析（或風險評估），主要任務是調(diào)查企業(yè)IT總體內(nèi)控現(xiàn)狀，參照Cobit確定的控制目標，進行差距分析，方法及步驟有資料收集與分析、現(xiàn)場調(diào)研、差距分析、確定整改內(nèi)容及計劃。

　　第三階段是IT總體內(nèi)控體系設計，完善內(nèi)控管理組織及監(jiān)控職能，主要任務是按照整改計劃，進行IT總體內(nèi)控體系設計，完善監(jiān)控職能，有設計控制體系和控制體系討論修改、批準控制體系。

　　第四階段是培訓與實施，其主要任務是對用戶進行培訓，實施已建立的IT總體內(nèi)控體系，方法有體系培訓、體系實施和實施總結。

　　第五階段是控制測試與實施監(jiān)控，主要任務是按照IT審計標準及方法，測試IT總體內(nèi)控，方法包括制定測試計劃與方法、測試培訓、實施測試、測試總結。

　　第六階段是回顧調(diào)整與監(jiān)督優(yōu)化，主要任務是根據(jù)管理層測試及內(nèi)控執(zhí)行過程中遇到的問題，定期進行回顧，不斷完善IT總體內(nèi)控。