CIO:淺談企業(yè)IT風險管控體系
當今企業(yè)中各種各樣的財務報表和經(jīng)營報表等都是通過IT系統(tǒng)計算處理后呈現(xiàn)出來的。假如IT系統(tǒng)的安全控制不住的話,風險就非常大,因此信息系統(tǒng)的管控就變得越來越重要。根據(jù)2005年2月畢馬威的調(diào)查數(shù)據(jù),美國上市公
當今企業(yè)中各種各樣的財務報表和經(jīng)營報表等都是通過IT系統(tǒng)計算處理后呈現(xiàn)出來的。假如IT系統(tǒng)的安全控制不住的話,風險就非常大,因此信息系統(tǒng)的管控就變得越來越重要。根據(jù)2005年2月畢馬威的調(diào)查數(shù)據(jù),美國上市公司在各業(yè)務流程中存在的控制缺陷、顯著缺陷和實質(zhì)性漏洞所占的比例,分析了包括信息技術、固定資產(chǎn)、財務報告、采購、人力資源等方面的數(shù)據(jù),可以看到信息技術控制的缺陷是最大的,控制缺陷高達36%,顯著缺陷達到22%,實質(zhì)性漏洞達到21%,遠遠高于其他方面。
在企業(yè)追求成功的道路上,往往要做到有效的內(nèi)部控制,其趨勢是創(chuàng)造風險與經(jīng)營回報的良好平衡。但有效的內(nèi)部控制就像在企業(yè)成功途中設置紅綠燈,會亮紅燈或亮黃燈,就帶來不方便。就像足球比賽會有紅牌和黃牌,但比較成功的裁判是合理利用手中的紅黃牌,不僅有力的控制場上局面,也讓球賽順暢的進行下去,不會讓人感覺特別的中斷,這就是一種風險與回報的良好平衡藝術。
目前IT風險管理的內(nèi)控一般都在IT治理層面,大部分都是高層在做,往往是制定出責權利等規(guī)定掛在墻上就結束了。包括剛才德勤專家介紹到的,很多企業(yè)制度都已經(jīng)制定了,但還是會出現(xiàn)問題,重要的原因之一就是把管控僅當作治理層面來看造成的,所以現(xiàn)在的趨勢是風險的管控不僅是治理層面的事情,還需要往下移,也應該包括日常的運營,以及風險預警和監(jiān)控,即企業(yè)整個風險管控和內(nèi)控體系不僅是治理問題,也是管理問題,如此才能實現(xiàn)從高層決策到基層執(zhí)行,構建統(tǒng)一有效的治理和管控體系。
同時,我們也注意到國家也出臺了一系列規(guī)范和條文,比如COSO報告的《內(nèi)部控制-整體架構》,AICPA《審計準則公告第78號》、《會計法》中第四章第27條,財政部頒布的《內(nèi)部會計控制規(guī)范》,證監(jiān)會也出臺了《證券公司內(nèi)部控制指引》和《商業(yè)銀行內(nèi)部控制指引》征求意見稿,五部委出臺有《企業(yè)內(nèi)部控制基本規(guī)范》及《企業(yè)內(nèi)部控制配套指引》。這些法規(guī)都是從各方面提出了很多治理要求,作為規(guī)范和指引企業(yè)內(nèi)部控制作用。
據(jù)中國上市公司2011年內(nèi)部控制白皮書數(shù)據(jù)介紹,2010年我國上市公司的內(nèi)部控制披露水平有所提升,披露了內(nèi)部控制自我評價報告的上市公司的比例達到76.86%,聘請了會計師事務所出具內(nèi)部控制審計報告的上市公司的比例達到41.57%。然而,2010年,我國上市公司自愿披露內(nèi)部控制缺陷的比例低于1%,會計師事務所出具的內(nèi)部控制審計報告中認為上市公司失效的比例也低于1%。在99%以上認為自身內(nèi)部控制體系有效的上市公司中,多家上市公司存在著內(nèi)部控制的重大缺陷,其內(nèi)部控制體系實質(zhì)上是失效的,以2010年違法違規(guī)及財務重述的數(shù)據(jù)為例,我國有50家上市公司由于違法違規(guī)而被監(jiān)管機構處罰,占2105家上市公司的2.38%。
與我國相比,美國上市公司自愿披露內(nèi)部控制缺陷的比例高達13.8%。美國的上市公司大部分都必須經(jīng)過會計師事務所出具內(nèi)控審計報告,同時有接近百分之十一左右提出問題。薩班斯法案有明確的懲罰體制,如果審計隱瞞就會懲罰。然而在國內(nèi)存在很大問題,能通過會計師事務所出具內(nèi)控審計報告的公司不到一半,很多公司的審計部就下屬在財務部或者總經(jīng)理,但其實審計是主要審核財務和經(jīng)營的,應該直接在董事會下,為股東負責。因此,針對這些現(xiàn)象,國內(nèi)可以借鑒美國的薩班斯法案中的906條款對隱瞞內(nèi)部控制缺陷、虛假披露內(nèi)部控制有效性的上市公司進行嚴厲處罰,以此促進我國資本市場健康發(fā)展。
當前企業(yè)內(nèi)部控制體系還面臨這樣的現(xiàn)狀,即會計師事務所對上市公司的內(nèi)部控制體系的審核依據(jù)各不一致,有遵照薩班斯法案的,也有按照香港審計準則,還有中國注冊會計師審計準則和內(nèi)部審計指導意見的。因此我們的建議是按照財政部等五部委已經(jīng)出臺的《企業(yè)內(nèi)部控制基本規(guī)范》及《企業(yè)內(nèi)部控制配套指引》,為企業(yè)實施內(nèi)部控制體系提供了基本的框架體系,并規(guī)范了公司披露《內(nèi)部控制自我評價報告》和《內(nèi)部控制審計報告》的內(nèi)容與格式。采用COSO為基礎建立企業(yè)整體內(nèi)控框架和用COBIT為基礎建立企業(yè)IT內(nèi)控體系。
但通過COSO的整體內(nèi)控框架的五個方面來看,直接用于IT還是欠缺不少,所以當2002年薩班斯法案出臺后,通常就直接用COBIT這個框架來做IT的內(nèi)控審計框架了。2004年9月,結合《SOX法案》,COSO頒布了《企業(yè)風險管理--總體框架》,提出內(nèi)部環(huán)境、目標制定、事件識別、風險評估、風險對策、控制活動、信息與溝通、監(jiān)控的風險八要素,達到實現(xiàn)發(fā)展戰(zhàn)略、日常經(jīng)營的效率和效益、經(jīng)營信息報告體系和滿足合規(guī)性的目標。
我們建議國內(nèi)企業(yè)采用財政部等五部委頒布的企業(yè)內(nèi)部控制基本規(guī)范作為內(nèi)控評估標準,結合國際上普遍采用COBIT框架作為IT控制的標準,將COBIT的相關IT控制目標與COSO風險八要素關聯(lián)起來,設計符合規(guī)范要求的IT內(nèi)部控制體系。COBIT是一個很豐富IT內(nèi)控框架,包括三維架構、四個域、34個IT控制流程和318個詳細的控制目標,是一個相當全面的信息系統(tǒng)內(nèi)控框架體系。對想遵循內(nèi)部控制規(guī)范的企業(yè)來說,該體系的控制目標和考慮一般會超過其需求,可實現(xiàn)業(yè)務需求的七個業(yè)務指標:有效性、高效性、保密性、完整性、可用性、一致性、可靠性。
隨著計算機系統(tǒng)的運用越來越廣泛,業(yè)務/財務數(shù)據(jù)處理計算機化,計算機數(shù)據(jù)的完整性、可靠性和準確性、集成性直接影響管理層決策,因此信息系統(tǒng)控制要實現(xiàn)的目標是保持數(shù)據(jù)完整,維護資產(chǎn)安全,提高資源使用效率,符合相關的法律、法規(guī)和政策,從而有效達到企業(yè)目標。為此,我們提出的IT內(nèi)控控制框架從營運、財務報告和合規(guī)性三方面對整個企業(yè)的IT進行治理,分為以下五個部分:
1、IT內(nèi)控環(huán)境--是在企業(yè)IT領域的體現(xiàn)是IT的內(nèi)部控制環(huán)境,是實施IT內(nèi)部控制的基礎,主要包括IT治理架構、IT組織與職責,IT決策機制,IT合規(guī)與IT審計等;
2、IT風險評估--是企業(yè)信息化帶來的IT風險已經(jīng)成為企業(yè)風險管理的主要方面。風險評估主要包括目標設定、風險識別、風險分析和風險應對。IT目標設定可以理解為IT戰(zhàn)略與IT規(guī)劃,IT風險識別與分析應對包括對信息資產(chǎn)的風險、IT流程的風險以及應用系統(tǒng)的風險識別分析與應對;
3、IT控制措施--是針對風險評估的結果,在IT方面需要實施具體的IT控制措施,包括IT技術類控制措施,如防火墻、防病毒、入侵檢測、身份管理、權限管理等,以及IT管理類控制措施,包括各類IT管控制度與流程,如開發(fā)管理、項目管理、變更管理、安全管理、運營管理、職責分離,授權審批等。
4、信息和溝通--在IT領域也需要明確具體的IT管理制度和溝通機制,建立服務臺與事件管理程序,及時傳達企業(yè)內(nèi)部層級之間和與企業(yè)外部相關的信息。
5、監(jiān)控--需要建立IT內(nèi)部控制體系的審核機制,評價IT控制的有效性。通過IT技術手段如日志、監(jiān)控系統(tǒng)、綜合分析平臺等,和管理手段如內(nèi)部IT審核、管理評審、專項檢查等措施,不斷改進企業(yè)的IT內(nèi)部控制。
在實際的IT控制落地實現(xiàn)上,我們可分八大方面組件包括IT治理,法規(guī)和標準符合性、IT戰(zhàn)略規(guī)劃、在IT應用系統(tǒng)中內(nèi)置對時間的識別和報警;IT風險評估及業(yè)務影響分析;風險管理策略及應對措施;防火墻、反病毒、災難恢復、SDLC、變更管理、運營管理;IT政策、標準、程序、OA、Email、平衡計分卡、幫助臺;系統(tǒng)和數(shù)據(jù)庫、防火墻日志、入侵檢測、安全意識。這八大方面的組件正好與COSO的風險八要素相對應。綜合分析IT內(nèi)部控制的組件,我們可以將IT的控制分為三個層面:
1、公司層控制--在公司層面建立IT治理架構,完善IT組織與職責,制定IT決策機制,實行IT人員績效考核,加強IT合規(guī)與IT審計。
2、流程與應用層控制--分析企業(yè)業(yè)務流程與活動,與通用IT流程層面建立控制,重點關注與財務報表相關的各種業(yè)務與應用系統(tǒng)的技術控制與流程控制。
3、資源層控制--針對企業(yè)業(yè)務運作所依賴的各類信息資產(chǎn)和IT資源,分析具體每個資源點的風險,建立風險控制措施。
最后介紹下IT總體內(nèi)控的實施過程,第一階段是制定計劃、確定范圍,主要任務是確定IT總體內(nèi)控的大體范圍及對象,制定項目計劃,組成項目組。通過資料收集、現(xiàn)場業(yè)務系統(tǒng)調(diào)研、分析控制實體及控制系統(tǒng)、撰寫項目計劃的方法和步驟。
第二階段是IT總體內(nèi)控現(xiàn)狀調(diào)研與差距分析(或風險評估),主要任務是調(diào)查企業(yè)IT總體內(nèi)控現(xiàn)狀,參照Cobit確定的控制目標,進行差距分析,方法及步驟有資料收集與分析、現(xiàn)場調(diào)研、差距分析、確定整改內(nèi)容及計劃。
第三階段是IT總體內(nèi)控體系設計,完善內(nèi)控管理組織及監(jiān)控職能,主要任務是按照整改計劃,進行IT總體內(nèi)控體系設計,完善監(jiān)控職能,有設計控制體系和控制體系討論修改、批準控制體系。
第四階段是培訓與實施,其主要任務是對用戶進行培訓,實施已建立的IT總體內(nèi)控體系,方法有體系培訓、體系實施和實施總結。
第五階段是控制測試與實施監(jiān)控,主要任務是按照IT審計標準及方法,測試IT總體內(nèi)控,方法包括制定測試計劃與方法、測試培訓、實施測試、測試總結。
第六階段是回顧調(diào)整與監(jiān)督優(yōu)化,主要任務是根據(jù)管理層測試及內(nèi)控執(zhí)行過程中遇到的問題,定期進行回顧,不斷完善IT總體內(nèi)控。
免責聲明:本文僅代表作者個人觀點,與本站無關。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實,對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關內(nèi)容。
我要收藏
個贊
-
電動車產(chǎn)業(yè)紅利不好接?看看這四條缺了什么?
-
樂視網(wǎng)復牌首日即跌停 FF、Lucid、樂視汽車要被轉讓抵債?
-
科技部發(fā)布國家重點實驗室2018年度評估工作的通知 多項電力研究實驗室入圍
-
科技部發(fā)布國家重點實驗室2018年度評估工作的通知 多項電力研究實驗室入圍
-
2017年中國新能源重點細分行業(yè)發(fā)展現(xiàn)狀、新能源行業(yè)發(fā)展趨勢及投資前景分析【圖】
-
電力轉型是推動能源轉型的關鍵
-
湖北2017年電力運行情況:直接交易完成簽約電量351.44億千瓦時
-
河南12月全社會用電量275.86億千瓦時 同比增長0.77%
-
成交電量923億!河南年度雙邊協(xié)商交易競爭刷新紀錄 實現(xiàn)開門紅
-
微網(wǎng)工程設計解析:并網(wǎng)型微電網(wǎng)建設規(guī)模分析
-
全面解析微電網(wǎng)結構與發(fā)展趨勢(附五大案例與經(jīng)濟效益分析)
-
售電必備 | 聚焦2018年增量配電網(wǎng)的六大熱點問題
-
安徽電力直接交易執(zhí)行、出清細則和電力市場電量結算規(guī)則發(fā)布
-
電網(wǎng)經(jīng)營行業(yè)產(chǎn)品成本核算制度印發(fā):有配電業(yè)務的售電公司參照執(zhí)行
-
遼寧對居民電采暖用戶試行峰谷分時電價政策
-
預計南方五省區(qū)2018年用電保持中速增長:南方電網(wǎng)將多措并舉 全力保障電力供應平穩(wěn)有序
-
財政部發(fā)布:電網(wǎng)經(jīng)營行業(yè)產(chǎn)品成本核算制度
-
聚焦:貴州電力市場陷入僵局 大云網(wǎng)電力分析師邀您觀望