如何构建一个满足企业业务发展需要的预警式IT内控体系,这是当下很多CIO在思考的问题。笔者根据接触过的多位CIO的意见和经验,提出以下几个建设高效IT内控体系的策略,供大家参考。
风险识别:对IT内控能力现状评估对企业运营中可能遇到的IT风险进行识别,这是IT内控中最为关键的内容,包括IT风险形势评估、IT风险识别、IT风险分析和IT风险评价等几部分。它要求企业从全局的角度去考虑、分析、规划需要控制的事情和范围。例如,IT风险评估可使公司更加清晰地认识到IT意外事件的发生将如何限制业务目标的达成。它的目的是要辨别IT潜藏的内在风险与残存风险。
因此,只有了解IT风险影响的因素,才能把握IT风险发展变化的规律,才能对其制定应对措施以进行控制。对于企业来说,如果IT风险不能得到有效控制,将可能出现系统宕机、网络瘫痪、服务中断、信息错误、数据被非法篡改等严重后果,会直接影响到企业业务的正常开展。通常的做法是要把可能的风险划分一个优先级,对于优先级高的风险要给以更多的关注。
正确评估:分析潜在IT风险的破坏力企业在构建灵活安全的IT内控体系之前,还需要透彻地分析业务发展所面临的潜在IT风险的破坏力。也就是说,要对IT系统出现故障时对各关键业务的影响和破坏力作出正确的评估。因为只有正确分析可能存在的各类IT风险,并正确评估各类IT风险可能造成的影响,才能采取正确有效的措施来规避IT风险。这是构建高效IT内控体系的一个重要步骤。
许多CIO表示,企业在进行IT风险的规避和管控的过程中,往往要面临着如何平衡IT风险管理与业务保护成本的挑战。根据多年来的实践经验,我们建议企业IT管理者可采取分层次、分步骤的方式来做出合理决策,以实现IT风险规避与IT成本之间的巧妙平衡。
选择最佳实践框架,降低IT内控失效风险国内最早倡导IT内控的一批专家指出,我国IT内控建设最大的问题,不是技术问题,也不是资金问题,而是缺乏有效的实践经验和管理方法的管理问题。简单地说,缺乏IT内控实践方法和具体参照标准是导致许多企业IT内控能力不足的根源之一。因此,为了更有效地建立一个可持续的IT内控体系,企业应要选择一个最佳实践框架,以降低IT内控失效的风险。因为通过采用一种成熟的控制框架可以简化沟通,同时减少所需工作和降低企业成本。我们建议国内企业可采用《企业内部控制基本规范》作为IT内控评估标准,再结合国际上普遍采用的COBIT框架和《SOX萨班斯法案》作为参考。
组建责任明确的IT内控小组机构IT内控不应只是IT部门一个部门的工作和责任,而应该要上升为全员参与。企业应该成立由公司领导和各部门负责人组成的责任明确的IT内控小组机构。该机构要制定出符合本公司需要的IT管控策略。例如,企业可定期组织跨部门IT内控工作会议,加强部门间IT内控工作的协同配合,保障企业IT内控的高效率执行和实施。这个小组除了担任IT内控的日常工作外,还可负责对IT内控、企业管控的质量进行协调和监督。
制定完善和规范的IT内控工作流程最后,企业IT部门只有加强IT内控管理,严格执行各项IT内控的规章制度,才能有效的实现风险控制。因此,企业应要借鉴国内外先进的经验,结合业务需要分层次、分步骤地制定和完善IT内控工作流程。例如,可从物理安全、系统安全和管理安全三个方面制定相应的规章制度,逐步形成完备的管理手册,使IT内控工作有章可依、有据可查,并且定期对IT内控制度的执行情况进行评估。
俗话说“凡事预则立,不预则废”,一个成功的IT内控体系可以防止和减少许多潜在IT事件的发生和引起的风险。
相关文章:
浅议成本会计问题04-26
浅议历史成本会计面临的冲击与发展趋势04-26
现在成本会计的理论结构分析04-26
论成本会计创新04-26
浅议新经济环境下成本会计的职能04-26
浅议长期股权投资成本法核算的会计处理04-26
企业改革成本构成研究04-26
我国企业物流成本控制现状04-26