探索中国CIO人才现状 | 第四季调研报告
CIO:浅谈企业IT风险管控体系
2014-02-11  作者:IT治理网 

  当今企业中各种各样的财务报表和经营报表等都是通过IT系统计算处理后呈现出来的。假如IT系统的安全控制不住的话,风险就非常大,因此信息系统的管控就变得越来越重要。根据2005年2月毕马威的调查数据,美国上市公司在各业务流程中存在的控制缺陷、显着缺陷和实质性漏洞所占的比例,分析了包括信息技术、固定资产、财务报告、采购、人力资源等方面的数据,可以看到信息技术控制的缺陷是最大的,控制缺陷高达36%,显着缺陷达到22%,实质性漏洞达到21%,远远高于其他方面。


  在企业追求成功的道路上,往往要做到有效的内部控制,其趋势是创造风险与经营回报的良好平衡。但有效的内部控制就像在企业成功途中设置红绿灯,会亮红灯或亮黄灯,就带来不方便。就像足球比赛会有红牌和黄牌,但比较成功的裁判是合理利用手中的红黄牌,不仅有力的控制场上局面,也让球赛顺畅的进行下去,不会让人感觉特别的中断,这就是一种风险与回报的良好平衡艺术。


  目前IT风险管理的内控一般都在IT治理层面,大部分都是高层在做,往往是制定出责权利等规定挂在墙上就结束了。包括刚才德勤专家介绍到的,很多企业制度都已经制定了,但还是会出现问题,重要的原因之一就是把管控仅当作治理层面来看造成的,所以现在的趋势是风险的管控不仅是治理层面的事情,还需要往下移,也应该包括日常的运营,以及风险预警和监控,即企业整个风险管控和内控体系不仅是治理问题,也是管理问题,如此才能实现从高层决策到基层执行,构建统一有效的治理和管控体系。


  同时,我们也注意到国家也出台了一系列规范和条文,比如COSO报告的《内部控制-整体架构》,AICPA《审计准则公告第78号》、《会计法》中第四章第27条,财政部颁布的《内部会计控制规范》,证监会也出台了《证券公司内部控制指引》和《商业银行内部控制指引》征求意见稿,五部委出台有《企业内部控制基本规范》及《企业内部控制配套指引》。这些法规都是从各方面提出了很多治理要求,作为规范和指引企业内部控制作用。


  据中国上市公司2011年内部控制白皮书数据介绍,2010年我国上市公司的内部控制披露水平有所提升,披露了内部控制自我评价报告的上市公司的比例达到76.86%,聘请了会计师事务所出具内部控制审计报告的上市公司的比例达到41.57%。然而,2010年,我国上市公司自愿披露内部控制缺陷的比例低于1%,会计师事务所出具的内部控制审计报告中认为上市公司失效的比例也低于1%。在99%以上认为自身内部控制体系有效的上市公司中,多家上市公司存在着内部控制的重大缺陷,其内部控制体系实质上是失效的,以2010年违法违规及财务重述的数据为例,我国有50家上市公司由于违法违规而被监管机构处罚,占2105家上市公司的2.38%。


  与我国相比,美国上市公司自愿披露内部控制缺陷的比例高达13.8%。美国的上市公司大部分都必须经过会计师事务所出具内控审计报告,同时有接近百分之十一左右提出问题。萨班斯法案有明确的惩罚体制,如果审计隐瞒就会惩罚。然而在国内存在很大问题,能通过会计师事务所出具内控审计报告的公司不到一半,很多公司的审计部就下属在财务部或者总经理,但其实审计是主要审核财务和经营的,应该直接在董事会下,为股东负责。因此,针对这些现象,国内可以借鉴美国的萨班斯法案中的906条款对隐瞒内部控制缺陷、虚假披露内部控制有效性的上市公司进行严厉处罚,以此促进我国资本市场健康发展。


  当前企业内部控制体系还面临这样的现状,即会计师事务所对上市公司的内部控制体系的审核依据各不一致,有遵照萨班斯法案的,也有按照香港审计准则,还有中国注册会计师审计准则和内部审计指导意见的。因此我们的建议是按照财政部等五部委已经出台的《企业内部控制基本规范》及《企业内部控制配套指引》,为企业实施内部控制体系提供了基本的框架体系,并规范了公司披露《内部控制自我评价报告》和《内部控制审计报告》的内容与格式。采用COSO为基础建立企业整体内控框架和用COBIT为基础建立企业IT内控体系。


  但通过COSO的整体内控框架的五个方面来看,直接用于IT还是欠缺不少,所以当2002年萨班斯法案出台后,通常就直接用COBIT这个框架来做IT的内控审计框架了。2004年9月,结合《SOX法案》,COSO颁布了《企业风险管理--总体框架》,提出内部环境、目标制定、事件识别、风险评估、风险对策、控制活动、信息与沟通、监控的风险八要素,达到实现发展战略、日常经营的效率和效益、经营信息报告体系和满足合规性的目标。


  我们建议国内企业采用财政部等五部委颁布的企业内部控制基本规范作为内控评估标准,结合国际上普遍采用COBIT框架作为IT控制的标准,将COBIT的相关IT控制目标与COSO风险八要素关联起来,设计符合规范要求的IT内部控制体系。COBIT是一个很丰富IT内控框架,包括三维架构、四个域、34个IT控制流程和318个详细的控制目标,是一个相当全面的信息系统内控框架体系。对想遵循内部控制规范的企业来说,该体系的控制目标和考虑一般会超过其需求,可实现业务需求的七个业务指标:有效性、高效性、保密性、完整性、可用性、一致性、可靠性。


  随着计算机系统的运用越来越广泛,业务/财务数据处理计算机化,计算机数据的完整性、可靠性和准确性、集成性直接影响管理层决策,因此信息系统控制要实现的目标是保持数据完整,维护资产安全,提高资源使用效率,符合相关的法律、法规和政策,从而有效达到企业目标。为此,我们提出的IT内控控制框架从营运、财务报告和合规性三方面对整个企业的IT进行治理,分为以下五个部分:


  1、IT内控环境--是在企业IT领域的体现是IT的内部控制环境,是实施IT内部控制的基础,主要包括IT治理架构、IT组织与职责,IT决策机制,IT合规与IT审计等;


  2、IT风险评估--是企业信息化带来的IT风险已经成为企业风险管理的主要方面。风险评估主要包括目标设定、风险识别、风险分析和风险应对。IT目标设定可以理解为IT战略与IT规划,IT风险识别与分析应对包括对信息资产的风险、IT流程的风险以及应用系统的风险识别分析与应对;


  3、IT控制措施--是针对风险评估的结果,在IT方面需要实施具体的IT控制措施,包括IT技术类控制措施,如防火墙、防病毒、入侵检测、身份管理、权限管理等,以及IT管理类控制措施,包括各类IT管控制度与流程,如开发管理、项目管理、变更管理、安全管理、运营管理、职责分离,授权审批等。


  4、信息和沟通--在IT领域也需要明确具体的IT管理制度和沟通机制,建立服务台与事件管理程序,及时传达企业内部层级之间和与企业外部相关的信息。


  5、监控--需要建立IT内部控制体系的审核机制,评价IT控制的有效性。通过IT技术手段如日志、监控系统、综合分析平台等,和管理手段如内部IT审核、管理评审、专项检查等措施,不断改进企业的IT内部控制。


  在实际的IT控制落地实现上,我们可分八大方面组件包括IT治理,法规和标准符合性、IT战略规划、在IT应用系统中内置对时间的识别和报警;IT风险评估及业务影响分析;风险管理策略及应对措施;防火墙、反病毒、灾难恢复、SDLC、变更管理、运营管理;IT政策、标准、程序、OA、Email、平衡计分卡、帮助台;系统和数据库、防火墙日志、入侵检测、安全意识。这八大方面的组件正好与COSO的风险八要素相对应。综合分析IT内部控制的组件,我们可以将IT的控制分为三个层面:


  1、公司层控制--在公司层面建立IT治理架构,完善IT组织与职责,制定IT决策机制,实行IT人员绩效考核,加强IT合规与IT审计。


  2、流程与应用层控制--分析企业业务流程与活动,与通用IT流程层面建立控制,重点关注与财务报表相关的各种业务与应用系统的技术控制与流程控制。


  3、资源层控制--针对企业业务运作所依赖的各类信息资产和IT资源,分析具体每个资源点的风险,建立风险控制措施。


  最后介绍下IT总体内控的实施过程,第一阶段是制定计划、确定范围,主要任务是确定IT总体内控的大体范围及对象,制定项目计划,组成项目组。通过资料收集、现场业务系统调研、分析控制实体及控制系统、撰写项目计划的方法和步骤。


  第二阶段是IT总体内控现状调研与差距分析(或风险评估),主要任务是调查企业IT总体内控现状,参照Cobit确定的控制目标,进行差距分析,方法及步骤有资料收集与分析、现场调研、差距分析、确定整改内容及计划。


  第三阶段是IT总体内控体系设计,完善内控管理组织及监控职能,主要任务是按照整改计划,进行IT总体内控体系设计,完善监控职能,有设计控制体系和控制体系讨论修改、批准控制体系。


  第四阶段是培训与实施,其主要任务是对用户进行培训,实施已建立的IT总体内控体系,方法有体系培训、体系实施和实施总结。


  第五阶段是控制测试与实施监控,主要任务是按照IT审计标准及方法,测试IT总体内控,方法包括制定测试计划与方法、测试培训、实施测试、测试总结。


  第六阶段是回顾调整与监督优化,主要任务是根据管理层测试及内控执行过程中遇到的问题,定期进行回顾,不断完善IT总体内控。