IT内部控制的问题与挑战
2008年6月,国家财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》(以下简称“内控规范”),内控规范中对IT内部控制(以下简称“IT内控”)提出了较高的要求,所以各企业都将面临IT内控的合规性检查问题。联想网御作为国内领先的专业安全厂商,通过对内控规范的理解,结合自身的安全实践,提出了企业IT内控解决方案,帮助企业的IT内控治理达到内控规范要求。
一、IT内部控制的问题与挑战
1 企业内控的背景
2001年,安然、世通这些美国著名大公司由于内部舞弊案而倒闭,为了应对诚信危机,挽救全球投资者信心,美国政府于次年颁布并坚定实施了《萨班斯法案》,严格监管上市公司的内部控制。
当前金融风暴席卷全球,且中国经历了30年跨越式发展,中国企业内部控制比较不规范。为防患于未然,2008年6月国家财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》,企业内部控制基本规范以保障财务报告的真实性、可靠性为核心,提出相应内部控制要求,于2009年7月1日在上市公司范围内施行,鼓励非上市的其他大中型企业执行。
企业内部控制能够合理保证企业经营管理的合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,提高企业经营管理水平和风险防范能力,促进企业可持续发展,维护社会经济秩序和公众利益。
2 企业内控与IT内控的关系
在现代企业所有权与经营权分离的背景下,为了防范并揭露错误与弊端,逐步形成了企业内部控制(Internal Control,以下简称“企业内控”)制度。美国COSO报告体现了业界对企业内部控制的主流观点,即:内部控制是为取得经营效果和效率、财务报告的可靠性、遵循适当的法令等目标而提供合理保证的一种过程。联想网御参照《企业内部控制基本规范》设计了企业内部控制模型:
作为业务的支撑,IT系统已被国内大中型企业高度依赖,尤其是会计电算化的普及,要保障财务相关信息的真实有效,就必须对企业的IT系统严格控制。IT 内控是信息化管理下企业用以规避潜在风险的一种有效手段,我们认为IT内控实质上是企业运作过程中涉及IT 这部分资产的购入、使用及维护等不同阶段的相关内部控制过程,其相应的控制范围包括:IT 控制环境、软硬件的运行和维护、系统和数据的访问、系统开发和系统变更等。
网友评论