IT内部控制的问题与挑战
根据《企业内部控制应用指引-征求意见稿》,我们得出企业内控和IT内控的关系:
企业内控和IT内控的关系图
3 IT内控带来的挑战和问题
随着企业业务和IT 系统的日益融合,IT 成为影响企业内部控制越来越重要的因素, IT 内部控制是信息化管理下企业内部控制的重要组成部分,同时也是企业的内部控制系统中不可缺少的一部分。面对企业长期建立起来的复杂IT系统,如何建立正确的IT内控措施,而这些控制措施是否真正有效,又是否能保证符合外部法律法规的要求?这都为我们企业的稳定和长期发展提出了新的挑战。
联想网御借以美国萨班斯法案(SOX)IT内控的实践为基础,结合中国具体国情,并根据我们多年贴近用户的IT治理经验,概括了目前国内企业IT内控面临的主要问题:
* 如何保证权责的正确分配?
“明确权责分配,正确行使职权”是IT内控的一个核心思想,这其实也是信息系统安全管理的核心问题,目前国内大多数企业已经制定了相对合理的组织框架,分配了人员职权,但是这些策略、制度是否得到了很好的实施,而又如何对这些策略、制度的执行进行监督,是目前企业面临的主要问题。
* 如何保证IT基础设施可靠?
IT基础设施是整个信息系统的安全保障,IT内控核心是针对财务相关的IT系统进行控制。企业在构建IT基础设施时,必须充分考虑IT基础设施为财务系统服务的安全性,而目前国内企业的IT基础设施重心放在了保证业务生产系统上,而忽略了财务系统,如何保证IT基础设施的可靠性是需要解决和思考的问题。
* 如何保证财务系统安全?
财务系统作为IT内控的核心,如何保证财务数据的保密性、完整性和可用性是IT内控的重点,而国内企业的现状是:财务系统搭建和开发的重心放在了功能实现上,而较少考虑内部控制的安全要求,如何保证财务系统的安全性是企业长期稳定发展中面临的另一个问题。
* 如何进行审计监督?
审计是IT内控、以及企业内控中最重要的控制手段,通过审计可以及时发现问题,并可对问题的产生进行追溯,从而更好的解决和防范问题。目前国内企业很少有针对IT内控的审计手段,即使有相应的审计手段,也不能做到对系统进行全面审计,如何利用审计监督使企业的IT内控达到规范要求也是一个很棘手的问题。
网友评论