| 摘要:俗话说“凡事预则立,不预则废”。IT内控作为集团企业内部控制的有机组成部分,对企业竞争力和经济效益的影响越来越大。一个成功的IT内控体系可以防止和减少许多潜在IT事件的发生和破坏。 |
事实证明,在香江集团迅速发展的过程中,快捷高效的信息化平台成为了企业发展不可或缺的核心竞争力。近年来,“敢为人先”的香江人在企业信息化建设中进行了许多富有建设意义的尝试,并取得了显著成效--从2000年香江人首次创建金海马集团电子商务网站,到2001年金海马率先成功引入ERP系统(在国内流通企业中第一家成功导入SAP信息管理系统),再到2005年香江集团采用办公自动化系统(OA);从财务系统NC的上线推广,到物业管理软件在南方香江的广泛应用,再到EHR软件在人力资源系统的升级优化。香江集团在企业信息化方面所进行的探索,赢得了各方的广泛赞誉。
凡事预则立,不预则废
该集团信息技术部经理梁维说:“除了上市公司-香江地产以外,其它两个事业部也是按筹备上市的要求要求进行管控,这就势必要求通过IT管控防止和减少风险,进而提升管理。”梁维进一步强调:“上市公司针对产生财务交易的所有作业流程,都做到能见度、透明度、控制、通讯、风险管理和欺诈防范,且这些流程必须详细记录到可追查交易源头的地步。因此,我们必须加强和建立有效的内部控制框架,以确保上市公司遵守证券法律和提高公司披露信息的准确性和可靠性。”
俗话说“凡事预则立,不预则废”。IT内控作为集团企业内部控制的有机组成部分,对企业竞争力和经济效益的影响越来越大。一个成功的IT内控体系可以防止和减少许多潜在IT事件的发生和破坏。正如居安思危,有备无患一样。一个优秀的IT管理者内控和风险管理之间达成一种平衡,要大大减小内外部风险对企业发展进程造成的不良影响。
梁维坦言:“企业IT部门只有加强IT内控管理,严格执行各项IT内控的规章制度,才能有效的实现风险控制。因此,企业应要借鉴国内外先进的经验,结合业务需要分层次、分步骤地制定和完善IT内控工作流程。例如,可从物理安全、系统安全和管理安全三个方面制定相应的规章制度,逐步形成完备的管理手册,使IT内控工作有章可依、有据可查,并且定期对IT内控制度的执行情况进行评估。由此看来,通过IT内控体系与合规管理来防范和降低集团管控风险,是信息技术部门工作的重要组成部分。”
梁维解释到:“IT内控这个词听起来好象很时髦。其实,在IT内控这个词流行以前,我们是用的规章制度、政策和程序手册来描述具体做事的步骤和规定。但两者之间是有很大的区别:首先,我们以前的规章制度一般是条文式地说明一件事情,而IT内控则强调信息的输入和输出。其次,IT内控非常强调流程的逻辑严密,而以前的规章制度是不容易达到严丝合缝和责任分明。”
四大体系建立是保障
2010年,香江集团通过优化管理架构和管理制度,初步形成立体的管控体系,IT内控不同程度凸现出在业务支持方面的关键作用。那IT是如何成为公司内部控制的一部分呢?
“香江集团是以具体运营流程为基础展开的IT控制,直接关系运营活动的实施。美国SOX(萨班斯)法案所规定IT一般性控制,主要包括信息系统开发流程的控制、程序变更管理控制、计算机运行管理控制、程序与数据访问控制、信息系统安全的控制,还有IT计划等。在一般性控制之外,还有应用系统的控制,包括应用系统中设置的有关业务流程的输入、数据处理和输出控制等。另外,信息技术部门更应侧重于管理,包括加大对分支机构信息系统、系统建设、运维、数据等集中管理的力度,降低分散管理隐含的风险。”
2008年6月,财政部、证监会、银监会、保监会及审计署委联合发布了被称为“中国版萨班斯法案”的《企业内部控制基本规范》,此规范已于2009年7月起在上市企业中实施。其中,该规范第37条规定:“企业应当建立重大风险预警机制和突发事件应急处理机制,明确风险预警标准,对可能发生的重大风险或突发事件,制定应急预案、明确责任人员、规范处置程序,确保突发事件得到及时妥善处理。”
梁维进一步解释到:“IT内控通常包括信息技术部门与使用部门的职责、程序开发修改及控制、程序及数据资料的存取、数据信息的安全控制、公开披露活动的控制等。IT控制有一个治理框架,即COBIT框架。COBIT全称是信息及相关技术的控制目标(ControlObjectivesforInformationandrelatedTechnology)。COBIT是将IT流程、IT资源与企业的策略与目标联系起来,在企业业务战略指导下,对信息及相关资源进行规划与处理。”
评论表单加载中...
