| 摘要:俗话说“凡事预则立,不预则废”。IT内控作为集团企业内部控制的有机组成部分,对企业竞争力和经济效益的影响越来越大。一个成功的IT内控体系可以防止和减少许多潜在IT事件的发生和破坏。 |
梁维认为:香江集团要建立合规的IT内部控制,必须要先打造一个合规的IT内控体系。即总结了以下四方面:
(1)确定合规的IT内控范围
第一步是先确定合规的IT内控范围,它是指根据《企业内部控制基本规范》的要求,从全局角度去考虑、分析、规划需要控制的事情和范围。
以香江集团管控中心为例,香江集团管控中心(投资除外)主要工作是集团财务和集团人力资源两部分,集团财务主要包括:集团资金管理、预算调整审批、NC系统权限申请、控股资金管理、金海马资金管理、家福特资金管理、财务报销管理等,使用用友NC系统进行业务及数据管理,使用OA系统进行财务流程电子审批管理;集团人力资源管理主要包括:集团集团绩效管理、集团薪酬管理、集团培训管理等;使用用友EHR系统进行人员管理及薪酬管理,使用OA系统进行员工考勤、转正等流程电子审批管理;
因此,以上业务流程、IT支持系统、IT系统涉及业务数据、业务数据数据字典、IT系统开发管理、IT系统变更管理等就是IT内部控制的范围;
(2)对选定的IT内控范围进行风险评估
风险评估可使我们香江集团更加清晰地认识到,意外事件的发生将如何限制业务目标的达成。风险评估的目的是要辨别IT合规性的潜藏内在风险与残存风险。当在IT内控时可能会碰到很多风险时,通常的做法是要把可能的风险划分一个优先级,对于优先级高的风险要给以更多的关注。
例如:权限控制的风险,主要内容包括:“是否在IT系统中对不同岗位、级别的工作人员设置不同的操作权限,并且得到认真执行;是否不相容权责分离等。以香江集团管控中心为例,集团财务部制定了用友NC系统管理制度,在制度中对使用用户进行了认真区分,其中包括财务总监、系统管理员、财务经理、财务主管、一般会计、财务出纳等角色的操作及查看权限,并在OA系统上设立NC系统用户申请单流程,通过严谨透明的的审批流程,保证不相容权责分离原则得到认真贯彻;
(3)进行内、外部IT审计
一般来说,合规控制对于上市公司和IT系统有三个层面:最高级是公司级控制,决定了IT内部控制的方向,中级是应用企业层面的控制,主要是与业务流程相结合,体现在IT应用系统中;基础级是指基础层面的控制,主要体现在体现在IT部门向业务部门提供服务过程中。
IT内、外控审计主要内容有:IT制度与流程手册、系统变更(包括应用系统及基础设施)、逻辑访问(包括应用系统及基础设施)、物理访问、IT灾难备份、数据接口、第三方管理、环境控制、问题管理和作业调度等。对于测试不合格的IT控制,应该及时纠正缺陷,完善IT控制体系的设计与提高IT运维的质量,以确保其有效性。
(4)报告管理层IT内控审计情况
IT内部审计完成,应立即形成正式的书面审计结论,并向管理层报告,以方便管理层及时调整和调配IT内控的资源和策略,尽快将风险防患于未然之中。例如将IT内控审计的涉及的不合格项进行逐项整理,,形成IT内控审计管理报告。
领导者支持是关键
梁维认为实现IT内控取决于两方面,首先是得到领导的大力支持。集团企业在建立科学、有效的IT内控体系过程,归根结底是领导者参与的过程,理应获得最高管理者的支持,最高管理者要以高度的责任感和紧迫感推进IT内控体系建设可以达到事半功倍的效果。目前香江集团管理层早已意识到IT内控的重要行和迫切性,正通过制度和流程的梳理和优化改善企业内控建设,IT部门也正在组织同事学习及应用COBITITIL等相关管理体系的外训,IT也势必成为集团内部管控不可缺少的一部分。
此外,企业还应充分借鉴吸纳国际先进标准理念来推进IT内控体系建设(如国际公认的IT内控标准-COBIT),按照集团总部和各地区分、子公司有机结合的方式分阶段展开,最终实现企业各项管理的规范化和系统化,提高企业运行效率和效益,保障遵循国家法规和企业各项规章制度,提高企业整体管理水平与核心竞争力。
综上所述,不难看出香江集团视IT为企业管理的重要组成部分,它具有一定的变革性,通过系统实施规范管理制度,使其更具科学性;规范人的行为,提高自觉性和增强紧迫感;转变思想观念,实现协调性;可以说是借信息化的壳儿掀起了一场香江集团管理变革的浪潮。通过IT内控体系建设,可以加强集团IT管理,提高IT效率,降低IT风险。通过一套有机的、科学的和相互制约的IT内控体系,使监督管理的有章法可依,从而形成良性的IT治理结构和现代企业管理制度。
责任编辑:Kelly
评论表单加载中...
