摘要：对于企业来说都是追求经营回报的，但在经营过程中也面临着诸多风险，而风险往往与资产、脆弱性和威胁有关，比如这杯水对于投影仪来说就是一个风险，但对桌子则不是风险。今天我将简单介绍下目前国内外风险管控的发展和方法论。企业面对这样那样的风险，该如何应对？对于企业来说，最适合的方法之一是通过内部控制，来降低风险发生的可能性，把风险降低到可接受的范围之内，因此建立一套完整的基于风险的内控体系是我们应对风险的重中之重。

第1页:有效的内部控制 第2页:业务/财务数据处理计算机化

　　
　　随着计算机系统的运用越来越广泛，业务/财务数据处理计算机化，计算机数据的完整性、可靠性和准确性、集成性直接影响管理层决策，因此信息系统控制要实现的目标是保持数据完整，维护资产安全，提高资源使用效率，符合相关的法律、法规和政策，从而有效达到企业目标。为此，我们提出的IT内控控制框架从营运、财务报告和合规性三方面对整个企业的IT进行治理，分为以下五个部分：
　　
　　1、IT内控环境--是在企业IT领域的体现是IT的内部控制环境，是实施IT内部控制的基础，主要包括IT治理架构、IT组织与职责，IT决策机制，IT合规与IT审计等；
　　
　　2、IT风险评估--是企业信息化带来的IT风险已经成为企业风险管理的主要方面。风险评估主要包括目标设定、风险识别、风险分析和风险应对。IT目标设定可以理解为IT战略与IT规划，IT风险识别与分析应对包括对信息资产的风险、IT流程的风险以及应用系统的风险识别分析与应对；
　　
　　3、IT控制措施--是针对风险评估的结果，在IT方面需要实施具体的IT控制措施，包括IT技术类控制措施，如防火墙、防病毒、入侵检测、身份管理、权限管理等，以及IT管理类控制措施，包括各类IT管控制度与流程，如开发管理、项目管理、变更管理、安全管理、运营管理、职责分离，授权审批等。
　　
　　4、信息和沟通--在IT领域也需要明确具体的IT管理制度和沟通机制，建立服务台与事件管理程序，及时传达企业内部层级之间和与企业外部相关的信息。
　　
　　5、监控--需要建立IT内部控制体系的审核机制，评价IT控制的有效性。通过IT技术手段如日志、监控系统、综合分析平台等，和管理手段如内部IT审核、管理评审、专项检查等措施，不断改进企业的IT内部控制。
　　
　　在实际的IT控制落地实现上，我们可分八大方面组件包括IT治理，法规和标准符合性、IT战略规划、在IT应用系统中内置对时间的识别和报警；IT风险评估及业务影响分析；风险管理策略及应对措施；防火墙、反病毒、灾难恢复、SDLC、变更管理、运营管理；IT政策、标准、程序、OA、Email、平衡计分卡、帮助台；系统和数据库、防火墙日志、入侵检测、安全意识。这八大方面的组件正好与COSO的风险八要素相对应。综合分析IT内部控制的组件，我们可以将IT的控制分为三个层面：
　　
　　1、公司层控制--在公司层面建立IT治理架构，完善IT组织与职责，制定IT决策机制，实行IT人员绩效考核，加强IT合规与IT审计。
　　
　　2、流程与应用层控制--分析企业业务流程与活动，与通用IT流程层面建立控制，重点关注与财务报表相关的各种业务与应用系统的技术控制与流程控制。
　　
　　3、资源层控制--针对企业业务运作所依赖的各类信息资产和IT资源，分析具体每个资源点的风险，建立风险控制措施。
　　
　　最后介绍下IT总体内控的实施过程，第一阶段是制定计划、确定范围，主要任务是确定IT总体内控的大体范围及对象，制定项目计划，组成项目组。通过资料收集、现场业务系统调研、分析控制实体及控制系统、撰写项目计划的方法和步骤。
　　
　　第二阶段是IT总体内控现状调研与差距分析（或风险评估），主要任务是调查企业IT总体内控现状，参照Cobit确定的控制目标，进行差距分析，方法及步骤有资料收集与分析、现场调研、差距分析、确定整改内容及计划。
　　
　　第三阶段是IT总体内控体系设计，完善内控管理组织及监控职能，主要任务是按照整改计划，进行IT总体内控体系设计，完善监控职能，有设计控制体系和控制体系讨论修改、批准控制体系。
　　
　　第四阶段是培训与实施，其主要任务是对用户进行培训，实施已建立的IT总体内控体系，方法有体系培训、体系实施和实施总结。
　　
　　第五阶段是控制测试与实施监控，主要任务是按照IT审计标准及方法，测试IT总体内控，方法包括制定测试计划与方法、测试培训、实施测试、测试总结。
　　
　　第六阶段是回顾调整与监督优化，主要任务是根据管理层测试及内控执行过程中遇到的问题，定期进行回顾，不断完善IT总体内控。
　　
　　责任编辑：Honey