CIO如何帮助企业做好内控

　　信息化在内控方面是非常重要，信息化可以在很多方面可以发挥作用但并不是解决所有问题。据调查的资料显示，98%被调查公司认同内部控制要与风险管理相结合，也承认对风险管理的方法论了解不多有限，需要学习更多的经验和国外的经验。

　　内控看起来离CIO比较远，它和国家制定政策、当企业经营者，管理者制定体系相关。所有内控工作的最后落脚点是CIO、是企业的信息系统，所以信息化在企业内控建设中特别有意义，那么作为CIO如何帮助企业做好内控？

　　1.以《内控》为师

　　过去，企业在做内控或者风险管控的时候，没有一个参考的规范或者样本，对于内控CIO不知道如何入手？该怎么做？更多的时候是处于“瞎子摸象”的阶段，2008年5月份出台的《企业内部控制基本规范》就如一位老师，帮助企业在做内控时给了一个确定的参考，规范，用以帮助企业CIO更好做好内控及IT本身的控制。

　　2.做好合现的内控体系建设

　　CIO做内控首先要设计符合企业内部业务特点的管理体系，并且这个管理体系要能够根据公司业务比如组织架构调整进行及时调整。同时要把它体系形成文件，作为我们执行和审计的依据，作为监督改变的依据。

　　3.先做原型 不断的持续化

　　在上市公司或者国有大中型企业当中，做内控建设的经验是先做一个原型或者模型，然后逐步的填充，内控和信息化是一样，没有边界，因此， 要先搭建内控的的框架，然后在框架中不断增加、修改，最后做到持续的优化。

　　4. 参考同行内控应用标准

　　内控在国内应用的时间不是很久，早在2000年的时候有些企业就开始关注，企业在在做内控可以参考其它企业的内控是如何来做的，从信息化的角度来看，虽然不同的行业， 不同的企业性质都不相同，CIO可关注他们支持内控系统是如何来做的？参照已经实施企业内控的企业做本企业的内控无疑是一个非常好的办法。内部控制是企业现代化管理必然产物，良好企业内控管理是成功企业必备条件。企业建立有效的内控控制体系已经成为企业可持续发展的关键。

　　关于内控

　　《企业内部控制基本规范内控规范》被称为中国的“萨班斯法案”，2008年6月28日，由财政部、证监会、审计署、银监会、保监会联合发布，目的在于加强和规范企业内部控制，提高企业经营管理水平和风险防范能力，促进企业可持续发展。

　　根据规范，执行基本规范的上市公司，应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请具有证券、期货业务资格的中介机构对内部控制的有效性进行审计。 规范原定于去年7月1日起实施，但由于企业培训等准备工作没有做完等原因，这一规范的实施范围当时被缩小至境外上市的企业，境内上市企业的实行时间则推迟到了2010年1月1日。