信息化环境下的内控建设
1、合规的内部控制体系建设
信息系统的应用给企业带来了与手工环境不同来源、不同性质的风险,而且随着应用的逐渐深入,现在的风险也在不断变化,从而对企业内部控制造成了多种影响,因此,信息技术成为企业内部管理很重要的方法、手段和工具。对于内控能否顺利实施起着非常非常的作用。而在内控中明确指出解健全企业内部控制体系,IT控制是企业必须要关注一个领域,过去非常关注企业工作治理机构,组织架构,职责权限,业务流程在企业循环的控制。在当今企业环境要更加关注IT控制这块,要思考过去企业在IT控制领域是否有健全的控制体系,制度是否有有效的监控手段。这是一个很大的变化。
2、 完善内控机制,降低企业经营与管理风险
推动企业内控机制有助于防范企业风险,对保护企业资产的完整、企业信息的真实可靠和公允性亦是大有裨益。只有做完善内控机制,才能让企业CIO在做内控时有重要的参考依据。
3、 内控建设是否完善健全
早在2000年的时候,大型企业或者是上市公司开始关注企业内控的建设,内控也中只是处于属于初级阶段,经过近十年的市场运作,以往内控建设已经不能在应对现有的风险管理,现阶段 每年的内控都会有新的版本或者需要项目出现, 这包括企业的信息系统,都需要企业不断的持续的优化。内控中有在持续优化方面作了重点为的强调,因此,企业应针对不同的时间, 不同地区要检查已有的的内控制度、系统等是否健全,保障企业的正常运营。
4、 内控是否得到有效执行?
建立了合理的内控机制,体系建设,下一步考核内控的另一个重要因素是内控是否能得到有效的执行,包括企业的管理层、CIO、及业务部门人员,如果没有强大的执行力,企业的内控无法得到有效执行,因此,在企业做内控的初期,首先要提高企业的执行力,从管理层一直到企业的普通员工,运用制度来加强企业内控的推进。CIO在内控的执行过程中, 一方面要做好企业管理层的安排,另一方面安排好本部门
5、 建立和实施企业内部控制系统
完善的企业内控系统可以支撑企业内控落地的一个重要手段,因此,对于CIO来讲,要建立并且实施企业内控系统,虽然这将会给企业增加不小的IT投入,但对于信息部门来讲, 一方面引进了先进的管理人才,另一方面也优化了企业的管理流程,提高了企业的管理效率。内控的执行必须要有内控系统支撑。同时,企业要借助于信息系统保障内部控制有效性,信息系统是企业内控落地的重要工具,但企业要保障内控的有效性, 必须要运到信息系统。
6、 内部控制必须进行监督评价。
建立内控系统、相应的内控制度、机制体系以外,还要对于实施内控的结果进行全面的监督,只有对内控做出有效的监督和评价,才能难证是否能做得合理, 这个监督工作一方面由外部的人员如政府、第三方面监督机构来做,另一方面,企业可成立自身的监督评价部门,加强企业的内部控制管理。
7、 建立企业IT部门的IT审计
IT审计就是信息系统审计,也称IT监查,是独立于信息系统本身、信息系统相关开发、使用人员的第三方-IT审计师采用客观的标准对信息系统的策划、开发、使用维护等相关活动和产物进行完整地、有效地检查和评估。随着信息化的发展, 企业的IT系统也越来越多,造成企业的IT系统复杂,从产品本身来讲, IT系统在开发和设计过程肯定存在不足和缺陷,造成企业存在安全的缺陷,因此对于IT系统本身,也要提出审计,CIO要提出审计的需求,然后由第三方专业的IT机构来检查IT的问题,同时, CIO本身在日常的工作中做好IT的审计要求, 比如数据库管理人员的权限,不同的数据库的管理人员密码不能相同等等, 用以保证企业的正常安全。 同时,企业IT本部要成立IT审计部门,加大对于IT的审计力度,为最终落实企业内失之控做全面的保障。
信息化环境是动态发展的,企业应在严密、恰当、有效、人机结合基本原则的指导下,围绕企业内部控制目标,结合信息化条件下内部控制的特点,构建一套适应信息化环境下的内部控制制度,以保证企业信息化的健康有序发展。
关于内控
《企业内部控制基本规范内控规范》被称为中国的“萨班斯法案”,2008年6月28日,由财政部、证监会、审计署、银监会、保监会联合发布,目的在于加强和规范企业内部控制,提高企业经营管理水平和风险防范能力,促进企业可持续发展。
根据规范,执行基本规范的上市公司,应当对本公司内部控制的有效性进行自我评价,披露年度自我评价报告,并可聘请具有证券、期货业务资格的中介机构对内部控制的有效性进行审计。 规范原定于去年7月1日起实施,但由于企业培训等准备工作没有做完等原因,这一规范的实施范围当时被缩小至境外上市的企业,境内上市企业的实行时间则推迟到了2010年1月1日。