提升企业IT内控能力 CIO应该从何入手?

风险管控是每一个希望基业常青的企业永恒关注的话题,也是每一个希望永续经营的企业需要时时绷紧的神经。因为当企业抵御风险能力很差时,就会像在沙丘上建高楼大厦一样,经受不起任何的风吹雨打。近年来,随着企业对IT的依赖程度越来越高,使到提升IT内控能力也越来越受到关注。

在几周前周,我参加了一个本地CIO专题研讨会。主题是:提升IT内控能力,防范和规避IT风险。从研讨会上众多CIO的讨论来看,目前国内大部分公司不但是IT内控能力严重不足,而且IT内控措施也经常执行不到位,使到他们经常陷于IT风险的威胁之中。结合研讨会上众多CIO的观点和经验,这里提出几个提升IT内控能力的方法和步骤,以供大家参考和借鉴:

(1)提升对IT内控的重要性的认识

在这次的CIO研讨会上,当谈到为什么不加强或提升IT内控能力的时候,许多CIO都表露出很无奈的神情。总结起来主要有两方面原因:一是目前国内大多数企业正处于核心业务系统建设之中,如ERP系统、CRM系统、HR系统等系统的上线和实施,根本就无暇顾及IT内控能力的提升。而且,部分IT项目更是领导者的政绩工程,投资巨大但是却盲目建设。虽然采购了先进的IT技术和设备,但在营运配套管理上却是严重落后。

另一个是目前比较普遍存在的现象,就是许多企业高层对IT内控规划、风险控制缺乏细致的考虑和认识。不少高层认为IT内控只是IT部门的事,离自己很远;而且在谈到IT内控的时候,他们很容易这样说:“哦,IT内控?不要跟我谈,跟公司CIO或者IT部门谈就可以了。”在这种情况下,由于缺乏来自业务层和管理层强有力的推动,经常会导致IT建设目标和IT内控措施失控,IT助力业务发展和提升管理水平常常是沦为纸上谈兵的一句空话。事实上,随着IT越来越渗透到企业运营的每一个方面、每一个环节和每一个流程,IT风险也就成为了企业运营面临的主要风险之一。所以,要想提升IT内控能力,第一步是要提升企业对IT内控的重要性的认识,这也是目前许多企业的当务之急。

(2)组建责任明确的IT内控小组机构

要使IT内控发挥应有的作用,关键一点是IT内控责任不应只是IT部门一个部门的工作和责任,而应该要上升为全员参与。企业应该成立由公司领导和各部门负责人组成的责任明确的IT内控小组机构,然后由该机构制定出符合本公司现状的IT内控策略和制度。例如,定期组织的跨部门IT内控工作会议,强化部门间IT内控工作协同配合的流程,保障企业IT内控的高效率执行和实施的制度等。这个小组除了担任IT内控的日常工作外,还可以负责对IT内控、企业管控的质量进行协调和监督。

(3)明确IT内控立足点:分析潜在IT风险的破坏力

对企业运营中可能遇到的IT风险进行识别,是IT内控中最为关键的内容,也是提升IT内控能力的立足点。包括IT风险识别、IT风险分析和IT风险评价等几部分。它要求企业从全局的角度去考虑、分析、规划需要控制的事情和范围。例如,IT风险评估可使公司更加清晰地认识到IT意外事件的发生将如何限制业务目标的达成。因此,企业需要透彻地分析业务发展所面临的潜在IT风险的破坏力。也就是说,要对IT系统出现故障时对各关键业务的影响和破坏力作出正确的评估。因为只有正确分析可能存在的各类IT风险,并正确评估各类IT风险可能造成的影响,才能采取正确有效的IT内控措施,这也是提升IT内控能力的一个重要步骤。结合研讨会上众多CIO的实践经验,我们建议企业IT管理者可采取分层次、分步骤的方式来做出正确评估。通常的做法是把可能的风险划分一个优先级,对于优先级高的风险要给以更多的关注。

(4)选择最佳实践框架,降低IT内控失效风险

IT内控这个词听起来好象很时髦,其实在IT内控这个词流行以前,我们是用规章制度、政策和程序手册来描述具体做事的步骤和规定。但两者之间是有很大的区别:我们以前的规章制度一般是条文式地说明一件事情,传统的规章制度是不容易达到严密合缝和责任分明,而IT内控则是非常强调流程的逻辑严密性。因此,为了更有效的提升IT内控能力,企业应要选择一个最佳实践框架,以降低IT内控失效的风险。因为通过采用一种成熟的控制框架不但可以简化沟通,同时还能减少所需工作和降低企业成本。

正如国内一位知名IT内控专家指出,我国IT内控建设最大的问题,不是技术问题,也不是资金问题,而是缺乏有效的实践经验和管理方法的管理问题。也就是说,缺乏IT内控实践方法和具体参照标准是导致许多企业IT内控能力不足的根源之一。在这次研讨会上,许多CIO的观点和建议是国内企业可先采用《企业内部控制基本规范》作为IT内控评估标准,再结合国际上普遍采用的COBIT框架和《SOX萨班斯法案》作为参考。