企业内控与IT
严格意义上的企业内控要求源于美国安然、世通等公司财务欺诈丑闻,为了避免类似事件再次发生,最大限度保护投资者利益,2002年美国颁布SOX(萨班斯)法案,明确规定所有在美上市公司都必须加强和建立有效的内部控制框架,以确保上市公司遵守
证券法律和提高公司披露信息的准确性和可靠性。要求上市公司针对产生财务交易的所有作业流程,都做到能见度、透明度、控制、通讯、风险管理和欺诈防范,且这些流程必须详细记录到可追查交易源头的地步。
企业内部控制按工作范围分类,可以分为内部管理控制和内部会计控制。内部管理控制,以提高公司的经营效率和效益为目的,通过检查和改进有关的管理政策和程序,有效控制公司运行,实现公司资产的保值增值。内部会计控制,以保护财产物资和确保会计资料可靠性为目的,通过适当的业务权限设置和授权、准确的会计记录、及时的实物盘点以及公允的报告程序和方法,保证公司经营和财务信息的可靠,保障公司资产的安全。
由于现代企业运营都普遍依靠IT,特别是
财务报告更需IT支撑,因而该法案还规定企业必须建立一个IT基础设施,以确保所有的记录和数据不会被毁灭、丢失、未经授权的变更以及错误的使用。实施企业内控,就必须进行IT内控,IT内控是企业内控不可或缺的重要部分。
IT内控包括:IT应用控制(IT Application Control)和IT一般控制(IT Generally Control)。IT应用控制,是指对业务流程所依赖的IT系统进行某些控制,其中特别是针对支持财务报告的特定IT应用。IT一般控制,是指对于支撑公司运作的IT基础技术架构平台进行有效管理控制。可见,IT一般控制是基础,而要进行IT一般控制就必须进行IT资产管理。
IT资产管理是IT内控的基本要求
企业IT资产通常包括IT基础技术架构中的计算机及其外设、网络设备及相应的配件、耗材、工具和
软件等,资产形式分为自有、租借或虚拟等。
内控要求下,为了应对内部审计,企业必须掌握准确的IT资产数据,IT资产清查和盘点成为上市公司每年的必备工作。同时,IT资产往往携带企业数据,因而必须对其做好管理,以防止由于资产丢失或不合理的报废流程造成企业信息泄漏,确保相关法律的合规性。据报道,去年6月份,汇丰
银行就因为遗失了电脑硬盘和邮寄非加密数据,被英国监管当局罚款320万英镑。
因而,若不能保证IT资产的数据准确和安全合规,企业对IT进行有效的内部控制就无从谈起,IT资产管理是IT内控的基本要求。
如何做好IT资产管理
然而IT资产种类繁多,数量庞大,且可能散布各地,管理起来千头万绪,无从下手,那么
CIO 怎样才能高质量低投入的管好它们,以满足企业内控要求呢?
对此,已为数十家世界500强跨国公司提供10余年IT运营服务的金道公司认为,良好的IT资产管理结果必须满足以下三要素:
首先要有清晰的管理流程,制定好规范,对IT资产的全生命周期进行记录和监管,必须涵盖规划、采购、分发、维护、变更、报废等各个环节。
其次要有优质的资产
管理软件工具,具备自动发现、变更管理、资产追踪、数据分析等功能,同时保证各个相关系统(如资产数据库系统、自动发现系统、财务系统等)产生的不同信息能互相交换,能随时对各种资产数据进行比对,以消除信息孤岛,发现偏差及时更正,确保资产数据的准确性。
最后,也最为重要的,是要有严格的执行保障措施。其中包括专业而有经验的执行人员,以及相应的质量保证和控制制度,确保流程、工具真正发挥作用。
金道高级副总裁王勇先生介绍说:“从我们服务的多家500强企业客户的实际经验来看,1到2年内即可使企业IT资产准确率达99%以上,同时能大大节省企业为满足内控要求而需要在IT资产管理方面投入的人力、物力、财力及时间,投资回报率可高达500%。”