賽迪顧問(wèn)-集團(tuán)企業(yè)IT內(nèi)控體系建設(shè)

PAGE3賽迪顧問(wèn)股份有限公司版權(quán)所有。未經(jīng)協(xié)議授權(quán)，禁止提供給其它單位或個(gè)人。集團(tuán)企業(yè)IT內(nèi)控體系建設(shè)集團(tuán)管控與IT內(nèi)控體系建設(shè)集團(tuán)管控模式對(duì)IT內(nèi)控的要求中國(guó)集團(tuán)企業(yè)的管控模式集團(tuán)公司管控模式的確定是一個(gè)復(fù)雜的體系，它要涉及到三個(gè)層面的問(wèn)題：首先是狹義管理模式的確定，即總部對(duì)下屬企業(yè)的管控模式；其次是廣義管控模式，它不僅包括狹義的具體的管控模式，而且包括公司的內(nèi)控結(jié)構(gòu)的確定、總部及各下屬公司的角色定位和職責(zé)劃分、公司組織架構(gòu)的具體形式選擇(直線職能制、事業(yè)部制、矩陣制、子公司制、及多中心網(wǎng)絡(luò)式)、對(duì)集團(tuán)重要資源的管控方式(如對(duì)人、財(cái)、物的管控體系)以及績(jī)效管理體系的建立；第三個(gè)層面是對(duì)與管控模式相關(guān)的一些重要外界因素的考慮，涉及到業(yè)務(wù)戰(zhàn)略目標(biāo)、人力資源管理、工作流程體系以及管理信息系統(tǒng)?？偛繉?duì)下屬企業(yè)的管控模式，按總部的集、分權(quán)程度不同而劃分成“業(yè)務(wù)管控型”、“戰(zhàn)略管控型”和“財(cái)務(wù)管控型”三種管控模式。這三種模式各具特點(diǎn)：業(yè)務(wù)管控型總部從戰(zhàn)略規(guī)劃制定到實(shí)施幾乎什么都管。為了保證戰(zhàn)略的實(shí)施和目標(biāo)的達(dá)成，集團(tuán)的各種職能管理非常深入。如人事管理不僅負(fù)責(zé)全集團(tuán)的人事制度政策的制定，而且負(fù)責(zé)管理各下屬公司二級(jí)管理團(tuán)隊(duì)及業(yè)務(wù)骨干人員的選拔、任免。在實(shí)行這種管控模式的集團(tuán)中，各下屬企業(yè)業(yè)務(wù)的相關(guān)性要很高。為了保證總部能夠正確決策并能應(yīng)付解決各種問(wèn)題，總部的職能人員的人數(shù)會(huì)很多，規(guī)模會(huì)很龐大。戰(zhàn)略管控型集團(tuán)總部負(fù)責(zé)集團(tuán)的財(cái)務(wù)、資產(chǎn)運(yùn)營(yíng)和集團(tuán)整體的戰(zhàn)略規(guī)劃，各下屬企業(yè)(或事業(yè)部)同時(shí)也要制定自己的業(yè)務(wù)戰(zhàn)略規(guī)劃，并提出達(dá)成規(guī)劃目標(biāo)所需投入的資源預(yù)算?？偛控?fù)責(zé)審批下屬企業(yè)的計(jì)劃并給予有附加價(jià)值的建議，批準(zhǔn)其預(yù)算，再交由下屬企業(yè)執(zhí)行。在實(shí)行這種管控模式的集團(tuán)中，各下屬企業(yè)業(yè)務(wù)的相關(guān)性也要求很高。為了保證下屬企業(yè)目標(biāo)的實(shí)現(xiàn)以及集團(tuán)整體利益的最大化，集團(tuán)總部的規(guī)模并不大，但主要集中在進(jìn)行綜合平衡、提高集團(tuán)綜合效益上做工作。這種模式可以形象地表述為“上有頭腦，下也有頭腦”。目前世界上大多數(shù)集團(tuán)公司都采用或正在轉(zhuǎn)向這種管控模式。財(cái)務(wù)管控型圖SEQ圖\*ARABIC1集團(tuán)管控模式對(duì)IT內(nèi)控的差異化要求集團(tuán)IT內(nèi)控的定義IT內(nèi)控是針對(duì)信息化建設(shè)、管理的科學(xué)理論與方法。企業(yè)IT內(nèi)控體系是應(yīng)用管理控制的概念，結(jié)合IT治理的思想，研究在企業(yè)信息化建設(shè)周期中的規(guī)劃、實(shí)施、運(yùn)行和后評(píng)估等不同的階段，如何使企業(yè)信息系統(tǒng)建設(shè)與企業(yè)業(yè)務(wù)發(fā)展進(jìn)行匹配，整合企業(yè)核心競(jìng)爭(zhēng)力，實(shí)現(xiàn)企業(yè)信息化最大價(jià)值的體系。用一句話表示，IT內(nèi)控要求對(duì)信息化建設(shè)、管理做出組織化、制度化的安排。在這個(gè)體系中要研究信息化工作管理部門組織的管理模式和流程，建立企業(yè)信息化管理控制機(jī)制，包括信息化工作管理部門在企業(yè)中的戰(zhàn)略定位，內(nèi)部基于面向服務(wù)的管理流程，界定與其他相關(guān)部門的流程關(guān)系，建立信息化風(fēng)險(xiǎn)管理控制體系。IT內(nèi)控體系體現(xiàn)企業(yè)信息化服務(wù)價(jià)值鏈的關(guān)系，實(shí)現(xiàn)企業(yè)整體價(jià)值最大化：通過(guò)組織管理控制手段，保障系統(tǒng)、流程、數(shù)據(jù)均衡發(fā)展；明確企業(yè)信息化部門和專業(yè)部門之間的關(guān)系和責(zé)任；清晰定義分工界面和管理控制流程；正確劃分信息系統(tǒng)的所有者、建設(shè)者和管理者；加強(qiáng)對(duì)流程執(zhí)行的管理控制，明確流程交接的邊界和流程的負(fù)責(zé)者；充分發(fā)揮企業(yè)信息化建設(shè)工作的價(jià)值，確保信息化戰(zhàn)略和企業(yè)戰(zhàn)略相吻合，從而支撐企業(yè)的運(yùn)營(yíng)和管理。IT內(nèi)控作為IT治理的一個(gè)子環(huán)節(jié)已成為一種用來(lái)指導(dǎo)和控制企業(yè)的結(jié)構(gòu)和流程，目標(biāo)是通過(guò)增加價(jià)值，同時(shí)平衡IT流程的風(fēng)險(xiǎn)和回報(bào)，取得公司的目標(biāo)的有力工具之一。公司治理和IT內(nèi)控已密切交纏，公司治理已經(jīng)日益關(guān)注直接或者間接的影響了IT和IT內(nèi)控所采用的方向。公司治理(CorporateGovernance)是屬于企業(yè)制度層面的內(nèi)容，其核心在于企業(yè)通過(guò)權(quán)力制衡，監(jiān)督管理者的績(jī)效，保證股東和其他利益相關(guān)主體的權(quán)利。IT治理是公司治理的一個(gè)有機(jī)組成部分，它包含領(lǐng)導(dǎo)力、組織結(jié)構(gòu)和流程等制度和機(jī)制，其確保IT維續(xù)和擴(kuò)展組織的戰(zhàn)略和目標(biāo)。IT治理包含了以下幾層含義。首先，IT治理是公司治理的一個(gè)有機(jī)組成部分。信息化建設(shè)中一個(gè)共識(shí)已經(jīng)達(dá)成，即企業(yè)信息化是企業(yè)經(jīng)營(yíng)管理的一個(gè)有機(jī)組成部分，目前，信息部門已經(jīng)是企業(yè)的一個(gè)重要部門，CIO是企業(yè)管理層的重要成員，信息化服務(wù)和管理流程也逐步融合到了企業(yè)的業(yè)務(wù)管理流程中。但在進(jìn)一步推進(jìn)信息化建設(shè)過(guò)程中，我們還必須達(dá)成另一個(gè)共識(shí)，即IT治理是公司治理的一個(gè)有機(jī)組成部分，它體現(xiàn)了股東、董事會(huì)和管理層對(duì)信息化建設(shè)的關(guān)注。其次，IT治理是一種制度和機(jī)制，包含了管理和制衡IT與業(yè)務(wù)匹配、IT投資價(jià)值、IT風(fēng)險(xiǎn)和IT績(jī)效的領(lǐng)導(dǎo)力、組織結(jié)構(gòu)和流程。再次，IT治理的目標(biāo)是實(shí)現(xiàn)股東和其他利益相關(guān)主體對(duì)信息化建設(shè)的監(jiān)督與制衡，以保證信息化建設(shè)能夠真正落實(shí)和貫徹組織業(yè)務(wù)戰(zhàn)略和目標(biāo)。內(nèi)控體系建設(shè)既是適應(yīng)外部監(jiān)管的迫切需要，更是企業(yè)建立現(xiàn)代制度實(shí)現(xiàn)可持續(xù)發(fā)展的內(nèi)在要求，良好的內(nèi)控體系是建立現(xiàn)代企業(yè)制度、確保企業(yè)順利實(shí)現(xiàn)經(jīng)營(yíng)目標(biāo)的重要保證。風(fēng)險(xiǎn)管理作為公司治理的的驅(qū)動(dòng)，同時(shí)也是IT內(nèi)控的外部驅(qū)動(dòng)元素，適當(dāng)?shù)闹卫頊p少了可能帶來(lái)潛在成本的風(fēng)險(xiǎn)暴、提供了信息化決策的信息庫(kù)、也提供了全面的卻可變的\o"AMT咨詢服務(wù)：IT規(guī)劃"規(guī)劃框架。圖SEQ圖\*ARABIC2公司治理、IT治理、IT內(nèi)控與風(fēng)險(xiǎn)管理的關(guān)系1.2.1IT內(nèi)控涉及的相關(guān)標(biāo)準(zhǔn)COSO報(bào)告COSO報(bào)告定義了內(nèi)部控制，描述了它的組成，并提供了標(biāo)準(zhǔn)措施，使控制系統(tǒng)得以評(píng)價(jià)。這份報(bào)告對(duì)內(nèi)部控制公開(kāi)報(bào)告提供了操作指南，并為管理層、審計(jì)師和其他人員提供了用于評(píng)價(jià)內(nèi)部控制系統(tǒng)的資料。這份報(bào)告的兩個(gè)主要目標(biāo)是：(1)建立能服務(wù)于許多不同的當(dāng)事人的共同的定義；(2)提供一個(gè)組織能評(píng)估其控制系統(tǒng)和確定如何改善控制系統(tǒng)的標(biāo)準(zhǔn)措施。定義：COSO報(bào)告對(duì)內(nèi)部控制的定義是，受組織的董事會(huì)、管理層和其他人員影響的一個(gè)過(guò)程，內(nèi)部控制的設(shè)計(jì)為以下類別的目標(biāo)得以實(shí)現(xiàn)提供了合理的保證：經(jīng)營(yíng)的效果的和效率；財(cái)務(wù)報(bào)告的可靠性；遵循適用的法律和法規(guī)。這份報(bào)告強(qiáng)調(diào)了內(nèi)部控制系統(tǒng)是管理的工具，但不能替代管理；并且控制應(yīng)建立在經(jīng)營(yíng)活動(dòng)當(dāng)中，而非經(jīng)營(yíng)活動(dòng)之上。盡管這份報(bào)告將內(nèi)部控制定義為一個(gè)過(guò)程，但它建議對(duì)某個(gè)時(shí)點(diǎn)的內(nèi)部控制的有效性作評(píng)價(jià)。內(nèi)部控制系統(tǒng)包含五個(gè)相關(guān)的組成：(1)控制環(huán)境，(2)風(fēng)險(xiǎn)評(píng)估，(3)控制活動(dòng)，(4)信息和溝通，(5)監(jiān)測(cè)。COBIT:信息和相關(guān)技術(shù)的控制目標(biāo)COBIT是美國(guó)信息系統(tǒng)審計(jì)與控制協(xié)會(huì)綜合了多個(gè)標(biāo)準(zhǔn)，從控制和審計(jì)角度出發(fā)提出的一套衡量IT應(yīng)該滿足目標(biāo)、衡量指標(biāo)的體系。運(yùn)用該體系，可以提高IT與業(yè)務(wù)目標(biāo)的一致性，提高IT資源利用效率，并有效管理IT的風(fēng)險(xiǎn)。圖SEQ圖\*ARABIC3COBIT標(biāo)準(zhǔn)的框架COBIT的主要框架包含IT流程、IT資源、IT信息準(zhǔn)則。COBIT給出了在不同的IT生命周期的流程中，對(duì)不同的IT資源的關(guān)鍵控制點(diǎn)和需要達(dá)到的信息準(zhǔn)則目標(biāo)。COBIT框架允許管理層為信息技術(shù)環(huán)境的安全和控制實(shí)踐定基準(zhǔn)，允許信息技術(shù)服務(wù)的用戶確信存在充分的安全和控制，允許審計(jì)師對(duì)內(nèi)部控制作具體化的意見(jiàn)，并允許審計(jì)師商量信息技術(shù)和控制方面的事情。提供這個(gè)框架的主要?jiǎng)右蚴悄軌驗(yàn)樨灤┯谡麄€(gè)產(chǎn)業(yè)范圍內(nèi)的信息技術(shù)控制開(kāi)發(fā)清楚的政策和良好的實(shí)踐。COBIT對(duì)控制的定義適應(yīng)來(lái)自COSO的要求：即政策、程序和組織結(jié)構(gòu)的設(shè)計(jì)是對(duì)經(jīng)營(yíng)目標(biāo)可以實(shí)現(xiàn)以及意外事件能得到預(yù)防或檢查和糾正提出合理的保證。COBIT對(duì)信息技術(shù)控制目標(biāo)的定義適應(yīng)了SAC的要求：即通過(guò)在特定的信息技術(shù)活動(dòng)中實(shí)施控制程序，完成所要求的結(jié)果和目標(biāo)的陳述。COBIT強(qiáng)調(diào)了與經(jīng)營(yíng)過(guò)程有關(guān)的信息技術(shù)控制的作用和影響。COBIT將信息技術(shù)資源歸為數(shù)據(jù)、應(yīng)用系統(tǒng)、技術(shù)、設(shè)施和人力。數(shù)據(jù)得到了最廣意義的定義，它不僅包括編號(hào)、正文和日期，而且包括圖形和聲音。應(yīng)用程序可理解為人工程序和編程程序的總和。技術(shù)是指硬件、操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備等。設(shè)施是用于房間和支持信息系統(tǒng)的資源。人力是針對(duì)個(gè)人的技能以及計(jì)劃、組織、取得、傳送、支持和監(jiān)控信息系統(tǒng)和服務(wù)的能力。在對(duì)信息技術(shù)管理實(shí)踐的信息技術(shù)基礎(chǔ)設(shè)施庫(kù)（ITIL）分析的基礎(chǔ)上，英國(guó)的COBIT報(bào)告將信息技術(shù)過(guò)程分為四類，它們是（1）規(guī)劃和組織，（2）取得和實(shí)施，（3）傳送和支持，（4）監(jiān)測(cè)。這個(gè)自然的分類過(guò)程證實(shí)了組織結(jié)構(gòu)的責(zé)任范圍，并遵循了在任何信息技術(shù)環(huán)境下應(yīng)用于信息技術(shù)處理的管理周期或生命周期。這份報(bào)告舉例說(shuō)明了信息技術(shù)資源和四個(gè)信息技術(shù)過(guò)程范圍的關(guān)系，并列出了在四個(gè)范圍內(nèi)的34個(gè)單個(gè)的過(guò)程。COBIT為經(jīng)營(yíng)過(guò)程所有者提出了控制的框架。管理層被完全賦予對(duì)經(jīng)營(yíng)過(guò)程的所有責(zé)任和權(quán)力正日漸增多。COBIT包任內(nèi)部控制和信息技術(shù)控制目標(biāo)的定義、四個(gè)過(guò)程范圍以及34個(gè)高水平的控制陳述，271個(gè)控制目標(biāo)。ISO17799：信息安全管理實(shí)施細(xì)則ISO17799(BS7799)為目前國(guó)際上最知名的安全規(guī)范，BS7799是由英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)BritishStandardsIn-stitution于1995年提出，在2000年修訂改版并于當(dāng)年10月提交國(guó)際標(biāo)準(zhǔn)組織，國(guó)際標(biāo)準(zhǔn)組織于2001年2月正式將該標(biāo)準(zhǔn)轉(zhuǎn)化為國(guó)際標(biāo)準(zhǔn)。ISO17799(BS7799)得到世界范圍的關(guān)注，被認(rèn)為是主要的信息安全標(biāo)準(zhǔn)?，F(xiàn)在已經(jīng)為英國(guó)、澳大利亞、德國(guó)、芬蘭、印度、日本、中國(guó)香港特區(qū)以及臺(tái)灣省等29個(gè)國(guó)家和地區(qū)廣泛采用。BS7799廣泛涵蓋了所有的信息安全議題，如安全方針的制定、安全責(zé)任的歸屬、風(fēng)險(xiǎn)的評(píng)估、定義與強(qiáng)化安全參數(shù)及訪問(wèn)控制，甚至包含防病毒的相關(guān)策略等，適用于各種產(chǎn)業(yè)與組織。許多國(guó)家的政府機(jī)構(gòu)、銀行、保險(xiǎn)公司、電信及電力企業(yè)、網(wǎng)絡(luò)公司及跨國(guó)公司均已紛紛采用，并收到了良好的效果和回報(bào)。ISO17799:2005標(biāo)準(zhǔn)（即BS7799第一部分），是信息安全管理實(shí)施細(xì)則（CodeofPracticeforInformationSecurityManagement），其中包含11個(gè)主題，定義了133個(gè)安全控制。有10個(gè)以文獻(xiàn)形式體現(xiàn)各種控制主題，其范圍從來(lái)自第三方合同的風(fēng)險(xiǎn)識(shí)別，報(bào)告各種可能的安全事故到密碼管理系統(tǒng)和用戶培訓(xùn)。這十個(gè)章節(jié)和它們的客觀目標(biāo)在BS7799中第二部分中有詳細(xì)描述，大致可總結(jié)為：信息安全方針--為信息安全提供管理方向和保障；組織安全--建立組織內(nèi)的管理體系以便安全管理；資產(chǎn)歸類和控制--維護(hù)組織資產(chǎn)的適當(dāng)保護(hù)系統(tǒng)；人員安全--減少人為造成的風(fēng)險(xiǎn)；實(shí)物和環(huán)境安全--防止對(duì)關(guān)于IT服務(wù)的未經(jīng)許可的介入，損傷和干擾服務(wù)；通訊和操作管理--保證通訊和操作設(shè)備的正確和安全維護(hù)；訪問(wèn)控制--控制對(duì)商業(yè)信息的訪問(wèn)；系統(tǒng)開(kāi)發(fā)和維護(hù)--保證安全建造進(jìn)入安全系統(tǒng)；商業(yè)連續(xù)性管理--防止商業(yè)活動(dòng)中斷及保護(hù)關(guān)鍵商業(yè)過(guò)程不受重大失誤或?yàn)?zāi)難事故的影響；遵守--避免任何違反法令、法規(guī)、合同約定及其他安全要求的行為。PRINCE2PRINCE2（ProjectsInControlledEnvironments）是一種對(duì)項(xiàng)目管理的某些特定方面提供支持的方法。PRINCE2描述了一個(gè)項(xiàng)目如何被切分成一些可供管理的階段，以便高效地控制資源的使用和在整個(gè)項(xiàng)目周期執(zhí)行常規(guī)的監(jiān)督流程。PRINCE2的視野并不僅僅限于對(duì)具體項(xiàng)目的管理，還蓋了在組織范圍對(duì)項(xiàng)目的管理。各種標(biāo)準(zhǔn)之間的關(guān)系COBIT與ITIL應(yīng)該說(shuō)這兩個(gè)標(biāo)準(zhǔn)都是以業(yè)務(wù)為核心，而且驅(qū)動(dòng)和價(jià)值體現(xiàn)都是業(yè)務(wù)。COBIT重點(diǎn)關(guān)注IT的控制以及度量指標(biāo)，但是沒(méi)有告訴我們流程，ITIL重點(diǎn)是服務(wù)的流程，因此在管控領(lǐng)域，更多的是兩種的組合是使用，當(dāng)然也可以引入一些其他的專用標(biāo)準(zhǔn)，比如在安全方面，可以更多的使用ISO7799。圖SEQ圖\*ARABIC4各個(gè)標(biāo)準(zhǔn)之間的關(guān)系IT內(nèi)控體系對(duì)集團(tuán)企業(yè)經(jīng)營(yíng)管理的作用隨著企業(yè)規(guī)模的擴(kuò)張，集團(tuán)領(lǐng)導(dǎo)者管理半徑與管理深度增大，提高集團(tuán)的精細(xì)化管理和技術(shù)創(chuàng)新能力越來(lái)越突出地?cái)[在面前。于是，從集團(tuán)總部到事業(yè)部、各產(chǎn)業(yè)公司的逐級(jí)監(jiān)控管理問(wèn)題，跨行業(yè)發(fā)展帶來(lái)信息系統(tǒng)的兼容問(wèn)題，IT資源整合及協(xié)調(diào)問(wèn)題，總部及時(shí)監(jiān)控下屬公司的財(cái)務(wù)、運(yùn)營(yíng)問(wèn)題等，諸多問(wèn)題被提上日程。集團(tuán)企業(yè)常常有一大堆基礎(chǔ)架構(gòu)，并在這之上構(gòu)建了一系列的應(yīng)用系統(tǒng)，各種生產(chǎn)系統(tǒng)還有各種各樣運(yùn)營(yíng)系統(tǒng)數(shù)量非常龐大，在這之上支撐了多種多樣的業(yè)務(wù)流程，在這之上最終形成財(cái)務(wù)報(bào)告。通過(guò)IT內(nèi)控可以促使企業(yè)內(nèi)部的作業(yè)流程最大限度做到透明化、可控制、有效風(fēng)險(xiǎn)管理和欺詐防治，并且這些流程必須詳細(xì)記錄，乃至到可追查交易源頭。合理利用信息資源，促使集團(tuán)整體收益最大化信息化管控是通過(guò)對(duì)信息化工作過(guò)程的管理和控制來(lái)實(shí)現(xiàn)其工作目標(biāo)。在保持信息化戰(zhàn)略目標(biāo)與業(yè)務(wù)目標(biāo)一致、合理利用信息資源、控制信息化相關(guān)風(fēng)險(xiǎn)的前提下，建立信息化管控體系，促使集團(tuán)整體收益最大化。通過(guò)信息化管控體系對(duì)信息資源的管理職能進(jìn)行有效管理和對(duì)業(yè)務(wù)流程中的資源合理利用。結(jié)合公司實(shí)際情況，逐步統(tǒng)一信息系統(tǒng)規(guī)劃的原則、架構(gòu)、接口、數(shù)據(jù)、安全等重點(diǎn)問(wèn)題，實(shí)現(xiàn)本公司規(guī)劃與集團(tuán)公司規(guī)劃的互動(dòng)和相互補(bǔ)充。并在充分考慮支撐成本、支撐效果、風(fēng)險(xiǎn)規(guī)避等因素的基礎(chǔ)上，向以自我支撐為主、外包為輔的支撐方向發(fā)展，逐步建立一支高水平的、相對(duì)穩(wěn)定的信息化支撐隊(duì)伍，同時(shí)不斷提高自我支撐能力和支撐范圍。根據(jù)企業(yè)發(fā)展戰(zhàn)略方針，結(jié)合信息化發(fā)展現(xiàn)狀，成立專門的信息化工作部門負(fù)責(zé)信息化工作的統(tǒng)籌安排、協(xié)調(diào)和提出重大決策意見(jiàn)。規(guī)范信息化管理工作，開(kāi)展規(guī)范、有序的規(guī)劃工作，明確本公司信息系統(tǒng)的實(shí)施路線。從而將企業(yè)的業(yè)務(wù)目標(biāo)和信息化戰(zhàn)略目標(biāo)的信息需求和功能需求整合起來(lái)，保持信息化戰(zhàn)略目標(biāo)與業(yè)務(wù)目標(biāo)一致，形成總體的信息化管控體系框架和系統(tǒng)整體模型。完善集團(tuán)IT治理結(jié)構(gòu)，構(gòu)建現(xiàn)代企業(yè)制度IT控制是公司治理及IT治理必不可少的組成部分，因?yàn)榧瘓F(tuán)需要企業(yè)的審計(jì)系統(tǒng)來(lái)保證財(cái)務(wù)數(shù)據(jù)的完整性和對(duì)會(huì)計(jì)原則的遵循，因此首先也面臨著整合企業(yè)的內(nèi)部控制和管理信息系統(tǒng)這個(gè)大任務(wù)。IT內(nèi)控體系加大信息系統(tǒng)在總體控制方面的責(zé)任，在信息系統(tǒng)對(duì)管理流程的介入程度上，采取自上而下的基于風(fēng)險(xiǎn)管理的分配原則，盡量縮減成本，同時(shí)實(shí)現(xiàn)內(nèi)控的合理化。實(shí)現(xiàn)流程和控制的集中化，建立一個(gè)好的集中身份管理措施和授權(quán)措施，以及加強(qiáng)包括用戶身份、網(wǎng)絡(luò)安全、系統(tǒng)安全在內(nèi)的保護(hù)措施都是建立好的管理流程的要素，從而促進(jìn)IT治理的完善，確保IT控制符合公司內(nèi)部控制的要求。要實(shí)現(xiàn)有效的IT內(nèi)控，在制定目標(biāo)時(shí)，結(jié)合IT原則、架構(gòu)、IT基礎(chǔ)設(shè)施、IT商業(yè)應(yīng)用和IT投資綜合考慮，同時(shí)在組織上保障決策的制定和監(jiān)控，因此也會(huì)借助這些過(guò)程作為載體來(lái)構(gòu)建和完善現(xiàn)代企業(yè)制度。IT內(nèi)控通過(guò)確定公司的主要經(jīng)營(yíng)活動(dòng)以及與這些經(jīng)營(yíng)活動(dòng)相關(guān)的業(yè)務(wù)流程和活動(dòng)，明確集團(tuán)控制的范圍；通過(guò)界定工作范圍，定義具體的控制對(duì)象；通過(guò)對(duì)控制對(duì)象進(jìn)行風(fēng)險(xiǎn)分析、評(píng)估，決定每項(xiàng)風(fēng)險(xiǎn)的管理策略，制定企業(yè)具體的控制程序、控制目標(biāo)以及審計(jì)標(biāo)準(zhǔn)；通過(guò)對(duì)對(duì)現(xiàn)行的運(yùn)作進(jìn)行評(píng)估，實(shí)施變革以達(dá)到預(yù)定目標(biāo)；最后，評(píng)價(jià)控制措施的實(shí)施后果，加以鞏固或改進(jìn)。規(guī)避集團(tuán)企業(yè)風(fēng)險(xiǎn)，確保實(shí)現(xiàn)總體戰(zhàn)略目標(biāo)作為集團(tuán)企業(yè)，提升自身的IT內(nèi)部控制能力，就是要對(duì)風(fēng)險(xiǎn)進(jìn)行更有效的控制。通過(guò)風(fēng)險(xiǎn)管理方法規(guī)避企業(yè)發(fā)展過(guò)程中的信息化相關(guān)風(fēng)險(xiǎn)，在建立信息化管控體系的基礎(chǔ)上，進(jìn)行信息化能力評(píng)價(jià)的試行工作，確定能力指標(biāo)的現(xiàn)狀值；根據(jù)業(yè)務(wù)目標(biāo)，明確能力指標(biāo)的目標(biāo)值。同時(shí)，制定信息資源的保護(hù)級(jí)別，強(qiáng)調(diào)關(guān)鍵的信息技術(shù)資源，有效實(shí)施監(jiān)督控制和事故處理等方法。初步改變目前信息系統(tǒng)工程超期、信息化客戶需求沒(méi)有滿足、信息化平臺(tái)不支持業(yè)務(wù)應(yīng)用等現(xiàn)狀，進(jìn)而保證投資的回收并支持決策、改善管理效率。其作用不僅僅為了促進(jìn)企業(yè)內(nèi)控能力的改善，規(guī)避內(nèi)部的風(fēng)險(xiǎn)，而且將企業(yè)放入到整個(gè)行業(yè)中進(jìn)行綜合的分析，通過(guò)識(shí)別整個(gè)外在環(huán)境，規(guī)避行業(yè)中存在的風(fēng)險(xiǎn)，當(dāng)然風(fēng)險(xiǎn)控制只是IT內(nèi)控中的一個(gè)子集，企業(yè)的信息化建設(shè)是為公司的戰(zhàn)略和業(yè)務(wù)發(fā)展服務(wù)的，因此可以通過(guò)IT內(nèi)控發(fā)現(xiàn)企業(yè)中存在的問(wèn)題，保持IT與業(yè)務(wù)目標(biāo)一致，推動(dòng)業(yè)務(wù)發(fā)展，促使收益最大化，以確保組織信息系統(tǒng)的發(fā)展能夠始終沿著正確的方向進(jìn)行，確保企業(yè)的總體戰(zhàn)略目標(biāo)的實(shí)現(xiàn)。完善IT績(jī)效考核體制，提高企業(yè)IT管理效能信息化管控“不能度量就無(wú)法管理”，尤其是業(yè)務(wù)層和董事層的責(zé)任，如果缺少可靠的度量標(biāo)準(zhǔn)和用于衡量?jī)r(jià)值、績(jī)效及行業(yè)可比性的基準(zhǔn)，就不能有效地發(fā)揮作用。因此，完善企業(yè)IT績(jī)效考核體系，保證集團(tuán)進(jìn)行IT高效管理的保障。通過(guò)IT內(nèi)控體系建設(shè)，幫助企業(yè)建立了完善的IT績(jī)效考核體制，在對(duì)各類IT管理流程進(jìn)行嚴(yán)格控制的過(guò)程中，應(yīng)用符合企業(yè)管理特點(diǎn)的KPI指標(biāo)，對(duì)執(zhí)行的效果進(jìn)行量化、評(píng)估。并將量化結(jié)果作為檢驗(yàn)IT管理績(jī)效的衡量基準(zhǔn)，發(fā)現(xiàn)管理中存在的潛在問(wèn)題，及時(shí)加以解決，進(jìn)而提高企業(yè)IT管理效能。

集團(tuán)IT內(nèi)控建設(shè)現(xiàn)狀研究國(guó)內(nèi)集團(tuán)IT內(nèi)控概況通過(guò)對(duì)大型集團(tuán)企業(yè)高管的調(diào)查中我們發(fā)現(xiàn)，81%的公司認(rèn)為需要更有效地將IT治理和業(yè)務(wù)戰(zhàn)略結(jié)合起來(lái)。78%的認(rèn)為要改進(jìn)IT的價(jià)值提升，還有64%的人認(rèn)為要改進(jìn)和強(qiáng)化風(fēng)險(xiǎn)管理和規(guī)劃，通過(guò)這三個(gè)數(shù)字可以看出，IT內(nèi)控的正規(guī)化前景還是被看好的。目前我們國(guó)內(nèi)企業(yè)會(huì)將其收入的4.2%多用于IT投資，這個(gè)比例目前還在上升。這也同時(shí)意味著，公司將每年總資本投資額的50％用于IT。隨著IT越來(lái)越重要和普遍，也越來(lái)越要求公司對(duì)此進(jìn)行管理和控制，以保證IT能夠創(chuàng)造相應(yīng)的價(jià)值。而在許多公司，對(duì)IT進(jìn)行集中管理已經(jīng)變得不可能或者不可取了。為了解決這個(gè)問(wèn)題，許多公司正在建立或者改革其IT內(nèi)控結(jié)構(gòu)，以鼓勵(lì)那些促使公司達(dá)到業(yè)務(wù)績(jī)效目標(biāo)的行為。IT原則方面：IT原則是其他項(xiàng)IT決策的基礎(chǔ)，指明所有決策的方向。如果原則不清楚，其他決策的結(jié)合不可能有意義。IT投資所要達(dá)到的戰(zhàn)略目標(biāo)的清晰程度，以及企業(yè)長(zhǎng)期信息技術(shù)建設(shè)的規(guī)劃狀況不夠明晰的企業(yè)比例較大，占40％左右。這是我國(guó)企業(yè)信息技術(shù)應(yīng)用狀況不理想的決定性原因。IT架構(gòu)方面：企業(yè)標(biāo)準(zhǔn)化編碼實(shí)現(xiàn)程度大部分著手進(jìn)行或已經(jīng)實(shí)現(xiàn)，而且半數(shù)以上的企業(yè)實(shí)現(xiàn)了綜合方式的業(yè)務(wù)運(yùn)作與流程，實(shí)踐效果比較好。IT基礎(chǔ)設(shè)施方面：信息安全防護(hù)系統(tǒng)的完善狀況以及信息技術(shù)管理的完善狀況較令人滿意，綜合IT架構(gòu)的應(yīng)用情況，表明管理者較為重視信息技術(shù)的硬件設(shè)施及系統(tǒng)開(kāi)發(fā)應(yīng)用和相應(yīng)設(shè)備人員的管理，但30％的企業(yè)沒(méi)有專門的信息技術(shù)培訓(xùn)，從側(cè)面反映了企業(yè)不重視員工對(duì)信息技術(shù)的掌握能力，有可能導(dǎo)致企業(yè)IT能力無(wú)法持續(xù)增長(zhǎng)。業(yè)務(wù)應(yīng)用需要方面：投資IT的目的是為了打破現(xiàn)有流程，實(shí)現(xiàn)某種突破創(chuàng)，但約20%的企業(yè)很大程度上不了解本企業(yè)的業(yè)務(wù)應(yīng)用需要，IT投資帶有極大的盲目性。IT投資及優(yōu)先權(quán)方面：90％的企業(yè)綜合考慮各個(gè)部門的需要，組合分配IT投資資金，這樣做可以全面提高企業(yè)的信息化水平，但不排除各個(gè)部門相互爭(zhēng)奪IT資金，決策者為求平衡出此下策的可能。在對(duì)IT總體投資額度的確定方面呈現(xiàn)比較極端化的趨勢(shì)，一些企業(yè)從未參照行業(yè)標(biāo)準(zhǔn)，另一些企業(yè)初始和追加投資均參照行業(yè)標(biāo)準(zhǔn)，一定程度上反映了我國(guó)企業(yè)信息化水平的參差不齊。50％的企業(yè)IT投資時(shí)優(yōu)先考慮購(gòu)買外部服務(wù)商提供的新系統(tǒng)，較少自行研制開(kāi)發(fā)，同時(shí)高管層將外包視為解決IT問(wèn)題的快捷途徑，更愿意將IT業(yè)務(wù)交由外部服務(wù)供應(yīng)商負(fù)責(zé)，這反映了我國(guó)企業(yè)信息化處于不成熟期，但同時(shí)也表明企業(yè)對(duì)信息化的認(rèn)識(shí)開(kāi)始提高，他們認(rèn)識(shí)到全部自己搞信息化的無(wú)必要性，所以會(huì)選擇外包，不過(guò)完全由別人來(lái)開(kāi)發(fā)可能對(duì)企業(yè)的核心業(yè)務(wù)不利，因此，外包企業(yè)要適當(dāng)?shù)卦黾幼陨淼男畔⒓夹g(shù)能力。內(nèi)控意識(shí)方面：我國(guó)企業(yè)的IT內(nèi)控意識(shí)相對(duì)較低，對(duì)IT的認(rèn)識(shí)還停留在技術(shù)和管理層面，直接參與決策的人數(shù)少，對(duì)自身承擔(dān)的IT決策權(quán)力與責(zé)任的明晰程度低。所以要發(fā)揮IT內(nèi)控能力，增強(qiáng)企業(yè)競(jìng)爭(zhēng)優(yōu)勢(shì)，必須著力加強(qiáng)管理者內(nèi)控意識(shí)的培養(yǎng)。IT內(nèi)控能力與內(nèi)控有效性：所謂內(nèi)控能力是內(nèi)控主體應(yīng)用內(nèi)控工具對(duì)內(nèi)控客體進(jìn)行內(nèi)控的能力。具體分為三類：結(jié)構(gòu)能力——構(gòu)建有效的IT內(nèi)控主體負(fù)責(zé)信息技術(shù)決策；協(xié)調(diào)能力——將戰(zhàn)略性IT決策的制定、IT監(jiān)督程序固定化和制度化；關(guān)系能力——企業(yè)高層管理者、IT管理者與業(yè)務(wù)主管之間活躍的參與合作的關(guān)系以及IT決策的溝通機(jī)制。IT內(nèi)控能力方面：目前對(duì)于集團(tuán)企業(yè)IT內(nèi)控能力，結(jié)構(gòu)能力和關(guān)系能力企業(yè)應(yīng)用比例較高，說(shuō)明我國(guó)企業(yè)在有意識(shí)地加強(qiáng)該方面能力的建設(shè)。企業(yè)雖然重視結(jié)構(gòu)能力和關(guān)系能力，但其作用效果并不好，不能夠發(fā)揮其應(yīng)有的提高企業(yè)決策科學(xué)性和加強(qiáng)學(xué)習(xí)共享及溝通的作用，這兩項(xiàng)能力建設(shè)有待進(jìn)一步完善。協(xié)調(diào)能力的建設(shè)是保證IT內(nèi)控實(shí)現(xiàn)內(nèi)控目標(biāo)和企業(yè)目標(biāo)的重要手段。它的實(shí)現(xiàn)程度代表了企業(yè)的IT決策和業(yè)務(wù)的融合程度以及IT戰(zhàn)略投資和公司戰(zhàn)略目標(biāo)的結(jié)合程度。但采用投資批準(zhǔn)程序和服務(wù)水平協(xié)議的企業(yè)比例不足一半，但在國(guó)外的集團(tuán)企業(yè)中，此項(xiàng)能力的應(yīng)用比例平均達(dá)到了80％以上。與國(guó)外相比，我國(guó)企業(yè)還存在較大差距，我國(guó)企業(yè)應(yīng)重點(diǎn)加強(qiáng)協(xié)調(diào)能力的建設(shè)。內(nèi)控有效性分析：60％以上的企業(yè)認(rèn)為信息技術(shù)有效性的發(fā)揮在平均分以下，普遍認(rèn)為自身IT水平較低。與發(fā)達(dá)國(guó)家相比我國(guó)企業(yè)IT內(nèi)控的績(jī)效較差；另一方面，我國(guó)企業(yè)間IT內(nèi)控的績(jī)效也存在較大差距，發(fā)展不平衡。集團(tuán)IT內(nèi)控存在的問(wèn)題2.2.1集團(tuán)企業(yè)IT內(nèi)控建設(shè)走入的三大主要誤區(qū)總的來(lái)說(shuō)，企業(yè)對(duì)待IT內(nèi)控的態(tài)度存在幾個(gè)誤區(qū)：誤區(qū)一，純粹從硬件和軟件角度來(lái)看IT，而不是從應(yīng)用層面去考慮。誤區(qū)二，企業(yè)追求獨(dú)立核算的管理方式，從某種程度上也導(dǎo)致很多企業(yè)的下屬部門調(diào)配過(guò)分分明。過(guò)去國(guó)內(nèi)很多大企業(yè)在管理上提倡內(nèi)部承包，結(jié)果企業(yè)沒(méi)有了內(nèi)部整合的力量，由此出現(xiàn)了信息孤島。為什么中國(guó)現(xiàn)在很多企業(yè)出現(xiàn)內(nèi)耗，很重要的原因是內(nèi)部核算過(guò)于清楚。誤區(qū)三，信息部門之間，包括企業(yè)的高層領(lǐng)導(dǎo)，對(duì)信息的理解度還比較低，也沒(méi)有很大的耐心，所以在董事會(huì)里面，基本上很少談到IT是做什么的。董事們談兼并收購(gòu)，談產(chǎn)品開(kāi)發(fā)，談融資，就不談IT內(nèi)控。事實(shí)上，國(guó)外的調(diào)查也顯示，只有三分之一的董事會(huì)會(huì)談及IT內(nèi)控的問(wèn)題。從內(nèi)控結(jié)構(gòu)上來(lái)