吉宁博士观点
多方合力化解信息系统管理内控难题
究竟怎样做才算是合规?需要对IT进行哪些改造和完善?面对企业的重重疑惑,IT厂商带来了一系列有针对性的解决方案。
怎样做才算是合规?需要对IT进行哪些改造和完善?这是很多企业目前共同的困惑。
近期,在《计算机世界》报社主办的2009年度企业内控高峰论坛上,来自各行业的众多用户与IT企业,就企业内控的相关问题展开了热烈讨论。
企业部署内控困惑重重
继《企业内部控制基本规范》公布后,《企业内部控制评价指引》、《企业内部控制应用指引》以及《企业内部控制鉴证指引》三个更具体的指引文件也进入征求意见中。但是,实施细则的缺失、合规衡量标准的不明,让企业陷入了迷茫。
中国化工信息中心副主任李中指出,《基本规范》引起了很多化工生产企业的关注,但是问题也很多。“具体的实施细则还没有出台,每个企业都有自己的理解,相关厂商也推出了很多方案,但到底谁才是合规的呢?”李中表示。
这些细节问题也给企业具体的法规遵从工作造成了障碍,一些企业甚至呼吁,能够有一些类似会计师事务所的机构明确地告诉他们,一个合规的财务与风险管理体系应该是什么样的。
中国石油化工股份有限公司信息系统管理部副总工程师吴正宏说,完善内控对企业的IT系统也是一大挑战,企业设计IT系统时不仅要考虑方便、可用,还要考虑符合法规的要求。
但如何建立科学有效的信息系统管理内控呢?中国煤炭工业协会信息化分会秘书长程炜认为,内控信息系统的建立不能简单照搬手工处理的方式,而应该首先建立科学的流程,再用IT手段将其固化下来。
国家会计学院教务部副主任郑洪涛则指出,企业内部控制给IT治理带来了四大机遇与五大挑战:改善企业控制环境、提升运行效率、优化信息系统、建立内部信息共享机制等,是其机遇。挑战则表现在:第一、IT的应用改变了授权方式,由原来的签章变成了口令,一旦口令被窃取,便会带来巨大隐患;第二、IT手段的应用使得内部控制程序化,一旦程序的bug不能被及时发现,就可能使同一种错误反复发生;第三、IT手段使得原始凭证数字化,会计信息更易于被篡改或伪造了;第四、网络环境的开放性给会计信息系统的内部控制带来了许多新问题,加剧了会计信息失真的风险;第五、IT体系本身也面临着病毒感染、黑客入侵、违规操作、非法拷贝带来的风险。
厂商闻风而动强化合规
尽管《基本规范》的规定比较笼统,却给IT厂商带来了不少的商机。众多IT厂商闻风而动,纷纷强化自己解决方案的合规性。
比蒙新帆是一家专注于通信、安全和应用综合解决方案的厂商,来自比蒙新帆的王升平认为,企业的主要任务就是将内控落地。显然,这是单一产品或单一功能无法解决的,需要多种手段综合应用。
RSA、EMC信息安全部大中华区高级信息系统管理内控安全构架师司马丽维指出,信息安全的理念也在不断变化。“五六年前我们说网络安全,后来提的是信息安全,最近几年,信息安全已经上升到IT风险管理的高度”。
一项调查显示,只有不到1/5的公司认为他们的数据得到了有效保护。如今,对企业信息技术主管来说,他们不仅要保护敏感数据不被非法访问和使用,还要考虑到如何符合审计和相关法规的要求。
RSA几十种安全产品中,有两款是与内部控制相关的。一款是enVision合规性管理解决方案,具有日志分析和风险监控的功能;另一款产品是RSADLP防数据丢失、泄露解决方案。
另一个引起IT企业关注的商机则是存档解决方案。《基本规范》第四十七条指出,“企业应当以书面或者其他适当的形式,妥善保存内部控制建立与实施过程中的相关记录或者资料,确保内部控制建立与实施过程的可验证性。”
这就意味着,企业相关的记录必须是固定不变的、具有极高的真实性和可靠性。日立数据系统公司资深解决方案顾问卢向东指出,日立的数据动态归档解决方案,能帮助企业真实准确地记录控制过程,并对这些信息进行快速完整的访问和检索。
而2004年就进入内控领域的慧点科技认为,企业用户完善内控一定要明确三件事:第一、业务部门有什么内控和合规性的要求;第二、企业60%的管理要求会落实到IT上,这些要求是否真正落实了;第三、按照合规要求改造IT系统后,还需要验证实际运行数据与企业要求之间的匹配度。
“内控的未来是没内控,这是我们的希望。”慧点科技公司副董事长、风险管理与控制事业部总经理韩国权说。
