企业内控指引发布，公司如何未雨绸缪？

企业内控与IT
 
    严格意义上的企业内控要求源于美国安然、世通等公司财务欺诈丑闻，为了避免类似事件再次发生，最大限度保护投资者利益，2002年美国颁布SOX（萨班斯）法案，明确规定所有在美公司都必须加强和建立有效的内部控制框架，以确保公司遵守证券法律和提高公司披露信息的准确性和可靠性。要求公司针对产生财务交易的所有作业流程，都做到能见度、透明度、控制、通讯、风险管理和欺诈防范，且这些流程必须详细记录到可追查交易源头的地步。
 
    企业内部控制按工作范围分类，可以分为内部管理控制和内部会计控制。内部管理控制，以提高公司的经营效率和效益为目的，通过检查和改进有关的管理政策和程序，有效控制公司运行，实现公司资产的保值增值。内部会计控制，以保护财产物资和确保会计资料可靠性为目的，通过适当的业务权限设置和授权、准确的会计记录、及时的实物盘点以及公允的报告程序和方法，保证公司经营和财务信息的可靠，保障公司资产的安全。
 
    由于现代企业运营都普遍依靠IT，特别是财务报告更需IT支撑，因而该法案还规定企业必须建立一个IT基础设施，以确保所有的记录和数据不会被毁灭、丢失、未经授权的变更以及错误的使用。实施企业内控，就必须进行IT内控，IT内控是企业内控不可或缺的重要部分。
 
    IT内控包括：IT应用控制(IT Application Control)和IT一般控制(IT Generally Control)。IT应用控制，是指对业务流程所依赖的IT系统进行某些控制，其中特别是针对支持财务报告的特定IT应用。IT一般控制，是指对于支撑公司运作的IT基础技术平台进行有效管理控制。可见，IT一般控制是基础，而要进行IT一般控制就必须进行IT资产管理。
 
    IT资产管理是IT内控的基本要求
 
    企业IT资产通常包括IT基础技术中的计算机及其外设、网络设备及相应的配件、耗材、工具和软件等，资产形式分为自有、租借或虚拟等。
 
    内控要求下，为了应对内部，企业必须掌握准确的IT资产数据，IT资产清查和盘点成为公司每年的必备工作。同时，IT资产往往携带企业数据，因而必须对其做好管理，以防止由于资产丢失或不合理的报废流程造成企业信息泄漏，确保相关法律的合规性。据报道，去年6月份，汇丰银行就因为遗失了电脑硬盘和邮寄非加密数据，被英国监管当局罚款320万英镑。
 
    因而，若不能保证IT资产的数据准确和安全合规，企业对IT进行有效的内部控制就无从谈起，IT资产管理是IT内控的基本要求。
 
    如何做好IT资产管理
 
    然而IT资产种类繁多，数量庞大，且可能散布各地，管理起来千头万绪，无从下手，那么CIO 怎样才能高质量低投入的管好它们，以满足企业内控要求呢？
 
    对此，已为数十家世界500强跨国公司提供10余年IT运营服务的金道公司认为，良好的IT资产管理结果必须满足以下三要素：
 
    首先要有清晰的管理流程，制定好规范，对IT资产的全生命周期进行记录和监管，必须涵盖规划、采购、分发、维护、变更、报废等各个环节。
 
    其次要有优质的资产管理软件工具，具备自动发现、变更管理、资产追踪、数据分析等功能，同时保证各个相关系统（如资产数据库系统、自动发现系统、财务系统等）产生的不同信息能互相交换，能随时对各种资产数据进行比对，以消除信息孤岛，发现偏差及时更正，确保资产数据的准确性。
 
    最后，也最为重要的，是要有严格的执行保障措施。其中包括专业而有经验的执行人员，以及相应的质量保证和控制制度，确保流程、工具真正发挥作用。
 
    金道高级副总裁王勇先生介绍说：“从我们服务的多家500强企业客户的实际经验来看，1到2年内即可使企业IT资产准确率达99%以上，同时能大大节省企业为满足内控要求而需要在IT资产管理方面投入的人力、物力、财力及时间，投资回报率可高达500%。”