首页 > 财务管理 > 内部控制与

企业内控指引发布,公司如何未雨绸缪?

企业内控与IT
 
    严格意义上的企业内控要求源于美国安然、世通等公司财务欺诈丑闻,为了避免类似事件再次发生,最大限度保护投资者利益,2002年美国颁布SOX(萨班斯)法案,明确规定所有在美公司都必须加强和建立有效的内部控制框架,以确保公司遵守证券法律和提高公司披露信息的准确性和可靠性。要求公司针对产生财务交易的所有作业流程,都做到能见度、透明度、控制、通讯、风险管理和欺诈防范,且这些流程必须详细记录到可追查交易源头的地步。
 
    企业内部控制按工作范围分类,可以分为内部管理控制和内部会计控制。内部管理控制,以提高公司的经营效率和效益为目的,通过检查和改进有关的管理政策和程序,有效控制公司运行,实现公司资产的保值增值。内部会计控制,以保护财产物资和确保会计资料可靠性为目的,通过适当的业务权限设置和授权、准确的会计记录、及时的实物盘点以及公允的报告程序和方法,保证公司经营和财务信息的可靠,保障公司资产的安全。
 
    由于现代企业运营都普遍依靠IT,特别是财务报告更需IT支撑,因而该法案还规定企业必须建立一个IT基础设施,以确保所有的记录和数据不会被毁灭、丢失、未经授权的变更以及错误的使用。实施企业内控,就必须进行IT内控,IT内控是企业内控不可或缺的重要部分。
 
    IT内控包括:IT应用控制(IT Application Control)和IT一般控制(IT Generally Control)。IT应用控制,是指对业务流程所依赖的IT系统进行某些控制,其中特别是针对支持财务报告的特定IT应用。IT一般控制,是指对于支撑公司运作的IT基础技术平台进行有效管理控制。可见,IT一般控制是基础,而要进行IT一般控制就必须进行IT资产管理。
 
    IT资产管理是IT内控的基本要求
 
    企业IT资产通常包括IT基础技术中的计算机及其外设、网络设备及相应的配件、耗材、工具和软件等,资产形式分为自有、租借或虚拟等。
 
    内控要求下,为了应对内部,企业必须掌握准确的IT资产数据,IT资产清查和盘点成为公司每年的必备工作。同时,IT资产往往携带企业数据,因而必须对其做好管理,以防止由于资产丢失或不合理的报废流程造成企业信息泄漏,确保相关法律的合规性。据报道,去年6月份,汇丰银行就因为遗失了电脑硬盘和邮寄非加密数据,被英国监管当局罚款320万英镑。
 
    因而,若不能保证IT资产的数据准确和安全合规,企业对IT进行有效的内部控制就无从谈起,IT资产管理是IT内控的基本要求。
 
    如何做好IT资产管理
 
    然而IT资产种类繁多,数量庞大,且可能散布各地,管理起来千头万绪,无从下手,那么CIO 怎样才能高质量低投入的管好它们,以满足企业内控要求呢?
 
    对此,已为数十家世界500强跨国公司提供10余年IT运营服务的金道公司认为,良好的IT资产管理结果必须满足以下三要素:
 
    首先要有清晰的管理流程,制定好规范,对IT资产的全生命周期进行记录和监管,必须涵盖规划、采购、分发、维护、变更、报废等各个环节。
 
    其次要有优质的资产管理软件工具,具备自动发现、变更管理、资产追踪、数据分析等功能,同时保证各个相关系统(如资产数据库系统、自动发现系统、财务系统等)产生的不同信息能互相交换,能随时对各种资产数据进行比对,以消除信息孤岛,发现偏差及时更正,确保资产数据的准确性。
 
    最后,也最为重要的,是要有严格的执行保障措施。其中包括专业而有经验的执行人员,以及相应的质量保证和控制制度,确保流程、工具真正发挥作用。
 
    金道高级副总裁王勇先生介绍说:“从我们服务的多家500强企业客户的实际经验来看,1到2年内即可使企业IT资产准确率达99%以上,同时能大大节省企业为满足内控要求而需要在IT资产管理方面投入的人力、物力、财力及时间,投资回报率可高达500%。”
 

编辑推荐:
{dede:field.title/}

推荐