大云網新技術電動汽車正文

多方合力化解IT內控難題

2014-11-08 22:07:42 大云網　點擊量：評論 (0)

　怎樣做才算是合規？需要對IT進行哪些改造和完善？這是很多企業目前共同的困惑。近期，在《計算機世界》報社主辦的2009年度企業內控高峰論壇上，來自各行業的眾多用戶與IT企業，就企業內控的相關問題展開了熱烈

　怎樣做才算是合規？需要對IT進行哪些改造和完善？這是很多企業目前共同的困惑。近期，在《計算機世界》報社主辦的2009年度企業內控高峰論壇上，來自各行業的眾多用戶與IT企業，就企業內控的相關問題展開了熱烈討論。

　　企業部署內控困惑重重

　　繼《企業內部控制基本規范》公布后，《企業內部控制評價指引》、《企業內部控制應用指引》以及《企業內部控制鑒證指引》三個更具體的指引文件也進入征求意見中。但是，實施細則的缺失、合規衡量標準的不明，讓企業陷入了迷茫。

　　中國化工信息中心副主任李中指出，《基本規范》引起了很多化工生產企業的關注，但是問題也很多。“具體的實施細則還沒有出臺，每個企業都有自己的理解，相關廠商也推出了很多方案，但到底誰才是合規的呢？”李中表示。

　　這些細節問題也給企業具體的法規遵從工作造成了障礙，一些企業甚至呼吁，能夠有一些類似會計師事務所的機構明確地告訴他們，一個合規的財務與風險管理體系應該是什么樣的。

　　中國石油化工股份有限公司信息系統管理部副總工程師吳正宏說，完善內控對企業的IT系統也是一大挑戰，企業設計IT系統時不僅要考慮方便、可用，還要考慮符合法規的要求。

　　但如何建立科學有效的內控信息系統呢？中國煤炭工業協會信息化分會秘書長程煒認為，內控信息系統的建立不能簡單照搬手工處理的方式，而應該首先建立科學的流程，再用IT手段將其固化下來。

　　國家會計學院教務部副主任鄭洪濤則指出，企業內部控制給IT治理帶來了四大機遇與五大挑戰: 改善企業控制環境、提高運行效率、優化信息系統、建立內部信息共享機制等，是其機遇。挑戰則表現在: 第一、IT的應用改變了授權方式，由原來的簽章變成了口令，一旦口令被竊取，便會帶來巨大隱患；第二、IT手段的應用使得內部控制程序化，一旦程序的bug不能被及時發現，就可能使同一種錯誤反復發生; 第三、IT手段使得原始憑證數字化，會計信息更易于被篡改或偽造了; 第四、網絡環境的開放性給會計信息系統的內部控制帶來了許多新問題，加劇了會計信息失真的風險; 第五、IT體系本身也面臨著病毒感染、黑客入侵、違規操作、非法拷貝帶來的風險。

　　廠商聞風而動強化合規

　　盡管《基本規范》的規定比較籠統，卻給IT廠商帶來了不少的商機。眾多IT廠商聞風而動，紛紛強化自己解決方案的合規性。

　　比蒙新帆是一家專注于通信、安全和應用綜合解決方案的廠商，來自比蒙新帆的王升平認為，企業的主要任務就是將內控落地。顯然，這是單一產品或單一功能無法解決的，需要多種手段綜合應用。

　　RSA、EMC信息安全部大中華區高級信息安全系統構架師司馬麗維指出，信息安全的理念也在不斷變化。“五六年前我們說網絡安全，后來提的是信息安全，最近幾年，信息安全已經上升到IT風險管理的高度”。

　　一項調查顯示，只有不到1/5的公司認為他們的數據得到了有效保護。如今，對企業信息技術主管來說，他們不僅要保護敏感數據不被非法訪問和使用，還要考慮到如何符合審計和相關法規的要求。

　　RSA幾十種安全產品中，有兩款是與內部控制相關的。一款是enVision 合規性管理解決方案，具有日志分析和風險監控的功能; 另一款產品是RSA DLP 防數據丟失、泄露解決方案。

　　另一個引起IT企業關注的商機則是存檔解決方案。《基本規范》第四十七條指出，“企業應當以書面或者其他適當的形式，妥善保存內部控制建立與實施過程中的相關記錄或者資料，確保內部控制建立與實施過程的可驗證性。”

　　這就意味著，企業相關的記錄必須是固定不變的、具有極高的真實性和可靠性。日立數據系統公司資深解決方案顧問盧向東指出，日立的數據動態歸檔解決方案，能幫助企業真實準確地記錄控制過程，并對這些信息進行快速完整的訪問和檢索。

　　而2004年就進入內控領域的慧點科技認為，企業用戶完善內控一定要明確三件事：第一、業務部門有什么內控和合規性的要求; 第二、企業60%的管理要求會落實到IT上，這些要求是否真正落實了；第三、按照合規要求改造IT系統后，還需要驗證實際運行數據與企業要求之間的匹配度。

　　“內控的未來是沒內控，這是我們的希望。”慧點科技公司副總裁、風險管理與控制事業部總經理韓國權說。