2009年7月1日,由財政部�、證監(jiān)會、審計署����、銀監(jiān)會、保監(jiān)會聯(lián)合發(fā)布的《企業(yè)內(nèi)部控制基本規(guī)范》在上市公司范圍內(nèi)開始施行���。自此��,中國的資本市場�����、境內(nèi)的各類企業(yè)���,有了一個統(tǒng)一標準的、符合中國國情的企業(yè)內(nèi)部控制規(guī)范�����,企業(yè)���、銀行���、投資者等多方利益有了進一步保障的可能。
回首2002年里�,美國的安然公司、全球通訊公司��、世界通訊公司�、施樂公司等巨頭紛紛爆發(fā)出財務假賬丑聞,令業(yè)界人士及美國政府頗為震動,造成美國股票市場持續(xù)下跌�����,有媒體稱:“這是真正的資本主義危機的來臨����。”對此����,政府當局于2002年7月份出臺了一項經(jīng)典永恒的改革法案——薩班斯法案,該法案曾被美國總統(tǒng)布什稱為“自羅斯?��?偨y(tǒng)以來美國商業(yè)界影響最為深遠的改革法案”����,由此開啟了內(nèi)部控制在企業(yè)應用實施的時代浪潮�。
如今,中國版的“薩班斯法案”(SOX法案)即將實施�,社會各界人士紛紛于此表示了高度的關(guān)注,信息技術(shù)再一次被放到了改革開放的風口浪尖���,幫助企業(yè)提升運營的穩(wěn)定性�����、安全性和效率性����?!镀髽I(yè)內(nèi)部控制基本規(guī)范》明確規(guī)范了企業(yè)內(nèi)部控制包含的五要素框架:
內(nèi)部環(huán)境�。內(nèi)部環(huán)境主要包括治理結(jié)構(gòu)、組織機構(gòu)設(shè)置與權(quán)責分配����、企業(yè)文化、人力資源政策����、內(nèi)部審計機構(gòu)設(shè)置����、反舞弊機制幾大方面��。
風險評估���。風險評估���,是指及時識別、科學分析影響企業(yè)內(nèi)部控制目標實現(xiàn)的各種不確定因素并采取應對策略的過程��。風險評估一般應當按照目標設(shè)定���、風險識別、風險分析�、風險應對等程序進行����。
控制措施??刂拼胧?����,是指企業(yè)根據(jù)風險評估結(jié)果,結(jié)合風險應對策略���,確保內(nèi)部控制目標得以實現(xiàn)的方法和手段�。
信息與溝通。信息與溝通是及時��、準確、完整地收集與企業(yè)經(jīng)營管理相關(guān)的各種信息����,并使這些信息以適當?shù)姆绞皆谄髽I(yè)有關(guān)層級之間進行及時傳遞��、有效溝通和正確應用的過程,是實施內(nèi)部控制的重要條件����。信息與溝通主要包括信息的收集機制及在企業(yè)內(nèi)部和與企業(yè)外部有關(guān)方面的溝通機制等。
監(jiān)督檢查�。監(jiān)督檢查是企業(yè)對其內(nèi)部控制的健全性、合理性和有效性進行監(jiān)督檢查與評估��,形成書面報告并作出相應處理的過程�,是實施內(nèi)部控制的重要保證。
在內(nèi)部控制基本規(guī)范的五大框架下���,IT技術(shù)廣范圍�����、深層次地參與到整個流程中來�����,IT管理�、IT治理成為必要的步驟和目標。例如�����,在控制措施方面,IT控制措施既包括到防火墻��、防病毒����、入侵檢測����、身份管理���、權(quán)限管理等方面的技術(shù)控制措施����,也包括到開發(fā)管理�����、項目管理、變更管理、安全管理�、運營管理�、職責分離,授權(quán)審批在內(nèi)的制度控制措施����。
配合薩班斯法案的實施�����,COBIT(直譯為信息及相關(guān)技術(shù)的控制目標)成為業(yè)界最為先進���、最權(quán)威的開放性標準�����,不僅引導企業(yè)更好地利用信息資源�����,更是幫助企業(yè)控制信息風險����。
在中國版《企業(yè)內(nèi)部控制基本規(guī)范》出臺之前���,歐美日等發(fā)達國家早已走在前面�����,而且進而影響到在歐美證券交易所上市的中國公司,以及承接歐美軟件等服務外包業(yè)務的中國企業(yè)。
其中一個鮮明的案例來源于國內(nèi)知名IT巨頭也是最大的軟件外包企業(yè),該企業(yè)以先于同行的步伐����,從北京環(huán)宇通軟信息技術(shù)有限公司引進了一套性能完備的超杰IT管理系統(tǒng)(Hyges ITMS v2.0),該軟件基于國際標準的COBIT框架而研發(fā),從合理分配IT資源、建立穩(wěn)定安全的IT環(huán)境的高度�,加強了在整個軟件業(yè)務過程中的內(nèi)部控制���,既滿足了上市公司內(nèi)部控制的需要�����,也提高了軟件外包業(yè)務的客戶對于外包過程中信息安全的信任度和滿意度�����。
而之所以超杰IT管理系統(tǒng)能被作為IT產(chǎn)業(yè)同行的國內(nèi)最大的軟件企業(yè)選中�����,很大程度上是源于超杰IT管理系統(tǒng)自身的特點:一方面����,超杰IT管理系統(tǒng)能夠監(jiān)督內(nèi)部IT資源���、IT狀態(tài)���,并能自動查詢��、分析相關(guān)的IT工作;另一方面,也提供了功能強大的桌面管理�����、行為監(jiān)控��、遠程控制等方面的功能�。
基于國外企業(yè)對于內(nèi)部控制的重視程度,以及對于IT管理內(nèi)控軟件的需求�,環(huán)宇通軟更進一步走出國門���,和在日本銀行業(yè)信息化領(lǐng)域有領(lǐng)導者地位的日本昭榮科技株式會社以及專門從事IT服務外包業(yè)務的誠志信息科技有限公司一起�����,共同定制超杰IT 管理系統(tǒng)日文版����,推向日本銀行業(yè)市場���,助力日本銀行遵從J-SOX的要求�,加強內(nèi)部控制�。
近幾年來,境內(nèi)企業(yè)也越來越重視IT管理的內(nèi)控����。比如規(guī)模和業(yè)績排名國內(nèi)前五的某銀行就選用了超杰IT 管理系統(tǒng)作為自己加強內(nèi)部控制的重要工具和手段,并且在試點分行取得了明顯的效果����。
結(jié)合最新發(fā)布的《企業(yè)內(nèi)部控制基本規(guī)范》����,從內(nèi)部控制的支持方面來看:首先��,超杰IT 管理系統(tǒng)從IT治理架構(gòu)����、IT組織與職責、IT決策機制�、IT合規(guī)與IT審計等方面建立起了完善的IT內(nèi)部控制環(huán)境;其次����,針對IT運行過程中各種類型的事件與報警,Hyges ITMS v2.0進行統(tǒng)一的界面呈現(xiàn)與匯報��,管理員在單一的界面中全面掌握IT環(huán)境運行的全部細節(jié)��。
在許多企業(yè)最為重視的安全環(huán)節(jié)���,超杰IT管理系統(tǒng)通過系統(tǒng)補丁管理����、防病毒管理、端口訪問控制���、文件審計管理��、計算機外設(shè)管理等安全控制措施���,實現(xiàn)企業(yè)內(nèi)部的安全控制����。在信息與溝通方面,超杰IT管理系統(tǒng)建立起一個企業(yè)內(nèi)部的IT信息溝通機制�,在IT經(jīng)營管理領(lǐng)域、在企業(yè)內(nèi)部的各個職能部門和企業(yè)外部之間���,讓IT信息及時而準確地整合起來;在監(jiān)督檢查方面�,也建立起一套IT內(nèi)部控制體系���,來評價IT控制的有效性���。
在IT管理標準、內(nèi)部控制標準雙雙明確的情勢下,未來幾年內(nèi),我們既會看到內(nèi)部控制開始在更多的境內(nèi)企業(yè)得以貫徹落地�����,也將看到一些IT管理軟件如雨后春筍般更加風行。像超杰IT管理系統(tǒng)這類得以廣泛引用的IT工具����,也將通過升級換代的手法實現(xiàn)更好地內(nèi)部控制。
