企業(yè)內(nèi)控與IT
 
    嚴(yán)格意義上的企業(yè)內(nèi)控要求源于美國(guó)安然、世通等公司財(cái)務(wù)欺詐丑聞，為了避免類似事件再次發(fā)生，最大限度保護(hù)投資者利益，2002年美國(guó)頒布SOX（薩班斯）法案，明確規(guī)定所有在美公司都必須加強(qiáng)和建立有效的內(nèi)部控制框架，以確保公司遵守證券法律和提高公司披露信息的準(zhǔn)確性和可靠性。要求公司針對(duì)產(chǎn)生財(cái)務(wù)交易的所有作業(yè)流程，都做到能見度、透明度、控制、通訊、風(fēng)險(xiǎn)管理和欺詐防范，且這些流程必須詳細(xì)記錄到可追查交易源頭的地步。
 
    企業(yè)內(nèi)部控制按工作范圍分類，可以分為內(nèi)部管理控制和內(nèi)部會(huì)計(jì)控制。內(nèi)部管理控制，以提高公司的經(jīng)營(yíng)效率和效益為目的，通過檢查和改進(jìn)有關(guān)的管理政策和程序，有效控制公司運(yùn)行，實(shí)現(xiàn)公司資產(chǎn)的保值增值。內(nèi)部會(huì)計(jì)控制，以保護(hù)財(cái)產(chǎn)物資和確保會(huì)計(jì)資料可靠性為目的，通過適當(dāng)?shù)臉I(yè)務(wù)權(quán)限設(shè)置和授權(quán)、準(zhǔn)確的會(huì)計(jì)記錄、及時(shí)的實(shí)物盤點(diǎn)以及公允的報(bào)告程序和方法，保證公司經(jīng)營(yíng)和財(cái)務(wù)信息的可靠，保障公司資產(chǎn)的安全。
 
    由于現(xiàn)代企業(yè)運(yùn)營(yíng)都普遍依靠IT，特別是財(cái)務(wù)報(bào)告更需IT支撐，因而該法案還規(guī)定企業(yè)必須建立一個(gè)IT基礎(chǔ)設(shè)施，以確保所有的記錄和數(shù)據(jù)不會(huì)被毀滅、丟失、未經(jīng)授權(quán)的變更以及錯(cuò)誤的使用。實(shí)施企業(yè)內(nèi)控，就必須進(jìn)行IT內(nèi)控，IT內(nèi)控是企業(yè)內(nèi)控不可或缺的重要部分。
 
    IT內(nèi)控包括：IT應(yīng)用控制(IT Application Control)和IT一般控制(IT Generally Control)。IT應(yīng)用控制，是指對(duì)業(yè)務(wù)流程所依賴的IT系統(tǒng)進(jìn)行某些控制，其中特別是針對(duì)支持財(cái)務(wù)報(bào)告的特定IT應(yīng)用。IT一般控制，是指對(duì)于支撐公司運(yùn)作的IT基礎(chǔ)技術(shù)平臺(tái)進(jìn)行有效管理控制。可見，IT一般控制是基礎(chǔ)，而要進(jìn)行IT一般控制就必須進(jìn)行IT資產(chǎn)管理。
 
    IT資產(chǎn)管理是IT內(nèi)控的基本要求
 
    企業(yè)IT資產(chǎn)通常包括IT基礎(chǔ)技術(shù)中的計(jì)算機(jī)及其外設(shè)、網(wǎng)絡(luò)設(shè)備及相應(yīng)的配件、耗材、工具和軟件等，資產(chǎn)形式分為自有、租借或虛擬等。
 
    內(nèi)控要求下，為了應(yīng)對(duì)內(nèi)部，企業(yè)必須掌握準(zhǔn)確的IT資產(chǎn)數(shù)據(jù)，IT資產(chǎn)清查和盤點(diǎn)成為公司每年的必備工作。同時(shí)，IT資產(chǎn)往往攜帶企業(yè)數(shù)據(jù)，因而必須對(duì)其做好管理，以防止由于資產(chǎn)丟失或不合理的報(bào)廢流程造成企業(yè)信息泄漏，確保相關(guān)法律的合規(guī)性。據(jù)報(bào)道，去年6月份，匯豐銀行就因?yàn)檫z失了電腦硬盤和郵寄非加密數(shù)據(jù)，被英國(guó)監(jiān)管當(dāng)局罰款320萬(wàn)英鎊。
 
    因而，若不能保證IT資產(chǎn)的數(shù)據(jù)準(zhǔn)確和安全合規(guī)，企業(yè)對(duì)IT進(jìn)行有效的內(nèi)部控制就無(wú)從談起，IT資產(chǎn)管理是IT內(nèi)控的基本要求。
 
    如何做好IT資產(chǎn)管理
 
    然而IT資產(chǎn)種類繁多，數(shù)量龐大，且可能散布各地，管理起來(lái)千頭萬(wàn)緒，無(wú)從下手，那么CIO 怎樣才能高質(zhì)量低投入的管好它們，以滿足企業(yè)內(nèi)控要求呢？
 
    對(duì)此，已為數(shù)十家世界500強(qiáng)跨國(guó)公司提供10余年IT運(yùn)營(yíng)服務(wù)的金道公司認(rèn)為，良好的IT資產(chǎn)管理結(jié)果必須滿足以下三要素：
 
    首先要有清晰的管理流程，制定好規(guī)范，對(duì)IT資產(chǎn)的全生命周期進(jìn)行記錄和監(jiān)管，必須涵蓋規(guī)劃、采購(gòu)、分發(fā)、維護(hù)、變更、報(bào)廢等各個(gè)環(huán)節(jié)。
 
    其次要有優(yōu)質(zhì)的資產(chǎn)管理軟件工具，具備自動(dòng)發(fā)現(xiàn)、變更管理、資產(chǎn)追蹤、數(shù)據(jù)分析等功能，同時(shí)保證各個(gè)相關(guān)系統(tǒng)（如資產(chǎn)數(shù)據(jù)庫(kù)系統(tǒng)、自動(dòng)發(fā)現(xiàn)系統(tǒng)、財(cái)務(wù)系統(tǒng)等）產(chǎn)生的不同信息能互相交換，能隨時(shí)對(duì)各種資產(chǎn)數(shù)據(jù)進(jìn)行比對(duì)，以消除信息孤島，發(fā)現(xiàn)偏差及時(shí)更正，確保資產(chǎn)數(shù)據(jù)的準(zhǔn)確性。
 
    最后，也最為重要的，是要有嚴(yán)格的執(zhí)行保障措施。其中包括專業(yè)而有經(jīng)驗(yàn)的執(zhí)行人員，以及相應(yīng)的質(zhì)量保證和控制制度，確保流程、工具真正發(fā)揮作用。
 
    金道高級(jí)副總裁王勇先生介紹說：“從我們服務(wù)的多家500強(qiáng)企業(yè)客戶的實(shí)際經(jīng)驗(yàn)來(lái)看，1到2年內(nèi)即可使企業(yè)IT資產(chǎn)準(zhǔn)確率達(dá)99%以上，同時(shí)能大大節(jié)省企業(yè)為滿足內(nèi)控要求而需要在IT資產(chǎn)管理方面投入的人力、物力、財(cái)力及時(shí)間，投資回報(bào)率可高達(dá)500%。”