企业IT内控与风险管理探析摘要：为了加强对企业的风险管理，必须建立有效的内部控制框架。而it技术的日益成熟和发展，使得企业的信息化进程加快，企业的日常经营越来越依赖于it系统的支撑。因此，在企业内部控制中，it内控占有非常重要的地位。从企业面临的风险入手，对it内控的作用、思路和方法做了深入的分析，为企业it内控的实施奠定了基础。关键词：信息化；it内控；风险管理1引言2002年美国国会发布的《萨班斯—奥克斯利法案》（简称为sox法案）中明确提出了所有上市公司都必须加强风险管理，建立有效的内部控制框架。2008年6月，由国家财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》，要求“内控”将自2009年7月1日起首先在上市公司范围内施行，主要是针对国内财务及会计监控体制的发展趋势，以及企业内部的委托-代理关系等各个方面的需求。2010年4月，财政部、证监会、审计署、银监会、保监会五部门又联合发布了被称为“中国版萨班斯法案”的《企业内部控制配套指引》（简称为指引）。指引文件明确指出要把企业内部it风险控制建设情况纳入上市公司日常监管的范围，确保it内控风险预警体系的执行质量。这使得国内企业开始重视it内控在整个企业风险管控中的作用。不论是sox法案还是指引文件，虽然因其主要关注的是和财务报告相关的信息系统，故对合规性的要求有其特有的局限性，但是由此产生的方法论和合规性实践，对it内控的理论发展和实践很有借鉴意义。事实上，随着it应用的逐步深入，企业的日常运营越来越依赖于it系统的支撑，it技术在现代企业中扮演着重要的角色。it不仅作为财务流程的系统驱动，还是控制整个企业业务活动的重要手段。因此，企业进行内部风险控制应该从以it为主的内部控制为突破口。但it内部控制并不是孤立的，它是企业以业务目标为主导的整体内部控制项目的一部分。2企业内控和信息化面临的风险目前我国的信息化正处在一个由初级水平的投入期，向中高级水平的见效期过渡的关键时期，信息化的重点己从注重硬件设备的配备，逐步过渡到强调整合和开发利用信息资源，对客户需求做出快速反应，提高应用水平和服务质量，使组织的价值最大化的阶段。在这一阶段里信息化的机会与风险并存，许多以前还没有考虑到的深层次问题都一一暴露出来，这对企业将是个严峻的考验。2.1合规性风险由于it在生产和生活中充当越来越重要的角色，国内外近年来出台了不少法律法规加强对it进行监督和控制。sox法案的发布是确保上市公司遵守证券法律以提高公司披露的准确性和可靠性。虽然其没有直接明确对it的要求，但企业在实施符合法案要求的内控过程时，发现it方面的工作量竟然占到了相当大的比重。这是因为一方面it要作为管理组织业务风险的工具与手段，例如，对财务应用系统的机密性、完整性控制，以及对业务交易信息的监督和数据的采集；另一方面it本身的风险，例如系统风险、网络风险、应用风险，也是sox法案关注的重要内容。另外，国内的指引文件也明确指出了合规性风险，具体为：第一，信息系统缺乏或规划不合理，可能造成信息孤岛或重复建设，导致企业经营管理效率低下；第二，系统开发不符合内部控制要求，授权管理不当，可能导致无法利用信息技术实施有效控制；第三，系统运行维护和安全措施不到位，可能导致信息泄漏或毁损，系统无法正常行。2.2信息化建设风险随着it应用的不断深入，it与业务的关联越来越紧密，创造机会的同时也使it面临着越来越多的问题。2.2.1it规划与架构风险企业在进行信息化建设的时候，往往是由业务部门先提出业务需求，it部门则根据不同的需求去选择不同的应用系统。这导致的结果为技术体系复杂混乱、技术标准不兼容、系统安全脆弱等等，企业得到的是一个个条块化的it架构。产生这些问题的原因主要有：第一，it建设缺乏从组织角度出发的总体规划和架构设计。第二，it部门在企业中处于从属的地位，不具备话语权。第三，企业高层对信息化整体建设的意识不够。因此，有效的it规划可以将组织战略目标转化为it系统的战略目标，这是现代企业战略规划的重要组成部分，也是企业商业模式创新的最好机会。这样可最大限度的避免这种自然发生的it架构造成的混乱和复杂，同时避免企业的it战略方向及it具体实现上存在的风险。2.2.2it基础平台风险技术的日新月异，给it基础平台（如硬件、网络、系统）带来高速发展的同时，也给企业增加了各种各样的威胁。漏洞层出不穷、攻击的变化多端、频繁的当机等等让it部门应对不暇。企业对it平台的依赖性越来越强的同时，it系统的风险造成的企业损失也越来越大。硬件的故障、网络的中断、系统的崩溃每一个细小的环节都使得企业的管理者如坐针毡，不得不又加大力度对it基础设施