企業(yè)內(nèi)控與IT
 
    嚴格意義上的企業(yè)內(nèi)控要求源于美國安然、世通等公司財務欺詐丑聞，為了避免類似事件再次發(fā)生，最大限度保護投資者利益，2002年美國頒布SOX（薩班斯）法案，明確規(guī)定所有在美公司都必須加強和建立有效的內(nèi)部控制框架，以確保公司遵守證券法律和提高公司披露信息的準確性和可靠性。要求公司針對產(chǎn)生財務交易的所有作業(yè)流程，都做到能見度、透明度、控制、通訊、風險管理和欺詐防范，且這些流程必須詳細記錄到可追查交易源頭的地步。
 
    企業(yè)內(nèi)部控制按工作范圍分類，可以分為內(nèi)部管理控制和內(nèi)部會計控制。內(nèi)部管理控制，以提高公司的經(jīng)營效率和效益為目的，通過檢查和改進有關(guān)的管理政策和程序，有效控制公司運行，實現(xiàn)公司資產(chǎn)的保值增值。內(nèi)部會計控制，以保護財產(chǎn)物資和確保會計資料可靠性為目的，通過適當?shù)臉I(yè)務權(quán)限設(shè)置和授權(quán)、準確的會計記錄、及時的實物盤點以及公允的報告程序和方法，保證公司經(jīng)營和財務信息的可靠，保障公司資產(chǎn)的安全。
 
    由于現(xiàn)代企業(yè)運營都普遍依靠IT，特別是財務報告更需IT支撐，因而該法案還規(guī)定企業(yè)必須建立一個IT基礎(chǔ)設(shè)施，以確保所有的記錄和數(shù)據(jù)不會被毀滅、丟失、未經(jīng)授權(quán)的變更以及錯誤的使用。實施企業(yè)內(nèi)控，就必須進行IT內(nèi)控，IT內(nèi)控是企業(yè)內(nèi)控不可或缺的重要部分。
 
    IT內(nèi)控包括：IT應用控制(IT Application Control)和IT一般控制(IT Generally Control)。IT應用控制，是指對業(yè)務流程所依賴的IT系統(tǒng)進行某些控制，其中特別是針對支持財務報告的特定IT應用。IT一般控制，是指對于支撐公司運作的IT基礎(chǔ)技術(shù)平臺進行有效管理控制。可見，IT一般控制是基礎(chǔ)，而要進行IT一般控制就必須進行IT資產(chǎn)管理。
 
    IT資產(chǎn)管理是IT內(nèi)控的基本要求
 
    企業(yè)IT資產(chǎn)通常包括IT基礎(chǔ)技術(shù)中的計算機及其外設(shè)、網(wǎng)絡設(shè)備及相應的配件、耗材、工具和軟件等，資產(chǎn)形式分為自有、租借或虛擬等。
 
    內(nèi)控要求下，為了應對內(nèi)部，企業(yè)必須掌握準確的IT資產(chǎn)數(shù)據(jù)，IT資產(chǎn)清查和盤點成為公司每年的必備工作。同時，IT資產(chǎn)往往攜帶企業(yè)數(shù)據(jù)，因而必須對其做好管理，以防止由于資產(chǎn)丟失或不合理的報廢流程造成企業(yè)信息泄漏，確保相關(guān)法律的合規(guī)性。據(jù)報道，去年6月份，匯豐銀行就因為遺失了電腦硬盤和郵寄非加密數(shù)據(jù)，被英國監(jiān)管當局罰款320萬英鎊。
 
    因而，若不能保證IT資產(chǎn)的數(shù)據(jù)準確和安全合規(guī)，企業(yè)對IT進行有效的內(nèi)部控制就無從談起，IT資產(chǎn)管理是IT內(nèi)控的基本要求。
 
    如何做好IT資產(chǎn)管理
 
    然而IT資產(chǎn)種類繁多，數(shù)量龐大，且可能散布各地，管理起來千頭萬緒，無從下手，那么CIO 怎樣才能高質(zhì)量低投入的管好它們，以滿足企業(yè)內(nèi)控要求呢？
 
    對此，已為數(shù)十家世界500強跨國公司提供10余年IT運營服務的金道公司認為，良好的IT資產(chǎn)管理結(jié)果必須滿足以下三要素：
 
    首先要有清晰的管理流程，制定好規(guī)范，對IT資產(chǎn)的全生命周期進行記錄和監(jiān)管，必須涵蓋規(guī)劃、采購、分發(fā)、維護、變更、報廢等各個環(huán)節(jié)。
 
    其次要有優(yōu)質(zhì)的資產(chǎn)管理軟件工具，具備自動發(fā)現(xiàn)、變更管理、資產(chǎn)追蹤、數(shù)據(jù)分析等功能，同時保證各個相關(guān)系統(tǒng)（如資產(chǎn)數(shù)據(jù)庫系統(tǒng)、自動發(fā)現(xiàn)系統(tǒng)、財務系統(tǒng)等）產(chǎn)生的不同信息能互相交換，能隨時對各種資產(chǎn)數(shù)據(jù)進行比對，以消除信息孤島，發(fā)現(xiàn)偏差及時更正，確保資產(chǎn)數(shù)據(jù)的準確性。
 
    最后，也最為重要的，是要有嚴格的執(zhí)行保障措施。其中包括專業(yè)而有經(jīng)驗的執(zhí)行人員，以及相應的質(zhì)量保證和控制制度，確保流程、工具真正發(fā)揮作用。
 
    金道高級副總裁王勇先生介紹說：“從我們服務的多家500強企業(yè)客戶的實際經(jīng)驗來看，1到2年內(nèi)即可使企業(yè)IT資產(chǎn)準確率達99%以上，同時能大大節(jié)省企業(yè)為滿足內(nèi)控要求而需要在IT資產(chǎn)管理方面投入的人力、物力、財力及時間，投資回報率可高達500%。”