怎样做才算是合规?需要对IT进行哪些改造和完善?这是很多企业目前共同的困惑。近期,在《计算机世界》报社主办的2009年度企业内控高峰论坛上,来自各行业的众多用户与IT企业,就企业内控的相关问题展开了热烈讨论。
企业部署内控 困惑重重
继《企业内部控制基本规范》公布后,《企业内部控制评价指引》、《企业内部控制应用指引》以及《企业内部控制鉴证指引》三个更具体的指引文件也进入征求意见中。但是,实施细则的缺失、合规衡量标准的不明,让企业陷入了迷茫。
中国化工信息中心副主任李中指出,《基本规范》引起了很多化工生产企业的关注,但是问题也很多。“具体的实施细则还没有出台,每个企业都有自己的理解,相关厂商也推出了很多方案,但到底谁才是合规的呢?”李中表示。
这些细节问题也给企业具体的法规遵从工作造成了障碍,一些企业甚至呼吁,能够有一些类似会计师事务所的机构明确地告诉他们,一个合规的财务与风险管理体系应该是什么样的。
中国石油化工股份有限公司信息系统管理部副总工程师吴正宏说,完善内控对企业的IT系统也是一大挑战,企业设计IT系统时不仅要考虑方便、可用,还要考虑符合法规的要求。
但如何建立科学有效的内控信息系统呢?中国煤炭工业协会信息化分会秘书长程炜认为,内控信息系统的建立不能简单照搬手工处理的方式,而应该首先建立科学的流程,再用IT手段将其固化下来。
国家会计学院教务部副主任郑洪涛则指出,企业内部控制给IT治理带来了四大机遇与五大挑战: 改善企业控制环境、提高运行效率、优化信息系统、建立内部信息共享机制等,是其机遇。挑战则表现在: 第一、IT的应用改变了授权方式,由原来的签章变成了口令,一旦口令被窃取,便会带来巨大隐患; 第二、IT手段的应用使得内部控制程序化,一旦程序的bug不能被及时发现,就可能使同一种错误反复发生; 第三、IT手段使得原始凭证数字化,会计信息更易于被篡改或伪造了; 第四、网络环境的开放性给会计信息系统的内部控制带来了许多新问题,加剧了会计信息失真的风险; 第五、IT体系本身也面临着病毒感染、黑客入侵、违规操作、非法拷贝带来的风险。
厂商闻风而动 强化合规
尽管《基本规范》的规定比较笼统,却给IT厂商带来了不少的商机。众多IT厂商闻风而动,纷纷强化自己解决方案的合规性。
比蒙新帆是一家专注于通信、安全和应用综合解决方案的厂商,来自比蒙新帆的王升平认为,企业的主要任务就是将内控落地。显然,这是单一产品或单一功能无法解决的,需要多种手段综合应用。
一项调查显示,只有不到1/5的公司认为他们的数据得到了有效保护。如今,对企业信息技术主管来说,他们不仅要保护敏感数据不被非法访问和使用,还要考虑到如何符合审计和相关法规的要求。
RSA几十种安全产品中,有两款是与内部控制相关的。一款是enVision 合规性管理解决方案,具有日志分析和风险监控的功能; 另一款产品是RSA DLP 防数据丢失、泄露解决方案。
另一个引起IT企业关注的商机则是存档解决方案。《基本规范》第四十七条指出,“企业应当以书面或者其他适当的形式,妥善保存内部控制建立与实施过程中的相关记录或者资料,确保内部控制建立与实施过程的可验证性。”
这就意味着,企业相关的记录必须是固定不变的、具有极高的真实性和可靠性。日立数据系统公司资深解决方案顾问卢向东指出,日立的数据动态归档解决方案,能帮助企业真实准确地记录控制过程,并对这些信息进行快速完整的访问和检索。
而2004年就进入内控领域的慧点科技认为,企业用户完善内控一定要明确三件事:第一、业务部门有什么内控和合规性的要求; 第二、企业60%的管理要求会落实到IT上,这些要求是否真正落实了;第三、按照合规要求改造IT系统后,还需要验证实际运行数据与企业要求之间的匹配度。
“内控的未来是没内控,这是我们的希望。”慧点科技公司副总裁、风险管理与控制事业部总经理韩国权说。