企業內控指引發布，公司如何未雨綢繆？

企業內控與IT
 
    嚴格意義上的企業內控要求源于美國安然、世通等公司財務欺詐丑聞，為了避免類似事件再次發生，最大限度保護投資者利益，2002年美國頒布SOX（薩班斯）法案，明確規定所有在美公司都必須加強和建立有效的內部控制框架，以確保公司遵守證券法律和提高公司披露信息的準確性和可靠性。要求公司針對產生財務交易的所有作業流程，都做到能見度、透明度、控制、通訊、風險管理和欺詐防范，且這些流程必須詳細記錄到可追查交易源頭的地步。
 
    企業內部控制按工作范圍分類，可以分為內部管理控制和內部會計控制。內部管理控制，以提高公司的經營效率和效益為目的，通過檢查和改進有關的管理政策和程序，有效控制公司運行，實現公司資產的保值增值。內部會計控制，以保護財產物資和確保會計資料可靠性為目的，通過適當的業務權限設置和授權、準確的會計記錄、及時的實物盤點以及公允的報告程序和方法，保證公司經營和財務信息的可靠，保障公司資產的安全。
 
    由于現代企業運營都普遍依靠IT，特別是財務報告更需IT支撐，因而該法案還規定企業必須建立一個IT基礎設施，以確保所有的記錄和數據不會被毀滅、丟失、未經授權的變更以及錯誤的使用。實施企業內控，就必須進行IT內控，IT內控是企業內控不可或缺的重要部分。
 
    IT內控包括：IT應用控制(IT Application Control)和IT一般控制(IT Generally Control)。IT應用控制，是指對業務流程所依賴的IT系統進行某些控制，其中特別是針對支持財務報告的特定IT應用。IT一般控制，是指對于支撐公司運作的IT基礎技術平臺進行有效管理控制。可見，IT一般控制是基礎，而要進行IT一般控制就必須進行IT資產管理。
 
    IT資產管理是IT內控的基本要求
 
    企業IT資產通常包括IT基礎技術中的計算機及其外設、網絡設備及相應的配件、耗材、工具和軟件等，資產形式分為自有、租借或虛擬等。
 
    內控要求下，為了應對內部，企業必須掌握準確的IT資產數據，IT資產清查和盤點成為公司每年的必備工作。同時，IT資產往往攜帶企業數據，因而必須對其做好管理，以防止由于資產丟失或不合理的報廢流程造成企業信息泄漏，確保相關法律的合規性。據報道，去年6月份，匯豐銀行就因為遺失了電腦硬盤和郵寄非加密數據，被英國監管當局罰款320萬英鎊。
 
    因而，若不能保證IT資產的數據準確和安全合規，企業對IT進行有效的內部控制就無從談起，IT資產管理是IT內控的基本要求。
 
    如何做好IT資產管理
 
    然而IT資產種類繁多，數量龐大，且可能散布各地，管理起來千頭萬緒，無從下手，那么CIO 怎樣才能高質量低投入的管好它們，以滿足企業內控要求呢？
 
    對此，已為數十家世界500強跨國公司提供10余年IT運營服務的金道公司認為，良好的IT資產管理結果必須滿足以下三要素：
 
    首先要有清晰的管理流程，制定好規范，對IT資產的全生命周期進行記錄和監管，必須涵蓋規劃、采購、分發、維護、變更、報廢等各個環節。
 
    其次要有優質的資產管理軟件工具，具備自動發現、變更管理、資產追蹤、數據分析等功能，同時保證各個相關系統（如資產數據庫系統、自動發現系統、財務系統等）產生的不同信息能互相交換，能隨時對各種資產數據進行比對，以消除信息孤島，發現偏差及時更正，確保資產數據的準確性。
 
    最后，也最為重要的，是要有嚴格的執行保障措施。其中包括專業而有經驗的執行人員，以及相應的質量保證和控制制度，確保流程、工具真正發揮作用。
 
    金道高級副總裁王勇先生介紹說：“從我們服務的多家500強企業客戶的實際經驗來看，1到2年內即可使企業IT資產準確率達99%以上，同時能大大節省企業為滿足內控要求而需要在IT資產管理方面投入的人力、物力、財力及時間，投資回報率可高達500%。”