提升IT内控能力应该从何入手?

日期: 2011-03-14 作者:龙月洋 来源:TechTarget中国

风险管控是每一个希望基业常青的企业永恒关注的话题,也是每一个希望永续经营的企业需要时时绷紧的神经。因为当企业抵御风险能力很差时,就会像在沙丘上建高楼大厦一样,经受不起任何的风吹雨打。近年来,随着企业对IT的依赖程度越来越高,使到提升IT内控能力也越来越受到关注。   在几周前周,我参加了一个本地CIO专题研讨会。

主题是:提升IT内控能力,防范和规避IT风险。从研讨会上众多CIO的讨论来看,目前国内大部分公司不但是IT内控能力严重不足,而且IT内控措施也经常执行不到位,使到他们经常陷于IT风险的威胁之中。结合研讨会上众多CIO的观点和经验,这里提出几个提升IT内控能力的方法和步骤,以供大家参考和……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

风险管控是每一个希望基业常青的企业永恒关注的话题,也是每一个希望永续经营的企业需要时时绷紧的神经。因为当企业抵御风险能力很差时,就会像在沙丘上建高楼大厦一样,经受不起任何的风吹雨打。近年来,随着企业对IT的依赖程度越来越高,使到提升IT内控能力也越来越受到关注。

  在几周前周,我参加了一个本地CIO专题研讨会。主题是:提升IT内控能力,防范和规避IT风险。从研讨会上众多CIO的讨论来看,目前国内大部分公司不但是IT内控能力严重不足,而且IT内控措施也经常执行不到位,使到他们经常陷于IT风险的威胁之中。结合研讨会上众多CIO的观点和经验,这里提出几个提升IT内控能力的方法和步骤,以供大家参考和借鉴:

  (1)提升对IT内控的重要性的认识

  在这次的CIO研讨会上,当谈到为什么不加强或提升IT内控能力的时候,许多CIO都表露出很无奈的神情。总结起来主要有两方面原因:一是目前国内大多数企业正处于核心业务系统建设之中,如ERP系统、CRM系统、HR系统等系统的上线和实施,根本就无暇顾及IT内控能力的提升。而且,部分IT项目更是领导者的政绩工程,投资巨大但是却盲目建设。虽然采购了先进的IT技术和设备,但在营运配套管理上却是严重落后。

  另一个是目前比较普遍存在的现象,就是许多企业高层对IT内控规划、风险控制缺乏细致的考虑和认识。不少高层认为IT内控只是IT部门的事,离自己很远;而且在谈到IT内控的时候,他们很容易这样说:“哦,IT内控?不要跟我谈,跟公司CIO或者IT部门谈就可以了。”在这种情况下,由于缺乏来自业务层和管理层强有力的推动,经常会导致IT建设目标和IT内控措施失控,IT助力业务发展和提升管理水平常常是沦为纸上谈兵的一句空话。事实上,随着IT越来越渗透到企业运营的每一个方面、每一个环节和每一个流程,IT风险也就成为了企业运营面临的主要风险之一。所以,要想提升IT内控能力,第一步是要提升企业对IT内控的重要性的认识,这也是目前许多企业的当务之急。

  (2)组建责任明确的IT内控小组机构

  要使IT内控发挥应有的作用,关键一点是IT内控责任不应只是IT部门一个部门的工作和责任,而应该要上升为全员参与。企业应该成立由公司领导和各部门负责人组成的责任明确的IT内控小组机构,然后由该机构制定出符合本公司现状的IT内控策略和制度。例如,定期组织的跨部门IT内控工作会议,强化部门间IT内控工作协同配合的流程,保障企业IT内控的高效率执行和实施的制度等。这个小组除了担任IT内控的日常工作外,还可以负责对IT内控、企业管控的质量进行协调和监督。

  (3)明确IT内控立足点:分析潜在IT风险的破坏力

  对企业运营中可能遇到的IT风险进行识别,是IT内控中最为关键的内容,也是提升IT内控能力的立足点。包括IT风险识别、IT风险分析和IT风险评价等几部分。它要求企业从全局的角度去考虑、分析、规划需要控制的事情和范围。例如,IT风险评估可使公司更加清晰地认识到IT意外事件的发生将如何限制业务目标的达成。因此,企业需要透彻地分析业务发展所面临的潜在IT风险的破坏力。也就是说,要对IT系统出现故障时对各关键业务的影响和破坏力作出正确的评估。因为只有正确分析可能存在的各类IT风险,并正确评估各类IT风险可能造成的影响,才能采取正确有效的IT内控措施,这也是提升IT内控能力的一个重要步骤。结合研讨会上众多CIO的实践经验,我们建议企业IT管理者可采取分层次、分步骤的方式来做出正确评估。通常的做法是把可能的风险划分一个优先级,对于优先级高的风险要给以更多的关注。

  (4)选择最佳实践框架,降低IT内控失效风险

  IT内控这个词听起来好象很时髦,其实在IT内控这个词流行以前,我们是用规章制度、政策和程序手册来描述具体做事的步骤和规定。但两者之间是有很大的区别:我们以前的规章制度一般是条文式地说明一件事情,传统的规章制度是不容易达到严密合缝和责任分明,而IT内控则是非常强调流程的逻辑严密性。因此,为了更有效的提升IT内控能力,企业应要选择一个最佳实践框架,以降低IT内控失效的风险。因为通过采用一种成熟的控制框架不但可以简化沟通,同时还能减少所需工作和降低企业成本。

  正如国内一位知名IT内控专家指出,我国IT内控建设最大的问题,不是技术问题,也不是资金问题,而是缺乏有效的实践经验和管理方法的管理问题。也就是说,缺乏IT内控实践方法和具体参照标准是导致许多企业IT内控能力不足的根源之一。在这次研讨会上,许多CIO的观点和建议是国内企业可先采用《企业内部控制基本规范》作为IT内控评估标准,再结合国际上普遍采用的COBIT框架和《SOX萨班斯法案》作为参考。

相关推荐

  • 云计算经验集锦top10

    云计算热度不减,也算是2011年的IT界的关键词了。在2011年即将过去的时候,TT CIO汇集了2011年下半年的10条云计算经验,也收录了对云计算的讨论声音和影响变化。

  • 中小企业IT安全风险评估过程步骤详解

    中小企业应该如何制定自己的风险管理计划呢?我建议按照以下步骤一步步了解IT资产可能会在何处暴露风险,然后制定计划堵上这些风险漏洞。

  • IT风险管理正处于十字路口

    法规遵从被认为是风险管理的首要驱动力,占受访人群的20%到28%,不同的国家比例略有不同。对于IT风险管理者来说,这是一个绝好的机会……

  • 企业IT风险管控体系

    企业都是追求经营回报的,但在经营过程中也面临着诸多风险,而风险往往与资产、脆弱性和威胁有关。本文将简单介绍下目前国内外风险管控的发展和方法论。