风险管控是每一个希望基业常青的企业永恒关注的话题，也是每一个希望永续经营的企业需要时时绷紧的神经。因为当企业抵御风险能力很差时，就会像在沙丘上建高楼大厦一样，经受不起任何的风吹雨打。近年来，随着企业对IT的依赖程度越来越高，使到提升IT内控能力也越来越受到关注。

　　在几周前周，我参加了一个本地CIO专题研讨会。主题是：提升IT内控能力，防范和规避IT风险。从研讨会上众多CIO的讨论来看，目前国内大部分公司不但是IT内控能力严重不足，而且IT内控措施也经常执行不到位，使到他们经常陷于IT风险的威胁之中。结合研讨会上众多CIO的观点和经验，这里提出几个提升IT内控能力的方法和步骤，以供大家参考和借鉴：

　　（1）提升对IT内控的重要性的认识

　　在这次的CIO研讨会上，当谈到为什么不加强或提升IT内控能力的时候，许多CIO都表露出很无奈的神情。总结起来主要有两方面原因：一是目前国内大多数企业正处于核心业务系统建设之中，如ERP系统、CRM系统、HR系统等系统的上线和实施，根本就无暇顾及IT内控能力的提升。而且，部分IT项目更是领导者的政绩工程，投资巨大但是却盲目建设。虽然采购了先进的IT技术和设备，但在营运配套管理上却是严重落后。

　　另一个是目前比较普遍存在的现象，就是许多企业高层对IT内控规划、风险控制缺乏细致的考虑和认识。不少高层认为IT内控只是IT部门的事，离自己很远；而且在谈到IT内控的时候，他们很容易这样说：“哦，IT内控？不要跟我谈，跟公司CIO或者IT部门谈就可以了。”在这种情况下，由于缺乏来自业务层和管理层强有力的推动，经常会导致IT建设目标和IT内控措施失控，IT助力业务发展和提升管理水平常常是沦为纸上谈兵的一句空话。事实上，随着IT越来越渗透到企业运营的每一个方面、每一个环节和每一个流程，IT风险也就成为了企业运营面临的主要风险之一。所以，要想提升IT内控能力，第一步是要提升企业对IT内控的重要性的认识，这也是目前许多企业的当务之急。

　　（2）组建责任明确的IT内控小组机构

　　要使IT内控发挥应有的作用，关键一点是IT内控责任不应只是IT部门一个部门的工作和责任，而应该要上升为全员参与。企业应该成立由公司领导和各部门负责人组成的责任明确的IT内控小组机构，然后由该机构制定出符合本公司现状的IT内控策略和制度。例如，定期组织的跨部门IT内控工作会议，强化部门间IT内控工作协同配合的流程，保障企业IT内控的高效率执行和实施的制度等。这个小组除了担任IT内控的日常工作外，还可以负责对IT内控、企业管控的质量进行协调和监督。

　　（3）明确IT内控立足点：分析潜在IT风险的破坏力

　　对企业运营中可能遇到的IT风险进行识别，是IT内控中最为关键的内容，也是提升IT内控能力的立足点。包括IT风险识别、IT风险分析和IT风险评价等几部分。它要求企业从全局的角度去考虑、分析、规划需要控制的事情和范围。例如，IT风险评估可使公司更加清晰地认识到IT意外事件的发生将如何限制业务目标的达成。因此，企业需要透彻地分析业务发展所面临的潜在IT风险的破坏力。也就是说，要对IT系统出现故障时对各关键业务的影响和破坏力作出正确的评估。因为只有正确分析可能存在的各类IT风险，并正确评估各类IT风险可能造成的影响，才能采取正确有效的IT内控措施，这也是提升IT内控能力的一个重要步骤。结合研讨会上众多CIO的实践经验，我们建议企业IT管理者可采取分层次、分步骤的方式来做出正确评估。通常的做法是把可能的风险划分一个优先级，对于优先级高的风险要给以更多的关注。

　　（4）选择最佳实践框架，降低IT内控失效风险

　　IT内控这个词听起来好象很时髦，其实在IT内控这个词流行以前，我们是用规章制度、政策和程序手册来描述具体做事的步骤和规定。但两者之间是有很大的区别：我们以前的规章制度一般是条文式地说明一件事情，传统的规章制度是不容易达到严密合缝和责任分明，而IT内控则是非常强调流程的逻辑严密性。因此，为了更有效的提升IT内控能力，企业应要选择一个最佳实践框架，以降低IT内控失效的风险。因为通过采用一种成熟的控制框架不但可以简化沟通，同时还能减少所需工作和降低企业成本。

　　正如国内一位知名IT内控专家指出，我国IT内控建设最大的问题，不是技术问题，也不是资金问题，而是缺乏有效的实践经验和管理方法的管理问题。也就是说，缺乏IT内控实践方法和具体参照标准是导致许多企业IT内控能力不足的根源之一。在这次研讨会上，许多CIO的观点和建议是国内企业可先采用《企业内部控制基本规范》作为IT内控评估标准，再结合国际上普遍采用的COBIT框架和《SOX萨班斯法案》作为参考。