企業(yè)部署內(nèi)控 困惑重重

　　繼《企業(yè)內(nèi)部控制基本規(guī)范》公布后，《企業(yè)內(nèi)部控制評價指引》、《企業(yè)內(nèi)部控制應(yīng)用指引》以及《企業(yè)內(nèi)部控制鑒證指引》三個更具體的指引文件也進入征求意見中。但是，實施細則的缺失、合規(guī)衡量標準的不明，讓企業(yè)陷入了迷茫。

　　中國化工信息中心副主任李中指出，《基本規(guī)范》引起了很多化工生產(chǎn)企業(yè)的關(guān)注，但是問題也很多。“具體的實施細則還沒有出臺，每個企業(yè)都有自己的理解，相關(guān)廠商也推出了很多方案，但到底誰才是合規(guī)的呢？”李中表示。

　　這些細節(jié)問題也給企業(yè)具體的法規(guī)遵從工作造成了障礙，一些企業(yè)甚至呼吁，能夠有一些類似會計師事務(wù)所的機構(gòu)明確地告訴他們，一個合規(guī)的財務(wù)與風(fēng)險管理體系應(yīng)該是什么樣的。

　　中國石油化工股份有限公司信息系統(tǒng)管理部副總工程師吳正宏說，完善內(nèi)控對企業(yè)的IT系統(tǒng)也是一大挑戰(zhàn)，企業(yè)設(shè)計IT系統(tǒng)時不僅要考慮方便、可用，還要考慮符合法規(guī)的要求。

　　但如何建立科學(xué)有效的內(nèi)控信息系統(tǒng)呢？中國煤炭工業(yè)協(xié)會信息化分會秘書長程煒認為，內(nèi)控信息系統(tǒng)的建立不能簡單照搬手工處理的方式，而應(yīng)該首先建立科學(xué)的流程，再用IT手段將其固化下來。

　　國家會計學(xué)院教務(wù)部副主任鄭洪濤則指出，企業(yè)內(nèi)部控制給IT治理帶來了四大機遇與五大挑戰(zhàn): 改善企業(yè)控制環(huán)境、提高運行效率、優(yōu)化信息系統(tǒng)、建立內(nèi)部信息共享機制等，是其機遇。挑戰(zhàn)則表現(xiàn)在: 第一、IT的應(yīng)用改變了授權(quán)方式，由原來的簽章變成了口令，一旦口令被竊取，便會帶來巨大隱患； 第二、IT手段的應(yīng)用使得內(nèi)部控制程序化，一旦程序的bug不能被及時發(fā)現(xiàn)，就可能使同一種錯誤反復(fù)發(fā)生; 第三、IT手段使得原始憑證數(shù)字化，會計信息更易于被篡改或偽造了; 第四、網(wǎng)絡(luò)環(huán)境的開放性給會計信息系統(tǒng)的內(nèi)部控制帶來了許多新問題，加劇了會計信息失真的風(fēng)險; 第五、IT體系本身也面臨著病毒感染、黑客入侵、違規(guī)操作、非法拷貝帶來的風(fēng)險。

　　廠商聞風(fēng)而動 強化合規(guī)

　　盡管《基本規(guī)范》的規(guī)定比較籠統(tǒng)，卻給IT廠商帶來了不少的商機。眾多IT廠商聞風(fēng)而動，紛紛強化自己解決方案的合規(guī)性。

　　比蒙新帆是一家專注于通信、安全和應(yīng)用綜合解決方案的廠商，來自比蒙新帆的王升平認為，企業(yè)的主要任務(wù)就是將內(nèi)控落地。顯然，這是單一產(chǎn)品或單一功能無法解決的，需要多種手段綜合應(yīng)用。

　　RSA、EMC信息安全部大中華區(qū)高級信息安全系統(tǒng)構(gòu)架師司馬麗維指出，信息安全的理念也在不斷變化。“五六年前我們說網(wǎng)絡(luò)安全，后來提的是信息安全，最近幾年，信息安全已經(jīng)上升到IT風(fēng)險管理的高度”。

　　一項調(diào)查顯示，只有不到1/5的公司認為他們的數(shù)據(jù)得到了有效保護。如今，對企業(yè)信息技術(shù)主管來說，他們不僅要保護敏感數(shù)據(jù)不被非法訪問和使用，還要考慮到如何符合審計和相關(guān)法規(guī)的要求。

　　RSA幾十種安全產(chǎn)品中，有兩款是與內(nèi)部控制相關(guān)的。一款是enVision 合規(guī)性管理解決方案，具有日志分析和風(fēng)險監(jiān)控的功能; 另一款產(chǎn)品是RSA DLP 防數(shù)據(jù)丟失、泄露解決方案。

　　另一個引起IT企業(yè)關(guān)注的商機則是存檔解決方案。《基本規(guī)范》第四十七條指出，“企業(yè)應(yīng)當(dāng)以書面或者其他適當(dāng)?shù)男问剑咨票４鎯?nèi)部控制建立與實施過程中的相關(guān)記錄或者資料，確保內(nèi)部控制建立與實施過程的可驗證性。”

　　這就意味著，企業(yè)相關(guān)的記錄必須是固定不變的、具有極高的真實性和可靠性。日立數(shù)據(jù)系統(tǒng)公司資深解決方案顧問盧向東指出，日立的數(shù)據(jù)動態(tài)歸檔解決方案，能幫助企業(yè)真實準確地記錄控制過程，并對這些信息進行快速完整的訪問和檢索。

　　而2004年就進入內(nèi)控領(lǐng)域的慧點科技認為，企業(yè)用戶完善內(nèi)控一定要明確三件事：第一、業(yè)務(wù)部門有什么內(nèi)控和合規(guī)性的要求; 第二、企業(yè)60%的管理要求會落實到IT上，這些要求是否真正落實了；第三、按照合規(guī)要求改造IT系統(tǒng)后，還需要驗證實際運行數(shù)據(jù)與企業(yè)要求之間的匹配度。

　　“內(nèi)控的未來是沒內(nèi)控，這是我們的希望。”慧點科技公司副總裁、風(fēng)險管理與控制事業(yè)部總經(jīng)理韓國權(quán)說。