联想网御《企业内部控制基本规范》相关解决方案

　　2008年6月，国家财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》(以下简称“内控规范”),内控规范中对IT内部控制(以下简称“IT内控”)提出了较高的要求，所以各企业都将面临IT内控的合规性检查问题。联想网御作为国内领先的专业安全厂商，通过对内控规范的理解，结合自身的安全实践，提出了企业IT内控解决方案，帮助企业的IT内控治理达到内控规范要求。

　　一、 IT内部控制的问题与挑战

　　1.1. 企业内控的背景

　　2001年，安然、世通这些美国著名大公司由于内部舞弊案而倒闭，为了应对诚信危机，挽救全球投资者信心，美国政府于次年颁布并坚定实施了《萨班斯法案》，严格监管上市公司的内部控制。

　　当前金融风暴席卷全球，且中国经历了30年跨越式发展，中国企业内部控制比较不规范。为防患于未然，2008年6月国家财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》，企业内部控制基本规范以保障财务报告的真实性、可靠性为核心，提出相应内部控制要求，于2009年7月1日在上市公司范围内施行，鼓励非上市的其他大中型企业执行。

　　企业内部控制能够合理保证企业经营管理的合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，提高企业经营管理水平和风险防范能力，促进企业可持续发展，维护社会经济秩序和公众利益。

　　1.2. 企业内控与IT内控的关系

　　在现代企业所有权与经营权分离的背景下，为了防范并揭露错误与弊端，逐步形成了企业内部控制(Internal Control，以下简称“企业内控”)制度。美国COSO报告体现了业界对企业内部控制的主流观点，即：内部控制是为取得经营效果和效率、财务报告的可靠性、遵循适当的法令等目标而提供合理保证的一种过程。联想网御参照《企业内部控制基本规范》设计了企业内部控制模型：

　　作为业务的支撑，IT系统已被国内大中型企业高度依赖，尤其是会计电算化的普及，要保障财务相关信息的真实有效，就必须对企业的IT系统严格控制。IT 内控是信息化管理下企业用以规避潜在风险的一种有效手段，我们认为IT内控实质上是企业运作过程中涉及IT 这部分资产的购入、使用及维护等不同阶段的相关内部控制过程，其相应的控制范围包括：IT 控制环境、软硬件的运行和维护、系统和数据的访问、系统开发和系统变更等。

　　根据《企业内部控制应用指引-征求意见稿》，我们得出企业内控和IT内控的关系：

　　企业内控和IT内控的关系图

　　1.3. IT内控带来的挑战和问题

　　随着企业业务和IT 系统的日益融合，IT 成为影响企业内部控制越来越重要的因素， IT 内部控制是信息化管理下企业内部控制的重要组成部分，同时也是企业的内部控制系统中不可缺少的一部分。面对企业长期建立起来的复杂IT系统，如何建立正确的IT内控措施，而这些控制措施是否真正有效，又是否能保证符合外部法律法规的要求?这都为我们企业的稳定和长期发展提出了新的挑战。

　　联想网御借以美国萨班斯法案(SOX)IT内控的实践为基础，结合中国具体国情，并根据我们多年贴近用户的IT治理经验，概括了目前国内企业IT内控面临的主要问题：

　　如何保证权责的正确分配?

　　“明确权责分配，正确行使职权”是IT内控的一个核心思想，这其实也是信息系统安全管理的核心问题，目前国内大多数企业已经制定了相对合理的组织框架，分配了人员职权，但是这些策略、制度是否得到了很好的实施，而又如何对这些策略、制度的执行进行监督，是目前企业面临的主要问题。

　　如何保证IT基础设施可靠?

　　IT基础设施是整个信息系统的安全保障，IT内控核心是针对财务相关的IT系统进行控制。企业在构建IT基础设施时，必须充分考虑IT基础设施为财务系统服务的安全性，而目前国内企业的IT基础设施重心放在了保证业务生产系统上，而忽略了财务系统，如何保证IT基础设施的可靠性是需要解决和思考的问题。

　　如何保证财务系统安全?

　　财务系统作为IT内控的核心，如何保证财务数据的保密性、完整性和可用性是IT内控的重点，而国内企业的现状是：财务系统搭建和开发的重心放在了功能实现上，而较少考虑内部控制的安全要求，如何保证财务系统的安全性是企业长期稳定发展中面临的另一个问题。

　　如何进行审计监督?

　　审计是IT内控、以及企业内控中最重要的控制手段，通过审计可以及时发现问题，并可对问题的产生进行追溯，从而更好的解决和防范问题。目前国内企业很少有针对IT内控的审计手段，即使有相应的审计手段，也不能做到对系统进行全面审计，如何利用审计监督使企业的IT内控达到规范要求也是一个很棘手的问题。