2010年无论是国际还是国内经济环境仍处在剧烈的动荡之中,企业仍然要绷紧风险管理的神经。因为对企业来说,风险管控是一个永恒的主题。
饱受经济动荡不安的2009年就快过完了,2010年有望成为企业复苏转折的一年。目前,受国外内经济大环境的好转,许多企业的工作焦点变成了下一阶段复苏之路应该怎么走?但实际上,2010年无论是国际还是国内经济环境仍处在剧烈的动荡之中,企业仍然要绷紧风险管理的神经。因为对企业来说,风险管控是一个永恒的主题。如果抵御风险的能力很差,就会像在沙丘上建大厦一样,经不起任何风吹浪打。
在上周,我参加了一个CIO专题研讨会。主题是:防范和化解IT风险,为企业复苏保驾护航。研讨会的起因是在经济危机发生之后,大部分企业开始有针对性地加强内控管理。但有关调查报告却显示,目前半数以上的企业内控管理不到位,其中IT内控更没有形成一种常态。正如,黎明前是最黑暗的时刻一样。经济复苏前夜企业面临的风险也会更加复杂化、多样化,各种风险相互交织,稍不注意就有可能通过乘数倍增效应给企业带来更大的冲击和破坏,那么企业在2010年全面复苏的良好愿望就会落空。
一.经济复苏前夜,企业陷入IT内控困局的原因
近年来,IT已经成为推动企业发展的重要动力,企业对IT的依赖程度也越来越高。但从研讨会上许多CIO的讨论来看,目前国内大部分公司在IT内控能力上还严重不足,IT内控措施也经常执行不到位,这使得许多公司在复苏进程中很容易会陷入到风险之中。根据笔者在研讨会上的调查和总结,国内企业IT内控能力薄弱主要是由以下三个原因导致的:
(1)对IT内控的重要性认识不足
目前一个比较普遍的现象,是许多企业高层对IT内控规划、风险控制缺乏细致的考虑。不少高层认为IT内控只是IT部门的事,离自己很远。而且在谈到IT内控的时候,他们很容易这样说:“哦,IT内控?不要跟我谈,跟我的CIO或者IT部门谈就可以了。”他们不但不明白IT内控是怎么回事,而且更缺乏主动去了解的意识。
但根据我们的经验,业务发展是一定会与IT联系起来的。业务发展不可能没有IT的支持,IT也不可能脱离业务需求而去独立工作。事实上,随着企业业务大集中、数据大集中的趋势,IT越来越渗透到企业运营的每一个方面、环节和流程。IT风险也就成为了企业业务运营面临的主要风险之一。因此,当IT内控缺乏规划时,企业各部门的业务发展就会很容易受到IT风险的影响而失控,从而使得企业业务运营脱离企业复苏战略的正确轨道。
(2)无暇顾及IT内控能力的提升
在这次的CIO研讨会上,当谈到为什么不加强或提升IT内控能力的时候,许多CIO都露出很无奈的神情。原来目前国内大多数企业正在进行核心的业务系统建设,如ERP系统、CRM系统、HR系统等,根本就无暇顾及IT内控能力的提升。而且,部分IT建设甚至成了领导者的政绩工程,投资巨大但是却盲目建设。虽然采购了先进的IT技术和设备,但在营运配套管理上却严重落后。在这种情况下,由于缺乏来自业务和管理层强有力的推动,导致IT建设目标和IT内控措施经常失控,IT助力业务发展和提升管理水平常常是沦为纸上谈兵的一句空话。
(3)缺乏先进的IT内控实践指导
最后,在研讨会上谈到如何提升企业IT内控能力、规避IT风险的时候,大部分CIO都表示其公司都有提升IT内控能力的计划和规划,但却不知道从何做起。许多CIO表示不但是缺乏实践经验,更是缺乏实施和入手的指导方向。其中,在研讨会上也谈及到作为舶来品与IT内控相关的COBIT、ISO20000等标准。目前的现状是这些标准由于引入国内的时间不长,不但缺乏熟悉这些IT内控标准的相关人才,使到国内企业对相关标准的研究和吸收不足;而且许多CIO对这些标准如何与国内企业特点相结合更是缺乏实践经验。
二.IT内控能力和风险管理的关系
(1)什么是IT内控能力?
一般来说,IT内控是使IT工具与业务目标一致,充分利用现有的资源,规避IT风险,并对IT运营效果有一个可量化的绩效评估的管理和控制。简单的说,就是通过对IT的管理与控制,促使业务目标的实现。IT内控包括四项基本能力:IT规划能力、IT控制能力、制度规范约束能力、风险控制能力。IT内控是一方面将IT系统的技术与管理紧密结合起来;另一方面是明确IT系统的方向,通过确定明确的IT控制目标,使整个运营过程透明化,最终改善企业信息化的绩效。
因此,IT内控能力是指将IT拉下高科技的神秘“黑幕”,以协助业务运营并满足管理控制的一种能力。随着企业业务逐步运行在各种IT环境下,IT内控能力的高低将直接影响到企业效益的实现。但据近期的有关调查资料显示,85%以上的中国企业在IT内控的四个基本能力上不完善或者缺乏有效的执行,报告还指出企业IT内控能力不足,已经成为企业复苏发展的瓶颈。
IT内控这个词听起来好象很时髦。其实,在IT内控这个词流行以前,我们是用的规章制度、政策和程序手册来描述具体做事的步骤和规定。但两者之间是有很大的区别:首先,我们以前的规章制度一般是条文式地说明一件事情,而IT内控则强调信息的输入和输出。其次,IT内控非常强调流程的逻辑严密,而以前的规章制度是不容易达到严丝合缝和责任分明。最后,在IT内控体系中我们可以非常清楚地将企业流程分为两类,即“执行”流程和“报告”流程。
(2)提升IT内控能力应该从何下手?
风险无处不在、难以度量,这使到企业很难去评估风险。因此,很多时候企业在实施IT内控和风险管理时常常感到无从下手。IT内控是一个极为繁复的过程,其中最为关键的是风险控制在理论上与实际操作之间存在很多差距。而且,IT内控能力的提升在很大程度上取决于企业中的“技术”与“人”这两个因素的契合程度。
因此,在提高IT内控能力和管理水平上,我们建议从四个要素入手:①是将IT内控手册普及化和使IT内控规范意识普及化;②是将企业IT内控规范与日常业务运作相结合,并实现实时监控;③是建立企业重大IT风险事项的内控预警平台,防患于未然;④是建立有效长期的IT内控审计监督机制,持续跟踪和改进IT内控风险管理体系。
三. 建设高效IT内控体系的策略
古希腊政治家伯利克利认为:“提升风险管理水平,并不是为了能够准确的预见未来的风险,而是为了不可预知的风险做好准备”。这与中国的谚语“居安思危,有备无患”有异曲同工之妙。所以,构建一个满足企业业务发展需要的预警式IT内控体系,是目前很多CIO在思考的问题。结合研讨会上众多CIO的意见和经验,提出以下几个建设高效IT内控体系的策略仅大家参考:
(1)风险识别:对IT内控能力现状评估
对企业运营中可能遇到的IT风险进行识别,这是IT内控中最为关键的内容。包括IT风险形势评估、IT风险识别、IT风险分析和IT风险评价等几部分。它要求企业从全局的角度去考虑、分析、规划需要控制的事情和范围。例如,IT风险评估可使公司更加清晰地认识到IT意外事件的发生将如何限制业务目标的达成。它的目的是要辨别IT潜藏的内在风险与残存风险。
因此,只有了解IT风险影响的因素,才能把握IT风险发展变化的规律,才能对其制定应对措施以进行控制。对于企业来说,如果IT风险不能得到有效控制,将可能出现系统宕机、网络瘫痪、服务中断、信息错误、数据被非法篡改等严重后果,会直接影响到企业业务的正常开展。通常的做法是要把可能的风险划分一个优先级,对于优先级高的风险要给以更多的关注。
(2)正确评估:分析潜在IT风险的破坏力
企业在构建灵活安全的IT内控体系之前,还需要透彻地分析业务发展所面临的潜在IT风险的破坏力。也就是说要对IT系统出现故障时对各关键业务的影响和破坏力作出正确的评估。因为只有正确分析可能存在的各类IT风险,并正确评估各类IT风险可能造成的影响,才能采取正确有效的措施来规避IT风险。这也是构建高效IT内控体系的一个重要步骤。
根据在研讨会上许多CIO表达的意见,企业在进行IT风险的规避和管控的过程中,往往要面临着如何平衡IT风险管理与业务保护成本的挑战。根据多年来的实践经验,我们建议企业IT管理者可采取分层次、分步骤的方式来做出合理决策,以实现IT风险规避与IT成本之间的巧妙平衡。
(3)选择最佳实践框架,降低IT内控失效风险
国内最早倡导IT内控的一批专家指出,我国IT内控建设最大的问题,不是技术问题,也不是资金问题,而是缺乏有效的实践经验和管理方法的管理问题。简单的说,缺乏IT内控实践方法和具体参照标准是导致许多企业IT内控能力不足的根源之一。因此,为了更有效的建立一个可持续的IT内控体系,企业应要选择一个最佳实践框架,以降低IT内控失效的风险。因为通过采用一种成熟的控制框架可以简化沟通,同时减少所需工作和降低企业成本。我们建议国内企业可采用《企业内部控制基本规范》作为IT内控评估标准,再结合国际上普遍采用的COBIT框架和《SOX萨班斯法案》作为参考。
(4)组建责任明确的IT内控小组机构
IT内控不应只是IT部门一个部门的工作和责任,而应该要上升为全员参与。企业应该成立由公司领导和各部门负责人组成的责任明确的IT内控小组机构。该机构要制定出符合本公司需要的IT管控策略。例如,企业可定期组织跨部门IT内控工作会议,加强部门间IT内控工作的协同配合,保障企业IT内控的高效率执行和实施。这个小组除了担任IT内控的日常工作外,还可负责对IT内控、企业管控的质量进行协调和监督。
(5)制定完善和规范的IT内控工作流程
最后,企业IT部门只有加强IT内控管理,严格执行各项IT内控的规章制度,才能有效的实现风险控制。因此,企业应要借鉴国内外先进的经验,结合业务需要分层次、分步骤地制定和完善IT内控工作流程。例如,可从物理安全、系统安全和管理安全三个方面制定相应的规章制度,逐步形成完备的管理手册,使IT内控工作有章可依、有据可查,并且定期对IT内控制度的执行情况进行评估。
俗话说“凡事预则立,不预则废”。一个成功的IT内控体系可以防止和减少许多潜在IT事件的发生和破坏。正如居安思危,有备无患一样。一个优秀的CIO应在IT内控和风险管理之间达成一种平衡,要大大减小内外部风险对企业复苏进程造成的不良影响。
|