如何建立IT内控风险预警体系？

二.如何打造符合第37条的IT内控风险预警体系？

古希腊政治家伯利克利认为：“提升风险管理水平，并不是为了能够准确的预见未来的风险，而是为了不可预知的风险做好准备”。这与中国的谚语“居安思危，有备无患”有异曲同工之妙。因此，中国版萨班斯法案《企业内部控制配套指引》在第37条也明确指出企业必须要先打造一个预警式IT内控体系。所以，构建一个满足企业业务发展需要的预警式IT内控体系，是目前很多CIO在思考的问题。结合研讨会上众多CIO的意见和经验，提供以下几个建设高效IT内控风险预警体系的策略仅大家参考：

(1)确定IT内控风险预警范围

第一步是先确定IT内控风险预警的范围，它是指根据财政部等五部门在去年发布《企业内部控制基本规范》的要求，再结合在今年4月发布的《企业内部控制配套指引》的建议，从全局角度去考虑、分析、规划需要控制的IT内容和范围。这是IT内控风险预警控制中最为关键的内容，包括风险形势评估、风险识别、风险分析和风险评价等几部分。一般来说，确定IT内控风险预警体系的范围可以分为这几个步骤：首先确定IT风险预警报告流程中的核心要素;其次，识别关键的IT内控风险预警流程;最后，是根据IT活动确定关键的IT风险流程和IT风险支持系统，从而确定IT内控风险预警范围。

(2)对选定范围进行风险识别和评估

对企业IT运营中可能遇到的潜在IT风险进行正确评估其破坏力，是IT内控风险预警最为关键的内容。因为通过对IT风险的识别和评估可使企业更加清晰地认识到IT意外事件的发生将会如何限制企业业务目标的达成。所以，企业在构建灵活安全的IT内控风险预警体系之前，需要先透彻地分析企业所面临的潜在IT风险的破坏力。也就是说，要对IT系统出现故障时对各关键业务的影响和破坏力作出正确的评估。因为只有正确分析可能存在的各类IT风险，并正确评估各类IT风险可能造成的影响，才能采取正确有效的措施来规避IT风险。这也是构建高效IT内控风险预警体系的一个重要步骤。

(3)对潜在IT风险实时监控，并实施有效的控制措施

建立起全面IT风险预警机制的核心一步，是根据风险识别、评估的结果，针对相关IT风险源制定统一的风险管理战略，加强实时监控。例如，对IT风险预警系统的有效运行进行持续监控与个别评估，充分发挥对潜在IT风险的实时监控作用，实现对潜在风险的实时监控与内部控制措施的有效结合，以改善IT风险控制与管理的效果。

(4)组建责任明确的IT风险内控小组，完善监控职能

《企业内部控制配套指引》指出IT内控风险预警不应只是IT部门一个部门的工作和责任，而应该是要上升为全员参与。因此，在研讨会上许多CIO纷纷表示，企业应该要成立由公司领导和各部门负责人组成的责任明确的IT风险内控小组，该小组要制定出符合本企业需要的IT内控风险预警策略。例如，企业可定期组织跨部门IT内控风险预警工作会议，加强部门间IT内控风险预警工作的协同配合，保障企业IT内控的高效率执行和实施。这个小组除了担任IT内控风险预警的日常工作外，还可负责对IT内控、企业管控的质量进行协调和监督。

(5)培训宣贯与运行推广实施

最后，建立IT内控风险预警体系还需要通过宣讲、培训等方式，对企业各部门和人员进行IT内控风险预警体系相关制度的介绍和学习，并根据事先制定好的IT控制框架体系进行试运行和推广实施。也就是说，IT内控风险预警体系的建立和运行的关键在于向全体人员宣传和推广。否则，IT风险预警将成为空中楼阁，纸上谈兵。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友