国内企业内控建设现状

内控建设对国内的上市企业来说其实并不陌生，部分上市公司甚至已经实施了相对规范的体系化的内控建设。但是在基本规范出台之前，企业内控的it治理并没有统一的标准，主要以行业规范为指导。

北京谷安天下科技有限公司总经理李华告诉记者：“对于像金融、电信这类整体成熟度高的行业，推动他们进行企业内控建设的主要原因，更多来源于其行业的内部动力和业务驱动。在基本规范没有出台之前，这些行业都有企业内控方面的规范标准。所以在企业内控的建设方面，他们目前做得还是相对规范的。”所以，围绕电信、金融、证券等行业的的企业内控解决方案，也是目前it业对企业内控it治理实施的主要参考标准之一。

事实上，除了行业管理规范外，中国企业在海外上市的热潮，也在某种程度上加速了国内企业对内控建设的步伐。为了跨过国外法律法规的“门槛”， 一些准备在海外上市的公司，不得不在企业内控方面走得更快，并为国内的it咨询、管理软件、信息安全等领域，带来了在企业内控市场快速成长的机会。这也是最近两年，神州数码、太极等企业级市场资源丰富的it服务商都纷纷加大在企业内控市场投入的重要原因之一。

目前，企业内控建设已经脱离了过去自发、盲目的混乱状态，有规划、有明确目标的体系化it治理正在成为主流。在企业内控实施的过程中，部分企业也已经体会到内控建设为他们带来的价值。“像一些在海外上市的企业，开始在我们这儿进行咨询并进行相应it治理的原因，不排除有一定的‘应试’的心理。但是往往做完之后，这些客户大多都感觉这种内控治理做得晚了，如果以前就认识到它的好处，就可以避免很多因管理造成的损失。”李华说。

尽管部分用户对企业内控价值的认识有了很大改观，但对于目前国内的大多上市公司来说，企业内控建设的现状却并不如想象中乐观。即使是目前在内控建设上走得比较快的上市公司，同样存在很大的问题。用友集团内控与风险业务总监刘巍表示：“目前大多数企业实施的it内控基本处于非常初级的阶段，即仅仅以满足正常业务处理记录的需要，而很多现在要求的管理升级往往在系统中没有处理和可供审计的痕迹，具有非常高的it风险。”

除此之外，行业发展不平衡，企业基本面差距大等不利因素也给企业内控的升级建设带来了诸多阻力。企业内控是一个持续的过程，在人力与财力方面需要企业进行持续投入，这也是不少上市公司始终有排斥心理的原因之一。因此，不少业内人士认为，与企业内控相关的it治理能否顺利进行，很大程度上还要看it服务商如何打开企业级市场的这些“结”。

从“基本规范”看it机遇

在《企业内部控制基本规范》颁布后，上市公司的内控建设首次有了一个统一的方向，基本规范也随之成为it业在这一市场的“寻宝”指南。金蝶的相关专家认为：“基本规范涵盖了企业运营的方方面面：从企业战略管理、财务管理、供应链管理、生产管理到人力资源管理、办公管理等等。所有业务都可能产生海量数据，所有的业务都可能存在跨组织、多地点的运作，如何确保数据的及时收集、准确与完整，辅助管理决策，离不开it系统的支撑。”

实际上，基本规范中要求企业实现的内控是以战略为导向的全面内控，对企业it内控的影响也是全方位的。而构建内部控制体系，需要以企业战略为切入点，首先就是梳理企业管理流程与业务流程，而这个工作主要会通过专业的it咨询来完成。所以，从咨询层面切入企业内控市场，对于帮助it企业了解用户的实际需求会起到非常大的作用。“关于企业内控的it咨询，涉及到很多信息安全方面的内容。而这类咨询往往会涉及很多专业的知识，通常也都是由专业厂商来承担这方面的咨询业务。我们前不久就为相关客户提供了这样的服务，这类咨询也是我们充分了解客户的需求，并未他们制定有效的解决方案的基础。” 联想网御总裁刘科全对记者说。

基本规范包括的范围相当广泛，仅内控这项内容就包括：企业层面、业务流程与it一般控制与应用控制，以上这些内容又都与it相关。如何把流程与企业信息系统的建设结合起来，如何把it系统与企业内部管理统一起来，是目前业内研究的主要焦点。“基本规范中要求企业实现的内控是以战略为导向的全面内控，因此对企业it内控的影响也是全方位的。基本规范对于it控制的要求，以及在国内渐渐引入的cobit框架，都将对it厂商提出更加严峻的挑战。”刘巍表示。

业内专家认为，企业建立有效的内部控制，至少应当考虑以下五个基本要素：内部环境、风险评估、控制措施、信息与沟通、监督检查。其中，比较重要的管理升级体现在系统用户的权限管理，例如超级用户的授权限制和操作记录、职责分离权限控制与检查等；还有对业务流程管理的精细化和企业建模的支持，例如灵活定义各种业务流程，包括每个环节的授权审批流程设置、不同环节的相互业务协同与控制设置；以及满足异常业务的预警、自我检查与自动报告功能，例如超越授权的审批、超过预算的业务、以及异常的流程和控制方法的变动记录的自动检索，并按照特定路径向有关人员提交报告。