存储与网络安全之企业 IT 内控解决方案_信息管理_基础信
息化
1 定义 IT 内控
IT 内控是企业总体内控的一个重要方面,主要用于管理和控制企业内与
信息技术有关的活动,它是一系列渗透到企业各个角落的控制措施。企业对信息
处理的完整性、可靠性及自动化控制的效率和效果均取决于 IT 内控的有效性。
IT 内控体系的范畴因不同企业的 IT 组织方式、管理方式的不同而有所不
同。基于多年 IT 内控实践经验,我们认为 IT 内控重点关注以下三个领域:
·IT 基础设施
·业务和数据
·策略和流程
1.1 IT 基础设施
IT 基础设施是实现有效 IT 内控的支柱。随着信息化的深入,组织的核心
应用系统都已构架在 IT 平台之上。IT 基础设施不仅是整个组织业务的重要支撑,
也是对组织运营活动进行控制的重要辅助手段。以具体运营流程为基础展开的
IT 控制,直接关系到运营活动的实施。
以 IT 为基础和手段的控制方法,效率要明显高于传统手工或基于纸张的
控制方式。利用 IT 固化内控流程可以简化企业的内控过程,降低内控成本,优
化内控项目的成本效益比,并帮助企业达到内控效力持续性的要求。IT 的规范
化操作程序以及信息系统的信息备份功能,能够降低内控审计的难度。
IT 管理者应该清晰地认识到 IT 基础设施在组织建立内部控制中的优势
和承担的责任。由于信息技术的复杂性,IT 部门有责任帮助和配合组织其他部
门建立合适的“应用控制”。这不仅能帮助公司达到内部控制的要求,也有利于
提升 IT,在公司中的价值。