企业IT部门如何应对《企业内部控制基本规范》.

1、企业 IT 部门如何应对企业内部控制基本规范企业 IT 部门如何应对企业内部控制基本规范 ITIL 篇原定于 2009 年 7 月 1 日起实施的我国首部 企业内部控制基本规范及其配套指引延至 2010 年 1 月 1 日。到 2010 年年底,要求执行企业出具内控自我评 价 报告。这并不意味着企业可以就此松懈，相反，更表明了政府对这套法规的 重视程度, 以及日后的监管力度。随着这部中国萨班斯法案实施脚步的逼近，IT 服务管理 ITSM 越来越受到企业 CIO的青睐，ITIL 为企业 IT 部门所带来的价值也越来越受到瞩目。 作为 ITIL 项目 的实施方，我们北京捷先科技有限公司也乐见其成。

2、IT 内部控制与企业内部控制规范息息相关。 企业内部控制基本规范包含内 部 环境、风险评估、控制措施、信息与沟通以及监督检查等五要素框架。相应的 IT内部控制框架也对应于：（一 IT 内部控制环境。内部环境在企业 IT 领域的体现是 IT 的内部控制环境，它是实施 IT 内部控制的基础。 包括 IT 治理架构、IT 组织与职责，IT 决策机制，IT 合规与 IT审计等。（二 IT 风险评估。风险评估是及时识别、科学分析和评价影响企业内部控制目 标实现的各种不确定因素并采取应对策略的过程，是实施内部控制的重要环节。风 险评估主要包括目标设定、风险识别、风险分析和风险应对。体现在IT 部门主要是对

3、变更风险的管理。（三 IT 控制措施。针对风险评估的结果，在 IT 方面需要实施具体的 IT 控制措 施，包括 IT 技术类控制措施，如防火墙、防病毒、入侵检测、身份管理、权限 管理 等;以及IT 管理类控制措施，包括各类 IT 管控制度与流程，如项目管理、变更管理、 安全管理、运营管理、职责分离、授权审批等。（四 IT 信息与沟通。在 IT 领域也需要明确具体的 IT 管理制度和沟通机制，建 立服务台与事件管理程序，及时传达企业内部层级之间和与企业外部相关的信息。（五 IT 监督检查。需要建立 IT 内部控制体系的审核机制，评价 IT 控制的有效 性。通过 IT 技术手段如日志、监控系统、综

4、合分析平台等，和管理手段如内部IT 审核、管理评审、专项检查等措施，不断改进企业的 IT 内部控制。应对上 述内控细节，企业 IT 部门距离还有多远？就捷先科技多年的 ITIL 实施经验来看，我国大多数企业的 IT 运维仍是在 发生 问题之后充当 救火队”的角色,缺乏固化的工作流程，职责分派不清，而且自动化程 度较低。随着企业的不断发展，IT 技术的不断进步与完善，业务越来越依赖于 IT。 为了更好的为业务提供服务，IT 服务管理项目被逐步提上日程，ITIL 也成为业界推 崇的标准。ITIL 通过一个职能（即服务台,五大流程（即事件管理、问题管理、变更管 理、 配置管理、发布管理流程，将 IT

5、 部门的日常工作规范化、自动化、流程 化、分工明 确，而且能够做到工作可计量。具体而言：（1ITIL 可以对 IT 部门工作流程进行有效梳理，按照事件对业务的影响度进行优 先级划分,同时根据现有员工的实际工作能力、专长，进行合理分工，从而分派其 在 问题处理流程中充当的角色。将日常运维工作的流程固化、显性化。使得只要 业务部门提出请求，IT 部门就能够在第一时间做出反应，安排正确的人在正确 的时间 给予正确的解决，从而提高业务影响力。（2ITIL 对整个运维管理流程，精细到每个事件的处理，都有详细的记录,包括问题 描述、解决方案、操作人员等等。使得我们对人员的考核有了量化的标准，同时这个过程有

6、助于知识积累，形成有效的知识库，可以极大地减少对关键人员的 依赖,降 低人员流失的风险。(3ITIL 定义了严密的变更管理流程，通过一系列计划、审核、审批、实施、回顾 等流程，进行有效地风险控制，将其对业务的影响降至最低。(4ITIL 可以提供详尽的报表统计数据，将 IT 部门的工作量化、显性化，有强有力 的证据来说明 IT 的时间和资金花在什么地方，让企业知道 IT 的预算花在什么地 方, 让业务部门清楚地了解 IT 部门所做的努力和工作，提高透明度。(5ITIL 可以变被动为主动，从根本上改善服务质量，减少事件的发生，降低 IT 成 本。ITIL 源自最佳实践，是一套先进的管理理念，但要真正为企业带来效益还需要 进 一步的落地实施。BMC 的 Remedy 产品基于开放灵活的平台，具有开箱即用的流程模块,是业界公认