【51CTO.com 綜合報道】

一、IT內(nèi)部控制的問題與挑戰(zhàn)

當前金融風暴席卷全球，且中國經(jīng)歷了30年跨越式發(fā)展，中國企業(yè)內(nèi)部控制不太規(guī)范。為防患于未然，2008年6月國家財政部、證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會聯(lián)合發(fā)布了《企業(yè)內(nèi)部控制基本規(guī)范》，企業(yè)內(nèi)部控制基本規(guī)范以保障財務報告的真實性、可靠性為核心，提出相應內(nèi)部控制要求，于2009年7月1日在上市公司范圍內(nèi)施行，鼓勵非上市的其他大中型企業(yè)執(zhí)行，其作用等同于美國的薩班斯法案（SOX）。

企業(yè)內(nèi)控要達到的目的有三個：一是提高企業(yè)資源利用的效率與效果；二是要保證財務報告的真實性和可靠性，三是要保證企業(yè)經(jīng)營符合相關(guān)法律和法規(guī)。作為業(yè)務的支撐，IT系統(tǒng)已被國內(nèi)大中型企業(yè)高度依賴，尤其是會計電算化的普及，要保障財務相關(guān)信息的真實有效，就必須對企業(yè)的IT系統(tǒng)嚴格控制。

聯(lián)想網(wǎng)御借以美國薩班斯法案（SOX）IT內(nèi)控的實踐為基礎(chǔ)，結(jié)合中國具體國情，并根據(jù)我們多年貼近用戶的IT治理經(jīng)驗，概括了目前國內(nèi)企業(yè)IT內(nèi)控面臨的主要問題：

如何保證權(quán)責的正確分配？

如何保證IT基礎(chǔ)平臺可靠？

如何保證關(guān)鍵應用安全？

如何進行審計監(jiān)督？

二、IT內(nèi)部控制基本原理

美國SOX法案作為成功頒布并實施的一個法案，它的IT內(nèi)控方法值得我們借鑒。在針對SOX方案中的IT內(nèi)控要求上，美國上市公司普遍采用COBIT（《信息系統(tǒng)和技術(shù)控制目標》）的IT內(nèi)控思想作為企業(yè)內(nèi)控中的IT內(nèi)控框架，并結(jié)合企業(yè)實際情況設(shè)計出符合規(guī)范要求的IT內(nèi)控體系；具體控制措施采用ISO17779(信息安全管理體系)、ITIL(IT服務管理)等標準中的最佳實踐，整合企業(yè)原有的控制措施，落實具體的控制方法。

2.1 聯(lián)想網(wǎng)御IT內(nèi)部控制模型

聯(lián)想網(wǎng)御的IT內(nèi)控方法是結(jié)合我們在IT內(nèi)控中的最佳實踐，并參照《企業(yè)內(nèi)部控制基本規(guī)范》的相關(guān)要求，開發(fā)出了適合中國國情的IT內(nèi)控模型。聯(lián)想網(wǎng)御的IT內(nèi)部控制模型由三個基本面組成：IT內(nèi)控基本要素，IT內(nèi)控的基本要求和對應的IT資源，對應關(guān)系如下圖所示：

聯(lián)想網(wǎng)御企業(yè)IT內(nèi)控模型

通過對上述三個方面的實現(xiàn)，最終形成了一個立體的、多層次的、科學的聯(lián)想網(wǎng)御IT內(nèi)控模型。

2.2 IT內(nèi)控基本要素的具體內(nèi)容

根據(jù)《企業(yè)內(nèi)部控制應用指引-征求意見稿》的要求和對IT內(nèi)控的理解，我們認為企業(yè)IT內(nèi)控應該圍繞財務及業(yè)務系統(tǒng)來進行，具體是通過對財務及業(yè)務系統(tǒng)的數(shù)據(jù)、流程以及相關(guān)IT基礎(chǔ)設(shè)施的控制來實現(xiàn)，重點是完善以下幾個方面的控制：

1) 角色管理與授權(quán)審批

2) 信息資源訪問控制

3) 系統(tǒng)開發(fā)、變更與維護控制

4) 硬件及其他配套設(shè)備控制

5) 財務相關(guān)應用系統(tǒng)的控制

三、IT內(nèi)部控制解決方案

在聯(lián)想網(wǎng)御IT內(nèi)控的方法論的基礎(chǔ)上，我們?yōu)槠髽I(yè)IT內(nèi)控提供了一攬子解決方案。我們的解決方案在幫助企業(yè)達到IT內(nèi)控要求的過程中，充分利用企業(yè)已有資源，努力做到企業(yè)的成本/收益最大化。我們認為：嚴格的權(quán)限管理、穩(wěn)固的信息基礎(chǔ)平臺、安全的應用系統(tǒng)和全面的審計監(jiān)控是保證IT內(nèi)控合規(guī)四大核心要素，我們針對這四大要素提出了IT內(nèi)控解決方案，企業(yè)可根據(jù)實際情況，選擇并組合這些解決方案，最終形成貼合自身需求的IT內(nèi)控解決方案，如下圖所示：

聯(lián)想網(wǎng)御IT內(nèi)控解決方案

3.1 權(quán)限管理安全解決方案

在企業(yè)內(nèi)部控制中，IT的組織架構(gòu)及人員控制是保證企業(yè)經(jīng)營管理合法合規(guī)、資產(chǎn)安全以及財務報告和相關(guān)信息真實完整，提高企業(yè)的經(jīng)營效率和效益的關(guān)鍵組成部分。其核心問題就是“明確權(quán)責分配，正確行使職權(quán)”。聯(lián)想網(wǎng)御從產(chǎn)品和服務兩種途徑幫助企業(yè)實現(xiàn)IT內(nèi)控中的權(quán)限管理，解決方案如下：

聯(lián)想網(wǎng)御IT內(nèi)控咨詢服務

聯(lián)想網(wǎng)御提供IT內(nèi)控咨詢服務，幫助企業(yè)梳理組織架構(gòu)和區(qū)分人員權(quán)責，并協(xié)助企業(yè)建立合理的組織架構(gòu)，從信息系統(tǒng)的戰(zhàn)略設(shè)計、人員崗位設(shè)置、人員職責范圍等方面建立起相關(guān)的策略、標準和制度等。

聯(lián)想網(wǎng)御安全審計系統(tǒng)

幫助企業(yè)建立起相關(guān)策略和制度后，使用聯(lián)想網(wǎng)御IT內(nèi)控安全審計系統(tǒng)，監(jiān)控各個層面的人員是否越權(quán)訪問、篡改數(shù)據(jù)、濫用權(quán)利等，聯(lián)想網(wǎng)御安全審計系統(tǒng)不同與一般審計產(chǎn)品，其特點在于可以實現(xiàn)統(tǒng)一控制、集中審計，并且審計覆蓋IT信息系統(tǒng)的絕大多數(shù)類型，能滿足企業(yè)內(nèi)部控制要求的審計、監(jiān)督要求。

通過聯(lián)想網(wǎng)御的解決方案，能幫助企業(yè)實現(xiàn)清晰的權(quán)責分配和權(quán)限管理，達到企業(yè)IT內(nèi)控要求。

3.2 基礎(chǔ)平臺安全解決方案

信息基礎(chǔ)設(shè)施是構(gòu)成信息系統(tǒng)的基礎(chǔ)，如果信息平臺的安全性得不到保證，那應用和數(shù)據(jù)安全也無從談起，我們從信息平臺最基本的三個層面來進行分別實現(xiàn)：物理資產(chǎn)、網(wǎng)絡系統(tǒng)和主機系統(tǒng)，針對每個層面的具體控制，我們都有相應的產(chǎn)品和服務來支撐，如下表所示：

通過使用我們的產(chǎn)品和服務手段，對物理、主機、網(wǎng)絡的權(quán)責分配、訪問控制等方面的控制，使信息基礎(chǔ)平臺達到IT內(nèi)控要求。

3.3 關(guān)鍵應用安全解決方案

業(yè)務、財務系統(tǒng)作為IT內(nèi)控的主要控制目標，其安全性直接影響企業(yè)的經(jīng)營，而財務系統(tǒng)又是IT內(nèi)控中最主要的控制目標。不管業(yè)務系統(tǒng)還是財務系統(tǒng)，我們站在IT系統(tǒng)角度來看，都可以把他們歸類為應用系統(tǒng)，對應用系統(tǒng)的控制，需要對其生命周期的各個階段控制，我們把控制分為三個階段：系統(tǒng)建立、系統(tǒng)使用和系統(tǒng)變更。

針對應用系統(tǒng)生命周期每個過程的具體控制，我們都有相應的產(chǎn)品和服務來支撐實現(xiàn)，如下表所示：

通過使用我們的產(chǎn)品和服務手段，對應用系統(tǒng)進行開發(fā)管控、上線管控、第三方管控、變更管理等實現(xiàn)對關(guān)鍵應用的控制，保證業(yè)務、財務數(shù)據(jù)安全。

3.4 審計監(jiān)控安全解決方案

為滿足企業(yè)IT內(nèi)控需求，規(guī)避潛在的安全風險，聯(lián)想網(wǎng)御除提供有針對性的IT內(nèi)控咨詢、風險評估等安全服務外，還推出了專門針對IT內(nèi)控的安全審計產(chǎn)品，該產(chǎn)品利用了聯(lián)想網(wǎng)御安全管理系統(tǒng)為平臺，有效的審計、監(jiān)控企業(yè)內(nèi)部IT資源環(huán)境。能夠解決企業(yè)當前在訪問控制及審計措施方面所面臨的主要問題，主要功能如下：

1) 日志管理系統(tǒng)

實現(xiàn)網(wǎng)絡日志收集、主機日志收集、應用日志收集、數(shù)據(jù)庫日志收集、其他日志收集以及日志的備份及恢復等。

2) 審計系統(tǒng)功能

實現(xiàn)問題識別、問題優(yōu)先級確定、問題響應流程、問題取證、日志的保留及報表功能等。

3) 安全管理平臺

統(tǒng)一安全管理平臺是整個系統(tǒng)運行的基礎(chǔ)，向其它系統(tǒng)傳遞配置參數(shù)，包括服務運行狀態(tài)、參數(shù)設(shè)置、賬號數(shù)據(jù)、審計策略、安全策略設(shè)置及報表生成等。

四、IT內(nèi)部控制方案的價值

聯(lián)想網(wǎng)御的IT內(nèi)控解決方案，從業(yè)務流程、應用系統(tǒng)與基礎(chǔ)設(shè)施三個維度，通過IT內(nèi)控解決方案集，幫助用戶打造清晰的權(quán)責控制、穩(wěn)固的信息基礎(chǔ)設(shè)施、安全的關(guān)鍵應用和全面的安全審計監(jiān)督，最終幫助用戶實現(xiàn)安全可靠、穩(wěn)定高效、業(yè)務連續(xù)和符合法規(guī)的IT系統(tǒng)，將企業(yè)內(nèi)控的制度、措施通過技術(shù)手段加以固化，規(guī)范企業(yè)內(nèi)部管理水平，提高企業(yè)經(jīng)營管理水平和風險防范能力，有利于促進企業(yè)可持續(xù)發(fā)展。

總之，IT內(nèi)控將給國內(nèi)信息安全行業(yè)帶來新的發(fā)展機遇.當然機會屬于有準備的企業(yè)。