香江集团梁维：集团信息化与IT内控

本篇文章版权由ECF和HP所有

香江集团创建于1990年，秉承“办好实业、回报社会”的企业宗旨，近二十年的发展，产业包括家居流通、房地产开发与建设、铝业和金融投资。在家居流通领域，投资控股的金海马集团和香江家居MALL连锁机构，在全国建成和经营了200多家大型家居连锁店，已成为中国最大的家居连锁企业，同时也是首家采用德国SAP先进ERP管理系统的家居零售企业。

事实证明，在香江集团迅速发展的过程中，快捷高效的信息化平台成为了企业发展不可或缺的核心竞争力。近年来，“敢为人先”的香江人在企业信息化建设中进行了许多富有建设意义的尝试，并取得了显著成效——从2000年香江人首次创建金海马集团电子商务网站，到2001年金海马率先成功引入ERP系统（在国内流通企业中第一家成功导入SAP信息管理系统），再到2005年香江集团采用办公自动化系统（OA）；从财务系统NC的上线推广，到物业管理软件在南方香江的广泛应用，再到EHR软件在人力资源系统的升级优化。香江集团在企业信息化方面所进行的探索，赢得了各方的广泛赞誉。

凡事预则立，不预则废

该集团信息技术部经理梁维说：“除了上市公司-香江地产以外，其它两个事业部也是按筹备上市的要求要求进行管控，这就势必要求通过IT管控防止和减少风险，进而提升管理。”梁维进一步强调：“上市公司针对产生财务交易的所有作业流程，都做到能见度、透明度、控制、通讯、风险管理和欺诈防范，且这些流程必须详细记录到可追查交易源头的地步。因此，我们必须加强和建立有效的内部控制框架，以确保上市公司遵守证券法律和提高公司披露信息的准确性和可靠性。”

俗话说“凡事预则立，不预则废”。IT内控作为集团企业内部控制的有机组成部分，对企业竞争力和经济效益的影响越来越大。一个成功的IT内控体系可以防止和减少许多潜在IT事件的发生和破坏。正如居安思危，有备无患一样。一个优秀的IT管理者内控和风险管理之间达成一种平衡，要大大减小内外部风险对企业发展进程造成的不良影响。

梁维坦言：“企业IT部门只有加强IT内控管理，严格执行各项IT内控的规章制度，才能有效的实现风险控制。因此，企业应要借鉴国内外先进的经验，结合业务需要分层次、分步骤地制定和完善IT内控工作流程。例如，可从物理安全、系统安全和管理安全三个方面制定相应的规章制度，逐步形成完备的管理手册，使IT内控工作有章可依、有据可查，并且定期对IT内控制度的执行情况进行评估。由此看来，通过IT内控体系与合规管理来防范和降低集团管控风险，是信息技术部门工作的重要组成部分。”

梁维解释到：“IT内控这个词听起来好象很时髦。其实，在IT内控这个词流行以前，我们是用的规章制度、政策和程序手册来描述具体做事的步骤和规定。但两者之间是有很大的区别：首先，我们以前的规章制度一般是条文式地说明一件事情，而IT内控则强调信息的输入和输出。其次，IT内控非常强调流程的逻辑严密，而以前的规章制度是不容易达到严丝合缝和责任分明。”

四大体系建立是保障

2010年，香江集团通过优化管理架构和管理制度，初步形成立体的管控体系，IT内控不同程度凸现出在业务支持方面的关键作用。那IT是如何成为公司内部控制的一部分呢？

“香江集团是以具体运营流程为基础展开的IT控制，直接关系运营活动的实施。美国SOX（萨班斯）法案所规定IT一般性控制，主要包括信息系统开发流程的控制、程序变更管理控制、计算机运行管理控制、程序与数据访问控制、信息系统安全的控制，还有IT计划等。在一般性控制之外，还有应用系统的控制，包括应用系统中设置的有关业务流程的输入、数据处理和输出控制等。另外，信息技术部门更应侧重于管理，包括加大对分支机构信息系统、系统建设、运维、数据等集中管理的力度，降低分散管理隐含的风险。”

2008年6月，财政部、证监会、银监会、保监会及审计署委联合发布了被称为“中国版萨班斯法案”的《企业内部控制基本规范》，此规范已于2009年7月起在上市企业中实施。其中，该规范第37条规定：“企业应当建立重大风险预警机制和突发事件应急处理机制，明确风险预警标准，对可能发生的重大风险或突发事件，制定应急预案、明确责任人员、规范处置程序，确保突发事件得到及时妥善处理。”

梁维进一步解释到：“IT内控通常包括信息技术部门与使用部门的职责、程序开发修改及控制、程序及数据资料的存取、数据信息的安全控制、公开披露活动的控制等。IT控制有一个治理框架，即COBIT框架。COBIT全称是信息及相关技术的控制目标(ControlObjectivesforInformationandrelatedTechnology)。COBIT是将IT流程、IT资源与企业的策略与目标联系起来，在企业业务战略指导下，对信息及相关资源进行规划与处理。”

梁维认为：香江集团要建立合规的IT内部控制，必须要先打造一个合规的IT内控体系。即总结了以下四方面：

(1)确定合规的IT内控范围

第一步是先确定合规的IT内控范围，它是指根据《企业内部控制基本规范》的要求，从全局角度去考虑、分析、规划需要控制的事情和范围。

以香江集团管控中心为例，香江集团管控中心（投资除外）主要工作是集团财务和集团人力资源两部分，集团财务主要包括：集团资金管理、预算调整审批、NC系统权限申请、控股资金管理、金海马资金管理、家福特资金管理、财务报销管理等，使用用友NC系统进行业务及数据管理，使用OA系统进行财务流程电子审批管理；集团人力资源管理主要包括：集团集团绩效管理、集团薪酬管理、集团培训管理等；使用用友EHR系统进行人员管理及薪酬管理，使用OA系统进行员工考勤、转正等流程电子审批管理；

因此，以上业务流程、IT支持系统、IT系统涉及业务数据、业务数据数据字典、IT系统开发管理、IT系统变更管理等就是IT内部控制的范围；

(2)对选定的IT内控范围进行风险评估

风险评估可使我们香江集团更加清晰地认识到，意外事件的发生将如何限制业务目标的达成。风险评估的目的是要辨别IT合规性的潜藏内在风险与残存风险。当在IT内控时可能会碰到很多风险时，通常的做法是要把可能的风险划分一个优先级，对于优先级高的风险要给以更多的关注。

例如：权限控制的风险，主要内容包括：“是否在IT系统中对不同岗位、级别的工作人员设置不同的操作权限，并且得到认真执行；是否不相容权责分离等。以香江集团管控中心为例，集团财务部制定了用友NC系统管理制度，在制度中对使用用户进行了认真区分，其中包括财务总监、系统管理员、财务经理、财务主管、一般会计、财务出纳等角色的操作及查看权限，并在OA系统上设立NC系统用户申请单流程，通过严谨透明的的审批流程，保证不相容权责分离原则得到认真贯彻；

(3)进行内、外部IT审计

一般来说，合规控制对于上市公司和IT系统有三个层面：最高级是公司级控制，决定了IT内部控制的方向，中级是应用企业层面的控制，主要是与业务流程相结合，体现在IT应用系统中；基础级是指基础层面的控制，主要体现在体现在IT部门向业务部门提供服务过程中。

IT内、外控审计主要内容有：IT制度与流程手册、系统变更(包括应用系统及基础设施)、逻辑访问(包括应用系统及基础设施)、物理访问、IT灾难备份、数据接口、第三方管理、环境控制、问题管理和作业调度等。对于测试不合格的IT控制，应该及时纠正缺陷，完善IT控制体系的设计与提高IT运维的质量，以确保其有效性。

(4)报告管理层IT内控审计情况

IT内部审计完成，应立即形成正式的书面审计结论，并向管理层报告，以方便管理层及时调整和调配IT内控的资源和策略，尽快将风险防患于未然之中。例如将IT内控审计的涉及的不合格项进行逐项整理，，形成IT内控审计管理报告。

领导者支持是关键

梁维认为实现IT内控取决于两方面，首先是得到领导的大力支持。集团企业在建立科学、有效的IT内控体系过程，归根结底是领导者参与的过程，理应获得最高管理者的支持，最高管理者要以高度的责任感和紧迫感推进IT内控体系建设可以达到事半功倍的效果。目前香江集团管理层早已意识到IT内控的重要行和迫切性，正通过制度和流程的梳理和优化改善企业内控建设，IT部门也正在组织同事学习及应用COBITITIL等相关管理体系的外训，IT也势必成为集团内部管控不可缺少的一部分。

此外，企业还应充分借鉴吸纳国际先进标准理念来推进IT内控体系建设（如国际公认的IT内控标准－COBIT），按照集团总部和各地区分、子公司有机结合的方式分阶段展开，最终实现企业各项管理的规范化和系统化，提高企业运行效率和效益，保障遵循国家法规和企业各项规章制度，提高企业整体管理水平与核心竞争力。

综上所述，不难看出香江集团视IT为企业管理的重要组成部分，它具有一定的变革性，通过系统实施规范管理制度，使其更具科学性；规范人的行为，提高自觉性和增强紧迫感；转变思想观念，实现协调性；可以说是借信息化的壳儿掀起了一场香江集团管理变革的浪潮。通过IT内控体系建设，可以加强集团IT管理，提高IT效率，降低IT风险。通过一套有机的、科学的和相互制约的IT内控体系，使监督管理的有章法可依，从而形成良性的IT治理结构和现代企业管理制度。

本篇文章版权由ECF和HP所有