【51CTO.com 綜合報道】

一、IT內部控制的問題與挑戰

當前金融風暴席卷全球，且中國經歷了30年跨越式發展，中國企業內部控制不太規范。為防患于未然，2008年6月國家財政部、證監會、審計署、銀監會、保監會聯合發布了《企業內部控制基本規范》，企業內部控制基本規范以保障財務報告的真實性、可靠性為核心，提出相應內部控制要求，于2009年7月1日在上市公司范圍內施行，鼓勵非上市的其他大中型企業執行，其作用等同于美國的薩班斯法案（SOX）。

企業內控要達到的目的有三個：一是提高企業資源利用的效率與效果；二是要保證財務報告的真實性和可靠性，三是要保證企業經營符合相關法律和法規。作為業務的支撐，IT系統已被國內大中型企業高度依賴，尤其是會計電算化的普及，要保障財務相關信息的真實有效，就必須對企業的IT系統嚴格控制。

聯想網御借以美國薩班斯法案（SOX）IT內控的實踐為基礎，結合中國具體國情，并根據我們多年貼近用戶的IT治理經驗，概括了目前國內企業IT內控面臨的主要問題：

如何保證權責的正確分配？

如何保證IT基礎平臺可靠？

如何保證關鍵應用安全？

如何進行審計監督？

二、IT內部控制基本原理

美國SOX法案作為成功頒布并實施的一個法案，它的IT內控方法值得我們借鑒。在針對SOX方案中的IT內控要求上，美國上市公司普遍采用COBIT（《信息系統和技術控制目標》）的IT內控思想作為企業內控中的IT內控框架，并結合企業實際情況設計出符合規范要求的IT內控體系；具體控制措施采用ISO17779(信息安全管理體系)、ITIL(IT服務管理)等標準中的最佳實踐，整合企業原有的控制措施，落實具體的控制方法。

2.1 聯想網御IT內部控制模型

聯想網御的IT內控方法是結合我們在IT內控中的最佳實踐，并參照《企業內部控制基本規范》的相關要求，開發出了適合中國國情的IT內控模型。聯想網御的IT內部控制模型由三個基本面組成：IT內控基本要素，IT內控的基本要求和對應的IT資源，對應關系如下圖所示：

聯想網御企業IT內控模型

通過對上述三個方面的實現，最終形成了一個立體的、多層次的、科學的聯想網御IT內控模型。

2.2 IT內控基本要素的具體內容

根據《企業內部控制應用指引-征求意見稿》的要求和對IT內控的理解，我們認為企業IT內控應該圍繞財務及業務系統來進行，具體是通過對財務及業務系統的數據、流程以及相關IT基礎設施的控制來實現，重點是完善以下幾個方面的控制：

1) 角色管理與授權審批

2) 信息資源訪問控制

3) 系統開發、變更與維護控制

4) 硬件及其他配套設備控制

5) 財務相關應用系統的控制

三、IT內部控制解決方案

在聯想網御IT內控的方法論的基礎上，我們為企業IT內控提供了一攬子解決方案。我們的解決方案在幫助企業達到IT內控要求的過程中，充分利用企業已有資源，努力做到企業的成本/收益最大化。我們認為：嚴格的權限管理、穩固的信息基礎平臺、安全的應用系統和全面的審計監控是保證IT內控合規四大核心要素，我們針對這四大要素提出了IT內控解決方案，企業可根據實際情況，選擇并組合這些解決方案，最終形成貼合自身需求的IT內控解決方案，如下圖所示：

聯想網御IT內控解決方案

3.1 權限管理安全解決方案

在企業內部控制中，IT的組織架構及人員控制是保證企業經營管理合法合規、資產安全以及財務報告和相關信息真實完整，提高企業的經營效率和效益的關鍵組成部分。其核心問題就是“明確權責分配，正確行使職權”。聯想網御從產品和服務兩種途徑幫助企業實現IT內控中的權限管理，解決方案如下：

聯想網御IT內控咨詢服務

聯想網御提供IT內控咨詢服務，幫助企業梳理組織架構和區分人員權責，并協助企業建立合理的組織架構，從信息系統的戰略設計、人員崗位設置、人員職責范圍等方面建立起相關的策略、標準和制度等。

聯想網御安全審計系統

幫助企業建立起相關策略和制度后，使用聯想網御IT內控安全審計系統，監控各個層面的人員是否越權訪問、篡改數據、濫用權利等，聯想網御安全審計系統不同與一般審計產品，其特點在于可以實現統一控制、集中審計，并且審計覆蓋IT信息系統的絕大多數類型，能滿足企業內部控制要求的審計、監督要求。

通過聯想網御的解決方案，能幫助企業實現清晰的權責分配和權限管理，達到企業IT內控要求。

3.2 基礎平臺安全解決方案

信息基礎設施是構成信息系統的基礎，如果信息平臺的安全性得不到保證，那應用和數據安全也無從談起，我們從信息平臺最基本的三個層面來進行分別實現：物理資產、網絡系統和主機系統，針對每個層面的具體控制，我們都有相應的產品和服務來支撐，如下表所示：

通過使用我們的產品和服務手段，對物理、主機、網絡的權責分配、訪問控制等方面的控制，使信息基礎平臺達到IT內控要求。

3.3 關鍵應用安全解決方案

業務、財務系統作為IT內控的主要控制目標，其安全性直接影響企業的經營，而財務系統又是IT內控中最主要的控制目標。不管業務系統還是財務系統，我們站在IT系統角度來看，都可以把他們歸類為應用系統，對應用系統的控制，需要對其生命周期的各個階段控制，我們把控制分為三個階段：系統建立、系統使用和系統變更。

針對應用系統生命周期每個過程的具體控制，我們都有相應的產品和服務來支撐實現，如下表所示：

通過使用我們的產品和服務手段，對應用系統進行開發管控、上線管控、第三方管控、變更管理等實現對關鍵應用的控制，保證業務、財務數據安全。

3.4 審計監控安全解決方案

為滿足企業IT內控需求，規避潛在的安全風險，聯想網御除提供有針對性的IT內控咨詢、風險評估等安全服務外，還推出了專門針對IT內控的安全審計產品，該產品利用了聯想網御安全管理系統為平臺，有效的審計、監控企業內部IT資源環境。能夠解決企業當前在訪問控制及審計措施方面所面臨的主要問題，主要功能如下：

1) 日志管理系統

實現網絡日志收集、主機日志收集、應用日志收集、數據庫日志收集、其他日志收集以及日志的備份及恢復等。

2) 審計系統功能

實現問題識別、問題優先級確定、問題響應流程、問題取證、日志的保留及報表功能等。

3) 安全管理平臺

統一安全管理平臺是整個系統運行的基礎，向其它系統傳遞配置參數，包括服務運行狀態、參數設置、賬號數據、審計策略、安全策略設置及報表生成等。

四、IT內部控制方案的價值

聯想網御的IT內控解決方案，從業務流程、應用系統與基礎設施三個維度，通過IT內控解決方案集，幫助用戶打造清晰的權責控制、穩固的信息基礎設施、安全的關鍵應用和全面的安全審計監督，最終幫助用戶實現安全可靠、穩定高效、業務連續和符合法規的IT系統，將企業內控的制度、措施通過技術手段加以固化，規范企業內部管理水平，提高企業經營管理水平和風險防范能力，有利于促進企業可持續發展。

總之，IT內控將給國內信息安全行業帶來新的發展機遇.當然機會屬于有準備的企業。