国内企业内控建设现状

　　内控建设对国内的上市企业来说其实并不陌生，部分上市公司甚至已经实施了相对规范的体系化的内控建设。但是在基本规范出台之前，企业内控的IT治理并没有统一的标准，主要以行业规范为指导。

　　北京谷安天下科技有限公司总经理李华告诉记者：“对于像金融、电信这类整体成熟度高的行业，推动他们进行企业内控建设的主要原因，更多来源于其行业的内部动力和业务驱动。在基本规范没有出台之前，这些行业都有企业内控方面的规范标准。所以在企业内控的建设方面，他们目前做得还是相对规范的。”所以，围绕电信、金融、证券等行业的的企业内控解决方案，也是目前IT业对企业内控IT治理实施的主要参考标准之一。

　　事实上，除了行业管理规范外，中国企业在海外上市的热潮，也在某种程度上加速了国内企业对内控建设的步伐。为了跨过国外法律法规的“门槛”， 一些准备在海外上市的公司，不得不在企业内控方面走得更快，并为国内的IT咨询、管理软件、信息安全等领域，带来了在企业内控市场快速成长的机会。这也是最近两年，神州数码、太极等企业级市场资源丰富的IT服务商都纷纷加大在企业内控市场投入的重要原因之一。

　　目前，企业内控建设已经脱离了过去自发、盲目的混乱状态，有规划、有明确目标的体系化IT治理正在成为主流。在企业内控实施的过程中，部分企业也已经体会到内控建设为他们带来的价值。“像一些在海外上市的企业，开始在我们这儿进行咨询并进行相应IT治理的原因，不排除有一定的‘应试’的心理。但是往往做完之后，这些客户大多都感觉这种内控治理做得晚了，如果以前就认识到它的好处，就可以避免很多因管理造成的损失。”李华说。

　　尽管部分用户对企业内控价值的认识有了很大改观，但对于目前国内的大多上市公司来说，企业内控建设的现状却并不如想象中乐观。即使是目前在内控建设上走得比较快的上市公司，同样存在很大的问题。用友集团内控与风险业务总监刘巍表示：“目前大多数企业实施的IT内控基本处于非常初级的阶段，即仅仅以满足正常业务处理记录的需要，而很多现在要求的管理升级往往在系统中没有处理和可供审计的痕迹，具有非常高的IT风险。”

　　除此之外，行业发展不平衡，企业基本面差距大等不利因素也给企业内控的升级建设带来了诸多阻力。企业内控是一个持续的过程，在人力与财力方面需要企业进行持续投入，这也是不少上市公司始终有排斥心理的原因之一。因此，不少业内人士认为，与企业内控相关的IT治理能否顺利进行，很大程度上还要看IT服务商如何打开企业级市场的这些“结”。

　　从“基本规范”看IT机遇

　　在《企业内部控制基本规范》颁布后，上市公司的内控建设首次有了一个统一的方向，基本规范也随之成为IT业在这一市场的“寻宝”指南。金蝶的相关专家认为：“基本规范涵盖了企业运营的方方面面：从企业战略管理、财务管理、供应链管理、生产管理到人力资源管理、办公管理等等。所有业务都可能产生海量数据，所有的业务都可能存在跨组织、多地点的运作，如何确保数据的及时收集、准确与完整，辅助管理决策，离不开IT系统的支撑。”

　　实际上，基本规范中要求企业实现的内控是以战略为导向的全面内控，对企业IT内控的影响也是全方位的。而构建内部控制体系，需要以企业战略为切入点，首先就是梳理企业管理流程与业务流程，而这个工作主要会通过专业的IT咨询来完成。所以，从咨询层面切入企业内控市场，对于帮助IT企业了解用户的实际需求会起到非常大的作用。“关于企业内控的IT咨询，涉及到很多信息安全方面的内容。而这类咨询往往会涉及很多专业的知识，通常也都是由专业厂商来承担这方面的咨询业务。我们前不久就为相关客户提供了这样的服务，这类咨询也是我们充分了解客户的需求，并未他们制定有效的解决方案的基础。” 联想网御总裁刘科全对记者说。

　　基本规范包括的范围相当广泛，仅内控这项内容就包括：企业层面、业务流程与IT一般控制与应用控制，以上这些内容又都与IT相关。如何把流程与企业信息系统的建设结合起来，如何把IT系统与企业内部管理统一起来，是目前业内研究的主要焦点。“基本规范中要求企业实现的内控是以战略为导向的全面内控，因此对企业IT内控的影响也是全方位的。基本规范对于IT控制的要求，以及在国内渐渐引入的COBIT框架，都将对IT厂商提出更加严峻的挑战。”刘巍表示。

　　业内专家认为，企业建立有效的内部控制，至少应当考虑以下五个基本要素：内部环境、风险评估、控制措施、信息与沟通、监督检查。其中，比较重要的管理升级体现在系统用户的权限管理，例如超级用户的授权限制和操作记录、职责分离权限控制与检查等；还有对业务流程管理的精细化和企业建模的支持，例如灵活定义各种业务流程，包括每个环节的授权审批流程设置、不同环节的相互业务协同与控制设置；以及满足异常业务的预警、自我检查与自动报告功能，例如超越授权的审批、超过预算的业务、以及异常的流程和控制方法的变动记录的自动检索，并按照特定路径向有关人员提交报告。

    而建立这样一套内部控制体系，是一项系统工程。这将把企业内控提升到CEO (也是董事会的监管)的工作范围，在整个企业范围内进行一体化的风险与内控管理，内控的责任由高级和部门管理人员承担。最终才可能将内部控制融入到企业日常运营活动中，实现流程驱动、关键风险点控制、授权审批、风险预警、职责分离等关键内控。以满足企业董事会、经理层、员工等不同级次人员的内控要求。因此，整个管理流程必需要由一个有效的安全控制机制来保障。刘科全认为用户认证与授权管理将是企业内控建设的关键保障，它主要是属于应用安全领域的课题，对专业信息安全厂商来说是一个有巨大机会的市场。

　　除了流程控制与信息安全外，基本规范的实施还引发了企业在存档、共享等方面的需求变化。在金融、证券、电信等行业，企业内控的相关要求已经开始涉及电子邮件的归档领域，部分邮件服务器厂商已经开始在这个领域进行投入。

　　“之前大家虽然也在讲法规遵从，但缺少具体执行层面的细则。现在国家新法规时间表已明确，我们也在相关产品线上进行了相应调整。” 华硕服务器产品经理仓荣民表示：“其中之一就是华硕在即将发布的邮件服务器新品中，对邮件系统新增了集合、监控等权限设定，增强了邮件信息在传输过程在的安全控制与规范管理。”

　　“传统企业对电子邮件的重要性尚缺乏正确的认识，对进出邮件疏于管控审核，同时也缺少相应的邮件数据过滤及备份机制。”在硕琦科技公司技术部经理武新坦看来，这不仅增加了企业邮件服务器的运行负担，也增加了邮件信息的泄密机会，甚至会对企业经营造成重大商业损失，而这些都是企业内控方面的大忌。

　　企业内控对IT供应链的影响

　　企业内控本身是一个体系化的管理需求，在IT治理方面必然也会形成一个体系化的建设过程。如果基本规范落地，对目前的IT相关领域的供应链又会产生怎样的影响呢？

　　李华认为，如果不是从IT咨询领域切入企业内控市场，目前无论是厂商还是集成商在法规遵循过程中所能做的工作都不多，IT业的机会要在企业通过法规一年之后才能出现。 “虽然IT作为基础化运营手段不可或缺，但是企业在合规的过程中，第一步还是聘请第三方咨询公司进行战略规划。建立战略目标、搭建整体框架后，才是串联起各个控制点和后期审记的工作。在企业内控的合规建设中，不仅是IT的事情，更是企业的整体风险管理。”李华说。

　　在刘科全看来，基本规范中所体现的企业内控需求，很难通过产品分销渠道去满足，一般集成商满足这样的需求也非常有难度。在企业级市场中，上市公司的信息化程度一般都比较高，对现在产品化程度比较高的针对网络基础环境层面的安全产品的需求非常有限。而从基本规范带动的信息安全需求来看，它不是单一产品或者一些综合打包的产品可以满足的，必须有订制化的应用安全解决方案才可以有效解决企业内控的安全问题。而集成商如果不具备相关专业技能，他们在整个项目中他们所获得的利润和投入也将完全不成正比。

　　与企业内控市场联系最为紧密的管理软件厂商也有类似的看法。尽管企业内控带来了市场机会，但是当前市场上能够为企业提供管控与合规建设的企业并不多，其中多数还是以围绕客户定制开发为主，很少有企业进行产品化的研发，这也是目前为止没有分销渠道进入这一领域的原因。

　　因此，目前顺利切入这一市场的部分ISV，都是通过经验总结出完整的方法论来提供IT规划系列咨询服务产品，依靠专业顾问团队并结合不同行业的解决方案，才得以进入这一市场。

　　尽管如此，在基本规范落地后，企业用户对风险防范的意识必然会有新的改观，而这种意识的变化，也会给相关市场带来大量商机。武新坦指出，新法规的相关规定意味着更严格的系统访问控制以及更明确的责任分离，但目前国内多数企业还没有意识到电子邮件归档的重要性，邮件系统的规范管理同国外相比尚存在较大差距。目前拥有自己邮件服务器的国内企业的数量，只占整个企业市场的1/5，因此国内的邮件服务器市场还有巨大的可开发的空间。而且从目前的市场状况来看，企业在内控建设中体会到IT治理的价值后，对这类新兴市场的发展显然更为有利。

　　“现在，应用邮件归档产品的企业用户每年都在增长，但是大约只有10%是以满足合规要求为目的的，更多的用户都是在用了这样的产品后，开始意识到了它的真正价值。用户能产生这样的认识，对我们来说才是最有价值的。企业内控对IT市场的价值不在于它直接产生多少商机，企业市场因此规范后带来的大量商机才是我们看重的。”Mirapoint中国区总经理牛正人对记者说。“目前，国内的市场有非常大的发展空间，对有相关资源的渠道来说会非常有前途。”

　　“在渠道推广方面，我们比较看重有一定技能及行业背景有的SI和ISV，因为他们离客户最近，也最了解客户的需求。”仓荣民也表示，华硕一向看重与合作伙伴共好共荣，并在产品技术、市场推广、培训、活动等多个环节愿意为合作伙伴提供全力支持。可见，因企业管理意识的提升，在邮件服务器、邮件归档等领域，渠道有更为丰富的介入和发展机会。

    企业内控 期盼春暖花开时

　　基本规范虽然还未落地，但是业内人士普遍认为，已经看到了企业内控走向春天的机会。尽管基本规范所涉及的企业主要为上市公司，但实际参与到企业内控升级建设中的企业会更多。据业内人士分析，除了上市公司本身，它必然还会拓展到集团公司和央企下属的三产公司，甚至会涵盖一些企业上下游产业链的合作伙伴。因为企业需要在业务上进行对接，在管理系统上就要保持一致。

　　比如汽车行业就非常典型，已经可以实现按需生产的汽车公司不能与还在按批供应的零配件供应商合作。所以，尽管央企和上市公司数量有限，但扩展到合作伙伴的话，由基本规范直接驱动的企业市场就已经具备了可观的规模。

　　慧点科技副总裁韩国权显然已经感受到了春天来临前的暖意，他形容早期慧点象在荒地上耕耘，而现在企业已经从财务内控发展到全面内控，企业有了自己的管控需求。

　　李华也从咨询服务业务的不断增长上，深有体会：“一些企业为达到国际标准和取得资质如ISO2000等，或者想接到一些国际定单，还有想提升企业品牌形象的，也要进行管控建设。因此这个市场保持百分之几十的高速成长没有问题。”

　　“企业或多或少通过ERP系统实现了一些内控，但企业在运营管理过程中，普遍存在缺少风险意识、企业各部分个别展开内部控制(缺少系统性)、内部控制责任委派到低层人员、主观衡量风险等情况。”金蝶相关人士表示。

　　一直以来，主流的信息安全厂商和其他领域的厂商在IT基础平台的建设领域都存在交叉竞争。但是刘科全认为，这种竞争在企业内控市场将不复存在，因为应用安全市场是一个只有专业信息安全厂商参与竞争的市场。他形容过去安全厂商是在辛苦的种稻子，每年都要进行大量重复的劳动。种稻子虽然可以保证温饱，但是对信息安全企业来说收获的价值却并不高，安全厂商非常需要通过一些像种树这样的“高产值”市场来带动自身的发展。而像企业内控这样的商机，正是让安全厂商“种树”的机会。

　　而仓荣民认为在新一轮商业机会爆发之前，华硕应该尽快练好内功。与华硕一样，不少企业都已经着手为企业内控所涉及的IT技术进行储备。目前IT业普遍认为，除基本规范之外，即使有了更多的指导，也不可能让国内企业内控市场瞬间成熟。在企业内控的升级过程中，需要边走边学的不仅仅是上市公司，还有IT业自己。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。