香江集團樑維：集團資訊化與IT內控

本篇文章版權由ECF和HP所有

香江集團建立於1990年，秉承“辦好實業、回報社會”的企業宗旨，近二十年的發展，產業包括家居流通、房地產開發與建設、鋁業和金融投資。在家居流通領域，投資控股的金海馬集團和香江家居MALL連鎖機構，在全國建成和經營了200多家大型家居連鎖店，已成為中國最大的家居連鎖企業，同時也是首家採用德國SAP先進ERP管理系統的家居零售企業。

事實證明，在香江集團迅速發展的過程中，快捷高效的資訊化平臺成為了企業發展不可或缺的核心競爭力。近年來，“敢為人先”的香江人在企業資訊化建設中進行了許多富有建設意義的嘗試，並取得了顯著成效——從2000年香江人首次建立金海馬集團電子商務網站，到2001年金海馬率先成功引入ERP系統（在國內流通企業中第一家成功匯入SAP資訊管理系統），再到2005年香江集團採用辦公自動化系統（OA）；從財務系統NC的上線推廣，到物業管理軟體在南方香江的廣泛應用，再到EHR軟體在人力資源系統的升級優化。香江集團在企業資訊化方面所進行的探索，贏得了各方的廣泛讚譽。

凡事預則立，不預則廢

該集團資訊科技部經理樑維說：“除了上市公司-香江地產以外，其它兩個事業部也是按籌備上市的要求要求進行管控，這就勢必要求通過IT管控防止和減少風險，進而提升管理。”樑維進一步強調：“上市公司針對產生財務交易的所有作業流程，都做到能見度、透明度、控制、通訊、風險管理和欺詐防範，且這些流程必須詳細記錄到可追查交易源頭的地步。因此，我們必須加強和建立有效的內部控制框架，以確保上市公司遵守證券法律和提高公司披露資訊的準確性和可靠性。”

俗話說“凡事預則立，不預則廢”。IT內控作為集團企業內部控制的有機組成部分，對企業競爭力和經濟效益的影響越來越大。一個成功的IT內控體系可以防止和減少許多潛在IT事件的發生和破壞。正如居安思危，有備無患一樣。一個優秀的IT管理者內控和風險管理之間達成一種平衡，要大大減小內外部風險對企業發展程式造成的不良影響。

樑維坦言：“企業IT部門只有加強IT內控管理，嚴格執行各項IT內控的規章制度，才能有效的實現風險控制。因此，企業應要借鑑國內外先進的經驗，結合業務需要分層次、分步驟地制定和完善IT內控工作流程。例如，可從物理安全、系統安全和管理安全三個方面制定相應的規章制度，逐步形成完備的管理手冊，使IT內控工作有章可依、有據可查，並且定期對IT內控制度的執行情況進行評估。由此看來，通過IT內控體系與合規管理來防範和降低集團管控風險，是資訊科技部門工作的重要組成部分。”

樑維解釋到：“IT內控這個詞聽起來好象很時髦。其實，在IT內控這個詞流行以前，我們是用的規章制度、政策和程式手冊來描述具體做事的步驟和規定。但兩者之間是有很大的區別：首先，我們以前的規章制度一般是條文式地說明一件事情，而IT內控則強調資訊的輸入和輸出。其次，IT內控非常強調流程的邏輯嚴密，而以前的規章制度是不容易達到嚴絲合縫和責任分明。”

四大體系建立是保障

2010年，香江集團通過優化管理架構和管理制度，初步形成立體的管控體系，IT內控不同程度凸現出在業務支援方面的關鍵作用。那IT是如何成為公司內部控制的一部分呢？

“香江集團是以具體運營流程為基礎展開的IT控制，直接關係運營活動的實施。美國SOX（薩班斯）法案所規定IT一般性控制，主要包括資訊系統開發流程的控制、程式變更管理控制、計算機執行管理控制、程式與資料訪問控制、資訊系統安全的控制，還有IT計劃等。在一般性控制之外，還有應用系統的控制，包括應用系統中設定的有關業務流程的輸入、資料處理和輸出控制等。另外，資訊科技部門更應側重於管理，包括加大對分支機構資訊系統、系統建設、運維、資料等集中管理的力度，降低分散管理隱含的風險。”

2008年6月，財政部、證監會、銀監會、保監會及審計署委聯合釋出了被稱為“中國版薩班斯法案”的《企業內部控制基本規範》，此規範已於2009年7月起在上市企業中實施。其中，該規範第37條規定：“企業應當建立重大風險預警機制和突發事件應急處理機制，明確風險預警標準，對可能發生的重大風險或突發事件，制定應急預案、明確責任人員、規範處置程式，確保突發事件得到及時妥善處理。”

樑維進一步解釋到：“IT內控通常包括資訊科技部門與使用部門的職責、程式開發修改及控制、程式及資料資料的存取、資料資訊的安全控制、公開披露活動的控制等。IT控制有一個治理框架，即COBIT框架。COBIT全稱是資訊及相關技術的控制目標(ControlObjectivesforInformationandrelatedTechnology)。COBIT是將IT流程、IT資源與企業的策略與目標聯絡起來，在企業業務戰略指導下，對資訊及相關資源進行規劃與處理。”

樑維認為：香江集團要建立合規的IT內部控制，必須要先打造一個合規的IT內控體系。即總結了以下四方面：

(1)確定合規的IT內控範圍

第一步是先確定合規的IT內控範圍，它是指根據《企業內部控制基本規範》的要求，從全域性角度去考慮、分析、規劃需要控制的事情和範圍。

以香江集團管控中心為例，香江集團管控中心（投資除外）主要工作是集團財務和集團人力資源兩部分，集團財務主要包括：集團資金管理、預算調整審批、NC系統許可權申請、控股資金管理、金海馬資金管理、家福特資金管理、財務報銷管理等，使用用友NC系統進行業務及資料管理，使用OA系統進行財務流程電子審批管理；集團人力資源管理主要包括：集團集團績效管理、集團薪酬管理、集團培訓管理等；使用用友EHR系統進行人員管理及薪酬管理，使用OA系統進行員工考勤、轉正等流程電子審批管理；

因此，以上業務流程、IT支援系統、IT系統涉及業務資料、業務資料資料字典、IT系統開發管理、IT系統變更管理等就是IT內部控制的範圍；

(2)對選定的IT內控範圍進行風險評估

風險評估可使我們香江集團更加清晰地認識到，意外事件的發生將如何限制業務目標的達成。風險評估的目的是要辨別IT合規性的潛藏內在風險與殘存風險。當在IT內控時可能會碰到很多風險時，通常的做法是要把可能的風險劃分一個優先順序，對於優先順序高的風險要給以更多的關注。

例如：許可權控制的風險，主要內容包括：“是否在IT系統中對不同崗位、級別的工作人員設定不同的操作許可權，並且得到認真執行；是否不相容權責分離等。以香江集團管控中心為例，集團財務部制定了用友NC系統管理制度，在制度中對使用使用者進行了認真區分，其中包括財務總監、系統管理員、財務經理、財務主管、一般會計、財務出納等角色的操作及檢視許可權，並在OA系統上設立NC系統使用者申請單流程，通過嚴謹透明的的審批流程，保證不相容權責分離原則得到認真貫徹；

(3)進行內、外部IT審計

一般來說，合規控制對於上市公司和IT系統有三個層面：最高階是公司級控制，決定了IT內部控制的方向，中級是應用企業層面的控制，主要是與業務流程相結合，體現在IT應用系統中；基礎級是指基礎層面的控制，主要體現在體現在IT部門向業務部門提供服務過程中。

IT內、外控審計主要內容有：IT制度與流程手冊、系統變更(包括應用系統及基礎設施)、邏輯訪問(包括應用系統及基礎設施)、物理訪問、IT災難備份、資料介面、第三方管理、環境控制、問題管理和作業排程等。對於測試不合格的IT控制，應該及時糾正缺陷，完善IT控制體系的設計與提高IT運維的質量，以確保其有效性。

(4)報告管理層IT內控審計情況

IT內部審計完成，應立即形成正式的書面審計結論，並向管理層報告，以方便管理層及時調整和調配IT內控的資源和策略，儘快將風險防患於未然之中。例如將IT內控審計的涉及的不合格項進行逐項整理，，形成IT內控審計管理報告。

領導者支援是關鍵

樑維認為實現IT內控取決於兩方面，首先是得到領導的大力支援。集團企業在建立科學、有效的IT內控體系過程，歸根結底是領導者參與的過程，理應獲得最高管理者的支援，最高管理者要以高度的責任感和緊迫感推進IT內控體系建設可以達到事半功倍的效果。目前香江集團管理層早已意識到IT內控的重要行和迫切性，正通過制度和流程的梳理和優化改善企業內控建設，IT部門也正在組織同事學習及應用COBITITIL等相關管理體系的外訓，IT也勢必成為集團內部管控不可缺少的一部分。

此外，企業還應充分借鑑吸納國際先進標準理念來推進IT內控體系建設（如國際公認的IT內控標準－COBIT），按照集團總部和各地區分、子公司有機結合的方式分階段展開，最終實現企業各項管理的規範化和系統化，提高企業執行效率和效益，保障遵循國家法規和企業各項規章制度，提高企業整體管理水平與核心競爭力。

綜上所述，不難看出香江集團視IT為企業管理的重要組成部分，它具有一定的變革性，通過系統實施規範管理制度，使其更具科學性；規範人的行為，提高自覺性和增強緊迫感；轉變思想觀念，實現協調性；可以說是借資訊化的殼兒掀起了一場香江集團管理變革的浪潮。通過IT內控體系建設，可以加強集團IT管理，提高IT效率，降低IT風險。通過一套有機的、科學的和相互制約的IT內控體系，使監督管理的有章法可依，從而形成良性的IT治理結構和現代企業管理制度。

本篇文章版權由ECF和HP所有