如何建立IT内控风险预警体系？

　　2010年依然是一个充满变数的一年，目前全球经济正处于动荡之中。从欧洲希腊经济危机到冰岛火山危机，众多的风险和危机在警示我们：风险如影随形，无处不在。但是，目前很多企业在风险防范意识方面都存在着重视程度严重不足，在风险管控措施方面执行不到位，这使得在面对重大突发灾难时很容易陷入生存危机。即使不受突发灾难影响，由于盲目扩张、造假和管理失控等风险造成的“突然死亡事件”也不胜枚举。

　　居安思危，防微杜渐。近日我参加了一个上市公司CIO的专题研讨会，主题是如何建立IT内控风险预警体系。起因是2010年4月，财政部、证监会、审计署、银监会、保监会等五部门联合发布了被称为“中国版萨班斯法案”的《企业内部控制配套指引》。指引文件在第37条中明确指出要把企业内部IT风险控制建设情况纳入上市公司日常监管的范围，确保IT内控风险预警体系的执行质量。而且，为了确保上市公司IT内控风险预警体系的顺利实施，财政部等五个部门还制定了IT内控建设的实施时间表。

　　一.什么是IT内控风险预警体系？

　　风险无处不在、而且还难以度量，这使到企业很难去评估和预防风险。因此，很多时候企业在实施IT内控和风险管理时常常感到无从下手。从研讨会上众多CIO讨论的情况来看，目前国内大部分上市公司在IT内控风险预警和防范方面还存在很多模糊的认识和误解。

　　(1)什么是IT内控风险预警体系？

　　在风险管理体系中，一般包括风险管理计划、风险识别、风险定性分析、风险定量分析、风险响应和风险监控。风险管理贯穿企业各项业务的整个过程，包括事前、事中和事后。统计资料表明越早发现风险、越早采取措施，则风险管理的成本就越低，给企业带来的效益也就越大。按照1：10：100的理论，在第一个阶段控制风险的成本是1，那么如果到了第二个阶段才采取措施，它的成本就会是10，而到了第三个阶段时才采取措施的成本将会是100。因此，在风险管理领域中普遍强调风险管理的计划性和预测性。也就是说，风险预警系统可以为风险识别、风险分析、风险监控等提供强有力的手段，在整个风险管理体系中具有极其重要的地位。

　　为此，2010年4月财政部等五部门联合发布的“中国版萨班斯法案”《企业内部控制配套指引》在第37条明确指出“企业应当建立重大风险预警机制和突发事件应急处理机制，明确风险预警标准，对可能发生的重大风险或突发事件，制定应急预案、明确责任人员、规范处置程序，确保突发事件得到及时妥善处理”的规定。要求IT系统提供对风险事件的预警，并能及时通过各种通讯方式通知相关岗位人员。因此，通过IT内控风险控制体系来防范和降低上市公司的IT违规风险，是企业高层领导和CIO目前最迫切需要解决的难题。

　　(2)IT内控风险预警体系的具体内容

　　任何风险的出现都会有预兆，警兆是指风险发生前的先兆。通常某些指标会提前出现异常的波动，预警系统就是根据一定的原则捕捉到这些异常。因此，企业风险预警系统主要包括警源分析和警兆辨识两部分。警源分析着重分析风险发生的根源性因素;警兆辨识主要通过定量的指标体系分析法和定性描述分析法相结合的方式，提前向企业IT决策者发出预警信号。

　　具体来说，要实现对IT风险警兆的辨识可通过两方面来进行：一是定性分析，即通过对有关IT项目从决策到运营等方面的定性描述判别是否出现警兆;二是定量分析，即通过预警指标体系的指标计算来确定警兆是否出现。因此，风险预警指标体系包括定性指标和定量指标两部分。其中风险预警系统中的定性分析主要是通过对一些无法具体量化而又对IT项目的运行起到决定作用的关键问题进行是非判断，从而决定是否发出预警。定量分析的主要内容是对IT项目中的统计信息设立数量化指标体系，是指通过建立和运用数量化指标体系从定量的角度来分析项目是否存在潜在的风险，从而确定是否存在警兆。

　　一般来说，在IT内控时可能会碰到很多的风险，通常的做法是把可能的IT风险划分一个优先级，对于优先级高的风险要给以更多的关注。例如，对财务违规的IT操作流程和可能会影响上市公司股价波动的IT流程给予高优先级考虑。因此，IT体系风险评估的目的是要辨别出潜藏的IT内在风险与残存风险。通常包括风险判断标准、风险发生的可能性、风险发生的危险度、风险预防措施、风险消除措施等几个方面进行评估。为了更加形象地标识企业出现的IT风险所处的级次，应该把IT风险预警区间分为安全区(绿区)、预警区(黄区)、危机区(红区)三个区域。指标在安全区，表示发生危机的可能性较小;指标在预警区，表示存在发生危机的可能性;指标在危机区，表示发生危机的可能性较大。根据风险评估得分，对照相应的预警区间就可以快速的判断出各企业的IT风险预警警度。

　　在这次研讨会上，众多CIO关注的焦点是如何实现五部门联合发布的“中国版萨班斯法案”《企业内部控制配套指引》第37条。也就是：为使预警功能得到正常充分的发挥，企业应如何建立预警机制。包括信息收集/传递机制、预警分析机制、危机分析机制以及危机处理机制。总结这次研讨会的发言，CIO们一致的认为预警系统的建立有几个关键核心：①是确定预警的指标和判断预警的警戒线，因为预警分析一般包括预警指标和预警指标的临界点等两个要素，一旦评测指标超过临界点，应急计划则应马上启动。②IT预警系统的核心是高效的风险分析机制，是指通过风险分析迅速对影响的因素作出判断，从而可以把主要精力放在有可能造成重大影响的警情上。③预先制定危机处理机制，主要包括应急措施、补救方法、改进方案，并在分析清楚危机后应立即采取消除措施，以减少危机带来的损失。

　　二.如何打造符合第37条的IT内控风险预警体系？

　　古希腊政治家伯利克利认为：“提升风险管理水平，并不是为了能够准确的预见未来的风险，而是为了不可预知的风险做好准备”。这与中国的谚语“居安思危，有备无患”有异曲同工之妙。因此，中国版萨班斯法案《企业内部控制配套指引》在第37条也明确指出企业必须要先打造一个预警式IT内控体系。所以，构建一个满足企业业务发展需要的预警式IT内控体系，是目前很多CIO在思考的问题。结合研讨会上众多CIO的意见和经验，提供以下几个建设高效IT内控风险预警体系的策略仅大家参考：

　　(1)确定IT内控风险预警范围

　　第一步是先确定IT内控风险预警的范围，它是指根据财政部等五部门在去年发布《企业内部控制基本规范》的要求，再结合在今年4月发布的《企业内部控制配套指引》的建议，从全局角度去考虑、分析、规划需要控制的IT内容和范围。这是IT内控风险预警控制中最为关键的内容，包括风险形势评估、风险识别、风险分析和风险评价等几部分。一般来说，确定IT内控风险预警体系的范围可以分为这几个步骤：首先确定IT风险预警报告流程中的核心要素;其次，识别关键的IT内控风险预警流程;最后，是根据IT活动确定关键的IT风险流程和IT风险支持系统，从而确定IT内控风险预警范围。

　　(2)对选定范围进行风险识别和评估

　　对企业IT运营中可能遇到的潜在IT风险进行正确评估其破坏力，是IT内控风险预警最为关键的内容。因为通过对IT风险的识别和评估可使企业更加清晰地认识到IT意外事件的发生将会如何限制企业业务目标的达成。所以，企业在构建灵活安全的IT内控风险预警体系之前，需要先透彻地分析企业所面临的潜在IT风险的破坏力。也就是说，要对IT系统出现故障时对各关键业务的影响和破坏力作出正确的评估。因为只有正确分析可能存在的各类IT风险，并正确评估各类IT风险可能造成的影响，才能采取正确有效的措施来规避IT风险。这也是构建高效IT内控风险预警体系的一个重要步骤。

　　(3)对潜在IT风险实时监控，并实施有效的控制措施

　　建立起全面IT风险预警机制的核心一步，是根据风险识别、评估的结果，针对相关IT风险源制定统一的风险管理战略，加强实时监控。例如，对IT风险预警系统的有效运行进行持续监控与个别评估，充分发挥对潜在IT风险的实时监控作用，实现对潜在风险的实时监控与内部控制措施的有效结合，以改善IT风险控制与管理的效果。

　　(4)组建责任明确的IT风险内控小组，完善监控职能

　　《企业内部控制配套指引》指出IT内控风险预警不应只是IT部门一个部门的工作和责任，而应该是要上升为全员参与。因此，在研讨会上许多CIO纷纷表示，企业应该要成立由公司领导和各部门负责人组成的责任明确的IT风险内控小组，该小组要制定出符合本企业需要的IT内控风险预警策略。例如，企业可定期组织跨部门IT内控风险预警工作会议，加强部门间IT内控风险预警工作的协同配合，保障企业IT内控的高效率执行和实施。这个小组除了担任IT内控风险预警的日常工作外，还可负责对IT内控、企业管控的质量进行协调和监督。

　　(5)培训宣贯与运行推广实施

　　最后，建立IT内控风险预警体系还需要通过宣讲、培训等方式，对企业各部门和人员进行IT内控风险预警体系相关制度的介绍和学习，并根据事先制定好的IT控制框架体系进行试运行和推广实施。也就是说，IT内控风险预警体系的建立和运行的关键在于向全体人员宣传和推广。否则，IT风险预警将成为空中楼阁，纸上谈兵。