联想网御推出面向国内企业的IT内控解决方案

核心提示：一、IT内部控制的问题与挑战当前金融风暴席卷全球，且中国经历了30年跨越式发展，联想网御推出面向国内企业的IT内控解决方案，中国企业内部控制不太规范，为防患于未然，开发出了适合中国国情的IT内控模型，联想网御的IT内部控制模型由三个基本面组成：IT内控基本要素，2008年6月国家财政部、证监会、审计署、银监会、保监会联

一、IT内部控制的问题与挑战

当前金融风暴席卷全球，且中国经历了30年跨越式发展，中国企业内部控制不太规范。为防患于未然，2008年6月国家财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》，企业内部控制基本规范以保障财务报告的真实性、可靠性为核心，提出相应内部控制要求，于2009年7月1日在上市公司范围内施行，鼓励非上市的其他大中型企业执行，其作用等同于美国的萨班斯法案（SOX）。

企业内控要达到的目的有三个：一是提高企业资源利用的效率与效果；二是要保证财务报告的真实性和可靠性，三是要保证企业经营符合相关法律和法规。作为业务的支撑，IT系统已被国内大中型企业高度依赖，尤其是会计电算化的普及，要保障财务相关信息的真实有效，就必须对企业的IT系统严格控制。

联想网御借以美国萨班斯法案（SOX）IT内控的实践为基础，结合中国具体国情，并根据我们多年贴近用户的IT治理经验，概括了目前国内企业IT内控面临的主要问题：

如何保证权责的正确分配？

如何保证IT基础平台可靠？

如何保证关键应用安全？

如何进行审计监督？

二、IT内部控制基本原理

美国SOX法案作为成功颁布并实施的一个法案，它的IT内控方法值得我们借鉴。在针对SOX方案中的IT内控要求上，美国上市公司普遍采用COBIT（《信息系统和技术控制目标》）的IT内控思想作为企业内控中的IT内控框架，并结合企业实际情况设计出符合规范要求的IT内控体系；具体控制措施采用ISO17779(信息安全管理体系)、ITIL(IT服务管理)等标准中的最佳实践，整合企业原有的控制措施，落实具体的控制方法。

2.1 联想网御IT内部控制模型

联想网御的IT内控方法是结合我们在IT内控中的最佳实践，并参照《企业内部控制基本规范》的相关要求，开发出了适合中国国情的IT内控模型。联想网御的IT内部控制模型由三个基本面组成：IT内控基本要素，IT内控的基本要求和对应的IT资源，对应关系如下图所示：