第一篇：CIO如何借SOX經(jīng)驗(yàn)建合規(guī)IT內(nèi)控體系

CIO如何借SOX經(jīng)驗(yàn)建合規(guī)IT內(nèi)控體系？ 2009年05月26日01:57

來源：我有話說 查看評論(0)好文我頂(0)

由于我國的《企業(yè)內(nèi)部控制基本規(guī)范》要在2009年7月才開始施行，因此這次的上市公司CIO高層論壇上熱點(diǎn)討論和借鑒的是美國于2002年發(fā)布的《薩班斯—奧克斯利法案》(簡稱SOX法案)。

經(jīng)濟(jì)危機(jī)使到2009年依然是一個(gè)充滿變數(shù)的一年。近日我參加了一個(gè)上市公司CIO的專題研討會，主題是如何建立合規(guī)的IT內(nèi)控體系，以符合上市公司的規(guī)范。起因是面對即將于2009年7月實(shí)施的《企業(yè)內(nèi)部控制基本規(guī)范》，上市公司均急需一套普遍適用的IT內(nèi)部控制方法以滿足《企業(yè)內(nèi)部控制基本規(guī)范》的要求，和協(xié)助IT部門建立合規(guī)的IT內(nèi)部控制機(jī)制。

但是，從研討會上大家討論的情況來看，目前國內(nèi)大部分上市公司在內(nèi)控風(fēng)險(xiǎn)防范意識方面，特別是對合規(guī)的IT內(nèi)控體系的重視程度還嚴(yán)重不足，IT內(nèi)部管控措施也經(jīng)常執(zhí)行不到位，這使得許多上市公司很容易陷入違規(guī)的財(cái)務(wù)操作風(fēng)險(xiǎn)危機(jī)之中。而且，經(jīng)濟(jì)危機(jī)的漫延也在警示我們：財(cái)務(wù)違規(guī)風(fēng)險(xiǎn)如影隨形，無處不在。因此，如何通過IT內(nèi)控體系與合規(guī)管理來防范和降低上市公司的財(cái)務(wù)違規(guī)風(fēng)險(xiǎn)，是企業(yè)高層領(lǐng)導(dǎo)和CIO目前最迫切需要解決的難題。

一.什么是SOX法案的合規(guī)性?

由于我國的《企業(yè)內(nèi)部控制基本規(guī)范》要在2009年7月才開始施行，因此這次的上市公司CIO高層論壇上熱點(diǎn)討論和借鑒的是美國于2002年發(fā)布的《薩班斯—奧克斯利法案》(簡稱SOX法案)。SOX法案的產(chǎn)生源自于上市公司操作的不規(guī)范和公司丑聞的披露，它要求上市公司針對產(chǎn)生財(cái)務(wù)交易的所有作業(yè)流程，都做到能見度、透明度、控制、通訊、風(fēng)險(xiǎn)管理和欺詐防范，且這些流程必須詳細(xì)記錄到可追查交易源頭的地步。因此，SOX法案明確提出了所有上市公司都必須加強(qiáng)和建立有效的內(nèi)部控制框架，以確保上市公司遵守證券法律和提高公司披露信息的準(zhǔn)確性和可靠性。

在2008年6月，我國財(cái)政部、證監(jiān)會、銀監(jiān)會、保監(jiān)會及審計(jì)署委聯(lián)合發(fā)布了被稱為“中國版薩班斯法案”的《企業(yè)內(nèi)部控制基本規(guī)范》，此規(guī)范將于2009年7月起首先在上市企業(yè)中實(shí)施。其中，該規(guī)范第37條規(guī)定：“企業(yè)應(yīng)當(dāng)建立重大風(fēng)險(xiǎn)預(yù)警機(jī)制和突發(fā)事件應(yīng)急處理機(jī)制，明確風(fēng)險(xiǎn)預(yù)警標(biāo)準(zhǔn)，對可能發(fā)生的重大風(fēng)險(xiǎn)或突發(fā)事件，制定應(yīng)急預(yù)案、明確責(zé)任人員、規(guī)范處置程序，確保突發(fā)事件得到及時(shí)妥善處理?！?/p>

與我國的《企業(yè)內(nèi)部控制基本規(guī)范》第37條規(guī)定相比較，在“美國版薩班斯法案”中也有類似條款，比如第404條款規(guī)定：企業(yè)必須了解那些可能影響財(cái)務(wù)報(bào)告流程的風(fēng)險(xiǎn)，并必須要實(shí)施恰當(dāng)?shù)目刂埔宰柚关?cái)務(wù)違法行為。此外，SOX法案第404條款還要求，企業(yè)需建立一個(gè)基礎(chǔ)設(shè)施，以確保所有的記錄和數(shù)據(jù)不會被毀滅、丟失、未經(jīng)授權(quán)的變更和錯(cuò)誤的使用。由于IT和財(cái)務(wù)報(bào)告的關(guān)聯(lián)性，故IT也需要加強(qiáng)控制以達(dá)到SOX法案的合規(guī)要求。因此，上市公司在建立符合《薩班斯—奧克斯利法案》要求的企業(yè)風(fēng)險(xiǎn)管理與內(nèi)部控制的工作中，60%在財(cái)務(wù)控制上,而40%是在IT控制上的。所以，SOX法案在合規(guī)方面也要求企業(yè)必須落實(shí)到對IT的有效管理控制上來。

二.從SOX合規(guī)性看我國IT內(nèi)控規(guī)范

(1)為什么內(nèi)控合規(guī)必須以IT為突破口?

無論是美國的SOX法案還是我國的《企業(yè)內(nèi)部控制基本規(guī)范》涉及的東西都比較多，在這里我們主要關(guān)注的是IT內(nèi)控方面的內(nèi)容。在很多公司內(nèi)部，財(cái)務(wù)報(bào)告流程是由IT系統(tǒng)驅(qū)動的。無論是ERP系統(tǒng)還是其它系統(tǒng)，都與財(cái)務(wù)交易中的開始、批準(zhǔn)、記錄、處理和報(bào)告等活動緊密集成。比如財(cái)務(wù)報(bào)告保存在財(cái)務(wù)系統(tǒng)里，財(cái)務(wù)系統(tǒng)的數(shù)據(jù)從業(yè)務(wù)系統(tǒng)來，業(yè)務(wù)系統(tǒng)的數(shù)據(jù)也存放在相關(guān)的數(shù)據(jù)庫里，數(shù)據(jù)庫又是保存在服務(wù)器上，服務(wù)器還可能跟網(wǎng)絡(luò)互聯(lián)。因此，在財(cái)務(wù)信息操作上只要有一絲的漏洞，都可能是被IT系統(tǒng)出賣的。因此，合規(guī)的問題不再只是CEO、CFO的職責(zé)，IT部門在這方面也將漸漸承擔(dān)主角。簡單的說，IT是保證財(cái)務(wù)報(bào)告內(nèi)部控制有效性的基礎(chǔ)。

雖然，我國的《企業(yè)內(nèi)部控制基本規(guī)范》要求企業(yè)實(shí)現(xiàn)的內(nèi)控是以戰(zhàn)略為導(dǎo)向的全面內(nèi)控，但該規(guī)范包括的范圍相當(dāng)廣泛，僅內(nèi)控這項(xiàng)內(nèi)容就包括：企業(yè)層面、業(yè)務(wù)流程與IT一般控制與IT應(yīng)用控制。其中涉及到企業(yè)運(yùn)營的方方面面：從企業(yè)戰(zhàn)略管理、財(cái)務(wù)管理、供應(yīng)鏈管理、生產(chǎn)管理到人力資源管理、OA辦公管理等。由于所有的業(yè)務(wù)都可能產(chǎn)生數(shù)據(jù)，而如何確保數(shù)據(jù)的及時(shí)收集、準(zhǔn)確與完整性都離不開IT系統(tǒng)的支撐。因此，如何把IT內(nèi)控與企業(yè)內(nèi)控管理統(tǒng)一起來，是合規(guī)《企業(yè)內(nèi)部控制基本規(guī)范》的一個(gè)關(guān)鍵點(diǎn)。也就是說，在內(nèi)控合規(guī)方面，IT就是一個(gè)最佳的突破口。

(2)借鑒SOX合規(guī)對IT內(nèi)控的要求

SOX法案對IT內(nèi)控要求主要有兩個(gè)方面：一個(gè)是IT應(yīng)用控制(ITApplicationControl)，是因?yàn)榇蠖鄶?shù)上市公司在一定程度上都依賴IT系統(tǒng)來運(yùn)作業(yè)務(wù)，IT系統(tǒng)對業(yè)務(wù)流程的控制作用非常大，因此必須對業(yè)務(wù)流程所依賴的IT系統(tǒng)進(jìn)行某些控制，其中特別是針對支持財(cái)務(wù)報(bào)告的特定IT應(yīng)用。另一方面是IT一般控制(ITGenerallyControl)，是因?yàn)樯鲜泄颈厝挥幸粋€(gè)完整的IT系統(tǒng)做支撐，所以對于支撐公司運(yùn)作的IT基礎(chǔ)技術(shù)架構(gòu)平臺，必須進(jìn)行有效管理控制。其中主要是針對基本的IT基礎(chǔ)設(shè)施控制，包括物理和邏輯網(wǎng)絡(luò)安全、數(shù)據(jù)庫管理、系統(tǒng)開發(fā)、變更控制、災(zāi)難恢復(fù)等。

SOX法案是一部典型的法律文件，它既不是管理手冊，也不是行動指南。它只規(guī)定了上市公司在整體或業(yè)務(wù)層面上必須達(dá)到的要求，卻沒有指明上市公司應(yīng)該如何達(dá)到法案規(guī)定的水平。比如SOX法案要求企業(yè)的IT內(nèi)控必須有效，但落實(shí)到具體IT控制方面SOX法案則完全沒有給出任何的指導(dǎo)意見。例如，上市公司需要什么樣的IT控制，如何進(jìn)行IT控制和IT內(nèi)控效力如何評估等全都不在SOX法案范圍之內(nèi)。

但根據(jù)上市公司內(nèi)控需求和SOX法案的合規(guī)性管理描述，IT部門的主要職責(zé)和活動應(yīng)該包括：①是深入了解公司的內(nèi)控項(xiàng)目和財(cái)務(wù)匯報(bào)流程，②確定與內(nèi)控活動或財(cái)務(wù)匯報(bào)流程相對應(yīng)的IT系統(tǒng);③是分析和辨別這些IT系統(tǒng)帶來的風(fēng)險(xiǎn)，并對此進(jìn)行監(jiān)控以保證控制措施的長期效力;④是將控制措施文檔化和IT化，并進(jìn)行測試;⑤是及時(shí)地對IT控制進(jìn)行必要的升級和變更，以配合公司內(nèi)控或財(cái)務(wù)匯報(bào)流程的變化;⑥是作為一個(gè)重要的職能部門，IT部門應(yīng)該全程參與公司SOX法案合規(guī)管理項(xiàng)目。

三.如何打造合規(guī)的IT內(nèi)控體系?

從IT控制的范圍來說，IT內(nèi)控通常包括IT內(nèi)控環(huán)境、IT運(yùn)維、IT系統(tǒng)和數(shù)據(jù)的訪問、系統(tǒng)開發(fā)和系統(tǒng)變更等部分。IT控制有一個(gè)治理框架，即COBIT框架。COBIT全稱是信息及相關(guān)技術(shù)的控制目標(biāo)(Controltives for Information andrelatedTechnology)。COBIT是將IT流程、IT資源與企業(yè)的策略與目標(biāo)聯(lián)系起來，在企業(yè)業(yè)務(wù)戰(zhàn)略指導(dǎo)下，對信息及相關(guān)資源進(jìn)行規(guī)劃與處理。因此，有IT專家認(rèn)為，企業(yè)要建立合規(guī)的IT內(nèi)部控制，必須要先打造一個(gè)合規(guī)的IT內(nèi)控體系。

(1)確定合規(guī)的IT內(nèi)控范圍

第一步是先確定合規(guī)的IT內(nèi)控范圍，它是指根據(jù)《企業(yè)內(nèi)部控制基本規(guī)范》的要求，從全局角度去考慮、分析、規(guī)劃需要控制的事情和范圍。這是IT內(nèi)部控制中最為關(guān)鍵的內(nèi)容，包括風(fēng)險(xiǎn)形勢評估、風(fēng)險(xiǎn)識別、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評價(jià)等幾部分。一般來說，確定IT內(nèi)控的范圍可以分為這幾個(gè)步驟：首先確定財(cái)務(wù)報(bào)告流程中的核心要素;其次，識別關(guān)鍵的業(yè)務(wù)流程;最后，根據(jù)財(cái)務(wù)交易活動確定關(guān)鍵的IT流程和IT支持系統(tǒng)，從而確定IT內(nèi)控范圍。

(2)對選定的IT內(nèi)控范圍進(jìn)行風(fēng)險(xiǎn)評估

風(fēng)險(xiǎn)評估可使上市公司更加清晰地認(rèn)識到，意外事件的發(fā)生將如何限制業(yè)務(wù)目標(biāo)的達(dá)成。風(fēng)險(xiǎn)評估的目的是要辨別IT合規(guī)性的潛藏內(nèi)在風(fēng)險(xiǎn)與殘存風(fēng)險(xiǎn)。當(dāng)在IT內(nèi)控時(shí)可能會碰到很多風(fēng)險(xiǎn)時(shí)，通常的做法是要把可能的風(fēng)險(xiǎn)劃分一個(gè)優(yōu)先級，對于優(yōu)先級高的風(fēng)險(xiǎn)要給以更多的關(guān)注，例如財(cái)務(wù)違規(guī)操作流程和影響上市公司股價(jià)波動的信息透露的流程。包括風(fēng)險(xiǎn)判斷標(biāo)準(zhǔn)、風(fēng)險(xiǎn)發(fā)生的可能性、風(fēng)險(xiǎn)發(fā)生的危險(xiǎn)度、風(fēng)險(xiǎn)預(yù)防措施、風(fēng)險(xiǎn)消除措施等幾個(gè)方面進(jìn)行評估。在IT內(nèi)控合規(guī)過程中，很多東西都是未知的，要把握這種不確定性，唯有把這種不確定性深深嵌入到IT內(nèi)控風(fēng)險(xiǎn)評估中才可能會得到有效的控制。

(3)進(jìn)行內(nèi)部IT審計(jì)

通常來說，合規(guī)控制對于上市公司和IT系統(tǒng)來說有三種控制：公司級控制、應(yīng)用控制和通用控制，這三種控制的范圍、手段方法和力度是不同的。因此，在控制文檔設(shè)計(jì)完畢后，上市公司需要自行先進(jìn)行一次IT內(nèi)部審計(jì)。IT內(nèi)控審計(jì)主要有：IT制度與流程手冊、系統(tǒng)變更(包括應(yīng)用系統(tǒng)及基礎(chǔ)設(shè)施)、邏輯訪問(包括應(yīng)用系統(tǒng)及基礎(chǔ)設(shè)施)、物理訪問、IT災(zāi)難備份、數(shù)據(jù)接口、第三方管理、環(huán)境控制、問題管理和作業(yè)調(diào)度等。對于測試不合格的IT控制，應(yīng)該及時(shí)糾正缺陷，完善IT控制體系的設(shè)計(jì)與提高IT運(yùn)維的質(zhì)量，以確保其有效性。

(4)報(bào)告管理層IT內(nèi)控審計(jì)情況

在IT內(nèi)控審計(jì)完成后，應(yīng)該立即形成正式的書面審計(jì)結(jié)論，并向管理層報(bào)告情況，以方便管理層及時(shí)調(diào)整和調(diào)配IT內(nèi)控的資源和策略，盡快將風(fēng)險(xiǎn)防患于未然之中。例如將IT內(nèi)控審計(jì)的計(jì)劃、行動和結(jié)果進(jìn)行整理和分析，形成IT內(nèi)控審計(jì)管理報(bào)告。

俗話說“凡事預(yù)則立，不預(yù)則廢”。在《企業(yè)內(nèi)部控制基本規(guī)范》合規(guī)過程中，一個(gè)成功的IT內(nèi)控體系可以防止和減少許多潛在問題的發(fā)生和影響。正如居安思危，有備無患一樣。一個(gè)優(yōu)秀的CIO應(yīng)在IT內(nèi)控和合規(guī)之間達(dá)成一種平衡，從而大大減小內(nèi)部風(fēng)險(xiǎn)對整個(gè)公司所造成的影響。

第二篇：內(nèi)控合規(guī)

內(nèi)控合規(guī)學(xué)習(xí)心得體會

合規(guī)經(jīng)營是銀行穩(wěn)健運(yùn)行的內(nèi)在要求，是每一個(gè)員工必須履行的職責(zé)，同時(shí)也是保障我們自己切身利益的有力武器，通過全行開展的內(nèi)控制度學(xué)習(xí)，是我對合規(guī)有了更加深刻的認(rèn)識：合規(guī)操作涉及銀行各條線、各部門，覆蓋銀行業(yè)務(wù)的每一個(gè)環(huán)節(jié)，作為中國銀行的老員工，我深刻體會到合規(guī)經(jīng)營意思重大?，F(xiàn)在就這次學(xué)習(xí)談?wù)勛约旱捏w會：

一、愛崗敬業(yè)、無私奉獻(xiàn)：在平凡中奉獻(xiàn)，愛崗敬業(yè)是各行各業(yè)中最為普遍的奉獻(xiàn)精神，它看似平凡，實(shí)則偉大。作為農(nóng)行人，為了農(nóng)行的前途，為了農(nóng)行的榮譽(yù)，做一名愛崗敬業(yè)的人，是職業(yè)道德對我們最引為用以規(guī)范行為品質(zhì)，評價(jià)善惡的行為規(guī)則。

作為一個(gè)金融單位的職工更應(yīng)以自己所從事的職業(yè)上講求道與德，如果路走得不對就會犯錯(cuò)誤，就會迷失方向；如果沒有德，就難于為人民服務(wù)，就談不上自己的事業(yè)，也就沒有單位事業(yè)的興旺，就沒有個(gè)人事業(yè)的發(fā)展，也就失去了人身存在的社會價(jià)值。我現(xiàn)在正在從事農(nóng)行工作，這是我的職業(yè)，也是我唯一的職業(yè)，自我參加工作以來，我一直從事這項(xiàng)職業(yè)，也一直熱愛這個(gè)職業(yè)，對農(nóng)行工作有濃厚的興趣和深厚的感情，所以我一直是愛崗敬業(yè)的。只有愛崗敬業(yè)才是我為人民服務(wù)的精神的具體體現(xiàn)。

二、加強(qiáng)業(yè)務(wù)知識學(xué)習(xí)、提升合規(guī)操作意識?！皼]有規(guī)矩何成方圓”，身為網(wǎng)點(diǎn)一線員工，切實(shí)提高業(yè)務(wù)素質(zhì)和風(fēng)險(xiǎn)防范能力，全面加強(qiáng)柜面營銷和柜臺服務(wù)，是我們臨柜人員最為實(shí)際的工作任務(wù)。因

此，在臨柜工作中，我始終堅(jiān)持要做一個(gè)“有心人”。虛心學(xué)習(xí)業(yè)務(wù)，用心鍛煉技能，耐心辦理業(yè)務(wù)，熱心對待客戶。在銀行業(yè)競爭日趨激烈的形勢下，我們都很清楚地意識到：只有更耐心、周到、快捷的優(yōu)質(zhì)服務(wù)才能為我行爭取更多的客戶，贏得更好的社會形象。

加強(qiáng)合規(guī)操作意識，并不是一句掛在嘴邊的空話。有時(shí)，總是覺得有的規(guī)章制度在束縛著我們業(yè)務(wù)的辦理，在制約著我們的業(yè)務(wù)發(fā)展，細(xì)細(xì)想來，其實(shí)不然，各項(xiàng)規(guī)章制度的建立，不是憑空想象出來產(chǎn)物，而是在經(jīng)歷過許許多多實(shí)際工作經(jīng)驗(yàn)教訓(xùn)總結(jié)出來的，只有按照各項(xiàng)規(guī)章制度辦事，我們才有保護(hù)自己的權(quán)益和維護(hù)廣大客戶的權(quán)益能力。我們的各項(xiàng)規(guī)章制度正如一架龐大的機(jī)器，每一項(xiàng)制度都是一個(gè)機(jī)器零件，如果我們不按程序去操作維護(hù)它，哪怕是少了一顆螺絲釘，也會造成不可估量的損失，各項(xiàng)制度的維護(hù)和貫徹是要靠我們廣大的員工嚴(yán)格執(zhí)行，規(guī)章制度的執(zhí)行，不是靠某一人來執(zhí)行的，而是要靠一個(gè)集體相互制約、監(jiān)督來實(shí)施的。

通過“內(nèi)控制度活動”的學(xué)習(xí)，增強(qiáng)了本人遵紀(jì)守法的自覺性，顯示了遵紀(jì)守法的必要性，激發(fā)了遵紀(jì)守法的熱情，提高了工作中的自律意識，使我們廣大職工在日常的工作中“細(xì)到項(xiàng)目，認(rèn)真到成因”，自發(fā)地以“自重、自省、自警自勵(lì)”嚴(yán)格要求自己，并做到遵紀(jì)守法，嚴(yán)以律己，盡職盡責(zé)，恪守職業(yè)道德，爭做遵規(guī)守紀(jì)的農(nóng)行人，為實(shí)現(xiàn)中國農(nóng)業(yè)銀行持續(xù)穩(wěn)健經(jīng)營、快速發(fā)展的既定目標(biāo)貢獻(xiàn)力量！

第三篇：內(nèi)控合規(guī)

中國工商銀行股份有限公司江蘇省揚(yáng)州分行征文

題

目：

內(nèi)控提升品質(zhì)，合規(guī)創(chuàng)造價(jià)值 姓

名： 余加強(qiáng) 單

位： 儀征白沙支行

內(nèi)控提升品質(zhì)，合規(guī)創(chuàng)造價(jià)值 內(nèi)部合規(guī)管理的主要內(nèi)容

1.1 內(nèi)部環(huán)境

內(nèi)部環(huán)境是銀行實(shí)施內(nèi)部控制的基礎(chǔ)，一般包括智力結(jié)構(gòu)、機(jī)構(gòu)設(shè)置及權(quán)責(zé)分配、內(nèi)部審計(jì)、人力資源政策、企業(yè)文化等。

1.2 風(fēng)險(xiǎn)評估

風(fēng)險(xiǎn)評估是銀行及時(shí)識別、系統(tǒng)分析經(jīng)營活動中與現(xiàn)實(shí)內(nèi)部控制目標(biāo)相關(guān)的風(fēng)險(xiǎn)，合理確定風(fēng)險(xiǎn)應(yīng)對策略。銀行開展風(fēng)險(xiǎn)評估，應(yīng)當(dāng)準(zhǔn)確識別與現(xiàn)實(shí)目標(biāo)相關(guān)的內(nèi)部風(fēng)險(xiǎn)和外部風(fēng)險(xiǎn)，確定相應(yīng)的風(fēng)險(xiǎn)承受度。銀行應(yīng)根據(jù)風(fēng)險(xiǎn)分析的結(jié)果，結(jié)合風(fēng)險(xiǎn)承受度，權(quán)衡風(fēng)險(xiǎn)與收益，綜合運(yùn)用風(fēng)險(xiǎn)規(guī)避、風(fēng)險(xiǎn)降低、風(fēng)險(xiǎn)分擔(dān)和風(fēng)險(xiǎn)承受等應(yīng)對策略，實(shí)現(xiàn)對風(fēng)險(xiǎn)的有效控制。

1.3 控制活動

控制活動是銀行根據(jù)風(fēng)險(xiǎn)評估結(jié)果，采用相應(yīng)的控制措施，將風(fēng)險(xiǎn)控制在可承受度之內(nèi)?？刂拼胧┮话惆ǎ翰幌嗳萋殑?wù)分離控制、授權(quán)審批控制、會計(jì)系統(tǒng)控制、財(cái)產(chǎn)保護(hù)控制、預(yù)算控制、運(yùn)營分析控制和績效考評控制等。同時(shí)，銀行應(yīng)當(dāng)建立重大風(fēng)險(xiǎn)預(yù)警機(jī)制和突發(fā)事件應(yīng)急處理機(jī)制，明確風(fēng)險(xiǎn)預(yù)警標(biāo)準(zhǔn)，對可能發(fā)生的重大風(fēng)險(xiǎn)或突發(fā)事件，制定應(yīng)急預(yù)案、明確責(zé)任人員、規(guī)范處置程序，確保突發(fā)事件得到及時(shí)妥善處理。

1.4 信息與溝通

信息與溝通是銀行及時(shí)、準(zhǔn)確地收集、傳遞與內(nèi)部控制相關(guān)的信息，確保信息在銀行內(nèi)部、銀行與外部之間進(jìn)行有效溝通。

銀行應(yīng)當(dāng)利用信息技術(shù)出盡信息的集成與共享，充分發(fā)揮信息技術(shù)在信息與溝通中的作用，并加強(qiáng)對信息系統(tǒng)開發(fā)與維護(hù)、訪問與變更、數(shù)據(jù)輸入與輸出、文件儲存與保管、網(wǎng)絡(luò)安全等方面的控制，保證信息系統(tǒng)安全、穩(wěn)定運(yùn)行。

銀行應(yīng)當(dāng)建立反舞弊機(jī)制，堅(jiān)持懲防并舉、重在預(yù)防的原則，明確反舞弊工作的重點(diǎn)領(lǐng)域、關(guān)鍵環(huán)節(jié)和有關(guān)機(jī)構(gòu)在反舞弊工作中的職責(zé)權(quán)限，規(guī)范舞弊案件的舉報(bào)、調(diào)查、處理、報(bào)告和補(bǔ)救程序。

1.5 內(nèi)部監(jiān)督

銀行應(yīng)當(dāng)制定內(nèi)部監(jiān)督制度，明確內(nèi)部審計(jì)機(jī)構(gòu)和其他內(nèi)部機(jī)構(gòu)在內(nèi)部監(jiān)督中的職責(zé)權(quán)限，規(guī)范內(nèi)部監(jiān)督的程序、方法和要求，并制定內(nèi)部控制缺陷認(rèn)定標(biāo)準(zhǔn)，對監(jiān)督過程中發(fā)現(xiàn)的內(nèi)部控制缺陷，應(yīng)當(dāng)分析缺陷的性質(zhì)和產(chǎn)生的原因，提出整改的方案，采取適當(dāng)?shù)男问郊皶r(shí)向董事會、監(jiān)事會或者經(jīng)理層報(bào)告。銀行應(yīng)當(dāng)結(jié)合內(nèi)部監(jiān)督情況，定期對內(nèi)部控制的有效性進(jìn)行自我評價(jià)，出具內(nèi)部控制自我評價(jià)報(bào)告。我行當(dāng)前內(nèi)控合規(guī)的問題

2.1 內(nèi)控觀念認(rèn)識有偏差。

商業(yè)銀行內(nèi)控機(jī)制作為一種自律行為，必然受內(nèi)控觀念影響和支配，而在實(shí)際工作中，對內(nèi)控觀念的認(rèn)識存在許多偏差：一是許多人往往簡單地認(rèn)為內(nèi)控機(jī)制就是各種規(guī)章制度的匯總，而忽視內(nèi)控機(jī)制是業(yè)務(wù)運(yùn)作過程中環(huán)環(huán)相扣、監(jiān)督制約的一種動態(tài)機(jī)制；二是誤解內(nèi)控是對同事、員工的不信任；三是片面地理解業(yè)務(wù)開拓和內(nèi)控的關(guān)系，認(rèn)為內(nèi)控嚴(yán)則業(yè)務(wù)損；四是誤認(rèn)為內(nèi)控只是決策層和職能部門的職責(zé)，從而在思想上沒有形成嚴(yán)格執(zhí)制的意識。這種認(rèn)識偏差必然導(dǎo)致在問題發(fā)生后只能采取事后補(bǔ)救的辦法，從而違背內(nèi)控機(jī)制事前控制的特點(diǎn)，埋下風(fēng)險(xiǎn)隱患。

2.2 內(nèi)控機(jī)制不健全。

目前，我國商業(yè)銀行的內(nèi)控機(jī)制從總體上有了很大的進(jìn)步，但實(shí)效性還不是很理想，突出表現(xiàn)在：一是制度貫徹不力。許多規(guī)章制度流于形式，抓落實(shí)的力度不夠，遇到具體問題，靈活性講得多，原則性講得少。二是制度不完整。一些新業(yè)務(wù)和計(jì)算機(jī)業(yè)務(wù)的管理制度滯后，無法適應(yīng)新業(yè)務(wù)的正常開展需要；一些新業(yè)務(wù)還沒有制定出完善的操作程序和相應(yīng)的制度，存在無章可循的空檔。三是制度不系統(tǒng)。制度建設(shè)中重此輕彼，缺乏統(tǒng)一的考慮，影響了制度整體作用的發(fā)揮。四是制度條文不夠嚴(yán)謹(jǐn)。

2.3 內(nèi)控運(yùn)行機(jī)制失調(diào)。

在實(shí)際工作中，業(yè)務(wù)主管部門既是業(yè)務(wù)活動的組織者，又是業(yè)務(wù)經(jīng)營自身監(jiān)督的責(zé)任者，這種對自己行為進(jìn)行所謂的“自我監(jiān)督”本身就不可靠。同時(shí)，銀行內(nèi)部各業(yè)務(wù)部門在具體行使監(jiān)控職能時(shí)職責(zé)不明確，或政出多門、或相互推諉，不能形成協(xié)調(diào)和制約機(jī)制。

2.4 權(quán)力制約失衡。

突出表現(xiàn)在業(yè)務(wù)人員、管理人員的業(yè)務(wù)行為、決策行為、責(zé)任行為缺乏可操作的規(guī)范制度予以制約。一把手負(fù)責(zé)制的經(jīng)營管理模式雖然有利于經(jīng)營管理水平的提高，但由于權(quán)力沒有受到約束，缺乏規(guī)范有效的監(jiān)督機(jī)制，權(quán)責(zé)失衡，導(dǎo)致個(gè)別負(fù)責(zé)人越權(quán)行事、濫用職權(quán)、欺上瞞下、行賄受賄等不良現(xiàn)象發(fā)生，嚴(yán)重影響商業(yè)銀行的穩(wěn)健發(fā)展。

2.5 稽核部門監(jiān)督職能弱化。

目前，各商業(yè)銀行都實(shí)行了系統(tǒng)領(lǐng)導(dǎo)的稽核管理體制或者總稽核負(fù)責(zé)制，但稽核部門作為內(nèi)部機(jī)構(gòu)，地位不超脫，職能不獨(dú)立，難以對領(lǐng)導(dǎo)決策失誤造成的損失進(jìn)行有效的監(jiān)督，并且稽核部門對稽查出的問題不經(jīng)領(lǐng)導(dǎo)同意就不能上報(bào)，不能獨(dú)立作出決定。稽核監(jiān)督的滯后性以及稽核手段落后，都影響了稽核監(jiān)督功能的發(fā)揮。對內(nèi)控合規(guī)管理的幾點(diǎn)建議 3.1 完善銀行組織管理體系，創(chuàng)造良好的內(nèi)控環(huán)境。

銀行業(yè)應(yīng)注重宏觀金融背景之下，如何提升自身的風(fēng)險(xiǎn)管理能力的問題，創(chuàng)造良好的內(nèi)控環(huán)境。根據(jù)《公司法》、《中華人民共和國商業(yè)銀行法》的要求，實(shí)行董事會領(lǐng)導(dǎo)下的行長負(fù)責(zé)制，保證董事會是全行最高權(quán)力機(jī)構(gòu)，切實(shí)發(fā)揮董事會在銀行發(fā)展方向、重大業(yè)務(wù)決策和宏觀管理方面的職能作用。在此基礎(chǔ)上，改革商業(yè)銀行現(xiàn)行的內(nèi)部稽核體制，實(shí)行對總行法人負(fù)責(zé)的內(nèi)部稽核制度，加強(qiáng)總行對稽核工作的垂直領(lǐng)導(dǎo)。

3.2 加強(qiáng)崗位內(nèi)部控制機(jī)制建設(shè)，實(shí)現(xiàn)崗位間的監(jiān)督制約。

一是按照責(zé)任分離、相互制約的原則建立會計(jì)崗位責(zé)任制，堅(jiān)持現(xiàn)金、有價(jià)單證保管與賬務(wù)記錄相分離，重要空白憑證保管與使用相分離，賬務(wù)收支審批與會計(jì)核算相分離，呆賬準(zhǔn)備金的確認(rèn)與銷核相分離，賬務(wù)處理與后續(xù)稽核相分離的準(zhǔn)則，按照會計(jì)制度、業(yè)務(wù)性質(zhì)和合理負(fù)擔(dān)的要求設(shè)置記賬、復(fù)核、事后監(jiān)督等崗位，明確每個(gè)崗位的職責(zé)和權(quán)限，并相互制衡。嚴(yán)禁會計(jì)人員一人從事兩個(gè)以上重要崗位的工作和越崗越權(quán)處理業(yè)務(wù)。二是按照每一項(xiàng)業(yè)務(wù)至少必須有兩個(gè)崗位或兩人以上參與記錄、核算和管理的要求，明確各崗位或員工在業(yè)務(wù)操作中的責(zé)權(quán)劃分，按各自的工作性質(zhì)、權(quán)限承擔(dān)相應(yīng)的工作責(zé)任；三是加強(qiáng)業(yè)務(wù)操作的事后檢查，每項(xiàng)業(yè)務(wù)要求有一名業(yè)務(wù)主管或?qū)ｉT崗位對該項(xiàng)業(yè)務(wù)處理的整個(gè)流程進(jìn)行綜合把關(guān)和全過程的檢查，確保各崗位按職責(zé)要求正確處理同一業(yè)務(wù)，發(fā)現(xiàn)問題，及時(shí)糾正。

3.3健全銀行內(nèi)部責(zé)任機(jī)制，保證資產(chǎn)運(yùn)用的安全性和盈利性。

一方面要解決好銀行內(nèi)部審批程序和分段授權(quán)問題，防止分支機(jī)構(gòu)權(quán)力過大，資產(chǎn)風(fēng)險(xiǎn)不易控制。另一方面狠抓內(nèi)部崗位責(zé)任的落實(shí)。建立會計(jì)內(nèi)部控制負(fù)責(zé)制，主管會計(jì)的副行長向行長負(fù)責(zé)，應(yīng)定期檢查會計(jì)工作；會計(jì)主管對主管行長負(fù)責(zé)，具體組織和管理各項(xiàng)會計(jì)工作，監(jiān)督各項(xiàng)規(guī)章制度的落實(shí)，處理重要會計(jì)事項(xiàng)，定期抽查重要會計(jì)業(yè)務(wù)，發(fā)現(xiàn)問題及時(shí)解決，定期向主管行長匯報(bào)工作，但不參與具體事務(wù)；一般會計(jì)人員對會計(jì)主管負(fù)責(zé)，執(zhí)行各項(xiàng)會計(jì)制度和操作規(guī)程，履行所承擔(dān)職責(zé)；下級行對上級行負(fù)責(zé)，并接受總機(jī)構(gòu)的監(jiān)督和指導(dǎo)。

3.4加強(qiáng)銀行內(nèi)控電子化管理，保障銀行業(yè)務(wù)的正常運(yùn)行。

銀行業(yè)務(wù)的日益現(xiàn)代化，要求銀行內(nèi)控手段更加有效率、更加安全可靠。而我國銀行業(yè)目前還未形成一套有效的內(nèi)部電子監(jiān)管系統(tǒng)和電子網(wǎng)絡(luò)系統(tǒng)，影響了內(nèi)控的質(zhì)量和效率，有必要在銀行電腦內(nèi)部控制方面繼續(xù)完善。

3.5加強(qiáng)業(yè)務(wù)崗位的交叉檢查，防范員工舞弊行為。

交叉檢查是銀行實(shí)施內(nèi)部控制、防范員工舞弊行為的一個(gè)基本措施，也是銀行會計(jì)控制體系和業(yè)務(wù)分工設(shè)計(jì)的基本出發(fā)點(diǎn)，因此要正確應(yīng)用交叉檢查原則，實(shí)行行內(nèi)崗位輪換制和員工年假制等，使銀行每個(gè)人、每項(xiàng)業(yè)務(wù)都處于被監(jiān)督、被檢查范圍之內(nèi)。

3.6創(chuàng)建重視知識和人才的機(jī)制。

首先，改革銀行用人制度。在引入競爭機(jī)制，實(shí)行平等、公開的競聘上崗的制度的基礎(chǔ)上，進(jìn)一步完善企業(yè)人才等級制度。管理者要知人善任，創(chuàng)造讓優(yōu)秀創(chuàng)新人才脫穎而出人才機(jī)制，讓相應(yīng)才能的人才處于相應(yīng)的能級崗位，注意發(fā)現(xiàn)和使用那些具有信息意識、競爭意識、風(fēng)險(xiǎn)意識、創(chuàng)新能力、管理能力和公關(guān)能力的一批人，要揚(yáng)長避短，量才為用，使人才配備盡量合理化，這是留住人才的有效措施之一，也是優(yōu)化人才配置，提高銀行業(yè)風(fēng)險(xiǎn)防范水平的必備條件。其次，創(chuàng)造良好的吸引人才的環(huán)境。如工資待遇、獎金制度、職位聘任、崗位責(zé)任制、成果評定與獎勵(lì)等整套政策和辦法，千方百計(jì)吸引優(yōu)秀人才從事銀行工作，成為企業(yè)學(xué)術(shù)帶頭人、業(yè)務(wù)骨干和管理創(chuàng)新骨干。第三，加大人才投資力度。采取送出去和請進(jìn)來的辦法，加強(qiáng)員工再教育和再培訓(xùn)，促進(jìn)員工知識更新，使其逐步成為新型的創(chuàng)新型和風(fēng)險(xiǎn)管理型人才。

第四篇：內(nèi)控合規(guī)

“合規(guī)文化”學(xué)習(xí)心得

根據(jù)總行全行開展“合規(guī)文化建設(shè)大討論”活動的要求，科技部內(nèi)部也開展了合規(guī)文化建設(shè)，重點(diǎn)學(xué)習(xí)了《張?jiān)仆驹谥袊r(nóng)業(yè)銀行合規(guī)文化暨案防制度宣講報(bào)告會上的講話》。作為新入行的大學(xué)生員工，我感覺受益頗深。

合規(guī)文化大討論，是落實(shí)“基礎(chǔ)管理提升年”活動，不斷增強(qiáng)合規(guī)管理基礎(chǔ)的重要環(huán)節(jié)。開展合規(guī)文化大討論，就是針對合規(guī)管理中影響農(nóng)行基本面最直觀、最突出的問題進(jìn)行深刻的討論分析，讓新型的合規(guī)文化理念深入人心，是我們真正明白只有深入開展合規(guī)文化大討論，將合規(guī)管理理念滲透到業(yè)務(wù)經(jīng)營全過程，努力做到時(shí)時(shí)合規(guī)、事事合規(guī)、處處合規(guī)，才能有限防控風(fēng)險(xiǎn)，降低案件發(fā)生；只有深入開展合規(guī)大討論，引導(dǎo)我們樹立全新的合規(guī)文化理念，才能深入推進(jìn)合規(guī)文化建設(shè)，進(jìn)而將“基礎(chǔ)管理提升年”活到落到實(shí)處，從肯本上增強(qiáng)合規(guī)管理基礎(chǔ)，確保農(nóng)行穩(wěn)健經(jīng)營、長治久安和科學(xué)發(fā)展。

作為新入行的大學(xué)生，在今后的工作中，我要做到以下幾點(diǎn)：

一、提高自身思想素質(zhì)，增強(qiáng)依法合規(guī)經(jīng)營的理念

加強(qiáng)自身的法律法規(guī)、規(guī)章制度學(xué)習(xí)，加強(qiáng)思想教育，這是從源頭上杜絕違規(guī)違章行為的重要手段。加強(qiáng)對自身的風(fēng)險(xiǎn)防范教育，使大家都認(rèn)識到社會的復(fù)雜性和銀行經(jīng)營風(fēng)險(xiǎn)的普遍性，認(rèn)識到銀行本身就是高風(fēng)險(xiǎn)行業(yè)，把風(fēng)險(xiǎn)防范放在第一位。

每天從自己的崗位做起，自覺遵守各項(xiàng)規(guī)章制度，自覺抵制各種違紀(jì)、違規(guī)、違章行為，要根除以信任代替管理，以習(xí)慣代替制度，以情面代替紀(jì)律，珍惜自己的職業(yè)生涯，視制度如生命，糾違章如排雷，增強(qiáng)風(fēng)險(xiǎn)防范意識和自我保護(hù)意識，提高規(guī)范操作，從源頭上預(yù)防案件的發(fā)生。

在前段時(shí)間還積極參加了分行組織的參觀看守所進(jìn)行警示教育活動，對此我也感受頗深，深深地明白了不按規(guī)章制度辦事可能帶來的嚴(yán)重后果。

二、學(xué)習(xí)合規(guī)文化，人人有責(zé)

合規(guī)文化的推崇目標(biāo)，是把合規(guī)理念融入每一位員工必須接受、認(rèn)同、遵從的企業(yè)精神和價(jià)值理念之中。合規(guī)不只是專業(yè)管理人士的責(zé)任，合規(guī)管理人人有責(zé)；對合規(guī)機(jī)制建設(shè)無一例外；對制度規(guī)范執(zhí)行一視同仁，這是合規(guī)文化建設(shè)所追求的效果。

企業(yè)合規(guī)文化教育建設(shè)是一項(xiàng)工程浩大的系統(tǒng)性工程，不是一朝一夕就能建成的，也不是某一個(gè)員工的事情，是我們行所有員工共同的目標(biāo)。農(nóng)行作為一個(gè)企業(yè)，要合理確定發(fā)展目標(biāo)，在一個(gè)時(shí)期內(nèi)要有一定的規(guī)劃目標(biāo)，最終建立適應(yīng)企業(yè)長遠(yuǎn)發(fā)展的機(jī)制。而我們作為農(nóng)行的一員，則需要不斷審視在自已的崗位上應(yīng)如何做好自已的工作，與別的員工相比差別有多大，應(yīng)如何改進(jìn)；在農(nóng)行這個(gè)大家庭中自已是什么角色，自已出了多少力，對農(nóng)行的改革與發(fā)展有何建設(shè)性意見。加強(qiáng)學(xué)習(xí)，努力提高自身的人生觀、世界觀、價(jià)值觀，培訓(xùn)合規(guī)文化思想。同時(shí)，我們要結(jié)合工作實(shí)際，認(rèn)真開展規(guī)范化服務(wù)，按照總行各項(xiàng)規(guī)章規(guī)定中的條款，對一些細(xì)節(jié)問題、難點(diǎn)問題要進(jìn)行專項(xiàng)學(xué)習(xí)。對存在較大矛盾和服務(wù)困難的服務(wù)焦點(diǎn)要集思廣益，打開思路，不斷創(chuàng)新服務(wù)方式，以最大的限度滿足客戶需要，提升農(nóng)行以及自身合規(guī)文化精華。

合規(guī)文化是一種嚴(yán)肅的愛，今天對我們的嚴(yán)格要求，是為了我們的明天更自律。今天我們嚴(yán)格要求自己，是為了明天我們能更自由。不要把合規(guī)文化當(dāng)成我們的負(fù)擔(dān)，制度的執(zhí)行只是為我們的工作提供了強(qiáng)有力的保障，為我們的工作順利進(jìn)行提供依據(jù)，是我們的“保護(hù)傘”。認(rèn)真學(xué)習(xí)合規(guī)文化，我們就能很好地利用合規(guī)文化這把“保護(hù)傘”。

第五篇：合規(guī)與內(nèi)控

合規(guī)與內(nèi)控，為風(fēng)險(xiǎn)管理解困

來源：CIO時(shí)代網(wǎng)

從美國安然、世通事件、9.11事件，到2008年發(fā)生的南方凍雨、汶川地震、次債危機(jī)，眾多的風(fēng)險(xiǎn)和危機(jī)在警示我們：“風(fēng)險(xiǎn)如影隨形，無處不在”。如何通過內(nèi)部控制與合規(guī)管理防范、降低風(fēng)險(xiǎn)，是企業(yè)領(lǐng)導(dǎo)迫切需要解決的管理難題。

古希臘政治家伯利克利在提出“風(fēng)險(xiǎn)”概念時(shí)，并不是為了能夠預(yù)見未來的風(fēng)險(xiǎn)，而是為了為不可預(yù)知的風(fēng)險(xiǎn)做好準(zhǔn)備，這與中國的諺語“居安思危，思則有備，有備無患”有異曲同工之妙。

但是，目前國內(nèi)大部分企業(yè)乃至很多全球性企業(yè)都在風(fēng)險(xiǎn)防范意識方面重視程度不足，在風(fēng)險(xiǎn)管控措施方面執(zhí)行不到位，這使得眾多企業(yè)在面對重大突發(fā)災(zāi)難時(shí)，很容易陷入生存危機(jī)，比如，“9.11”事件迫使超過半數(shù)的受影響企業(yè)倒閉；汶川地震致使大批中小企業(yè)遭受史無前例的打擊。

即使不受突發(fā)災(zāi)難影響，由于盲目擴(kuò)張、多元化經(jīng)營、造假和管理失控等風(fēng)險(xiǎn)造成的“突然死亡事件”也不勝枚舉，比如，美國安然公司、世通公司由于爆發(fā)財(cái)務(wù)丑聞，難逃破產(chǎn)命運(yùn)；三鹿集團(tuán)由于造假、應(yīng)急不當(dāng)最終破產(chǎn)；波及全球的次債危機(jī)更是引發(fā)多家金融機(jī)構(gòu)破產(chǎn)，并波及全球其它經(jīng)濟(jì)實(shí)體。

從德隆系、三鹿到香港合俊的隕落，從美國安然、世通到雷曼兄弟的破產(chǎn)，每場危機(jī)的背后都隱藏著風(fēng)險(xiǎn)管理的缺口。居安思危，防微杜漸，全球化經(jīng)濟(jì)形勢下，中國企業(yè)應(yīng)盡快加強(qiáng)內(nèi)部控制，構(gòu)建合規(guī)管理體系，提升風(fēng)險(xiǎn)管控能力。

加強(qiáng)內(nèi)控，箭已在弦

內(nèi)部控制有助于企業(yè)實(shí)現(xiàn)業(yè)績和利潤目標(biāo)，提高工作效率，防止資源損失，提高財(cái)務(wù)報(bào)告的可靠性，督促企業(yè)遵守相關(guān)法律、法規(guī)，避免企業(yè)名譽(yù)受到損害以及受到其它不良影響。

為了防范和及早發(fā)現(xiàn)各種風(fēng)險(xiǎn)，避免或減少可能遭受的損失，在保證企業(yè)穩(wěn)定、健康、快速發(fā)展的同時(shí)，企業(yè)的經(jīng)營、管理者應(yīng)該認(rèn)真制定和切實(shí)執(zhí)行內(nèi)控管理：首先，企業(yè)應(yīng)建立高效的風(fēng)險(xiǎn)管理機(jī)制，以風(fēng)險(xiǎn)管理為核心，嚴(yán)格控制經(jīng)營風(fēng)險(xiǎn)，保證業(yè)務(wù)收益的穩(wěn)定；其次，企業(yè)應(yīng)運(yùn)用新技術(shù)、新方法對風(fēng)險(xiǎn)進(jìn)行科學(xué)預(yù)測，對可能面臨的各種風(fēng)險(xiǎn)進(jìn)行控制和管理；第三，完善風(fēng)險(xiǎn)監(jiān)控機(jī)制，建立科學(xué)的風(fēng)險(xiǎn)監(jiān)測反饋系統(tǒng)；第四，完善企業(yè)內(nèi)部控制管理制度，用制度管人、管機(jī)構(gòu)、管業(yè)務(wù)、管經(jīng)營，并接受監(jiān)管部門的指導(dǎo)和檢查。

2008年6月，我國財(cái)政部、證監(jiān)會、銀監(jiān)會、保監(jiān)會及審計(jì)署等五部委聯(lián)合發(fā)布了“中國版薩班斯法案”——《企業(yè)內(nèi)部控制基本規(guī)范》，并將于2009年7月起首先在上市企業(yè)中實(shí)施。其中，該規(guī)范第37條規(guī)定：“企業(yè)應(yīng)當(dāng)建立重大風(fēng)險(xiǎn)預(yù)警機(jī)制和突發(fā)事件應(yīng)急處理機(jī)制，明確風(fēng)險(xiǎn)預(yù)警標(biāo)準(zhǔn)，對可能發(fā)生的重大風(fēng)險(xiǎn)或突發(fā)事件，制定應(yīng)急預(yù)案、明確責(zé)任人員、規(guī)范處置程序，確保突發(fā)事件得到及時(shí)妥善處理。”

在“美國版薩班斯法案”中，也有類似條款，比如第404條款規(guī)定：企業(yè)必須了解那些可能影響財(cái)務(wù)報(bào)告流程的風(fēng)險(xiǎn)，并要求他們實(shí)施恰當(dāng)?shù)目刂埔宰柚关?cái)務(wù)違法行為；此外，404條款還要求，企業(yè)需建立一個(gè)基礎(chǔ)設(shè)施，以確保所有的記錄和數(shù)據(jù)不會被毀滅、丟失、未經(jīng)授權(quán)的變更和錯(cuò)誤的使用——這是業(yè)務(wù)連續(xù)性管理能夠成為滿足薩班斯法案合規(guī)性手段的重要原因之一。

從概念描述和服務(wù)內(nèi)容上看，中國的應(yīng)急預(yù)案機(jī)制與國際上所倡導(dǎo)的業(yè)務(wù)連續(xù)性管理體系有很多共融、共通之處。相對而言，包括三鹿集團(tuán)、香港合俊等，中國很多企業(yè)都缺乏完善的應(yīng)急機(jī)制、業(yè)務(wù)連續(xù)性管理體系和風(fēng)險(xiǎn)防范意識，這正是壓倒他們的最后稻草。

合規(guī)價(jià)值，不可小覬

近年來，各種法律、法規(guī)、行業(yè)指導(dǎo)性文件越來越多：《中央企業(yè)全面風(fēng)險(xiǎn)管理指引》、《新巴塞爾資本協(xié)定》、《薩班斯法案》、《信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》、《上交所內(nèi)部控制指引》、《深交所內(nèi)部控制指引》、《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引》以及即將在2009年7月起實(shí)施的《企業(yè)內(nèi)部控制基本規(guī)范》等等，一個(gè)又一個(gè)法律、法規(guī)的出臺，使企業(yè)管理不知不覺中進(jìn)入了一個(gè)合規(guī)時(shí)代。

從風(fēng)險(xiǎn)管理的角度看，合規(guī)能夠幫助企業(yè)管理各種風(fēng)險(xiǎn)，避免罰款、法律制裁、商業(yè)損失或者因?yàn)閱T工失誤造成的數(shù)據(jù)泄漏等風(fēng)險(xiǎn)。

合規(guī)不僅是企業(yè)為了滿足外部監(jiān)管機(jī)構(gòu)的要求，更是完善企業(yè)治理，提高內(nèi)部控制管理水平和風(fēng)險(xiǎn)管理水平的重要手段。

需要強(qiáng)調(diào)的是，合規(guī)是可以創(chuàng)造價(jià)值的，也是可以度量和考核的。其中，銀監(jiān)會所頒發(fā)的《商業(yè)銀行合規(guī)風(fēng)險(xiǎn)管理指引》中指出：合規(guī)可以降低因遭受監(jiān)管處罰和法律訴訟而導(dǎo)致財(cái)務(wù)損失的可能性；堅(jiān)持合規(guī)經(jīng)營的宗旨和原則，能夠提升品牌價(jià)值和社會地位，增強(qiáng)銀行持續(xù)競爭力，帶來財(cái)富收入和聲譽(yù)價(jià)值。

可以說，這些價(jià)值和衡量標(biāo)準(zhǔn)對于銀行以外的企業(yè)同樣適用，合規(guī)管理完全可以超越“成本中心”，成為價(jià)值源泉。

合規(guī)與內(nèi)控，以IT為突破口

隨著IT應(yīng)用的逐步深入，企業(yè)的日常運(yùn)營越來越依賴于IT系統(tǒng)的支撐。IT系統(tǒng)已經(jīng)成為整個(gè)企業(yè)業(yè)務(wù)的重要支撐，同時(shí)也是對企業(yè)活動進(jìn)行控制的重要手段。以具體運(yùn)營流程為基礎(chǔ)展開的IT控制，直接關(guān)系到運(yùn)營活動的實(shí)施。因此，企業(yè)進(jìn)行內(nèi)部控制應(yīng)該從以IT為主的內(nèi)部控制為突破口。需要強(qiáng)調(diào)的是，IT內(nèi)部控制并不是孤立的，它是企業(yè)以業(yè)務(wù)目標(biāo)為主導(dǎo)的整體內(nèi)部控制項(xiàng)目的一部分。

IT內(nèi)部控制必須遵循企業(yè)的內(nèi)部控制機(jī)制和策略，確保IT控制符合企業(yè)內(nèi)部控制的基調(diào)。此外，IT內(nèi)部控制還擔(dān)當(dāng)支持企業(yè)高層管理活動的責(zé)任。在企業(yè)內(nèi)設(shè)定業(yè)務(wù)目標(biāo)，確立企業(yè)政策，在組織資源配置及管理決策時(shí)，IT負(fù)責(zé)輔助企業(yè)制定政策方針并在組織內(nèi)部傳達(dá)交流。

面對即將于2009年7月實(shí)施的《企業(yè)內(nèi)部控制基本規(guī)范》，上市公司急需一套普遍適用的IT內(nèi)部控制方法論以滿足《企業(yè)內(nèi)部控制基本規(guī)范》的要求，協(xié)助IT部門建立合適的內(nèi)部控制機(jī)制。