做内控和我们做IT有什么关系呢?太有关系,我们这些内控怎么去体现,我讲财务报告不能造假,财务报告是在财务系统里,你那个财务系统不可能授权不完备,让人随便改,得保证它的可靠性,财务系统从业务系统那里来的,业务系统装在数据库里,数据库装在服务器上,服务器在网络上,完全串在一起,IT本身要可靠,要从IT一直到你的财务系统,都要可靠,有一个地方有露洞的话你都谈不上,所以说要SOX法实施起来这么难了,而且SOX法离不开CIO,虽然SOX法只追究CFO、CEO的责任,如果CFO、CEO的日子不好过了,你CIO还跑得了嘛?所以最后统计SOX法有40%的工作量是在IT上。
讲了这么多的风险怎么办,实际上我觉得今天提出来就是要建立一套制度,或人治,靠某某 人领导重视,还有我们要搞的典型政府信息化的典型,企业的模式,这东西只是昙花一现,企业要把IT做好一定把他变成种制度,决定IT能够真正做的好不是一两个人的技术,技术已经不是很重要了,技术的东西总是能买到,但是把技术控制好、用好靠的是制度,靠的是管理,最终靠的是人,所以我们要建立一个有效的制度安排。
回过头来我们发现国内的一些信息化建设走了很多弯路,我们有一点和国外有区别的是我们不太重视游戏规则的制订,IT一定先要把规则建立起来,包括制度和控制,建起来以后我们发现IT风险小多了,所以我们要强调建立一种制度,IT风险控制其实上就是企业重要的组成部分。
延伸阅读
文章来源于领测软件测试网 https://www.ltesting.net/
