2009年7月1日，国内的上千家上市公司将执行《企业内部控制基本规范》，这将有助于企业降低经营风险、提高竞争力，而企业内部控制体系的建立也给从事信息化的IT企业带来了巨大的商机。

    管理是企业永恒的主题，内部控制则是企业现代化管理的必然产物。2008年6月28日，财政部、证监会、审计署、银监会、保监会联合下发了关于企业实施《企业内部控制基本规范》(即C-SOX)的通知，这个通知要求企业应“定期对本公司内部控制的有效性进行自我评价，并出具内部自我评价报告”，同时也明确指出“本规范自2009年7月1日起在上市公司范围内执行”。
    2009年7月1日后，国内的上千家上市公司将必须遵照和执行这个规范，而落实好这项工作也成为最近一个阶段上市公司的主要任务之一。在企业运用信息化进行管理的背景下，C-SOX规范的实施，有助于企业通过内部控制降低企业经营风险。内控对企业有着怎样的作用和意义？内部控制与IT风险系统是什么关系？信息化如何助力企业实现内控？围绕这些问题，5月15日，中国证券市场研究设计中心、财讯传媒集团、中国信息化推进联盟在北京联合举办了“2009年上市公司内控管理与信息化建设论坛”。

    C-SOX帮助企业降低经营风险

    国际金融危机已经从虚拟经济渗透到实体经济，给全球经济造成了严重的冲击。我国有不少企业，特别是一些外向型出口的中小型企业受到严重冲击。“在这种背景下，加强企业内部控制，特别是加强风险管理，增强企业自身免疫力和竞争力，显得尤为重要。”财政部会计司综合处处长胡兴国告诉《中国电子报》记者。
    胡兴国还表示，面对国际市场经济竞争日益激烈以及国际金融危机带来的诸多不确定因素，我国企业要生存壮大，要“走出去”，立于不败之地，就必须要苦练内功、强化内控、防范风险。同时，我国的资本市场要求公开、公平、公正，因此必须提高财务信息质量，提升企业经营管理水平，实现可持续发展，保护广大投资者利益，这些都需要企业强化内控。
    “良好企业内控管理是企业成功的必备条件，企业建立有效的内部控制体系已经成为企业可持续发展的关键。”中国信息化推进联盟秘书长刘献军表示。不过，就我国国内现状来说，企业对内控的认知度仍然不高。98%的被调查公司认为他们对风险管理的认识了解不多，需要学习更多的国外先进经验。
    另外我国在内控方面存在的又一问题是专业人才过少。无论是上市公司还是第三方机构，目前真正懂得内部控制，同时还将其与风险管理很好结合的专业人士较为缺乏，即使是在专业人士相对较多的金融行业也是如此。
    80%的金融行业公司很肯定地认为其内部控制体系是以风险为导向，而仅有34%的非金融行业公司认为其内部控制体系是以风险为导向，这表明部分上市公司在内控建设方面确实需要改善。7月1日，我国将在上市公司内部实行C-SOX规范，这将有助于提高企业对内部控制的认识，督促企业建立内部控制体系，帮助企业降低运营风险。

    信息化助力企业提升内控水平

    好的内部控制是需要借助信息化技术实现的，不能是单纯的手工控制。浪潮通软副总裁兼技术总监魏代森告诉《中国电子报》记者：“企业内部控制最终的落脚点还是在于信息系统。企业加强内控体系建设和风险管理要以信息化为技术基础。信息化使一些人工难以实现的内控成为可能，同时它还固化了流程和控制点，使得执行更加刚性。信息化强大的数据挖掘与分析能力，使企业更能洞察可能存在的内控疏漏。同时，企业的信息化建设也要体现企业内控和风险管理的内容和要求。”
    我们发现《企业内部控制基本规范》涵盖了企业运营的方方面面，包括企业战略管理、财务管理、供应链管理、生产管理、人力资源管理、办公管理等等。所有业务都可能产生海量数据，所有的业务都可能存在跨组织、多地点的运作，如何确保数据的及时收集以及数据的准确与完整，这些都离不开IT系统的支撑。
    各个企业在建立自己的内控体系时把信息化都放在了很高的位置。中国石油化工股份有限公司信息系统管理部处长姜林告诉《中国电子报》记者，中石化从2005年1月1日起在公司正式实施内控制度。中国石化《内部控制手册》2009版共有18大类，涵盖59个业务流程，其中有17个业务流程涉及的业务全部实现了信息化，有21个业务流程涉及的业务部分实现了信息化，另有5个业务流程为IT控制流程。
    中国铝业则表示，公司从2005年开始实施GCC项目，分批上线了ERP（企业资源计划）系统，ERP系统在2006年9月1日正式生效，通过项目的实施，增强了企业的内控能力，使得企业信息管理水平更进一步。
    同时，我们也注意到企业的内控建设给IT企业提供了机遇。用友集团内控与风险业务总监刘巍就曾表示：“目前大多数企业实施的IT内控基本处于非常初级的阶段，即仅仅满足正常业务处理的需要，具有非常高的IT风险。因此这些企业系统的升级也给IT企业带来了商机。”

    相关链接

    关于《企业内部控制基本规范》(C-SOX)

　 《企业内部控制基本规范》(以下简称《基本规范》)将于2009年7月1日起先在上市公司范围内实施，鼓励非上市的其他大中型企业执行。《基本规范》共7章57条，各章分别是：总则、内部环境、风险评估、控制活动、信息与沟通、内部监督和附则。《基本规范》坚持立足我国国情，借鉴国际惯例，确立了我国企业建立和实施内部控制的基础框架，并取得了重大突破。完善的内部控制规范有助于约束市场主体的行为、减少舞弊和欺诈、建立安全的市场秩序、实现社会和谐、经济持续发展。我国的内部控制基本规范能否起到上述作用，关键取决于《基本规范》本身的特点。此外，《基本规范》的发布与实施，也需要引起一些相关思考。