IT項目風險管理框架研究[3]

　　做內控和我們做IT有什么關系呢?太有關系，我們這些內控怎么去體現，我講財務報告不能造假，財務報告是在財務系統里，你那個財務系統不可能授權不完備，讓人隨便改，得保證它的可靠性，財務系統從業務系統那里來的，業務系統裝在數據庫里，數據庫裝在服務器上，服務器在網絡上，完全串在一起，IT本身要可靠，要從IT一直到你的財務系統，都要可靠，有一個地方有露洞的話你都談不上，所以說要SOX法實施起來這么難了，而且SOX法離不開CIO，雖然SOX法只追究CFO、CEO的責任，如果CFO、CEO的日子不好過了，你CIO還跑得了嘛?所以最后統計SOX法有40%的工作量是在IT上。

　　講了這么多的風險怎么辦，實際上我覺得今天提出來就是要建立一套制度，或人治，靠某某 人領導重視，還有我們要搞的典型政府信息化的典型，企業的模式，這東西只是曇花一現，企業要把IT做好一定把他變成種制度，決定IT能夠真正做的好不是一兩個人的技術，技術已經不是很重要了，技術的東西總是能買到，但是把技術控制好、用好靠的是制度，靠的是管理，最終靠的是人，所以我們要建立一個有效的制度安排。

　　回過頭來我們發現國內的一些信息化建設走了很多彎路，我們有一點和國外有區別的是我們不太重視游戲規則的制訂，IT一定先要把規則建立起來，包括制度和控制，建起來以后我們發現IT風險小多了，所以我們要強調建立一種制度，IT風險控制其實上就是企業重要的組成部分。

文章來源于領測軟件測試網 http://www.kjueaiud.com/