内控从三个层面影响信息化

据国家信息化测评中心对2008年度中国企业信息化500强的调查结果显示，我国信息化500强企业整体信息化水平进步明显，其中34.5%达到中等发达国家水平，6.4%居于国际领先水平。入选信息化500强的企业中，有12家是世界500强企业，174家企业是中国500强企业，信息化500强覆盖了国民经济的骨干成分。

我国企业信息化开始由重技术应用向重企业能力、重商业价值的方向发展。调查显示，75.2%的企业软件与服务占企业信息化投资比例超过30%，45%的企业超过50%。这表明大部分企业信息化基础设施建设基本完成，开始以信息系统应用为重点。80%的企业信息系统已经覆盖了人力资源管理、财务管理、资产管理，其中财务管理更是达到了100%。信息系统覆盖监察审计、风险管理、战略管理的企业的比例均超过40%。这说明，企业更加关注如何通过信息化构建企业能力。

随着我国企业信息化建设的进一步深入，金融、电信等行业的IT基础设施建设、核心应用系统建设已基本完成，IT运维服务管理成为企业信息化的重点关注领域之一。在萨班斯法案影响下，开展IT审计，加强企业内部控制管理的企业逐渐增多，信息安全正成为企业信息化的关注问题，而如何把握信息化的风险依然是企业信息化建设的重要问题。

企业的内部控制系统在以下三个层面上影响IT。首先是管理层面。

董事会及管理层设定企业目标、制定政策、作出关于如何部署和管理企业资源以执行企业战略的决策，确定治理和控制的整体方式并在企业范围内贯彻。IT控制环境亦受到这些高层目标和政策的控制。

其次是业务流程层面。许多业务流程是自动化的并与IT应用系统进行了整合，导致这个层面的许多控制也是自动化的，这些控制被称为应用控制。然而，业务流程中的部分控制仍保留了手工操作，如：交易授权、职责分离和手工核对，因此，业务流程层面的控制是业务人员手工控制与自动化应用控制相结合，虽然应用控制需要IT职能予以支持进行设计和开发，但两种控制的建立和管理都是业务部门的职责。

最后是技术支持层面。为支持业务流程，IT通常采用共享服务的方式为许多业务流程的控制提供IT服务，因为许多IT开发和操作流程需提供给整个企业，并且大多数的IT基础设施是公用的(如网络、数据库、操作系统和存储)。