普华永道观察到，在历年的各种监管检查中常出现一个关键词 ——“完整性”，意味着完整性要求普遍受到监管机构和审计师的重视。本文将针对最为普遍的IT关注点，简单剖析“完整性”对于企业IT治理和管控的意义。

　　管控对象的完整性 - 工具系统是否纳入管控体系

　　实操中，我们碰到企业对于业务及财务系统，都会纳入公司整体管控体系。但对于工具系统，比如权限管理系统，系统变更发布系统等，却常游离于公司的管控体系，不在管控范围。企业将工具系统脱离整体管控体系的原因通常很简单，这些系统和业务及财务均不相关。但真的不相关吗，脱离管控有何风险？

　　以执行程序变更授权及发布的工具系统为例：作为工具系统，与业务或财务的确不直接相关。但是，业财系统的变更如果依赖该工具系统进行上线审核及发布，而工具系统又未纳入管控体系，就会导致工具系统审核及发布相关的功能或控制出现问题的风险极大增加，从而无法合理保证通过其进行发布到业财系统中的变更是授权且正确的。

　　因此，企业需要有恰当的控制保证工具系统按预期持续有效运行。所以工具系统的一般管控及其“应用”控制，是IT管控基础中的基础。将这些工具系统纳入企业IT整体管控体系，才能保证IT整体管控的有效执行。

　　系统管控支撑体系

　　控制事件的完整性 - 样本总量是否完整

　　还是以程序变更为例。企业会对程序变更的适当节点设置审批及测试，以确保发布到生产环境的变更是授权且正确的，能够按预期执行相应需求，这是程序变更的标准流程。

　　但是企业如何确保所有变更没有绕道标准流程而通过其他途径进行变更的发布，或者绕道标准流程的变更也在其他控制活动的管辖范畴，就显得由为关键。因为一旦可以绕开标准流程，且对于绕道的变更缺乏管控，发布者就极大可能绕开应有的授权和测试控制，从而引发非授权或错误变更发布的风险。因此，企业需要对所有变更知晓且纳入管控视线。

　　通常，企业可以通过端口访问和权限控制等技术方式限制绕开标准通道的其他通道服务器访问和部署，也可以建立服务器事后日志监控机制，对于绕道标准流程的变更进行自动预警或定期复核。

　　总之，控制的手段千千万，目的只有一个，就是确保所有的变更是在企业的管辖范围之内。企业应该根据自身实际情况，设计恰当的控制程序，确保风险被合理应对。

　　应用控制场景完整性 – 是否存在未被识别或处理的场景

　　应用控制是企业将其业务或会计场景通过系统自动化的方式进行实现的一种控制手段。通常包括自动控制和计算，接口，报表，权限等。在企业进行应用控制设计和开发过程中，需要穷尽其业务或会计场景，以确保所有场景能被系统识别并正确处理。

　　如果应用控制处理的场景不完整，将会导致系统无法识别和处理未被考虑的场景，从而导致业务及财务处理的不完整和错误。

　　这种场景不完整的错误较多发生在罕见或临界场景，或是业务迭代较快的企业：

　　较少发生的场景，企业在需求或开发阶段可能未考虑完整该场景的存在，导致业务系统无法识别处理该场景；

　　业务迭代较快的企业，业务系统通常能及时跟进场景的迭代和增加。但是对于后端财务，如果业务财务联动不充分，很可能发生财务端无意识遗漏，从而发生财务系统不能识别并正确处理迭代或增加场景的风险。

　　应用控制场景完整性

　　因此，企业在进行应用控制的开发及变更过程中，需要充分考虑各种业务场景和处理逻辑，并实现业务财务的实时联动，将业务从发生到财务处理的整个链路打通，方能实现系统对业务财务的充分支持。

　　如果企业使用AI进行相应的应用控制，不同于传统自动化控制是通过预先设定的规则进行执行，还需要考虑AI在自主规则推导的演变过程中，是否会出现相应的场景处理完整性风险。篇幅限制，本文不在此展开，欢迎大家积极探讨。