而在企业内控中，“信息化或者IT体现出了加强企业内控中的作用，所以企业控制风险管理，迅速落脚点还是要在我们信息系统当中，信息化是重要的保障。首先要建设我们风险管理系统，内控体系是要以信息化作为基础。第二，我们信息化建设现在信息化应该越来越多体现内控风险管理要求，以往CIO在建设信息系统时候，建设基础设施、应用系统，可能并许多过多的考虑内控和风险管理要求。一旦意识到了风险管理对企业重要性以后，信息建设要充分考虑这些因素，从业务、管理、决策层面都要考虑这些因素。”某内控与信息化论坛上著名的内控与信息化专家指出。由此，我们可以看出信息化在企业内控不可替代，那么，作为信息化的负责人CIO在帮助企业做内控管理时会遇到哪些难题？而临的挑战和困惑又有些哪些？本文为CIO解开答案，让我们先了解内控在国内企业的发展情况。

　　企业内部控制建设历程

　　从70年代就是改革开放以后，特别是第一部会计法的实施，这是一个标准性阶段。在满足社会不同需要，出现过满足核算制度等等。

　　80年代初期，提出岗位分离。

　　90年代，会计法实施的时候财政部96年发布会计规范，规范要求各单位进一步建立健全包括内部控制先进内部会计管理制度，会计法明确要求各单位建立内部管理，这是内部管理的法律依据。

　　2001年6月22日，财政部依据会计法规定又制定了企业内部会计控制规范。

　　2002年7月30日《萨班斯-奥克斯利法案》(“萨奥法案”)的颁布，标志着世界上最发达资本市场的监管者已经将内部控制体系的建立、维护、评价和报告看作是经营者的重要责任。

　　2006年，中国公布了《新会计准则》，同时新《公司法》、《证券法》和《物权法》等重要法律的修改。所有这些外部环境的变化，都要求公司强化法人治理结构，高度关注企业风险，加强内部控制。从法人治理结构层面的内控环境营造到公司各级规章制度中的内控功能都需要进一步加强和完善，规范公司的经营行为。

　　2008年5月，财政部会同证监会、审计署、银监会、保监会等五部委推出《企业内部控制基本规范》。

　　2009年7月原定于1号实施的《企业内部控制基本规范》及其配套指引延期至2010年1月1日。

      企业内部控制基本规范的框架体系分为“一个基本规范、三个指引”，一个是基本规范即《企业内部控制基本规范》，三个指引指《企业内部控制应用指引》、《企业内部控制审计指引》和《企业内部控制评价指引》。

　　内控建设CIO面临的挑战和困惑

　　根据笔者对于采访的CIO中发现，现阶段CIO在帮助企业做内控实施时而临着许多的困惑和挑战，分析原因有以处几点：