上市公司CIO内控管理和信息化建设

《上市公司CIO内控管理和信息化建设》由会员分享，可在线阅读，更多相关《上市公司CIO内控管理和信息化建设（39页珍藏版）》请在金锄头文库上搜索。

1、财政部会计司综合处处长，内控标准委员会家成员胡兴国中国石油化工股份有限公司信息系统管理部处长姜林用友公司NC产品架构师付建华女士河北网通信息化部高级工程师屈玉阁浪潮通软副总裁兼技术总监魏代森中国铝业信息部的杨磊国际信息系统审计师协会北京事务委员会主席何迪生摩卡软件高级售前顾问周立民EMC言息安全事业部中国区资深技术顾问冯崇彪信息中心主任张艳下面我们有请财政部会计司综合处处长，内控标准委员会家成员胡兴国。胡兴国：各位领导，嘉宾，上午好。今天能有这个机会我想给大家汇报一下财政部会同另外四各部位关于标准建设实施情况，我汇报情况叫我国企业内部控制标准建设与实施。汇报5个问题，一个是我们启动标准建设的规

2、定，第二就是汇报我们企业内部控制建设历程，第三简单汇报一下标准建设框架体系，第四简单介绍一下信息化， 风险管理与内部控制关系，最后大家探讨一下企业在事实内控标准应该做一些什么工作。第一部分是就是它的意义，我从三个部分进行总结，大家知道去年5月11日，财政部，证监会，保监会，还有审计署同时颁发了基本规范，我们也在北京召开了发布会标志着我们国家企业内部控制标准建设，有了重要阶段性成果。当前世界金融危机给我们国家造成很多机遇，我们做了 一个调研企业加强内部建设，提升自身的能力是非常重要。第二就是中央提出走出去战略，国家起草规范和技术出发点，要企业做强做大，帮助他们国外资本市场进行融资，特别是是美国，

3、英国，法国，包括我们香港都 有一些要求。第三就是满足我们资本市场发展需要，我们国家资本市场公开，公平， 公正，提高财政的信 息质量，提升我们经营管理水平，可持续发展，还有保护我们广大投资者利益。第二部分就是发展历程，我们国家企业内部控制建设从70年代就是改革开放以后，特别是我们第一部会计法的实施，这是一个标准性阶段。 在满足社会不同需要， 在这个过程我们出现过满足核算制度等等。早在70年代末期，80年代初，包括我们提出岗位分离等等。90年代的时候，特别是我们会计法实施的时候财政部96年发布会计规范，规范要求各单位进一步建立健全包括内部控制先进内部会计管理制度，会计法明确要求各单位建立内部管理，

4、 这是我们内部管理的法律依据，到2001年6月22日，财政部依据会计法规定又制定了企业内部会计控制规范，基本规范和后备资金，04年相继发布了销售与收入增加，发布了 1+6的等各项制度。第三阶段以我们发布的金融规范，来源主要是美国安然事件以后，采捕正有关领导，把安然事件对我们国家的意义报个国务院，国务院领导同志做了批示，这项工作财政部牵头，证监会，国资委配合，建立中国的塞班斯法，到 2007年，财政部，银监会，国资委等联合发起 成立我国企业内部标准委员会，委员会委员是31位，我们成立了 8个咨询小组，8个小组去年我们把这个小组又扩大了，委员从31名发展大50人，咨询小组现在有150人，当时我们发

5、布规范发布了 17项具体规范。我刚才说5月22日我们发布节本规范， 要求7月1日正 式实施。第三部分给大家汇报一下， 基本规范的框架体系。 框架体系是一个规范加三个指引， 一个是 基本规范已经发布了， 内部标准体系是最高层次， 有的人说是中国的塞班斯法， 第二是主要 是对企业，对企业有内控企业的主体。帮助企业建立体系，第三系评价指标，是企业内部必 须做的评价包括自我评价，怎么评价。第四是审计指引，会计事务所执行内部审计。基本规范主要是有概念，目标，原则，要素。我们提出了概念，当时我们国家内部控制很多 部门都有，包括我们银行，银监会，包括我们的证监会，包括我们两个交易所，我们部门把 概念统一一下

6、。目标有三个目标，我们提出 5个目标，我们是 5目标，原则，要素。应用指引，给我们发布了征求意见，目前 21个应用指引，加上审计指引，加上评价指引， 一共是23个，我们财政部部长签发了，审计署也签了。我们应用指引主要是21个分布，一个是针对企业管理， 我们根据基本规范有 5个一个是统一架构， 一个是发展战略，一个是人 力资源，还有社会责任和企业文化。这5个我们是怎么每一个构架都差不多，我就举一个社会责任框架，我们第一就是整合，提出它的概念什么是社会责任，我们再提出中心有哪些， 社会责任我们提出4个中心点，安全生产，不落实可能导致企业生产事故，第二产品质量恶劣，会侵害消费者利益， 可以导致企业破

7、产， 大家知道河北石家庄三鹿开奶粉事件，第三是 环保投入不足，资源消耗大，造成环境污染，资源枯竭，缺乏发展后劲一是一个风险。第四我们说促进就业和员工权益保护，我们金融危机背景下，扩大就业，保内需，增长，我 们从企业角度。第一是控制环境，第二是资源，包括资金活动，我们以融资，投资这一块我 们放在一些活动里面，还有采购业务，还有负债管理，销售，研发，工程项目，服务外包等 等。应用指引形式都差不多，比如说采购应用，我们主要是支付环境，包括购买环节，要采 购申请，招标，确定供应商，供应价格，报批核准等等，每个环节进行控制，第三是控制手 段，包括全面预算，风险管理，内容信息传递，信息系统，财务报告。第四

8、针对特殊行业或者行业的控制，包括银行业，证券期货业务，保险业务个个应对指引。再说一下就是评价制度， 作为企业内部管理涉及到运行效果和自我评价，为了方便起见，我们起草了一个对企业内部控制，内部评价指标，包括内容，标准，程序，方法，包括报告形式，我们选择企业报告的基本是从1月2日，12月31作为一个会计年计表，也可以选择 6月30号自查报告也有了新的形式我们参考的深交所还有美国塞班斯法正在研究，报告形式 可能要分两部分，第一个是对环境评价，对业务流程通过一些表格，数据一些量化标准。企业怎么判断你的是否存在重大缺陷，下面就是审计制度，主要是事务所接受企业审计。从我们目前起草稿子我们指引分四各类型，一

9、个就是标准，还有在强调时间段和保留意见，还有否定一些意见，还有无法表明一些意见，和我们财务报告差不多，这个也有一些具体指标。我简单汇报一下框架体系。第四部分我们汇报一下内部控制与风险管理的信息化，我们是怎么理解的。内部控制和风险管理，实际上存在一些争议，理论界对这一问题，人事部统一，有人认为内部控制与风险管理是两回事，两张皮，也有人形象说内部控制是“正确的做事”，风险管理是“做正确的 事”。从我们制定基本规范角度出发点，我们认为内部控制和风险管理不是两张皮，应该是一个完整和有机融合，我们认为内部控制主要是企业内容风险，包括你可控风险也包括不可控风险，但是都要做。所以我们基本规范风险评估，有风险

10、识别，分析，经营存在的风险， 战略，决策等等。第二对国际先进研究成果与经验看，应该是有机融合的趋势。看与风险之 间的感到我们是这样理解的。那样控制与信与化，信息化会计信息化有财政部会计司也说，80年代我们在全国积累了很多经验，在电算化的一些标准，08年11月12日我们财政部会同其他 8大部委在北京成立会计信息化，包括还有XBRL中国地区组织。经过20多年的努力，在会计信息化工作方面给 我们发了一个指导意见，这项工作从我们司角度，已经成为工作重点。会计信息化与内部控 制信息化还是有一点区别，这一方面从我们内控角度，我们单独有一个信息系统这方面的指 引，我相信这个会内部控制好，要做得好，对大多数企

11、业来说很重要的。随着科技发展水平越来越先进，所以信息化一定要跟内容控制有机融合起来。信息系统我个人理解不仅是本身需要控制，最主要是在内容控制和风险管理中，能发挥很大的作用，提高工作效率，能够节 约很多成本。第五部分，我汇报一下企业如何实施内容控制规范。我们知道原来定今年 7月1日上市公司开始实施，考虑到因为我们一系列的具体的应用目前还没有发布，加上我们审计指引，发布以后还要有一段时间消化吸收还要有一个过程，由于金融危机影响，我们调研一些企业他们关注点说法不一样， 有的说我们现在经济不景气，我们练内功吧，有的关注不是这个关注经济增长率，所以经过部里面领导多年的慎重研究，目前我们调整到2010年1

12、月1日，原来是在境外上市公司实施，考虑到情况其他上市公司、其他企业也执行。这套体系下来已经做了调研实施成本是非常大，实施难度还是有一定难度的，目前需要财力，人力资源，所以我们想这个中国在境外上市有 4个国家。实施原定 7月1日实施，有一个自查报告，2010年12月31日，我们还有一年半的时间，我们的有一些企业有完善的标准、完善的制度体系， 我们宣传和应用。下半年我们就做一个宣传和培训工作，我们目前正在紧锣密鼓的筹备当中。目前我们跟踪一些大的企业看看他们的实施效果。企业在贯彻实施内部控制规范制度，我个人理解应该从下面 6个方面。第一个方面就是要强化宣传培训，提高内部的认识。不管7月1日执行不执行

13、，上市公司总是要执行，只是一个时间问题，延续明年下半年，或者后年总之是要执行的，所以工作还要往前做。所以要宣传培训提高认识。第二点就是要健全内控机构，提供组织保障。不少企业有内控部、有风险部, 有的是单独设立了内控部门，有的是放在财政部下面，有内控部。形式不一样，但是我们从基本规范角度要求，要设立机构配备人员。 第三点要循序渐进，稳步实施，不是哪一个部门， 不是我们财务部一下子的事，是需要多个部门配合。对于企业因为差别很大，差别很多，千 差万别基础也不一样，建议分步骤、分层次的进行。选择境外上市公司执行，考虑境外上市公司资本市场是适合公众利益， 执行效果好坏事关资本市场的稳定，但是上市公司基础

14、较好，人员素质较高，本身有完善的内部控制的制度体系，同时也有雄厚财力支持，所以选择境外上市是有扎实的基础。第五点我们建议注重实施成本，讲究实施成本。第六就是强化内部控制建设，增加风险防范能力，应该进行统一协调。最后一点就是要企业善于借助外部资源，合理利用外脑。企业在实施过程中内部控制标准体系过程中，让人感觉到这方面人才，智力资源的局限于可以借助外部咨询机构，中介机构， 帮助你设计，避免少走弯路。同时让咨询机构培训自己的人才，这样提高企业综合管理水平。我要汇报简单给大家汇报一下的是我们财政部牵头这项工作的基本思路，不对之处请大家指正谢谢大家。主持人：非常感谢胡处长的发言，下面我们有请来自IDS

15、Scheer咨询经理阚相元先生发言。阚相元：各位领导，各位来宾，大家早上好。我代表Scheer公司，与大家分享一下我们内控风险管理的认识和经验。在正式演讲前我们 Scheer公司是德国著名管理信息学教授在1999年建立的，进入中国是2004年，目前公司在北京上海，还有深圳，有三个办公室，在中国主要是提供两个方面大的分别服务一个是 SAP实施和核心ERP系统咨询服务。第二服务我们公司业务流程管理系统 核心包括风险和内控建设，进入中国时间虽然很短但是我们在中国市场获得很多客户，包括一些跨国公司。今天的演讲分三个方面去介绍， 首先，跟大家分享我们看到国内管理的企业在整个内控与风 险管理建设方面遇到一

16、些挑战和困惑。 第二，我们看到信息化系统在解决这些困惑和挑战方 面起到什么样的作用。第三个方面，我们会用一个具体的案例介绍一下两个方面。我们现在企业面临很多的要求，要求我们企业加强内控风险管理，我们分析了 一下，这些要求不外乎是从四个角度出发，比如说国资委的中央企业全面风险管理指引，从是保护股东权益角度出发，还有保护公众权益出发的， 还有一个是专业的行业部门， 为了保障行业稳 定发展，尤其是金融行业，比较明确是我们有银行的一些管理办法。还有保险业， 还有政府 部门维护整个市场经济经济角度出台一些要求。比如说财政部内部控制规范，这些核心思想是结合本企业自身特点，理体系，实际上和我们在很很早之前做的I