《赛迪顾问-集团企业IT内控体系建设》由会员分享,可在线阅读,更多相关《赛迪顾问-集团企业IT内控体系建设(17页珍藏版)》请在金锄头文库上搜索。
1、文档供参考,可复制、编制,期待您的好评与关注! 集团企业IT内控体系建设 / 第一章 集团管控与IT内控体系建设1.1 集团管控模式对IT内控的要求1.1.1 中国集团企业的管控模式集团公司管控模式的确定是一个复杂的体系,它要涉及到三个层面的问题:首先是狭义管理模式的确定,即总部对下属企业的管控模式;其次是广义管控模式,它不仅包括狭义的具体的管控模式,而且包括公司的内控结构的确定、总部及各下属公司的角色定位和职责划分、公司组织架构的具体形式选择(直线职能制、事业部制、矩阵制、子公司制、及多中心网络式)、对集团重要资源的管控方式(如对人、财、物的管控体系)以及绩效管理体系的建立;第三个层面是对与
2、管控模式相关的一些重要外界因素的考虑,涉及到业务战略目标、人力资源管理、工作流程体系以及管理信息系统。总部对下属企业的管控模式,按总部的集、分权程度不同而划分成“业务管控型”、“战略管控型”和“财务管控型”三种管控模式。这三种模式各具特点:1.1.1.1 业务管控型总部从战略规划制定到实施几乎什么都管。为了保证战略的实施和目标的达成,集团的各种职能管理非常深入。如人事管理不仅负责全集团的人事制度政策的制定,而且负责管理各下属公司二级管理团队及业务骨干人员的选拔、任免。在实行这种管控模式的集团中,各下属企业业务的相关性要很高。为了保证总部能够正确决策并能应付解决各种问题,总部的职能人员的人数会很
3、多,规模会很庞大。1.1.1.2 战略管控型集团总部负责集团的财务、资产运营和集团整体的战略规划,各下属企业(或事业部)同时也要制定自己的业务战略规划,并提出达成规划目标所需投入的资源预算。总部负责审批下属企业的计划并给予有附加价值的建议,批准其预算,再交由下属企业执行。在实行这种管控模式的集团中,各下属企业业务的相关性也要求很高。为了保证下属企业目标的实现以及集团整体利益的最大化,集团总部的规模并不大,但主要集中在进行综合平衡、提高集团综合效益上做工作。这种模式可以形象地表述为“上有头脑,下也有头脑”。目前世界上大多数集团公司都采用或正在转向这种管控模式。1.1.1.3 财务管控型集团总部只
4、负责集团的财务和资产运营、集团的财务规划、投资决策和实施监控,以及对外部企业的收购、兼并工作。下属企业每年会给定有各自的财务目标,它们只要达成财务目标就可以。在实行这种管控模式的集团中,各下属企业业务的相关性可以很小。典型的财务管理型集团公司有和记黄浦。可见,业务管控型和财务管控型是集权和分权的两个极端,战略管控型则处于中间状态。但是,有的公司从自己的实际情况出发,为了便于管控,将处于中间状态的战略管控型进一步细划为“战略实施型”和“战略指导型”,前者偏重于集权而后者偏重于分权。表 1 三种集团管控模式的区别业务管控型战略管控型财务管控型目的不区分业务的企业收益最大化追求资本增值和区分战略产业
5、选择多为上市公司,无明确的产业选择,无核心企业多为上市公司,无明确的产业选择有明确的产业选择,有核心企业核心功能资产管理总部精简多为财务管理人员不从事业务经营经营公司主业人员多 总部精简母子公司关系不稳定稳定稳定、密切控制方式通过资本运营手段对被控子公司指导、监控利用控股权支配重大决策和经营活动行政手段优点易于形成统一、集中及品牌优势具有很强的协同效应决策与执行分开、产品经营与产权经营分开主业受到充分重视;举例三菱、摩根、洛克非勒日立、丰田、松下、东芝IBM、AT&T1.1.2 集团管控模式对IT内控的要求作为集团企业肯定要有投资重点,一个行业的人均产值、净利率等都会决定集团的投资发展方向,这
6、些数据的准确统计、汇总离不开信息系统,而这些数据的是否能及时、准确的反应真实情况都会由IT内控起决定性的作用。另外,传统方式下企业在运营中会存在一些管理盲点,信息化IT内控带来的信息透明度则是解决这个问题的有效手段。对IT内控的关注,一定要从提升管理的角度来考虑。由于集团分权与集权的管控模式的不同,导致对IT内控的范围及要求也产生了差异化的需求。财务管控模式主要针对投资的科学性、风险性和投资回报进行管理,对所投资企业的具体业务一般不进行直接管理,属于分权型安排。战略管控模式并不要求总部设立具体的业务管理部门,公司总部承担战略规划、监控与服务职能,其考核与管理重点一般也集中于下属公司的董事会或总
7、经理,属于集分权结合型安排。业务管控模式要求总部设立具体的业务管理部门来对下属公司的相关业务进行对口管理,将控股下属公司的营销、技术、人力资源、新业务开发等日常经营运作归口总部相关业务部门进行直接管理,强调公司经营行为的统一。不同的模式下总部与子公司有不同的需求,财务、进销、库存、生产等不同的业务流程也都有不同的重点。无论是哪种管控模式,财务、生产、销售等关键信息对于集团来说,始终都是十分重要的,这就必须借助现代网络软件技术来实现。如果没有信息化的支撑,对于集团企业很难行集中管理,如何及时掌握下属公司的经营业绩,并不断跟踪评估和提出改进措施。集团想要评价整体和各子公司的业绩,需要具备完整真实的
8、数据基础,统一快捷的网络系统和深入分析数据的智能报表(BI)系统软件的支持,这些数据的完整性与及时性都需要IT内控作为坚实的保障。信息对一个集团企业来说尤为重要,关系到企业的生死存亡。对于集团总部而言,信息是科学决策的基础,是把握市场先机的前提。因此,总部对集团内外部信息的把握都将是衡量企业竞争能力的重要因素。然而,在任何一个企业,信息资源都是相对分散的。企业规模越大,产业越是多元化,信息资源就越分散。企业信息化技术的改进都有助于分权,也有助于集权。对于发展初期的企业集团来说,信息化水平更加利于总部的管理控制,使集团总部更加倾向于集权管控模式。表 2 集团企业IT内控的要求战略整合价值交付风险
9、管理绩效管理资源管理 IT战略、规划统一性 信息系统的一体化程度 IT投资额度大小 信息交互量大小 服务灵活度 信息系统需求的多样性 通信安全防护强度 风险应对反映速度 灾难恢复难易程度 监控范围大小 IT风险对业务的影响程度 IT绩效水平高低 IT管理法规及标准的统一性 IT资源整合优化程度 基础设施集中度 基础设施维护难度 数据备份量大小 用户的授权集中度 系统访问控制方面图 1 集团管控模式对IT内控的差异化要求1.2 集团IT内控的定义IT内控是针对信息化建设、管理的科学理论与方法。企业IT内控体系是应用管理控制的概念,结合IT治理的思想,研究在企业信息化建设周期中的规划、实施、运行和
10、后评估等不同的阶段,如何使企业信息系统建设与企业业务发展进行匹配,整合企业核心竞争力,实现企业信息化最大价值的体系。用一句话表示,IT内控要求对信息化建设、管理做出组织化、制度化的安排。在这个体系中要研究信息化工作管理部门组织的管理模式和流程,建立企业信息化管理控制机制,包括信息化工作管理部门在企业中的战略定位,内部基于面向服务的管理流程,界定与其他相关部门的流程关系,建立信息化风险管理控制体系。IT内控体系体现企业信息化服务价值链的关系,实现企业整体价值最大化: 通过组织管理控制手段,保障系统、流程、数据均衡发展; 明确企业信息化部门和专业部门之间的关系和责任; 清晰定义分工界面和管理控制流
11、程; 正确划分信息系统的所有者、建设者和管理者; 加强对流程执行的管理控制,明确流程交接的边界和流程的负责者; 充分发挥企业信息化建设工作的价值,确保信息化战略和企业战略相吻合,从而支撑企业的运营和管理。IT内控作为IT治理的一个子环节已成为一种用来指导和控制企业的结构和流程,目标是通过增加价值,同时平衡IT流程的风险和回报,取得公司的目标的有力工具之一。公司治理和IT内控已密切交缠,公司治理已经日益关注直接或者间接的影响了IT和IT内控所采用的方向。公司治理(Corporate Governance)是属于企业制度层面的内容,其核心在于企业通过权力制衡,监督管理者的绩效,保证股东和其他利益相
12、关主体的权利。IT治理是公司治理的一个有机组成部分,它包含领导力、组织结构和流程等制度和机制,其确保IT维续和扩展组织的战略和目标。IT治理包含了以下几层含义。首先,IT治理是公司治理的一个有机组成部分。信息化建设中一个共识已经达成,即企业信息化是企业经营管理的一个有机组成部分,目前,信息部门已经是企业的一个重要部门,CIO是企业管理层的重要成员,信息化服务和管理流程也逐步融合到了企业的业务管理流程中。但在进一步推进信息化建设过程中,我们还必须达成另一个共识,即IT治理是公司治理的一个有机组成部分,它体现了股东、董事会和管理层对信息化建设的关注。其次,IT治理是一种制度和机制,包含了管理和制衡
13、IT与业务匹配、IT投资价值、IT风险和IT绩效的领导力、组织结构和流程。再次,IT治理的目标是实现股东和其他利益相关主体对信息化建设的监督与制衡,以保证信息化建设能够真正落实和贯彻组织业务战略和目标。内控体系建设既是适应外部监管的迫切需要,更是企业建立现代制度实现可持续发展的内在要求,良好的内控体系是建立现代企业制度、确保企业顺利实现经营目标的重要保证。风险管理作为公司治理的的驱动,同时也是IT内控的外部驱动元素,适当的治理减少了可能带来潜在成本的风险暴、提供了信息化决策的信息库、也提供了全面的却可变的规划框架。图 2 公司治理、IT治理、IT内控与风险管理的关系1.2.1 IT内控涉及的相
14、关标准1.2.1.1 COSO 报告COSO报告定义了内部控制,描述了它的组成,并提供了标准措施,使控制系统得以评价。这份报告对内部控制公开报告提供了操作指南,并为管理层、审计师和其他人员提供了用于评价内部控制系统的资料。这份报告的两个主要目标是:(1)建立能服务于许多不同的当事人的共同的定义;(2)提供一个组织能评估其控制系统和确定如何改善控制系统的标准措施。定义:COSO报告对内部控制的定义是,受组织的董事会、管理层和其他人员影响的一个过程,内部控制的设计为以下类别的目标得以实现提供了合理的保证: 经营的效果的和效率; 财务报告的可靠性; 遵循适用的法律和法规。 这份报告强调了内部控制系统
15、是管理的工具,但不能替代管理;并且控制应建立在经营活动当中,而非经营活动之上。尽管这份报告将内部控制定义为一个过程,但它建议对某个时点的内部控制的有效性作评价。内部控制系统包含五个相关的组成:(1)控制环境,(2)风险评估,(3)控制活动,(4)信息和沟通,(5)监测。1.2.1.2 COBIT:信息和相关技术的控制目标 COBIT是美国信息系统审计与控制协会综合了多个标准,从控制和审计角度出发提出的一套衡量IT应该满足目标、衡量指标的体系。运用该体系,可以提高IT与业务目标的一致性,提高IT资源利用效率,并有效管理IT的风险。图 3 COBIT标准的框架COBIT的主要框架包含IT流程、IT资源、IT信息准则。COBIT给出了在不同的IT生命周期的流程中,对不同的IT资源的关键控制点和需要达到的信息准则目标。COBIT框架允许管理层为信息技术环境的安全和控制实践定基准,允许信息技术服务的用户确信存在充分的安全和控制,允许审计师对内部控制作具体化的意见,并允许审计师商量信息技术和控制方面的事情。提供这个框架的主要动因是能够为贯穿于整个产业范围内的信息技术控制开发清楚的政策和良好的实践。COBIT对控制的定义适应来自COSO的要求
