赛迪顾问集团企业IT内控体系建设Word格式.docx

赛迪顾问集团企业IT内控体系建设Word格式.docx

《赛迪顾问集团企业IT内控体系建设Word格式.docx》由会员分享，可在线阅读，更多相关《赛迪顾问集团企业IT内控体系建设Word格式.docx（15页珍藏版）》请在冰豆网上搜索。

在实行这种管控模式的集团中，各下属企业业务的相关性要很高。

为了保证总部能够正确决策并能应付解决各种问题，总部的职能人员的人数会很多，规模会很庞大。

1.1.1.2战略管控型

集团总部负责集团的财务、资产运营和集团整体的战略规划，各下属企业（或事业部）同时也要制定自己的业务战略规划，并提出达成规划目标所需投入的资源预算。

总部负责审批下属企业的计划并给予有附加价值的建议，批准其预算，再交由下属企业执行。

在实行这种管控模式的集团中，各下属企业业务的相关性也要求很高。

为了保证下属企业目标的实现以及集团整体利益的最大化，集团总部的规模并不大，但主要集中在进行综合平衡、提高集团综合效益上做工作。

这种模式能够形象地表述为“上有头脑，下也有头脑”。

当前世界上大多数集团公司都采用或正在转向这种管控模式。

1.1.1.3财务管控型

集团总部只负责集团的财务和资产运营、集团的财务规划、投资决策和实施监控，以及对外部企业的收购、兼并工作。

下属企业每年会给定有各自的财务目标，它们只要达成财务目标就能够。

在实行这种管控模式的集团中，各下属企业业务的相关性能够很小。

典型的财务管理型集团公司有和记黄浦。

可见，业务管控型和财务管控型是集权和分权的两个极端，战略管控型则处于中间状态。

可是，有的公司从自己的实际情况出发，为了便于管控，将处于中间状态的战略管控型进一步细划为“战略实施型”和“战略指导型”，前者偏重于集权而后者偏重于分权。

表1三种集团管控模式的区别

业务管控型

战略管控型

财务管控型

目的

不区分业务的企业收益

最大化

追求资本增值和区分战略

产业选择

多为上市公司，无明确

的产业选择，无核心企业

多为上市公司，无明确的产业选择

有明确的产业选择，有核心企业

核心

功能

资产管理

总部

精简多为财务管理人员不从事业务经营经营公司主业

人员多

总部精简

母子公司关系

不稳定

稳定

稳定、密切

控制方式

经过资本运营手段对被控子公司指导、监控

利用控股权支配重大决策和经营活动

行政手段

优点

易于形成统一、集中及品牌优势

具有很强的协同效应

决策与执行分开、产品经营与产权经营分开

主业受到充分重视；

举例

三菱、摩根、洛克非勒

日立、丰田、松下、东芝

IBM、AT&

T

1.1.2集团管控模式对IT内控的要求

作为集团企业肯定要有投资重点，一个行业的人均产值、净利率等都会决定集团的投资发展方向，这些数据的准确统计、汇总离不开信息系统，而这些数据的是否能及时、准确的反应真实情况都会由IT内控起决定性的作用。

另外，传统方式下企业在运营中会存在一些管理盲点，信息化IT内控带来的信息透明度则是解决这个问题的有效手段。

对IT内控的关注，一定要从提升管理的角度来考虑。

由于集团分权与集权的管控模式的不同，导致对IT内控的范围及要求也产生了差异化的需求。

财务管控模式主要针对投资的科学性、风险性和投资回报进行管理，对所投资企业的具体业务一般不进行直接管理，属于分权型安排。

战略管控模式并不要求总部设立具体的业务管理部门，公司总部承担战略规划、监控与服务职能，其考核与管理重点一般也集中于下属公司的董事会或总经理，属于集分权结合型安排。

业务管控模式要求总部设立具体的业务管理部门来对下属公司的相关业务进行对口管理，将控股下属公司的营销、技术、人力资源、新业务开发等日常经营运作归口总部相关业务部门进行直接管理，强调公司经营行为的统一。

不同的模式下总部与子公司有不同的需求，财务、进销、库存、生产等不同的业务流程也都有不同的重点。

无论是哪种管控模式，财务、生产、销售等关键信息对于集团来说，始终都是十分重要的，这就必须借助现代网络软件技术来实现。

如果没有信息化的支撑，对于集团企业很难行集中管理，如何及时掌握下属公司的经营业绩，并不断跟踪评估和提出改进措施。

集团想要评价整体和各子公司的业绩，需要具备完整真实的数据基础，统一快捷的网络系统和深入分析数据的智能报表（BI）系统软件的支持，这些数据的完整性与及时性都需要IT内控作为坚实的保障。

信息对一个集团企业来说尤为重要，关系到企业的生死存亡。

对于集团总部而言，信息是科学决策的基础，是把握市场先机的前提。

因此，总部对集团内外部信息的把握都将是衡量企业竞争能力的重要因素。

然而，在任何一个企业，信息资源都是相对分散的。

企业规模越大，产业越是多元化，信息资源就越分散。

企业信息化技术的改进都有助于分权，也有助于集权。

对于发展初期的企业集团来说，信息化水平更加利于总部的管理控制，使集团总部更加倾向于集权管控模式。

表2集团企业IT内控的要求

战略整合

价值交付

风险管理

绩效管理

资源管理

✧IT战略、规划统一性

✧信息系统的一体化程度

✧IT投资额度大小

✧信息交互量大小

✧服务灵活度

✧信息系统需求的多样性

✧通信安全防护强度

✧风险应对反映速度

✧灾难恢复难易程度

✧监控范围大小

✧IT风险对业务的影响程度

✧IT绩效水平高低

✧IT管理法规及标准的统一性

✧IT资源整合优化程度

✧基础设施集中度

✧基础设施维护难度

✧数据备份量大小

✧用户的授权集中度

✧系统访问控制方面

图1集团管控模式对IT内控的差异化要求

1.2集团IT内控的定义

IT内控是针对信息化建设、管理的科学理论与方法。

企业IT内控体系是应用管理控制的概念，结合IT治理的思想，研究在企业信息化建设周期中的规划、实施、运行和后评估等不同的阶段，如何使企业信息系统建设与企业业务发展进行匹配，整合企业核心竞争力，实现企业信息化最大价值的体系。

用一句话表示，IT内控要求对信息化建设、管理做出组织化、制度化的安排。

在这个体系中要研究信息化工作管理部门组织的管理模式和流程，建立企业信息化管理控制机制，包括信息化工作管理部门在企业中的战略定位，内部基于面向服务的管理流程，界定与其它相关部门的流程关系，建立信息化风险管理控制体系。

IT内控体系体现企业信息化服务价值链的关系，实现企业整体价值最大化：

✧经过组织管理控制手段，保障系统、流程、数据均衡发展；

✧明确企业信息化部门和专业部门之间的关系和责任；

✧清晰定义分工界面和管理控制流程；

✧正确划分信息系统的所有者、建设者和管理者；

✧加强对流程执行的管理控制，明确流程交接的边界和流程的负责者；

✧充分发挥企业信息化建设工作的价值，确保信息化战略和企业战略相吻合，从而支撑企业的运营和管理。

IT内控作为IT治理的一个子环节已成为一种用来指导和控制企业的结构和流程，目标是经过增加价值，同时平衡IT流程的风险和回报，取得公司的目标的有力工具之一。

公司治理和IT内控已密切交缠，公司治理已经日益关注直接或者间接的影响了IT和IT内控所采用的方向。

公司治理（CorporateGovernance）是属于企业制度层面的内容，其核心在于企业经过权力制衡，监督管理者的绩效，保证股东和其它利益相关主体的权利。

IT治理是公司治理的一个有机组成部分，它包含领导力、组织结构和流程等制度和机制，其确保IT维续和扩展组织的战略和目标。

IT治理包含了以下几层含义。

首先，IT治理是公司治理的一个有机组成部分。

信息化建设中一个共识已经达成，即企业信息化是企业经营管理的一个有机组成部分，当前，信息部门已经是企业的一个重要部门，CIO是企业管理层的重要成员，信息化服务和管理流程也逐步融合到了企业的业务管理流程中。

但在进一步推进信息化建设过程中，我们还必须达成另一个共识，即IT治理是公司治理的一个有机组成部分，它体现了股东、董事会和管理层对信息化建设的关注。

其次，IT治理是一种制度和机制，包含了管理和制衡IT与业务匹配、IT投资价值、IT风险和IT绩效的领导力、组织结构和流程。

再次，IT治理的目标是实现股东和其它利益相关主体对信息化建设的监督与制衡，以保证信息化建设能够真正落实和贯彻组织业务战略和目标。

内控体系建设既是适应外部监管的迫切需要，更是企业建立现代制度实现可持续发展的内在要求，良好的内控体系是建立现代企业制度、确保企业顺利实现经营目标的重要保证。

风险管理作为公司治理的的驱动，同时也是IT内控的外部驱动元素，适当的治理减少了可能带来潜在成本的风险暴、提供了信息化决策的信息库、也提供了全面的却可变的规划框架。

图2公司治理、IT治理、IT内控与风险管理的关系

1.2.1IT内控涉及的相关标准

1.2.1.1COSO报告

COSO报告定义了内部控制，描述了它的组成，并提供了标准措施，使控制系统得以评价。

这份报告对内部控制公开报告提供了操作指南，并为管理层、审计师和其它人员提供了用于评价内部控制系统的资料。

这份报告的两个主要目标是：

（1）建立能服务于许多不同的当事人的共同的定义；

（2）提供一个组织能评估其控制系统和确定如何改进控制系统的标准措施。

定义：

COSO报告对内部控制的定义是，受组织的董事会、管理层和其它人员影响的一个过程，内部控制的设计为以下类别的目标得以实现提供了合理的保证：

✧经营的效果的和效率；

✧财务报告的可靠性；

✧遵循适用的法律和法规。

这份报告强调了内部控制系统是管理的工具，但不能替代管理；

而且控制应建立在经营活动当中，而非经营活动之上。

尽管这份报告将内部控制定义为一个过程，但它建议对某个时点的内部控制的有效性作评价。

内部控制系统包含五个相关的组成：

（1）控制环境，

（2）风险评估，（3）控制活动，（4）信息和沟通，（5）监测。

1.2.1.2COBIT:

信息和相关技术的控制目标

COBIT是美国信息系统审计与控制协会综合了多个标准，从控制和审计角度出发提出的一套衡量IT应该满足目标、衡量指标的体系。

运用该体系，能够提高IT与业务目标的一致性，提高IT资源利用效率，并有效管理IT的风险。

图3COBIT标准的框架

COBIT的主要框架包含IT流程、IT资源、IT信息准则。

COBIT给出了在不同的IT生命周期的流程中，对不同的IT资源的关键控制点和需要达到的信息准则目标。

COBIT框架允许管理层为信息技术环境的安全和控制实践定基准，允许信息技术服务的用户确信存在充分的安全和控制，允许审计师对内部控制作具体化的意见，并允许审计师商量信息技术和控制方面的事情。

提供这个框架的主要动因是能够为贯穿于整个产业范围内的信息技术控制开发清楚的政策和良好的实践。

COBIT对控制的定