赛迪顾问集团企业IT内控体系建设.docx

1、赛迪顾问集团企业IT内控体系建设集团企业IT内控体系建设第一章 集团管控与IT内控体系建设1.1 集团管控模式对IT内控的要求1.1.1 中国集团企业的管控模式集团公司管控模式的确定是一个复杂的体系，它要涉及到三个层面的问题：首先是狭义管理模式的确定，即总部对下属企业的管控模式；其次是广义管控模式，它不仅包括狭义的具体的管控模式，而且包括公司的内控结构的确定、总部及各下属公司的角色定位和职责划分、公司组织架构的具体形式选择(直线职能制、事业部制、矩阵制、子公司制、及多中心网络式)、对集团重要资源的管控方式(如对人、财、物的管控体系)以及绩效管理体系的建立；第三个层面是对与管控模式相关的一些重要

2、外界因素的考虑，涉及到业务战略目标、人力资源管理、工作流程体系以及管理信息系统。总部对下属企业的管控模式，按总部的集、分权程度不同而划分成“业务管控型”、“战略管控型”和“财务管控型”三种管控模式。这三种模式各具特点：1.1.1.1 业务管控型总部从战略规划制定到实施几乎什么都管。为了保证战略的实施和目标的达成，集团的各种职能管理非常深入。如人事管理不仅负责全集团的人事制度政策的制定，而且负责管理各下属公司二级管理团队及业务骨干人员的选拔、任免。在实行这种管控模式的集团中，各下属企业业务的相关性要很高。为了保证总部能够正确决策并能应付解决各种问题，总部的职能人员的人数会很多，规模会很庞大。1.

3、1.1.2 战略管控型集团总部负责集团的财务、资产运营和集团整体的战略规划，各下属企业(或事业部)同时也要制定自己的业务战略规划，并提出达成规划目标所需投入的资源预算。总部负责审批下属企业的计划并给予有附加价值的建议，批准其预算，再交由下属企业执行。在实行这种管控模式的集团中，各下属企业业务的相关性也要求很高。为了保证下属企业目标的实现以及集团整体利益的最大化，集团总部的规模并不大，但主要集中在进行综合平衡、提高集团综合效益上做工作。这种模式可以形象地表述为“上有头脑，下也有头脑”。目前世界上大多数集团公司都采用或正在转向这种管控模式。1.1.1.3 财务管控型集团总部只负责集团的财务和资产运

4、营、集团的财务规划、投资决策和实施监控，以及对外部企业的收购、兼并工作。下属企业每年会给定有各自的财务目标，它们只要达成财务目标就可以。在实行这种管控模式的集团中，各下属企业业务的相关性可以很小。典型的财务管理型集团公司有和记黄浦。可见，业务管控型和财务管控型是集权和分权的两个极端，战略管控型则处于中间状态。但是，有的公司从自己的实际情况出发，为了便于管控，将处于中间状态的战略管控型进一步细划为“战略实施型”和“战略指导型”，前者偏重于集权而后者偏重于分权。表 1 三种集团管控模式的区别业务管控型战略管控型财务管控型目的不区分业务的企业收益最大化追求资本增值和区分战略产业选择多为上市公司，无明

5、确的产业选择，无核心企业多为上市公司，无明确的产业选择有明确的产业选择，有核心企业核心功能资产管理总部精简多为财务管理人员不从事业务经营经营公司主业人员多 总部精简母子公司关系不稳定稳定稳定、密切控制方式通过资本运营手段对被控子公司指导、监控利用控股权支配重大决策和经营活动行政手段优点易于形成统一、集中及品牌优势具有很强的协同效应决策与执行分开、产品经营与产权经营分开主业受到充分重视；举例三菱、摩根、洛克非勒日立、丰田、松下、东芝IBM、AT&T1.1.2 集团管控模式对IT内控的要求作为集团企业肯定要有投资重点，一个行业的人均产值、净利率等都会决定集团的投资发展方向，这些数据的准确统计、汇总

6、离不开信息系统，而这些数据的是否能及时、准确的反应真实情况都会由IT内控起决定性的作用。另外，传统方式下企业在运营中会存在一些管理盲点，信息化IT内控带来的信息透明度则是解决这个问题的有效手段。对IT内控的关注，一定要从提升管理的角度来考虑。由于集团分权与集权的管控模式的不同，导致对IT内控的范围及要求也产生了差异化的需求。财务管控模式主要针对投资的科学性、风险性和投资回报进行管理，对所投资企业的具体业务一般不进行直接管理，属于分权型安排。战略管控模式并不要求总部设立具体的业务管理部门，公司总部承担战略规划、监控与服务职能，其考核与管理重点一般也集中于下属公司的董事会或总经理，属于集分权结合型

7、安排。业务管控模式要求总部设立具体的业务管理部门来对下属公司的相关业务进行对口管理，将控股下属公司的营销、技术、人力资源、新业务开发等日常经营运作归口总部相关业务部门进行直接管理，强调公司经营行为的统一。不同的模式下总部与子公司有不同的需求，财务、进销、库存、生产等不同的业务流程也都有不同的重点。无论是哪种管控模式，财务、生产、销售等关键信息对于集团来说，始终都是十分重要的，这就必须借助现代网络软件技术来实现。如果没有信息化的支撑，对于集团企业很难行集中管理，如何及时掌握下属公司的经营业绩，并不断跟踪评估和提出改进措施。集团想要评价整体和各子公司的业绩，需要具备完整真实的数据基础，统一快捷的网

8、络系统和深入分析数据的智能报表(BI)系统软件的支持，这些数据的完整性与及时性都需要IT内控作为坚实的保障。信息对一个集团企业来说尤为重要，关系到企业的生死存亡。对于集团总部而言，信息是科学决策的基础，是把握市场先机的前提。因此，总部对集团内外部信息的把握都将是衡量企业竞争能力的重要因素。然而，在任何一个企业，信息资源都是相对分散的。企业规模越大，产业越是多元化，信息资源就越分散。企业信息化技术的改进都有助于分权，也有助于集权。对于发展初期的企业集团来说，信息化水平更加利于总部的管理控制，使集团总部更加倾向于集权管控模式。表 2 集团企业IT内控的要求战略整合价值交付风险管理绩效管理资源管理

9、IT战略、规划统一性 信息系统的一体化程度 IT投资额度大小 信息交互量大小 服务灵活度 信息系统需求的多样性 通信安全防护强度 风险应对反映速度 灾难恢复难易程度 监控范围大小 IT风险对业务的影响程度 IT绩效水平高低 IT管理法规及标准的统一性 IT资源整合优化程度 基础设施集中度 基础设施维护难度 数据备份量大小 用户的授权集中度 系统访问控制方面图 1 集团管控模式对IT内控的差异化要求1.2 集团IT内控的定义IT内控是针对信息化建设、管理的科学理论与方法。企业IT内控体系是应用管理控制的概念，结合IT治理的思想，研究在企业信息化建设周期中的规划、实施、运行和后评估等不同的阶段，如

10、何使企业信息系统建设与企业业务发展进行匹配，整合企业核心竞争力，实现企业信息化最大价值的体系。用一句话表示，IT内控要求对信息化建设、管理做出组织化、制度化的安排。在这个体系中要研究信息化工作管理部门组织的管理模式和流程，建立企业信息化管理控制机制，包括信息化工作管理部门在企业中的战略定位，内部基于面向服务的管理流程，界定与其他相关部门的流程关系，建立信息化风险管理控制体系。IT内控体系体现企业信息化服务价值链的关系，实现企业整体价值最大化： 通过组织管理控制手段，保障系统、流程、数据均衡发展； 明确企业信息化部门和专业部门之间的关系和责任； 清晰定义分工界面和管理控制流程； 正确划分信息系统

11、的所有者、建设者和管理者； 加强对流程执行的管理控制，明确流程交接的边界和流程的负责者； 充分发挥企业信息化建设工作的价值，确保信息化战略和企业战略相吻合，从而支撑企业的运营和管理。IT内控作为IT治理的一个子环节已成为一种用来指导和控制企业的结构和流程，目标是通过增加价值，同时平衡IT流程的风险和回报，取得公司的目标的有力工具之一。公司治理和IT内控已密切交缠，公司治理已经日益关注直接或者间接的影响了IT和IT内控所采用的方向。公司治理(Corporate Governance)是属于企业制度层面的内容，其核心在于企业通过权力制衡，监督管理者的绩效，保证股东和其他利益相关主体的权利。IT治理

12、是公司治理的一个有机组成部分，它包含领导力、组织结构和流程等制度和机制，其确保IT维续和扩展组织的战略和目标。IT治理包含了以下几层含义。首先，IT治理是公司治理的一个有机组成部分。信息化建设中一个共识已经达成，即企业信息化是企业经营管理的一个有机组成部分，目前，信息部门已经是企业的一个重要部门，CIO是企业管理层的重要成员，信息化服务和管理流程也逐步融合到了企业的业务管理流程中。但在进一步推进信息化建设过程中，我们还必须达成另一个共识，即IT治理是公司治理的一个有机组成部分，它体现了股东、董事会和管理层对信息化建设的关注。其次，IT治理是一种制度和机制，包含了管理和制衡IT与业务匹配、IT投

13、资价值、IT风险和IT绩效的领导力、组织结构和流程。再次，IT治理的目标是实现股东和其他利益相关主体对信息化建设的监督与制衡，以保证信息化建设能够真正落实和贯彻组织业务战略和目标。内控体系建设既是适应外部监管的迫切需要，更是企业建立现代制度实现可持续发展的内在要求，良好的内控体系是建立现代企业制度、确保企业顺利实现经营目标的重要保证。风险管理作为公司治理的的驱动，同时也是IT内控的外部驱动元素，适当的治理减少了可能带来潜在成本的风险暴、提供了信息化决策的信息库、也提供了全面的却可变的规划框架。图 2 公司治理、IT治理、IT内控与风险管理的关系1.2.1 IT内控涉及的相关标准1.2.1.1

14、COSO 报告COSO报告定义了内部控制，描述了它的组成，并提供了标准措施，使控制系统得以评价。这份报告对内部控制公开报告提供了操作指南，并为管理层、审计师和其他人员提供了用于评价内部控制系统的资料。这份报告的两个主要目标是：(1)建立能服务于许多不同的当事人的共同的定义；(2)提供一个组织能评估其控制系统和确定如何改善控制系统的标准措施。定义：COSO报告对内部控制的定义是，受组织的董事会、管理层和其他人员影响的一个过程，内部控制的设计为以下类别的目标得以实现提供了合理的保证： 经营的效果的和效率； 财务报告的可靠性； 遵循适用的法律和法规。 这份报告强调了内部控制系统是管理的工具，但不能替

15、代管理；并且控制应建立在经营活动当中，而非经营活动之上。尽管这份报告将内部控制定义为一个过程，但它建议对某个时点的内部控制的有效性作评价。内部控制系统包含五个相关的组成：(1)控制环境，(2)风险评估，(3)控制活动，(4)信息和沟通，(5)监测。1.2.1.2 COBIT:信息和相关技术的控制目标 COBIT是美国信息系统审计与控制协会综合了多个标准，从控制和审计角度出发提出的一套衡量IT应该满足目标、衡量指标的体系。运用该体系，可以提高IT与业务目标的一致性，提高IT资源利用效率，并有效管理IT的风险。图 3 COBIT标准的框架COBIT的主要框架包含IT流程、IT资源、IT信息准则。C

16、OBIT给出了在不同的IT生命周期的流程中，对不同的IT资源的关键控制点和需要达到的信息准则目标。COBIT框架允许管理层为信息技术环境的安全和控制实践定基准，允许信息技术服务的用户确信存在充分的安全和控制，允许审计师对内部控制作具体化的意见，并允许审计师商量信息技术和控制方面的事情。提供这个框架的主要动因是能够为贯穿于整个产业范围内的信息技术控制开发清楚的政策和良好的实践。COBIT对控制的定义适应来自COSO的要求：即政策、程序和组织结构的设计是对经营目标可以实现以及意外事件能得到预防或检查和纠正提出合理的保证。COBIT对信息技术控制目标的定义适应了SAC的要求：即通过在特定的信息技术活

17、动中实施控制程序，完成所要求的结果和目标的陈述。COBIT强调了与经营过程有关的信息技术控制的作用和影响。COBIT将信息技术资源归为数据、应用系统、技术、设施和人力。数据得到了最广意义的定义，它不仅包括编号、正文和日期，而且包括图形和声音。应用程序可理解为人工程序和编程程序的总和。技术是指硬件、操作系统、网络设备等。设施是用于房间和支持信息系统的资源。人力是针对个人的技能以及计划、组织、取得、传送、支持和监控信息系统和服务的能力。在对信息技术管理实践的信息技术基础设施库（ITIL）分析的基础上，英国的COBIT报告将信息技术过程分为四类，它们是（1）规划和组织，（2）取得和实施，（3）传送和

18、支持，（4）监测。这个自然的分类过程证实了组织结构的责任范围，并遵循了在任何信息技术环境下应用于信息技术处理的管理周期或生命周期。这份报告举例说明了信息技术资源和四个信息技术过程范围的关系，并列出了在四个范围内的34个单个的过程。COBIT为经营过程所有者提出了控制的框架。管理层被完全赋予对经营过程的所有责任和权力正日渐增多。COBIT包任内部控制和信息技术控制目标的定义、四个过程范围以及34个高水平的控制陈述，271个控制目标。1.2.1.3 ISO17799：信息安全管理实施细则ISO 17799(BS 7799)为目前国际上最知名的安全规范，BS 7799是由英国标准协会 British

19、 Standards In-stitution于1995年提出，在2000年修订改版并于当年10月提交国际标准组织，国际标准组织于2001年2月正式将该标准转化为国际标准。ISO 17799(BS 7799)得到世界范围的关注，被认为是主要的信息安全标准。现在已经为英国、澳大利亚、德国、芬兰、印度、日本、中国香港特区以及台湾省等29个国家和地区广泛采用。BS7799广泛涵盖了所有的信息安全议题，如安全方针的制定、安全责任的归属、风险的评估、定义与强化安全参数及访问控制，甚至包含防病毒的相关策略等，适用于各种产业与组织。许多国家的政府机构、银行、保险公司、电信及电力企业、网络公司及跨国公司均已纷

20、纷采用，并收到了良好的效果和回报。ISO17799:2005标准（即BS7799第一部分），是信息安全管理实施细则（Code of Practice for Information Security Management），其中包含11个主题，定义了133个安全控制。有10个以文献形式体现各种控制主题，其范围从来自第三方合同的风险识别，报告各种可能的安全事故到密码管理系统和用户培训。这十个章节和它们的客观目标在BS 7799中第二部分中有详细描述，大致可总结为： 信息安全方针-为信息安全提供管理方向和保障； 组织安全-建立组织内的管理体系以便安全管理； 资产归类和控制-维护组织资产的适当保护系

21、统； 人员安全-减少人为造成的风险； 实物和环境安全-防止对关于IT服务的未经许可的介入，损伤和干扰服务； 通讯和操作管理-保证通讯和操作设备的正确和安全维护； 访问控制-控制对商业信息的访问； 系统开发和维护-保证安全建造进入安全系统； 商业连续性管理-防止商业活动中断及保护关键商业过程不受重大失误或灾难事故的影响； 遵守-避免任何违反法令、法规、合同约定及其他安全要求的行为。1.2.1.4 PRINCE2PRINCE2（Projects In Controlled Environments）是一种对项目管理的某些特定方面提供支持的方法。PRINCE2描述了一个项目如何被切分成一些可供管理的

22、阶段，以便高效地控制资源的使用和在整个项目周期执行常规的监督流程。PRINCE2的视野并不仅仅限于对具体项目的管理，还盖了在组织范围对项目的管理。1.2.2 各种标准之间的关系COBIT与ITIL应该说这两个标准都是以业务为核心，而且驱动和价值体现都是业务。COBIT重点关注IT的控制以及度量指标，但是没有告诉我们流程，ITIL重点是服务的流程，因此在管控领域，更多的是两种的组合是使用，当然也可以引入一些其他的专用标准，比如在安全方面，可以更多的使用ISO7799。图 4 各个标准之间的关系1.3 IT内控体系对集团企业经营管理的作用随着企业规模的扩张，集团领导者管理半径与管理深度增大，提高集

23、团的精细化管理和技术创新能力越来越突出地摆在面前。于是，从集团总部到事业部、各产业公司的逐级监控管理问题，跨行业发展带来信息系统的兼容问题，IT资源整合及协调问题，总部及时监控下属公司的财务、运营问题等，诸多问题被提上日程。集团企业常常有一大堆基础架构，并在这之上构建了一系列的应用系统，各种生产系统还有各种各样运营系统数量非常庞大，在这之上支撑了多种多样的业务流程，在这之上最终形成财务报告。通过IT内控可以促使企业内部的作业流程最大限度做到透明化、可控制、有效风险管理和欺诈防治，并且这些流程必须详细记录，乃至到可追查交易源头。1.3.1 合理利用信息资源，促使集团整体收益最大化信息化管控是通过

24、对信息化工作过程的管理和控制来实现其工作目标。在保持信息化战略目标与业务目标一致、合理利用信息资源、控制信息化相关风险的前提下，建立信息化管控体系，促使集团整体收益最大化。通过信息化管控体系对信息资源的管理职能进行有效管理和对业务流程中的资源合理利用。结合公司实际情况，逐步统一信息系统规划的原则、架构、接口、数据、安全等重点问题，实现本公司规划与集团公司规划的互动和相互补充。并在充分考虑支撑成本、支撑效果、风险规避等因素的基础上，向以自我支撑为主、外包为辅的支撑方向发展，逐步建立一支高水平的、相对稳定的信息化支撑队伍，同时不断提高自我支撑能力和支撑范围。根据企业发展战略方针，结合信息化发展现状

25、，成立专门的信息化工作部门负责信息化工作的统筹安排、协调和提出重大决策意见。规范信息化管理工作，开展规范、有序的规划工作，明确本公司信息系统的实施路线。从而将企业的业务目标和信息化战略目标的信息需求和功能需求整合起来，保持信息化战略目标与业务目标一致，形成总体的信息化管控体系框架和系统整体模型。1.3.2 完善集团IT治理结构，构建现代企业制度IT控制是公司治理及IT治理必不可少的组成部分，因为集团需要企业的审计系统来保证财务数据的完整性和对会计原则的遵循，因此首先也面临着整合企业的内部控制和管理信息系统这个大任务。IT内控体系加大信息系统在总体控制方面的责任，在信息系统对管理流程的介入程度上

26、，采取自上而下的基于风险管理的分配原则，尽量缩减成本，同时实现内控的合理化。实现流程和控制的集中化，建立一个好的集中身份管理措施和授权措施，以及加强包括用户身份、网络安全、系统安全在内的保护措施都是建立好的管理流程的要素，从而促进IT治理的完善，确保IT控制符合公司内部控制的要求。要实现有效的IT内控，在制定目标时，结合IT原则、架构、IT基础设施、IT商业应用和IT投资综合考虑，同时在组织上保障决策的制定和监控，因此也会借助这些过程作为载体来构建和完善现代企业制度。IT内控通过确定公司的主要经营活动以及与这些经营活动相关的业务流程和活动，明确集团控制的范围；通过界定工作范围，定义具体的控制对

27、象；通过对控制对象进行风险分析、评估，决定每项风险的管理策略，制定企业具体的控制程序、控制目标以及审计标准；通过对对现行的运作进行评估，实施变革以达到预定目标；最后，评价控制措施的实施后果，加以巩固或改进。1.3.3 规避集团企业风险，确保实现总体战略目标作为集团企业，提升自身的IT内部控制能力，就是要对风险进行更有效的控制。通过风险管理方法规避企业发展过程中的信息化相关风险，在建立信息化管控体系的基础上，进行信息化能力评价的试行工作，确定能力指标的现状值；根据业务目标，明确能力指标的目标值。同时，制定信息资源的保护级别，强调关键的信息技术资源，有效实施监督控制和事故处理等方法。初步改变目前信

28、息系统工程超期、信息化客户需求没有满足、信息化平台不支持业务应用等现状，进而保证投资的回收并支持决策、改善管理效率。其作用不仅仅为了促进企业内控能力的改善，规避内部的风险，而且将企业放入到整个行业中进行综合的分析，通过识别整个外在环境，规避行业中存在的风险，当然风险控制只是IT内控中的一个子集，企业的信息化建设是为公司的战略和业务发展服务的，因此可以通过IT内控发现企业中存在的问题，保持IT与业务目标一致，推动业务发展，促使收益最大化，以确保组织信息系统的发展能够始终沿着正确的方向进行，确保企业的总体战略目标的实现。1.3.4 完善IT绩效考核体制，提高企业IT管理效能信息化管控“不能度量就无

29、法管理”，尤其是业务层和董事层的责任，如果缺少可靠的度量标准和用于衡量价值、绩效及行业可比性的基准，就不能有效地发挥作用。因此，完善企业IT绩效考核体系，保证集团进行IT高效管理的保障。通过IT内控体系建设，帮助企业建立了完善的IT绩效考核体制，在对各类IT管理流程进行严格控制的过程中，应用符合企业管理特点的KPI指标，对执行的效果进行量化、评估。并将量化结果作为检验IT管理绩效的衡量基准，发现管理中存在的潜在问题，及时加以解决，进而提高企业IT管理效能。第二章 集团IT内控建设现状研究2.1 国内集团IT内控概况通过对大型集团企业高管的调查中我们发现，81%的公司认为需要更有效地将IT治理和

30、业务战略结合起来。78%的认为要改进IT的价值提升，还有64%的人认为要改进和强化风险管理和规划，通过这三个数字可以看出，IT内控的正规化前景还是被看好的。目前我们国内企业会将其收入的4.2%多用于IT投资，这个比例目前还在上升。这也同时意味着，公司将每年总资本投资额的50用于IT。随着IT越来越重要和普遍，也越来越要求公司对此进行管理和控制，以保证IT能够创造相应的价值。而在许多公司，对IT进行集中管理已经变得不可能或者不可取了。为了解决这个问题，许多公司正在建立或者改革其IT内控结构，以鼓励那些促使公司达到业务绩效目标的行为。IT原则方面：IT原则是其他项IT决策的基础，指明所有决策的方向

31、。如果原则不清楚，其他决策的结合不可能有意义。IT投资所要达到的战略目标的清晰程度，以及企业长期信息技术建设的规划状况不够明晰的企业比例较大，占40左右。这是我国企业信息技术应用状况不理想的决定性原因。 IT架构方面：企业标准化编码实现程度大部分着手进行或已经实现，而且半数以上的企业实现了综合方式的业务运作与流程，实践效果比较好。 IT基础设施方面：信息安全防护系统的完善状况以及信息技术管理的完善状况较令人满意，综合IT架构的应用情况，表明管理者较为重视信息技术的硬件设施及系统开发应用和相应设备人员的管理，但30的企业没有专门的信息技术培训，从侧面反映了企业不重视员工对信息技术的掌握能力，有可能导致企业IT能力无法持续增长。 业务应用需要方面：投资IT的目的是为了打破现有流程，实现某种突破创，但约20%的企业很大程度上不了解本企业的业务应用需要，IT投资带有极大的盲目性。 IT投资及优先权方面：90的企业综合考虑各个部门的需要，组合分配IT投资资金，这样做可以全面提高企业的信息化水平，但不排除各个部门相互争夺IT资金，决策者为求平衡出此下策的可能。在对IT总体投资额度的确定方面呈现比较极端化的趋势，一些企业从未参照行业标准，另一些企业初始和追加投资均参照行业标准，一定程度上反映了我国企业信息化水平的参差不齐。50的企业IT投资时优先考虑购买外部服务商提供的新系统，较少自行研制开