赛迪顾问-集团企业IT内控体系建设
赛迪顾问大型企业并购重组信息化整合方案
本期主题:大型企业并购重组信息化整合方案第一章并购企业信息化整合目标及原则1.1 总体目标在央企集团整体信息化发展战略目标指引下,以坚持央企集团信息化“统一规划、统一建设、统一管理、统一标准”原则为前提,以最大化的保护利用并购企业现有IT资产为核心,以并购企业现有系统改造、网络对接集成、信息资源整合、IT组织优化为主体,有计划、有步骤、有策略的将新并购企业能够平滑的并入央企集团信息化体系中。
1.2 具体目标1、“1+1>2”的韦斯顿协同效应实现,重构统一的信息化体系,努力营造央企集团与并购企业IT资产深度“融合”的技术环境,信息系统间实现功能联动、数据资源实现统一标准应用、通讯网络实现数据无障碍传输,最终达到目的。
2、IT经验成本曲线效应实现,在新并购企业信息化整合过程中,充分复制央企集团的信息化建设经验,妥善应用央企集团成熟的信息系统。
以快速提高并购企业的信息化水平,努力缩小并购企业与央企集团现有企业间的IT技术应用差距。
1.3 整合原则1、总部主导原则并购企业信息化整合工作必须在央企总部信息部门的统一领导下稳步推进,按照央企集团制定的重组整合方案开展技术实施,央企集团信息部门对并购企业信息化建设负有“指导建设、监督管理”的责任。
2、规范遵照原则未来并购企业信息化建设,必须严格遵守央企集团颁布或新制定的各项技术标准与管理规范。
3、资产保护最大化原则在并购企业信息化改造、整合过程中,在不违背央企集团总体信息化应用要求的前提下,要保证并购企业原有IT资产得以最大化的保护。
4、可持续发展原则在具体的技术应用中,该技术不仅要满足企业并购期的业务支撑需求,而且要保证该技术能够适应未来企业的长远发展要求。
5、业务、管理驱动原则要充分调研并购业务、相关管控对IT技术(包括信息系统对接、网络集成等)的应用需求,在需求引导驱动下,选择最合适的技术应用方式。
第二章并购企业信息化整合难点及风险2.1并购重组后信息化建设的难点1、信息化系统的全面推广具有难度被并购企业业务特点各不相同,其信息化水平也存在差异,在推广统一的信息化系统过程中,由于被并购企业对信息化的理解不同,部署时可能出现资源浪费、理解不到位的情况,如果推广的速度过快,有可能造成相关经验得不到推广、知识得不到共享的情况。
赛迪顾问建立IT服务管理体系
建立IT服务管理体系,提升IT管理水平赛迪顾问股份有限公司IT服务管理事业部总经理陈仲亿各位好!今天我要介绍的就是在赛迪顾问在IT服务管理领域长期研究的一个结果的体会,向在座各位做一个交流。
今天我们主题是群策群力、提升中国IT管理水平.IT管理到底出现了什么问题?IT管理出现的问题,通过IT服务管理体系,能够做什么工作?接下来我就IT 服务管理的一些相关的理论、标准、方法做一个简单的介绍,以及通过实施IT 服务管理,在我们用户当中取得一些什么样实际的成果.再介绍赛迪顾问在IT服务管理的方法论。
中国企业信息化,可以说是在1978年,中国引进第一套ERP开始,这时候就开始了整个中国信息化的历程,那么经过近30年的发展,越来越多的组织已经认识到信息技术,在整个企业的发展当中,对改善企业业务运营层次,提升内部流程变革,具有重要的作用。
但是在这一系列的过程当中,企业也逐渐的认识到IT存在投入产出的问题,就是我投入巨大的IT成本,但是对企业的竞争力,对企业规范管理,对企业风险管理,起到的作用并不是如预期的那样。
随着信息化建设过程当中,系统不断的增加,规模不断的庞大,我们上了各种系统的异构问题。
应用系统异构问题,平台的异构问题,以及我们数据交换的异构问题。
那么这些无形当中也给我们在IT管理人员很大的困难.IT如何与业务融合的问题?今年我们国家组建工业信息化部,也就是通过信息化建设的例子,发现IT如何与业务应该更紧密的结合。
信息化建设过程中产生的问题应该怎么办?实际上需要我们更加关注IT的管理,而不是单纯依靠信息技术的引进,就能够提升企业的竞争力。
我们可以从不同的角度、不同人员对IT的看法。
我们从企业的老板、企业的投资者角度来看IT的话,投入这么大成本,那么你对我整个企业的竞争力有没有提升?对我市场份额有没有增加?有没有提升我的效率,有没有让我规避一些相应的风险.老板从这个角度来考虑.但是实际上从我们赛迪顾问对中央企业150家的调研结果我们发现,从IT投资上我们可以发现,41.67%的企业每年投入的IT费用在一千万以上,12.5%每年在IT方面的投资达到500—1000万,4.17%的企业每年在信息化建设方面在110—500万以上,等于说60%的企业每年在IT方面投资都达到百万级以上。
赛迪顾问-中国IT系统自主可控与信息安全白皮书
中国IT系统自主可控与信息安全白皮书赛迪顾问股份有限公司1执行概要2013年“棱镜计划”的曝光在全球范围内引发了安全军备竞争;中国对安全保障的重视程度也达到前所未有的高度,2013年11月12日成立了国家安全委员会。
与此同时,中国一些企业纷纷投入创新研发,以保证自身的信息安全。
赛迪顾问研究认为,传统意义上的信息安全IT 产品已经不能满足今日国家政府、企事业单位对“安全”的理解和渴求,只有从体系上入手,实现整体的IT 系统自主可控,才能真正保障信息安全。
此次赛迪顾问发布《中国IT 系统自主可控与信息安全白皮书(2014)》(以下简称《白皮书》)与中国IT 系统自主可控全景图,聚焦实现IT 全流程自主可控与信息系统国产化;《白皮书》得到了IT 业界广泛的支持和认可,显示出企业各界对构筑自主可控的IT 系统、打造信息安全生态环境的强烈意志和信心。
赛迪顾问历时3个月,走访了近30位IT 业界的重要影响者,包括工业和信息化部等中央部委、地方经济和信息化委员会等领导,两院院士、高校教授、著名媒体主编、中国本土IT 企业以及重要行业用户,获得了大量的一手资料和众多真知灼见,对白皮书的研究起到了重要的支撑作用。
赛迪顾问在《白皮书》中首次发布了中国IT 系统自主可控全景图。
赛迪顾问研究认为,IT 系统自主可控包含IT 基础设施自主可控、平台软件自主可控、信息安全自主可控、关键行业应用软件自主可控以及专业IT 服务自主可控,除上述自主可控的关键环节,体系可控和安全更是对于实现IT 系统自主可控具有高屋建瓴的纲领作用。
据调研显示,随着2013年棱镜计划的曝光以及一系列国际安全危机事件爆发,国家间的安全军备竞争不断升级;信息安全成为全球关注焦点,网络攻防实力备受重视;各国对信息安全投入不断加强,欧美国家还启动了贸易保护安全壁垒。
与此同时,近年中国网络安全事件频发,给社会经济带来各种不安定因素,国家政府和大中企业对信息安全日益重视。
企业全程上市规划 王三义
创业板发行上市的主要条件—3
6、独立性及内控制 度
7、董事、监事 高级管理人员要求
�� 股股权权清清晰晰,,控控股股股股东东和和受受控控股股股股东东、、实实际际控控制制人人支支配配的的股股东东所所持持发发行行人人的的股股份份不不 存存在在重重大大权权属属纠纠纷纷;;
�� 资资产产完完整整,,业业务务及及人人员员、、财财务务、、机机构构独独立立,,具具有有完完整整的的业业务务体体系系和和直直接接面面向向市市场场 独独立立经经营营的的能能力力。。与与控控股股股股东东、、实实际际控控制制人人及及其其控控制制的的其其他他企企业业间间不不存存在在同同业业竞竞 争争,,以以及及严严重重影影响响公公司司独独立立性性或或者者显显失失公公允允的的关关联联交交易易;;
回归本土&留洋海外,两大市场的抉择
1
国际化战略选择
2
市场与客户定位
3
筹资成本约束
4
维持成本比较
5
制度体系差异
12 Module und Variations_E
国内立体资本市场层次——上市板块选择
主板市场
主要服务于大中 型骨干企业,代 表当前经济中的 主要部分,有经 济晴雨表之称。
中小企业板
其IPO条件除了 发行规模在1亿 股以下外基本和 主板市场一样, 是中小企业直接 融资的渠道。
�� 发发行行前前净净资资产产不不少少于于两两千千万万元元,,最最近近一一期期末末不不存存在在未未弥弥补补亏亏损损;; �� 发发行行后后股股本本总总额额不不少少于于三三千千万万元元;; �� 会会计计基基础础工工作作规规范范,,财财务务报报表表的的编编制制符符合合企企业业会会计计准准则则和和相相关关会会计计制制度度的的规规定定,,并并由由注注
IT内控体系建立与实施.pptx
信息系统建设与运营
信息化管理控制 IT内控
41- 5
对财务数据来源控制的途径
• SOX404强调财务报告数据来源的准确与控制。 • 财务报告数据来源的内部控制包括信息系统控制、电子表格控制、人
工处理数据控制等三个方面。 • 2006年原网通河北省分公司IT内控工作组承担了IT内控、电子表格内
ISO/IEC 17799
Cobit
信息系统安全
信息系统操作
变更管理
应用系统、数据 库实施与支持
一般安全管理 操作系统 安全管理
数据库安全管理
网络安全管理
应用系统 安全管理
防病毒安全管理
批处理程序管理
备份 信息化用户 支撑体系 紧急应变及 系统恢复
ITIL
应用系统变更
应用系统采购
操作系统变更
应用系统、数据库 开发与实施
41- 14
IT内控管理内部环境分析
• 从内部环境Βιβλιοθήκη ,2006年以前,网通河北省分公司企业信息系统建设相对 通信专业起步晚、信息化管理基础薄弱,表现在两个方面:
• 1、已有信息系统功能大部分不能满足IT内控条款要求; • 2、所属各单位还没有形成系统的IT管理控制流程,存在控制风险。
41- 15
2006年原网通河北省分公司IT内控开展的工作
41- 2
内部控制基本执行路径
在美国上市的公司请管理咨询公司,制定满足SOX 要求,遵循COSO框架的制度 在企业各个层面落实
企业请外审公司对执行情况进行审计,得出结论。 在资本市场公布审计结果
41- 3
每年内控工作各阶段划分
工作进度
各单位改进
省公司组 织检查
赛迪顾问集团企业IT内控体系建设
赛迪顾问集团企业IT内控体系建设集团企业IT内控体系建设第一章集团管控与IT内控体系建设1.1集团管控模式对IT内控的要求1.1.1 中国集团企业的管控模式集团公司管控模式的确定是一个复杂的体系,它要涉及到三个层面的问题:首先是狭义管理模式的确定,即总部对下属企业的管控模式;其次是广义管控模式,它不但包括狭义的具体的管控模式,而且包括公司的内控结构的确定、总部及各下属公司的角色定位和职责划分、公司组织架构的具体形式选择(直线职能制、事业部制、矩阵制、子公司制、及多中心网络式)、对集团重要资源的管控方式(如对人、财、物的管控体系)以及绩效管理体系的建立;第三个层面是对与管控模式相关的一些重要外界因素的考虑,涉及到业务战略目标、人力资源管理、工作流程体系以及管理信息系统。
总部对下属企业的管控模式,按总部的集、分权程度不同而划分成“业务管控型”、“战略管控型”和“财务管控型”三种管控模式。
这三种模式各具特点:1.1.1.1 业务管控型总部从战略规划制定到实施几乎什么都管。
为了保证战略的实施和目标的达成,集团的各种职能管理非常深入。
如人事管理不但负责全集团的人事制度政策的制定,而且负责管理各下属公司二级管理团队及业务骨干人员的选拔、任免。
在实行这种管控模式的集团中,各下属企业业务的相关性要很高。
为了保证总部能够正确决策并能应付解决各种问题,总部的职能人员的人数会很多,规模会很庞大。
1.1.1.2 战略管控型集团总部负责集团的财务、资产运营和集团整体的战略规划,各下属企业(或事业部)同时也要制定自己的业务战略规划,并提出达成规划目标所需投入的资源预算。
总部负责审批下属企业的计划并给予有附加价值的建议,批准其预算,再交由下属企业执行。
在实行这种管控模式的集团中,各下属企业业务的相关性也要求很高。
为了保证下属企业目标的实现以及集团整体利益的最大化,集团总部的规模并不大,但主要集中在进行综合平衡、提高集团综合效益上做工作。
科计系计算机报实习报告
科计系计算机报实习报告
数计学院01级科计系
2009年2月12日
寒假已经结束,我在中国计算机报(后简称中计报)的实习也划上了一个完美的句号。
第一次感觉到暑假过得这么的快,也是第一次感觉到暑假过得是这样的充实。
已经习惯了早上7点起床,不再是因为假期而生活懒散,赶车,上班,感觉到自己的步伐不自觉得再加快。
慢慢地,已经开始喜欢上了这种朝九晚五的生活,暑假前还打算考研的我,那时还担心自己很难适应社会,觉得需要在学校多充一下电。
实习过后,自己的人生计划也开始有了很大的变化,现在觉得希望尽快融入社会。
对于在中计报的实习,我将分开几个部分讲一下自己的感受。
由于感受太多,写起来可能会有一些没有章节感,不过确实是自己的真实感受。
公司介绍
首先,介绍一下中计报吧。
说到中计报,就得先说说它的总公司-赛迪集团。
作为信息产业部直属的,中国规模最大,实力最强,影响最为广泛的信息服务机构,赛迪集团控股赛迪传媒,赛迪顾问两大上市公司,是目前国内惟一拥有上市公司的信息服务集团,年营业额近十亿元。
集团现拥有以《中国计算机报》,《中国电子报》为龙头
的传媒业务集团,以赛迪顾问为龙头的咨询业务集团,以中国软件评测中心,赛迪评测为龙头的.评测业务集团,和以赛迪时代为龙头的信息技术业务集团四大块业务,形成了门类齐全,专注IT的综合信息服务体系。
同时,赛迪集团还充分发挥第三方机构的作用,通过中国计算机行业协会,中国计算机用户协会,中国软件行业协会,中国半导体行业协会,中国信息产业商会,中国信息化推进联盟等挂靠于赛迪集团的国家级行业协会,承担着协调行业发展,规范行业竞争的功能。
赛迪顾问-信息化提升集团企业管控能力
《新管理》创刊一、本期专题:信息化提升集团管控能力集团企业面对的管控难题赛迪顾问企业战略咨询中心总经理汤文仙伴随着中国经济的高速发展,投资管理型的集团企业日益增多,并涌现出一批国有企业集团化的成功典范。
例如,宝钢集团、华润集团、中粮集团、一汽集团等国有企业成功的解决了总公司对子公司的管理瓶颈,实现集团业绩的几何倍增长。
但是,由于企业跨地区程度越来越高,投资控股关系错综复杂,这也给许多集团型企业的管理提出了更大的挑战。
目前,一些集团企业虽然在形式上完成了公司制改建,但受到传统体制和制度的影响,新的科学的法人治理结构尚未建立。
因而,建立在合理治理结构之上的母子公司管控问题便成了无源之水、无本之木,根本无法得到根本的改进和发展。
中国的管理者,在中国的企业实际经营管理中,对如何依据本公司实际情况运用适当的集团管控模式并不在行,导致集团管理模式混乱,公司战略得不到有效执行,这些问题日益成为众多集团企业关心的话题。
1、国有企业集团常见的管控问题我国国有企业集团经历了我国由计划经济体制向市场经济体制转变的转轨时期,因而具有自己的显著特色,其组建方式和途径主要有以下五种:一是通过对大型企业进行集团化改革,并对企业集团的核心企业实行国有资产授权经营而形成,这样组建企业的集团包括东风汽车集团、东方电气集团、中国重型汽车集团等;二是通过对国家行业性公司改革而成,如中国石油化工总公司,中国有色金属工业总公司等;三是通过对政府行业主管部门进行机构改革而成,如上海纺织国有控股经营公司和仪表国有控股经营公司等都是按照这种方法成立的;四是通过集中国有股权管理,组建国有控股公司而成,如各地将股份制企业中的国有股,授权新成立的地方国有资产经营公司统一经营管理,形成企业集团;五是通过投资体制改革而成,如国家开发投资公司作为国家出资者代表,用国家资本金对建设项目进行参股投资,与被投资企业形成母子公司关系。
行政控制仍是国有企业集团母子公司管控的主要方式。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
集团企业IT内控体系建设第一章集团管控与IT内控体系建设1.1集团管控模式对IT内控的要求1.1.1 中国集团企业的管控模式集团公司管控模式的确定是一个复杂的体系,它要涉及到三个层面的问题:首先是狭义管理模式的确定,即总部对下属企业的管控模式;其次是广义管控模式,它不仅包括狭义的具体的管控模式,而且包括公司的内控结构的确定、总部及各下属公司的角色定位和职责划分、公司组织架构的具体形式选择(直线职能制、事业部制、矩阵制、子公司制、及多中心网络式)、对集团重要资源的管控方式(如对人、财、物的管控体系)以及绩效管理体系的建立;第三个层面是对与管控模式相关的一些重要外界因素的考虑,涉及到业务战略目标、人力资源管理、工作流程体系以及管理信息系统。
总部对下属企业的管控模式,按总部的集、分权程度不同而划分成“业务管控型”、“战略管控型”和“财务管控型”三种管控模式。
这三种模式各具特点:1.1.1.1 业务管控型总部从战略规划制定到实施几乎什么都管。
为了保证战略的实施和目标的达成,集团的各种职能管理非常深入。
如人事管理不仅负责全集团的人事制度政策的制定,而且负责管理各下属公司二级管理团队及业务骨干人员的选拔、任免。
在实行这种管控模式的集团中,各下属企业业务的相关性要很高。
为了保证总部能够正确决策并能应付解决各种问题,总部的职能人员的人数会很多,规模会很庞大。
1.1.1.2 战略管控型集团总部负责集团的财务、资产运营和集团整体的战略规划,各下属企业(或事业部)同时也要制定自己的业务战略规划,并提出达成规划目标所需投入的资源预算。
总部负责审批下属企业的计划并给予有附加价值的建议,批准其预算,再交由下属企业执行。
在实行这种管控模式的集团中,各下属企业业务的相关性也要求很高。
为了保证下属企业目标的实现以及集团整体利益的最大化,集团总部的规模并不大,但主要集中在进行综合平衡、提高集团综合效益上做工作。
这种模式可以形象地表述为“上有头脑,下也有头脑”。
目前世界上大多数集团公司都采用或正在转向这种管控模式。
1.1.1.3 财务管控型集团总部只负责集团的财务和资产运营、集团的财务规划、投资决策和实施监控,以及对外部企业的收购、兼并工作。
下属企业每年会给定有各自的财务目标,它们只要达成财务目标就可以。
在实行这种管控模式的集团中,各下属企业业务的相关性可以很小。
典型的财务管理型集团公司有和记黄浦。
可见,业务管控型和财务管控型是集权和分权的两个极端,战略管控型则处于中间状态。
但是,有的公司从自己的实际情况出发,为了便于管控,将处于中间状态的战略管控型进一步细划为“战略实施型”和“战略指导型”,前者偏重于集权而后者偏重于分权。
表 1 三种集团管控模式的区别业务管控型战略管控型财务管控型目的不区分业务的企业收益最大化追求资本增值和区分战略产业选择多为上市公司,无明确的产业选择,无核心企业多为上市公司,无明确的产业选择有明确的产业选择,有核心企业核心功能资产管理总部精简多为财务管理人员不从事业务经营经营公司主业人员多总部精简母子公司关系不稳定稳定稳定、密切控制方式通过资本运营手段对被控子公司指导、监控利用控股权支配重大决策和经营活动行政手段优点易于形成统一、集中及品牌优势具有很强的协同效应决策与执行分开、产品经营与产权经营分开主业受到充分重视;举例三菱、摩根、洛克非勒日立、丰田、松下、东芝IBM、AT&T1.1.2 集团管控模式对IT内控的要求作为集团企业肯定要有投资重点,一个行业的人均产值、净利率等都会决定集团的投资发展方向,这些数据的准确统计、汇总离不开信息系统,而这些数据的是否能及时、准确的反应真实情况都会由IT内控起决定性的作用。
另外,传统方式下企业在运营中会存在一些管理盲点,信息化IT内控带来的信息透明度则是解决这个问题的有效手段。
对IT内控的关注,一定要从提升管理的角度来考虑。
由于集团分权与集权的管控模式的不同,导致对IT内控的范围及要求也产生了差异化的需求。
财务管控模式主要针对投资的科学性、风险性和投资回报进行管理,对所投资企业的具体业务一般不进行直接管理,属于分权型安排。
战略管控模式并不要求总部设立具体的业务管理部门,公司总部承担战略规划、监控与服务职能,其考核与管理重点一般也集中于下属公司的董事会或总经理,属于集分权结合型安排。
业务管控模式要求总部设立具体的业务管理部门来对下属公司的相关业务进行对口管理,将控股下属公司的营销、技术、人力资源、新业务开发等日常经营运作归口总部相关业务部门进行直接管理,强调公司经营行为的统一。
不同的模式下总部与子公司有不同的需求,财务、进销、库存、生产等不同的业务流程也都有不同的重点。
无论是哪种管控模式,财务、生产、销售等关键信息对于集团来说,始终都是十分重要的,这就必须借助现代网络软件技术来实现。
如果没有信息化的支撑,对于集团企业很难行集中管理,如何及时掌握下属公司的经营业绩,并不断跟踪评估和提出改进措施。
集团想要评价整体和各子公司的业绩,需要具备完整真实的数据基础,统一快捷的网络系统和深入分析数据的智能报表(BI)系统软件的支持,这些数据的完整性与及时性都需要IT内控作为坚实的保障。
信息对一个集团企业来说尤为重要,关系到企业的生死存亡。
对于集团总部而言,信息是科学决策的基础,是把握市场先机的前提。
因此,总部对集团内外部信息的把握都将是衡量企业竞争能力的重要因素。
然而,在任何一个企业,信息资源都是相对分散的。
企业规模越大,产业越是多元化,信息资源就越分散。
企业信息化技术的改进都有助于分权,也有助于集权。
对于发展初期的企业集团来说,信息化水平更加利于总部的管理控制,使集团总部更加倾向于集权管控模式。
表 2 集团企业IT内控的要求战略整合价值交付风险管理绩效管理资源管理✧IT战略、规划统一性✧信息系统的一体化程度✧IT投资额度大小✧信息交互量大小✧服务灵活度✧信息系统需求的多样性✧通信安全防护强度✧风险应对反映速度✧灾难恢复难易程度✧监控范围大小✧IT风险对业务的影响程度✧IT绩效水平高低✧IT管理法规及标准的统一性✧IT资源整合优化程度✧基础设施集中度✧基础设施维护难度✧数据备份量大小✧用户的授权集中度✧系统访问控制方面图 1 集团管控模式对IT 内控的差异化要求业务管控型战略管控型财务管控型IT 战略、规划统一性信息系统的一体化程度战略整合系统维护成本大小信息交互量大小价值交付信息系统需求的多样性通信安全防护强度风险应对反映速度风险管理灾难恢复难易程度监控范围大小IT 风险对业务影响程度IT 绩效水平高低IT 管理法规标准统一性绩效管理IT 资源整合优化程度基础设施集中度资源管理基础设施维护难度数据备份量大小用户的授权集中度高低大小高低单一复杂大小大易难小大低高低高低高低高小大服务灵活度大小慢快小大低高1.2 集团IT 内控的定义IT内控是针对信息化建设、管理的科学理论与方法。
企业IT内控体系是应用管理控制的概念,结合IT治理的思想,研究在企业信息化建设周期中的规划、实施、运行和后评估等不同的阶段,如何使企业信息系统建设与企业业务发展进行匹配,整合企业核心竞争力,实现企业信息化最大价值的体系。
用一句话表示,IT内控要求对信息化建设、管理做出组织化、制度化的安排。
在这个体系中要研究信息化工作管理部门组织的管理模式和流程,建立企业信息化管理控制机制,包括信息化工作管理部门在企业中的战略定位,内部基于面向服务的管理流程,界定与其他相关部门的流程关系,建立信息化风险管理控制体系。
IT内控体系体现企业信息化服务价值链的关系,实现企业整体价值最大化:✧通过组织管理控制手段,保障系统、流程、数据均衡发展;✧明确企业信息化部门和专业部门之间的关系和责任;✧清晰定义分工界面和管理控制流程;✧正确划分信息系统的所有者、建设者和管理者;✧加强对流程执行的管理控制,明确流程交接的边界和流程的负责者;✧充分发挥企业信息化建设工作的价值,确保信息化战略和企业战略相吻合,从而支撑企业的运营和管理。
IT内控作为IT治理的一个子环节已成为一种用来指导和控制企业的结构和流程,目标是通过增加价值,同时平衡IT流程的风险和回报,取得公司的目标的有力工具之一。
公司治理和IT内控已密切交缠,公司治理已经日益关注直接或者间接的影响了IT和IT内控所采用的方向。
公司治理(Corporate Governance)是属于企业制度层面的内容,其核心在于企业通过权力制衡,监督管理者的绩效,保证股东和其他利益相关主体的权利。
IT治理是公司治理的一个有机组成部分,它包含领导力、组织结构和流程等制度和机制,其确保IT维续和扩展组织的战略和目标。
IT治理包含了以下几层含义。
首先,IT治理是公司治理的一个有机组成部分。
信息化建设中一个共识已经达成,即企业信息化是企业经营管理的一个有机组成部分,目前,信息部门已经是企业的一个重要部门,CIO是企业管理层的重要成员,信息化服务和管理流程也逐步融合到了企业的业务管理流程中。
但在进一步推进信息化建设过程中,我们还必须达成另一个共识,即IT治理是公司治理的一个有机组成部分,它体现了股东、董事会和管理层对信息化建设的关注。
其次,IT治理是一种制度和机制,包含了管理和制衡IT与业务匹配、IT投资价值、IT风险和IT绩效的领导力、组织结构和流程。
再次,IT治理的目标是实现股东和其他利益相关主体对信息化建设的监督与制衡,以保证信息化建设能够真正落实和贯彻组织业务战略和目标。
内控体系建设既是适应外部监管的迫切需要,更是企业建立现代制度实现可持续发展的内在要求,良好的内控体系是建立现代企业制度、确保企业顺利实现经营目标的重要保证。
风险管理作为公司治理的的驱动,同时也是IT 内控的外部驱动元素,适当的治理减少了可能带来潜在成本的风险暴、提供了信息化决策的信息库、也提供了全面的却可变的规划框架。
图 2 公司治理、IT 治理、IT 内控与风险管理的关系公司治理IT 治理IT 内控风险管理驱动对象组织模式投资架构标准资源1.2.1 IT 内控涉及的相关标准1.2.1.1 COSO 报告COSO 报告定义了内部控制,描述了它的组成,并提供了标准措施,使控制系统得以评价。
这份报告对内部控制公开报告提供了操作指南,并为管理层、审计师和其他人员提供了用于评价内部控制系统的资料。
这份报告的两个主要目标是:(1)建立能服务于许多不同的当事人的共同的定义;(2)提供一个组织能评估其控制系统和确定如何改善控制系统的标准措施。
定义:COSO 报告对内部控制的定义是,受组织的董事会、管理层和其他人员影响的一个过程,内部控制的设计为以下类别的目标得以实现提供了合理的保证:✧经营的效果的和效率;✧财务报告的可靠性;✧遵循适用的法律和法规。