文档介绍:该【赛迪顾问-集团企业IT内控体系建设 】是由【jianjian401】上传分享,文档一共【21】页,该文档可以免费在线阅读,需要了解更多关于【赛迪顾问-集团企业IT内控体系建设 】的内容,可以使用淘豆网的站内搜索功能,选择自己适合的文档,以下文字是截取该文章内的部分文字,如需要获得完整电子版,请下载此文档到您的设备,方便您编辑和打印。赛迪顾问-集团企业IT内控体系建设
2
————————————————————————————————作者:
————————————————————————————————日期:
1
赛迪顾问股份有限公司版权全部。未经协议授权,禁止供应应其它单位或个人。
集团企业IT内控体系建设
集团管控与IT内控体系建设
集团管控模式对IT内控的要求
中国集团企业的管控模式
集团公司管控模式的确定是一个简单的体系,它要涉及到三个层面的问题:
首先是狭义管理模式的确定,即总部对下属企业的管控模式;其次是广义管控模式,它不仅包括狭义的具体的管控模式,而且包括公司的内控结构的确定、总部及各下属公司的角色定位和职责划分、公司组织架构的具体形式选择(直线职能制、事业部制、矩阵制、子公司制、及多中心网络式)、对集团重要资源的管控方式(如对人、财、物的管控体系)以及绩效管理体系的建立;第三个层面是对与管控模式相关的一些重要外界因素的考虑,涉及到业务战略目标、人力资源管理、工作流程体系以及管理信息系统。
总部对下属企业的管控模式,按总部的集、分权程度不同而划分成“业务管控型”、“战略管控型”和“财务管控型”三种管控模式。这三种模式各具特点:
总部从战略规划制定到实施几乎什么都管。为了保证战略的实施和目标的达成,集团的各种职能管理格外深化。如人事管理不仅负责全集团的人事制度政策的制定,而且负责管理各下属公司二级管理团队及业务骨干人员的选拔、任免。在实行这种管控模式的集团中,各下属企业业务的相关性要很高。为了保证总部能够正确决策并能应付解决各种问题,总部的职能人员的人数会很多,规模会很浩大。
集团总部负责集团的财务、资产运营和集团整体的战略规划,各下属企业(或事业部)同时也要制定自己的业务战略规划,并提出达成规划目标所需投入的资源预算。总部负责审批下属企业的方案并赐予有附加价值的建议,批准其预算,再交由下属企业执行。在实行这种管控模式的集团中,各下属企业业务的相关性也要求很高。为了保证下属企业目标的实现以及集团整体利益的最大化,集团总部的规模并不大,但主要集中在进行综合平衡、提高集团综合效益上做工作。这种模式可以形象地表述为“上有头脑,下也有头脑”。目前世界上大多数集团公司都接受或正在转向这种管控模式。
2
赛迪顾问股份有限公司版权全部。未经协议授权,禁止供应应其它单位或个人。
集团总部只负责集团的财务和资产运营、集团的财务规划、投资决策和实施监控,以及对外部企业的收购、兼并工作。下属企业每年会给定有各自的财务目标,它们只要达成财务目标就可以。在实行这种管控模式的集团中,各下属企业业务的相关性可以很小。典型的财务管理型集团公司有和记黄浦。
可见,业务管控型和财务管控型是集权和分权的两个极端,战略管控型则处于中间状态。但是,有的公司从自己的实际状况动身,为了便于管控,将处于中间状态的战略管控型进一步细划为“战略实施型”和“战略指导型”,前者偏重于集权而后者偏重于分权。
表1三种集团管控模式的区分
业务管控型
战略管控型
财务管控型
目的
不区分业务的企业收益
最大化
追求资本增值和区分战略
产业选择
多为上市公司,无明确
的产业选择,无核心企业
多为上市公司,无明确的产业选择
有明确的产业选择,有核心企业
核心
功能
资产管理
总部
精简多为财务管理人员不从事业务经营经营公司主业
人员多
总部精简
母子公司关系
不稳定
稳定
稳定、亲密
把握方式
通过资本运营手段对被控子公司指导、监控
利用控股权支配重大决策和经营活动
行政手段
优点
易于形成统一、集中及品牌优势
具有很强的协同效应
决策与执行分开、产品经营与产权经营分开
主业受到充分重视;
举例
三菱、摩根、洛克非勒
日立、丰田、松下、东芝
IBM、AT&T
作为集团企业确定要有投资重点,一个行业的人均产值、净利率等都会打算集团的投资进展方向,这些数据的精确 统计、汇总离不开信息系统,而这些数据的是否能准时、精确 的反应真实状况都会由IT内控起打算性的作用。另外,传统方式下企业在运营中会存在一些管理盲点,信息化IT内控带来的信息透亮 度则是解决这个问题的有效手段。对IT内控的关注,肯定要从提升管理的角度来考虑。
由于集团分权与集权的管控模式的不同,导致对IT内控的范围及要求也产生了差异化的需求。财务管控模式主要针对投资的科学性、风险性和投资回报进行管理,对所投资企业的具体业务一般不进行直接管理,属于分权型支配。战略管控模式并不要求总部设立具体的业务管理部门,公司总部担当战略规划、监控与服务职能,其考核与管理重点一般也集中于下属公司的董事会或总经理,属于集分权结合型支配。
4
赛迪顾问股份有限公司版权全部。未经协议授权,禁止供应应其它单位或个人。
业务管控模式要求总部设立具体的业务管理部门来对下属公司的相关业务进行对口管理,将控股下属公司的营销、技术、人力资源、新业务开发等日常经营运作归口总部相关业务部门进行直接管理,强调公司经营行为的统一。
不同的模式下总部与子公司有不同的需求,财务、进销、库存、生产等不同的业务流程也都有不同的重点。无论是哪种管控模式,财务、生产、销售等关键信息对于集团来说,始终都是格外重要的,这就必需借助现代网络软件技术来实现。假如没有信息化的支撑,对于集团企业很难行集中管理,如何准时把握下属公司的经营业绩,并不断跟踪评估和提出改进措施。集团想要评价整体和各子公司的业绩,需要具备完整真实的数据基础,统一快捷的网络系统和深化分析数据的智能报表(BI)系统软件的支持,这些数据的完整性与准时性都需要IT内控作为坚实的保障。
信息对一个集团企业来说尤为重要,关系到企业的生死存亡。对于集团总部而言,信息是科学决策的基础,是把握市场先机的前提。因此,总部对集团内外部信息的把握都将是衡量企业竞争力量的重要因素。然而,在任何一个企业,信息资源都是相对分散的。企业规模越大,产业越是多元化,信息资源就越分散。企业信息化技术的改进都有助于分权,也有助于集权。对于进展初期的企业集团来说,信息化水平更加利于总部的管理把握,使集团总部更加倾向于集权管控模式。
表2集团企业IT内控的要求
战略整合
价值交付
风险管理
绩效管理
资源管理
IT战略、规划统一性
信息系统的一体化程度
IT投资额度大小
信息交互量大小
服务机敏度
信息系统需求的多样性
通信平安防护强度
风险应对反映速度
灾难恢复难易程度
监控范围大小
IT风险对业务的影响程度
IT绩效水平凹凸
IT管理法规及标准的统一性
IT资源整合优化程度
基础设施集中度
基础设施维护难度
数据备份量大小
用户的授权集中度
系统访问把握方面
4
赛迪顾问股份有限公司版权全部。未经协议授权,禁止供应应其它单位或个人。
图1集团管控模式对IT内控的差异化要求
集团IT内控的定义
5
赛迪顾问股份有限公司版权全部。未经协议授权,禁止供应应其它单位或个人。
IT内控是针对信息化建设、管理的科学理论与方法。企业IT内控体系是应用管理把握的概念,结合IT治理的思想,争辩在企业信息化建设周期中的规划、实施、运行和后评估等不同的阶段,如何使企业信息系统建设与企业业务进展进行匹配,整合企业核心竞争力,实现企业信息化最大价值的体系。用一句话表示,IT内控要求对信息化建设、管理做出组织化、制度化的支配。在这个体系中要争辩信息化工作管理部门组织的管理模式和流程,建立企业信息化管理把握机制,包括信息化工作管理部门在企业中的战略定位,内部基于面对服务的管理流程,界定与其他相关部门的流程关系,建立信息化风险管理把握体系。
IT内控体系体现企业信息化服务价值链的关系,实现企业整体价值最大化:
通过组织管理把握手段,保障系统、流程、数据均衡进展;
明确企业信息化部门和专业部门之间的关系和责任;
清楚定义分工界面和管理把握流程;
正确划分信息系统的全部者、建设者和管理者;
加强对流程执行的管理把握,明确流程交接的边界和流程的负责者;
充分发挥企业信息化建设工作的价值,确保信息化战略和企业战略相吻合,从而支撑企业的运营和管理。
IT内控作为IT治理的一个子环节已成为一种用来指导和把握企业的结构和流程,目标是通过增加价值,同时平衡IT流程的风险和回报,取得公司的目标的有力工具之一。公司治理和IT内控已亲密交缠,公司治理已经日益关注直接或者间接的影响了IT和IT内控所接受的方向。公司治理(CorporateGovernance)是属于企业制度层面的内容,其核心在于企业通过权力制衡,监督管理者的绩效,保证股东和其他利益相关主体的权利。IT治理是公司治理的一个有机组成部分,它包含领导力、组织结构和流程等制度和机制,其确保IT维续和扩展组织的战略和目标。IT治理包含了以下几层含义。首先,IT治理是公司治理的一个有机组成部分。信息化建设中一个共识已经达成,即企业信息化是企业经营管理的一个有机组成部分,目前,信息部门已经是企业的一个重要部门,CIO是企业管理层的重要成员,信息化服务和管理流程也逐步融合到了企业的业务管理流程中。但在进一步推动信息化建设过程中,我们还必需达成另一个共识,即IT治理是公司治理的一个有机组成部分,它体现了股东、董事会和管理层对信息化建设的关注。其次,IT治理是一种制度和机制,包含了管理和制衡IT与业务匹配、IT投资价值、IT风险和IT绩效的领导力、组织结构和流程。再次,IT治理的目标是实现股东和其他利益相关主体对信息化建设的监督与制衡,以保证信息化建设能够真正落实和贯彻组织业务战略和目标。
6
赛迪顾问股份有限公司版权全部。未经协议授权,禁止供应应其它单位或个人。
内控体系建设既是适应外部监管的迫切需要,更是企业建立现代制度实现可持续进展的内在要求,良好的内控体系是建立现代企业制度、确保企业顺当实现经营目标的重要保证。风险管理作为公司治理的的驱动,同时也是IT内控的外部驱动元素,适当的治理削减了可能带来潜在成本的风险暴、供应了信息化决策的信息库、也供应了全面的却可变的规划框架。
图2公司治理、IT治理、IT内控与风险管理的关系
COSO报告定义了内部把握,描述了它的组成,并供应了标准措施,使把握系统得以评价。这份报告对内部把握公开报告供应了操作指南,并为管理层、审计师和其他人员供应了用于评价内部把握系统的资料。这份报告的两个主要目标是:(1)建立能服务于很多不同的当事人的共同的定义;(2)供应一个组织能评估其把握系统和确定如何改善把握系统的标准措施。
定义:COSO报告对内部把握的定义是,受组织的董事会、管理层和其他人员影响的一个过程,内部把握的设计为以下类别的目标得以实现供应了合理的保证:
7
赛迪顾问股份有限公司版权全部。未经协议授权,禁止供应应其它单位或个人。