IT治理与内控(1028)解析课件.ppt

《IT治理与内控(1028)解析课件.ppt》由会员分享，可在线阅读，更多相关《IT治理与内控(1028)解析课件.ppt（57页珍藏版）》请在三一办公上搜索。

1、耿峰中集青岛冷藏产业基地2011年10月,IT治理与企业内控,耿峰IT治理与企业内控,2,中集集团简介,中国国际海运集装箱（集团）股份有限公司（简称：中集集团），是一家为全球市场提供物流装备和能源装备的企业集团，主要经营集装箱、道路运输车辆、能源和化工装备、海洋工程、机场设备等装备的制造和服务。目前，中集集团总资产541.31亿、净资产162.19亿元，2010年销售额517.68亿元，净利润36.75亿元。在中国以及北美、欧洲、亚洲、澳洲等国家和地区拥有150余家全资及控股子公司，员工超过6.3万人，初步形成跨国公司运营格局。中集集团于1980年1月创立于深圳，1994年在深圳证券交易所上市

2、，目前主要股东为中远集团和招商局集团,是国有控股的公众上市公司。经过二十多年的发展，中集集团已经成为根植于中国本土、在全球多个行业具有领先地位的企业。,2中集集团简介中国国际海运集装箱（集团）股份有限公司（简称：,3,中集集团荣誉,2007年9月“CIMC中集”牌集装箱被国家质量监督检验检疫总局评选为“中国世界名牌”产品称号，“中集”商标被国家工商总局正式认定为中国驰名商标2008年，中集集团被列为“2008最具全球竞争力中国公司”第49位，“中国国有上市企业社会责任榜”第39位，中国500最具价值品牌第40位；2007年9月“CIMC中集”牌集装箱被国家质量监督检验检疫总局评选为“中国世界名

3、牌”产品称号（到目前为止，全国仅10家）。2009年，中集被列为福布斯“全球2000领先企业”第1397位。2010年，财富中文版发布2010中国500强企业中集居128位。,3中集集团荣誉2007年9月“CIMC中集”牌集装箱被国家质,4,集装箱, 自1996年连续14年产销量位居全球第一，市场占有率超过50%； 2007年成为全球集装箱行业首家年产量突破200万TEU的企业； 对所有的集装箱产品拥有自主知识产权； 国际标准的参与者，中国标准的领导者； 全球首创安全、智能、环保、节能（轻量型）集装箱，带动传统产业升级； 用集装箱化理念为房屋建筑工业化提供解决方案：房屋箱、集装箱酒店。,4 集

4、装箱 自1996年连续14年产销量位居全球第一，市,5,可为客户提供11大系列、1000多个品种的产品线；包括集装箱骨架车、平板车、栏板车、罐式车、自卸车、冷藏保温车、普通厢式车、侧帘车、搅拌车、泵车、轿运车、消防车、垃圾处理车等。年产能力超过20万台，位居世界领导地位。本集团目前已经建立起辐射北美、泰国及中国华中、华东、华南、华北、西北、东北等区域的22个生产基地和24个销售服务公司，还有超过400家的服务站，形成中美互动、中欧互动，分布合理、互为支持的产业格局，产品畅销美国和日本等主流市场。2010年，中集车辆重卡项目正式进入量产阶段。,道路运输车辆,5可为客户提供11大系列、1000多个

5、品种的产品线；包括集,6, 产品覆盖北美、欧洲、亚洲、大洋洲等全球主流市场的主流产品； 集成世界最先进的技术理念，拥有全球一流的轻量化、安全、环保设计水平； 成为中国领先的专用能源装备制造商及集成业务解决方案服务商。,能源、化工、食品装备,6 产品覆盖北美、欧洲、亚洲、大洋洲等全球主流市场的主流产,7,本集团目前建造基地分布于山东烟台、海阳、龙口。2010年1月，本公司实现了对烟台莱佛士造船有限公司的控股。烟台莱佛士造船有限公司于1994年在新加坡设立，主要业务是为离岸石油和天然气市场建造各种船舶，在建造各种海洋和离岸项目方面拥有丰富的专业识知和建造经验。主要产品包括自升式钻井平台、半潜式钻井

6、平台、起重船、铺管船、浮式生产储油卸油船（FPSO）、浮式储油船（FSO）、海上供应船、海上钢结构、全回转拖轮、豪华游艇等。2010年组建了上海中集海工研究中心，设立了烟台海洋工程研究院，国家能源海洋石油钻井平台研发中心落户中集，提升了本集团在高端制造方面的研发和设计能力，成为国家海洋工程产业的重要成员。2012年建设成全球海洋工程行业领导者，预计实现销售收入300亿元，利税将超过40亿元。,海洋工程,7本集团目前建造基地分布于山东烟台、海阳、龙口。2010年,8, 登机桥2005/2006年订单量世界第一，全球市场占有率35%，国内市场占有率90%； 销往20多个国家的100多个机场，国外包

7、括法国戴高乐机场、荷兰斯基辅机场以及美国、澳大利亚、加 拿大等国家机场，国内包括首都机场（约200部）、上海虹桥和浦东机场（超过120部）等； 专利数量位居行业世界第一，其中接驳全球最大客机A380上层机门的4轮独立驱动登机桥，拥有全球最 先进的技术以及多项发明专利； 航空货物处理系统在全球的市场位居第三； 2001年开始研制登船设备，成为我国唯一的登船桥专业生产厂家；,空港设备,8 登机桥2005/2006年订单量世界第一，全球市场占有,9,中集集团全球布局,9中集集团全球布局,10,中集青岛冷藏产业基地简介,青岛中集冷藏箱制造有限公司、青岛中集特种冷藏设备有限公司、青岛中集冷藏运输设备有限

8、公司，是中国国际海运集装箱（集团）股份有限公司的子公司。三公司坐落于华北地区一个美丽的城市青岛，主要经营ISO标准冷藏箱和非ISO特种冷藏设备以及冷藏/保温/干货半挂车、冷藏/保温/干货厢式车。青岛中集冷箱成立于1999年，总投资额4500万美元。自公司成立以来，公司不断发展，产量稳定增长，目前，已成为世界最大的ISO冷藏设备供应商。 随着国际贸易的蓬勃发展，以及运输过程中对特殊冷藏设备需求的多样化，2004年6月，投资2875万美元，成立了青岛特种冷藏设备有限公司，能生产不同尺寸（从8到53）、100多种规格的各种冷藏保温设备。成为世界集装箱行业最大的研发、标特箱（钢箱和铝箱）制造基地。青岛

9、中集冷藏运输设备有限公司于2008年12月正式投产成立，第一期投资计划下年生产能力达5000辆冷藏/保温/干货半挂车或厢式车。总占地面积约270,000平方米，工业厂房59,000平方米。公司拥有世界最先进的德国的Krauss-Maffei公司的压板机制造机、数控冲床和铝地板自动焊机等国际一流的生产设备和各种检测仪器，拥有一支由各类技术专家、高级工程师及专业技术人员组成的优秀设计和制造团队，采用美洲及欧洲冷藏半挂车核心技术，专业研发生产冷藏/保温/干货半挂车、冷藏/保温/干货厢式车四大系列，可为用户提供20多个不同车型的选择空间。三公司占地约70W平方米，拥有员工3000余人，2010年营业额

10、超35亿人民币左右。,10中集青岛冷藏产业基地简介青岛中集冷藏箱制造有限公司、青岛,信息化建设历程,信息化建设历程,我们的荣誉,我们的荣誉,什么是SOX,什么是SOXSOXSarbanes-Oxley Act,SOX法案,2002年，美国爆发了一系列的财务和管理丑闻，如安然和世通事件，这些丑闻严重破坏了美国金融证券制度，彻底打击了投资者对美国资本市场的信心。为了扭转这一局面，美国国会通过了2002年公众公司会计改革和投资者保护法案。该法案由美国参议院银行委员会主席萨班斯和众议院金融服务委员会主席奥克斯利联合提出，又被称作2002年萨班斯奥克斯利法案(SarbanesOxley Act 2002

11、，以下简称“SOX法案”)。2002年7月，美国总统布什将此法案签署为法律。SOX法案共分11章第1至第6章主要涉及对会计职业及公司行为的监管,包括:建立一个独立的公众公司会计监管委员会(Public Company Accounting Oversight Board, PCAOB),对上市公司审计进行监管;通过负责合伙人轮换制度以及咨询与审计服务不兼容等提高审计的独立性;对公司高管人员的行为进行限定以及改善公司治理结构等,以增进公司的报告责任;加强财务报告的披露;通过增加拨款和雇员等来提高SEC的执法能力.第8至第11章主要是提高对公司高管及白领犯罪的刑事责任,比如,针对安达信销毁安然审计

12、档案事件,专门制订相关法律,规定了销毁审计档案最高可判10年监禁,在联邦调查及破产事件中销毁档案最高可判20年监禁;为强化公司高管层对财务报告的责任,要求公司高管对财务报告的真实性宣誓,并就提供不实财务报告分别设定了10年或20年的刑事责任.,SOX法案2002年，美国爆发了一系列的财务和管理丑闻，如安,第404条款及IT治理,SOX法案第404条款的合规性实践，展示了改善IT治理和判断IT治理成效的一种有效方法。虽然SOX法案第404条款合规性的要求有其特有的局限性，因为其主要关注的是和财务报告相关的信息系统，但是由此产生的方法论和合规性实践，对IT治理的理论发展和实践很有借鉴意义SOX法案

13、促进IT治理的完善,第404条款及IT治理SOX法案第404条款的合规性实践，展,IT治理,IT治理,16,IT治理IT治理16,IT治理是IT机构为制定机构战略并监督战略执行情况所实施的正式流程，其目的是要实现企业的目标。,决策权框架与机制,远景、目标/优先级、衡量标准；价值主张与服务组合；资源方法与承诺；变更管理计划,根据企业战略调整战术/运营计划/使之与企业战略同步；全面监视和控制；责任明晰；遵守规章制度,根据企业战略进行调整/与之同步，企业战略中还包括其他关键资产战略,IT治理,1、IT治理定义,决策权框架与机制远景、目标/优先级、衡量标准；根据企业战略调,为什么需要IT治理：,IT对

14、企业至关重要IT对企业具有战略性意义期望与现实存在差距IT没有得到应有的重视IT涉及巨大的投资与大风险企业对信息安全的责任监管的需求,为什么需要IT治理：IT对企业至关重要,IT治理的标准,目前，较为成熟的IT治理标准和模型有6种:CMM( Capability Maturity Mode1,能力成熟度模型) ITIL( Information Technology Infrastructure Library，IT基础架构库) ISOIEC17799(International Electrotechnical Commission1799，信息安全管理的国际标准)COBIT( Contro

15、l Objectives for Information and related Technology，信息及相关技术控制目标)PRINCE2(Projects IN Controlled Environments，受控环境下的项目)CISR( Center for Information Systems Research，信息系统研究中心)等三种较为流行的IT治理评价方法： CobIT成熟度模型、PW方法 、 CBSO法,IT治理的标准目前，较为成熟的IT治理标准和模型有6种:,IT治理的标准,表1对这几种模型进行对比分析,IT治理的标准表1对这几种模型进行对比分析,IT治理是IT的三大核心

16、职能，可确保IT顺利完成使命。,治理IT 制定政策和标准，制定战略，明确合适的财务和人力资源，确定IT运营模型，以使提供IT服务并实现战略和运营目标。管理IT 监控服务供求，提供满足不同需求所要求的采购能力，并确保实现运营和财务目标。运行IT 根据“治理IT和管理IT”制定的政策和限制条件，提供IT服务，实现运营目标。,IT战略管理,IT运营管理,IT业务管理,运行IT,管理IT,治理IT,IT运营模型,运营结果与能力,服务需求、供应商采购结果与业绩目标,IT治理,服务履行与运营结果,IT业绩能力计划结果,战略、策略、标准、投资,IT治理是IT的三大核心职能，可确保IT顺利完成使命。治理I,I

17、T的业务价值,运营,关注的领域,转型,IT治理,IT治理的价值和内涵,IT的业务价值运营关注的领域转型稳定经济可预测架构简化与标准,IT治理的实现过程,建立IT治理的整体规划： 1.战略层面：挖掘企业的信息资源、制定企业信息化战略、为企业信息化合理布局、评估信息化对企业的价值等。IT治理的第一步应该是信息资源规划而不是产品选型。2.执行层面：负责信息流、物流、资金流的整合，完成信息系统的选型实施，担当起电子商务管理，以及信息工程的监理工作。3.变革层面：协助企业完成业务流程重组，运用信息管理技术重建企业的决策体系和执行体系，同时要对信息编码和商务流程统一标准。4.沟通层面：安排企业信息化方面的

18、培训，发现IT运用的瓶颈，研究企业运作中的信息流及其作用。 概括来说，IT治理应以业务为中心，以技术为辅助。,IT治理的实现过程建立IT治理的整体规划：,IT治理的实现过程,协同共治的IT治理模型 伴随着现代管理与控制理论和实践的发展，IT治理逐渐从单边治理走向共同治理，由此导致原有的IT治理结构面临重新的调整。,IT治理的实现过程协同共治的IT治理模型,IT治理的实现过程,IT治理应着眼于以下目标：1、与业务目标一致 原则：服从于企业战略，不能背离2、有效利用信息资源 IT治理的使命：通过及时、有效的IT治理，促进信息的价值转化3、风险管理：通过IT治理构建风险管理制度及风险应对决策；使风险

19、透明化；有效的风险投资、管理和控制；风险的防范措施。4、IT治理实现： 平衡信息技术与过程的风险，确保组织目标的实现,IT治理的实现过程,IT治理的实现过程,IT治理实现总体流程如下：,IT治理的实现过程IT治理实现总体流程如下：,9、挑战策略 - A公司的IT治理“生态系统”,业务流程,治理,组织,人员,运营,IT治理,降低产品复杂性减少流程复杂性平衡“一流技术”与灵活性的影响,设立公司IT治理机制，并与业务部门治理相关联制定公司指导方针,全新融资模型战略采购模型准备就绪服务级别协议准备就绪性能指标评测/衡量标准,提高可变能力及其成本充分利用公司的人力资源,联合式与分离式模型,充分利用规模经

20、济整合、标准化、共享增加可变IT成本的比例，提高IT能力,技术组合,9、挑战策略 - A公司的IT治理“生态系统”业务流程,中国的SOX（C-SOX）,中国的SOX（C-SOX）内部控制基本规范C-SOX,内控,内控,内控,30,内控究竟是什么？,企业内部控制基本规范有关内控的定义：内部控制是由企业董事会、证监会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业：经营管理合法合规；资产安全；财务报告及相关信息真实完整；提高经营效率和效果；促进企业实现发展战略。,30内控究竟是什么？ 企业内部控制基本规范有关内控的定义,31,内控的概念,以往有关内控的一些观点： 静态

21、的结构（认为内控可以一成不变、内控建完可以一劳永逸） ；某一层次人员的任务（例如：高级管理层）；某一部门的任务（例如：财务、内部审计）；某一实体的任务（例如：总部、集团公司）。,错！,31内控的概念 以往有关内控的一些观点：错！,32,内控五要素的解读内部环境,内部环境反映了董事会、管理层及其他人员对企业内部控制的重要性的整体看法、认识和行动。内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置与权责分配、内部审计、人力资源政策、企业文化等。,内 部 监 督,信 息 与 沟 通,控 制 活 动,风 险 评 估,内 部 环 境,企业战略,经营效益和效果,财务报告及相关信息真实完整,资产的

22、安全,经营管理合法合规,董 事 会,监 事 会,经 理 层,全体人员,32内控五要素的解读内部环境内部环境反映了董事会、管理层,33,内控五要素的解读风险评估,内 部 监 督,信 息 与 沟 通,控 制 活 动,风 险 评 估,内 部 环 境,企业战略,经营效益和效果,财务报告及相关信息真实完整,资产的安全,经营管理合法合规,董 事 会,监 事 会,经 理 层,全体人员,风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。,33内控五要素的解读风险评估内 部 监 督信,34,内控五要素的解读控制活动,内 部 监 督,信 息 与 沟 通,控 制 活 动,

23、风 险 评 估,内 部 环 境,企业战略,经营效益和效果,财务报告及相关信息真实完整,资产的安全,经营管理合法合规,董 事 会,监 事 会,经 理 层,全体人员,控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。,34内控五要素的解读控制活动内 部 监 督信,35,内控五要素的解读信息与沟通,内 部 监,信 息与 沟 通,控 制 活 动,风 险 估,内 部 环 境,企业战略,经营效益和效果,财务报告及相关信息完整,资产的安全,经营管理合法合规,董 事 会,监 事 会,经 理 层,全体人员,信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部

24、、企业与外部之间进行有效沟通。,35内控五要素的解读信息与沟通内 部 监 信,36,内控五要素的解读内部监督,内 部 监 督,信 息 与 沟 通,控 制 活 动,风 险 评 估,内 部 环 境,企业战略,经营效益和效果,财务报告及相关信息真实完整,资产的安全,营管理合法合规,董 事 会,监 事 会,经 理 层,全体人员,内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。,36内控五要素的解读内部监督内 部 监 督信,37,三、内控规范中重点条款的解读,控制环境类5个,控制活动类8个,共18个模块,控制手段类5个,37三、内控规范中重点

25、条款的解读控制环境类5个控制活动类,38,应关注的风险： 治理结构形同虚设缺乏科学决策缺乏良性运行机制和执行力内部机构设计不科学权责分配不合理 机构重叠 职能交叉或缺失 运行效率低下 ,模块1：组织架构,38应关注的风险： 模块1：组织,39,应关注的风险：缺乏明确的发展战略战略实施不到位发展战略过于激进发展战略频繁变动资源浪费 ,模块2：发展战略,39 应关注的风险： 模块2：发,40,应关注的风险：人力资源缺乏或过剩结构不合理激励约束制度不合理关键岗位人员管理不完善人力资源退出机制不当 ,模块3：人力资源,40 应关注的风险： 模块3,41,应关注的风险：发生安全事故产品质量低劣环境污染员

26、工权益保护不足巨额赔偿或罚款声誉受损 ,模块4：社会责任,41 应关注的风险： 模块4：,42,应关注的风险：员工丧失信心企业缺乏凝聚力缺少开拓创新、团队、协作缺少风险意识缺乏诚实守信的理念，发生舞弊忽视企业间文化差异和理念冲突，导致并购失败 ,模块5：企业文化,42 应关注的风险： 模块5,43,应关注的风险：筹资决策不当，导致筹资成本过高或债务危机投资决策失误，导致资金链断裂或资金使用效率低下资金调度不合理，导致财务困境或资金冗余资金管控不严，导致资金挪用、侵占 ,模块6：资金活动,43 应关注的风险： 模块,44,应关注的风险：采购计划不合理，导致库存积压或短缺供应商选择不当、招投标或定

27、价方式不科学、授权审批不规范，导致采购质次价高，出现舞弊或欺诈采购验收不规范，付款审核不严，可能导致采购物资、资 金损失或信用受损,模块7：采购业务,44 应关注的风险： 模块7：,45,应关注的风险：存货积压或短缺固定资产更新改造不够、使用效能低下、维护不当、产能 过剩无形资产缺乏核心技术、权属不清、技术落后、存在重大 技术安全隐患,模块8：资产管理,45 应关注的风险： 模块8：资,46,应关注的风险：销售政策和策略不当，市场预测不准确，销售渠道管理不当等，可能导致销售不畅、库存积压、经营难以为继销售款项不能收回或遭受欺诈销售过程存在舞弊行为，可能导致企业利益受损 ,模块9：销售业务,46

28、 应关注的风险： 模块9,47,应关注的风险：研究项目未经科学论证或论证不充分，可能导致创新不足或资源浪费 研发人员配备不合理或研发过程管理不善，导致研发成本过高、舞弊或研发失败 研究成果转化应用不足、保护措施不力，导致企业利益受损 ,模块10：研究与开发,47 应关注的风险： 模块10,48,应关注的风险：立项缺乏可行性研究项目招标暗箱操作，存在商业贿赂工程造价信息不对称，技术方案不落实，概预算脱离实际，投资失控工程物资质次价高、工程监理不到位，工程质量低劣竣工验收不规范，工程存在重大隐患 ,模块11：工程项目,48 应关注的风险： 模块1,49,应关注的风险：对担保申请人的资信状况调查不深

29、，审批不严或越权审批，导致企业担保决策失误或遭受欺诈 对被担保人出现财务困难或经营陷入困境等状况监控不 力，应对措施不当，导致企业承担法律责任 舞弊 ,模块12：担保业务,49 应关注的风险： 模块12：,50,应关注的风险：外包范围和价格确定不合理，承包方选择不当，导致企业遭受损失 业务外包监控不严、服务质量低劣，导致企业难以发挥业务外包的优势 业务外包存在商业贿赂等舞弊行为，可能导致企业相关人员涉案 ,模块13：业务外包,50 应关注的风险： 模块13,51,应关注的风险：违反会计法律法规违反会计准则虚假财务报告无法有效利用财务报告，企业财务和经营风险失控 ,模块14：财务报告,51 应关

30、注的风险： 模块14：,52,应关注的风险：不编制预算或预算不健全，可能导致企业经营缺乏约束或 盲目经营盲目经营预算目标不合理、编制不科学，可能导致企业资源浪费或发展战略难以实现 预算缺乏刚性、执行不力、考核不严 ,模块15 ：全面预算,52 应关注的风险： 模块1,53,应关注的风险：合同疏漏合同欺诈履行不当监控不力纠纷处理不当,模块16 ：合同管理,53 应关注的风险： 模块16,54,应关注的风险：内部报告系统缺失、功能不健全、内容不完整，影响生产经营有序运行 内部信息传递不通畅、不及时，导致决策失误、相关政策措施难以落实 内部信息传递中泄露商业秘密，削弱企业核心竞争力 ,模块17 ：内

31、部信息传递,54 应关注的风险： 模块17,55,应关注的风险：信息系统缺乏或规划不合理，造成信息孤岛或重复建设，企业经营管理效率低下 系统开发不符合内部控制要求，授权管理不当，导致无法利用信息技术实施有效控制 系统运行维护和安全措施不到位，导致信息泄漏或毁损，系统无法正常运行,模块18 ：信息系统,55 应关注的风险：模块18 ：信息系统,56,感悟,IT治理与内控目前已经由战术层面，上升到战略层面；IT治理与内控的核心竞争力在于全面推动企业业务创新、服务创新、组织创新、制度创新，创新到零。IT治理与内控对提升IT在企业中的作用至关重要。,56 感悟IT治理与内控目前已经由战术,ThankS,IT治理与内控(1028)解析课件,