公司治理--全套课件_第1页
公司治理--全套课件_第2页
公司治理--全套课件_第3页
公司治理--全套课件_第4页
公司治理--全套课件_第5页
已阅读5页,还剩203页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、公司治理 全套课件 通过本课程的学习,使学员能在规定的学时内,理解公司治理、风险与合规GRC的基本理论、了解公司治理与IT治理的关系,使学员获得全面的GRC知识。如何利用IT技术来提升公司的价值,学会构建合理的治理权责框架,依据业务压力与业务需求来监控(Monitor)风险,并学会对公司治理是否达标进行评价(Evaluate),找到存在的问题与差距,然后指导(Direct)实施的方针政策,以便问题解决与弥补差距。从而提高绩效,增强合规性。对学员今后参与公司治理有着很大的指导作用。教学目的本课程从“安然”和“雷曼”实例来分析什么是公司治理、风险与合规GRC,财务舞弊曝光是安然破产的直接原因,次贷

2、危机是雷曼兄弟倒闭的导火索。从治理的角度来看,财务舞弊背后缺失的是内部控制、透明的信息披露制度,巨额亏损隐含着对风险的漠视。一句话,从安然到雷曼,繁荣假象后累积了大量的公司治理风险。本课程从公司治理模型、治理权责框架与问责制、IT战略与业务战略目标一致性、基于风险与价值的IT投资治理、公司绩效与合规等方面给学生完整的、系统的公司治理的基本理念,依据业务压力与业务需求来监控(Monitor)并评价(Evaluate)组织的风险,找到存在的问题与差距,然后指导(Direct)实施的方针政策,以便问题解决与弥补差距。本课程为公司治理的实施提供方法与指南。教学内容 (1) 学员要全面掌握公司治理、风险

3、与合规(GRC)的 基本概念,了解治理是绩效与合规的平衡,并能 运用公司治理模型。 (2) 学员要学会如何构建合理的治理权责框架,如何使IT 战略与业务战略目标一致,采用什么方法与技巧来进 行IT投资的治理。 (3) 学员能够结合实际,运用公司治理的模型和方法,对 绩效合规进行监控、评价与指导。 (4) 学员必须积极思考问题,参加案例讨论和分析,并能 结合实际提出问题,与教师进行互动,并完成作业。课程的学习要求1、公司治理、风险与合规(GRC)概论 (4学时) 1.1从“安然”和“雷曼”来分析公司GRC 1.2公司治理与IT治理 1.3 公司治理与SOX法案 1.4 治理绩效与合规的平衡2、公

4、司治理模型 (4学时) 2.1 “指导评价监控”周期 2.2 业务压力与业务需求 2.3 风险与监控 2.4 治理的评价 2.5 治理的指导与改进 2.6 治理模型 3、合理的治理权责框架与问责制 (4学时) 3.1什么是合理的治理权责框架 3.2权责框架与人员激励 3.3治理权责框架与问责制的监控 3.3.1治理权责框架的构建 3.3.2权责分配的原则 3.3.3常用权责框架技术RACI图 3.4治理权责框架的评价 3.5治理权责框架的指导与改进 3.6综合案例分析4、公司绩效 (4学时)4.1公司绩效与IT绩效度量4.2 绩效的监控4.3 绩效的评价与人员激励4.4 绩效的指导与改进4.5

5、综合案例分析5、公司内部控制与合规 (6学时) 5.1构建公司内部控制体系 5.2 国内外有关合规标准与规范 5.2.1COSO委员会企业风险管理整合框架 5.2.2美国政府颁布SOX法案 5.2.3中国的企业内部控制基本规范 5.3公司内部控制与合规的监控、评价、指导与改进 5.4综合案例分析6、案例的分组讨论、分析,汇总报告、交流与点评 (2学时)中行大连分行营业部计算机输入员*6年挪用800万美元,销毁个人电脑中帐务数据后潜逃,后被捕归案。信息时代的银行风险1. 为什么巨额挪用持续6年而未被发现? 2.为什么银行帐务数据能被个人轻易销毁?3. 计算机输入员岗位的权限到底有多大?4. 银行

6、的风险如何控制?5. 银行的的资产如何能得到有效的保护?6. 银行流程和管理控制到底存在多大漏洞?反思? 某制造企业会计人员舞弊案 90年代初,会计电算化开始,某城市一家中型制造企业两名会计人员,自己用Dbase II语言,自行开发了工资 核算系统。故意在系统中安置了“意大利腊肠”,把别人 账户中扣除“不起眼”的金额增加在自己工资账户中,两 人每月的工资都会多出几十元,相当于当时工资收入的 20,两年之后,有人发现这两名会计人员的舞弊行为。 最终通过公安机关的立案调查,确认其犯罪行为并进行 了刑事处理。由于两人既是系统开发者,又是业务操作者,产生了舞弊动机和条件,加上企业内部缺少监管,给广大员

7、工带来损失。1.会计电算化后,企业财务风险有何变化? 2.为什么两名会计人员能方便地作案? 3.两名会计人员的权限到底有多大?4. 企业的财务的风险如何控制?5.企业如何能保护员工的利益?反思? 银联核心系统业务中断06年4月20日,银联网络故障导致全国跨行交易系统完全瘫痪,全国所有银行跨行交易中断。北京、上海、广州等主要城市无一幸免。至晚上8点才恢复。根据银联发布的官方解释,“此次故障原因是由于银联准备上线的某外围设备的隐性缺陷诱发跨行交易系统主机缺陷,致使主机发生故障。” 当时银联每天的跨行转接交易量在1000万笔左右,由此测算,该故障导致全国数百万笔跨行交易无法完成。虽然银联及时向社会道

8、歉,但造成的损失与影响是大的。 1.银联跨行交易系统瘫痪造成的损害 ? 2.信息时代企业的业务与信息平台的关系? 3.企业如何保障所依赖的信息平台? 4.企业如何充分利用IT资源? 5.企业如何进行控制把风险降到最低?反思?1、公司治理、风险与合规(GRC)概论从“安然”到“雷曼”的反思 两个典型事件安然公司和雷曼兄弟“能源帝国” “债券之王” 商业成功的典范,何以在顷刻间崩溃?探讨它们破产的原因思考如何解决相关问题现状启示安然曾经是叱咤风云的“能源帝国”,是美国乃至世界最大的能源交易商,2000年名列财富杂志“美国500强”中的第七。2001年11月8日,迫于监管部门、媒体和市场的强大压力,

9、安然向美国证监会递交文件,承认财务造假,当天股份狂跌70%,损失近40亿的市值。高达130亿美元的巨额债务暴露之后,安然公司正式申请破产保护。短短两个月,能源巨擎轰然倒地。反思?1、名列“美国500强”中的第七的“能源帝国” 怎么说倒就倒了呢?2、曾是商业成功的典范,何以在顷刻间崩溃?3、安然公司的能源交易金融化带来的后果?4、在“非理性繁荣”下,是否累积了大量的 “治理风险” ?5、外部的监管漏洞,中介评级机构的利益至上 造成的后果是什么?6、内部控制与透明的信息披露制度的缺失是否 是导致财务舞弊的风险? 现状启示雷曼兄弟公司是全球的多元化的投资银行。占据业务领域的领导地位。但在08年三季度

10、财务报告巨亏39亿美元,创下成立158年历史以来最大季度亏损。财务报告公布之后,雷曼股价应声下挫近7。公司股价从年初超过60美元,到九月的7.79美元,短短九个月狂泻近90,市值仅剩约60亿美元。在各种努力失败后,9月15日,由于陷入严重的财务危机,雷曼兄弟公司宣布申请破产保护。雷曼兄弟在公司治理、风险与合规GRC(Governance、Risk management 、 Compliance)的执行力上存在重大缺陷。 跨国投行IT核心业务系统多达十几个大类,如市场信息系统、行情报价系统、交易委托系统、证券清算系统、资金结算系统、本地财务系统、全球财务系统(SAP)、全球合并报告、内部风险管控

11、系统等;支持上百种金融产品和服务,涉及公司IPO融资和金融咨询、股票权证交易、基金交易、固定收益产品交易(企债、国债、可转债、回购)、商品期货、外汇、财富管理、资产管理等;金融交易涵盖股票交易所、银行间市场、OTC、外汇市场、商品期货市场等。 作为在全球多个国家/地区运作的跨国投行,还需要面对交易制度的差异,不同的结算周期,会计准则差异以及本地证券监管部门、税务机构的法律及合规要求。由于资本市场的特殊性,各类IT系统在不同的地区可能由不同供应商的应用系统组成。如何让大量异构的、针对本地交易所和交易产品开发的IT系统能与全球财务系统、全球报告系统无缝的集成起来,让管理者能全面、实时地掌握各子公司

12、运作、进行及时的投资决策和风险管控,这无疑是一个巨大的挑战。1、有着158年历史的投资银行为何倒下?2、业务涉及投资银行、财富管理、资产 管理的复杂性?3、为何倒在次级债券风险管控的缺失上?4、雷曼兄弟在GRC的执行力上是否有重大缺陷?5、跨国投行的IT核心业务系统与全球财务报告 系统无缝集成?6、管理者如何全面、实时掌握各子公司运作、 及时决策和风险管控是否面临新的挑战? 反思?财务舞弊曝光是安然破产的直接原因,次贷危机也是雷曼兄弟倒闭的导火索。“非理性繁荣”,累积了大量的“治理风险”,包括外部的监管漏洞,内部治理结构,风险管理,信息披露制度的严重缺失等。因此,它们的倒塌决不能看成是外部业务

13、环境变化,或者内部某一环节、某次决策的失误,这不是偶然,而是必然。从治理的角度来看,财务舞弊背后缺失的是内部控制、透明的信息披露制度,巨额亏损隐含着对风险的漠视。一句话,从安然到雷曼,繁荣假象背后累积了大量的公司治理风险。 通过对安然事件、雷曼破产,及其相关法律合规要求的分析,可以初步得知改善公司治理的重要作用。安然事件后,美国政府颁布了SOX法案,SOX强调通过内部控制加强公司治理,加强与财务报表相关的IT系统内部控制。404条款更是明确规定了管理层对内部控制的责任,以及内部控制年度评价报告。美国公众公司会计监管委员会(PCAOB)特别强调建立维护合理的IT控制体系、并保证其有效执行是SOX

14、法案遵从的重要组成部分。随着SOX法案的实施,IT治理受到了前所未有的关注,CIO Insight 甚至将“IT治理”列入了世界信息技术10大重要趋势之一。信息时代公司治理实现的特点1)信息化平台驱动承载业务极大部分流程2)内部控制目标实现与信息化系统的控制有关3)信息化系统生成的数据是内部控制的依据4)财务信息在各业务系统产生最终汇总到财务 报告披露5)信息化系统为业务运作提供基础设施服务6)通过信息系统控制来帮助控制财务报告的风险7)通过IT治理实现公司治理以上两个案例说明:繁荣假象背后累积了大量的公司治理风险。 信息技术可以给人们带来巨大收益,但信息技术业务价值的产生不是来源于信息技术本

15、身,而是来源于人们如何利用信息技术。信息技术在为人们创造价值的同时存在着风险,给人们带来同等机会的价值毁灭。1.2公司治理与IT治理 公司治理是指有关公司控制权或剩余索取权分配的一整套法律、文化和制度性安排,这些安排决定公司的目标,谁拥有公司,如何控制公司,风险和收益如何在公司的一系列组成人员,包括股东、债权人、职工、用户、供应商以及公司所有的社区之间分配等一系列问题。 由于所有权与控制权的分离,即资本与管理的分离,造成了股东与经理人之间的信息不对称,为了防止经理人的低效管理或做出不利于股东利益的事情,就需要设计相应的治理机制,公司治理就是在这样的背景下产生的。公司治理的英文是“Corpora

16、te Governance”,国内也翻译成“公司治理结构”、“公司治理机制”等。 (1)制度安排说牛津大学管理学院院长柯林梅耶将公司治理结构定义为“公司赖以代表和服务于它的投资者利益的一种组织安排。它包括从公司董事会到执行人员激励计划的一切东西。”斯坦福大学教授钱颖一指出“公司治理结构是一套制度安排,用以支配若干在公司中有重大利害关系的团体 投资者(股东和贷款人)、经理人员、职工之间的关系,并从这种联盟中实现经济利益。”林毅夫认为,“所谓公司治理结构,是指所有者对一个企业的经营管理和绩效进行监督和控制的一整套制度安排”。(2)组织结构说这种观点认为公司治理是权力结构安排和公司权力的内部制衡机制

17、。中国著名经济学家吴敬琏教授认为“所谓公司治理结 构,是指由所有者、董事会和高级执行人员即高级经理人员三者组成的一种组织结构。在这种结构中,上述三者之间形成一定的制衡关系。”(3)决策机制说这种观点认为公司治理就是一种决策机制,公司治理的目的是保证决策的科学性。“治理结构被看作一个决策机制,而这些决策机制在初始的合约中并没有明确设定。更准确地说,治理结构分配公司非人力资本的剩余控制权,即资产使用权如果在初始合约中没有详细设定的话,治理结构将决定其如何使用。”公司治理是控制权的实现、科学的决策和利益相关者的权利制衡。它要解决三个方面的问题:(1)在所有权和控制权分离情况下,解决经营者和股东 之间

18、的委托代理问题,从而保证股东利益最大化.(2)在股权分散的条件下,如何协调所有者之间关系 的问题,特别是保护中小投资者不被大股东侵犯.(3)在股东追求利益最大化的情况下,协调利益相关者 之间关系的问题。公司治理的目标是保证公司决策科学化,规定公司决策所应遵循的规则和程序,以实现股东及其他利益相关者的利益最大化。公司法、证券法、信息披露、会计准则、审计和社会舆论 各利益相关者之间建立起相互独立、相互制约、权责明确、互相配合机制,通过科学的决策程序和监督制度,使各自的正当权利得到保障,行为受到合理约束。公司治理的三种主要模式 (1)外部监控为主的英美公司治理模式(2)内部监控为主的日德公司治理治理

19、模式(3)家族控制型的韩国、东南亚公司治理模式英美德日东南亚股权结构相对分散相对集中,法人相互持股相对集中,主要控制在家族手中融资渠道主要通过证券市场,负债率较低主要通过银行,负债率高复杂率较高监控方式外部市场监控较强外部监控弱,内部监控较强主要是家族内部监控董事会作用小相对较小支配作用利益相关者的关注中等较高小对中小股东保护较强较弱弱4、中国公司的治理模式我国已经形成了不同于英美和欧洲国家的混合治理模式。在我国的公司治理结构中,既有股东会,也有董事会、监事会、经理层。董事会成员、监事会成员都由股东大会选举产生,且董事会成员与监事会成员不得相互兼职.公司治理中,董事、经理、党组织成员、职工代表

20、等方面的任职配置,股东、董事、经理这些重要的博弈参与者之间的权力配置,都属于公司治理中的灵魂,也是中国特色公司治理的优势,各方面有机地结合,可以形成优于西方国家的、具有中国特色国有企业公司治理模式。 IT治理PERFORMANCEMEASUREMENTRESOURCEMANAGEMENTRISKMANAGEMENTVALUEDELIVERYSTRATEGICALIGNMENTIT治理是企业治理不可 缺少的部份企业治理完成以下目标:1、提供战略方向2、确保目标实现3、查明风险以及得到管理4、确认企业资源被充分利用成本IT与业务的一致安全确保正常运行管理复杂性调整合规性IT治理提供一个管理者与利益

21、相关者(纳税人、董事会)共同承担的方法,实现有效的监控,使信息化的投入既达到绩效,又合法、合规,避免风险的产生。IT GovernanceControlDirectPlanDoCheckCorrectIT ActivitiesPlanning and OrganizationAcquisition and ImplementationDelivery and SupportMonitoringManage risks Realize BenefitsConformance PerformanceObjectivesReport 公司治理与IT治理的关系 IT治理与公司治理的目标一致,为实现企业

22、价值最大化; IT治理是企业治理一部分,公司治理驱动和调整IT治理; 公司治理和IT治理都是在各利益相关者之间建立起相互 独立、相互制约、权责明确、互相配合机制,以确保公司 决策科学化,实现股东及其他利益相关者利益最大化。 1.3 公司治理与SOX法案针对安然等财务欺诈事件,美国国会出台了2002 年公众公司会计改革和投资者保护法案(Sarbanes-Oxley Act)。由美国众议院金融服务委员会主席奥克斯利和参议院银行委员会主席萨班斯联合提出,称作2002年萨班斯奥克斯利法案(简称SOX法案)。SOX法案对上市公司管理层提出了非常苛刻的要求,直接相关的条款包括:302条款公司对财务报告的责

23、任、404条款 管理层对内部控制的评价等 管理层声明 (302条款)管理层关于内部控制的报告 (404条款)重点领域关键条款审计委员会的标准禁止向董事和官员贷款加强对内部交易的报告向财务官员颁布行为准则上市公司会计监管委员会 (PCAOB)对故意发表不实声明的刑事处罚 (906条款)审计委员会事先批准所有审计师提供的服务禁止审计师提供某些服务5年强制轮换审计主管合伙人保护举报人第302条款和第404条款强调通过内部控制加强公司治理,包括加强与财务报表相关的IT系统内部控制。管理当局报告董事会治理管理层和董事会行为强制执行与惩罚审计师的独立性萨班斯-奥克斯利法案萨班斯(SOX) 法案简介该条款要

24、求由首席执行官和财务主管在内的企业管理层,对公司财务报告的内部控制按季度和年度发表声明并予以证实萨班斯奥克斯利法案第302条款第 302 条 管理层声明 对建立和维护与财务报告有关的内部控制负责设计所需的内部控制,并报告期内的重大信息 与财务报告有关的内部控制的任何变更都已得到恰当的披露另外,第404条还要求外部审计师对于内部控制和管理层对内部控制的评价进行审计,并出具审计意见萨班斯奥克斯利法案第404条款第 404 条 管理层对内部控制的评价 管理层对公司建立和维持足够的与财务报告相关的内部控制的评价每年报告管理层建立和维持足够的内部控制的责任评价公司内部控制的有效性企业内部控制基本规范中国

25、版的SOX 2008年6月28日,财政部、证监会、审计署、银监会、保监会联合发布了企业内部控制基本规范,中国版的SOX法案终于问世。这是06年中国成立企业内部控制标准委员会,研究推进企业内部控制规范体系建设的重大成果。 基本规范自2009年7月1日起先在上市公司范围内施行,鼓励非上市的其他大中型企业执行。执行基本规范的上市公司,应当对本公司内部控制的有效性进行自我评价,披露年度自我评价报告,并可聘请具有证券、期货业务资格的中介机构对内部控制的有效性进行审计。本规范所称内部控制,是指由企业董事会、管理层和全体员工共同实施的、旨在合理保证实现以下基本目标的一系列控制活动:(一)企业战略;(二)经营

26、的效率和效果;(三)财务报告及管理信息的真实、可靠和完整;(四)资产的安全完整;(五)遵循国家法律法规和有关监管要求。有义务对外提供财务报告的企业,应当确保财务报告及管理信息的真实、可靠和完整,具备条件的,还应同时实现其他控制目标。2008年6月28日,我国第一部企业内部控制基本规范出台,标志着国内企业内部控制规范体系建设取得重大突破。IT治理,作为企业内控体系重要一环,进入规范实践时代!2008年6月3日,IT治理国际标准ISO38500:2008出台,对于IT治理领域的发展,具有跨时代的意义。2008年9月3日,证券期货经营机构信息技术治理工作指引出台,标志着IT治理为证券期货经营机构持续

27、成功保驾护航,预示着国内IT治理的发展前景和方向。 这些标准、规范或指引的出台,预示着国内IT治理的发展前景和方向。使一直停留于探讨阶段的国内IT治理,步入了有具体规范指导的实践时代,我们要从战略层面深入研讨和交流生命周期各阶段最佳实践,见证它们对国内IT治理的巨大意义,研讨和解决国内信息化建设现阶段碰到的重大而紧迫的实践课题, SOX法案与中国SOX针对企业内控进行定期审查和专项审查的呼声越来越高对信息系统内部控制的审计格外重要SOX法案302、404条款IT在其内部控制中所扮演的重要角色凸显出来,而实施IT审计正是解决之道!1.4 治理绩效与合规的平衡PerformanceConforma

28、nce企业治理包括:1、 合规 Conformance 坚持法律法规、内部控制、 审计需求等2、 绩效 Performance 效率、有效、有益 与增长等企业治理与IT治理要求合规与绩效的平衡 思考题1、什么是公司治理与IT治理?2、如何利用信息技术实现治理?3、上市公司面临怎样的信息化挑战?4、上市公司信息化的绩效与合规如何?5、作为IT经理,你有哪些压力?2、公司治理模型 构造治理模型的目的,是帮助人们借助治理模型来实现有效的监控、评价与指导,控制风险、提高绩效,实施治理。驱动企业治理IT治理最佳实践标准过程PERFORMANCE: Business GoalsCOSO企业内部控制基本规范

29、Balanced ScorecardCONFORMANCEBasel II, Sarbanes-Oxley Act, etc.ISO38500:2008COBIT VAL ITISO 9001:2000ISO 17799ISO 20000QAProceduresSecurity PrinciplesITIL 国内外有关合规标准与规范的关系治理方法论外部驱动力 内在因素战略规划治理框架日常运作管理措施提升价值降低风险外部驱动力 -外部环境中可能对企业产生整体影响的驱动力,例如:法律法规要求, 竞争对手,行业标准等。内在因素 企业内部需要考虑的关键要素 , 例如: 企业发展战略规划, 企业组织架构

30、, 风险控制,企业文化等。战略规划 根据外部驱动力及企业内部因素,制定相应的战略规划及实施此战略的详细计划.治理框架 根据外部驱动力、企业内部因素及相应的战略规划,制定和实施相应的治理框架. 例如: 治理委员会, 政策及标准等。日常运作管理措施 根据治理框架,在操作层面制定和实施具体的日常运作治理活动及措施。2.1 “指导评价监控”周期监控指导评价监控与内外部法律法规以及方针政策等的合规性,并监控影响系统绩效的各项活动。评价公司的投入是否达到预期结果,评价投入是否与战略目标一致,评价企业在合规性方面的风险。指导计划与方针政策等的制定、修正与执行,以确保信息技术与组织 事务目标的一致性。重复管理

31、者依据业务压力与业务需求来监控并评价组织的各项活动,找到存在的问题与差距,然后指导实施的方针政策,以便问题解决与弥补差距.监控、评价和指导周期是一个螺旋上升,使企业的投入既达到绩效,又合法、合规的不断提高的过程。 2.2 业务压力与业务需求企业生存发展中遇到挑战和压力。要求企业管理创新,构建协同业务体系,加强管控、优化资源配置,降低成本,提升价值。如何优化流程,推动管理创新,要求管理者对现有治理水平进行评价,找出瓶颈与问题,考虑如何解决,也就是对于企业的业务压力与新的业务需求,通过监控与评价IT是否与战略目标一致,评价在合规性方面的风险,然后指导规划与方针政策等的改进。 案例格兰仕实施ERP化

32、解成长的烦恼当年生产鸡毛掸子的格兰仕已成为中国乃至全球知名家电生产商。格兰仕原从事羽绒服生产,1992年转向微波炉,不断做大做强。到2008年,格兰仕已经连续多年实现了微波炉产销量“全国第一”连续11年实现微波炉产销量“世界第一”。2004年遇到成本上涨、单价下降、出口锐减等诸多困难与压力,要使企业的库存和成本得到有效的控制,保持格兰仕低成本优势,引入SAP的ERP产品,格兰仕借助信息化系统,使业务流程得到规范,基础数据得到清理,管理水平得到提升。并深化数据挖掘和商务智能工作,围绕产品创新、精准营销等方面做工作,并把整合供应链作为发展的重点。格兰仕就是这样,面对各种困难与压力不断做大做强。 案

33、例 温州银行如何走出困境一直不放弃对信息系统的建设,让温州银行最终赢得了比同一条街上的同行更多的筹码.1998年12月整合温州市29家城市信用社、6家金融服务社和8家营业处后温州银行成立。 1、系统不统一,业务发展举步维艰 2、第一套系统上线,与国有银行有差距 3、IT为业务服务-综合业务系统升级- 业务功能多30%-按需开发-快战胜慢商业银行排名42位,总资产排名44位。信息时代,银行的竞争不是大的打败小的,而是快的战胜慢的。2.3 风险与监控确保投资获得价值是企业治理的一个重要组成部分。建立正确的治理和管理模式,给管理层提供清晰的可行的指导方针和配套措施,还能对企业所有的活动提供持续监控,

34、从而有效地控制风险,确保绩效与合规。 案例国家开发银行的非现场稽核与 风险预警系统国家开发银行属于政府的开发性金融机构,是我国中长期信贷主力银行,在经营上面临着信用风险、市场风险和操作风险等一系列风险问题,比商业银行有更大的挑战,如何有效预防和控制风险就成了国家开发银行的重中之重。通过非现场稽核与风险预警系统,对全行信贷、资金交易、会计核算业务系统的数据,定期进行非现场稽核预警分析,以经营风险度的高低及时准确预测全行的经营状况,找出风险点,为有关部门提供预警信号,为行领导提供决策参考依据,有效控制经营风险。 利用非现场稽核与风险预警系统不断地发现问题,不断地解决问题,并加强系统操作风险监控,通

35、过监控达到控制风险,使企业立于不败之地。 2.4 治理的评价评价就是根据治理目标指标找到组织在治理中的问题与差距,然后指导实施的方针政策,以便问题解决与弥补差距。评价是为了指导改进,使企业的投入既达到绩效,又合法、合规。案例银行信息系统风险评价审计为有效防范银行业金融机构信息科技风险,保障信息系统运行和操作安全,中国银监会在2006年11月发出通知明确要求国内5家大型商业银行、12家全国股份制商业银行总行、资产规模达500亿元以上的城市商业银行总行、国家邮政储蓄局和部分农村合作银行,要在2007年1月30日前完成各银行的信息系统风险内部评价审计工作,2007年6月30日前完成信息系统风险外部评

36、价审计工作。按银监会要求,报送评价审计报告。报告包括信息科技系统发展、运行和管理情况、风险状况和主要问题、评价审计结论及整改建议等内容。对于评价审计中发现的问题,对其后果的严重性,给出明确的纠正意见。国内外许多专家认是我国推进IT治理的里程碑,通过IT治理评价,找到问题,通过改进使金融机构立于不败之地。 2.5 治理的指导与改进治理的指导与改进是通过治理的评价,定期审查绩效是否符合目标,分析产生偏差的原因,并采取补救措施来纠正偏差,在某些时候,还要进行产生偏差的根部原因分析。指导实施方针政策的修订,根据绩效监控、评估和报告采取纠正措施,分配纠正措施的责任,并跟踪所采取行动的结果,使形成从问题识

37、别、纠偏计划、问题解决到问题跟踪的闭环。 案例抵抗风险的强筋健骨中国移动浙江公司致力于收入管理内控体系的建设,经过几年来的不断探索与创新,建立了从问题识别、纠偏计划、问题解决到问题跟踪的IT内部控制闭环,抵抗住收入流失的风险,每年挽回约2400万元的直接收入流失,收入管理工作效率提高了30%。IT内部控制闭环为他们打造了一堵铜墙铁壁,填补了管理上的许多缺漏,使他们具备了抵抗风险的强筋健骨。2.6 治理模型 指导、评价与监控DEM模型指导评价监控建议绩效合规计划政策 信息系统 系统运行事务需求事务压力治理事务过程Direct-Evaluate-Monitor IT投资如能在行之有效的IT治理框架

38、内运行,就能提供创造价值的重要机会,相反,没有IT治理和良好的监管,那么IT投资就会对价值造成损失。IT治理和良好的监管成为大家关注的焦点。实证研究表明 COBIT背景与各版本的演进Information Systems Audit and ControlFoundationIT Governance Institute COBIT已成为世界上被广泛认可的事实标准COBIT-Control OBjectivesFor Information and Related TechnologyGovernanceCOBIT 4COBIT 4.12005、2007COBIT 3Management200

39、0COBIT 2Control1998COBIT 1Audit1996EvolutionCOBIT各版本的渐进ProcessesActivitiesDomainsIT ProcessesEffectivenessEfficiencyConfidentialityIntegrityAvailabilityComplianceReliabilityIT ResourcesApplicationsInformationInfrastructurePeopleIT ProcessBusiness RequirementControl ApproachConsideration .Information

40、 Criteria IT过程、事务需求与控制方法IT过程事务需求控制方法需考虑事项Business ObjectivesDeliver andSupportMonitor andEvaluateInformationAcquire andImplementPlan and OrganizeEffectivenessEfficiencyConfidentialityIntegrityAvailabilityComplianceReliabilityApplicationInformationInfrastructurepeoplePO1 define a strategic IT planPO2

41、 define the information architecturePO3 determine the technological directionPO4 define the IT Processes, organization and relationshipsPO5 manage the IT investmentPO6 communicate management aims and directionPO7 manage IT human resourcesPO8 manage quality PO9 assess and manage IT risksPO10 manage p

42、rojectsAI1 identify Automated solutionsAI2 acquire and maintain application softwareAI3 acquire and maintain technology InfrastructureAI4 Enable Operation and UseAI5 Procure IT ResourcesAI6 manage changesAI7 install and accredit solutions and changesDS1 define service levelsDS2 manage third-party se

43、rvicesDS3 manage performance and capacityDS4 ensure continuous serviceDS5 ensure systems securityDS6 identify and allocate costsDS7 educate and train usersDS8 manage service desk and incidentsDS9 manage the configurationDS10 manage problemsDS11 manage dataDS12 manage the physical environmentDS13 man

44、age operationsM1 monitor and evaluate IT performanceM2 monitor and evaluate internal control M3 ensure regulatory complianceM4 provide IT governanceGovernance ObjectivesIT ResourcesOverall COBIT Framework COBIT提供IT治理框架COBIT提供一个好的架构实践,通过域、过程、活动(任务)实现层次,基于过程的控制。(1)COBIT提供IT治理框架把 IT治理、管理、控制、 审计结合起来。(2)

45、结合主流的国际标准COBIT在事务风险、控制需求、及技术产品之间架起桥梁,执行IT治理。 COBIT的结构与产品IT治理实施指南About Val ITCOBIT产品 IT治理与COBIT ISACA (Information Systems Audit and Control Association)致力于协助世界各国与各类组织实现信息治理、控制、安全与审计,提倡IT治理框架与最佳实践,在160多个国家与地区设立了分会,制定和颁布标准、准则和实务指南等,负责IT审计师CISA (Certified Information System Auditor)等认证。IT and Business

46、IT域(PO)规划与组织 IT域PO、AI、DS、MEPlan and OrganiseDeliver and SupportAcquire and ImplementMonitor and EvaluateIT Processes规划域(PO)PO1 Define a strategic IT plan.PO2 Define the information architecture.PO3 Determine technological direction.PO4 Define the IT processes, organisation and relationships.PO5 Mana

47、ge the IT investment.PO6 Communicate management aims and direction.PO7 Manage IT human resources.PO8 Manage quality.PO9 Assess and manage IT risks.PO10 Manage projects.Plan and OrganiseNew ProjectsOrganization?获取与实现域(AI)获取与实现Plan and OrganiseDeliver and SupportAcquire and ImplementMonitor and Evalua

48、teIT ProcessesAI1 Identify automated solutions.AI2 Acquire and maintain application software.AI3 Acquire and maintain technology infrastructure.AI4 Enable operation and use.AI5 Procure IT resources.AI6 Manage changes.AI7 Install and accredit solutions and changes.Acquire and Implement获取与实现域(AI)IT Se

49、rvicesBusiness Priorities提交与支持域(DS)提交与支持Plan and OrganiseDeliver and SupportAcquire and ImplementMonitor and EvaluateIT ProcessesDS1 Define and manage service levels.DS2 Manage third-party services.DS3 Manage performance and capacity.DS4 Ensure continuous service.DS5 Ensure systems security.DS6 Iden

50、tify and allocate costs.DS7 Educate and train users.DS8 Manage service desk and incidents.DS9 Manage the configuration.DS10 Manage problems.DS11 Manage data.DS12 Manage the physical environment.DS13 Manage operations.Deliver and Support提交与支持域(DS)ITPerformance监控与度量域(ME)监控与度量Plan and OrganiseDeliver a

51、nd SupportAcquire and ImplementMonitor and EvaluateIT ProcessesME1 Monitor and evaluate IT performance.ME2 Monitor and evaluate internal control.ME3 Ensure compliance with external requirements.ME4 Provide IT governance.Monitor and Evaluate监控与度量域(ME)针对SOX的IT控制目标(参照IT Control Objectives for Sarbanes-

52、Oxley )美国公众公司会计监管委员会(Public Company Accounting Oversight Board,简称PCAOB) COBIT4.0PCAOB中IT一般控制的主题程序开发程序变更计算机运维程序和数据访问1. 应用软件获取与维护AI22. 技术基础设施获取与维护AI33. 制度保障(Enable operations)AI44. 程序安装和启用AI75. 变更管理AI66. 服务级别定义和管理DS17. 第三方服务管理DS28. 确保系统安全DS59. 配置管理DS910. 问题和事件管理DS8,DS1011. 数据管理DS1112. 物理环境和运维管理DS12,DS

53、1313. 终端用户计算未涉及案例-上市公司利用COBIT模型的SOX审计 思考题1、什么是公司治理模型?有什么作用?2、试举例说明“指导评价监控”周 期的运作3、请对你所在公司的治理进行评价4、监控过程的绩效与合规如何平衡?5、请例举国内外的公司治理模型3、合理的治理权责框架与问责制治理关注如何建立明确合理的权责框架,而管理则关注如何在这个框架下,具体实行权力和承担责任。治理是决定由谁来进行决策,由此可见权责框架在治理中的重要地位。控制目标,角色,重点问题域动态实施3.1什么是合理的治理 权责框架建立权责框架的总体目标,是使组织内的个人或团体,能够理解和接受其在组织中的相关职责,并使各责任人

54、具有履行职责所必需的权利。建立权责框架的主要内容包括:1)问责机制-制度安排明确责任和保持追究能力 2)决策机制-授权和决策过程 3)授权机制-对决策权的委派4)告知机制-责任主体及时获得相关信息 5)响应机制-问题升级或决策升级时的响应 3.2权责框架与人员激励董事会与高层管理人员业务管理人员IT管理人员IT审计、监控人员IT治理评价监控指导 RACI权责框架图R(Responsible):负责执行任务的角色。 A(Accountable):责任人,即对任务负全责 的角色或问责主体。C(Consulted): 要求协助的人员。 I (Informed): 信息及时通报的对象。 IT战略与业务

55、战略目标一致 iIT Resources and ProcessesInformationBusiness ProcessesBusiness Objectivesprovidetofor achievingIT提交的信息是组织为达到目标所需要的。通过在事务需求分析、 IT资源投入等方面,帮助使IT与事务目标一致,指导IT治理的实现。IT资源及过程信息事务过程事务目标Defining IT Goals and Enterprise Enterprise Architecture for ITBusiness Goals for IT Business Requirements Governan

56、ce RequirementsInformation ServiceInformation CriteriarequireInfluenceimplydeliverrunneedInformation IT Processes Application Infrastructure and PeopleEnterpriseStrategyBusiness Goals for IT IT Goals Enterprise Architecture for IT IT ScorecardManagementCycle614325Scorecard ImplementationCollect info

57、rmation.1. CollectCreate the scorecard design.2. CreateCultivate acceptance and the measurement culture.3. CultivateCascade measures down through the organisation.4. CascadeConnect objectives and measures to employees.5. ConnectConfirm effectiveness through evaluation leading to ongoing improvement.

58、6. ConfirmCritical Success FactorsCorporate Business ProcessesDivisional Business ProcessesOperating Business ProcessesKPIsKPIsKPIsCorporate Financial PerformanceMarketplace BenchmarksDriveAccrueCompare IT and Business Alignment一致性的监控、评价、指导与改进(1)监控内容细则监控IT规划的进展监控IT规划与业务流程的一致性监控IT战略规划的落实监控IT活动监控IT的投资

59、活动监控IT投资是否实现预期目标监控创新应用监控风险管理计划监控IT风险管理计划的落实(2)评价内容细则评价IT战略与业务目标的一致性IT规划对业务流程的支持度业务部门对IT规划的满意度评价IT活动与组织目标的一致性高层领导对IT投资决策的满意度没有达到期望收益的投资项目比例利用IT发展新业务的数量利用IT改进的业务流程数量评价IT风险是否制定了IT风险管理计划关键IT风险点的应对计划(3) 指导内容细则指导IT规划的落实指导IT规划对业务流程的支持指导IT战术规划的落实指导IT的创新应用指导IT发掘新业务指导IT对业务流程的改进PO1 定义IT战略规划 RACI表活动董事会CEOCFO业务执

60、行官CIO业务过程主管运营主管总架构师开发主管IT主管项目管理办公室内审部门将业务目标和IT目标联系起来CIA/RRC识别关键的依存关系和现状分析CCRA/RCCCCCC建立IT战略规划ACCRICCCCIC建立IT战术计划CIACCCCCRI分析计划组合以及管理项目和服务组合CIIARRCRCCIPO2 定义信息架构 RACI表活动CEOCFO业务执行官CIO业务过程主管运营主管总架构师开发主管IT主管项目经理内审部门创建和维护企业信息模型CIACRCCC创建和维护企业数据字典ICA/RRC建立和维护数据分类模式ICACCICCR为数据所有者提供流程和工具对信息系统进行分类ICACCICCR

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论