IT治理资料.doc

试论公司治理与内部审计的关系随着国内外企业风险事件的不断发生，内部控制问题开始受到普遍的重视。内部控制是风险管理的基础，只有建立起良好的内部控制体系，确保内部控制设计的健全性、合理性以及运行的有效性，才能不断增强企业的风险控制能力。“反对虚假财务报告委员会”所属的发起机构委员会（简称COSO），在1994年修改的内部控制整体框架中对内部控制作了如下的描述：“内部控制是由企业董事会、经理阶层和其他员工实施的，为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。”从中可以看出，公司治理和内部审计都是内部控制制度的重要组成部分。公司治理和内部审计相互相承，互为补充、互为促进，公司治理是保障内部控制的组织结构，内部审计是保障内部控制的管理机制；公司治理为内部审计创造良好的环境，内部审计促进公司治理的完善和有效。长期以来，我国内部审计面临的结构性矛盾，就是难以完全融入公司治理体系之中。人们往往过多地关注内部审计的职能、范围、方法等纯技术性问题，而忽视了内部审计在宏观战略管理中的地位与作用，导致公司治理与内部审计关系的割裂，这也是内部审计作用难以得到充分发挥的体制根源。从西方国家的发展历程来看，内部审计作为实现有效内部控制的关键因素，是公司治理的有机组成部分，特别是后安然时代，重视和加强内部审计与公司治理之间的良性互动关系已是大势所趋。公司治理结构按产权纽带关系的不同，可以分为单一公司的治理结构和集团公司的治理结构两种。不同的公司治理结构，与之相适应的内部审计组织体系也有所不同。为此，笔者试图从公司治理结构和内部审计结构的特点出发，探寻集团化管理公司内部审计的最佳组织模式。一、公司治理的概念和特点（一）什么是公司治理？公司治理（corporategovernance，又译法人治理结构、公司治理结构）是一种对公司进行管理和控制的体系。它不仅规定了公司的各个参与者，例如，董事会、经理层、股东和其他利害相关者的责任和权利分布，而且明确了决策公司事务时所应遵循的规则和程序。公司治理的核心是在所有权和经营权分离的条件下，由于所有者和经营者的利益不一致而产生的委托代理关系。公司治理的目标是降低代理成本，使所有者不干预公司的日常经营，同时又保证经理层能以股东的利益和公司的利润最大化为目标。从以上阐述可以看出，公司治理是一个内涵广泛的概念：公司治理的本质是一种关系合同；公司治理的功能是配置责、权、利，特别是对剩余控制权和剩余索取权的配置；公司治理的起因是产权分离，是一种协调投资者和经营者关系的机制；公司治理的具体形式因经济制度、历史传统、市场因素、法律观念等的不同而不同；在司法机构和管理机构监管下，有效的公司治理包括四位一体的四大基石：董事会、高级管理层、外部审计师、审计委员会。综上所述，公司治理是指包含法律、文化等在内的有关企业控制权与剩余索取权分配的一整套制度安排，其实质是确保经营者的行为符合利益相关者的利益。在现代市场经济条件下，公司治理结构完善与否决定了组织能否有序运转，效益和持续发展能力能够不断提高，进而关系到整个资本市场能否规范有效运行，甚至关系到整个资本市场的成败。（二）公司治理的构成要素完善的公司治理应由内部治理结构与外部治理机制组成，二者相互制衡、有机统一。内部治理结构主要通过公司内部所有者、董事会、监事会及管理层之间的契约直接支撑；外部治理机制则通过外部的监管以及资本市场、产品市场、经理市场上的竞争间接实现。1、公司治理内部治理结构公司内部治理结构就是要在财产所有权与经营管理权分离的前提下，在公司各利益相关者之间建立起相互独立、相互制约、权责明确、互相配合的机制，并通过科学的决策程序和监督制度，使各自的正当权利得到保障，行为受到合理约束。首先，按照现代企业制度要求，明晰产权关系，以此为基础对各权利主体的角色进行正确定位，合理设置产权主体之间的权责关系与行为界限，从而在公司内部形成有效的权利制衡机制，避免出现“内部人控制”等问题。其次，根据效率优先兼顾公平原则，采取多种激励方式，充分调动各权利主体的积极性、主动性及创造性，努力促成不同权利主体在诸多层面上的利益趋同。再次，基于有效激励需辅之以有效约束的治理理念，建立健全监督与约束机制，遏制“道德风险”、“掠夺经营”、“掏空资财”等行为，在制度安排上降低代理成本与监督成本，提高运营效率、效果及效益。最后，无论是权利制衡、激励约束或绩效评价，都需要真实、完整的信息，以及信息的完全、及时传递。因此，必须在公司内部形成有效的信息沟通与反馈机制，确保信息质量并充分发挥其作用，克服“信息不对称”等诸多弊端。2、公司治理外部治理机制从科学决策的角度来看，现代企业的有效运作不仅需要依托内部治理结构，而且需要通过外部治理机制，如公司法、证券法、信息披露、会计准则、审计和社会舆论等。外部治理机制是一种非正式制度安排，当公司被不恰当地决策或经营，而内部治理结构又无能为力、缺乏治理效率时，外部治理将控制内部人事控制，出现更换董事、总经理等情况。因此，公司治理比公司治理结构涵义更广，公司治理不仅包含内部治理结构，还包括外部治理机制，是两者的统一。（三）公司治理各要素的职责公司作为法人，也就是作为由法律赋予了人格的团体人、实体人，需要有相适应的组织体制和管理机构，使之具有决策能力、管理能力，行使权利，承担责任。这种体制和机构被称之为公司法人治理结构，也可以称之为公司内部管理体制。这种结构使公司法人能有效地活动起来，因而很重要，是公司制度的核心。公司法人治理结构的四个组成部分，都是依法设置的，它们的产生和组成，行使的职权，行事的规则等，在公司法中作了具体规定。公司治理结构，按照公司法的规定由四个部分组成：1、股东会或者股东大会（权力机构），由公司股东组成，所体现的是所有者对公司的最终所有权。股东大会职权：决定公司经营方针和投资计划；选举和更换董事、监事，决定有关报酬事项； 审议批准董事会、监事会报告； 审议批准公司的年度财务预算方案、决算方案、利润分配方案和弥补亏损方案；对公司增加或者减少注册资本作出决议，对发行公司债券作出决议；修改公司章程，对公司合并、分立、解散和清算等事项作出决议。2、董事会（决策机构），由公司股东大会选举产生，对公司的发展目标和重大经营活动作出决策，维护出资人的权益。董事会职责：负责召集股东会，执行股东会决议并向股东会报告工作；决定公司的生产经营计划和投资方案；决定公司内部管理机构的设置，批准公司的基本管理制度；听取总经理的工作报告并作出决议；制订公司年度财务预、决算方案和利润分配方案、弥补亏损方案； 对公司增加或减少注册资本、分立、合并、终止和清算等重大事项提出方案；聘任或解聘公司总经理、副总经理、财务部门负责人，并决定其奖惩。3、监事会（监督机构），是公司的监督机构，对公司的财务和董事、经营者的行为发挥监督作用。监事会职权：检查公司的业务、财务状况，查阅账簿和其它会计资料，并有权要求执行公司业务的董事和总经理报告公司的业务情况；对董事、经理执行公司职务，对违反法律、法规或公司章程的行为进行监督；当董事和经理的行为损害公司的利益时，要求董事和经理予以纠正；核对董事会拟提交股东大会的会计报告、营业报告和利润分配方案等财务资料，发现疑问可以以公司名义委托注册会计师、执行审计师帮助复审；代表公司与董事交涉或对董事起诉。4、总经理（执行机构），由董事会聘任，是经营者、执行者。总经理职责：主持公司的日常生产经营管理，负责安全运营，组织实施董事会决议，并将实施情况向董事会报告；组织实施公司年度经营计划和投资方案；拟定设置、调整或撤销公司内部管理机构的具体方案，制定公司的具体规章；提请聘任或解聘公司副总经理、财务部门负责人，聘任或解聘除应由董事会聘任或解聘以外的管理人员和工作人员；依有关规章制度决定对公司职工的奖惩、升级、加薪及辞退；在职责范围内，对外代表公司处理业务，以及董事会授权的其他事项。（四）主要公司治理模式分析不同的市场经济国家由于各自的发展道路、社会文化传统和政治法律制度不同，形成了不同的公司治理结构和治理机制，有代表性的治理模式包括：美英市场主导型、德日银行主导型、东南亚家族主导型。1、英美市场主导型公司治理模式英美等国的融资方式依赖其高度发达的资本市场，资本结构以股权为主、债权为辅。公司治理是建立在股权高度分散、流动基础上的市场主导型模式。英美公司内部治理结构一般遵循决策、执行、监督三权分立的原则，分为股东大会、董事会和首席执行官三个层次。其中股东大会是公司最高权力机构，董事会是公司最高决策机构，董事会大多由外部独立董事组成，董事长一般由外部董事兼任，既是决策机构，又承担监督功能。首席执行官依附于董事会，负责公司的日常经营。美、英国家公司治理结构中不单设监事会，其监督功能由董事会下设的审计委员会承担，审计委员会委员全部由外部独立董事担任。2、德日银行主导型公司治理模式德国、日本等国的企业融资方式主要是通过银行间接融资，以债权为主、股权为辅，公司治理的关键是解决债权人和经营者之间的代理问题。在治理结构方面，公司的董事会和监事会分设，监事会是公司股东、职工利益的代表机构和监督机构，有权任命和罢免董事会成员并决定其报酬，董事会应就法定事项向监事会报告，董事会在执行公司章程或监事会规定的业务时，要经监事会同意。与德国不同的是，日本公司的监事会和董事会是平行机关，监事会只有监察权，无权参与公司的决策和经营管理。3、东南亚家族主导型治理模式家族模式在亚洲国家和地区较为普遍。这种模式的资本结构以家族为核心，家族以合股和合资等形式形成家族控股企业。其主要特点是公司的所有权和经营权不分离或不完全分离，公司与家族合一，公司的主要控制权在家族成员中配置，即较典型的物资资本单边治理型治理结构。家族主导型治理模式下，企业的重大决策，如创办新企业、开拓新业务、人事任免、决定企业的接班人等，都由家族中的家长一人作出，家族中其他成员作出的决策也必须得到家长的同意。企业的激励和约束机制建立在家族利益和亲情的基础上，使得公司利益与股东利益趋于一致。二、内部审计的概念和特点（一）什么是内部审计？从公司治理的角度看，“内部审计机构的职责除了包括审核企业会计账目外，还包括稽查、评价内部控制制度是否完善和企业内部各组织机构执行指定职能的效率，并向企业最高管理部门提出建议相报告。”在内部控制框架构建中，内部审计的作用在于监督企业经营业务符合内部控制框架的要求，评价内部控制的有效性，提供完善内部控制和纠正错弊的建议。瑞士ABB公司对内部审计是这样定义的：“内部审计是站在CEO等高级管理者的肩膀上，用第三只眼由上向下看，看基层单位应该怎么做，实际做得如何，存在哪些偏差，然后提出纠偏措施”。这句话很形象，并且完整地表达了内部审计的地位、职能和作用。突出了内部审计在企业管理中的地位和份量。内部审计受CEO直接领导，主要向CEO报告工作，是CEO的左膀右臂；具有很高的权威性，有谁能够象内部审计一样站在CEO的肩膀上，内部审计受到CEO的特别呵护，CEO心甘情愿成为内部审计的后台老板。审计工作独立性是相对而言的。内部审计人员既不能参加决策活动，也不能参加管理活动，是分别为两个不同层面活动服务的。内部审计能否发挥作用，不在于审计是否在董事会领导下或总经理领导下，也不在于大家一直争论不休的审计与监察能不能合并的问题。审计的独立是相对的，不是绝对的，关键是站在什么范围看。如在一个国家范围内看，企业内部组织的审计就是内部审计；如在一个企业集团范围内看，子公司或分公司内部组织的审计是内部审计，母公司对全资子公司或分公司组织的审计就是外部审计。只要不是你看我，我看你，而是用第三只眼审视下面的问题，提出意见和建议的，就是审计工作。内部审计设置在不同层面，无非是审计的力度和发挥审计作用的程度不同。提出了审计方向性的观点。有些学者包括审计署新出台的内部审计条例，要求内部审计开展“上审下”的同时开展“同级审”工作。笔者认为同级审计效果不好，也不符合受托责任原理。众所周知，审计是随着授托责任产生的，同级职能部门是为决策层出谋划策的，不具有独立的管理职能，很多意见是由决策层作出职能部门执行，既然没有受托关系，也就不存在“同级审”问题。对决策层作出的决策，是否合法、合规、合程序，只能由监事会或股东会来检查。跨国公司也存在这个问题，因此他们把内部审计方向定位为“由上向下看”。 纳入视野的企业活动都是内部审计关注的问题。明确指出内部审计的对象不光是基层财务部门和财务活动，下属企业各职能部门以及他们的管理活动都是审计对象，实际上这就是管理审计的概念。（二）内部审计与其他审计及监事会的区别1、内部审计与国家审计的区别内部审计与国家审计有共性的一面，也有区别的一面。共性的一面是审计，区别的一面在于内部，但目标是一致的，都是通过审计监督，加强管理，促进提高效益和廉政建设。内部审计不光要按照国家的法律法规去审计，还要依据单位内部的规章制度进行审计监督。由于服务对象工作重点的区别，内部审计监督时有它的特点，又有它一定的局限性。实践证明，内部审计不同于国家审计，它没有国家审计的强制性和独立性，它仅拥有“相对独立性”。因此，内部审计要突出一个“内”字。“内”主要是向公司负责，一切从公司的实际出发，以财务收支的真实性、合法性为基础，以完善内控制度为目标，寓服务于监督之中，在服务中进行监督。2、内部审计与社会审计的区别内部审计与注册会计师审计都是现代审计体系的组成部分，注册会计师审计为了提高审计效率往往需要借助内部审计，而内部审计部门也经常要求注册会计师提供管理建议书。但注册会计师审计与内部审计有很大区别：审计独立性不同，内部审计受本部门、本单位直接领导，仅仅强调与其他职能部门相对独立，与双向独立的注册会计师审计不可同日而语。审计方式不同，内部审计根据本部门、本单位经营管理的需要自觉施行、而注册会计师审计则是受托进行。审计内容和目的不同，内部审计的内容主要是审查各项内部控制制度的执行情况、提出各项改进措施；而注册会计师审计依据独立审计准则，主要围绕会计报表进行，是对审计后的会计报表发表审计意见。审计职责和作用不同，内部审计的结果只对本部门、本单位负责，对外不起鉴证作用，并向外界保密；而注册会计师审计需要对投资者、债权人以及社会公众负责，对外出具的审计报告具有鉴证作用。3、内部审计与监事会的区别有文章提出监事会与内部审计同属监督系列，职能上有许多相似之处，进而提出将内部审计置于监事会的领导下，成为监事会的工作机构，笔者不能苟同。监事会与内部审计是有明显区别的，监事会是针对法人治理结构而言的，行使的是出资者对经营者的监督，是为广大股东服务的，对公司经营层而言属于外部监督；内部审计是针对公司自我约束机制而言的，行使的是经营者（决策者）对执行者的监督，是为总经理服务的，对公司而言属于内部监督。监事会的成立并不代表企业自我约束机制的建立，监事会不可能替代内部审计工作，公司应该加强对日常经营管理中的自我监督，注重发挥审计、财务、会计的监督职能，建立和完善自我监督体系，规范经营行为，避免资产和效益流失，及时有效地规避各种风险。（三）公司治理与内部审计的关系有效的内部审计是公司治理中形成权力制衡机制并促使其有效运行的重要手段，是公司治理过程中不可缺少的组成部分。1、内部审计基于企业科学管理的需要而产生内部审计是企业内部委托代理关系的产物，它的产生与发展，首先是满足独立、客观、公正地监督和评价企业经营活动及内部控制行为的需要，其次是满足企业改善经营管理、实现经营目标的需要。因此，内部审计是企业内控体系与公司治理结构的重要基石。 2、内部审计是公司治理的有机组成部分内部审计是公司治理的有机组成部分，也是提高公司治理有效性的重要手段。没有完善的内部审计制度，公司治理系统将失去重要的微观基础。反之，缺乏完善的公司治理系统，内部审计制度的作用也不可能得到充分发挥。从公司治理的角度来看，内部审计已经发展为以增加价值和改进企业经营为目的的保证和咨询活动。作为经营者的高级参谋和助手，内部审计的业务范围已不仅局限于降低代理成本、查错防弊、解除内部受托责任、为委托代理关系提供有效的管理与监控机制，更重要的是，内部审计服务于公司利益，能够为工程项目、重要合同、投资决策、资金使用、财务规划等诸多方面提供支持，成为公司治理不可或缺的组成部分。3、内部审计是公司治理健康有序发展的必要手段内部审计能够对公司治理行为的有效性起到质量上的保障作用，这种作用是其他监督体系无法替代的。首先，从系统的观点出发，内部审计能够完善现代公司治理体系，建立公司治理系统的微观基础，使公司治理结构更趋合理；其次，内部审计可以促进公司内部治理结构的健全和完善，并与外部监管机制，以及控制权市场、经理市场等共同发挥作用，使公司治理更加有效；最后，随着内部审计的不断发展，公司治理的内容将更为丰富。三、单一公司的公司治理与内部审计（一）不同公司治理模式下的内部审计架构作为公司治理的重要组成部分，内部审计的具体模式主要取决于内部相互制衡的治理结构。在英美等股权较为分散的国家，普遍实行以审计委员会为核心的模式，其中，董事会内设专门的审计委员会，审计委员会一般由外部的独立董事组成，内部审计直接向审计委员会报告工作。在德日等股权比较集中的国家，公司组织构成包括股东会、董事会和监事会，其中监事会起较大作用，内部审计部门密切配合监事会工作，并及时提供有关信息。从国际范围来看，不同的公司治理模式形成了不同的内部审计具体架构，主要有以下六种类型：1、股东大会领导型。此形式的优点是直接受股东大会领导，工作独立性和权威性高，能够充分发挥内部审计的职能；缺点是股东大会不是一个常设机构，难以承担对内部审计的正常管理工作。2、董事会领导型。此形式的优点是直接受董事会领导，能够保证内部审计工作有更高的权威性和较强的独立性；缺点是由于直接受董事会领导，对集团内部多层次的渗透监督可能会遭遇来自经营者的阻力。3、审计委员会领导型。此形式的优点是审计委员会隶属于董事会且熟悉审计业务，有助于提高内部审计工作的质量及效率；缺点是审计委员会的成员主要来自公司外部独立董事，与内部审计的目标与价值取向存在较大差异。此架构在英美等国市场主导型公司治理模式下的企业中最为常用。4、监事会领导型。此形式的优点是监事会监督职权较大，地位超脱，有助于增强内部审计的监督力度并减少重复工作；缺点是由于监事不具备经营管理职能，而内部审计的主要任务是通过审计促进企业改善管理、提高效益。因此这种领导方式下的内部审计难以直接服务于企业经营。此架构在德日等国银行主导型公司治理模式下的企业中最为常用。5、公司总裁领导型。该架构在东南亚等国家族主导型公司治理模式下的企业中最为常用，主要有以下三种类型可供选择： （1）总裁直接领导：此形式的优点是总裁可以根据公司经营及时准确地指示内部审计工作的重点部位和重点事项，内部审计部门能够直接接受企业最高领导层的指导与指示；缺点是企业最高领导难以深入了解审计事项。（2）总裁主管、副总裁协管：此形式的优点是内部审计部门可以同管理层一道更加深入细致地研究审计工作，及时发现、汇报并纠正存在的问题；缺点是由于内部审计管理层又多一个中间环节，在贯彻最高领导指示时，存在同其他分管领导协调问题。（3）副总裁直接领导：此形式的优点是副总裁可以根据自己掌握的企业经营管理情况，自主、迅捷地确定内部审计工作重点，且分管领导同审计部门有更多机会沟通交流；缺点是审计分管领导同其他分管领导之间工作协调量较大。6、总会计师领导型。此形式的优点是内部审计便于就公司的财务审计及有关事项进行沟通和协调；缺点是混淆了财务会计与审计监督两种职能。（二）内部审计应以对经营权控制为核心1、公司产权与经营权的区别国有企业责任不到位的主要原因是产权与经营权混淆，多年来的企业改革主要是围绕着落实企业经营权展开的，没有认识到产权问题的重要性，产权关系解决不好，企业的经营权就难于完全落实，对国有资产的监督管理职责也难于落实。党的十四届三中全会决定明确指出，我国所要建立的现代企业制度是“产权明晰、权责明确、政企分开、管理科学”的新型的企业制度，就是要解决责任不明确，责权脱节的状况，使出资者管好出资者的事，经营者管好经营者的事，泾渭分明。出资者要更多地关注资本运营状况，确保资产的保值增值；经营者要做好资产运营这篇文章，努力实现利润最大化。现代企业制度建立起来的法人治理结构，实际上是一种以受托责任为基础的经济责任关系，董事会受托于股东会，经理受托于董事会，职工受托于经理。公司产权是指受宪法和公司法保护，公司章程和股东会授予，生产或其他方式使用财产的权力，在法定范围内拥有财产管理的决定权和处置权，以股东利益最大化为目标。经营权是指由公司法、公司章程和董事会授予，生产或其他方式使用财产的权力，在法定范围内拥有经营管理的决定权和处置权，以公司利益最大化为目标。它行使的是财产权中的一部分权能，财产权不但是个经济概念，而且是个法律概念，它确立了由于物的存在和使用而引发的人与人之间的权力和责任的关系。2、授托责任与监督责任的关系监督责任是伴随着受托责任关系的建立而产生的。产权管理和经营权管理分别委托给董事会和经理层，同时必须将对产权管理和经营权管理情况的监督权管理分别授予监事会和内部审计，形成内部激励机制和约束机制。在公司法人治理结构中，公司外部利益相关者，如政府、银行、税务和其他债权人等，将法律赋予的国民权委托给企业，同时通过国家审计履行职责或委托社会审计机构进行审计监督，来维护市场各主体公平利益。公司股东将产权委托给公司董事会管理、总经理经营，同时授权公司监事会对董事会和总经理进行监督。 在企业经营管理中，公司的规模化、复杂化和专业化，决定了企业组织要划分成若干管理层次和管理幅度，明确划分各组织成员的权责范围，形成完整的经营责任和权力。内部审计作为这个层面的授托责任的监督和评价，更有利于发挥内部审计工作的特长。内部审计的重点应放在防范企业经营风险、提高企业管理水平上， 其目的是通过对本企业内部控制系统、经营管理各环节进行风险评估、测试，找出审计应予关注的关键点、薄弱点、失控点和风险点，有计划、有重点地对企业各个重要经营环节开展审计，更好地发挥审计监督、评价和防范风险的职能作用，提高企业的经营管理水平和经济效益。四、集团公司的公司治理与内部审计（一）集团公司公司治理的特点企业集团是指以资本为主要联结纽带关系，以母子公司为主体形式，以集团章程为共同行为规范，母公司、分公司、子公司、参股公司及其他成员企业或机构共同组成的具有一定规模的企业法人联合体。任何一个从事多元化经营、母子公司产权关系明确和采用了多分部制结构的企业可以被看成是一个集团公司，可以分为紧密型公司、半紧密型公司、松散型公司等。区别于一般的公司形式，集团化企业在具体治理模式上有其特殊性。1、紧密型公司，是指全部资产来源于母公司，母公司对其经营活动有绝对控制和支配权，但不具有独立法人资格，如分公司。2、半紧密型公司，是指大部分资产来源于母公司，母公司对其经营活动有控制和支配权，并具有独立法人资格，如控股公司。3、松散型公司，是指只有部分资产来源于母公司，母公司对其经营活动没有控制和支配权，具有独立法人资格，如参股公司。（二）集团公司内部审计模式国家电网公司是集团化管理的公司。省级电网企业是整个电网集团的管理中心、业务中心、利润中心，其内部审计架构的科学性、合理性及先进性程度决定了全网内部审计的作用能否得到充分发挥。因此，笔者主要以省级电网企业为例，根据其具体的公司治理模式，对内部审计架构进行设计。目前，在公司治理方面，省级电网企业的管理链条覆盖省公司本部、直管单位、合资公司三个层面，在此基础上，按照现代企业制度“有限责任、有人负责、有效制衡”的要求，建立起了规范的决策、执行、监督三权分立式的内部法人治理结构。外部治理机制则涵盖了以电监会、国资委联合监管为主体的监管体系，以及完善的资本市场、电力营销市场、管理资源市场。1、总分公司宜采取“集约式”审计管理模式根据总分公司经营管理的特殊性，应加强对分公司扁平化管理和监督，因此，内部审计应建立“机构独立设置，行政双重领导、资源统一调配、业务垂直管理、审计成果共享”的管理模式。审计机构管理要体现“机构独立、业务垂直”原则，目标是要保证“上审下”的力度。从经验来看，只有保证“上审下”的力度，才能保证授权责任的充分履行到位和审计作用的充分发挥。公司系统内部审计组织体系分为公司审计部、基层单位审计部二级管理层次。审计人员管理要体现“属地管理、统一调配”原则，要达到的目标是控制“入口”和加强培训，确保审计工作质量和审计队伍稳定。各单位审计人员实行属地化管理，其行政领导关系、人事关系、党团关系、工会关系、后续教育等都在所在单位，审计人员的工资、奖金、劳保、生活后勤及福利待遇由所在单位负责解决，与所在单位同职级人员享受同等待遇。公司系统的审计资源实行统一调配。公司审计部根据工作需要，可以调配基层单位审计人员参与公司组织的审计项目，各单位无特殊情况，要服从公司统一调配。审计业务管理要体现“双重领导、信息共享”原则，目的是要调动两个积极性和两个效果。双重领导，能够充分调动各层面的工作积极性，各单位审计部要接受公司的任务，也要接受本单位领导安排的审计任务。信息共享，能够有效地利用基层单位、社会审计资源，节约成本，减少重复劳动，提高工作效率。2、总控公司宜采取“渗透式”审计管理模式虽然总公司对控股公司具有绝对的支配权，但是，控股公司拥有完善的公司治理结构，因此对控股公司来讲，总公司的内部审计是外部治理结构，控股公司的内部审计才是内部治理结构，总公司内部审计部门若直接对控股企业开展审计工作，显然不符合公司法。外部治理结构的审计模式不能直接替代内部治理结构的内部审计模式。所以，根据总控公司经营管理的特点，总控公司的审计关系必须依托控股公司董事会和监事会，规范审计授权程序。总公司审计部门可以通过以下两种方式，渗透到控股公司董事会和监事会，加强对控股公司的审计监督。第一种模式，是由董事会或监事会聘请总公司内部审计人员，授权其开展对控股公司内部审计工作，向控股公司董事会或监事会报告工作。因为行业管理的特点，总公司的审计人员对控股公司经营管理要求相对比较了解，委托他们审计，能符合总公司的战略意图和经营策略。所以，虽然董事会和监事会也可以请中介机构进行审计，但一般情况下，董事会或监事会还是愿意请总公司内部审计人员进行审计。第二种模式，是将总公司内部审计负责人推荐为控股公司监事会主席，让总公司内部审计人员以监事会的名义开展对控股企业的审计监督，贯彻母公司内部审计战略目标和战略思想，指导控股公司建立和完善内部审计制度，有效开展审计工作。与上述治理模式相适应，省级电网企业应着力建设以审计派驻制为核心，以全面风险管理为导向，辅以控股企业监事会治理下的内部审计体系，以制度完善、机构健全、资源配套、集约高效为特征，各层面审计力量分工明确、协调运作的国际化、标准化、数字化审计网络，并使整个审计体系具备公开性、自治性、普遍性、层次性、确定性、可诉性、合理性、权威性。IT治理最重要就是保证技术与业务有效结合最近，由于萨班斯法案的出台，给企业的IT服务管理带来了新的挑战。由于面临着萨班斯法案的要求，企业不得不通过一系列的IT治理行为来加强对企业管理的控制。由于现代企业管理对IT的依赖性越来越强，对IT服务管理的控制再一次被提高到了史无前例的高度。根据IDC的预测，今后4年内，IT治理的市场规模每年将会增长15%。另有Forrester 2005年的研究报告显示，尽管去年绝大多数企业已经或多或少地建立了自己的IT管理和治理架构，但是大多数公司在这方面做得还远远不够。 IT治理是一个由各种关系和流程构成的体制，可以指导和控制企业，通过合理利用IT技术，平衡IT技术与流程的风险、增加价值来确保实现企业的目标。“回归业务本身，让IT真正满足业务需求。”Gartner认为这是人们考虑IT治理的原因。过去人们主要关心IT技术，随着IT技术应用的普及，人们逐步认识到业务才是根本。而IT治理的实现，可以使企业达到以下目的。首先，也是最重要的一点，可以保证IT技术与业务的有效结合，帮助企业在IT现状和业务需求之间达成一致。 其次，保证IT项目可控和可见。比如，公司有200名开发人员，良好的IT治理机制有助于我们了解每个开发人员的进度如何，他们都在做什么，项目的完成情况如何等。 第三，确保遵循相关的法律、法规。经济全球化以后，跨国企业的经营也是全球性的，再加上各国都有不同的法律和法规。而IT治理在这方面可以起到很大作用。 Gartner将IT治理的作用归纳为可见、可重复、可预测这三个由低到高目标。他认为，一个IT治理良好的公司，其内部的行为和流程一定都是透明可见的； 其次，是可重复的，如果这一次项目成功，下一次就还能成功； 最后，IT项目的进行还是可预测的，也就是其风险是可控的。反之，如果IT治理做得不够，IT项目的风险就会很大，会降低企业的竞争力，另外法规遵从，例如SOX的遵从也会成为问题。 提到IT治理，人们很容易联想到一个概念，就是ITIL（IT Infrastructure Library）。这两者之间既有联系也有区别。相同的地方就是，都强调IT部门与业务的沟通，最后达成一致。但ITIL更关注流程，即如何建立规范的流程，来帮助IT部门为业务部门做好服务工作，它重点在运营层面。而IT治理比ITIL的内容要宽泛，它重点是项目决策，即是否进行某项IT项目，如何为它分配资源等。 以ITIL为核心思想的IT服务管理框架与IT治理的模型COBIT形成了紧密的结合，COBIT从战略的高度对ITIL加以补充和衡量。事实上，现代的各种管理理论都在从不同角度向着同样的方向在发展和演化，就好象CMM发展成为CMMI以后，你会发现该体系已经从过去的单纯关注研发面，转向不但关注研发，也关注研发后时代的问题，所以你可以在CMMI中发现配置和变更管理的身影。ITIL和COBIT也一样，你也一样可以在COBIT中发现其控制指标中有许多ITIL中提及的内容。COBIT更加关注战略管理层面的问题，该部分占到了相当的比例，但是这并不能说明ITIL就不关注战略层面的问题。之所以国内很多人形成了这样的印象，更多的是因为我们在引进和使用ITIL这套框架的时候，没有完全理解和体会其方法。同样的，我们也不能说COBIT的实际操作意义不如ITIL，如果一定要对他们之间的关系做一个定位，那还不如说一个是用于对IT工作的指导，一个是用于对IT工作的控制和衡量来得更贴切一些。具体请参见下图：那么，对于这么一套被全球的CIO视为管理宝典的理论，是如何执行实际操作的呢？当我们从理论层面转向实际的内部工作风险控制的时候，我们将会从财务控制、人员控制、服务质量控制和客户满意控制四个方面，对企业的IT风险进行评估和防范。就IT的管理领域而言，我们更多强调的是IT系统所录入、处理、产生和使用信息的可用性、完整性和安全性，以此来提高企业风险控制和抵御方面的能力。例如对于不同人员岗位之间的互相监督与控制的设计；系统交易量所反映出来的规则与多系统交易是否匹配，以及账户变更数量趋势的监控等，来完成对于内部运行所反映出来的风险进行管理和控制。HP将上面所描述的IT治理模型定义为面向共享服务中心的治理模型。这个模型结合了HP多年对于ITSM和共享服务中心的实践和优化，同时参考了HP在IT治理方面的先进经验，为我们的客户提供了一个可以参考的范本。建立CIO制度保障高效IT治理机制在信息化、全球化的时代背景下，建立CIO制度不仅是必要的，也是必须和迫切的。但很多企业信息管理人员的职权远远无法支撑他们的责任，对企业信息系统的设计与管理缺陷只能看在眼里、痛在心上，而无力改变。为什么会出现这个问题？根源在于尚未建立完善的CIO制度；CIO的职位、职能没有清晰的界定；有关政府部门对CIO体系的建立还不够重视；CIO工作缺乏规范；CIO人才的培养也缺乏专业机构以及规范化的培养体系和教材。近来，CIO的角色和领导力问题得到了前所未有的重视和思考。笔者认为，CIO不仅仅是一个职位、一个人，而是一套机制和制度安排，其核心目标是在组织形成有效的IT治理机制。为什么对CIO有这样的重视和思考呢？建造一个信息系统容易，让这个系统高效地运转则很难。决定信息系统是否有效运转的因素不仅是信息技术，而是制度、组织结构、规则与标准，最终是人。因此，在这些因素之上，需要合理有效的制度安排。由此，善治的治理是信息化建设成功的必要条件。善治的IT治理可以让信息化的建设达到以下六个效果：合法性。合法性越好，善治的程度越高。取得合法性的重要途径是尽可能增加各利益相关者的共识和认同感。善治要求信息化有关的管理机关和管理者，最大限度地协调各利益相关者之间的利益矛盾，以便实现信息化的公共利益最大化目标。透明性。指信息的公开，只有信息的公开，各利益相关者才能够有效参与到信息化建设中来，并对此进行有效的监督。透明的程度越高，善治的程度也越高。这已成各国政府和监管机构要求的发展趋势，如“信息公开法”、新的“公司法”和“证券法”以及上交所和深交所新近出台的一系列规章条例。责任性。指的是人们应当对自己的行为负责。在信息化建设过程中，要明确各环节管理者的责任，运用法律和道德增加管理结构及管理人员的责任性。信息化建设的特点是高投入、高风险，没有明确的责任，没有严厉的责任追究，会进一步加大信息化投资风险。 如美国的萨班斯法案302条款所强化的领导问则机制。 制度化。指在信息化建设过程中，任何人都必须严格依照制度办事，避免出现以人为上的建设随意性。没有制度规范的行为结果将是混乱的、没有效率的。如中国网通集团企业信息化管理控制体系。响应。信息化管理机构必须对各利益相关者的要求做出及时、负责任的响应，征询意见、解释政策或回答问题。响应速度越快、越负责，善治的程度越高。有效。善治的IT治理，可以优化管理机构，有效地降低信息化的成本，提高管理的效率和效果。善治的程度越高，信息化建设效率越高。总之，善治的IT治理是信息化各利益相关者之间良好合作的过程。我国的信息化建设正向纵深发展，必然要在更深层面上解决体制和机制问题。善治的IT治理，应该极小化由于信息化和透明化所导致的不一致利益冲突，而造成的制度面成本。IT治理不仅仅是动态的管理过程，还需要落实在组织内部控制及政府与市场监督体系的动态机制上。中国式内部控制的改进 一说到内部控制，人们似乎不约而同地想起美国2002年出台的萨班斯-奥克斯利法案。其实，内部控制建设不惟美国独然，而是现代企业治理的永恒主题。由于我国企业近年来发生一系列经营失败或舞弊事件，客观上提出了内部控制建设的基本诉求。可以说，全面构建设计合理、执行有效的中国内部控制体系，既是企业精细化管理的需要，也是企业应对经营风险的需要，更是企业提升核心竞争力的需要。悠悠万事，惟此为大。检视我国内部控制的政策、理论与实务的发展史，用“木桶理论”解释，存在明显的短板；用“链条定律”解释，存在明显的弱环。事实上，短板决定了木桶的盛水量，而弱环决定了整个链条的强度。那么，中国式内部控制呈现哪些缺失呢？(1)被动的。传统国有企业的粗放经营以及民营企业的人治色彩无法内生为控制的理念，而中庸思想深厚的东方文化也很难发育出要素完备、功能齐全、目标明确的内部控制体系。因此，中国式内部控制的需求往往源于外部的压力，包括融入国际市场的渴望以及建立国际一流企业的梦想，这种渴望和梦想促使中国企业不得不按照西方的框架建立相应的内部控制。(2)拿来的。无论是证监会对证券公司内部控制的要求和上交所制定的上市公司内部控制指引，还是中国人民银行对商业银行内部控制的规定，莫不以美国的控制要素为模板。然而，作为美国企业内部控制圣经的COSO报告能否适应中国所有制形式混杂、规模不一、管理者素质参差不齐的现实，并未经过大量的实践检验。 (3)政府主导的。政府部门对内部控制的关注最早集中在容易发生舞弊风险的金融领域，特别是商业银行、证券公司等金融风险多发地带，随后以点带面、单兵突进。然而，上热下冷，一般企业构建整体内部控制的自发性明显不足。(4)文本的。固有的思维中，内部控制就是企业的规章制度，就是基于财务核算的会计控制，从而落入了“只见树木，不见森林”的误区。企业往往注重规章制度的建立而忽视控制环境、信息与沟通等要素的价值，重要的风险评估流于官场形式。 (5) 多头的。不同的政府部门出台不同的内部控制原则、指引或规范，有关内部控制的定义、范围、要素、目标等互有差异，令企业无所适从；标准不一，要求不一的现况，既增大了研究制定成本，也增大了内部控制的统一与协调成本；缺少的强有力的推进机构，难以有效地督导企业内部控制的设计与执行。 中国式内部控制生长于这样的土壤：产权不清、企业治理结构不完善、董事会丧失监督作用、内部人控制现象严重、组织机构重叠、上下级信息沟通不畅因此，全面改进内部控制的生态需要从下列要点切入： (1)塑造认真执行的控制文化。无论是多么完善的控制制度、程序或方法，如果没有诚实守信、勤勉尽责的文化氛围，没有不折不扣、一以贯之的有效执行，终将是没有任何意义的空头文件。然而，实践中司空见惯的是，管理层凌驾于内部控制之上的文化盛行，得过且过、敷衍塞责的控制文化盛行，口惠而实不至的控制文化盛行。因此，只有下大力气服用认真执行的药剂，中国式内部控制的病体才有痊愈的可能。(2)研究制定中国内部控制整体框架。统一我国学术界、实务界对内部控制的不同声音，形成对内部控制的定义、目标及要素的一致性认识，使内部控制整体框架成为企业内部控制的“基本法”。这一整体框架的权威性、普适性如何，直接决定了我国内部控制建设的发展前景。(3)中国式内部控制体系应涵盖企业经营活动的所有业务循环，主要包括：销货及收款循环；采购及付款循环；生产循环；固定资产管理循环；货币资金循环；融资与担保循环；投资循环；研发循环；人事管理循环等。最终达至“没有人不被控制，没有业务不被控制”的全控制模式。(4)内部控制鉴证能否普遍实施决定了内部控制执行的效果。一旦内部控制鉴证如同财务报表审计一样，将所有企业都纳入强制性要求的范畴，使注册会计师在鉴证财务信息结果的同时，鉴证财务信息生成的过程，内部控制体系的构建才算初见成效。(5)国有企业的业绩考核和评价，不应单纯依靠财务指标，而应当与企业内部控制设计的合理性以及执行的有效性紧密相连，与企业管理层的控制意识、控制态度紧密相连，与全员、全业务的控制强度、控制效果紧密相连。中国式内部控制需要的是：针对单一企业的、具有个性化的控制；既有形式上的规范性、又具备实质效率与效果的控制；既注重过去与现在、又注重对未来不确定因素的控制；既包括企业内部各层次、各业务循环、各系统的控制，又包括治理结构、文化诉求、目标导向的控制。惟有如此，短板才能被加长，弱环才能被强化，中国式内部控制之殇才能得以终结！公司治理、企业治理、IT治理的比较公司治理企业治理IT治理主要发起人OECD(经济合作发展组织)无ISACA(信息系统控制与审计协会)关注者 董事会 执行层 股东 董事会 执行层 执行层 董事会 执行层 执行层核心原则 股东的权利 独立性 责任与信息披露 董事会的角色与责任 战略指导 责任与信息披露 组织的权利与业务 整合 与公司战略相一致 提供IT价值 风险管理内容 确保帐目和财务信息的完整性 包括独立审计 适当的控制：- 财务控制- 监控风险- 符合法律法规 确保财务信息和非财务信息的完整性 包括独立审计 适当的控制： - 财务控制- 监控风险- 法律法规符合- 操作- 内外部的通讯- 战略规划与整合 确保信息系统的完整性 包括独立审计 适当的控制：- 财务控制- 监控风险- 符合法律法规- 记录的管理驱动因素 组织的复杂性 全球化 快速发展的技术 需要快速对市场做判断 主动性管理 股东的要求 扩大市场份额 增强竞争力 公司丑闻公司治理的因素，加上： 更加关注责任 进行流程管理的需要 沟通的需要 集中在组织的资产、价值及利润上公司治理与企业治理的因素，加上： IT职责的扩展- 公司/企业治理支持- 主动战略- 知识管理- 机密/安全/持续- 技术方案的增值关键元素 大多数能独立指导的专家 使用国际财务标准 独立审计 对信息的快速响应 流程管理- 战略规划和整合- 全面的控制架构- 清晰而可管理的操作- 金融管理 IT战略规划 IT控制架构 IT项目管理 IT资产管理 主动性管理 IT策略/标准/流程- 组织- 业务单元- 信息服务IT治理：中国信息化的必由之道引言 信息化已经成为中国经济与社会发展最重要的推动力，大力推动全社会的信息化，以信息化带动工业化，这一战略已经取得了可喜的成果。当前，在加入WTO后的中国经济环境中，信息的重要性已被广为认同，信息系统也已逐步渗透到商业和政府组织中，IT系统开始从传统的后台支持转变为新业务开展的直接驱动力，IT也日益成为企业的直接利润中心。各种组织对信息系统的依赖程度在