IT治理与内控(10.28)

1、耿峰 中集青岛冷藏产业基地 2011年10月 ITIT治理与企业内控治理与企业内控 2 中集集团简介中集集团简介 中国国际海运集装箱（集团）股份有限公司（简称：中集 集团），是一家为全球市场提供物流装备和能源装备的企 业集团，主要经营集装箱、道路运输车辆、能源和化工装 备、海洋工程、机场设备等装备的制造和服务。目前，中 集集团总资产541.31亿、净资产162.19亿元，2010年销售 额517.68亿元，净利润36.75亿元。在中国以及北美、欧洲 、亚洲、澳洲等国家和地区拥有150余家全资及控股子公 司，员工超过6.3万人，初步形成跨国公司运营格局。 中集集团于1980年1月创立于深圳，19

2、94年在深圳证券交 易所上市，目前主要股东为中远集团和招商局集团,是国有 控股的公众上市公司。经过二十多年的发展，中集集团已 经成为根植于中国本土、在全球多个行业具有领先地位的 企业。 3 中集集团荣誉中集集团荣誉 2007年9月“CIMC中集”牌集装箱被国家质量监督检验检 疫总局评选为“中国世界名牌”产品称号，“中集”商标 被国家工商总局正式认定为中国驰名商标 2008年，中集集团被列为“2008最具全球竞争力中国公司 ”第49位， “中国国有上市企业社会责任榜”第39位， 中国500最具价值品牌第40位； 2007年9月“CIMC中集”牌集装箱被国家质量监督检验检 疫总局评选为“中国世界名

3、牌”产品称号（到目前为止， 全国仅10家）。 2009年，中集被列为福布斯“全球2000领先企业”第 1397位。 2010年，财富中文版发布2010中国500强企业中集居 128位。 4 集装箱集装箱 自1996年连续14年产销量位居全球第一，市场占有率超过50%； 2007年成为全球集装箱行业首家年产量突破200万TEU的企业； 对所有的集装箱产品拥有自主知识产权； 国际标准的参与者，中国标准的领导者； 全球首创安全、智能、环保、节能（轻量型）集装箱，带动传统产业升级； 用集装箱化理念为房屋建筑工业化提供解决方案：房屋箱、集装箱酒店。 5 可为客户提供11大系列、1000多个品种的产品线；

4、包括集装箱骨架车、平板车、栏板车、罐 式车、自卸车、冷藏保温车、普通厢式车、侧帘车、搅拌车、泵车、轿运车、消防车、垃圾处 理车等。年产能力超过20万台，位居世界领导地位。本集团目前已经建立起辐射北美、泰国 及中国华中、华东、华南、华北、西北、东北等区域的22个生产基地和24个销售服务公司， 还有超过400家的服务站，形成中美互动、中欧互动，分布合理、互为支持的产业格局，产品 畅销美国和日本等主流市场。2010年，中集车辆重卡项目正式进入量产阶段。 道路运输车辆道路运输车辆 6 产品覆盖北美、欧洲、亚洲、大洋洲等全球主流市场的主流产品； 集成世界最先进的技术理念，拥有全球一流的轻量化、安全、环保

5、设计水平； 成为中国领先的专用能源装备制造商及集成业务解决方案服务商。 能源、化工、食品装备能源、化工、食品装备 7 本集团目前建造基地分布于山东烟台、海阳、龙口。2010年1月，本公司实现了对烟台莱佛士造船有限公司的 控股。烟台莱佛士造船有限公司于1994年在新加坡设立，主要业务是为离岸石油和天然气市场建造各种船舶， 在建造各种海洋和离岸项目方面拥有丰富的专业识知和建造经验。主要产品包括自升式钻井平台、半潜式钻井 平台、起重船、铺管船、浮式生产储油卸油船（FPSO）、浮式储油船（FSO）、海上供应船、海上钢结构、 全回转拖轮、豪华游艇等。2010年组建了上海中集海工研究中心，设立了烟台海洋工

6、程研究院，国家能源海洋 石油钻井平台研发中心落户中集，提升了本集团在高端制造方面的研发和设计能力，成为国家海洋工程产业的 重要成员。 2012年建设成全球海洋工程行业领导者，预计实现销售收入300亿元，利税将超过40亿元。 海洋工程海洋工程 8 登机桥2005/2006年订单量世界第一，全球市场占有率35%，国内市场占有率90%； 销往20多个国家的100多个机场，国外包括法国戴高乐机场、荷兰斯基辅机场以及美国、澳大利亚、加 拿大等国家机场，国内包括首都机场（约200部）、上海虹桥和浦东机场（超过120部）等； 专利数量位居行业世界第一，其中接驳全球最大客机A380上层机门的4轮独立驱动登机桥

7、，拥有全球最 先进的技术以及多项发明专利； 航空货物处理系统在全球的市场位居第三； 2001年开始研制登船设备，成为我国唯一的登船桥专业生产厂家； 空港设备空港设备 9 中集集团全球布局中集集团全球布局 10 中集青岛冷藏产业基地简介中集青岛冷藏产业基地简介 青岛中集冷藏箱制造有限公司、青岛中集特种冷藏设备有限公司、青岛中集冷 藏运输设备有限公司，是中国国际海运集装箱（集团）股份有限公司的子公司 。三公司坐落于华北地区一个美丽的城市青岛，主要经营ISO标准冷藏箱和 非ISO特种冷藏设备以及冷藏/保温/干货半挂车、冷藏/保温/干货厢式车。 青岛中集冷箱成立于1999年，总投资额45004500万

8、美元万美元。自公司成立以来，公司不 断发展，产量稳定增长，目前，已成为世界最大的ISO冷藏设备供应商。 随着国际贸易的蓬勃发展，以及运输过程中对特殊冷藏设备需求的多样化， 2004年6月，投资28752875万美元，万美元，成立了青岛特种冷藏设备有限公司，能生产不 同尺寸（从8到53）、100多种规格的各种冷藏保温设备。成为世界集装箱 行业最大的研发、标特箱（钢箱和铝箱）制造基地。 青岛中集冷藏运输设备有限公司于2008年12月正式投产成立，第一期投资计划 下年生产能力达5000辆冷藏/保温/干货半挂车或厢式车。总占地面积约 270,000平方米，工业厂房59,000平方米。公司拥有世界最先进

9、的德国的 Krauss-Maffei公司的压板机制造机、数控冲床和铝地板自动焊机等国际一流 的生产设备和各种检测仪器，拥有一支由各类技术专家、高级工程师及专业技 术人员组成的优秀设计和制造团队，采用美洲及欧洲冷藏半挂车核心技术，专 业研发生产冷藏/保温/干货半挂车、冷藏/保温/干货厢式车四大系列，可为用 户提供20多个不同车型的选择空间。 三公司占地约70W平方米，拥有员工3000余人，2010年营业额超35亿人民币左 右。 信息化建设历程信息化建设历程 我们的荣誉我们的荣誉 Sarbanes-Oxley Act, 简称SOX 法案 SOX 美国国会 发布单位： 2002年开始，SOX 法案不

10、仅适用美国的所有在市场上进行公开交易的公司，还适用于在美国证券交易所登 记的非美国公司。也就是说，凡在美国上市的公司都要受此法案约束。 执行范围及时间： 该法案要求组织机构使用文档化的财务政策和流程来改善可审计性，并更快地拿出财务报告。SOX要求企 业针对产生财务交易的所有作业流程，都做到能见度/透明度、控制、通讯、风险管理和诈欺防治，且这些 流程必须详加记录到可追查交易源头的地步。 主要内容有（1）成立独立的上市公司会计监管委员会；（2）要求加强审计师的独立性；（3）要求加大公 司的财务报告责任；（4）要求强化财务披露义务；（5）加重对违法行为的处罚措施；（5）增加经费拨款， 强化美国证券管

11、理委员会的监管职能；（6）要求美国审计总署加强调查研究法案等 SOX 概述 提高上市公司的治理水平，恢复投资者的信心，保护投资者的利益以及使上市公司的公开报告更 透明 目标及方向： 2002年，美国爆发了一系列的财务和管理丑闻，如安然和世通事件，这些丑闻严重破 坏了美国金融证券制度，彻底打击了投资者对美国资本市场的信心。为了扭转这一局 面，美国国会通过了2002年公众公司会计改革和投资者保护法案。该法案由美国 参议院银行委员会主席萨班斯和众议院金融服务委员会主席奥克斯利联合提出，又被 称作2002年萨班斯奥克斯利法案(SarbanesOxley Act 2002，以下简称 “SOX法案”)。2

12、002年7月，美国总统布什将此法案签署为法律。 SOX法案共分11章 第1至第6章主要涉及对会计职业及公司行为的监管, 包括:建立一个独立的公众公司会计监管委员会(Public Company Accounting Oversight Board, PCAOB),对上市公司审计进行监管;通过负责合伙人轮换制度以 及咨询与审计服务不兼容等提高审计的独立性;对公司高管人员的行为进行限定以 及改善公司治理结构等,以增进公司的报告责任;加强财务报告的披露;通过增加拨 款和雇员等来提高SEC的执法能力. 第8至第11章主要是提高对公司高管及白领犯罪的刑事责任, 比如,针对安达信销毁安然审计档案事件,专门

13、制订相关法律,规定了销毁审计档案 最高可判10年监禁,在联邦调查及破产事件中销毁档案最高可判20年监禁;为强化 公司高管层对财务报告的责任,要求公司高管对财务报告的真实性宣誓,并就提供不 实财务报告分别设定了10年或20年的刑事责任. SOX法案第404条款的合规性实践，展示了改善IT治理和 判断IT治理成效的一种有效方法。虽然SOX法案第404条 款合规性的要求有其特有的局限性，因为其主要关注的是 和财务报告相关的信息系统，但是由此产生的方法论和合 规性实践，对IT治理的理论发展和实践很有借鉴意义 SOX法案促进IT治理的完善 ITIT治理治理 ITIT治理治理 16 IT治理是IT机构为制

14、定机构战略并监督战略执行情况所实施的正式流程，其目的是要实 现企业的目标。 决策权框架与机制 远景、目标/优先级、衡量标准； 价值主张与服务组合；资源方法与 承诺；变更管理计划 根据企业战略调整战术/运营计划/ 使之与企业战略同步； 全面监视和控制；责任明晰； 遵守规章制度 根据企业战略进行调整/ 与之同步，企业战略中 还包括其他关键资产战略 ITIT治理治理 1 1、ITIT治理定义治理定义 ： IT对企业至关重要 IT对企业具有战略性意义 期望与现实存在差距 IT没有得到应有的重视 IT涉及巨大的投资与大风险 企业对信息安全的责任 监管的需求 p 目前，较为成熟的目前，较为成熟的IT治理标

15、准和模型有治理标准和模型有6种种: CMM( Capability Maturity Mode1,能力成熟度模型) ITIL( Information Technology Infrastructure Library，IT基础架构库) ISOIEC17799(International Electrotechnical Commission1799 ，信息安全管理的国际标准) COBIT( Control Objectives for Information and related Technology ，信息及相关技术控制目标) PRINCE2(Projects IN Controlled

16、 Environments，受控环境下的项 目) CISR( Center for Information Systems Research，信息系统研究中 心)等 p 三种较为流行的三种较为流行的IT治理评价方法：治理评价方法： CobIT成熟度模型、成熟度模型、PW方法方法 、 CBSO法法 表1对这几种模型进行对比分析 ITIT治理是治理是ITIT的三大核心职能，可确保的三大核心职能，可确保ITIT顺利完成使命。顺利完成使命。 治理治理ITIT 制定政策和标准，制定战 略，明确合适的财务和人力资 源，确定IT运营模型，以使提 供IT服务并实现战略和运营目 标。 管理管理ITIT 监控服务

17、供求，提供满足 不同需求所要求的采购能力， 并确保实现运营和财务目标。 运行运行ITIT 根据“治理IT和管理IT” 制定的政策和限制条件，提供 IT服务，实现运营目标。 IT战略管理 IT运营管理 IT业务管理 运行IT 管理IT 治理IT IT运营模型 运营结果与能力 服务需求、供应商采购结果与业 绩目标 ITIT治理治理 服务履行与运营 结果 IT业绩 能力计 划结果 战略、策略、标准、投资 IT的业务价值 运营关注的领域转型 稳定稳定 经济经济可预可预 测测 架构架构 简化与标准化简化与标准化 目标目标 保持运行保持运行 高效高效 +优化优化 +虚拟与可管理虚拟与可管理 +服务质量服务

18、质量 适应适应 性性 + +灵活灵活 + +动态与同步动态与同步 + +获得价值的时间获得价值的时间 ITIT治理治理 ITIT治理的价值和内涵治理的价值和内涵 IT治理的实现过程治理的实现过程 建立建立IT治理的整体规划：治理的整体规划： n 1.战略层面：挖掘企业的信息资源、制定企业信息化战略、为企 业信息化合理布局、评估信息化对企业的价值等。IT治理的第一 步应该是信息资源规划而不是产品选型。 n 2.执行层面：负责信息流、物流、资金流的整合，完成信息系统 的选型实施，担当起电子商务管理，以及信息工程的监理工作。 n 3.变革层面：协助企业完成业务流程重组，运用信息管理技术重 建企业的决

19、策体系和执行体系，同时要对信息编码和商务流程统 一标准。 n 4.沟通层面：安排企业信息化方面的培训，发现IT运用的瓶颈， 研究企业运作中的信息流及其作用。 概括来说，概括来说，IT治理应以业务为中心，以技术为辅助。治理应以业务为中心，以技术为辅助。 IT治理的实现过程治理的实现过程 协同共治的协同共治的IT治理模型治理模型 伴随着现代管理与控制理论和实践的发展，IT治理逐渐从单边 治理走向共同治理，由此导致原有的IT治理结构面临重新的调整。 IT治理的实现过程治理的实现过程 IT治理应着眼于以下目标：治理应着眼于以下目标： 1、与业务目标一致与业务目标一致 原则：服从于企业战略，不能背离原则

20、：服从于企业战略，不能背离 2 2、有效利用信息资源、有效利用信息资源 ITIT治理的使命：通过及时、有效的治理的使命：通过及时、有效的ITIT治理，促进信息的价值转化治理，促进信息的价值转化 3 3、风险管理：通过、风险管理：通过ITIT治理构建风险管理制度及风险应对决策；治理构建风险管理制度及风险应对决策； u 使风险透明化；使风险透明化； u 有效的风险投资、管理和控制；有效的风险投资、管理和控制； u 风险的防范措施。风险的防范措施。 4 4、ITIT治理实现：治理实现： 平衡信息技术与过程的风险，确保组织目标的实现平衡信息技术与过程的风险，确保组织目标的实现 IT治理的实现过程治理的

21、实现过程 IT治理实现总体流程如下：治理实现总体流程如下： 9 9、挑战策略、挑战策略 - A- A公司的公司的ITIT治理治理“生态系统生态系统” 业务流程 治理 组织 人员 运营 ITIT治理治理 降低产品复杂性 减少流程复杂性 平衡“一流技术”与 灵活性的影响 设立公司IT治理机 制，并与业务部门 治理相关联 制定公司指导方针 全新融资模型 战略采购模型准备就绪 服务级别协议准备就绪 性能指标评测/衡量标准 提高可变能力及其成本 充分利用公司的人力资源 联合式与分离式模型 充分利用规模经济 整合、标准化、共享 增加可变IT成本的比例， 提高IT能力 技术组合 中国的中国的SOX（C-SO

22、X） 内部控制基本规范 C-SOX 财政部、证监会、审计署、银监会、保监会联合发布 发布单位： 自2009年7月1日起先在上市公司范围内施行，鼓励非上市的其他大中型企业执行 执行范围及时间： 根据这一基本规范，执行基本规范的上市公司，应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，并 可聘请具有证券、期货业务资格的中介机构对内部控制的有效性进行审计。基本标准的目的是加强对上市公司的管理，其内 容主要参照美国萨班斯（Sarbanes - Oxley）法案，也称C-SOX C-SOX 概述 大多数中国企业对IT治理中的架构、流程、标准及需求并不熟悉 中国本土缺乏相关的咨询经验 许多

23、审计人员对IT审计并不十分熟悉 没有规定具体处罚内容，很可能造成有法不依，违法不究，执法不严的情况 财务部门、审计部门与IT部门的整合 C-SOX所面临的挑战： 内控内控 30 内控究竟是什么？ 企业内部控制基本规范企业内部控制基本规范有关内控的定义有关内控的定义： 内部控制是由企业董事会董事会、证监会证监会、经理层经理层和全全 体员工体员工实施的、旨在实现控制目标的过程。内部 控制的目标是合理保证合理保证企业： 经营管理合法合规； 资产安全； 财务报告及相关信息真实完整； 提高经营效率和效果； 促进企业实现发展战略。 31 内控的概念 以往有关内控的一些观点：以往有关内控的一些观点： 静态的

24、结构（认为内控可以一成不变、内控建 完可以一劳永逸） ； 某一层次人员的任务（例如：高级管理层）； 某一部门的任务（例如：财务、内部审计）； 某一实体的任务（例如：总部、集团公司）。 32 内控五要素的解读内部环境 内部环境内部环境反映了董事会、 管理层及其他人员对企 业内部控制的重要性的 整体看法、认识和行动。 内部环境内部环境是企业实施内 部控制的基础，一般包 括治理结构、机构设置 与权责分配、内部审计、 人力资源政策、企业文 化等。 内内 部部 监监 督督 信信 息息 与与 沟沟 通通 控控 制制 活活 动动 风风 险险 评评 估估 内内 部部 环环 境境 企业战略企业战略 经营效益和效

25、果经营效益和效果 财务报告及相关财务报告及相关 信息真实完整信息真实完整 资产的安全资产的安全 经营管理合法经营管理合法 合规合规 董董 事事 会会 监监 事事 会会 经经 理理 层层 全体人员全体人员 33 内内 部部 监监 督督 信信 息息 与与 沟沟 通通 控控 制制 活活 动动 风风 险险 评评 估估 内内 部部 环环 境境 企业战略企业战略 经营效益和效果经营效益和效果 财务报告及相关财务报告及相关 信息真实完整信息真实完整 资产的安全资产的安全 经营管理合法经营管理合法 合规合规 董董 事事 会会 监监 事事 会会 经经 理理 层层 全体人员全体人员 风险评估风险评估是企业及时识

26、别、系统分析经营活动 中与实现内部控制目标 相关的风险，合理确定 风险应对策略。 34 内控五要素的解读控制活动 内内 部部 监监 督督 信信 息息 与与 沟沟 通通 控控 制制 活活 动动 风风 险险 评评 估估 内内 部部 环环 境境 企业战略企业战略 经营效益和效果经营效益和效果 财务报告及相关财务报告及相关 信息真实完整信息真实完整 资产的安全资产的安全 经营管理合法经营管理合法 合规合规 董董 事事 会会 监监 事事 会会 经经 理理 层层 全体人员全体人员 控制活动控制活动是企业根据风 险评估结果，采用相应 的控制措施，将风险控 制在可承受度之内。 35 内控五要素的解读信息与沟通

27、 内内 部部 监监 信信 息与息与 沟沟 通通 控控 制制 活活 动动 风风 险险 估估 内内 部部 环环 境境 企业战略企业战略 经营效益和效果经营效益和效果 财务报告及相关财务报告及相关 信息完整信息完整 资产的安全资产的安全 经营管理合法经营管理合法 合规合规 董董 事事 会会 监监 事事 会会 经经 理理 层层 全体人员全体人员 信息与沟通信息与沟通是企业及时、 准确地收集、传递与内 部控制相关的信息，确 保信息在企业内部、企 业与外部之间进行有效 沟通。 36 内控五要素的解读内部监督 内内 部部 监监 督督 信信 息息 与与 沟沟 通通 控控 制制 活活 动动 风风 险险 评评 估

28、估 内内 部部 环环 境境 企业战略企业战略 经营效益和效果经营效益和效果 财务报告及相关财务报告及相关 信息真实完整信息真实完整 资产的安全资产的安全 营营管理合法合管理合法合 规规 董董 事事 会会 监监 事事 会会 经经 理理 层层 全体人员全体人员 内部监督内部监督是企业对内部 控制建立与实施情况进 行监督检查，评价内部 控制的有效性，发现内 部控制缺陷，应当及时 加以改进。 37 内控规范中重点条款的解读 38 应关注的风险： 治理结构形同虚设 缺乏科学决策 缺乏良性运行机制和执行力 内部机构设计不科学 权责分配不合理 机构重叠 职能交叉或缺失 运行效率低下 模块1：组织架构 39

29、应关注的风险： 缺乏明确的发展战略 战略实施不到位 发展战略过于激进 发展战略频繁变动 资源浪费 模块2：发展战略 40 应关注的风险： 人力资源缺乏或过剩 结构不合理 激励约束制度不合理 关键岗位人员管理不 完善 人力资源退出机制不当 模块3：人力资源 41 应关注的风险： 发生安全事故 产品质量低劣 环境污染 员工权益保护不足 巨额赔偿或罚款 声誉受损 模块4：社会责任 42 应关注的风险： 员工丧失信心 企业缺乏凝聚力 缺少开拓创新、团队、协作 缺少风险意识 缺乏诚实守信的理念， 发生舞弊 忽视企业间文化差异 和理念冲突，导致并购 失败 模块5：企业文化 43 应关注的风险： 筹资决策不

30、当，导致 筹资成本过高或债务危 机 投资决策失误，导致 资金链断裂或资金使用 效率低下 资金调度不合理，导 致财务困境或资金冗余 资金管控不严，导致 资金挪用、侵占 模块6：资金活动 44 应关注的风险： 采购计划不合理，导致 库存积压或短缺 供应商选择不当、招 投标或定价方式不科学、 授权审批不规范，导致 采购质次价高，出现舞 弊或欺诈 采购验收不规范，付 款审核不严，可能导致 采购物资、资 金损失 或信用受损 模块7：采购业务 45 应关注的风险： 存货积压或短缺 固定资产更新改造不够、使用效能低下、维 护不当、产能 过剩 无形资产缺乏核心技术、权属不清、技术落 后、存在重大 技术安全隐患 模块8：资产管理 46 应关注的风险： 销售政策和策略不当，市场预测不准确，销 售渠道管理不当等，可能导致销售不畅、库存 积压、经营难以为继 销售款项不能收回或遭受欺诈 销售过程存在舞弊行为，可能导致企业利益 受损 模块9：销售业务 47 应关注的风险： 研究项目未经科学论证 或论证不充分，可能导致 创新不足或资源浪费 研发人员配备不合理或 研发过程管理不善，导致研发成本过高、舞弊或 研发失败 研究成果转化应用不足、保护措施不力，导致 企业利益受损 模块10：研究与开发 48 应关注的风险：