论文部分内容阅读
时间:2007年5月25日
地点:赛迪大厦18层会议室
形式:中计在线嘉宾现场对话
对话嘉宾:
王卫乡
中国中信集团公司管理信息部副主任
周梓滔
德勤华永会计师事务所有限公司企业风险管理服务高级经理
钱晨
科索路咨询公司副理
田海波
北京锐思盈泰科技有限公司董事副总经理
无内控等于慢性自杀
主持人:企业内部控制的目的是什么?有什么需求?
钱晨:企业内部控制的目的是在保证实现公司战略目标前提下,对存在的风险进行控制。无论董事会还是全体员工都要对企业披露的信息的可靠性负责,但最终责任会落在董事会上。
IT内审的引入是因为在给上市公司内控评估时,IT是其中的一个重要的组成部分和方法。
主持人:请德勤公司的周经理谈谈中国企业的内控跟国外企业的有什么差异?
周梓滔:主要是在理解法案、标准时可能会不一样,因为中国的国情和中国企业的管理方法跟国外企业不尽相同。比如说,国外企业可能会成立专门的审计委员会,但国内企业可能会把审计委员会放在某一个组织里面,如在财务部,这就造成了独立性的不同。
主持人:作为用户的代表,请王主任讲讲中信集团在内控方面是怎么考虑的?
王卫乡:目前中信集团有好几家上市公司,如刚上市的中信银行,中信证券、中信国安等。我们一直非常关注企业内控,其中包括IT内审和萨班斯法案。我们的审计部是唯一一个由集团公司董事长直接分管的部门。
实际上,从我们公司上一任董事长王军开始就一直特别强调内控。他曾指出:“没有发展的内控等于慢性自杀,没有内控的发展,发展越快损失越大”。中信集团自1979年成立到现在快30年了,一直都保持快速发展。在高速发展的20世纪90年代中期,我们深感管理手段和发展的速度不匹配,导致有些项目最后失去控制,并造成很大的损失。
现在我们已经采取了一些技术手段,并引进了一些软件来加强审计,如加拿大的ACL审计软件。我们的内部审计目前主要强调的内容包括:离任审计——像下属的子公司领导任期换届,中长期项目在项目实施过程中是否存在重大失误的专项审计,其他的,如下属的公司层面,因资产的分布不是很均衡,金融业务领域是由金融控股公司的风险管理部来主抓。
主持人:各位嘉宾能否总结一下信息技术对企业内部控制的价值是什么?
钱晨:IT是企业内控的一个重要内容和手段。现在多数企业都会用到IT系统,很多流程都嵌入到IT系统中,企业内部控制也应该对IT系统进行控制。同时,我们在进行内部控制的时候,也应该通过IT手段来辅助实现。
周梓滔:我们看到一个很重大的改变:以前内部控制都是通过手工来实现的,非常复杂;现在借助IT系统来实现内控,效率大大提高了。另外,对IT系统进行控制,可以优化系统,提高系统性能。
王卫乡:任何事情都有两面性,IT技术可以帮助我们进行内部审计、获取更加及时、有效的信息,但是如果不加强对IT本身的审计,可能会被人利用,拿这个工具去做不正当的事情。所以要从观念上重视IT内审。
田海波:从客户的反应上也可以看到IT内审的价值。我们之前是做电信行业的BOSS系统的,在跟客户接触过程中发现客户对IT内审的需求很大。因为客户觉得内控工作非常烦琐,希望能够借助有效的工具来帮助他们轻松实现。
主持人:那么,企业应该怎样进行IT内审呢?
周梓滔:如钱经理所言,IT审计有两个方面,一个是对IT进行审计,另外一个是利用IT技术来进行审计。首先要看IT有什么东西要做审计:现在很多ERP系统中已经就内部控制做了设置;另外可以利用DQI方法(利用数据库、程序去运行大量数据可以帮助企业分析发现业务上的问题,以供企业进行调整)。这是一个非常有效的审计方法。
对IT进行审计是指对整个IT环境各方面的审核工作,如信息安全、软件开发、系统维护等。
钱晨:也有说法认为IT控制有两个方面:一个是应用控制,即IT必须对业务流程进行某些控制;另一个是通常性控制,对于支撑公司运作的IT基础技术架构平台进行有效管理控制。
主持人:我听一个在香港上市的企业的CIO说,IT内审对他们来说就是会计师事务所给他们提供一个与IT相关的表格,他们只需按照这个表格的要求来执行就可以了。是这样的吗?
王卫乡:没有这么简单。这可能要牵扯到两个部门:一个是IT部门,一个是审计部门,实际上这是跨两个领域的事情。
周梓滔:我们给企业做IT内审的时候,要先了解被审企业的情况,了解他们的业务范围是什么,管理层对IT管控持什么样的看法,然后再按我们的方法论对风险较高的地方进行审计。
业务不同,IT审计的策略也就不同。比如一个企业拥有大型的数据中心,并依赖该数据中心为客户提供服务,那么该数据中心的物理环境安全就是非常重要的环节。但如果是一个销售企业,他们的IT系统会相对简单,数据中心的物理安全也会影响他们的财务数据,但要求就不那么高了。
IT内审谁在喝彩
主持人:去年大家都对IT内审比较关注,但是最近好像没什么大动静了。实际情况是这样吗?出现这种情况的原因又是什么呢?
周梓滔:我看到的情况有点不同。刚才王总说得很对,现在做IT审计的人并不多。企业如果成立专门的IT内审部门成本太高,所以往往会外包给一些第三方公司来做。
上交所、深交所要求他们的上市公司也要进行内控,其中IT内审是很重要的环节。有些母公司在国外的跨国企业在IT内审方面做得比较多,因为他们的网络、系统是全球化的,要符合母公司所在地相关法规的规定。
国内的一些大型企业在这方面也有很大的改善。但我们发现需求增加的速度比IT内审提高的速度要快很多。其中很重要的原因就是专业IT审计人才的缺乏。比如说有个全国性的银行,他们的IT审计部门只是一个小组,很难进行大的推动。
王卫乡:银行、电信企业强调IT审计取决于他们的业务特点。银行的服务器坏了可能会影响一大片。
此外,企业本身环境的要求或者政府的管制要求也很重要。美国政府已经以法案的形式来进行约束。其实国内前几年也发生过不少因为内控失效造成重大损失的案例,那在目前牛市的情况下,如果还不加强控制的话,影响就会更大。
没人喝彩好像是没有动静,但不能说就没有行动。我相信政府一直在推动,我们企业也在考虑怎么加强这方面的工作。当然,如果将政府和企业两者结合起来,推动的效果会更好。
田海波:我们涉及这块业务是因为我们有一个电信客户希望能从数据模型角度来评估系统设计是否满足其业务需求,要对软件实施过程中阶段性成果进行验证。这是IT内审的一部分。
主持人:在国内上市的公司也同样那么重视IT内审吗?
周梓滔:深交所、上交所的《指引》中提出的内控要求主要是针对上市企业。但是随着相关法案的出台,越来越多的国内上市企业意识到了IT 审计的重要作用和影响,很多公司已经开始了相关的工作。
王卫乡:我觉得企业进行内控往往从自发和自觉两个角度出发。从自觉的角度来做内控的企业,很明白内控对企业发展的好处。如果企业要发展,是不可能不去做这方面工作的,应该是一个自发的行為。有些上市公司大张旗鼓地宣扬自己的内控做得怎么好,这实际上是他们自己应该做的。
主持人: IT内审的推广还有哪些比较现实的问题呢?
王卫乡:我觉得最难的还是观念问题。如果在观念上没有重视这个事情,其他的技术再高超、完善,但如果不去用,那就一点用都没有。
还有一个问题就是现在很多企业的信息化建设还不尽如人意,在这种情况下强调太多的IT审计还没有必要。
主持人:IT内审是一个中长期的工作,上市公司该怎么看IT内审的运作成本和收益?
王卫乡:我个人认为这个投入非常值得,既能够维持公司良好的运转,又能够比较好地监控公司运转的状况。IT审计是一个提供保障的机制,不会直接创造效益,但是它至少不会让已经创造的效益流失。
钱晨:对。也许企业什么都不做也能成功运转很长时间,但风险永远是存在的,像“9
地点:赛迪大厦18层会议室
形式:中计在线嘉宾现场对话
对话嘉宾:
王卫乡
中国中信集团公司管理信息部副主任
周梓滔
德勤华永会计师事务所有限公司企业风险管理服务高级经理
钱晨
科索路咨询公司副理
田海波
北京锐思盈泰科技有限公司董事副总经理
无内控等于慢性自杀
主持人:企业内部控制的目的是什么?有什么需求?
钱晨:企业内部控制的目的是在保证实现公司战略目标前提下,对存在的风险进行控制。无论董事会还是全体员工都要对企业披露的信息的可靠性负责,但最终责任会落在董事会上。
IT内审的引入是因为在给上市公司内控评估时,IT是其中的一个重要的组成部分和方法。
主持人:请德勤公司的周经理谈谈中国企业的内控跟国外企业的有什么差异?
周梓滔:主要是在理解法案、标准时可能会不一样,因为中国的国情和中国企业的管理方法跟国外企业不尽相同。比如说,国外企业可能会成立专门的审计委员会,但国内企业可能会把审计委员会放在某一个组织里面,如在财务部,这就造成了独立性的不同。
主持人:作为用户的代表,请王主任讲讲中信集团在内控方面是怎么考虑的?
王卫乡:目前中信集团有好几家上市公司,如刚上市的中信银行,中信证券、中信国安等。我们一直非常关注企业内控,其中包括IT内审和萨班斯法案。我们的审计部是唯一一个由集团公司董事长直接分管的部门。
实际上,从我们公司上一任董事长王军开始就一直特别强调内控。他曾指出:“没有发展的内控等于慢性自杀,没有内控的发展,发展越快损失越大”。中信集团自1979年成立到现在快30年了,一直都保持快速发展。在高速发展的20世纪90年代中期,我们深感管理手段和发展的速度不匹配,导致有些项目最后失去控制,并造成很大的损失。
现在我们已经采取了一些技术手段,并引进了一些软件来加强审计,如加拿大的ACL审计软件。我们的内部审计目前主要强调的内容包括:离任审计——像下属的子公司领导任期换届,中长期项目在项目实施过程中是否存在重大失误的专项审计,其他的,如下属的公司层面,因资产的分布不是很均衡,金融业务领域是由金融控股公司的风险管理部来主抓。
主持人:各位嘉宾能否总结一下信息技术对企业内部控制的价值是什么?
钱晨:IT是企业内控的一个重要内容和手段。现在多数企业都会用到IT系统,很多流程都嵌入到IT系统中,企业内部控制也应该对IT系统进行控制。同时,我们在进行内部控制的时候,也应该通过IT手段来辅助实现。
周梓滔:我们看到一个很重大的改变:以前内部控制都是通过手工来实现的,非常复杂;现在借助IT系统来实现内控,效率大大提高了。另外,对IT系统进行控制,可以优化系统,提高系统性能。
王卫乡:任何事情都有两面性,IT技术可以帮助我们进行内部审计、获取更加及时、有效的信息,但是如果不加强对IT本身的审计,可能会被人利用,拿这个工具去做不正当的事情。所以要从观念上重视IT内审。
田海波:从客户的反应上也可以看到IT内审的价值。我们之前是做电信行业的BOSS系统的,在跟客户接触过程中发现客户对IT内审的需求很大。因为客户觉得内控工作非常烦琐,希望能够借助有效的工具来帮助他们轻松实现。
主持人:那么,企业应该怎样进行IT内审呢?
周梓滔:如钱经理所言,IT审计有两个方面,一个是对IT进行审计,另外一个是利用IT技术来进行审计。首先要看IT有什么东西要做审计:现在很多ERP系统中已经就内部控制做了设置;另外可以利用DQI方法(利用数据库、程序去运行大量数据可以帮助企业分析发现业务上的问题,以供企业进行调整)。这是一个非常有效的审计方法。
对IT进行审计是指对整个IT环境各方面的审核工作,如信息安全、软件开发、系统维护等。
钱晨:也有说法认为IT控制有两个方面:一个是应用控制,即IT必须对业务流程进行某些控制;另一个是通常性控制,对于支撑公司运作的IT基础技术架构平台进行有效管理控制。
主持人:我听一个在香港上市的企业的CIO说,IT内审对他们来说就是会计师事务所给他们提供一个与IT相关的表格,他们只需按照这个表格的要求来执行就可以了。是这样的吗?
王卫乡:没有这么简单。这可能要牵扯到两个部门:一个是IT部门,一个是审计部门,实际上这是跨两个领域的事情。
周梓滔:我们给企业做IT内审的时候,要先了解被审企业的情况,了解他们的业务范围是什么,管理层对IT管控持什么样的看法,然后再按我们的方法论对风险较高的地方进行审计。
业务不同,IT审计的策略也就不同。比如一个企业拥有大型的数据中心,并依赖该数据中心为客户提供服务,那么该数据中心的物理环境安全就是非常重要的环节。但如果是一个销售企业,他们的IT系统会相对简单,数据中心的物理安全也会影响他们的财务数据,但要求就不那么高了。
IT内审谁在喝彩
主持人:去年大家都对IT内审比较关注,但是最近好像没什么大动静了。实际情况是这样吗?出现这种情况的原因又是什么呢?
周梓滔:我看到的情况有点不同。刚才王总说得很对,现在做IT审计的人并不多。企业如果成立专门的IT内审部门成本太高,所以往往会外包给一些第三方公司来做。
上交所、深交所要求他们的上市公司也要进行内控,其中IT内审是很重要的环节。有些母公司在国外的跨国企业在IT内审方面做得比较多,因为他们的网络、系统是全球化的,要符合母公司所在地相关法规的规定。
国内的一些大型企业在这方面也有很大的改善。但我们发现需求增加的速度比IT内审提高的速度要快很多。其中很重要的原因就是专业IT审计人才的缺乏。比如说有个全国性的银行,他们的IT审计部门只是一个小组,很难进行大的推动。
王卫乡:银行、电信企业强调IT审计取决于他们的业务特点。银行的服务器坏了可能会影响一大片。
此外,企业本身环境的要求或者政府的管制要求也很重要。美国政府已经以法案的形式来进行约束。其实国内前几年也发生过不少因为内控失效造成重大损失的案例,那在目前牛市的情况下,如果还不加强控制的话,影响就会更大。
没人喝彩好像是没有动静,但不能说就没有行动。我相信政府一直在推动,我们企业也在考虑怎么加强这方面的工作。当然,如果将政府和企业两者结合起来,推动的效果会更好。
田海波:我们涉及这块业务是因为我们有一个电信客户希望能从数据模型角度来评估系统设计是否满足其业务需求,要对软件实施过程中阶段性成果进行验证。这是IT内审的一部分。
主持人:在国内上市的公司也同样那么重视IT内审吗?
周梓滔:深交所、上交所的《指引》中提出的内控要求主要是针对上市企业。但是随着相关法案的出台,越来越多的国内上市企业意识到了IT 审计的重要作用和影响,很多公司已经开始了相关的工作。
王卫乡:我觉得企业进行内控往往从自发和自觉两个角度出发。从自觉的角度来做内控的企业,很明白内控对企业发展的好处。如果企业要发展,是不可能不去做这方面工作的,应该是一个自发的行為。有些上市公司大张旗鼓地宣扬自己的内控做得怎么好,这实际上是他们自己应该做的。
主持人: IT内审的推广还有哪些比较现实的问题呢?
王卫乡:我觉得最难的还是观念问题。如果在观念上没有重视这个事情,其他的技术再高超、完善,但如果不去用,那就一点用都没有。
还有一个问题就是现在很多企业的信息化建设还不尽如人意,在这种情况下强调太多的IT审计还没有必要。
主持人:IT内审是一个中长期的工作,上市公司该怎么看IT内审的运作成本和收益?
王卫乡:我个人认为这个投入非常值得,既能够维持公司良好的运转,又能够比较好地监控公司运转的状况。IT审计是一个提供保障的机制,不会直接创造效益,但是它至少不会让已经创造的效益流失。
钱晨:对。也许企业什么都不做也能成功运转很长时间,但风险永远是存在的,像“9