本届年会与国务院信息化工作办公室、信息产业部、中国人民银行、审计署、国资委等多家政府和行业部门携手,邀请了国际IT服务管理权威著作《IT服务管理:基于ITIL的全球最佳实践》主编 Jan van Bon、北京大学国际会计与财务研究中心教授博士生导师王立彦、甲骨文亚太区高级总监Patrick Lim、毕博管理咨询(大中国区)董事总经理朱农飞、挪威船级社郭晓英女士、美国翰宇国际律师事务所Amy Sommers等国内外知名治理领域的专家、学者,以及电信、金融、电力、能源、制造等行业的优秀治理实践者,近200人共同参与了研讨。
国信办副主任杨学山、信息产业部经济体制改革与经济运行司副司长王秉科作开幕致辞,中国人民银行、审计署等相关领导出席此次会议并发言。来自海内外的电视台、财经媒体、行业媒体和专业IT媒体等40多家媒体参与了此次论坛。
六方与会:首次集体关注“全面风险管理与IT治理”
这是在国内举办的首个以“全面风险管理与IT治理”为主题的大型国际研讨会议,围绕“公司治理与IT治理、萨班斯(SOX)法案、IT控制”三个核心议题,面向六方(CEO、CFO、CIO、COO、CKO、CMO),广泛、深入地探讨和推广“三个结合”:即公司治理与IT治理相结合,全面风险管理与IT治理相结合以及六方(CEO、CFO、CIO、COO、CKO、CMO)相结合的理念、技术与最佳实践。
全球企业最重要和最紧迫的任务:公司治理与IT治理相结合
1997年的亚洲金融危机、2002年美国股市相继爆出的安然、世通等一系列丑闻,我国出现的蓝田股份和银广夏的利润神话破灭事件,以及我国年初相继出现的创维、伊利股份等上市公司高管涉案,完善公司治理机制、有效管理企业风险正在成为企业议事日程中最重要和最迫切的任务。
信息时代的公司治理是以IT为支撑,协调物质资本所有者、人力资本所有者以及债权人等利害关系人关系的一个过程。
我国政府将建立有效的公司治理机制视为“现代企业制度”建设的核心内容,而加入WTO的承诺使得全面系统地处理这一问题显得更加紧迫。国务院国资委主任李荣融曾表示,目前上市公司所出现的问题都与公司治理结构不完善有关。国资委要与证监会正联合推动国有企业完善公司治理结构。
公司治理的效率、效果直接依赖于许多的制度要素。这既包括审计和信息披露的质量,也包括法律系统对契约的监督以及对外部投资者的保护能力等。例如,在逆向选择的框架下,我们可以看到:一个更好的会计标准和更及时的信息披露要求将大大减轻经理人与外部投资者之间的信息不对称,从而便利了融资,降低了代理风险。因此,公司治理的核心问题是信息不对称性或不完全性,解决公司治理问题,最核心的是公司信息的真实、准确以及处理与传递的效率问题,而IT技术在实现透明度原则和体现监控力度上正日益成为有效的工具。由于许多在美上市企业的核心业务都依赖IT系统,因此,2002年美国颁布的《萨班斯法案》对公众公司提出了更高的要求,公司应定期评价其信息系统及其内部控制的充分性来保证提供给投资者信息的准确和完整,强调公司管理层建立和维护内部控制(尤其是IT控制)及相应控制程序充分有效的责任。因此,研究IT治理,加强IT控制,降低风险,有效地实现公司治理,成为全球关注的话题。
刚刚结束的十六届五中全会通过了《中共中央在关于“十一五”规划的建议》中明确提出了今后5年时间内公司治理与内部控制、全面风险管理时企业改革的重点,“加快国有大型企业股份制改革,完善公司治理结构。加快建立国有资本经营预算制度,建立健全金融资产、非经营性资产、自然资源资产等监管体制,防止国有资产流失”;“完善金融机构的公司治理结构,加强内控机制建设”;“完善对境外投资的协调机制和风险管理,加强对海外国有资产的监管”;“健全金融市场的登记、托管、交易、清算系统。完善金融监管体制,强化资本充足率约束,防范和化解金融风险。”
未来,公司治理和IT治理对企业的影响一定是革命性的,并且这种影响直接关系到中国企业的国际竞争力,ITGov(中国)IT治理研究中心主任孙强指出。尽管公司治理的最终理想看上去离现实有些遥远,但实际上今天的公司治理与IT治理已经不仅仅停留在概念炒作的层面。目前ITGov、甲骨文、惠普、毕博、挪威船级社(DNV)等在内的研究机构、IT厂商、咨询企业以及鉴证公司都已在IT如何为公司治理、全面风险管理中发挥新的使命,展开了开拓性的工作,纷纷提出了整合的理念、框架和解决方案。
新挑战与新起点:全面风险管理与IT治理相结合
在2004年底,国资委组织召开的中央企业负责人会议上,国务院黄菊副总理强调指出,要完善企业内部管理制度,高度重视风险的防范和管理,要建立健全企业法律顾问制度,增强依法经营的能力和水平。国资委李荣融主任也提出企业要善于识别风险、规避风险、控制和化解风险。随后,由国资委企业改革局牵头,起草了国内首部企业风险管理指导性文件——《全面风险管理指导纲要》,目前已经进入征求企业意见和论证修改的最后阶段,即将出台。《全面风险管理指导纲要》适用于全体中央企业,要求企业在经营管理的各个环节和业务过程中执行风险管理的基本流程,建立健全风险管理的组织体系、信息系统和内部控制系统。
孙强先生在本届年会题为“公司治理、IT治理与中国企业的国际竞争力”的主题演讲中认为:在全球风险的时代,所有的企业,不论其规模、结构、性质或产业是什么,风险管理都将是必不可少的。有效的风险管理和机会管理将成为竞争优势的源泉。同时,随着IT重要性的增加和普遍应用,IT将被整合到所有的生产过程与经营管理体系中去。所以,IT的风险亦将显著影响到组织的战略执行及目标的实现。在这种情况下,将全面风险管理与IT治理整合起来推动,就成为必然的选择。孙强先生还认为一旦中国企业形成了与企业文化相适应的良好治理结构,这就是我们企业的国际核心竞争力。
明确对内部控制的责任:“六方”相结合
IT控制专家孟秀转女士在演讲中明确地阐述了内部控制的制定与实施的责任问题。孟秀转认为:不仅仅是管理人员、内部审计师或董事会,组织中的每一个人都对内部控制负有责任。确立这种指导思想有利于将组织中的所有员工团结一致,使其主动地维护和改善企业的内部控制,而不是与管理层相互对立或管理层相互对立,被动地执行内部控制。这样才能实现我们企业所期望的“发现问题,解决问题,发现新问题,解决新问题”。本届年会突出的亮点,就是首次倡导六方(CEO、CFO、CIO、COO、CKO、CMO)打破原有职责范围局限,携手参与到公司治理、合法合规等实践中来,共同肩负起内部控制的责任,最终形成“内部控制人人有责”的企业文化。
萨班斯(SOX)法案:魔鬼,还是天使?
2002年7月,美国国会正式通过了Sarbanes-Oxley法案(简称SOX法案),明确要求在美上市的公司管理层对公司财务信息披露和内部控制效力负有直接责任,上市公司的内控措施应由管理层声明有效并由独立审计机构出具内控审计意见提交给美国证监会(SEC)。
SOX法案的出台,对企业的公司治理、IT治理及IT控制提出了更严格的要求。SOX法案的302条款要求公司的首席执行官和首席财务官要在审计报告后附上一份声明,保证“定期报告中的财务报告和信息披露是适当的,在所有重大方面公正地报告了公司的运营和财务状况”。任何违反这个条款的行为,都被视作明知故犯,必须承担责任。SOX法案的404条款要求编制的年度报告中包括内部控制报告,该报告需包括以下内容:描述管理层关于为财务报告建立并维护一套适当的内部控制的职责;管理层在最近财政年度末对内部控制体系及控制程序有效性的评价。显然,404条款对于公司内部控制情况做出严厉要求,目的是为了使得公众更易于察觉到公司的欺诈行为,并确保公司财务报告的可靠性。而上市公司为了遵循该条款将付出沉重的代价,包括大量的时间和人力、财力的投入。
有很多人认为,SOX法案是恶魔,因为它对公司内部控制的要求有点过了头,为企业带来了巨大的合规成本。自2002年7月SOX法案出台之后,去年的一个统计数据显示,大概10%的企业退出了美国股市,这其中就包括声名显赫的新加坡创新公司。更多的中国国企和银行也毫不犹豫地放弃了在美国上市的既定计划。合规成本之高昂,据安永的调查显示:收入超过50亿美元的公司中,四分之一的公司在萨班斯符合项目启动之前弥补了500多个单独控制; 超过70%的公司在萨班斯符合项目启动之前对IT系统和控制进行了重大修改,在这70%的公司中,与404条款有关的成本耗费要比最初预计值高出50%;58%的年收入不足50亿的公司把超过半数的内部审计资源用于与404条款相关的活动中;76%的公司期望使用一些控制自评估(CSA)的表格来满足目前404条款的符合;53% 的企业想在一年内开展企业风险管理 (ERM); 87%的企业想通过由404条款带来的职责分明和控制负责人的推动获取价值。
但目前,越来越多的公司从战略投资的角度来看待SOX法案,而不是仅仅认为这是一项花费。ITGov(中国)IT治理研究中心的研究表明:好的遵从管理意味着经营的更好,由SOX带来的改善经营效率和降低风险的潜力远远超越于SOX法案本身。事实上,一旦发生公司丑闻,投资者的损失将远远超过公司目前付出的成本。
在SOX404项目中的IT
事实上早在1994年TSE发布的题为“董事何去何从?提高加拿大公司治理的指南”中就认为:整合企业的内部控制和管理信息系统是董事会的5个“首要责任”之一,对此责任的解释是有效地履行董事会的责任需要有效的控制和信息系统来支持。例如,在批准企业战略时,董事会需明确各种评价战略的标准和监督执行战略的体系;同样,在审查和批准财务信息时,董事会需要企业的审计系统来通报数据的完整性和对会计原则的遵循。总之,该指南认为董事会必须关注内部控制和信息系统,因为它是履行其他责任必须依靠的机制。该报告对董事会责任的界定提高了内部控制在加拿大上市公司中的重要性,并有助于改善公司的控制环境
信息时代,企业生产和管理信息化水平日益提高,许多上市公司的核心业务运作都依赖IT系统,信息资产成为企业的核心价值资产,IT在给企业带来竞争力的同时,也带来了极大的风险,因此IT也需要加强控制以达成SOX合规要求,IT控制成为公司治理及IT治理必不可少的组成部分。IT控制是强化风险管理,完善信息时代公司治理的必要要求。在萨班斯法案中,我们看到了这种必然的要求,只不过这些要求是以前所未有的法律的形式固定下来的,良好的公司治理和高管层对IT的职责再也不是一个可有可无的美好远景。
公司数据的完整性显著受到公司IT控制充分性的影响;
公司业务运营从交易开始、记录、处理到报告全程应用IT;
加快并支持财务报告要求良好的IT控制;
对IT控制有效性进行记录与评价的要求;
很多传统的控制手段已转化成IT一般控制与应用控制;
需要利用IT手段自动记录并监控控制体系的执行。
可见,IT控制目前正成为内控体系越来越重要的组成部分。因此,萨班斯方案开始要求CIO必须成为管理控制专家,不仅要参与到公司治理领域,以使IT与业务一致,还要在完善内部控制和全面风险管理体系中发挥作用。IT也成为公司治理、全面风险管理关注的新领域。
眼下,我国几十家在美国上市的企业正在紧锣密鼓地忙“符合SOX法案”的项目。对于“符合SOX法案”项目而言,更引起广泛关注的是上市公司管理当局要评价信息时代财务报告内部控制的设计与执行的有效性,并对此负责,外部审计师要连同财务报告审计一起审计内部控制。这主要是针对SOX404条款的遵从,所以很多“符合SOX法案”的项目也称为“SOX404”项目。
SOX法案最主要的特征表现在:法案要求组织机构使用文档化的财务政策和流程来改善可审计性,并更快地拿出财务报告。要求企业针对产生财务交易的所有作业流程,都做到高透明度、可控制、实时风险管理并防治诈欺,并且这些流程必须有可追查到交易源头的详细记录。
对于这些在海外上市的中国企业而言,必须在2006财年结束前通过此项法案的认证,否则,证券市场会认为企业财务管理不规范、报表值得怀疑、股价不可信。如果中国企业大量不合规范,可能影响对中国概念股整体的信誉。严格的披露要求、紧迫的披露时限和严重的违规处罚,令在美国的上市公司加紧“萨班斯符合项目”,未通过的加紧建设完善内部控制体系,特别是IT内部控制体系,已通过的公司正在寻求如何加强持续符合萨班斯法案。
国内在美上市企业如何跨过这道关口?在明年底大限即将来临之前,2006年正在迫近,如何在短时间内,抓住主要问题,完善公司内部控制和IT控制,是国内众多在美上市企业迫切关注的问题。
在这样的关键时刻,由ITGov(中国)IT治理研究中心主办,惠普、甲骨文、毕博、挪威船级社等共同发起的首届中国公司治理暨IT治理年会,得到了许多政府主管部门及业内权威机构和媒体的大力支持。海内外知名的研发机构的专家、解决方案提供商以及来自金融、电信、能源、制造等相关行业企业高层都参加了此次年会,分别就公司治理发展趋势、IT治理与国际竞争力、IT控制体系、萨班斯法案和加强公司内部控制、全面风险管理的企业成功案例等展开了深入交流。
隆重发布:全球与国内首个“IT治理人才培养计划”及“IT治理智库”丛书
本届会议还隆重发布了全球与国内首个“IT治理人才培养计划”及与之相配套的“IT治理智库”系列丛书以及沙龙形式的G2论坛。“IT治理智库”系列丛书首次系统完整介绍了IT治理的相关理念、最佳实践和成功案例等所有内容。这是在我国IT治理专家孙强领导下的ITGov(中国)IT治理研究中心历时三年的辛勤结晶。这套丛书不仅引进翻译了国外部分IT治理相关专著,也凝聚了ITGov(中国)IT治理研究中心专家团队自主创新的研究成果。
对于之所以要推出“IT治理人才培养计划”和出版这套“IT治理智库”系列丛书,ITGov(中国)IT治理研究中心首席专家孙强表示:“面对日趋严格的外部监管环境和全球一体化的市场竞争,管理层在符合外部监管环境的要求和整合IT管控体系上遇到了极大的挑战。为迎接这一挑战,全球已经形成了一个公司治理与IT治理的改革运动。我们推出的IT治理人才培养计划和“IT治理智库”系列丛书,就是为了培养IT管理与控制领域的专才,帮助组织确保IT战略的一致性,有效管控IT相关风险,高效利用信息资源,从而实现组织的业务战略目标。”
据介绍,此套丛书共有近30册,已经出版的有《信息系统审计:安全、风险管理与控制》、《IT服务管理:概念、理解与实施》、《信息安全管理:全球最佳实务与实施指南》、《信息化绩效评价》、《IT领导力》、《IT服务管理:基于ITIL的全球最佳实践》、《超越COSO:加强公司治理的内部控制》、《控制自我评估:以协调为基础的咨询指南》、《咨询的核心概念:面向管理者和会计师》、《管理审计职能公司:审计部门程序指南(第3 版)》、《审计信息系统(第2 版)》、《布林克现代内部审计学(第6 版)》,即将出版的有:《IT服务管理:中国的最佳实践》、《IT服务管理与通用词汇表手册》、《IT治理:引领中国信息化的可持续发展之路》、《后萨班斯时代的IT控制体系》、《IT服务管理体系建制:BS15000理解与实施》,以及即将从VHP出版集团引进并翻译出版的图书:《IT Governance:A Pocket Guide Based on Cobit》、《IT Service CMM:A Pocket Guide》、《Project Management : An introduction Based on Prince2》、《BS 15000:A Pocket Guide》、《BS 7799:A Pocket Guide》、《Six Sigma and IT Management》、《Implementing Service&Support Management Processes:A Practical Guide》、《Foundations of IT Service Management Based on ITIL 》、《ASL:A Framework for Application Management》、《Metrics in IT Service Organizations》、《IT Service Management from hell:A Guide to worst practices》、《Risk Management: A Pocket Guide》、《Programme Management: A Pocket Guide》、《IT Services Management: A Pocket Guide》、《ISO27001(BS7799): A Pocket Guide》等。
本次论坛,站在时代变革的高度,以国际竞争力、治理结构、标准规范等全局性、战略性和方向性的议题为主线,实现了三个结合:即公司治理与IT治理相结合,全面风险管理与IT治理相结合以及六方(CEO、CFO、CIO、COO、CKO、CMO)相结合,综合了国内外领域专家、政府部门和研究机构、传播机构的优势,为我国提升国际竞争力和加快信息化发展,提供前沿的、深度的、前瞻性的、开放的国际交流平台。IT治理和全面风险管理领域,以及这个领域下涵盖的IT控制、IT服务管理、信息系统审计等,是在目前国内外重新认识和发现信息社会和信息经济运行机理的一个总的概括,关注这个新兴领域,将从制度层面和标准规范层面,为中国企业的发展和信息化建设提供全新的视角。
关于ITGov(中国)IT治理研究中心
ITGov中国IT治理研究中心创立于2002年,致力于推动中国信息化建设的高效可持续发展,是一个“六方”(政府、企业、学研机构、社团组织、网络媒体、个体)支持的权威、专业、中立的“公司治理暨IT治理”研究机构,是一个在IT治理领域唯一推动中国与国际同步的资源平台,是一个中国人创办的、为中国政府和行业用户提供信息化战略决策支撑的服务中心。 ITGov中国IT治理研究中心的使命是成为中国人创办的、非为赢利性质的、世界级的IT治理研究机构。ITGov中国IT治理研究中心的价值观是参与国际信息化管理标准的制定,促进国际信息化管理最佳实践与中国的同步发展,推动中国信息化建设的高效可持续发展。如需进一步了解ITGov,请访问http://www.ITGov.org.cn。
ITGov(中国)IT治理研究中心举办G2年会的宗旨,是帮助企业提高对公司治理、IT治理发展趋势及热点的把握能力,力求在专家、厂商与企业用户之间构建起互动的交流平台,为企业应用IT技术及新的治理理念与最佳实践提供前瞻性的参考,并为IT治理、IT内部控制等软件厂商传播最新解决方案、树立领先形象提供卓有成效的宣传平台。
详细信息请访问大会网站:http://www.itgov.org.cn/G2
自2001年以来,ITGov一直重视在中国进行长期的非为赢利性质的IT治理推广工作。 IT治理人才培养计划的成功实施正是这一方针的体现。此次与COBIT同时推出的BS15000、BS7799、ITIL、MOF、HDI培训及认证计划, 将是对IT治理培训市场的支持。它将通过标准课程和多种办学形式提供基于全球最佳实务的IT治理类课程。紧跟行业最新发展,培养更多信息化管理人才, 同时提供全球标准的认证,更多的企业客户将通过该项与全球同步开展计划获益。
附件:SOX法案的要求:
对公司治理的要求:
增加了董事会和审计委员会的责任:
CEOs and CFOs必须保证财务报告真实。
公众公司必须成立审计委员会。
要求加强公司财务实践的详细审查。
SOX法案对IT内控的要求:
法案302要求:
公司管理层设计所需的内部控制,并保证首席官员能知道该公司及其合并报表子公司的所有重大信息,尤其是报告期内的重大信息;
评价公司的内部控制在签署报告前90天内的有效性;
在该定期报告中发布他们上述评价的结论。
法案404节要求:
编制的年度报告中包括内部控制报告,包括:
强调公司管理层建立和维护内部控制系统及相应控制程序充分有效的责任;
发行人管理层最近财政年度末对内部控制体系及控制程序有效性的评价
SOX对审计师的要求:审计师必须了解业务如何穿过系统,而不是绕过系统。
审计师必须了解业务流程,评价IT 应用控制与一般控制的设计及效果。
评价 IT 控制设计效果,确定这些控制设计是否适当地实现相关目标。
实施IT控制执行效果测试。
京ICP备06004481号 Copyright 2002 - 2006 ITGov.org.cn, All Rights Reserved