网站地图
【www.scfx8.com--述职述廉报告】
篇:非标内控审计报告公司内部控制非标审计意见
1、带强调事项段的无保留意见
(1)武汉控股【众环海华】
武汉市城市排水发展有限公司(以下简称“武汉排水公司”)在武汉控股完成重大资产置换及发行股份购买资产交易后才纳入武汉控股控制范围。虽然武汉控股自实际 控制武汉排水公司后即开展对武汉排水公司内部控制的初步评价与完善,但由于受时间限制,武汉控股无法确保整改后的内部控制运行能够满足最短运行时间,根据 中国证监会企业内部控制规范体系实施工作小组于2012年2月8日发布的《上市公司实施企业内部控制规范体系监管问题解答》中指导精神,武汉控股未将武汉 排水公司纳入2013年度内部控制的评价范围。注册会计师认为武汉控股未将武汉排水公司纳入2O13年度内部控制的评价范围符合证监会有关法规的规定,相应的未将武汉排水公司纳入内部控制审计的范围。
(2)标准股份【希格玛】
根 据中国证监会企业内部控制规范体系实施工作领导小组2011年4月11日发布的《上市公司实施内部控制规范体系监管问题解答》(2011年第1期),公司 在报告年度发生并购交易的,可以豁免在本年度对被并购单位财务报告内部控制有效性的评价。标准股份2013年度并购的子公司上海标准海菱缝制机械有限公司 未包括在本年度内部控制自我评价和审计范围内。
(3)方大炭素【瑞华】
方 大炭素于2013年2月收购了抚顺方泰精密碳材料有限公司,于2013年10月收购了吉林方大江城碳纤维有限公司,并将其纳入了2013年度财务报表的合 并范围。按照中国证监会发布的《上市公司实施企业内部控制规范体系监管问题解答》 (2011年第l期,总第l期)的相关豁免规定,方大炭素在对财务报告内部控制于2013年12月31日的有效性进行评价时,未将被收购公司的财务报告内 部控制包括在评价范围内。注册会计师也未将被收购公司的财务报告内部控制包括在审计范围内。
(4)天威保变【大信】
根据中国证券监督管理委员会的相关文件规定,天威保变可豁免对2013年度被并购企业财务报告内部控制有效性的评价,注册会计师未将被并购企业纳入财务报告内控审计的范围。
(5)*ST长油【信永中和】
*ST 长油2013年度发生亏损591,863.98万元,截止2013年12月31日,净资产为-200,258.77万元,流动负债高于流动资产 580,341.15万元。这些情况表明存在可能导致对*ST长油持续经营能力产生重大疑虑的重大不确定性。注册会计师提醒财务报表使用者对上述事项予以 关注。
(6)ST宜纸【四川华信】
由于ST宜纸于2011年8月21日起全面停产并实施整体搬迁工作,本报告期未发生生产业务,无正常采购和销售业务,因此注册会计师未对生产管理、原材料采购以及销售管理内部控制活动的有效性进行测试。注册会计师提醒财务报表使用者对上述事项予以关注。
(7)华银电力【天职国际】
华 银电力与中国大唐集团公司湖南分公司一套人马两块牌子,与控股股东在人员、机构方面未实现相互独立。由于华银电力和中国大唐集团公司湖南分公司存在业务同 质性,公司控制环境存在缺陷。华银电力一直关注控制股东在湘电力资产的经营状况和证券市场变化情况,积极促成其在湘的优质电力资产逐步注入公司,减少公司 与控股股东之间的同业竞争,但近年受市场用电需求增长放缓、火电机组利用小时不足、煤价大幅上涨等多种不利因素影响,拟注入火电资产亏损严重,不具备注入 条件,上述控制环境方面存在的缺陷没有得到解决。注册会计师提醒财务报表使用者对上述事项予以关注。
(8) 桂冠电力【天职国际】
桂冠电力和中国大唐集团公司广西分公司在人员、机构方面未实现相互独立,且存在业务同质性。注册会计师提醒内部控制审计报告使用者对上述事项予以关注。
(9) 云煤能源【中审亚太】
如 云煤能源2013年度内部控制评价报告中所述,云煤能源存在以下重要事项:根据中国证券监督管理委员会的相关文件规定,云煤能源可豁免对2013年度被并 购企业财务报告内部控制有效性的评价,注册会计师未将被并购企业纳入财务报告内部控制审计的范围。注册会计师提醒内部控制审计报告使用者对上述事项予以关 注。
(10)深物业A【众环海华】
如深物业A2013年度内部控制自我评价报告中所述,深物业A通过实施财务报告风险评估,经2014年3月31日第七届董事会第十七次会议审议通过了对2013年财务报表附注
(二)29所述事项的前期差错更正。注册会计师提醒内部控制审计报告使用者对上述事项予以关注。
(11)百视通【立信】
百视通已经制定了具体的内部控制制度,但仍然存在以下问题:公司版权系统未开设财务端口,财务人员以手工维护版权台账,由于业务增长,手工核算的工作量也随之增长,维持准确性的难度增加。注册会计师提醒内部控制审计报告使用者对上述事项予以关注。
(12)上海三毛【立信】
上 海三毛于2014年3月13目收到《中国证券监督管理委员会调查通知书》(编号:沪调查通字201午⒈18号),因涉嫌信息披露违法违规,根据《中华人民 共和国证券法》的有关规定,中国证券监督管现委员会决定对上海三毛立案稽查。注册会计师提醒内部控制审计报告使用者对上述事项予以关注。
2、否定意见
(1)上海家化【普华永道中天】
注 册会计师认为上海家化的财务报告内部控制存在如下重大缺陷:(1)关联交易管理中缺少主动识别、获取及确认关联方信息的机制,也未明确关联方清单维护的频 率;无法保证关联方及关联方交易被及时识别,并履行相关的审批和披露事宜,影响财务报表中关联方及关联方交易完整性和披露准确性,与之相关财务报告内部控 制设计失效。上海家化在
2013年12月对上述存在重大缺陷的内部控制进行了整改,但整改后的控制尚未运行足够长的时间。(2)部分子公司尚未建立在会计 期末对当期应付但未付的销售返利和运输费等费用总金额进行统计和预提的内部控制。上述重大缺陷影响财务报表中销售费用和运输费用的交易完整性,准确性和截 止性,与之相关财务报告内部控制设计失效。上海家化尚未在2013年度完成对上述存在重大缺陷的内部控制的整改工作,但在编制2013年度财务报表时已对 销售返利和运输费等费用进行了恰当预提,并对前期对应数据相应进行了追溯调整及重述。
(3)对财务人员的专业培训尚不够充分、对最新会计准则的掌握不够准 确、财务报告及披露流程中的审核存在部分运行失效,未能及时发现对委外加工业务、销售返利、可供出售的金融资产在长期资产与流动资产的分类、营销类费用在 应付账款与其他应付款的分类等会计处理的差错,影响财务报表中多个会计科目的准确性。上海家化尚未在2013年度完成对上述存在重大缺陷的内部控制的整改 工作,但在编制2013年度财务报表时已对这些可能存在的会计差错予以关注、避免和纠正,并对前期对应数据相应进行了追溯调整及重述。根据2014年3月 11日董事会决议,上海家化对2013年度财务报表的前期对应数据相应进行了追溯调整及重述,增加披露了2012 年度的关联方和相关关联方交易,并更正了涉及主营业务收入、其他业务收入、主营业务成本、其他业务成本、销售费用、应收账款、存货、其他流动资产、可供出 售金融资产、其他应付款、应付账款以及未分配利润等会计科目前期对应数据的重大会计差错。有效的内部控制能够为财务报告及相关信息的真实完整提供合理保 证,注册会计师认为上述重大缺陷使上海家化内部控制失去这一功能。
(2)西部矿业【安永华明】
注 册会计师认为西部矿业的财务报告内部控制存在如下重大缺陷:(1)西部矿业下属子公司中国西部矿业(香港)有限公司(简称“西矿香港”)在2013年存在 对长期贸易合同未按公司内部控制制度所规定的流程完整履行授权审批程序即予以签订并执行的情况,与之相关的财务报告内部控制执行失效,该重大缺陷可能导致 西部矿业出现资金损失及合同诉讼等风险;(2)西部矿业下属子公司西矿香港在2013年存在未按公司内部控制制度所规定的流程完整履行授权审批程序即对部 分客户进行授信并赊销销售的情况,与之相关的财务报告内部控制执行失效,该重大缺陷可能导致应收账款到期无法收回而产生坏账损失等风险。
西部矿业尚未在2013年度完成对存在上述重大缺陷的内部控制的整改工作,但在编制2013年度财务报表时已对上述内控失效可能导致的会计差错予以关注、避免和纠正。
有 效的内部控制能够为财务报告及相关信息的正是完整提供合理保证,注册会计师认为上述重大缺陷使贵公司内部控制失去这一功能。西部矿业管理层已识别出上述重 大缺陷,并将其包含在企业内部控制评价报告中。在西部矿业2013年财务报表审计中,注册会计师已经考虑了上述重大缺陷对审计程序的影响。
(3)北大荒【瑞华】
注册会计师注意到北大荒的财务报告内部控制存在以下重大缺陷:(1)北大荒控股子公司米业公司未对存货、固定资产等实物资产实施有效控制。如米业公司期末有 36,968.70万元的存货以及账面价值4,844.23万元的固定资产未见实物。(2)米业公司未定期核对往来款项,未能有效执行《公司资产减值提取 和资产损失处理内部控制制度》和《财务管理制度》等有关规定。
有 效的内部控制能够为财务报告及相关信息的真实完整提供合理保证,注册会计师认为上述重大缺陷使北大荒的内部控制失去这一功能。上述重大缺陷尚未包含在企业 内部控
制评价报告中。在北大荒2013年度财务报表审计中,注册会计师已经考虑了上述重大缺陷对审计程序的性质、时间安排和范围的影响。
(4)五洲交通【瑞华】
注 册会计师认为五洲交通财务报告内部控制存在如下重大缺陷:五洲交通制订了现金支付业务授权批准制度和对外投资管理制度,但在实际工作中未得到有效执行,在 资产的取得、使用和处置的授权控制方面存在重大缺陷。五洲交通向广西成源矿冶有限公司以贸易形式先行支付资金用以收购南丹县南星锑业公司,有关款项共计金 额7.549亿元,其中
6.539亿元为南星锑业产权成交价款,5,000 万元为履约合同保证金,5,100 万元为南星锑业用以偿还南丹县财政局的借款;以预付产品代加工款形式向广西堂汉锌铟股份有限公司提供资金3.47亿元。上述事项未履行董事会、股东大会审 议程序,未真实、准确、及时进行信息披露。
有 效的内部控制能够为财务报告及相关信息的真实完整提供合理保证,注册会计师认为上述重大缺陷使五洲交通内部控制失去这一功能。五洲交通管理层已识别出上述 重大缺陷,并将其包含在企业内部控制评价报告中。在五洲交通2013年财务报表审计中,注册会计师已经考虑了上述重大缺陷对审计程序的性质、时间安排和范 围的影响。
第2篇:某年内控审计工作规划内控审计工作规划
一、成立内控审计部的意义
公司改制已近尾声,二期生产线即将安装启动,我们xx公司即将迈入一个强力发展的征程。随着市场经济的发展和企业环境的变化,单纯依赖会计控制已难以应对企业面对的市场风险,会计控制必须向风险控制发展;同时,各部门之间的内控要求也有待于进一步协调,以便为进行内部控制自我评估和外部评价提供统一标准。因此公司有必要成立一个内控审计部相对独立于其他职能部门的、能够及时监督和评价公司整体运行状况的机构,以加强各级组织、各职能部门之间的控制、协调与配合,保障各方面业务工作开展的规范、有序,避免重大漏洞和损失,由会计事后监督转移到事前、事中控制中,使公司的经营朝着健康有序的方向发展。
二、内控审计部的管理模式。
内部审计部应归于监事会的领导,在公司内部形成一个完整的监督系统。公司监事会的职责是充分行使所有者的监督权,以财务监督为核心,同时对各级管理人员的尽责情况进行监督以保障公司资产的安全,所以内控审计部由监事会负责公司内部形成一个完整的监督系统,从而能够更立体的开展监查工作,更好的实现监查工作的价值。
内控审计部的职能
内部审计工作涵盖公司运转全过程,内部审计工作主要的是对各项制度的流程和执行进行监督,发现漏洞,督促各职能部门限期整改。业务范围应涉及财务审计、管理审计、系统与流程审计、工程审计、1
合同审计和监察等方面专业。其具有5项职能:
1、检查监督职能。检查监督是内控审计部的基本职能,监察范围包括:一对公司的财务收支进行监督;二对重点部门、重点资金、重要经济活动进行监督;三对公司内部管理和制度执行进行监督。通过监督和对问题的揭示,促使各部门加强管理,堵塞漏洞,提高效益,为公司实现经营目标服务。
2、管理控制职能。企业最高管理层不可能对经营管理状况进行经常性的直接检查监督,内部审计作为公司控制系统中的一个重要组成部分,受公司监事会的直接领导,从公司全局的角度来发现、分析和考虑问题,对企业的生产经营活动实行有效的控制。
3、经营诊断职能。内控审计通过开展各种审计掌握企业的经营和管理状况,针对存在的问题,提出解决问题的建议。同时,内控审计一个重要职能就是通过对企业内部控制系统的评估和检查,发现企业内部控制缺陷和漏洞,分析经营管理过程中的偏差和失误,解剖问题产生的各种主、客观原因,从而实现对企业经营情况的诊断。
4、评价监证职能。内部审计熟悉企业生产经营情况,了解和评价企业的产、供、销,人、财、物,内、外运转及资源优化配置状况。通过开展各种审计对部门的绩效进行评价,并为奖惩兑现提供依据;通过开展内控制度审计,对内控制度的健全性有效性进行评价,为完善内部控制提供依据;通过内部责任审计,对各部门负责人进行责任评价,为组织部门任用干部提供依据。通过审计,审计人员评价整个企业的生产经营状况,并针对所取得的成绩和存在的问题,提出具有
建设性、针对性的评价意见和改进建议,协助高层管理者更有效地进行管理经营活动。
5、咨询服务职能。内控审计在项目实施过程中,对查出的问题予以揭示并提出整改建议,为领导决策提供依据;通过对领导关心的热点问题、管理薄弱的环节和单位开展审计调查,为领导决策提供有价值的信息;利用内部审计接触面广的特点,发挥承上启下的作用,及时把各部门的困难、问题和意见公正地反馈给领导,发挥上下之间信息沟通的作用;在对各部门实施审计过程中,对存在的经营和管理方面的问题提出审计建议。内部审计利用其对企业情况熟悉,接触面广,综合性强的特点为被审部门提供咨询服务。
四、内控审计部的部门架构和岗位设置及考核
结合公司现状内控审计部以产品质量督查室为主、配备财务、技术等专业人员成立内控审计部,在公司监事会直接领导下开展各项内控审计工作。
部门专业人员设定3人,配备若干兼职人员(每个部门明确一名内控审计员)。
岗位及职责
暂定三专职岗位:主任、副主任、专员
岗位职责:
1、建立完善内控审计制度及流程。
2、在公司监事会领导下制定内审计划,带领内控审计部工作人员开展内审工作。
3、提交内控审计报告,预测并明示公司各部存在问题,提出预防建议和整改意见;
4、跟踪内审报告反馈,协调各职能部门与被审公司的审计建议落实工作;
5、参与制定员工的培养和发展方案,提高员工的实务水平和职业素养;
对专业人员的要求:
由于内部审计的质量很大程度上取决于内审人员的职业操守和业务素质。所以内部审计人员必须注重知识的更新和知识面的扩展,必须熟悉国家有关法律法规和方针政策,掌握现代经济管理的相关知识和公司主要生产经营业务流程,在实施经济监督、鉴证和评价过程中,恪守客观、公正、廉洁的原则,严格按照《内部审计实务标准》和《道德规范》的要求开展工作。要有出色的团队建设和管理能力,良好的沟通协调能力;良好的职业素养与品德操守,高度的敬业精神;有敏锐的洞察力、高度的责任心及分析判断能力;熟练掌握办公及相关财务软件。
内控人员的考核
由于内控审计工作比较特殊,要和谐的同领导及同事相处,又不能影响内审质量,是件不容易的事。对内审员工的业绩考核方面,应由公司提取奖励基金为固定奖励,确保内审员工的长期有效激励机制,稳定工作积极性;业绩考核则改以考核员工个人综合能力为主,业务量为辅的方式,重点考核员工专业能力、工作能力、团队协作能
力、有效沟通和表达能力等方面,将提高员工自身素质作为保障内审质量的前提。
六、xx年的工作计划:
1、加强宣传
运用现代化的办公手段宣传内控审计工作,引导各部门领导、员工内控审计工作有个正确认识。在公司的内部网络上建立了内控审计专栏,通过设置内部管理制度、通知通报、会议纪要、新闻简报、培训资料等子栏目打造出一个知识面广、专业性强、可读性强的专业栏目。展示内控审计相关知识和成果,实现知识积聚、信息交流和资源共享。
2、部门的建章立制工作。
编写《公司内控审计制度》《公司内控审计工作流程》《公司内控审计工作岗位职责》等规章制度,逐步完善形成规范化、系统化的内控审计专业制度体系。
3、依据国家内控审计原则,从原材料采购、原材料物质保管、生产流程、产品入库,产品销售、销售回款、后勤管理、劳资人事等一个环节一个环节进行跟踪、规范,从而实现管理水平提高的目的。这项工作预计需要1年时间完成。
4、根据公司的生产经营情况,开展临时性的项目度内控审计工作。如二期工程建设的全程监控审计。
5、开展实用知识的学习培训,适应公司信息化建设。
6、加强业务学习。外出参观学习与自修学习相结合,适当参加
专业培训。
xx-03-06
第3篇:公司内控制度建设工作情况汇报公司内控制度方面的基本情况说明
2011年4月14日
一、制度体系的基本情况:
截至到目前,公司内部制定并仍有效、在沿用的规范性文件(含各类管理办法、实施细则、工作流程)共计57份,其中:安全、综治管控类11份,生产组织、服务质量管控类13份,固定资产、设备及工程管控类6份,人力资源管控类(包括干部管理、薪酬及绩效管理、员工教育培训、考勤休假加值班管理、社会统筹管理等)14份,物资采购、后勤管控类4份,财务管控类3份,其它管控类6份。
今年年初,按照集团“持续改善管理”的目标要求和自身开展“制度执行年”的工作所需,公司对2011年之前出台的规范性文件进行了集中清理,结合管控实际需要整理出60份现行规章制度,并分门别类提出了保留、修订、废止的意见。60份规范性文件中,公司将其中仍可沿用的45份文件汇编成册并印发到各单位、各部门供日常查阅,同时为后一步深入推进“制度执行年”的工作提供基础;另外对其中的12份文件提出了修改意见并明确了主责部门和完成时限,同时废止了3份文件。
二、制度执行情况及相关措施:
总体上来说,以“制定好”和“执行好”为主线,通过近两年多措并举的方式,公司在制度执行力方面有了较大的改观,突出表现在中层管理团队、基层员工对集团、公司各方面的管控要求、管控目的更明白,对规章制度的具体内容掌握的比较到位,能做到“心中有数”;二是在日常工作中能时时刻刻按规则处事,大到一个项目的运作、一项工作的推进,小到一支笔、一件工具的购臵,都能按照集团和公司的规定去处理。
采取的具体措施:
总的来说把握了以下原则:
1、集团有明确规定的,按集团规定执行;
2、集团没有明确规定的,按公司已有的规定执行;
3、集团、公司都没有明确规定的,由公司会议集中商讨一个方案,权限范围内的按方案执行,权限范围外的报集团审批同意后执行。
1、抓好制度的“制定”环节:
一是要求出台的制度要简洁、适用、有效。公司近两年推出的各项管理规定,文字上基本上没有“穿衣戴帽”的废话,都是结合日常工作实际、有明确管控要求、可操作性强的实质性内容。
二是要求制度要有相对的稳定性,同时相互之间不存在冲突。这两个要求既是为了保证制度的严肃性,同时也是为了避免操作部门和人员“无所适从”。同时通过“必要会签”的环节,避免“各自为政”、互不通气,保证制度之间不发生冲突或遗漏。
三是制度要成体系,有连贯性,要求各部门在制度制定过程中要实现集团—公司—分公司—员工自我管理几个环节的无缝联结、全面对接,使公司规章制度执行规范化、常态化。制度草案拟定后,第一步是制度主管部门——企划部会签,这个目的一是要对制度的内容、统一格式等进行审核把关,二是要对规范性文件给于单独的序列编号,确保公司内控规则体系的一致性、整体性。
2、抓好制度的“执行”环节:
一是成套整理了集团近两年下发的规章制度,并将电子版提供给了下属各单位、各部门供学习、备查。后期将择机将集团层面的规章制度也汇编成册,提供更为直观的书面版。
二是清理、完善了公司的内控制度。将2011年之前推出的45份有效制度汇编成册提供给了下属各单位、各部门,清理的过程中废止了3份制度,并计划后期修订12份制度。对于2011年及今后年度出台的规章制度,公司将以年度为单位成套整理、汇编成册,并形成惯例,方便查阅。
三是抓好集团、公司两个层面规章制度的宣贯培训,让干部员工在准确掌握这些规范性文件的同时,在实际工作中能践行到位。通过培训抓制度执行,是2010年以来公司为提高规章制度规范、有效执行的重要举措。公司规定,对集团、公司出台的规范性文件,相关工作的对口部门必须事先仔细研读,在透彻掌握、领会要义的基础上,要及时组织系统的宣贯培训。在培训师资的选择上,既有集团职能部门领导、公司领导负责授课,也有公司职能部门负责人,甚至是专业技能过硬、基层实践经验丰富的部门员工负责授课;在培训内容的选择上,我们根据轻重缓急,结合季节性重点工作,有的放矢的选择内容,保证学习培训与一个时期的重点工作尽量挂钩,以增强学习效果;在培训方式的选择上,既有全员轮训集中学的方式,也由自上而下、从公司到班组分层分批分散学的方式;在具体授课的方式上,既有制度条款的详细解读,也有结合日常实际、图文并茂的案例分析。
从今年4月份开始,公司对全员学习轮训进行了统一的安排:一个月学一个专题,每个月3期(每周四晚),员工分批分期参加,确保每个员工每个专题都学到。
总体上来说,在规章制度培训上我们始终把握着两点:一是要有实际效果,将制度的关键点、核心内容准确传达给员工,让员工心中有数;二是要通过培训,让员工感受到集团和公司的制度文化氛围,从大的层面上领会到集团和公司当前在做什么、怎么做,今后准备做什么、怎么做。通过这些有实效的学习培训,我们想让员工在接受、掌握、运用这些规章制度的同时,更可以让员工的所思所想、所作所为逐步回归和统一到集团和公司的发展理念上来,这是一件很有意义的事。
四是分层次监督、强化各部门、各单位对规章制度的执行力度,把“调整观念、转变作风、提升执行力”作为日常管理的一项重点工作持续推进。具体体现在:
1、通过修订中层干部管理及考核办法,加大中层管理团队在规章制度方面的执行力度,对所有中层管理人员实行“百分制”考核,中层干部的月度绩效工资直接与制度执行的质量等指标挂钩,按绩效得分发放绩效工资;
2、打造一个有效的管控流程,各部门通过每周至少一次的“周履职”方式检查各单位在规章制度方面的落实程度并进行月度考核。从职能部门“周履职”的实际情况来看,我们达到了预期的效果,部门通过现场调查,了解掌握了基层的真实情况,在检查公司各项制度、各项工作在基层落实程度的同时,也为基层做好了服务。
3、专门安排企划部门负责督查其他职能部门在规范性文件方面的执行情况,同时明确授权企划部加大问责力度,对未按集团或公司规范性文件执行的行为,在按规定扣减责任部门月度绩效工资总额的同时,另按干部管理办法扣减责任部门负责人的个人月度绩效得分。
五是强调与集团的沟通。公司明确规定:各职能部门在日常工作中,要充分注意与集团对口工作的管理部门加强联系、沟通和协调,使公司职能部门和集团职能部门之间形成“热线”畅通、工作高效低耗的局面,避免具体工作中因缺乏与集团沟通而导致“无用功”的现象出现,特别是要避免处理具体工作时出现“想当然”的现象。【完】
附件:公司规章制度清单。
公司规章制度清单
第4篇:公司内控制度建设工作情况汇报公司内控制度方面的基本情况说明
2013年4月14日
一、制度体系的基本情况:
截至到目前,公司内部制定并仍有效、在沿用的规范性文件(含各类管理办法、实施细则、工作流程)共计57份,其中:安全、综治管控类xx份,生产组织、服务质量管控类xx份,固定资产、设备及工程管控类xx份,人力资源管控类(包括干部管理、薪酬及绩效管理、员工教育培训、考勤休假加值班管理、社会统筹管理等)xx份,物资采购、后勤管控类xx份,财务管控类xx份,其它管控类xx份。
今年年初,按照集团“持续改善管理”的目标要求和自身开展“制度执行年”的工作所需,公司对2012年之前出台的规范性文件进行了集中清理,结合管控实际需要整理出xx份现行规章制度,并分门别类提出了保留、修订、废止的意见。xx份规范性文件中,公司将其中仍可沿用的xx份文件汇编成册并印发到各单位、各部门供日常查阅,同时为后一步深入推进“制度执行年”的工作提供基础;另外对其中的xx份文件提出了修改意见并明确了主责部门和完成时限,同时废止了xx份文件。
二、制度执行情况及相关措施:
总体上来说,以“制定好”和“执行好”为主线,通过近两年多措并举的方式,公司在制度执行力方面有了较大的改观,突出表现在中层管理团队、基层员工对集团、公司各方面的管控要求、管控目的更明白,对规章制度的具体内容掌握的比较到位,能做到“心中有数”;二是在日常工作中能时时刻刻按规则处事,大到一个项目的运作、一项工作的推进,小到一支笔、一件工具的购臵,都能按照集团和公司的规定去处理。
采取的具体措施:
总的来说把握了以下原则:
1、集团有明确规定的,按集团规定执行;
2、集团没有明确规定的,按公司已有的规定执行;
3、集团、公司都没有明确规定的,由公司会议集中商讨一个方案,权限范围内的按方案执行,权限范围外的报集团审批同意后执行。
1、抓好制度的“制定”环节:
一是要求出台的制度要简洁、适用、有效。公司近两年推出的各项管理规定,文字上基本上没有“穿衣戴帽”的废话,都是结合日常工作实际、有明确管控要求、可操作性强的实质性内容。
1 二是要求制度要有相对的稳定性,同时相互之间不存在冲突。这两个要求既是为了保证制度的严肃性,同时也是为了避免操作部门和人员“无所适从”。同时通过“必要会签”的环节,避免“各自为政”、互不通气,保证制度之间不发生冲突或遗漏。
三是制度要成体系,有连贯性,要求各部门在制度制定过程中要实现集团—公司—分公司—员工自我管理几个环节的无缝联结、全面对接,使公司规章制度执行规范化、常态化。制度草案拟定后,第一步是制度主管部门——企划部会签,这个目的一是要对制度的内容、统一格式等进行审核把关,二是要对规范性文件给予单独的序列编号,确保公司内控规则体系的一致性、整体性。
2、抓好制度的“执行”环节:
一是成套整理了集团近两年下发的规章制度,并将电子版提供给了下属各单位、各部门供学习、备查。后期将择机将集团层面的规章制度也汇编成册,提供更为直观的书面版。
二是清理、完善了公司的内控制度。将2011年之前推出的45份有效制度汇编成册提供给了下属各单位、各部门,清理的过程中废止了3份制度,并计划后期修订12份制度。对于2011年及今后年度出台的规章制度,公司将以年度为单位成套整理、汇编成册,并形成惯例,方便查阅。
三是抓好集团、公司两个层面规章制度的宣贯培训,让干部员工在准确掌握这些规范性文件的同时,在实际工作中能践行到位。通过培训抓制度执行,是2010年以来公司为提高规章制度规范、有效执行的重要举措。公司规定,对集团、公司出台的规范性文件,相关工作的对口部门必须事先仔细研读,在透彻掌握、领会要义的基础上,要及时组织系统的宣贯培训。在培训师资的选择上,既有集团职能部门领导、公司领导负责授课,也有公司职能部门负责人,甚至是专业技能过硬、基层实践经验丰富的部门员工负责授课;在培训内容的选择上,我们根据轻重缓急,结合季节性重点工作,有的放矢的选择内容,保证学习培训与一个时期的重点工作尽量挂钩,以增强学习效果;在培训方式的选择上,既有全员轮训集中学的方式,也由自上而下、从公司到班组分层分批分散学的方式;在具体授课的方式上,既有制度条款的详细解读,也有结合日常实际、图文并茂的案例分析。
从今年4月份开始,公司对全员学习轮训进行了统一的安排:一个月学一个专题,每个月3期(每周四晚),员工分批分期参加,确保每个员工每个专题都学到。
2 总体上来说,在规章制度培训上我们始终把握着两点:一是要有实际效果,将制度的关键点、核心内容准确传达给员工,让员工心中有数;二是要通过培训,让员工感受到集团和公司的制度文化氛围,从大的层面上领会到集团和公司当前在做什么、怎么做,今后准备做什么、怎么做。通过这些有实效的学习培训,我们想让员工在接受、掌握、运用这些规章制度的同时,更可以让员工的所思所想、所作所为逐步回归和统一到集团和公司的发展理念上来,这是一件很有意义的事。
四是分层次监督、强化各部门、各单位对规章制度的执行力度,把“调整观念、转变作风、提升执行力”作为日常管理的一项重点工作持续推进。具体体现在:
1、通过修订中层干部管理及考核办法,加大中层管理团队在规章制度方面的执行力度,对所有中层管理人员实行“百分制”考核,中层干部的月度绩效工资直接与制度执行的质量等指标挂钩,按绩效得分发放绩效工资;
2、打造一个有效的管控流程,各部门通过每周至少一次的“周履职”方式检查各单位在规章制度方面的落实程度并进行月度考核。从职能部门“周履职”的实际情况来看,我们达到了预期的效果,部门通过现场调查,了解掌握了基层的真实情况,在检查公司各项制度、各项工作在基层落实程度的同时,也为基层做好了服务。
3、专门安排企划部门负责督查其他职能部门在规范性文件方面的执行情况,同时明确授权企划部加大问责力度,对未按集团或公司规范性文件执行的行为,在按规定扣减责任部门月度绩效工资总额的同时,另按干部管理办法扣减责任部门负责人的个人月度绩效得分。
五是强调与集团的沟通。公司明确规定:各职能部门在日常工作中,要充分注意与集团对口工作的管理部门加强联系、沟通和协调,使公司职能部门和集团职能部门之间形成“热线”畅通、工作高效低耗的局面,避免具体工作中因缺乏与集团沟通而导致“无用功”的现象出现,特别是要避免处理具体工作时出现“想当然”的现象。【完】
前几天在昆明参加了一个企业标准化工作开展的培训班。回来后对是否需要在企业内开展标准化工作感到更加迷茫了。据我所知,在已知的国际知名公司里面,并没有企业标准化这样一个提法,只是在中国国内,在原有计划经济的基础上才在政府的行政命令下出现了这样一个工作。重点在于企业内部的文档管理体制的建立,以及一个企业内多个不同的体制都存在时,如何将不同体制的文件有机的整合的问题。
3 目前流行的做法是,文档管理的要求作为一般性的技术要求,并不只是适用于质量管理体系的文件,它适用于任何体系的文档管理,在一个企业内部,不论有多少个不同的管理体系,其文档要求都是一致的,因此,ISO9000对文档管理要求的部分就可以完成这方面的基础工作。但是,ISO9000中对文档的管理提出的要求仅仅是原则性的要求,没有具体到如何列出详细的清单,以什么样的形式查阅,以什么样的形式修改或编码,不同体系的文档如何相互索引和安排等,是采用电子版本或者纸质版本,是否包括数据文件在内等等。这些具体的内容在各个企业内部都通过不同的形式实现了。因此,从一个企业的内部一般使用者来说,因为工作中只接触自己所需的文档,并不显得很乱。从文档的管理者来说,基于树状目录结构的存储模式,也给出了清晰的体系脉络,文档的管理上不是困难。
但是,这些只是文档管理的层面上。文档所代表的实质是一个管理体制,体制就是公司的资源以及控制的方式,其中涉及到了一个公司的方方面面。从管理者的角度看这些文件,就不是这样简单了需要看清楚的是要管理的对象是什么,这个管理过程中都有哪些活动,每个管理活动都涉及到哪些资源。这样每一个管理体系都有自己的负载的网络图,不同体系之间的网络有共同的,也有不同的部分,甚至还有相互冲突的部分。是否需要将其整合,这才是标准化工作的重点。
由此来看,标准化工作的重要性还是有的,但是,从一个项目的正常完成必要条件来看,需要有目的,策划,组织,行动。目的有了,就是将一个企业内部的多个体系进行整合,统一,策划也可以由一两个负责的去完成,但是到了组织和行动时,就需要付出更多的努力了。因为这是涉及到多个体系的问题,如果没有一个一统全局的有权力的人说话,这一点就不要考虑了。
回头再想,如果在一个企业内,多个体系已经共存很久了,其间并没有出现什么冲突,这种整合还有必要吗?各个体系的认证,审核各自完成,互不干扰,又没有人需要知道全部的内容,做这个工作的意义何在?
但是有一点让人觉得很不爽,国家评比什么“中国名牌产品”时,经常要求有这方面的要求,还搞什么“企业标准化良好行为”等级认定活动,这些都是政府行为,如果一个外资企业,不按照中国的企业标准来做,就没有希望了。当然,纯粹的外资企业也不参加中国名牌产品的评比了。
第5篇:公务车内控关键点和审计策略紫阳最新文章:《审计部绩效考核的常见误区》
误区:“抓人”指标、罚款与审计/监察绩效挂钩、HR对审计/监察部考核、将“被审计对象满意度”及“审计/监察部被投诉率/次数”列为指标,等等......你中招了吗?
公务车内控关键点和审计策略
关于公车管理,不论是政府、事业单位、国企,还是民企,都是头疼的大问题,为此紫阳就抛砖引玉,写点什么,激发内控人员、行政管理人员和审计人员等提出更多接地气的管控措施!
为了集中讨论行政管理有关的问题,涉及采购的关键控制点尽量不在本文讨论。本文将从车辆购置、车辆证照和安全驾驶、车辆使用、车辆报废、车辆统筹管理和定期检查等多个维度探讨车辆管理的内控关键点和审计策略
一、车辆购置的内控关键点和审计策略
(一)内控关键点
1、经费预算及故意规避 是否有经费预算机制
是否使用了预算外特殊资金购置或者使用下级单位经费购置或者将车辆挂在高级员工名下
2、数量编制及故意规避 是否数量定编
是否租用或借用下级单位及外部单位车辆以规避监管
3、车辆档次价格要求及故意规避
是否对车辆的规格档次、配置、价格等有具体可行的规范要求 组织的车辆是否故意规避这些要求(如通过分开开具发票的方式) 是否铺张浪费(豪华装饰或假装豪华装饰以规避车辆规格要求)
4、分支机构购置问题
对于许多单位而言,或许总部的管理较好,但是分支机构的公车管理情况就挺值得注意了
(二)审计策略
1、查阅是否有相关的游戏规则,包括但不限于预算机制、数量编制要求、车辆档次价格要求、分支机构要求等
2、查阅每辆车的资金来源、款项支付账号、开具的发票、车辆有关各项开支等,寻找异常
3、开展专项审计时候扩大审计范围至下级单位,实现信息共享
4、查阅车辆报销费明细及凭证,看是否存在非本单位的车牌号在本单位报销费用
5、咨询专业人士车关于辆配置及价格的合理性或适当进行询价,与购车人、4S店的描述进行比对
6、密切关注延期长时间才交货的车(汽车价格敏感性,降价幅度偶尔会很明显)
7、观察和问询
二、车辆证照和安全驾驶等的内控关键点和审计策略
(一)内控关键点
1、证照管理
证照等是否齐全、有效未过期且一一对应(机动车登记证书,车的户口本,平时是否放在保险柜;机动车行驶证,是否随车携带;检验合格标志、保险标志和环保标示是否贴在前挡风玻璃,等等)
2、司机资质
司机的驾驶证是否具备、有效未过期且随身携带
3、违章和事故管理 车辆是否经常违章;
司机的驾驶行为是否有危险性;
车辆是否出过事故,是否经常报保险,事故原因是否合理可接受。
4、车辆质量和安全管理
车辆是否定期进行检修和保养,车辆是否安全可靠或应该到期报废了; 车辆是否配备灭火器等安全器材。
(二)审计策略
1、“突击”检查证照管理及司机资质问题
2、登陆“xx交警”微信查阅车辆违章记录及查阅车辆事故记录、报保险记录等,逐一核对
3、检查车辆的定期维修和保养记录
4、亲自驾驶车辆体验车况,检查车辆的购买年限
5、观察和问询
三、车辆使用的内控关键点和审计策略
(一)内控关键点
1、用车管理和公车私用问题 车辆管理是否设立台账; 用车是否实行事先申请机制;
用车过程是否有清晰记录的行车登记本之类的(驾驶人、使用人签字确认,记录前后里程数和始末地点,用车事由等);
车辆是否安装GPS(司机是否使用U盘验证身份并记录其用车情况); 车辆是否规定在每天用完车后锁在公司车库的固定车位; 车辆钥匙在非用车时间是否会交由司机保管; 是否明确禁止公车私用(婚丧喜庆、探亲访友、旅游度假、接送子女亲属、个人迎来送往等)。
2、车辆维修管理问题
是否规定定点维修(如果是大型车队管理,还要看定点维修是否经过招标);
是否有清晰的维修记录单(司机+店员签字确认,如果可能实行月结)及发票等证明; 维修后废品是否规定如何处理; 大额维修是否要求事先审批;
是否允许现金结算还是要求必须刷卡消费且提供消费记录和小票(公对公结算是最合适的)。
3、加油管理问题
是否有专用加油卡机制且一卡一车对应管理; 是否设立加油卡的台账机制;
加油卡余额是否进行限额控制(如限定在3个月内的消耗余额并定期充值); 闲置的加油卡是否及时转移资金和注销(车辆报废或者卖掉后可能带来闲置); 行政和财务部门是否能实时了解所有加油卡的消费情况(时间、地点、车辆等); 油票是否由用车人、司机及加油站工作人员签字确认(尽可能)。
4、车辆保险费问题
是否定点投保,是否有报保险的各项记录等
5、停车费、洗车费、路桥费等问题
是否在台账中记录此项支出,特别是停车费和路桥费是否记录在行车登记本上等
(二)审计策略
1、抽查台账、用车申请记录、用车过程记录、GPS记录等并进行核对分析、数据分析,抽查车库监控录像等
2、平均公里数油耗分析,查找异常
3、获取维修费用明细,抽查大额维修的各项证明材料,重点关注是否虚报维修费(无中生有、修自己的车或别人的车而私费公报、故意报高维修费)等
4、维修方面违规常见的破绽可能是伪造的维修单、伪造的签名、不采取公对公打款而带来的信息误区、虚假发票等
5、获取燃油费支出的各项明细,分析油耗,对异常的进行专项细查,重点关注是否公家油卡加私家车、是否倒卖油、是否实际未加油而报销了加油费等
6、加油方面的违规常见破绽是虚假发票、伪造的签名、伪造的加油记录等
7、抽查保险报修记录
8、抽查停车费、洗车费和路桥费等的支出情况,分析频率及用车记录是否一一对应
9、以财务名义与维修店、加油站和保险公司对账
10、观察和问询,如有可能,“钓鱼”维修店及加油站
四、车辆报废管理的内控关键点和审记策略
(一)内控关键点
1、是否有报废流程(参考固定资产管理,事先申请及审批)
2、是否正常报废,是否定价合理
3、废品是否正常处置,废品收入是否完整入账
(二)审计策略
查阅相关制度和规定及记录和报告
五、车辆管理的统筹管理和定期抽查的关键控制点和审计策略
(一)内控关键点
1、是否统一归口管理
2、是否定期抽查且形成记录和报告
3、是否有严格的触发机制
(二)审计策略
查阅相关制度和规定及记录和报告
六、有关的账务和税务处理
请参考有关的中级会计,咱就不写了,没有财务基础的记得恶补上这个短板哦,做内审要掌握的知识面太多啦,从基本到不错再到优秀而卓越是条艰难路,朋友们,加油!
第6篇:2公司内控制度建设工作情况汇报公司内控制度方面的基本情况说明 2011年4月14日
一、制度体系的基本情况:
截至到目前,公司内部制定并仍有效、在沿用的规范性文件(含各类管理办法、实施细则、工作流程)共计57份,其中:安全、综治管控类11份,生产组织、服务质量管控类13份,固定资产、设备及工程管控类6份,人力资源管控类(包括干部管理、薪酬及绩效管理、员工教育培训、考勤休假加值班管理、社会统筹管理等)14份,物资采购、后勤管控类4份,财务管控类3份,其它管控类6份。
今年年初,按照集团“持续改善管理”的目标要求和自身开展“制度执行年”的工作所需,公司对2011年之前出台的规范性文件进行了集中清理,结合管控实际需要整理出60份现行规章制度,并分门别类提出了保留、修订、废止的意见。60份规范性文件中,公司将其中仍可沿用的45份文件汇编成册并印发到各单位、各部门供日常查阅,同时为后一步深入推进“制度执行年”的工作提供基础;另外对其中的12份文件提出了修改意见并明确了主责部门和完成时限,同时废止了3份文件。
二、制度执行情况及相关措施:
总体上来说,以“制定好”和“执行好”为主线,通过近两年多措并举的方式,公司在制度执行力方面有了较大的改观,突出表现在中层管理团队、基层员工对集团、公司各方面的管控要求、管控目的更明白,对规章制度的具体内容掌握的比较到位,能做到“心中有数”;二是在日常工作中能时时刻刻按规则处事,大到一个项目的运作、一项工作的推进,小到一支笔、一件工具的购置,都能按照集团和公司的规定去处理。 采取的具体措施:
总的来说把握了以下原则:
1、集团有明确规定的,按集团规定执行;
2、集团没有明确规定的,按公司已有的规定执行;
3、集团、公司都没有明确规定的,由公司会议集中商讨一个方案,权限范围内的按方案执行,权限范围外的报集团审批同意后执行。
1、抓好制度的“制定”环节:
一是要求出台的制度要简洁、适用、有效。公司近两年推出的各项管理规定,文字上基本上没有“穿衣戴帽”的废话,都是结合日常工作实际、有明确管控要求、可操作性强的实质性内容。
二是要求制度要有相对的稳定性,同时相互之间不存在冲突。这两个要求既是为了保证制度的严肃性,同时也是为了避免操作部门和人员“无所适从”。同时通过“必要会签”的环节,避免“各自为政”、互不通气,保证制度之间不发生冲突或遗漏。 三是制度要成体系,有连贯性,要求各部门在制度制定过程中要实现集团—公司—分公司—员工自我管理几个环节的无缝联结、全面对接,使公司规章制度执行规范化、常态化。制度草案拟定后,第一步是制度主管部门——企划部会签,这个目的一是要对制度的内容、统一格式等进行审核把关,二是要对规范性文件给于单独的序列编号,确保公司内控规则体系的一致性、整体性。
2、抓好制度的“执行”环节:
一是成套整理了集团近两年下发的规章制度,并将电子版提供给了下属各单位、各部门供学习、备查。后期将择机将集团层面的规章制度也汇编成册,提供更为直观的书面版。 二是清理、完善了公司的内控制度。将2011年之前推出的45份有效制度汇编成册提供给了下属各单位、各部门,清理的过程中废止了3份制度,并计划后期修订12份制度。对于2011年及今后年度出台的规章制度,公司将以年度为单位成套整理、汇编成册,并形成惯例,方便查阅。
三是抓好集团、公司两个层面规章制度的宣贯培训,让干部员工在准确掌握这些规范性文件的同时,在实际工作中能践行到位。通过培训抓制度执行,是2010年以来公司为提高规章制度规范、有效执行的重要举措。公司规定,对集团、公司出台的规范性文件,相关工作的对口部门必须事先仔细研读,在透彻掌握、领会要义的基础上,要及时组织系统的宣贯培训。在培训师资的选择上,既有集团职能部门领导、公司领导负责授课,也有公司职能部门负责人,甚至是专业技能过硬、基层实践经验丰富的部门员工负责授课;在培训内容的选择上,我们根据轻重缓急,结合季节性重点工作,有的放矢的选择内容,保证学习培训与一个时期的重点工作尽量挂钩,以增强学习效果;在培训方式的选择上,既有全员轮训集中学的方式,也由自上而下、从公司到班组分层分批分散学的方式;在具体授课的方式上,既有制度条款的详细解读,也有结合日常实际、图文并茂的案例分析。
从今年4月份开始,公司对全员学习轮训进行了统一的安排:一个月学一个专题,每个月3期(每周四晚),员工分批分期参加,确保每个员工每个专题都学到。 总体上来说,在规章制度培训上我们始终把握着两点:一是要有实际效果,将制度的关键点、核心内容准确传达给员工,让员工心中有数;二是要通过培训,让员工感受到集团和公司的制度文化氛围,从大的层面上领会到集团和公司当前在做什么、怎么做,今后准备做什么、怎么做。通过这些有实效的学习培训,我们想让员工在接受、掌握、运用这些规章制度的同时,更可以让员工的所思所想、所作所为逐步回归和统一到集团和公司的发展理念上来,这是一件很有意义的事。
四是分层次监督、强化各部门、各单位对规章制度的执行力度,把“调整观念、转变作风、提升执行力”作为日常管理的一项重点工作持续推进。具体体现在:
1、通过修订中层干部管理及考核办法,加大中层管理团队在规章制度方面的执行力度,对所有中层管理人员实行“百分制”考核,中层干部的月度绩效工资直接与制度执行的质量等指标挂钩,按绩效得分发放绩效工资;
2、打造一个有效的管控流程,各部门通过每周至少一次的“周履职”方式检查各单位在规章制度方面的落实程度并进行月度考核。从职能部门“周履职”的实际情况来看,我们达到了预期的效果,部门通过现场调查,了解掌握了基层的真实情况,在检查公司各项制度、各项工作在基层落实程度的同时,也为基层做好了服务。
3、专门安排企划部门负责督查其他职能部门在规范性文件方面的执行情况,同时明确授权企划部加大问责力度,对未按集团或公司规范性文件执行的行为,在按规定扣减责任部门月度绩效工资总额的同时,另按干部管理办法扣减责任部门负责人的个人月度绩效得分。
五是强调与集团的沟通。公司明确规定:各职能部门在日常工作中,要充分注意与集团对口工作的管理部门加强联系、沟通和协调,使公司职能部门和集团职能部门之间形成“热线”畅通、工作高效低耗的局面,避免具体工作中因缺乏与集团沟通而导致“无用功”的现象出现,特别是要避免处理具体工作时出现“想当然”的现象。【完】 附件:公司规章制度清单。 公司规章制度清单 出台年份
编号
制度名称
2011年 1
设备管理绩效考核暂行办法
2
库存物资管理办法
3
外接供水供电管理办法
4
办公用品管理暂行办法
5
计件工资管理办法(试行)
6
物资采购实施细则
7
装卸工艺改进管理办法
8
设备维修项目管理办法
9
主业生产单位及职能部门绩效考核办法
10
生产服务中心管理及绩效考核办法
11
加压处管理及绩效考核办法
12
员工教育培训管理实施细则
2010年
13
薪酬管理暂行办法
14
加强生产区货物进出门管理的通知
15 中层干部管理及考核办法(试行)
16
防汛工作预案
17
废旧物资管理暂行办法
18
部门职能、职责分解表
19
转运车管理办法
20
关于对《转运车管理办法》予以调整的通知
21
装卸服务管理办法(试行)
22
枝城港工具管理暂行办法
23
运输车辆管理办法
24
计量站管理办法(暂行)
25
关于加强货物运输出门管理的通知
26
绩效管理实施细则
27
员工考勤制度实施细则
28
员工休假制度实施细则
29
员工加班值班制度实施细则
30
员工处罚实施细则
31
关于加强财务印鉴管理的通知
32
生产流动机械使用管理办法
33
操作岗位员工计件工资办法(试行)
34
关于加强公司更新及修理项目管理的专题会议纪要
2009年
35
工会会费收缴管理暂行办法
36
基层工会工作考核暂行办法
37
帐务处理流程补充规定
38
员工住院探望实施办法
39
社会治安综合治理工作考核标准规定
40
41
关于加强劳务用工外付力资管理的通知
42
消防安全管理规定(试行)
43
转发《装卸车后清除车辆货物残留及杂物的规定》
44
船舶在枝城港作业期间安全管理规定
45
关于汽车转运费率调整的通知
2009年之前
46
治安管理暂行规定(试行)
47
公司门卫管理规定
48
公司现场安全监督实施细则
49
公司灭火、应急疏散预案
50
公司班组建设实施办法
51
关于实行班组分类管理的通知
52
各类事故报告和处理规定和各类重大事故应急处理预案
53
公司趸船(基地)管理办法
54
公司员工养老、工伤、生育、失业、医疗保险暂行办法
55
公司处置治安突发事件应急预案
56
公司作业船舶管理办法
57
公司班组单机成本核算管理暂行办法
第7篇:和禹公司审计工作及审计工作计划国电电力和禹水电开发公司2015年审计工作总结及
2016年审计工作计划
国电电力发展股份有限公司审计部: 2015年国电电力和禹水电开发公司(以下简称:和禹公司)监察审计部在国电电力审计部、和禹公司党政领导班子的正确领导下,根据年初审计工作计划,夯实开展了内部审计工作。截止本年10月末,已独立完成专项审计3项,系技改工程专项审计,成本管理审计,一至三季度八项费用”专项审计;配合中介机构完成审计项目3项,系大兴川水电项目基建跟踪审计,原和禹公司总经理任井利、原东北水电公司总经理袁普银离任审计;正在独立开展检查评价工作1项,即2015年度内部控制评价工作;正在配合中介机构完成工作1项,即和禹公司全面风险管理体系建设工作。截止本年10月末,提出审计建议1条,整改完毕,审签各种经济合同92份,审签金额4439.82万元,审减金额0.9万元,已上报审计信息20篇,预计全年上报24篇,现将2015年度完成的主要工作及2016年审计工作计划简要汇报如下: 一.2015年度完成的主要工作:
2015年度和禹公司审计工作以年初国电电力审计部下达的工作计划为中心,夯实开展各项内部审计工作。积极采取因地、因事、因人制宜方式,使得本年度的内部审计工作开展的较为顺畅,取得了宝贵的工作经验,及时将审计中发现的管理
1 缺陷上报和禹公司相关管理部门,及时准确地做出了风险提示,具体如下:
1.加强制度学习,夯实开展“八项费用”专项审计项目
和禹公司审计部组织审计人员,认真学习国电集团、国电电力及和禹公司“八项费用”的相关管理办法,加强与费用管控部门的沟通,清晰掌握各项费用的使用流程及相关要求。在实际审计过程中,始终秉承“精、细、实”的工作理念,运用现场查阅费用明细账、费用报销凭证、询问相关费用管控部门负责人等审计技术手段,确实将发生的每笔“八项费用”业务尽收眼底,对和禹公司“八项费用”的合理使用、风险把控等方面做出了详尽的调查,对其中所发现的诸如审批程序不够规范、制度执行不够彻底等方面的事项,及时准确的做出了审计风险提示及审计建议,为和禹公司“八项费用”使用的“刀刃”效用,起到了积极的督促作用。
2.紧密配合中介机构,完成离任及基建跟踪审计项目 根据国电电力审计工作的安排,聘请外审中介机构对总经理离任、基建项目进行审计工作,在配合审计过程中,本着“机遇难得、虚心请教、配合协调、沟通顺畅”的工作理念,积极配合完成相关工作。在实际工作中,外审人员的工作视角、深度及专业素养,给和禹公司内审人员留下了深刻的影响,使得和禹公司内审及相关管理人员受益匪浅。中介机构的审计工作,是对和禹公司近4年的生产、经营、基建管理工作的一次
2 “单元测验”,通过专业中介机构的“检测”,暴露出和禹公司在生产、经营、工程管理等方面存在着一些不够规范的地方,尤其是在相关政策的理解掌握及灵活应用、规范解决历史遗留问题的创新思路等方面存在着不小的差距。为此,和禹公司党政班子高度重视,要求相关管理部门,抓住这次难得机遇,对照审计报告,虚心请教、逐项分析、实事求是、规范整改,规避“暗礁、旋流”,确保和禹公司这艘大船乘**浪、高速前行。截止目前,通过审计追踪调查,绝大多数事项已做出根本性的整改,对于个别由于历史原因形成的问题,将在下一步的工作探讨、研究、请示汇报的基础上,逐步加以规范和解决。 3.高度重视、精心组织、紧密协作,确保高标准完成和禹公司全面风险管理体系建设工作
和禹公司作为国电电力全面风险管理体系建设的第一批推广单位,这既是一种荣誉亦是一种责任。监察审计部作为此项工作的牵头部门,更是倍感责任重大,为此我们决心做好以下几个方面的工作,从而确保高标准完成公司全面风险管理体系建设工作。一是要保证工作设计层面的高标准,严格按照国电电力的工作指导思想、工作原则,充分结合和禹公司各项管理工作实际,切实拿出针对性、适用性较强的工作方式、方法,为全面风险管理体系建设工作顺利完成铸造基石;二是要保证工作环节严丝合缝、紧密相连,加强与相关业务部门、咨询公司进行广泛、紧密、深入的沟通交流,为顺利完成全面风险管理体系建设工作注入一剂顺畅的“润滑油”。三是要切实提高
3 工作效率效果,下达力气、加足马力,扎实、高效的推进各项工作,确保全面风险管理体系建设工作进程与工作质量,为国电电力全面风险管理体系建设工作的深入推行,做出监察审计部应尽的职责与奉献。
3.其他内部审计工作完成情况
根据年初审计工作计划的安排,和禹公司监察审计部一并完成了技改工程专项审计及成本费用管理审计工作,通过上述两项专项审计工作,使得和禹公司在成本管理及技改项目管理的规范性得到了切实保障与提高。另上报国电电力内部审计报告3个,审计信息20篇。截至目前,正在按照国电电力审计部的相关工作要求,按计划有条不紊的开展2015年度内部控制评价审计工作,预计此项工作将在年末完成。
二.当前审计工作面临的形势分析与预测、工作中存在的主要问题及实际困难
1.当前审计工作面临的的形势分析与预测
一是伴随着计算机技术、互联网的进一步的普及运用,相信审计的工作的网络化时代即将如期而至,审计人员会面临着一个审计环境、线索及审计技术手段全面革新的时代;二是依据和禹公司总体发展情形,开发新能源、工程建设、对外承揽工程、资产处臵等项目将陆续“涌现”,审计人员会面临着相关业务知识匮乏的窘境。
2.审计工作中存在的主要问题及实际困难
一是面对日益繁杂的审计项目,和禹公司审计人员自身的
4 专业技能、专业素养与实际工作要求还有着一定的差距,故导致在审计工作的过程中,相关专业知识还比较匮乏,审计方法还略显业余,审计成果还略显稚嫩,审计工作质量尚需进一步提升;二是部分管理部门、人员对内审工作尚存有认识误区,导致审计所提出的风险提示,未能引起足够的重视,使得审计成果未能得到良好的转化运用。 三.2016年度工作思路及工作计划
2015年和禹公司监察审计部将在国电电力审计部的正确领导下,结合和禹公司生产、经营、基建管理的实际状况,以加强内部控制和风险防范为导向,努力推动审计工作创新和质量提升,充分发挥审计价值创造和监督职能,继续扎实有效地开展内部审计工作,为和禹公司保驾护航。具体工作计划如下:
1.做精、做细、做实2016年度的内部控制评价工作。 2.结合和禹公司工程建设、资产处臵项目的具体实际,努力配合完成工程项目审计工作。
3.适时开展资金管理、技改、关联交易、物资管理等方面的专项审计工作。
4.积极参与企业决策,推动审计成果的应用。
5.进一步加强审计人员业务学习培训,不断提升工作能力和工作质量。 四.工作建议
1.建议进一步加强审计人员的培训力度,为确保审计质量打
5 下坚实的理论基础。
2.建议内部审计人员以学员身份参加外审项目组,配合完成具体审计审计项目,从而内审人员有利于快速提高审计业务水平。
3.适时、适地域开展审计人员岗位交流活动的开展,拓展业务领域,丰富工作经验,为确保审计工作质量充实丰富的经验累计。
和禹水电开发公司监察审计部 二○一五年十月二十九日
第8篇:内控制度工作情况汇报内控制度推进总结
一、制度体系的基本情况:
在执行公司的规范性文件(各类管理办法、内控制度、实施细则、工作流程)今年按照集团的目标要求和自身开展“制度执行年”的工作所需。
二、制度执行情况及相关措施:
总体上来说,一是以“制定好”和“执行好”为主线,通过近几个月在制度执行力方面有了较大的改观,突出表现在中层管理团队、各方面的管控要求、管控目的更明白,对规章制度的具体内容掌握的比较到位,能做到“心中有数”;二是在日常工作中能时时刻刻按规则处事,大到一个项目的运作、一项工作的推进,小到一支笔、一件工具的购置,都能按照集团公司的规定去处理。
三、采取的具体措施:
总的来说把握了以下原则:
1、集团有明确规定的,按集团规定执行;
2、集团没有明确规定的,按公司已有的规定执行;
3、集团公司都没有明确规定的,报集团审批同意后执行。
1、抓好制度的“制定”环节:
一是出台的制度要简洁、适用、有效。公司推出的各项管理规定,都是结合日常工作实际、有明确管控要求、可操作性强的实质性内容。
二是制度要有相对的稳定性,同时相互之间不存在冲突。这两个要求既是为了保证制度的严肃性,同时也是为了避免操作部门和人员“无所适从”。同时通过“必要会签”的环节,避免“各自为政”、互不通气,保证制度之间不发生冲突或遗漏。
三是制度要成体系,有连贯性,要求各部门在制度制定过程中要实现集团公司—下属矿山自我管理几个环节的无缝联结、全面对接,使公司规章制度执行规范化、常态化。确保公司内控规则体系的一致性、整体性。
2、抓好制度的“执行”环节:
一是成套整理了集团下发的规章制度,并将电子版提供给了各单位、各部门供学习、备查。
二是清理、完善了公司的内控制度。将以前推出制度清理废止。
1 三是抓好集团公司规章制度的宣贯培训,让管理人员工在准确掌握这些规范性文件的同时,在实际工作中能践行到位。通过培训抓制度执行,是2013年以来为提高规章制度规范、有效执行的重要举措。对集团公司出台的规范性文件,相关工作的对口部门必须事先仔细研读,在透彻掌握、领会要义的基础上,及时组织系统的宣贯培训。
四、在规章制度培训上我们始终把握着两点:
一是要有实际效果,将制度的关键点、核心内容准确传达心中有数
二是要通过培训,感受到集团公司的制度文化氛围,从大的层上领会到集团公司当前在做什么、怎么做,今后准备做什么、怎么做。通过这些有实效的学习培训,我们在接受、掌握、运用这些规章制度的同时,更可以让所思所想、所作所为逐步回归和统一到集团公司的发展理念上来,这是一件很有意义的事。
三是分层次监督、强化各部门、各单位对规章制度的执行力度,把“调整观念、转变作风、提升执行力”作为日常管理的一项重点工作持续推进。四是强调与集团的沟通。公司明确规定:各职能部门在日常工作中,要充分注意与集团对口工作的管理部门加强联系、沟通和协调,使公司职能部门和集团职能部门之间形成“热线”畅通、工作高效低耗的局面,避免具体工作中因缺乏与集团沟通而导致“无用功”的现象出现,特别是要避免处理具体工作时出现“不符合内控制度管理”的现象。
五:今后加强学习与制度执行:
由于我们水平有限、对制度每条每款解读不够深刻理解。在今后内控制度学习上、努力学习、弄懂弄通、为把内控制度管理顺利进行而-----努力。
开元矿业综合科
2013年12月
第9篇:公司内部审计工作总结和工作计划公司2015年度
内部审计工作总结和2016年度工作计划
2015年,**********公司审计部围绕公司“*****”年度发展主题,结合部门年度目标,认真履行了部门职责,卓有成效地开展了各项工作,为公司持续健康发展提供了有力保障。现将2015年工作及2016年计划情况报告如下:
一、2015年度内部审计工作总结
(一)2015年审计基础工作情况。
2015年,审计部在机构设置、人员配备、制度建设等基础工作方面发生较大变化。
1.机构设置。
公司成立审计部,主要职责为负责公司内部控制体系、全面风险管理体系的建设与管理,开展对所属各单位的经济责任审计、专项审计和调查。公司内部审计工作由审计部统一负责,下属平台单位不再保留审计职能。
2.人员配备。
人员编制为***人,其中审计部主任1人、审计处4人、风险管理处3人。本年招聘********,目前在职***人。
3.制度建设。
审计部对已有25个制度程序进行梳理,重新修订印发了《公司经济责任审计管理办法》等制度文件,制定了《财务收支审计工作程序》、《全面风险管理程序》等程序文件。
4.工作组织运行模式。 审计部根据年度审计计划组织审计小组,并根据审计项目的具体工作量和复杂性,协调内部审计咨询专家协助开展现场审计工作。
(二)2015年度审计工作开展情况。
截至2015年12月底,已完成现场审计项目***项,完成年度计划***%。目前,已有***个项目形成审计报告,审计资产总额****亿元,挽回各类损失****万元,节约各类开支****万元,清退个人不当得利***万元。****主要实施的审计及各类专项检查项目包括:
1.财务收支审计。
*截至2015年12月底,审计部已完成对****、****公司、****公司、****项目部、****等10个项目部的财务收支审计,加强了对被审计单位财务收支合法性、会计信息真实性和准确性的检查监督,促进了会计核算工作的规范化,提高了财经法纪执行力,防范了舞弊风险。
2.经济责任审计。
审计部根据公司人力资源部委托,开展了对****公司、******等7个单位原主要负责人的离任经济责任审计,完成了1项任中经济责任审计,对所属单位领导人员任职期间的经济责任履行情况作出了客观评价,发挥了经济责任审计在促进领导人员廉洁从业、加强权力制约与监督、完善被审计单位内控制度等方面的作用。
3.其他专项审计及检查。 *********
(三)2015年度审计工作亮点和创新。
2015年,审计部结合部门年度目标,认真对待每项审计任务,注重审前准备、资源和计划的平衡及审计效果,不断加强审计队伍锻炼,提升了审计工作质量。
1.重视审前调查工作。 ******。
2.实现“*****”。
审计部*将*对同一单位审计的“*****”,提高了审计效率、避免对同一单位重复审计。
3.加强审计队伍建设,全面提高综合素质。 ******。
4.拓展审计范围。
审计部加强对权力集中、资金密集、资源富集的部门和岗位的监管,把被审计单位“三重一大”决策制度执行、招投标程序执行、分包采购等经营行为规范性纳入必审范围,提高公司经营管理水平和风险防范能力。
5.加强审计发现问题的整改落实。
建立了审计问题清单,定期将审计发现问题进行汇总归类,对要求立行立改的问题,要求整改的时间期限,需要持续整改的,明确整改要求,发挥审计消除隐患,堵塞漏洞,完善内部控制体系的作用。
(四)存在的问题及改进措施。
1.本年已完成审计项目22个,与上年度相比,增长37%,在审计项目数量、审计效率与审计质量等方面都有较大程度提升,但对照*****公司审计部要求,仍存在较大差距。如要完成集团公司“******”的任务,本年应达到30%以上,实际本年度财务收支审计覆盖率为15.87%。审计部计划2016年加强财务收支审计,使覆盖率累计达到60%-70%,为2017年完成集团公司“*****”的任务打下坚实基础。
2.审计发现的问题虽多,但深度不够,且相同问题在不同的单位重复发生,缺少对审计发现问题的系统分析、总结和反馈,对被审单位和其他相关单位的警示和促进作用效果减弱,审计整改和审计成果运用有待加强。***** 3.审计部人员总数虽有所增加,*****审计队伍整体素质有待提高。审计队伍缺乏工程造价方面的专业人员,****2016年,审计部将继续加强审计人员培训,拓宽在岗人员知识面,提高综合能力,使其具备独立开展审计任务的能力。
二、2016年内部审计工作计划
(一)2016年内部审计工作思路。
随着我国经济发展进入新常态,2016年经济下行压力预计会继续增大,投资增速放缓,对*****业负面影响较大,公司面临经营风险将增大,公司对****风险的*****也会增加。同时,集团公司继续推进实现“****”的审计目标。
面对新的任务和要求,审计部2016年的工作思路是:*****,关注公司经营管理全过程,加强对权力集中、资金密集、资源富集的部门和岗位的监管,推进重点领域和关键环节的全过程跟踪,及时揭示风险,消除隐患,堵塞漏洞,完善内部控制体系,提高公司经营管理水平和风险防范能力。
审计部科学制定审计项目计划,2016年安排审计项目25个,比2015年增加14%。********的要求,强化财务收支审计,财务收支审计占总计划的64%。
审计部根据审计计划,*****和效果,进一步发挥审计对促进稳增长政策贯彻落实的保障作用。
(二)2016年审计工作计划。 1.审计项目计划。
2016年安排审计项目25个,其中:****、核电和核工程项目部,以及结合经济责任审计开展的财务收支审计;经济责任审计4个,其中已明确被审计单位的离任审计项目2个,另2个计划从任********年2个预计竣工的基本建设项目开展竣工决算审计;经济效益*******计调查1个。
2.审计项目组织实施。
2016年每月******目,审计任务比较繁重。在审计项目实施上,仍以自组审计小组为主;基本建设项目竣工决算审计拟聘请具备资质的外部审计机构完成;按照成本效率原则,坚持“********效”,按被审计单位所处地域集中审计。为提升审计工作质量,应做好审前调查工作,结合实际编制审计方案,注重在全面审计的前提下突出审计工作重点;提高审计工作底稿的完整性、审计*****反馈,拓宽审计成果利用渠道,督促整改落实到位。
3.制度建设。
加强内部审计制度体系建设,结合内控自我评价工作,加大流程梳理力度,继续完善部门制度体系、优化控制程序,提升执行效果,提高部门工作质量。
4.队伍建设。
继续加强审计队伍建设,通过开展多种形式和层次的岗位培训、与外部单位的交流学习,不断改善审计人员的知识结构,提高审计工作水*****化审计项目的人员配置。
5.信息化建设。
推进审计信息化建设,创新审计模式,改进审计方式方法,加快审计信息化建设,提升信息化环境下的审计能力和水平。
三、对****审计工作的建议
(一)进一步加强对各成员单位工作的指导和监督检查,促进集团公司整体审计工作质量和效率提升。
(二)搭建工****单位审计工作的顺利开展。
**********公司审计部
2015年12月30日
第10篇:审计工作汇报审计跟踪情况汇报
本次审计主要为瑞达广场一期工程,主要涉及项目有三层以上主体工程、外墙保温、防水涂料工程、二次主体及装饰装修工程、防水工程、外墙装饰工程以及窗户工程。
其中三层以上主体工程签订合同价为350元/平米(包工不包料)。根据审计剔除甲供材料费用,按同期信息价计取,管理费按一类30%,利润按20%计取,审计单价为230元/平米。合同单价高出审计单价的52.2%。
外墙保温、防水涂料工程根据合同两项合计单价为190元/平米(包工包料)。按同期信息价计取,管理费按四类20%,利润按17%计取,审计单价为161.1元/平米。合同单价高出审计单价的11.8%。
二次主体及装饰装修工程地上、地下合计合同平均单价148元/平米(包工不包料)。工程签订合同价为148元/平米(包工不包料)。根据审计剔除甲供材料费用,按同期信息价计取,管理费按一类30%,利润按20%计取,审计单价为168元/平米。合同单价低于审计单价12%。
防水工程三项合计签订合同单价为72.5元/平米(包工包料),管理费按四类20%,利润按20%计取,审计单价为116元/平米。合同单价高出审计单价的8.23%。
窗户工程合同附框23元/平米,平均单价为490元/平米(包工包料)合计513元/平米。管理费按四类15%,利润按20%计取,审计单价为450元/平米。合同单价高于审计单价12.3%。
根据审计情况说明,按照理论情况,审计单价采取信息价,实际合同单价应低于审计单价,但实际情况部分工程合同单价要高于审计单价,由于工程前期及施工阶段工程预算的缺失,在施工过程中没有对甲供材料的使用量进行有效的控制,施工单位上报多少计划,我们单位采购多少,在施工过程中也没有有效的控制浪费,使公司造成了不可挽回的损失。在对施工班组的结算中,现场的管理人员也存在很大的失责,本来应该在班组工程全部验收合格后开具的工程结算单,在停工的时候就已经结算完毕并已经入了财务,如果是在经济景气的情况下,同时财务又对现场情况不了解,很又可能就会出现“工程未完,帐已结完”的情况,直接导致甲方的工作被动,同时也会给公司带来不可预估且不可挽回的损失,建议建立完善相关的财务付款审批制度,各部门紧密配合,在为公司创造价值的同时,必须要保证公司利益不受损失。
在这段实际跟踪审计报告的工作中,充分发现了在工程成本管理与工程成本计划的重要性。施工成本控制存在终检局限性,所以在工程施工过程当中,应采用动态控制原理,来控制人、材、机、措施费等费用,防止工程在完工后,导致公司造成无法挽回的损失。
以上所述,充分凸显了工程动态造价控制的必要性,所以建议公司应成立预算经营部,通过动态控制造价的方法,科学合理的控制投资成本,避免公司造成损失,使公司的资金合理、有计划的安排和发挥最大化使用。
工程部
2016年3月1日
第11篇:审计工作汇报黄龙镇第八届村干部任期经济责任审计工作汇报
根据区经营管理局的统计统一部署和镇党委、政府的统一安排,镇财政所于2011年7月,对全镇所辖的12个村民委员会和2个社区,自2008年10月至2011年6月的村级财务收支情况、村级集体资产处置情况、村级债权、债务管理、村级土地和工程项目发包情况、村级专项资金管理情况等五个方面进行了审计。现将审计情况报告如下:
一、基本情况
黄龙镇地处十堰城区西郊,国地面积126平方公里,所辖12个村、2个社区,84个村民小组,农业户3300户,农业人口11300人。全镇有两个省级贫困村,4个市级贫困村。各村收入以上级部门和扶贫对口单位的扶持款和房屋租金为主。所有村、社区都实行了每季度一次的财务审计,12个村级集体财务都实行了“双代管”。
此次村干部任期经济在区经管局的指导下、在镇党委、政府的安排下,严格依照法律规定的审计程序和方法开展工作。各村、社区审计结束后都按规定向广大村(居)民公示审计结果,接受群众监督。此项工作已在换届选举前结束。共审计资金总额
万元,2011年6月全镇村级资金总额为
元、债权总额为
元、债务总额为
元。由于加强了管理,我镇没有出现一例违纪行为和贪污案件。参加此次审计的人员达102人次,共投入审计人员3人。
二、主要做法
1、加强对审计工作的领导。今年6月,我镇成立了以党委书记为组长,党委付书记、纪委书记为付组长,相关领导和镇财政所干部为成员的领导小组。落实了责任,制定了实施方案,明确了方法步骤。办公室设在镇财政所,具体负责开展审计业务工作。
2、组建领导小组。针对我镇财务管理的实际,在镇党委的高度重视下,专门组建了由分管领导和财政所组成的审计小组,负责对全镇干部任期经济责任的审计。
3、审计过程坚持民主性。结合农村集体经济的特点,在充分尊重村民自治的法律前提下,遵循农村集体财务管理制度,整个审计过程让村“两委”委员和村民主理财小组全程参与,保证了审计工作的合法性和合理性。
4、审计结果全面向村民公开。在村民换届中,村干部任期的经济管理情况是广大群众最为关心的焦点。因此在审计过程中,我们把审计结果的公开作为重点环节进行认真监督和落实,并广泛听取群众对审计结果的意见和建议。切实做到了农村审计为农民服务的要求,保证了村民的知情权。
5、坚持依法审计的原则。在审计过程中,我们严格按照《农村集体经济审计工作规程》的相关规定进行。既不放纵违法违纪行为,也不单纯脱离实际情况找问题。坚持依法依规、实事求是,按审计程序,重证据、重事实以及对村干部和村集体经济发展负责的原则,高质量地完成了此次专项审计工作。
三、取得的主要成果 通过这次审计,一是增强了村干部的纪律意识,真正体会到了上级党委政府对村级财务的重视;二是较好地推动了农村财务民主管理进程,在审计过程中大力宣传财务管理公开化、民主化的重要性和有关政策,充分调动了农民群众参与监督和积极性;三是村干部积极配合以及村民的参与和监督是搞好这次专项审计的基础。在审计中,各村、社区干部都认识到对他们任期间的经济审计是对他们任期工作的负责和关心。因此态度端正,配合积极,加之村民的监督,充分体现了民主管理的积极作用。通过审计让离任的干部认为“走的清白”,上任的干部“接的明白”。
四、取得的经验和教训
第12篇:某公司审计室审计工作XX公司审计室2013年度审计工作
计划
公司审计委员会:
2013年是集团公司“十二五”规划承上启下的重要一年,也是面对国际国内严峻的经济形势备受考验的关键时刻。集团审计监察室将围绕集团经营目标“控风险,防下行;保效益,促转型”的工作方针,行使好监督、评价、咨询特别是内控的服务职能,提升风险管理水平,为实现公司经营目标,促进集团的转型升级发挥有效的作用。
一、工作目标
坚持以“提升内控风险管理为集团转型升级保驾护航”为主线,“兼顾大局,把握重点”为指导方针,内控审计、绩效审计、经济责任审计并重,提高审计工作质量,加强审计意见的落实,充分发挥审计在防范风险、完善管理和提高经济效益中的“免疫”功能,促进集团经济稳定持久地发展。
依法履行上级审计机关和集团公司董事会赋予的职责,对各分子公司经济运行及实际经营的情况进行有效的监督检查,促进其经济活动的合法性与效益性,重点关注集团及各分子公司重大投资项目,程序的合法合规及资金流动环节,以维护集团资产的真实、安全与完整。更加关注集团及各分子公司内控风险管理水平,从健全管理机制层面 发现各种风险点,关注事前风险,提出有效建议,创新管理思维,为实现经营目标提供有力的保证,真正提高企业核心竞争力,促进集团经济健康地发展。
二、具体工作措施
审计作为安全健康贯彻实现集团经营目标和发展战略的重要手段,通过对集团经济效益和内控管理进行评价,确保及时发现集团内部潜在的财务风险和经营管理弊端,更好地为“十二五”规划的战略发展目标服务。具体计划主要有:
(一)根据“十二五”规划的工作方针,2013年审计工作的重点将放在内部风险控制方面。继续通过“巡检”等方式,对各分子公司内控制度及执行情况进行穿行测试法、抽样法等检查。主要评价内控是否健全有效,以及在此前提下的内控运行是否得到了认真的贯彻
和执行,以便及时发现公司运行和管理中存在的薄弱环节,从而针对性地提出审计意见,尽可能地规避经营管理上的各种风险。同时,完善公司管理流程能够有效保证经营目标的实现,督促经济活动的正常运行。主要是以对股份公司审计室在2012年内控评价的基础上,2013年将通过咨询服务的方式,积极推动公司风险管理机制的建立健全,继续促进内控体系有效运作和进一步完善,强化审计质量控制,提高审计效率;结合公司全面预算管理,着手预算管理审计准备。热联审计室在常规审计工作的基础上,将以风险控制审计为抓手,进行审计风险和薄弱环节的检查监督,重点关注新增业务的风险控制及其管理流程的效益性和事前风险预防等。
(二)离任经济责任审计和清算工作是集财务审计和绩效审计为一体的综合性审计,它能够对领导干部的经济责任、经营效益等进行界定和评价。以明确资源配置的合理性,深化审计监督管理的职能。审计室将继续积极参与集团及各分子公司资源整合过程中发生的领导干部离任经济责任审计,重视审计成果的转化利用,对审计中发现的薄弱环节进行查漏补缺,健全管理机制。
(三)遵循“十二五”规划的主线,关注集团及各分子公司重点投资的项目,将审计关口前移,改事后审计为事前、事中审计,防范审计风险,以保证集团战略框架下投资项目操作运行的合规性、合法性。2013年的跨年项目主要是XX的跟踪审计报告。关注其开发过程的合法合规,资源配置是否合理运用,有无闲置、浪费的情况,工程预算进度与实际操作是否匹配,加大跟踪审计隐蔽工程和设计变更的力度,确保工程能够有序运行。
(四)根据“兼顾全局,把握重点”的工作方针,2013年将针对性地开展专项审计工作,即XX.工程专项审计将注重检查风险薄弱环节,主要是针对专项资金的运用情况,是否做到银行专户储存、专款专用,是否按规定进行工程的预算概算,资金走向情况的合规合法,与预算是否一致,资金是否合理运用等关键的风险点进行监督检查,以便有效地评价其效益性。
(五)2013年审计室将继续做好常规的财务审计工作,作为内部审计的基础,财务审计能对企业的各项经济业务进行检查核算,从而评价经济活动的效益性,并针对性地提出审计整改建议。2013年继续做好上年由于计划的调整未完成的XX公司任期内的经济责任审
计及XXX公司的常规性财务审计。
(六)根据公司新的经营发展思路及集团各个公司业务的多元化,为了更好地把握行业动态,加强对内审人员业务培训,通过学习提高对公司业务的熟悉程度,提升业务技能;充分发挥内部审计在公司管理中的作用。
三、创新与规范并举,审计工作制度化
审计监察室本着与时俱进和创新审计整改思路的原则,对集团审计管理制度进行了重新编写修订,走好审计“制度化,规范化”的发展道路,使管理有制度,审计有依据,处罚有规定。通过制度化对各分子公司的审计流程,工作质量进行监督引导,提高审计效率。同时,还要求加强对审计意见落实情况的跟踪,将审计成果有效地转化,避免同样的问题重复出现。今年集团审计监察室将关注实行审计管理制度后,审计工作效率和质量的改善情况,以及不定期对审计成果运用的执行情况进行检查回访,从而达到查违纠偏、防范未然、强化管理、规避风险的目的。
二○一三年一月七日
第13篇:房地产公司内控汇报材料(写写帮推荐)XXX内控与风险管理工作汇报材料
XXXXX:
依据集团公司XXX的要求,在XXXXX的指导下,我公司自上而下转变观念,积极推进内控与风险管理体系建设,加强学习、深入探索合规管理,逐步完善风险管理工作,截止到目前已按集团公司要求初步完成了内控与风险管理体系的建设工作,现将内控与风险管理工作汇报如下:
一、强化内控基础工作,建立良好的内控文化氛围
随着项目开发日益深入和市场竞争日益加剧,以及国家各部委、外部监管机构对公司管控力度的不断加强,按照集团公司要求,为进一步加强公司内部控制,提升公司风险管理水平,实现公司健康、良性发展,成立了以总经理为组长、分管领导为副组长、各部门负责人为成员的内控管理工作领导小组,明确职责和目标,形成由总经理负责抓、分管领导具体抓、部门配合抓,层层抓落实的组织架构。切实加强组织领导,扎实采取有效措施,为开展内控与风险管理体系建设工作奠定坚实基础。
企业文化是企业在长期的生产经营过程中形成的,为全体员工接受、认同与信守的经营理念、行为规范、企业形象、价值观念和社会责任等具有企业特色的精神财富的总和,在强化日常基础工作的同时,各部门通过相互交流、学习,积极营造全员参与的氛围、树立内控先行的理念,积极培育符合我公司实际的内部
控制文化,使内控意识和内控文化渗透到每一位员工思想深处,使内控成为每位员工的自觉行为。熟悉自身岗位工作的职责要求,理解和掌握内控要点,及时发现问题和风险。确保公司上下思想上、认识上对内部控制体系保持高度统一。
二、强化内控责任落实,提高内控体系的执行力
各业务部门指派专人负责收集、整理本部门所涉及的资料、制度等文件,全面梳理本部业务流程,明晰各业务流程之间的逻辑关系。落实责任制, 做到边检查、边整改、边完善。具体做到以下几点:一是指定专门专人负责各项规章制度的具体落实、实施;二是对集团公司的各项制度认真组织学习并及时下达贯彻;三是针对重点业务中存在的问题,完善配套的措施和实施细则;四是对以前规章制度的执行情况进行综合评判。五是严格追究责任,要真正提高内控体系建设的执行力。
三、内控体系建设情况
1、公司层面的风险识别及应对
本阶段根据公司基本运营情况,结合公司掌握的行业常见风险,并且考虑国务院国资委以及财政部等政府部门有关风险评估的相关要求,整理公司层面风险,在借鉴集团公司下发资料的风险数据库的基础上,通过问卷调查的方式对公司风险进行识别、评估、排序,以便识别企业面临的重大风险。根据调查问卷的分析结果,将公司层面风险发生的可能性和风险的影响程度以坐标图的形式进行展示,并且绘制了公司层面重大风险图,以便于管理层将主要精力集中于等级较高的风险上。
2、业务层面风险识别及应对
2.1业务流程框架
为企业现有业务流程提供全景图,明晰各业务流程之间的逻辑关系,为审阅现有业务流程体系的完整性提供工具,公司按照公司治理结构、人力资源管理、行政管理、财务管理、工程管理、成本预算、管理、招投标管理、法律事务管理、规划设计管理、营销管理的主要业务绘制了公司业务流程框架。根据流程框架,梳理了流程业务执行的主导部门。
2.2流程图、流程描述
以可视的方式清晰、直观地反映每个三级流程的走向,明细到具体部门及岗位,便于规范业务人员的日常业务操作程序,降低运营风险。公司各业务部门根据流程框架中分列的
二、三级流程,共编制了流程图XXX份。流程描述详细说明每个业务流程的所有步骤,相应流程控制措施以及对应的操作人员和输出表单等信息,便于规范业务人员的日常业务操作程序,降低运营风险。根据流程图共编写流程描述XXX份。
2.3风险控制矩阵、业务层面风险数据库
将流程中所涉及的风险和对应的内部控制进行汇总,以发现控制缺陷的一种矩阵表格。根据整理完成的流程图绘制完成了风险控制矩阵表格。通过分析流程图中列示的可能面临的主要风险,并按风险类别进行区分,按照风险等级排序,编制了业务层面的风险数据库,以便管理层能够清楚认知各业务流程面临的主要风险以及其重要性。
2.4控制文档
列示企业各业务流程中存在并已实施的内部控制措施,并按控制类型、控制方式及控制频率等进行区分,以便管理层能够清楚认知各
业务流程中存在的控制措施以及具体落实的责任岗位。根据流程图、流程描述共编写控制文档XXXX份。
3、内控与风险管理手册
3.1手册编制原则
《内控与风险管理手册》是以财政部等五部委《企业内部控制基本规范》及配套指引、国资委《中央企业风险管理指引》、上交所和联交所的相关指引以及COSO《内部控制整合框架》和COSO《企业风险管理整合框架》为基础,借鉴集团公司下发的基础材料结合长春中铁房地产开发有限公司实际情况编制而成。
3.2手册结构及内容概要
手册包括六个分册,即《体系框架分册》、《内部环境分册》、《风险评估分册》、《控制活动分册》、《信息与沟通分册》及《内部监督分册》。
3.2.1《体系框架分册》
描述了内部控制体系组织结构与职责,较为全面地阐述了内部控制体系的建设目标,并以财政部等五部委《企业内部控制基本规范》为指引,参考《企业内部控制配套指引》,从内部环境、风险评估、控制活动、信息与沟通和内部监督五个方面对内控关注要点及相应措施进行了较为全面、系统的阐述;
3.2.2《内部环境分册》
描述了内部环境的概念,并从描述内部环境的概念及要素,从治理结构、机构设置与权责分配、内部审计、人力资源政策、企业文化五个方面对内部环境各要素关注要点、控制措施进行阐述;
3.2.3《风险评估分册》
描述风险和风险评估的基本概念,从风险评估原则、基本程序、公司层面风险评估及应对、流程层面风险评估及应对四个方面对风险评估关注要点及相应措施进行阐述,并汇编公司层面和流程层面风险评估的相关成果及文档;
3.2.4《控制活动分册》
描述控制活动的概念及分类,从控制活动实施、控制活动有效性评价和权限指引三个方面对控制活动的关注要点及相应措施进行阐述,并汇编控制活动的相关文档及资料;
3.2.5 《信息与沟通分册》
描述了信息与沟通的概念及要素,从信息采集、信息沟通、信息系统、反舞弊机制以及内部控制与全面风险管理信息平台五个方面对内控关注要点及相应措施进行了阐述,并汇编了关键控制信息;
3.2.6 《内部监督分册》
描述了内部监督的概念及要素,并从日常监督、专项监督、缺陷跟踪和内部控制评价四个方面对内控关注要点及相应措施进行了阐述,并汇编了相关模板。
以上六本手册相对自成一体,并与公司企业文化和制度体系相辅相成,共同构成了支撑公司有效运营的内控与风险管理体系。
第14篇:X公司内控失效案例剖析和对策X公司内控失效案例剖析和对策
摘 要:文章X公司内控失效的实例出发,详细剖析其在公司治理、财务管理、内部控制等方面存在的问题,并就 X公司完善公司治理结构、建立健全公司财务管控体系等方面提出如何完善内控体系建设、提升公司执行力的解决方案。
关键词:内部控制 公司治理企业文化
内部控制是指一个单位的各级管理层,为保护其经济资源的安全、完整,确保经济和会计信息的正确可靠,协调经济行为,控制经济活动,利用单位内部分工而产生的相互制约、相互联系的关系,形成一系列具有控制职能的方法、措施、程序,并予以规范化、系统化,使之成为一个严密的、较为完整的体系。广义地讲,一个企业的内部控制是指企业内部管理控制系统,包括为保证企业正常经营所采取的一系列必要的管理措施。通常在我国,一些业务活动简单、稳定的中小企业或家族企业不设专门的职能结构,是一种最简单的集权式管理。正因如此,这些企业的内控制度建设和控制力度均不尽人意。从当前实际情况看,许多企业的内控问题非常突出,进而影响其经济效益,阻碍了发展。与发达国家相比,我国中小企业的内控制度存在很多问题,如:内部控制的受益主体不明确,企业缺乏建立内控制度的原动力;企业的规模小,人力、财力缺乏,管理水平较低,在内部机构设置和职责划分等方面容易产生遗漏和交叉,难以实现有效的内部控制。但是,内部控制作为公司治理的关键环节和经营管理的重要举措,在企业发展壮大中具有举足轻重的作用。下面,笔者将以X公司为例,深刻剖析其在公司治理和内部控制等方面存在的问题,并提出解决的方案和对策。
一、X公司治理和内部控制存在的问题
X 保健品有限责任公司成立于2001 年初,是一家在中国大中城市(以广州为起点)经营保健品连锁销售业务作为公司主营业务范围的公司。该公司成立的初期(2001-2005)为家族式管理:最大股东李先生担任董事长和总经理。其妻子担任直营店分部的总经理,其弟担任特许加盟分部的总经理。从公司刚成立的时候,就确立了公司的销售模式包括以下两种模式,一种是直营店,一种是“特许加盟”。特许加盟采用的是满足急剧扩张而相对松散的经营形式, 特许加盟模式的管理因为缺乏比较正规的管理体系而比较随意, 因此公司和加盟商的关系一直都比较紧张。在这个时期,李先生和他的亲戚已经明显感觉到他们的精力和能力严重透支,身心俱疲。因此,重塑公司企业管理团队,制定严密、切实可行的管理制度成为这一时期的战略中心。公司逐渐“家族化”,但是没有取得决定性的成功,主要是长期以来形成的家长式作风、拍脑袋决策的模式在公司已经非常固化了。公司在内部财务管理方面开始推行积极的“全面预算管理体系”,制定相对平衡、客观和全面的“360度绩效考核和管理体系”。遗憾的是,公司在关键岗位的人力资源招聘方面投入不够,导致这些系统的设计从一开始就存在很大的问题。执行力方面更是欠缺。导致实际上公司花了很多精力和成本来建立体系,但是效果却非常不好。尤其是公司的两种商业经营模式:直营店和加盟店在体系统一和整合方面的要求非常复杂,差异也很明显,很难融合。所以这一段时期,公司的内部控制和财务管理体系非常混乱,公司的绩效管理体系也形同虚设。公司的同事们觉得公司的整个绩效管理体系经常发生变化,并且承诺的奖励都会因为一些自己不能控制、不应该由自己负责任的因素而随意更改,员工的积极性不
断下降,员工的离职率一直在上升。上述综合因素导致公司的主营业务战略仍然以不断扩充门店规模为主,公司的服务质量、经营的产品品质等都没有太多的进步,在市场上口碑受到严重影响。
在这个时期,公司在财务绩效方面的风险因为外部市场尚能维持较稳定的增长而被抵消了相当大的一部分。公司领导层并没有深刻意识到公司的财务风险。所以在相对混乱、重点不明、针对性不强的绩效评估体系的运作下,公司的财务状况的持续恶化并没有引起公司战略上的重视,而这个问题到了市场饱和及衰退期就集中爆发了。
二、X公司内控失效的案例剖析
X公司的上述案例是一起典型的企业内部控制失效案例。结合X保健品有限责任公司的具体情况,会发现该公司从初创时期到衰退期,严重缺乏内部控制,主要表现在:
1、X公司的内控环境基础薄弱,治理结构的制衡机制失效。X公司在成立初期,设置的公司治理结构十分简单,缺少对权力机构,决策机构,执行机构和监督机构的明确划分,公司的治理层与管理层人员相互交叉的现象严重。X公司的治理结构明显不能达到监督与制衡的作用。在后期的发展过程中,公司也没有对治理层结构做出根本性的改变。
2、X公司有待建立科学的人力资源管理机制,其管理缺乏专业性人才。X公司在关键岗位的人力资源招聘方面投入不够,缺乏全面型的管理型人才和财务型人才。
3、X公司缺乏完善的内部机构设置和合理的权责分配。公司把全部重心放在市场和销售上,对公司的其他组织机构与部门未能进行合理的设计和划分,无法确切落实具体权责。
4、X公司企业文化建设滞后,公司一直以利润导向为主,忽视企业文化对公司的影响力,没有树立全员共同认可和遵循的信念、价值观、道德观等等,所以导致后来员工缺乏积极性而大量离职,使公司的凝聚力极度削弱。
5、X公司对应收账款和现金的管理和控制力度不够,缺乏相应的审批程序,导致公司与关联人以及加盟店之间的应收款项很大一部分无法追回,给公司带来大量的亏损。
6、X公司虽然建立了全年预算管理体系却未能很好的贯彻实施全面预算控制,缺少对经营目标的划分与落实,导致公司的经营目标无法得到有效实现。
7、X公司没有形成一套规范的绩效考评机制,导致员工无法获得与自己劳动相符的报酬,缺乏动力。
8、X公司有两套经营体系却未能投入足够的资源建立良好的会计信息系统,导致信息不能进行有效地传递和共享。
三、X公司内控失效问题的建议和对策
为了加强和规范企业内部控制,提高企业经营管理水平和风险防范能力,促进企业可持续发展。针对X公司内控失效的管理现状和深层次原因,结合X公司的发展战略,特提出如下解决方案:
1、完善法人治理结构,建立决策者的制衡机制。内控制度的失效,很大程度上是内控环境的不完善造成。由此可见,顺利实施企业内控制度,必须首先优化企业的内控环境,树立诚信的原则和道德价值观;体现“以人为本”的管理思想、优化人力资源配置,建立建全法人治理结构,建立科学的管理组织结构合理授权,加强企业管理哲学与企业文化建设。根据《企业内部控制基本规范》和《企业内部控
制配套指引》的相关规定,结合集团公司的发展战略和实际情况,建立健全企业的内部控制体系,并实施定期评估机制。
2、应制定和实施适合自身的发展战略。X公司在充分调查研究,科学分析预测和广泛征求意见的基础上制定发展目标,以此制定战略规划,公司可专门设立战略委员会负责发展战略管理工作,董事会履行好审议职责,公司在实施的同时应加以监控和调整。
3、X公司应当重视人力资源建设,根据发展战略,结合人力资源现状和未来需求预测,建立人力资源发展目标,制定人力资源总体规划和能力框架体系,优化人力资源整体布局。在人力资源引进方面要根据人力资源能力框架要求招聘优秀人才,尤其关注关键岗位所需要人才的引进。在人力资源开发方面要重视人力资源开发工作,建立员工培训长效机制。另外还要建立一套科学有效的激励约束机制、公司员工的科学选拔任用机制和严格的监督检查机制、定期述职机制与业绩考核机制,严明纪律,严格奖惩。建立的激励约束机制要涵盖财务业绩、企业文化建设的综合性评价体系,促进公司健康发展。
4、X公司同时要加强企业文化建设。在X公司内部,要形成积极向上,开拓创新的,诚实守信的企业文化。企业文化能够提高企业的凝聚力和竞争力,帮助企业实现战略目标,实现企业的可持续发展。在公司的直营店和特许加盟店之间,总公司要优先考虑加盟店的利益,要有公平公正的态度和政策,加强与加盟店的沟通才能处理好公司与加盟店的关系,实现双赢。
5、X公司应加强对资金运营全过程的管理,做好资金在采购,生产,销售等各环节的综合平衡,全面提升资金营运效率;充分发挥全面预算管理在资金综合平衡中的作用,按照预算协调资金调度;定期召开资金调度会或资金安全检查;加强对营运资金的会计系统控制,严格规范资金收支条件、程序和审批权限。
6、在公司的资产管理控制方面,X公司应该以存货管理为重点,可以采取以下措施:① 采用先进存货管理技术和方法,规范存货管理流程;② 建立存货管理岗位责任制,做到不相容岗位相互分离;③ 重视存货验收工作,规范存货验收程序和方法;④ 应当建立存货保管制度,定期对存货进行检查⑤ 明确存货发出和领用审批权限,存货出入库记录,合理确定存货采购日期和数量,建立存货盘点清查制度。
7、X公司同时应该加强销售业务的管理。在销售层面应加强市场调查,合理确定定价机制和信用方式,及时调整销售策略,完善客户服务制度,提升客户满意度和忠诚度,不断改进产品质量。在收款层面应该完善应收款项管理制度,严格考核,实行奖惩。加强对销售、发货、收款业务的会计系统控制,加强对应收款项坏账的管理,应收款项无法收回时应及时查明原因,明确责任。
8、X公司应完善自己的信息系统。应当重视信息系统的作用,加大投入力度,有序组织信息系统开发、运行与维护,优化管理流程,全面提升企业现代化管理水平。
四、结束语
内控制度完善性和有效性直接影响企业的发展,同时内控制度的完善与否也极大影响着企业内部环境。目前我国很多类似于X公司的中小型企业的内控中普遍存在的问题就是内控制度的缺失,企业的内控制度根本无法发挥应有的作用正是由于这些问题的存在,并且让企业出现运行成本增加、财产物资的完整性得不到保障、管理者徇私舞弊等问题。所以,只有加强内控制度的建设,才能使企业得以健康快速发展。
第15篇:上市公司CIO 内控管理和信息化建设财政部会计司综合处处长,内控标准委员会家成员胡兴国 中国石油化工股份有限公司信息系统管理部处长姜林
用友公司NC产品架构师付建华女士
河北网通信息化部高级工程师屈玉阁
浪潮通软副总裁兼技术总监魏代森
中国铝业信息部的杨磊
国际信息系统审计师协会北京事务委员会主席何迪生
摩卡软件高级售前顾问周立民
EMC信息安全事业部中国区资深技术顾问冯崇彪 信息中心主任张艳
下面我们有请财政部会计司综合处处长,内控标准委员会家成员胡兴国。 胡兴国:各位领导,嘉宾,上午好。
今天能有这个机会我想给大家汇报一下财政部会同另外四各部位关于标准建设实施情况,我汇报情况叫我国企业内部控制标准建设与实施。
汇报5个问题,一个是我们启动标准建设的规定,第二就是汇报我们企业内部控制建设历程,第三简单汇报一下标准建设框架体系,第四简单介绍一下信息化,风险管理与内部控制关系,最后大家探讨一下企业在事实内控标准应该做一些什么工作。
第一部分是就是它的意义,我从三个部分进行总结,大家知道去年5月11日,财政部,证监会,保监会,还有审计署同时颁发了基本规范,我们也在北京召开了发布会标志着我们国家企业内部控制标准建设,有了重要阶段性成果。
当前世界金融危机给我们国家造成很多机遇,我们做了一个调研企业加强内部建设,提升自身的能力是非常重要。第二就是中央提出走出去战略,国家起草规范和技术出发点,要企业做强做大,帮助他们国外资本市场进行融资,特别是是美国,英国,法国,包括我们香港都有一些要求。
第三就是满足我们资本市场发展需要,我们国家资本市场公开,公平,公正,提高财政的信息质量,提升我们经营管理水平,可持续发展,还有保护我们广大投资者利益。 第二部分就是发展历程,我们国家企业内部控制建设从70年代就是改革开放以后,特别是我们第一部会计法的实施,这是一个标准性阶段。在满足社会不同需要,在这个过程我们出现过满足核算制度等等。早在70年代末期,80年代初,包括我们提出岗位分离等等。90年代的时候,特别是我们会计法实施的时候财政部96年发布会计规范,规范要求各单位进一步建立健全包括内部控制先进内部会计管理制度,会计法明确要求各单位建立内部管理,这是我们内部管理的法律依据,到2001年6月22日,财政部依据会计法规定又制定了企业内部会计控制规范,基本规范和后备资金,04年相继发布了销售与收入增加,发布了1+6的等各项制度。
第三阶段以我们发布的金融规范,来源主要是美国安然事件以后,采捕正有关领导,把安然事件对我们国家的意义报个国务院,国务院领导同志做了批示,这项工作财政部牵头,证监会,国资委配合,建立中国的塞班斯法,到2007年,财政部,银监会,国资委等联合发起成立我国企业内部标准委员会,委员会委员是31位,我们成立了8个咨询小组,8个小组去年我们把这个小组又扩大了,委员从31名发展大50人,咨询小组现在有150人,当时我们发布规范发布了17项具体规范。我刚才说5月22日我们发布节本规范,要求7月1日正式实施。
第三部分给大家汇报一下,基本规范的框架体系。框架体系是一个规范加三个指引,一个是基本规范已经发布了,内部标准体系是最高层次,有的人说是中国的塞班斯法,第二是主要是对企业,对企业有内控企业的主体。帮助企业建立体系,第三系评价指标,是企业内部必须做的评价包括自我评价,怎么评价。第四是审计指引,会计事务所执行内部审计。 基本规范主要是有概念,目标,原则,要素。我们提出了概念,当时我们国家内部控制很多部门都有,包括我们银行,银监会,包括我们的证监会,包括我们两个交易所,我们部门把概念统一一下。目标有三个目标,我们提出5个目标,我们是5目标,原则,要素。 应用指引,给我们发布了征求意见,目前21个应用指引,加上审计指引,加上评价指引,一共是23个,我们财政部部长签发了,审计署也签了。我们应用指引主要是21个分布,一个是针对企业管理,我们根据基本规范有5个一个是统一架构,一个是发展战略,一个是人力资源,还有社会责任和企业文化。这5个我们是怎么每一个构架都差不多,我就举一个社会责任框架,我们第一就是整合,提出它的概念什么是社会责任,我们再提出中心有哪些,社会责任我们提出4个中心点,安全生产,不落实可能导致企业生产事故,第二产品质量恶劣,会侵害消费者利益,可以导致企业破产,大家知道河北石家庄三鹿开奶粉事件,第三是环保投入不足,资源消耗大,造成环境污染,资源枯竭,缺乏发展后劲一是一个风险。
第四我们说促进就业和员工权益保护,我们金融危机背景下,扩大就业,保内需,增长,我们从企业角度。第一是控制环境,第二是资源,包括资金活动,我们以融资,投资这一块我们放在一些活动里面,还有采购业务,还有负债管理,销售,研发,工程项目,服务外包等等。应用指引形式都差不多,比如说采购应用,我们主要是支付环境,包括购买环节,要采购申请,招标,确定供应商,供应价格,报批核准等等,每个环节进行控制,第三是控制手段,包括全面预算,风险管理,内容信息传递,信息系统,财务报告。
第四针对特殊行业或者行业的控制,包括银行业,证券期货业务,保险业务个个应对指引。再说一下就是评价制度,作为企业内部管理涉及到运行效果和自我评价,为了方便起见,我们起草了一个对企业内部控制,内部评价指标,包括内容,标准,程序,方法,包括报告形式,我们选择企业报告的基本是从1月2日,12月31作为一个会计年计表,也可以选择6月30号自查报告也有了新的形式我们参考的深交所还有美国塞班斯法正在研究,报告形式可能要分两部分,第一个是对环境评价,对业务流程通过一些表格,数据一些量化标准。企业怎么判断你的是否存在重大缺陷,下面就是审计制度,主要是事务所接受企业审计。从我们目前起草稿子我们指引分四各类型,一个就是标准,还有在强调时间段和保留意见,还有否定一些意见,还有无法表明一些意见,和我们财务报告差不多,这个也有一些具体指标。我简单汇报一下框架体系。
第四部分我们汇报一下内部控制与风险管理的信息化,我们是怎么理解的。内部控制和风险管理,实际上存在一些争议,理论界对这一问题,人事部统一,有人认为内部控制与风险管理是两回事,两张皮,也有人形象说内部控制是“正确的做事”,风险管理是“做正确的事”。从我们制定基本规范角度出发点,我们认为内部控制和风险管理不是两张皮,应该是一个完整和有机融合,我们认为内部控制主要是企业内容风险,包括你可控风险也包括不可控风险,但是都要做。所以我们基本规范风险评估,有风险识别,分析,经营存在的风险,战略,决策等等。第二对国际先进研究成果与经验看,应该是有机融合的趋势。看与风险之间的感到我们是这样理解的。
那样控制与信与化,信息化会计信息化有财政部会计司也说,80年代我们在全国积累了很多经验,在电算化的一些标准,08年11月12日我们财政部会同其他8大部委在北京成立会计信息化,包括还有XBRL中国地区组织。经过20多年的努力,在会计信息化工作方面给我们发了一个指导意见,这项工作从我们司角度,已经成为工作重点。会计信息化与内部控制信息化还是有一点区别,这一方面从我们内控角度,我们单独有一个信息系统这方面的指引,我相信这个会内部控制好,要做得好,对大多数企业来说很重要的。随着科技发展水平越来越先进,所以信息化一定要跟内容控制有机融合起来。信息系统我个人理解不仅是本身需要控制,最主要是在内容控制和风险管理中,能发挥很大的作用,提高工作效率,能够节约很多成本。
第五部分,我汇报一下企业如何实施内容控制规范。我们知道原来定今年7月1日上市公司开始实施,考虑到因为我们一系列的具体的应用目前还没有发布,加上我们审计指引,发布以后还要有一段时间消化吸收还要有一个过程,由于金融危机影响,我们调研一些企业他们关注点说法不一样,有的说我们现在经济不景气,我们练内功吧,有的关注不是这个关注经济增长率,所以经过部里面领导多年的慎重研究,目前我们调整到2010年1月1日,原来是在境外上市公司实施,考虑到情况其他上市公司、其他企业也执行。这套体系下来已经做了调研实施成本是非常大,实施难度还是有一定难度的,目前需要财力,人力资源,所以我们想这个中国在境外上市有4个国家。实施原定7月1日实施,有一个自查报告,2010年12月31日,我们还有一年半的时间,我们的有一些企业有完善的标准、完善的制度体系,我们宣传和应用。下半年我们就做一个宣传和培训工作,我们目前正在紧锣密鼓的筹备当中。目前我们跟踪一些大的企业看看他们的实施效果。
企业在贯彻实施内部控制规范制度,我个人理解应该从下面6个方面。第一个方面就是要强化宣传培训,提高内部的认识。不管7月1日执行不执行,上市公司总是要执行,只是一个时间问题,延续明年下半年,或者后年总之是要执行的,所以工作还要往前做。所以要宣传培训提高认识。第二点就是要健全内控机构,提供组织保障。不少企业有内控部、有风险部,有的是单独设立了内控部门,有的是放在财政部下面,有内控部。形式不一样,但是我们从基本规范角度要求,要设立机构配备人员。第三点要循序渐进,稳步实施,不是哪一个部门,不是我们财务部一下子的事,是需要多个部门配合。对于企业因为差别很大,差别很多,千差万别基础也不一样,建议分步骤、分层次的进行。选择境外上市公司执行,考虑境外上市公司资本市场是适合公众利益,执行效果好坏事关资本市场的稳定,但是上市公司基础较好,人员素质较高,本身有完善的内部控制的制度体系,同时也有雄厚财力支持,所以选择境外上市是有扎实的基础。第五点我们建议注重实施成本,讲究实施成本。第六就是强化内部控制建设,增加风险防范能力,应该进行统一协调。
最后一点就是要企业善于借助外部资源,合理利用外脑。企业在实施过程中内部控制标准体系过程中,让人感觉到这方面人才,智力资源的局限于可以借助外部咨询机构,中介机构,帮助你设计,避免少走弯路。同时让咨询机构培训自己的人才,这样提高企业综合管理水平。 我要汇报简单给大家汇报一下的是我们财政部牵头这项工作的基本思路,不对之处请大家指正谢谢大家。
主持人:非常感谢胡处长的发言,下面我们有请来自IDS Scheer咨询经理阚相元先生发言。 阚相元:各位领导,各位来宾,大家早上好。
我代表Scheer公司,与大家分享一下我们内控风险管理的认识和经验。
在正式演讲前我们Scheer公司是德国著名管理信息学教授在1999年建立的,进入中国是2004年,目前公司在北京上海,还有深圳,有三个办公室,在中国主要是提供两个方面大的分别服务一个是SAP实施和核心ERP系统咨询服务。第二服务我们公司业务流程管理系统核心包括风险和内控建设,进入中国时间虽然很短但是我们在中国市场获得很多客户,包括一些跨国公司。
今天的演讲分三个方面去介绍,首先,跟大家分享我们看到国内管理的企业在整个内控与风险管理建设方面遇到一些挑战和困惑。第二,我们看到信息化系统在解决这些困惑和挑战方面起到什么样的作用。第三个方面,我们会用一个具体的案例介绍一下两个方面。 我们现在企业面临很多的要求,要求我们企业加强内控风险管理,我们分析了一下,这些要求不外乎是从四个角度出发,比如说国资委的《中央企业全面风险管理指引》,从是保护股东权益角度出发,还有保护公众权益出发的,还有一个是专业的行业部门,为了保障行业稳定发展,尤其是金融行业,比较明确是我们有银行的一些管理办法。还有保险业,还有政府部门维护整个市场经济经济角度出台一些要求。
比如说财政部内部控制规范,这些核心思想是结合本企业自身特点,一些基本参考框架建管理体系,实际上和我们在很很早之前做的ISO的应用是一样的道理,无外乎我们要参照基本要求建立企业自身特点的管理体系,我们有很多客户交流,尤其是一些国有大中型企业,和上市公司交流大家会遇到一些困难,我们遵循上交所规范,和财政部规范,还有国资委中央企业风险管理的要求。我们怎么保证一套体系满足这些要求,我们要分门别类地架构我们的体系,我们企业肯定是不堪重负。 我们仔细分析了一下及我们以财政部和国资委两个法律法规要求看,他们是不矛盾、不冲突的。他们的核心思想是一样的,比如说我们财政部内部控制基本规范,提高我们内部控制体系核心要素分为五个部分,我们国资委前面风险管理执行里面也提到很多条,但是他们明显有一个明确的供应关系,我们认为我们结合一些国内外的案例,《企业的内控与前面风险管理指引》,有不同政策要求,但是我们都何以分成三个层面理解,首先一个层面我们要结合我企业特点,识别出我们的风险或者是控制点,设立我们相应对的控制措施,是我们整个体系设立层面。第二,我们要把我设立措施应急方案在企业内部推广也是一个控制实施过程,第三我们保证体系健康发展,做工作对体系运行设计和工作实施情况,进行监督,对不足之处改进,确保我们整个体系设计是合理的,执行是到位的,这样一个体系。
根据我们对不同客户的交流按,发现大家面临一些一样的困惑,所有管理政策要求核心要求是基本是一致的,第一就是要设计符合企业内部业务特点的管理体系,并且这个管理体系要能够根据公司业务,比如说组织架构调整进行及时调整。第二就是我们要把体系形成文件,作为我们执行和审计的依据,作为监督改变的依据。这样我们看到整个企业面临两个方面的挑战,第一我们体系改革的中心、编制审核很难跟得上业务变化,组织是在不断调整,业务流程是不断变化的,信息系统建设是逐步推进,每次做这种变革需要我们重新审计这些文件。第二就是我们体系文件难以根据外部环境变化进行及时调整。
在控制实施方面,所以体系文件我们看到有两个要求,一个是根据设计的方案,我们体系设计与执行的一致性。第二就是实施过程当中你要保留一些可以审计,检查,这样一些依据,比如说控制实施了,要留下相应证明文件。这样我们可以看到有很多企业面临两方面挑战,第一就是缺乏有效的发布实施平台,我们做这个文件怎么能够让我企业内部从高层到基层管理,大家都知道,业务当中执行这是一个挑战。第二就是胡处长提到我们企业控制点很多,我有的客户有5千个控制点,如果全部用人工进行控制的时候,控制成本会很高。这是面临两个挑战,在整个体系监督和改进方面,有两个核心管理要点,我们要对体系设计合理性,实施彻底性监督并且定期出一些评价。第二我们评价监督资料要保留一下,可以供外部或者是企业的监督点所使用。
这样我们可以看到企业里面有两个方面要求,第一就是我们体系监督本身工作量很大,协调的难度也很高,这样导致我们合规的成本是很高的,第二就是我们需要和一些企业定期每季度,每年度要做监督测试的工作,这些工作资料实际上对我们整个体系持续优化是很重要。但是我们很多企业做完以后,发现资料量太大,我将来不会再利用,达不到我们持续优化的目的。
上面这些挑战直接导致后果就是四个,一个首先合规成本很高,我们看到很多企业最早国内企业是遵循美国的《萨班斯法案》,动员内部很多力量,才能完成合规工作。第二,很多企业抱怨,我是把风险控制住了,但是我们业务效率降下来,业务要不断识别风险,满足内控部门要求。第三导致的后果是我们很难持续地合规,今年可能通过,明年能不能通过还是一个未知数。第四是企业很难满足不断增加的内部的合规要求,我们国内上市公司面临这个困难很明显,最早是满足《萨班斯法案》,国内又提出,国资委又提出要求,最近在财政部也提出要求,企业怎么满足不同需求。这个我们认为可以借鉴向国外上市的公司,用《萨班斯法案》上市的经验,可以分五个阶段。第一个阶段是企业如何去控制规范,企业具体要求是什么,第二就是我要建立业务体系,第三就是我们要内部体系进行评价,第四个阶段我们企业面临挑战就出来了,企业寻求信息化的手段,首先想到信息化手段我们要把我的内控测试,监督工作流信息化,我们要把整个体系文件信息化管理,第五阶段我们更高层面规范我把业务标准化,很多跨国公司很多相同业务存在,他们风险是类似,也是可借鉴的。如果不存在业务单元,业务列成标准化,我风险的数量会大大降低,这是流程标准化。最后就是他会有一些信息化的手段实现我们业务和我们内控有机融合的目的。这是我们所面临些挑战与启示,下面给大家介绍一下我们在内控和风险管理的一些解决方案和想法。
我们认为国资委前面发的指引也好,或者是财政部规范也好,明确提出企业在内控风险管理过程当中充分发挥信息系统作用,也结合我们在国外的一些经验,我们现在解决模块就是6大模块,基本涵盖我们整个内控和风险管理过程。第一就是我们首先一个建模模块,可以把企业内部业务和整个风险和内控风险体系文件进行管理。第二是风险事件的管理模块,我们怎么建立风险事件部。第三是风险评估模块,我们把风险评估任务分到各个管理部门把所有风险进行排序。在第二层面控制实施模块有两个,一个是帮助发布实施模块,我们可以给企业业务流程,让业务流程管理人员共同使用。第二是监控及预警的模块。我们一些业务的指标,资金流动性等等这些指标,第三层面就是我们有一个监督改进模块,可以使整个体系监督测试工作机械化。
我们在跟企业沟通过程中有一些问题,我们体系文件问题是很多,我们用大量文档,我们看到表述了企业业务实际情况的文档,还有一些风险矩阵,包括一些制度组织,发信这些文件是分散,在业务上是有联系,但是在管理手段是没有联系,我们怎么做风险识别呢?我们系统有一个基于一个数据库把我们整个企业业务现状和风险控制集成化进行对象化的建模。我们左侧看到了一个流程,我们发现有一个风险点,这个风险点有一些控制措施,基于控制措施的执行情况,由于会有一个监督测试措施,针对这些测试我们制订一些人员,在系统里面把有机关联起来,进入一个建模。基于我们信息化模式可以进行快速分析,我可以知道我们企业业务存在哪些风险,我知道哪些管理这些风险,哪些风险是在哪些流程上这样我可以很容易抓住一些风险的重点,并且我们业务管理软件有一个很好作用我能够把企业里面对于同一个业务,从不同管理体系的要求,都在这业务流程表述出来,比如说从质量管理方面的要求,安全管理信息的要求,内控管理信息的要求。在整个表当中我们可以看到三套流程框架,我在具体执行业务过程中我到底要执行哪套业务,执行哪些要求,我们这个系统是可以把所有管理体系的要求落实到一个业务流程体系,这是同一个业务流程进行集中化的管理。在我们系统可以根据不同管理体系要求,我们质量管理要求,内控管理要求,再出具不同的业务报表。
我们的系统最重要一个点我们可以搭建一个业务部门和风险管理共同使用平台,首先我们业务人员和风险管理人员可以进行业务的建模和风险管理建模,形成一个企业管理知识库,管理人员可以看我们风险点,业务人员可以看业务,并且可以满足跨地域的支持。
综合来讲,在这一块特点主要有两个,第一搭建业务人员和风险管理人员共同使用平台,第二我们可以提高业务流程风险管理制度的效果,前面讲到可以减少工作量。
第二跟大家介绍一下我们风险评估的模块,是一个风险评估软件,在我们风险评估内部发起到外心,到风险评价结果分析,前后我们都可以在系统里面完成。最后系统要给企业管理层几个报表,比如说定量分析的热图,定性分析的热图。并且我们可以根据我们多次评估结果掌握不同风险变化趋势。这个风险评估解决方案特点,主要有两个,第一我们通过流程信息化,我们把风险评估工作,信息化以后,固化以后可以建立一个持续风险评估机制,比如说对某一个风险要半年评估一次,到期的时候,系统会自动发起评估任务,可以确保风险评估任务的工作,第二我们基于同一个平台进行风险评估可以保障所有风险在同一个平台实现,可以掌握所有的风险的情况。第三个模块是我们风险损失事件管理,可以通过一个工作流建立一个数据库,给我们提供一些风险借鉴的案例,比如说我们看到一个信誉风险有几次,原因是什么,这样对我们风险识别有一些启示作用。它的特点有两个,一个是通过信息化建立一种固化持续化的风险机制,第二建立公司统一可以对风险应对提供一些数据化的支持。 第四是我们监控和预警的模块,这个模块最大的特点是我们可以从企业业务系统里面提取业务数据,进行指标的监控基于规则的事件识别。
我们系统最大的特点数据功能是非常强大,可以跟现在所有的业务系统和数据库可以进行数据的收集和对接,我们可以把企业很多关心情况展开的地方,可以预警展开指标的情况,从而实现风险之前的管理和运营。我们设计了一些业务规则,看系统里面我们业务操作过程中有没有按照这些规则做,实现过程控制,还可以提供一些选择功能。比如说我们能够看我们的职责,在各种信息系统里面落实情况,检查全面配制的正确性,合理性。
最后是我们测试和评价模块,这个模块主要是通过测试和实现对我们体系监督评价,这样我们的软件也是一个工作流软件,涵盖了从测试任务的发起到测试工作的进入,到统计分析到改进工作跟踪,全过程涵盖。它的最大特点能够和我们建模模块做最初体系软件,进行数据同步,保证我们在监督测试的时候,我们看到和我们体系设计的初衷是一直的。
最后它这个系统有一个很大的统计分析功能,出一些多纬度测试结果,内控和风险管理绩效考核,不同业务哪块业务做不好,哪一块风险管理不好。我们可以从不同角度,或者和哪些科目相关的风险控制点到位不到位。我们通过流程信息化建立个测试及整改的工作机制,第二我们系统和我们体系管理系统进行数据接口,保证在测试过程中使用所有的文档都是集成的,不用工作人员手工做很多文件,第三简化我们大量工作,提高我们的工作质量。 下面我们简单介绍一下我们在德国做的案例,这是一家在国外上市的大型国有企业,最初就是做内控项目是从《萨班斯法案》开始,在遵循《萨班斯法案》过程中他发现有几个方面挑战,第一是业务流程管理水平很低,增加了内控管理的难度,影响内控管理工作的落实。缺乏一套可以全面表述工作情况的文件,不能不全面的表述出工作业务的实际情况,要识别风险加以控制这是一个很大的挑战。第二是他的组织人员非常庞大,他体系管理难度是很大。第三挑战他的内控监督测试的组织,工作难度很大,测试成本很高,用的几百人的人力进行一年工作,才能做完,首先有很多的工作细节导致很多测试成本不是很高。
根据这样的特点,我设计了基于风险管理的系统,首先把我们业务和体系文件管理起来,第二做人力和测试模块。第三就是我们要把做完的业务和体系文件发布出来,同时这个系统还能够支持我基于同一套流程,可以满足我内控也可以满足我ERP实施的要求,还有一些指标的控制。做的第一个工作首先是我们把业务进行全面梳理,从横向到纵向可以保证我业务真实的业务状况。基于这情况我们看每一个业务流程里面有那些风险点,业务目标是什么,有哪些不确定的因素,针对风险点我们有哪些是控制措施,风险管理,控制执行我们怎么测试进行一个统一规则进行了一个描述,以后我们可以发布出来企业管理的内容库,这样我的业务人员在维护人员可以看我每一个业务要求,风险管理人员可以快速看到的风险可以到那个里面去。通过前面讲的测试的管理和测试的统一分析,极大地节省了他们的人力与物力。 这样以后我们跟客户一起总结,整个做完以后收益是体现三个方面,第一是通过风险管理工作,进行业务流程标准化,加强企业规范化指引,提高业务管理水平,这是客户一个收益。第二提高内控管理的工作效率和质量,降低我们合规化成本,主要是信息化手段降低了工作量提高效率降低了合规成本。第三方面的收益实现了内控管理和业务经营活动的有机融合,过去内控风险管理工作就是风险管理部门工作,业务部门是对专业部门去推动的,这样一个双方抵触的情绪。通过这样一个程序双方可以落实,把我控制风险融合到业务当中去,实现业务管理工作和风险控制的有机融合,我们对内部监督测试过程也是对我们业务执行力的检查,也是业务执行的保障。
今天时间有限给大家介绍就到此为止,谢谢大家。
主持人:非常感谢阚先生。下面一个讨论主题是“中国石化信息化建设和内部控制体系”,有请中国石油化工股份有限公司信息系统管理部处长姜林。
姜林:各位领导,嘉宾上午好。
我汇报题目是“中国石化信息化建设和内部控制体系”,汇报的内容包括中国石化基本情况,信息化建设和应用情况,信息系统内部体系,IT内部体系。
中国石油化工股份有限公司是由中国石油化工集团公司,国家中华人民共和国公司法多家发行方式,2000年2月25日设立股份制公司,分别在香港、纽约、伦敦,三地交易所成功发行上市。
2001年7月16日上海证券交易所成功发行了28亿A股,截至2008年年底中国石化总股本857亿股。中国石化是中国最大能源化工公司之一,主要从事石油与天然气开采开发。管道运输销售,石油炼制、化工、化纤、化肥等等产品输送。石油、天然气、石油产品、化工与其他化工产品进出口代理进出口业务。技术信息研究开发应用,中国石化是中国最大的石油产品,包括汽油、柴油等主要石油产品,也是中国第二大原油生产商。
中国石化建立了规范的治理机构,实行了集中决策风险管理和专业化经营事业部,事业部管理体制,中国石化有全股子公司,包括炼油、化工产品销售等企业。主要是集中在中国最发达的东部和南部的地区。中国石化更加注重科学创新、管理创新,努力把石化建设成为能源化工公司。
中国石化最大股东中华石油化工集团公司是国家在原中国石化公司总基础之上,1998年成立了特大型石油石化集团,美国《财富》杂志2008年世界500强中国石化名列第16位。 第二方面是信息化建设了应用情况,2000年以来,中国石化以ERP为主线信息化建设获得快速发展,到2008年底ERP在81家企业,以ERP为带动电子商务系统、供应链系统、生产指挥系统、集中管理系统,一些先进控制生产集成系统,等多种使用系统都得到了广泛的应用。目前信息技术应用解决中国石化生产管理多个领域,中国石化ERP开始于20000年,在4企业成功试点多个展开,包括油田,炼油化工销售,企业全部覆盖,企业从业大规模ERP建设,2007年底基本完成,ERP系统推进资金改革提高管理水平,规范信息管理行为,强化控制方面效果明显。
中国石化通过采购电子商务系统从2008年8月投入至今,网上采购结果88个单位,5千个物资扩大到目前50多个单位,76万多个效果,90%的物资实现了网上采购,到09年3月网上采购资金突破6千亿,集约采购200多亿。对供应链系统经过几年建设,提高原油采购,运输、加工,供应链管理系为炼油企业讲稳增效起来发挥了重要的作用。人员统一调配,用统一安排格局及实现技术指标分割,数据采集,监控分析,有效地降低用户费用和财务费用。 目前总部生产系统以新大楼统一运行,实现调度跟踪,系统各项部门功能得到有效应用,总部集中了平台,用户总体不断扩大。目前已建成IC卡联网加油站17000多户,发卡网点5000多,持卡消费33%以上。增产集成系统用三年左右时间提高到2到4个小时完成,为企业降低能耗提升精细化管理水平有很大的改善。其他应用系统,全面运算系统等油田企业炼化企业、教授企业、科研工程单位信息化建设也得到了深刻发展。
第三是信息系统的内控体系,我们03年成立了内部指导小组,成立专门办公室,组织协调内控建设和实施工作。应对不同市场,借鉴美国经验提出内部控制框架,公司经营财务有大关键划界,制订了内部手册,经过测试于2005年1月1日起,在公司正式实施内控制度,经过四年多实践,内部范围控制逐渐扩大,覆盖了中国石化所有活动内控体系。中国石化内部控制手册2009年版有18大类,配套相关总部管理制度244个,各分公司规定了工作流程结合本单位。为了保障内控管理有效实施,办法内部控制办法,在总部分公司两个层面使用。中国石化内部控制手册2009版本有17个流程,基本全部实现了信息化,另外5个业务流程为IT部门流程,其他业流程暂时没有实施信息化,或者与信息化无关。
第四个问题向大家汇报一下中国石化IT控制体系。中国石化IT控制体系包括IT内部业务流程,IT一般性控制,和IT应用控制。2003年建立了信息系统管理业务流程,2005年启动IT控制工作,2006年建立了IT一般性控制,2007年结合ERP系统,应用系统和基础设施IT一般性控制流程。2008年IT控制体系进一步完善,并将重点专项IT应用控制,2009年随着深化ERP应用进一步深化IT应用控制。IT一般性控制包括企业整体层面IT控制,和企业活动层面IT控制,近期系统管理业务流程IT体现包括与管理体系,信息化教育培训及凭险评估,信息安全管理重要控制内容。有关活动层面IT要求,通过ERP系统控制流程等体现,ERP系推IT一般性流程,包括和数据访问,程序变更等等,业务流程IT一般性控制流程,主要财务报告是生成相关,如ERP财务报告系统,加油卡系统流程包括程序变更,访问方面内容。结合网络服务器,机房设计。流程包括机房管理,故障处理方面内容。 中国石化IT一般性控制主要和信息系统日常管理结合,经过几年扎扎实实的工作,对外部省市认为中国石化IT控制到位,保障信息系统安全,稳定系统方面发挥重要作用,中国石化IT控制主要有ERP系统应用结合,ERP系推是中国石化主要系统,比如说计划控制、一般控制、价格控制等等,自动平衡资源及实现资金流,物流等等。通过发挥系统集成,满足用户管理要求,实现IT控制目标。
中国石化内部控制手册设置50多个流程,以27个业务流程与ERP有关,总体实现配制控制,输出输入控制,包括时期控制、操作规范控制,日常操作,垃圾数据操作。用户检验包括组织值,关键词代码,以及系统机构控制。ERP全面实施落实IT控制提供标准平台,有利实现IT控制目标,提供了有效的保证,实现提供有效保证,在深化ERP系推同时进一步加强的IT控制。
主持人:非常感谢姜处长。下面有请网康科技服务部总监陆续周先生。
陆续周:很荣幸有这个机会,跟各位专家交流一下内控体系,我本身有在一个大企业做过10年的IT系统,而且比较早的实现了有关的业务内控,我的交流分五个部分,引言,把内控条例读薄。
内控刚才也讲了是一个全员的工作,尤其是核心团队共同实施,因为借助信息化实施,所以一般CIO比较痛苦,我该怎么办。其实整个技术层面内控里面是一个支撑,如果说我不能一下子全做到,有一个办法分布落实,这个时候可以看到把内控条例读薄对我们有很大帮助。一个经济学的泰斗跟我说过,书里面东西比电视好,书里面东西可以让人聪明,电视可以让人变傻,因为书是可以越读越薄,把内控条例读薄对我们有很大帮助。在这个内控条例里面我们最主要是宣传、培训,让每一个落实人心,无论是美国的安然,还是经济危机美国企业高管,依旧发高额年薪,往往是因为人的不当操作导致,内控精髓是规范人的行为,让规范深入人心,同时让人难以有意、无意违反这个条例。所以我的标题就是“内控以人为本”。 我觉得要想把内控读薄有很多范围,画了四个框。首先内控是一把手工程,从董事会,最高层要重视。第二点是整个核心团队, 共同参与设计不要指望就是IT部门做内容不可能。但是IT部门的这种支撑、架构是必不可少,我们内控所有流程都在支撑系统中,人的大脑效率是很低,我们一定确保内控条例,确保我们规范真正深入人心。往往人懂了不抵触,就会知道这样的好处。我以前的公司老板跟员工说我为什么要做好控制,因为只有我们控制住我们才可以活着,如果公司不好,员工得不好,所以公司600人一样可以进行很好了内控体系,我们有了框架以后我们怎么把内控体系读薄,构成一个企业无非是两种,一个是活生生的人,还有一个是企业资产,同时我们业务运作有业务流程和财务流程,是我们要做内控体系要关注方面,把我们这些梳理清楚以后,有了这些关注点以后,我们怎么对每一个点进行内控规范设计,在内控条例章节里面可以看到,第一章第六节,权责分配、企业愿景、人力奖惩、可审计、反舞弊。每一个设计流程关键点切分,每个点都很重要,但是每一个点流程应该怎么做的,第一我们处理任何一个流程,任何关注点的时候我们要遵循第二章到五节第一风险分析,控制措施,信息沟通,监督检查,一点可以分成20个操作步骤,不管有多少点我要抓住关键操作过程就一定可以做下去,我本来想画一个四维图,本人美工有限画不出来。 我觉得还有一个很大的纬度就是我们网络,内部和外部网络,有这么多点我已经知道了,那么我该怎么做,今天有做窗效应。如果我想做窗等到我们所有的窗户一次性采购完,这样的话让别人认为窗户破是应该的,不破窗户我要打破,这个是一个很知名的效应叫“破窗效应”。这样的话用最快的效益,把能够修复好尽快修好,给人一个意识我不能再打破其他窗户了。这种思路一定要灌输,内控条例里面有没有可以尽快修复破窗呢。
这是整个架构内部外部网络,内部网络关注于每个企业的个性,比如说金融、石化、科研、政府内网一定不一样。一个是设备制造商内网一定不一样,它的流程很复杂,外部网络比如说我访问互联网、访问邮件、访问外部应用是有通用的,是一种普适性很强的,不妨我们从最容易下手的地方下手,把破窗破除掉。
这是我的心得,内控先找软柿子捏,在这种外网互联网环境里面我们可以看到,它实际上贯彻了一个企业企业文化,企业愿景,就是人员基础,我们利用互联网知道应该做什么,不应该做什么,这个是通用而不准则,因为是一个基础所以很重要,因为通用是一个软柿子,很成熟不需要我们太多考虑我们业务的关注点,在外界很多大量已经成熟可用的方法,来破除破窗。同时互联网这种行为是人的第二人生,可以反映出一个企业人的文化、思路、想法。因为我们曾经给客户做咨询的时候,我们很轻松发现哪些员工想跳槽,是一个人的思路直接体现,所以当我们了解人的思路以后,了解了关键点之后,我们想让我们其他规范深入人心会变得很容易。所以说互联网行为的内控实际上是一个已经成熟,而且成本效应更高的软柿子,我们不妨从这里下手。 内控为两种,那么互联网内控,问题到底在哪里,我们现有体系是不是已经把内控实现了。我们来看一下,根据我们服务过很多客户的角度看,第一现有状况很普遍,内网IT没有认证,没有专业互联网接入的安全体系,会导致我们内部的人员根本不知道谁做的,我相信我们越大的网络越会采用动态的成本,这种情况我们怎么知道谁做了什么事,我们不能关注到人何谈内容,没有权限、没有规范。第二,我们互联网上可以看到无论是HTTP网页下载,还是最流行的P2P下载,还是IM的收取,都是面临企业挑战希望员工不违背的事情,大概30%是国家级的网站,我听到收音机,说北京市青少年每周平均上网时间是37.5小时,如果按8小时工作日,将近5天,而且其中有一半的学生访问过色情网站。实际上可以看到这里面网页的问题很大,同时像P2P基本上没有太多用来传数据,基本上是娱乐。
像IM、UML都是我们想控制的,但是却控制不住。第三点实际上在我们外网业务我们缺少有效出口,我不知道外面的文字是什么,这时候带来是本身在金融危机下避免风险是最主要的事情,规避风险,那么因为我们无法控制,接入的风险就很大。同时我们企业机密,核心信息往外发送是太简单容易的事情,我印象最深当时国内两大运营商,签署互不侵犯条约,这个时候我们对数据保护来说存在很多的问题。其实我们IT系统最重要是要付出有所得,由于我们局域网带宽很大,运营商核心网带宽也很大,我们想让企业网能够匹配这个大小不可能。第五点最重要的一点,跟企业文化有关系,我们在一个专业的报表里面可以看到,我们员工在互联网上,只有45%是查询有效资料,其它的是在做与工作无无关的事情。如果一个企业文是让员工积极向上,而在某一些工作行为当中是积极向下。的确我们想控制,但是为什么控制不之呢,可以看到,安全里面有一个很重要效应叫“独眼鹿效应”,这个“独眼鹿效应”我们默认的是防外,不防内。第二是说很多我们不希望发生的行为,往往披一个合法的外衣。现在可以看到现在的我们信息专家,80端口的迅雷,我们有太多协议。 第三我们内容细节没有办法判断,因为我服务公司是一个研发公司,从网络传一个SP是什么我不知道,我只知道是一个文件这种情况我们怎么管理。
我们讲两个案例,一个是华为电脑,可以看到300多带宽70%以上流量被工作无关的内容占用。第二是国家核电,自成立以来是一个部级单位。为什么和困惑,我不知道网络可以传输B2PIM里面内容是什么,但是我想知道里面内容是什么,不能让里面核心的东西出去,这是我们中国企业困惑的。在国外企业来说可以看到通用电器,还有摩根大通、环球电视,这些都很早做了互联网控制。
有了这些问题我们怎么做,我们服务客户我们觉得我们把这个条例读清楚,互联网技术层面传统的有传输的HTTP等等,新兴的P2P,等等。在我们内控点上结合我们有哪些,第一主体健全,我们行为要符合企业远景,我们行为要可审计,要能给IT成本很大收益,我们行为能够让人力资源部进行相应控制,我这是我们在外网、内网的着眼点。管理方法我们在两年前就提出内控风险管理,就是一个典型的干预,大家遵循是螺旋式上升原理,我是任务模式不是功能模式。比如说我们设备防火墙,是把功能模式,但是不是任务模式有效灌输给我们客户以一种方法引导我们,所以我们很早提出的理念就是遵守我们风险评估。
具体的建议,第一点无论是什么样的系统,我建议都新用一个路由器放进去。你是双面的,单面的,还是旁路接入都可以,把我们互联网出口进行这种进行下一步分析。首先建立有效的行为主体识别机制,与组织建构真实的相关可靠的真实的网。这是我们第一步主体健全。第二是我们分析进行相应的风险分析,我们知道有网站,应用,流量问题,为什么搜索习惯写在里面,我们曾经用一分钟的时间搜索,就是一个员工做什么,虽然就是几个字,十几条,这种搜索习惯很容易看到企业的员工的心态。第二,我们专业网页应用完善自己监督与控制,是内控体系第二步,我们是借助全球最大的中文搜索部,对各种各样外发信息内容,大小,人员行为识别,对流量通过我们独有通道来有效控制,可以能够让我们安全体系、能够让我们互联网控制体系达到有效的控制。第三点是最最重要的,一个我们解决方案决不能是看,控,一定是可分析、可统计、可查询。这个是我们内控里面很重要,我如果持续发现我们网络有新的问题出现,流量有异常,不断发现我们有异常,不断地和我们主管公司高层沟通,发布报表可以有效让这种制度落实到人心,让大家知道我该怎么做。
通过对外网的内控体系、内控思路、内控方法的灌输,我相信合法、合规行为将将一个积极向上企业文化提心,信息保密,外发控制会得到有效,同时资产保护也会得到很大的保护。当时华北电网部署网上体系以后,带宽下降了150兆,国家核电全网采购了我们的体系,他的所有代发体系就健全了。
这是网康的服务案例,大家都是全网采购,无论是国家部委,这是最大金融机构,国内很大上市公司,还有制造业、媒体,各个区域像华北电网等等。可以看到通过部署这些装置,很有效的能够管理企业。
网康公司实际上已经持续5年为互联网提供专业服务,我们以每年300%速度提升。我们价值,我们理念是以人为本互联网管理思路,以人为本价值呈现我们在第8层上,我们希望能够在第8次做到人与技术完美结合,服务于我们中国企业上好网,用好网谢谢大家。 主持人:非常感谢陆先生的精彩发言。下面我们有请用友公司NC产品架构师付建华女士。
付建华:各位来宾,上午好,非常荣幸能够有这次机会我们借助这个平台,用友公司和我们在座的企业高管,我们公同探讨一下信息化环境下企业内控的建设。
说到这个话题,在今天和大家交流的时候,除了在后面介绍用友NC系统,之前还要想稍微花一点时间交流一下IT技术或者说在信息系统环境下,企业内部控制管理差异和重要性。
首先看看IT环境下企业内部控制体系的建设,前面我看到来自于不同的企业嘉宾都提到了。我们说到企业内部控制系统建设的时候,我们都知道离不开IT的手段和工具,实际上在我们交流这个问题的时候,如果我们是在座企业的CIO,或者你是企业将来服务内控工作开展职能部门的负责人,我觉得首先要思考一个问题,在目前IT环境下,我们这个企业开展内部体系建设、健全、保障它有效执行,然后进行监督和评价的时候。到底和原先在传统方式下产生了哪些差异。在《萨班斯法案》颁布以前,没有一家企业可以说我们没有一点内控机制,如果你是中型企业、大型企业,企业制度和相关文档这些东西在企业当中都是有,但是法案颁布以后对企业要求更加体系在几个方面。第一是内控是否完善健全,第二风险内控是否得到有效执行,第三法律要求进行监督评价,如果内控有漏洞,没有让公众及时了解到,要承担相应的法律责任。
在企业围绕三个层面开展内控管理建设,执行评价的时候,首先你要来思考一下在IT环境下, 或者说信息技术与信息技术结合情况下,企业内控管理如何开展。首先看一下信息技术给企业内控管理带来影响有哪些方面。
首先控制原则和方法发生巨大改变,我们原先说内部控制基本原则和方法,我们知道有原则,目前对于企业也可能要非常关注信息技术,IT环境下控制原则变化,信息技术成为企业内部管理很重要的方法、手段和工具。第二是控制内容和方位,从5部委中我们可以了解健全企业内部控制体系,IT控制是你企业必须要关注一个领域,原先你非常关注我企业工作治理机构,组织架构,职责权限,业务流程在企业循环的控制。在当今企业环境要更加关注IT控制这块,要思考一下我们企业以前,公司以前在IT控制领域是否有健全的控制体系,制度是否有有效的监控手段。这也是一个巨大是变化。
第三个方面也是IT技术对企业带来的挑战,你的内控制度体系设计非常有效,但是执行是否得到有效保障,所以说内控执行在目前管理情况下,所有企业或者说大中型企业借助于IT系统保障内部控制有效性。在座的各位领导公司知道没有一家公司不会使用一部分软件,比如说使用ERP系统,Oracle或者用友,其它软件系统。你的核心业务、财务信息、报表会在这些系统里面产生,那么如果说这个时候你的内部控制执行的手段,或者说执行的评价要绕开ERP系统或者是IT系统,企业可能就不能正常运行。第三点我们可以用一句话指导它的重要性,对客户框架有深入分析,我们知道全球包括美国、英国,包括新加坡、香港、日本,还有我们现在中国,所以的国家在制定内部控制相关法律规范的使用框架,是遵循的COX框架,如果你这个企业的内部控制执行,是依赖于某些IT工具,比如说ERP系统,其他的软件工具,将来第三方见证机构对企业进行内部控制审计评价,可以适当的减少审计工作量,提高内部提出有效性可信任评估,所以借助ERP执行是非常重要的了。如果说像我们原先很多在海外上市公司,每年请四大帮你做内部审计,或者咨询费用是非常昂贵。如果说我有了可靠ERP系统,所有内部控制都在ERP系统当中得到良好体现和控制,你的审计和相应成本会缩小了降低很多。这也是企业要关注的重要一个方面。
另外一个方面就是控制监督及我们知道法规颁布以后,对企业带一个新的挑战,就是内部控制必须进行监督评价。这个监督评价包含两个层次,第一个是内部监督评价,我们看到国内上市公司都着手把企业的内部及审机构职能进行扩充,原先可能是传统审计就是报表审计,现在要扩展传统的审计,企业内部控制、独立审计等等方面。在内部监督评价同时,法规明确要求必须请外部第三方机构进行有效评价。在评价和监督的时候,我们知道首先我要检查你的内部控制设计是否健全、有效。检查的时候事务所是看内部控制设计是不是得当,这是第一个。接下来就是内部测试执行是否有效,要看你内部控制的证据,企业核心业务在ERP系统上,那么ERP系统可以帮助你保留你的关键业务执行过程当中证据、文档、资料、报告,供你企业内审,机构检查一些证据,做出评价。同时,我们知道如果你看这个基本规范的时候,只说了一句,要请第三方机构对内审机构评价,你需要在年报当中明确的公告你的企业内部,对企业管理层,对内部工作的评价结果是怎么样的。我们看到很多上市公司从2007年年报当中就开始披露,大概有两段话,认为我们公司内部工作是完善有效健全等等,这一段话是给公众看。背后包含内容非常多,你这个有效性是要有证据,虽然没有披露给公众但是都要包含在企业当中。所以这些数据依靠手工整理这些证据,保留这些证据基本是不可能实现的。
第四方面也是我们企业在现在应对法律法规要求的时候,要考虑的,我们怎么保证这个有效性评价,提供证据。这四个方面对我们是非常重要,这是我们提到的第一个方面,IT控制内容增加,我们时间有限,不相信展开讨论这些问题。如果说我们是CIO,IT控制这一块领域要围绕这些部分,IT控制建设是围绕这些方面。在这些方面当中如果你的企业用了软件系统,比如说ERP系统,ERP本身的环境控制,本身安全性是你IT控制重要核心内容,这个是给大家作为一个简单提示,不要忽视这个方面。 另外在执行的时候,我们看到执行的过程全面可以在系统得到有效保障,当然企业内部的内容涉及到公司治理到每个业务全部内容,其中有很多关键核心的东西,我们可以借助平台网上控制执行有效性,将来要借助ERP系统内部控制执行过程信息记录下来,证据记录下来。我们举一个例子,假如说信用控制是企业非常关注的点,在很多行业信用控制是风险非常高的地方,信用控制的制度,文档设计好以后,接下来要让信用控制得到有效执行,这就要包含一系列的动作。首先要先做什么资质鉴定评价,有相应的资料。评价完毕以后设定信用的情况、信用的额度,所有业务发生完的时候是否受到了控制,这些都是控制证据。这些控制证据如果说你销售管理系统采用是ERP系统,ERP就应该帮助你留下这些信息证据。这都是将来第三方审计的时候要看的,如果第三方审计的时候,看的时候问你这些信息在哪呢,我说我们不是手工管理是ERP管理,但是这个ERP系统当中也没有记录出来完整的信息,这个时候事务所说你的系统是有漏洞风险的,我不能数据无保留意见报告了,所以说在这些方面,将来检查一个系统,软件系统能不能满足我们内控要求是非常重要。
在我们用友公司内部部署多条产品线,分别面对不同客户群体。NC产品也很多企业接触过,是面向与中高端客户群体,尤其是集团性企业的一个完整ERP软件。目前来说我们很多上市公司最先要受法律法规约束的上市公司,集团企业占的数量比较多,集团企业在开展内部控制管理的关注点和一般企业有非常得大区别。比如说我是一个小型企业或者中型企业,内部按照常规内容流程设计开展就可以了,但是对于集团公司来讲内部控制涉及到所有业务职能,还涉及到总部对下述不同类型分支机构控制,第二方面控制是目前设置企业内部控制的时候一定要关注的地方。比如说原来中石油、中石化内控系统走得比较靠前,目前应该重新构建检查内部控制体系的时候,一定要关注这个环节,比如说你的权限的重新设计,权限体系的重新设计,必须从总部一级子公司到分级子公司下来的,我们采购业务是集中采购,某些物资在集团总部有那些,下级子公司有哪些,是要纵向考虑。所以说由于企业集团在控制管理特殊性考虑。
这个软件是为集团企业设计还是为一般企业设计的。NC系统的年软件系统首先一个完整的ERP系统,在2005年、2006年我们开始跟踪相应的法律法规,还是做相应产品规划和完善,我是NC产品内控产品设计人员,实际上在NC产品当中,信息化除了目前完整ERP系统以后,也结合了相应的法律法规,不管是《萨班斯法案》还是国内法律法规,对企业要求就分四类,我们很多企业接触法规的时候,或者搞控制体系不知道该怎么入手,其实就是一个四个方面,第一是内部控制制度的设计,内部控制的执行,内部控制的监督评价,最后就是证据,左边是法规对你企业的要求,每一个领域你合规应该满足要求是什么样的。
结合法规的要求,将来考核软件系统要求软件系统在这些方面支持内部控制开展,第一内部控制稳当跟ERP系统产生一些交互关系,我们内部控制文档文件资料一大堆。然后实际上我所有这些内部控制流程在软件系统里执行,我要看一下某一个业务内部控制文档,再检查执行有的时候很难结合起来,应该要求软件系统提供文件记录或者关联功能,让把两者有机结合起来。第二检查软件系统控制是否严密,是否可以满足你关键业务、关键控制点在你软件上面开展,这也很重要。企业内部明确岗位分离,看五部委规范的时候,每一个集体规范第一页都写了,你要把权限文档变成权限体系,是否可以帮助你稽核不相融职位和岗位的分离,这是很重要。第三要求软件系统对企业关注核心业务数据保留审计线索,这是非常重要,如果没有审计先线索我就不能检查制衡过程中有没有什么漏洞。如说软件系统当中客商档案信用额度随便被别人修改过,修改完了我也不知道。那这方面你们企业这在分析漏洞就是非常大,我关注客商信用额度信息,软件要给我记录,某人是否修改过,什么时候修改,我能够记录下来。
第四点,能够在软件平台查询关键的控制流程、控制点和情况,要求评价内部控制时候要做的工作,这个工作同样要借助软件系统。前提就是一个你的业务是在ERP里面,手工评价是不可能,要对软件这些方面也有要求,我有一个观点和大家交流如果你业务财务都是在依靠ERP系统执行,这套系统检查评价内部控制是最重要。你的内部控制是在用友系统当中执行,你用另外一个软件检查你内控是否得到有效执行,这个效果会大大折扣,如果我们是企业CIO同一个软件公司设计出来不同软件产品之间的集成程度,不可能像一套软件集成程度那么好,一个厂商可以帮助你控制执行,又可以帮助你监控执行是最有效的,集成性我觉得是非常重要一个方面。
另外在平台监督内部控制执行,做出评价。结合这些方面在用友NC产品当中,在各个层次上面为企业提供内部控制服务功能和产品功能中这也是让厂商要求做的,实际上在为企业提供服务的时候,从内部控制管理上面可以分五个层次,刚才我们说到这个企业现在搞内部工作必须关注IT控制,当中软件系统环境控制是非常重要的方面,如果整个企业应用软件是一套,或者核心业务都在用友软件里面,都在SP的软件里,首先肯定要检查这个软件自身的控制是否严格,严密。比如说输入控制是否安全、输出控制是否安全,处理控制是否安全。比如说输出控制,安全机制是否能够满足企业的要求,这件事情说起来简单,但是实际上实践起来也比较难,所有用户进入系统要有用户密码,这个机制是否安全,除了一般的密码是有特殊保障,我们知道在企业当中风险非常高的岗位就是出纳,出纳人员可以去执行付款的动作。如果这个人员可以随便被别人篡改密码登陆系统的话风险就太高了,这些方面软件系统应该有安全的机制,保障你这方面安全还是很有效。
另外我们考虑内部控制建设的时候,关注的一般控制内容,在企业内部控制规范当中也提到了,企业应该关注核心控制的东西,比如说权限、审批、稽核、风险预警等等,这些是所有业务要遵循控制关键点,我们用友满足所有的机制和功能比如说系统当中权限、模型,然后用户决策模型,是帮助你权限方面的模型,是否可以满足企业审批控制要求,系统当中预警机制,是否能够满足你控制风险预警等等。这也是在NC系统当中第二个层次提供的价值。第三方面就流程控制,我们知道所有企业核心业务流程设计了很多控制点,比如说销售业务、采购业务、投资业务、财务报告编制等等,所有这些业务都会涉及到很多的控制点。那么你原先在选择ERP系统的时候,原先这个厂商ERP系统能不能满足我们业务流程,现在要增加另外一个考虑纬度,除了满足销售业务还必须满足我们销售控制在系统当中得到有效执行。业务系统方面我们NC系统结合我们五部委颁布《《企业内部控制基本规范》的要求,全部满足了,没有满足现在把这些内控点在产品中进行了相应补充。
第四方面是为我们内控的监督和评价服务的相应产品,比如说我们将来要监督这些控制的执行和评价,你要帮我留有完整审计线索,帮我把相应控制流程和一些规则输到系统当中去,要提供平台,让我看到我的内部执行情况是怎么样的。这就帮助企业减轻了大量的工作,所以这也是我们提出新的产品功能。
第五个方面是我们公司本来有审计产品,原先我们企业在选择ERP系统的时候,可能不会过多地关注审计的产品,将来就有可能非常关注,企业内审机构在企业发挥职责职能越来越重要。你内审的时候是需要借鉴软件的平台。所以第五方面也是软件系统提供给我们的相应价值。 这是刚才我提到跟各个方面,比如说提到第一个系统环境工作,看一下NC系统,在安全性控制提供功能和机制,然后审计线索,安全性NC系统当中可以实现对企业你关注核心的数据、单据、文件、报告单独做CA认证。比如说刚才说的出纳,付款我们要做CA认证,比如说我们非常关注核心报告阅读也可以做CA认证,等等。这样保证系统风险高的地方有效地方安全保障。第二,系统日志非常重要,在NC系统当中分为操作日志、功能日志,帮助企业保留日志信息,结合内控要求不能仅仅结合在原先我们记住某个操作员某天某时间登陆过,要记住相应操作动作, 供给,内容是什么,当然这是跟企业不同要求,你来设计你要关注哪些东西,系统就帮助你保有哪些系统。
另外就是撤离上面安全机制要求,比如说系统处理价值,非常重要财务报告完整有效。现在每个几个企财务报告是用手工都是软件,那么系统中处理结构是否安全,也决定了你企业报告的完整有效,管理层解读资产负债表,是否是最准确的债务信息,要取决于系统报告生成机制,比如说这个系统根本没有检查机制,财务系统操作人员。所以系统处理安全机制是非常重要。
第二方面就是系统平台可以为我们提供一般控制规则。比如说系统会提供完善的权限模型,NC系统模型可以结合你对人设计非常细致的权限。软件会帮助你检查不相容职务是否分离,比如说出他和会计给一个操作人员,软件系统可以帮助你检查出来。分角色应用等等,审批的控制,预警平台。
第三方面就是ERP系统各个业务系统可以有效的支部内部控制的执行。这个是企业案例,实际上做得比较好企业,内部控制是制度当中的一个部分,将来我们如果说在座企业内部控制体系还没有健全,制度没有完善,将来你也可能按照这个思路做,分析业务目标,风险,设置控制点,设计监督检查办法,然后形成流程图。这些东西设计完毕以后,要把它的核心东西伴随业务流程开展同时,控制在系统当中得到有效执行,从控制方法预防性控制比检查性控制永远都有效。比如说销售业务必须做信誉额度检查报警等等,都需要做规格,销售价格自动控制等等,都必须借助软件平台保证它的准确有效。这不详细分析了,这也是你在软件系统选择关注点,也是NC系统提供的核心价值。
第四点就是内部控制过程文档证据记录,和内部控制有效性的评价。在这个方面实际上也是对软件系统要求,同时NC软件系统希望在这个方面给企业提供帮助,比如说业务流程发生的时候在系统当中会有很多单据信息。这些都是证据,业务系统可以把这些证据分类,实现各种各样查询,和你风险息息关联,同时跟你后续支持评价。另外,产品可以做内部控制监控平台,告诉你的相关业务流程的控制,你的风险有多大等等帮助你做监督。
最后就是审计系统,实际上企业内部审计开展内部管理的时候,同样要借助审计系统检查ERP系推内部控制执行有性。
今天就用短暂的时间把用友NC系统,在企业内部管理建设中能够为我们服务和价值做一个简单介绍。各位领导和嘉宾有意见的话,用友公司也在做很多市场活动,再做详细的交流和分析,谢谢大家。
主持人:下面为我们做精彩致词的是河北网通信息化部高级工程师屈玉阁。
屈玉阁:各位领导,各位先生、各位女士上午好。我简单地介绍原来河北网通信息化建设的情况,大家知道网通现在和联通合并了,我说说河北网通是怎么进行IT系统的。
我说一下我们中国网通内控测试结果是为零缺陷,这已经通过2007年测试结果。内控基本路径是这样的,首先在美国上市公司要求,我们请国外咨询公司制定满足《萨班斯法案》框架的制度,然后在企业各个层面落实,企业请外部公司进行审计得出结论,最后在资本市场检验审计的结果。
每年内控工作基本都是说依照内控模块制定的活动,依据本地化活动检查点,检查自己有多少差距。我们组织检查各个单位改进,外省一次测试,到年底进行外省第二次测试。信息化工作主要是两个层面,一个是信息化建设与运营,第二是信息化控制的控制。
《萨班斯法案》对财务来源控制途径是三个部分,第一是信息系统,第二是纸质报表,第三就是电子表格。大家看一看ITGC报表,有几个模板。我们原网通公司IT内控涉及的领域有两大部分,一个是一般性质,一个是信息系统应用控制。一般性的系统控制包括四个层面,安全、操作、变更管理、开发与支持。信息系统包括ERP系统。一般性信息工作基本能力,我刚才说新系统安全操作变更管理,和运营系统数据库开发与支持,这个包括详细一般系统操作管理,数据库和网络,还有防病毒等等,还有应急预案,变更管理包括应用系统,操作系统,数据库还有保护变更,在新系统开发包括应用和实施这个层面。一般性管理架构包括核心是应用系统安全,数据库安全,下一个层面是操作系统安全,网络安全,防止病毒应用系统和操作系统层面控制。
举个例子,操作系统安全用户管理,系统管理监控管理,我们在举例子帐号管理要求内控是这样,第一密码格式、无效登陆次数三次,历史密码记忆个数,密码复杂程度,秘密要求6位,默认帐号锁定,帐号超过时间我们是10分钟等等。另外系统包括业务系统数据开发,新的应用系统测试,新的数据结构测试,新的网络测试。
我们说一下当时我们河北网通公司管理,外部看我们有网通公司内部控制管理400多条所以我们工作量是非常大,我们涉及安全、变更、系统开发、操作、信息系统等等,涉及部门就更多了,包括工程建设,物流采购综合部,我们还负责电子表格,实际上要求我们06年必须达到《萨班斯法案》要求。信息系统大部分不能满足IT一般要求,第二很多单位没有形成IT系统控制路径。
2006年我们进行8个方面的工作,一个是内容控制制度建设,贯彻风险管理方式,开展针对性与信息化管理控制工作相结合,统一IT内部流程表述和文档的格式,问题整理及整改措施的落实,现场督导提出具体的管理措施。积极与相关部门沟通,解决COSO、UAT和持其系统存在的问题。最后是组织各单位有效开展管理工作。我们内控制度,首先要求制度健全,我们制定信息系统安全规范,表格的规范,还有做编码,开发要求,开发必须遵守编码规范,还有报财务部一个软件。我们还开展针对性培训,我们培训是考虑两个层面,一个内控要求对信息系统要求,一个是说内控对信息化管理控制以及业务流程要求。我们工作开展培训以后,因为我们是做了大量的培训,我们从举办各个省公司的集团技术主任,从各技术工作进行现场培训,两次进行电话培训等等。这样使员工的内控意识有了很大的提高。我们做了1200页的控制文档,包括开发与测试,还有风险管理内控,还有《萨班斯法案》,还有与外省市沟通。 我们第三点,统一IT内控务流程描述和文档格式,河北省有自己管理流程,我们为了加强内控管理我们我用一周时间制定流程,这样写文档合适了,每个都比较完整就达到要求了。上个季度我们也形成了一个安全标准,通过统一流程、统一文档我们在工作深度,进度方面取得了主动权,这个工作我们当时都在前列。
第四个方面,问题整理及整改措施的落实,我们制定了一个内控责任,根据系统分到每一个人负责哪条,每个人负责哪一段流程。我们内控整改工作还包括了两个层面,一个是系统要求,我们原来系统基本上满足了内控方面的要求。技术上我们做沟通做了补丁,要求在2000年的时候达到《萨班斯法案》的要求。五我们要求在网上要做记录,完了之后领导要做相应的确认。第二个层面一定要进行内控的控制。控制声明、授权和被授权文档、作业流程、人工降低IT内控风险整改措施等等。
授权2006年各单位整改的基础上,网通河北省分公司IT内控工作组去年市分公司收集整理第一轮测试在20个共性问题,深入理解内控要求,提出了人工降低IT内控风险整改措施。我们有一个信息系统非紧急变更实施范围定义表,我们相应流程跟大家都做了记录。内部授权方式,首先你要做声明,首先您是谁,然后各部门制定一个岗位说明书,帐号统一管理,我们第一次测试的时候,有一个系统管理员把一个参数修改了,最后查出来,问你这个人是谁我告诉他,你把系统管理员的说明书拿出来,当时没有找到,当时就说你不是系统操作系统管理员,你改参数干什么。当时我找他们沟通,把操作系统管理员的找到了,风险就解决,外部风险变成内部风险这个风险就降了。
我们总结一下IT工控制基本流程就是四个方面。首先是提出申请,然后是主管领导审批,不一定是你就是部门主任也可以是副主任,可能也是你班组长,相关主管领导。然后在执行当中并写一下工作日志,主管另是一个月或者三个月进行审核。
第五点我们现场监督,提出具体的管理措施,保证通过普华永道的测试。我们也去做公司,有的地市公司老总说内控我知道就是坦白从宽、抗拒从严,当时我没有好意思说,我告诉他内控是跟是外部公司是一个博弈过程。因为内控要求你几条,那几条完成就可以,不要求所有都做了,都做了工作就没有完了。所以我告诉大家内控要求几个做到就可以,不没有要求不一定要做,不要把自己陷得太深。
第六点,我们开展信息系统风险评估,模拟演练预案。原来我们是按照硬件软件分,这是按应用,我们是基于业务的角度。我们为了降低风险,我们按照风险管理理论,将信息系统分成实物、软件、信息、服务等四个类的资产。
这个系统风险评估过程,看看这张图。首先是确定范围资产管理本身的弱点和漏洞,再看看内部管理测试有哪些,看了这些以后还漏下什么东西,这就是你的风险,还有在排队哪些重要,哪些不重要,最后提出风险报告和管理措施。
第七个方面我们积极与相关部门沟通,解决COSO、UAT和久其系统存在的问题。系统每年执行是不是符合《萨班斯法案》要求,久其报表是简单的财务系统,我们跟财务部相关部门沟通,也了很多的办法。
第八个方面是组织各单位,开展电子表格内控管理,满足内控要求。我们写了报表做,这个帐号怎么控制呢,我们也是一个内控表一个规范,我们从模板设计、模板使用、模板维护积极控制,把控制原则制定一下,电子表设计人,使用人,维护人,访问人,设计和使用人可以合一,这个流程图有一个具体的方法。首先可以进行申请,设计人可以进行模板开发,使用人表格进行数据编辑、更新、管理,最后访问人可以对表格进行实时查询,原来我们是集中管理。
谢谢大家。
主持人:非常感谢屈先生,下面有请浪潮通软副总裁兼技术总监魏代森先生,进行“企业全面风险管理与信息化”。
魏代森:首先感谢主办方,在这样比较适合的时间,面向正确的对象我们CIO们,举办这样一场有意义的论坛会议。
企业内部风险管理,看起来离我们CIO关系比较远,从国家制定政策,当企业经营者,管理者制定体系相关。我们知道所有风险控制工作的最后落脚点是CIO是我们信息系统,所以我觉得特别有意义。
我跟大家沟通几个观点。作为企业内控的信息化,我想并不是特指要和专门内控和风险管理的信息化,我们知道我们企业经营过程当中,我们业务管理过程中我们更多风险点我们要控制,管理的更多一些控制活动和风险还是经营过程当中业务活动方面。
我涉及了三个方面的内容,第一部分是风险很重要,这不多说了。另外一点,企业和内控风险不是矛盾是相辅相成的。我们也知道美国《萨班斯法案》,我国内推出的内部控制规范,对我们企业内控是一个指导二是一个压力。同时,今天我们在座的上市公司CIO,应该说更多上市公司集团性企业,集团企业在风险管理方面还是面临更多挑战。
因此,这里两个建议,对大企业加强集团风险管控有两条。第一条啊管控层面,采用集中式管理模式。母公司层面开始管理模式,通过这种模式我们可以加强分析机构对我们整个优化进行有效整合,通常对我们标准,规范,对一些业务流程进行有些控制,对企业内控不仅仅是控制风险,还是要加强教育。同时,这种集成管理有利于集团的战略执行、运营等,我们运营中产生的信息、结果可以有效配合。
业务层面可以涉及到一些具体的,我们应用活动重要的控制点,比如说在流程方面,我们由采购需求开始,到采购申请,采购定单,再到采购招标,到货物交付,这个结算过程我们要规范流程,流程规范我们就可以避免风险,这样业务活动当中控制。第二个方面,我们加上信息库存我有合理库存,有信誉额度,在执行过程运算的控制。第三是对业务追踪了货源,最多对一些风险点进行及时警示,包括业务,财务的。
第二个方面是信息化在加强企业内控中的作用,所以企业控制风险管理,迅速落脚点还是要在我们信息系统当中,信息化是重要的保障。首先我们无论要建我们风险管理系统,内控体系是要以信息化作为基础。第二个方面,我们信息化建设现在信息化应该越来越多体现内控风险管理要求,以前我们建设信息系统时候,建设基础设施、应用系统,我们可能并许多过多的考虑内控和风险管理要求。从我们一旦意识到了我们的风险管理,对企业重要性以后,我们说信息建设要充分考虑这些因素,从业务、管理、决策层面都要考虑这些因素。
信息化在内控、风险管理方面是非常重要,我们风险包括方方面面,战略,投资,财务运营,法律和道德风险,信息化可以在很多方面可以发挥作用,但是并不是解决所有问题,他可以财务方面很重要的作用。
企业内控的五要素,内部环境,风险评估,风险评估等等,我从5个方面简单看一下我们建立怎么建设信息系统,第一建立集成IT系统是重要基础,有了它,我们有了政策很多制度,标准规范在能够畅通无阻的贯彻下去,有了它我们很多信息才能并较好颁布,识别很多先进点可以再这样环境下被有效控制。
这种信息化模式要从战略层面我从财政,物流等等进行集中化管理,业务层面我们要建立我们业务系统、生产、质量设备,这个层面有机结合扩大我们企业的途径,我们风险管理要弱到信息系统当中去,但是我们知道刚才说到我们管理有没有权利用到系统配置,应用系统是不是可以为所欲为,我们信息管理是不是可以在掌控之下做各种的工作。首先这里有最大的风险,首先对信息系统授权要分析授权,第二要分角色授权,我们提出叫四员的管理概念,我们要设计系统,应用,安全员,审计员,我们可以有效让我们信息系统合理得到一些相互制约,分别关注自己的角色,使得我们信息系统是可靠安全的,是可以保障的。我们的风险管理,才可以建立。
第二点我们说在企业当中可以建立很多控制措施,我们建立信息化的物流系统,首先可以使得我们企业之间物资供应建立一个协同管理,不至于信息不畅通,因为我们一些流程规划,我们任意采用造成更多风险的漏洞,我们通过建立这种系统使得我们业务流程规范,比如规定如何采购、如何竞标、如何招标、如何收货,如何结算我们可以有一套总公司范围内有一套完整流程。这一点是关于加强风险技术管理是控制企业风险的重要措施,在几年前大家都意识到了,今年再强调综合一起看也不为过分,这个是企业最关心的资源,通过对它的统一管理,集中结算可以有效解决一些企业投资、担保、贷款问题,下面企业当中产生最大风险也是在资金和理财方面。
第三方面我们还是对我们企业的财产,实物财产有个合理控制,可以加强实物财产管理,我们之前跟客户交流过,他们也遇到过,他们一栋楼着火以后就找不到帐目的问题,所以我想这种事件发生会导致很多实物财产大量损失。
第三,要让全面预算真正成为企业战略落地的工具,以前是很多都是形式,很多运算多了我们就调整一下,或者简单批复一下就过了,我们下来要用刚性和柔性来判断,可以有不同的选择。这种系统可以完全比较好解决系统沟通问题,第一可以有效了解企业经营真实的信息,及时信息。往往我们说信息和沟通遇到最多问题,就是尽管信息是产生了,但是信息不是及时的,第二信息不是一定是真实的。这样信息系统使得我们最终合理信息集中起来,对它我们设计指标,设立风险点进行及时分析对比,产生预警信息,做到防患于未然。
总结一下,第一建立集中式信息系统是实现企业重要基础,第二风险管理是企业管理信息系统的主线和方向,我们说建立一条风险体系,管理系统不仅是一个实施一个简单风险或者管理更多分析点,是分布在我们经营活动当中,分布在业务过程当中,这一些是企业管理信息,而且管理信息要求是与风险管理密切结合。第三,我们企业信息系统与风险管理进一步融合与统一。
第四,建立企业管理体系系统,全面风险管理双框架,并实现有机融合与统一并且作为一个有力的支撑。
谢谢各位。
主持人:下面有请中国铝业信息部的杨磊先生做演讲。
杨磊:各位领导、各位来宾,大家下午好。我是杨磊来自于中国铝业有限公司,我们公司是在美国,香港、上交所三地上市的国有控股大型企业,去年销售额567亿人民币,全球第二大的铝业公司。
我今天讲主要内容是和大家分享一下我们公司开展《萨班斯法案》工作,和IT相关一些体会心得。我首先给大家简单介绍一下关于《萨班斯法案》的一些简单内容,然后再和大家分享我们公司在开展这项工作的简单情况和有关工作。
今天的主题可能是围绕内控开始的,所以说《萨班斯法案》404大家一听是耳熟能详,我不介绍太多情况。简单说2001年是实践是《萨班斯法案》的导火索,根本原因是上市公司监控缺失的一个后果。
《萨班斯法案》方面,管理层每年要出局一个年度报告,包括一下内容,我们总结一下就是要求管理层要承担两个重要责任,一个建立一个有效的监督组织,第二每年对内控的有效性能进行评估,管理层公司控制有效性作出评价包括公司层面控制,业务流程层面,公司层面的评估和信息系统层面监督。既然开展内部评估,在美国上市公司监督委员会审核中要求管理层采取适当的框架管理工作。但是一个强制目标不是COSO。
这个图就是COSC的三维内部控制框架,标准和COSC
04的关系。COSC的三维内部控制框架中5大要素是和我们关系非常紧密,我们可以看到控制活动其他要素非常核心的地位。刚才我谈到我们开展内部公司控制评估,多数是采用COSC方案,这是针对一个企业开展内控评估一个整体的框架,一直到开展IT层面评估,我们经常使用另外一个指标是有名的控制协会推出的COBIT的三维控制框架。
第二部分我想简单介绍2005年美国公司404公司内控报告的披露情况,因为2005年是美国公司开展404第一年,他们遇到问题有可能是我们中国公司第一年会遇到的。这个图我们可以看出来,在第一年美国的公司中,404报告中的披露情况。这个调查针对美国一些大型企业开展并不是美国所有企业。这个ABCD是比较知名的会计师事务所,即使在非常文明的美国大型企业,一年也有16%的企业没有顺利通过404审计。这张图是对他们所被评估中发现的漏洞一个简单分类,我们可以看到因为404思想之一关注与财务报告相关内容控制,所以实质性漏洞就是与财务相关的事情。
美国公司实施404遵循工作的主要问题与挑战,第一年识别了大量内控缺陷,其中20%内控是与IT相关,一个企业想摆脱IT是不可能。第二个特点是工作量大,投入高,有一些简单数据,在美国公司开展相关工作投入成本是非常高的。以上我简单关于《萨班斯法案》方案做了一些介绍。
下面我们就中国铝业信息系统开展内部控制项目情况给大家做一个介绍。中国铝业是国内最早开始做SOX合规工作的公司之一,从2004年开始已经流程层面的文档记录工作,最开始没有涉及到IT系统方面工作。但是自从2005年开始,我们公司的信息化建设出现重大变化,开展大规模信息化基础设施建设,以及更为重要的是在总部和十几家公司开始大规模ERP实施,这种情况下信息系统它的组织结构,流程等等方面发生了非常激烈变化。同时在短期内公司业务运营对于信息系统依赖程度也飞速增加,所以从2005年开始我们公司开展404增加了GCC的工作,并且2005年成立了GCC的项目工作组,并且开展相关工作。
这就是我们公司开展GCC项目总体想法,可以说开展这个项目来源是首先是来自于外部的遵循法律法规要求,《萨班斯法案》404,不仅仅是唯一一个理由。刚才我已经说过我们信息系统日趋复杂,业务对IT系统的依赖性增强,这种情况下实施GCC项目变得非常迫切,所以我们实施GCC项目主要最终的目的是希望建立一个IT体系达到组织结构统一化,管理制度流程标准化,人员配制合理化,最终使信息系统有效可靠运行,在此基础上顺理成章通过404年度审计。
信息系统控制的项目主要内容,不管在我们公司还是其它公司都是一样,公司层面,一般控制和应用系统控制,公司层面控制是关注与公司层面跟IT相关的问题,组织机构,IT治理,法规、制度等等,一些基础性的建设,它的控制好坏对整个IT控制结果会产生最大影响。下面就是IT一般控制,保证IT应用控制持续有效性,比较常见是变更管理、系统开发、IT安全等等,相关的问题。应用系统控制是我们常说ITAC和相应对是关于主应用系统程序执行的一些控制,直接关注到财务报表、数据准确性、安全性、一致性等等。
下面我介绍一下开展项目的工作,大家都是采用类似的框架目录开展相关工作,项目实施方法基本上是都是一样,常规404项目工作方法我们可以从这个张图看出来。不管是左边公司层面业务层面控制,还是公司层面IT工作,IT层面来说大家使用方法是基本一致的。经过了几个结论都是一样,预评估,详细评估,整改和再测试、管理层报告。在IT层面开展预评估和业务流程小组有一个比较紧密合作关系,因为在IT层面看相关工作的时候,确定关联业务流程,风险评估都是必须根据业务,《萨班斯法案》关注是财务报表,相关的一些控制。换句话说这个问题再严重主要财务报表没有直接关系,那么《萨班斯法案》不会对这个问题发生任何,所以我们IT首先要看这个控制是不是跟财务报表有紧密关系,这个阶段需要有一个紧密配合关系这个常用的常见阶段做事情和产出。比如说项目范围,评估生产报告,整改,制定管理制度,最后是测试记录,生成年底测试报告,数据管理层报告。
这张图是我们当时开展这个项目一个整体工作计划一个示意图是完全符合我讲到开展404项目整体的方法论。实际上开展这个项目主要做两个层面工作,一个是IT风险评估,一个是缺陷评估分析。IT层面评估分两个层面,一个是一般控制层面,一个是应用控制层面。至于为什么公司层面没有单独列里面,我们考虑公司层面问题一般是比较高层的问题,和整个404项目层面是合并在一起工作,没有单独对这个项目来开展,其中一些和IT相关比较密切工作也分在密切工作中开展。
我们在开展404条款对内部控制的要求分为5个阶段,我们主要都做了哪些工作。第一阶段是项目启动和评估,成立项目组聘请顾问,制定项目章程,对总部和分公司进行初步评估,了解了从风险管理角度初步对信息系统现状进行分析,根据现状分析制定标准制度和流程,完善IT整个架构。这个阶段对于他的重点在于是一个评估一个是制定标准。为什么这么说呢,当时在中国铝业开展这个项目面对挑战就是,从IT里面管理流程说,并是一个完全实现流程管理部门,信息化基础相对薄弱,内控意识也不是很强。在这种情况下想建立内控,第一要做的事情要建立一个内控体系,在中国来说,要建立一个所谓体系或者框架,往往比较容易是要建立一套制度。在这一阶段我们通过大量工作,制定了21个与信息化相关的标准制度,从物理基础上做好了开展下一步工作这样一个准备。第二阶段进行一般制度认证完善推广和培训工作,我们对于制定制度选择一些试点,收集反馈意见,根据反馈意见修订之后在公司内推广相应制度流程标准,让大家试运行,让大家进行一个热身。第三阶段是进行控制措施和缺陷整改工作,我们制定了严格详细各项控制要求文档,但是第一次开展工作企业当中,说东话西,大部分东西都流于形式,原因是在中国企业缺少这种执行文化和流行问题,与前几个月对于执行制度的检查,会发现大量问题,各个控制点的问题,合理相应整改措施进行整改。在整改以后做第四阶段工作,同样进行测试继续整改是我们常用概念,提出比较GCC这样一个循环。这样一个循环一直到年底,形成年底测试工作。从SOX审计要求讲,是可以出现缺陷和问题的,只要及时整改是没有问题的,在年底最后一次的年底测试中,它出现的问题不能再回避,必须承认进行相应风险的评估看它的严重性。
同样在IT应用控制层面,也开展了类似的工作,只不过针对控制点有一些差距。我们接下来讲年终测试以后我们进行一个重要的工作就是内部缺陷分析,年底要出一个内部评估报告,不是把你测试发现问题列在上面,你在分析影响程度,每一个问题不管是直接还是间接必须分析清楚,定义它是一个严重问题,重大问题,一般缺陷,如果出现几个重大或者一个实质性漏洞基本可以导致你404无法通过。所以我们在06年底完成年终测试以后。
从我们分析发现的缺陷进行分析情况下,我们分享我们经常遇到的问题,一发现缺陷是由于基础设施方面,主要原因是因为前期相关技术流程执行得不够彻底、不够完善造成的,IT用户欧层面我们测试四个方面的主要问题,系统配置,关键报表,权责分离和关键事物代码。ITAC方面大家可能发现最多集中在关键事物代码,往往你是你信息化水平越高,用的系统越先进,集成这两快问题就越严重,你看重的是非常初级的信息化,或者你信息项目是没有集成这两块问题很少。我们当时有6000个帐号,其中有1500帐号都出现相关问题,这个也是比较好理解,上弦没有充分考虑到《萨班斯法案》内控相关要求体现在SAT项目当中。我们付出大量分析劳动,在权责分离,业界常见接触上我们通过分析有39对权限都是出现一个人身上。
第三就是基准方案,我们同时做两件事情,基于我们开展SAT上线是咨询公司或者做外部审计、内部审计都是知名公司,没有一个公司是两个同时进行的,最终还能顺利通过404是非常困难。为了保证每项工作都有好的结果,第一SAT可以可靠上线,第二上线也完全符合404要求,所以我们公司管理层确定一个制定要有一个基本方案,对于系统配置,报表,数据维护等等方面,划定一个日期,在此之前SAT上线的项目,所有工作可以按照它的项目规划,业务需求去做,我们划定是2006年9月1日,所有的配置,控制要经过全面严格测试,确保这一点在这个时间所有SAT相关配置都是符合相关要求,之后所有相关工作变动必须经过404相关标准进行审核,确保是符合要求,这是我们做具体方案一个初衷,结果非常圆满完成了审核要求。
下面我们讲一下通过实施这样一个GCC项目的效果首当其冲实现目标就是通过404审计,在美国上市公司,把风险做这样一个法律强制要求,相关工作不一定能够得到高层领导的这么大的支持,虽然我们要我们建立一个高效运行IT体系,如果只靠这个目标,而没有通过404可以说我们这个项目是完全失败的。
下面是对于我们作为信息化工作非常关注的一点,就是非常好的效果,我们制定了一套非常好标准制度和流程,并且在各个公司推广,通过流程推广基本建立一套体系规范信息系统管理,因为COSO我在国外财政部网站看到了,他们要推迟到大陆应用的时间,但是我们作为一个国家主要大型企业,已经在2006年按照北京市要求,在2008年开展中国版《萨班斯法案》工作,已经出具符合中国四部委办法的基本规范,要求内部控制评估报告,在开展这项工作过程中我们感觉到及时,无论我们说的COSO还是美国的《萨班斯法案》等等,只要你有一套可靠内部控制体系,并不是太需要关注你通过是什么样的法案,去年我们通过中国的《萨班斯法案》,我们可以看到说我们没有做任何附加工作。
第三制定了总部和分子公司信息部组织架构和岗位设置参考模型,还有一个我们基本方案讲到相关从另外一个层面验证我们使用ERP安全性,可靠性,相关部门可以接受IT部门的风险评估。通过资质建立我们有建立了一套可靠的流程和相关工作。
404审计并不是一个一劳永逸的工作,是每年要进行的相关工作,从我自己分析看这两年工作还是要开展相关工作,我认为是大家需要注意的。第一是及时调整项目问题,从SOX要求不是对你所有企业所有业务进行评估有一个重要标准你销售收入高出5%以上,在中国高速发展阶段,企业主要业务变化每一年都比较大的变化,一定要提前关注并有预见性,在明年哪些企业、流程、业务可能会跳出SOX的范围。同时,根据上一年分析结果改进原来缺陷,按照以往的技术严格的执行。
还要风险管理工作因为第一年通过SOX法案,比我们企业来说我们现在总部大概花费很多钱,如果每年搞运营形式,我们总部付出工作量,包括我们分公司下面工作量,把一定要将风险控制、内部控制工作常规化。
最后我想跟大家分享一下,我们开展这项工作以后得到的经验或者是教训,希望大家要做或者即将要做这项工作的比较关注的事情,首先就是大家预示到开展相关工作的重要性,困难想对超出大多数人做这项工作的想象,一定要有足够资源保障,一要找好优秀外部力量帮助。第二点我觉得还需要关注项目进行准确的界定,什么流程,什么业务需要进行评估,它和你财务报表重要程度紧密相关的,如果你这个做不好,你做半年,10月、11月份测试的时候,突然告诉你现在的关联度没有达到,你从来没有关注流程,没有处理最后统计局发现有漏洞,这个时候你根本没有办法挽回,到了年底你才发现有错误,这个时候就是很危险。
开展相关工作在有审计师一些工作也会发生一些变化,实际要跟外界及时沟通。信息系统是也许由信息部管,但是从控制关注角度讲,信息系统主要是业务部门使用,它的控制点主要在业务部门,如果业务部门不充分理解相关重要性、相关知识,那么信息部门根本无法做好这项工作。
最后不得不提醒大家一点,如果大家使用大型ERP系统,全线管理和系统变更管理会经常出现很多问题,大家一定要有心理准备。另外刚才我要讲第一年你可以完成依靠顾问,第二年会请一些顾问,但是每一年都靠外部力量完成,最后一定要实现常规化,我们在2008年开了外部工作,全部工作全部由内部员工完成。
因为时间有限,可能有一些问题希望大家谅解。
主持人:下面让我为大家请出一位企业内控方面的专家,国际信息系统审计师协会北京事务委员会主席何迪生先生。
何迪生:各位领导、各位嘉宾,大家下午好。 杨总刚才基本上把我想讲的讲完了,他是非常有经验的内控方面的专家,今天过来是非常有价值的,看到他的演讲在内控方面有很大的突破。
介绍一下我自己,很多的朋友说我最必然的身份,有其他的不是很清楚。今天的大会是中国信息化推进联盟都是中国很有影响力的协会,所以,对于上面的ISACA,很多人可能不是太清楚。我把自己的一些体验跟大家分享一下,ISACA审计协会是什么样的协会。
我们协会是国际的协会,1996年开始成立的。我们现在遍布140多个国家,人数达47000多员,我们的毕马威、德勤审计师大部分是我们的成员,还有很多的CIO都是我们的成员。所以,我们的网址是www.dawendou.com,大家可以看一下,中国的网址是我们在分享很多的内容。
ISACA是一个被公认为对资讯系统管理、控制、安全及审计扮演领导角色的国际性组织。我们提供全面的会员服务,我们监管全球性受尊敬的国际公认资讯审计师CISA及国际公认资讯保安经理CISM等认证。
今天我跟大家分享的是什么?我想刚才我说了今天讲了很多的东西,我大概从SOX的概念,杨总讲的我不讲了。还有讲讲什么是IT治理,还有是COBIT,我分享一下它的框架是什么,最后我讲讲我们的看法以及中国的SOX面临的挑战。
《萨班斯法案》,大家知道萨班斯的名字是怎么来的。是2002年美国的丑闻“安然事件”,如安然和世通事件,如果我们不想起的话对于普通的投资者所共鸣,所以有两个比较有名的人,一个是三萨班斯,还有一个是Oxley是他的朋友和专家,他们一起来做的方案。2002年7月份美国总统布什签署了法律,所以《萨班斯法案》一共有11章。第一章是针对汇集会计及公司行为的监管,包括CEO之间的管理,在安然审计事件里面他们有很多的东西,所以,当萨班斯方案出来之后,很多的CIO、CEO不敢做事情,因为怕有这样的事情存在。
在404条款里面刚才讲了很多了,我不讲很细的东西了。条款里面有用我们自己的IT方案去服务于我们IT平台的管理。刚才讲了一点是我们的SOX方案,要真正帮我们的IT治理进一步做得更好,没有立法行为的话,很多公司的CEO他们不会花太多的精力、太多的金钱太多的时间去把IT治理做好。系统2003年之后,我们看IT治理IT方面做得越来越好。所以,很多事情要进一步推动的话,要积极的话,一点难度都没有了。
除了进一步的推动之外,我们为什么要IT治理呢?从普华永道右边的三种计量看出来,很多人认为我们的IT事件跟数据是有关的,全球是16%,我们的比例是44%。其中对安全事件管理的方面,我们的比重已经不错了,因为全球范围内比例是51%,而中国也是44%。平均去看一个安全事件的损失大概是100万,这些数据告诉我们IT治理是很重要的。IT对于企业不可能没有IT,还有进一步的管理,不同部门等都有IT。今天IT不止是一个网络,它对企业有战略性的意义。但是,我觉得在中国IT好象还没有得到应有的重视,但是如果不久的将来IT对企业来讲应该有很大的贡献。我们对安全做得很好,对建设做得很好,所以为什么有IT治理。
IT治理来讲具体到企业的财务部、业务、还有IT部门。从IT来讲举个例子是从安全的角度,我们的仿冒的网站很多,像ebay等电子商务公司。还有木马病毒活动猖獗,还有帐户的盗用,所以,我们企业管理内控很重要。
下面我们讲讲COBIT,它的英文我们不讲了,只讲COBIT,这是一个习惯。COBIT也是不断进化的框架,我们从1996年开始,我们对COBIT都开始在ISACA里面控制了。今天来讲有不同的版本,因为我们的社会、经济每天都在发生变化,所以,我们也有变化。就是把COBIT一步一步地进化去,以至于在今天也能使用。像主要的目的和方向是研究、发展、宣传权威的、最新的国际化工人信息技术控制目标以至于我们的人员使用,可以慢慢建立起来。所以,COBIT里面有34个IT的流程、四个领域。PO是继续与组织、获取与实施、交付与支持、监控与评估。
这个是COBIT的框架里面可以看到,第一用一个商业的目标,我们的企业做生意把商业达成,我们的IT是帮他达成这样目标的工具。所以,信息是IT里面最重要的一个重点,所以这是给商业的应用把商业的目标达成。后面是IT资源,我们讲了ICP、Oracle等等。还有平台业务的发展。所以,如果我们把IT资源深化,我们有很多的方案,像很多都用了IT运维管理的系统。从COBIT来看,PO、AI、ME、DS里面有不同的框架,我们里面PO有10个、AI有17个、ME有4个,DS有13个。所以,我们这些基于应用去达到我们的效果,我们把IT治理变成有效率、有效果,可靠性、有效性、保密性、可用性、完整性,这样我们的IT治理便维护起来。
今天有很多种问题,COSO和COBIT怎么分开,这有很好的内控框架,但是从我们的角度去看,COSO是看事情,COBIT来讲是IT的两块,一个是集成的架构,一个是财会应用,这通常是我们参考的意义,但是就一个行不行?也行。
从《萨班斯法案》404条款里面,COBIT的关系刚才也讲了很多,COBIT就是我们404里面最主要的部分,是帮我们把条款的要求一步一步达成。刚才杨总也讲了,他看过一些运维的问题,运维的经验跟大家分享,这里面重要的重点跟大家分享了我就不多讲了。
我跟大家讲一下今天C-SOX面临的挑战,我们看有什么东西。我们看到的挑战可能今天中国有很多的框架流程、标准,但是我们很多的中国同胞可能不是太了解,这是第一点。今天很多领导都把我们的力量拿出来,跟大家分享一下怎么样把这个做得更好。
第一个是中国本土相关的服务,我们是国外的企业过来帮助我们服务,但是本地化的中国服务不多,我们也希望跟中国本土的交流,把香港的力量,本地的服务团队精英人才、专业人才给慢慢培养起来。
今天我觉得很多审计人员对IT的审计不是太熟,我们跟很多朋友聊起这样的问题,我们应该怎么样一步一步地解决问题。我觉得最重要的是第四点,没有规定具体处罚的内容,很可能造成有法不依、违法不究、执法不严的情况。如果发生了事件,他们可能坐牢坐20年,每个CEO、CFO他们一定把他们的能力、精力,尽量把事情做好,今天中国现在没有法律说没有专门做的话,也不重要。我们内部是刚刚开始,我们可以在未来的几年大家一起努力,把这一块做好,将来一定会变成法律,让我们的上市公司投资界获得利益。
我觉得很重要的一点,企业很多大的财务部、审计部跟我们的IT部的整合是一个很大的挑战。基本上现在没有太多的沟通,但是我们如果有一个很好的内控团队在公司里面的话,就可以把他们联在一起,把我们应该干的事情干好。刚刚开始的时候不容易,假如我们会找四大和有经验的朋友帮忙,把刚刚开始的COBIT等事情做好,以后我们会有更好的团队去发展,把文化发展成为一个很好的运维的习惯。我们的IT治理不止是C-SOX还是SOX都会慢慢做好。
再总结一下,今天来讲我觉得IT是业务的组成部分很重要,没有IT什么也做不了。IT治理是公司治理的组成部分,公司的企业治理永远是很重要的一块。IT重要还是IT治理重要,处理不好的话很多事情处理不好。影响了我们业务的发展、公司的企业文化,还有对投资者一些不好的影响。所以,今天我们的IT治理刚刚开始,要在内控方面大力推出去,我们有这方面的专家和领导,我觉得可以一起去看怎么样把它做得更好,把它发扬光大,以至于我们的企业做得更成功。
谢谢。
主持人:非常感谢何迪生主席白忙之中带来这么精彩的演讲,下面有请摩卡软件高级售前顾问周立民为了我们带来精彩的演讲。
周立民:大家好,下面页我们各位领导,分享一下我们摩卡软件针对企业整体的解决方案。开始的时候,介绍一下我们公司摩卡软件的实际情况,这个平台大家多少有一些陌生,但是实际上我们公司已经有十多年这样一个产品研发过程,我们在亚太区有两大产品线,我们公司有员工600多名,研发团队占了一半以上,目前公司最大股东英国电信。整个公司业务的分布遍布了国内大中型城市,产品的客户群主要还是定位于通信行业,中国移动全国30多家省公司一半以上都是我们的客户。包括现有金融、制造业等等。此外,在国际上一些东南亚,也有一些相关项目在做。
下面我们回顾一下从IT运维管理发展一个历程,目前来说企业整个随着IT环境越来越复杂,每年投入整个IT运维的资金、人力也越来越大。但是现在还是有一些问题,比如说出现一些问题,出现一些故障之后,有专门的网络运维人员,有一些应用系统的维护人员也觉得有许多问题,实际上整个业务系统已经出现了性能的瓶颈。从运维来讲有监督的系统,但是还是没有办法正常的串联起来。
还有从传统监控运维管理监控软件还有一个问题,出现系统故障是采用快速告警,在这个告警接到以后,我们运维人员需要做什么,基本上传统软件来说,就终止了。真正一些我们公司的一些运维产品是从告警开始,包括告警以后一系列故障跟踪堵截等等,这是我们传统运维软件所出现的问题。这个是我们传统的一些运维软件,实际上和信息缺乏全方位运维都串联起来形成一个有机整体。
下面我们看一下针对整个IT运维提出叫全方位的运维解方案,摩卡软件整个软件产品定位叫三位一体,首先底层是一个传统网管软件,提供一些基础的数据支持,来为高层运维提供数据来源,通过传统监控,引用故障报警出发,实现整个故障的跟踪,包括对方一个解决。第三层民是IT服务管理,是通过一个流程框架给企业带来一个全范围标准流程化的运维工作平台。
我们提出4+1的解决方案,提出一个基础架构管理,包括应用平台的监控管理,包括从指标到业务,通过一些业务系统的响应时间情况,包括业务服务的一些站在业务的视角审视一些IT的资源管理,这是一个业务初步管理,从监控到流程,从监控引入相关流程平台,实现IT运维从技术到管理的过程。最终实现全方位自动化的全方位运维。
我们看一个我们整体提出的4+的优势,第一个,全方位系统监控,相关的情况存储情况。为了满足国内用户使用喜欢,我们整个产品设计理念就是一个简单易用的系统,提出简单的可视化,简单的一些策略管理等等一些方面。为了满足不同用户需求我们提供多种产品模块,包括业务提供服务管理,资产生命周期的管理等等。重点是通过一些展现的方式,我们提供了叫做多种展现方式,从传统浏览器的方式,到手机接入方式等等。此外,这样一个展现方式是一般单一入口,可以我们企业可以管理层面不同决策人员提供不同展现内容,因为不同决策人员关注内容是不一样,高层是关注一些报表等等,中层是关注一些情况,业务人员是关注一些数据。满足这种需求,我们提供不同决策提供不同内容。通过引入相关框架提供相关服务台,通过ITIL等等。
下面我们仔细看一下全方位的资源管理,首先是全方位的网络设计监控,可以支持市场常见品牌相关的类型,底层是通过资源管理的支持,进行快速开发,多种操作系统支持,基本上目前IT环境包含系统都可以支持。各种应用平台,从服务器、数据库,包括一种大型企业级的数据库,各种管理服务器等等,应用平台可以实现这种监控,监控方式包括前面的主机,我们提供两种,一种是代理,一种是非代理,方式可以任意选择。完善资源监控还有机房环境的监控,数据的呈现是与相关网络拓扑进行关联,为用户提供一种整体化,从整体到具体转变的过程。首先可以看到这是一个全国性一个骨干网线路图,我们可以看到全国每个县的网络状态,每个机房里面的情况,重点关注一个机房可以点击具体城市里面一个机房,机房是哪个地区机房有问题的话,可以点击机房进入这个机房界面,可以看到机柜情况、温湿度环境等等。想看一个具体机柜,机架上面服务器和网络设备状态,目的在于我们提供从宏观到具体的全方位展现,而且是将网络监控和机房监控做了一个统一。
下面看到是一些数据和监控,包括一些视频监控的联动等等。我们前面说到的是一些底层IT资源全范围的管理,我们在这个基础上有一个相关联的配置变更管理,这是变更是管理的,这很难注意到,这种变更可带来很大影响。通过对我们所有包括网络、主机应用等等配置的变更管理可以实现一些快速的监控,比如说发现一些配置出现变化的时候可以产生一些快速告知等等。这些企业网络环境很多配置管理变更,很多管理人员是通过手工来实现,我们通过一种摩卡IAM管理,可以自动发现网络配置,实现一个备份,通过自动备份,可以发生了一些变化,可以自动对比出来与以前哪个脚本发生了变化,这是一个我们解决方案里面一个模块,叫摩卡变更管理。
为了满足用户的习惯,我们整个界面设计尽量从简单易用着手,下面是一些截面截图,包括一些主机,数据库监控的一个展现是通过动态一个展现,这样比较直观易懂。
我们前面说到如何去实现一个全范围的IT运维管理,一个企业原来有相关网络管理、业务管理,如何串联起来我们通过业务服务管理,把所有IT管理和业务进行一个相关关联,投入业务相关业务组件关联,某一个IT组件出现问题会对业务出现相关影响,从运维角度可以快速定位这个问题,下面看到是一个业务服务监控的展现。当我们的业务出现问题的时候,整个业务会推动一些状态实时的查询,进而通过业务服务对IT部门,其他部门的影响帮助管理员去判断。
现在我们的网络,带宽确实是越来越高,但是也面临了一个问题,带宽滥用问题,我们针对这种情况提供一个解决方案,网络流量的分析。首先是可以解决判断出来网络网络当中哪些用户造成大量带宽占用,是那种协议有这样一个大量带宽占用,什么时间是大量带宽的占用。国际上网络厂商有相关的代码协议,比如说思科,华为等等,我们能实现对所有协议的支持。从整个协议的分析来看,目前国际上有一些协议,从支持角度大多数同类型产品都可以支持,我们重点在于对一些像华为的设备,我们也能够实现这样一些支持。
随着企业的IT管理发展,整个IT资产管理逐步产生一些问题,因为简单通过手动工作方式工作量越来越大,我们提供了一种摩卡ITAM,是IT资产管理,通过资产设备周期到设备到户是一个全生命周期的跟踪。前面说到一些业务监控,可能重点关注终端用户体验,我们这个系统快不快,我们为这种具体提供一种叫做摩卡ITAM,首先通过一些用户访问过程,包括一些查询等等,把一个用户访问过程录下来,整个监控结果可以看到具体是哪个步骤,从而一个性能问题,哪个步骤比较慢,而且是由于那个具体环节引起的,这是摩卡ITAM前面经介绍是一个全方位资源管理。
下面我们看一个全方位接入块,首先我们是统一认证,这样用户只需要登陆一次,错此外通过统一认证可以集成用户享有的一些资源,所有这些内容可以在一个操作当中展现,可以看到无论是监控信息,报表第三方系统都可以这个里面展示,除了传统意浏览器展示。这是整个接入方式截面一个截图,可以查询当前状态,包括当前资源状态等等,解方式我们提供两种,一个是传统WAP方式,还有就是J2ME方式。第三方面一个全方位流程ITIL的管理,ITIL这个概念已经很多年了,在一个具体项目实施过程当中,还是需要一些支撑,因此我们产品提供了一套方法论,整个方法论是基于我们公司多种运维管理的经验。我们摩卡运维管理底层平台是一个业务管理平台,是我们公司业务流程管理平台。通过一些数据表单和相关的工具,来帮助用户进行一些相关流程定制。这是我们基于IT的管理。
我们看一下我们ITIL最佳实现和方法论,我们围绕四个阶段,看IT的运维管理。在这个整个系统当中为整个IT部门组织架构解决相关所有决策人员的一个定义。下面是一个全面的流程框架,首先是服务台事故管理,主要功能就是快速相应客户请求,目的是为了尽量快速恢复故障。接下来当时系统存在一些系统原因没有查明的话,可以请求转移到故障管理流程,可以查明故障原因,对问题进行跟踪和规划。接下来是变更管理,一旦涉及到问题的一个修改会有相关一个变更管理,通过变更管理对资源进行相关修改。最终执行整个一个变更管理流程是通过这样发布,这是我们整个产品一个四大流程框架。同时服务台跟分级管理所有出席请求也好,都会生成最终制式纳入到知识库当中,进行今后经验的一个积累。变更发布过程会最终更新到CMDB的配置项。 为了满足客户不同需求,我们提供了对同一个流程提供多种版本的选择,用户可以根据自己的习惯,去选择不同的版本进行实施。下面看到就是流程设计一个截面,这个虽然我们提供一些流程,还是需要进行相关微调进行一些二次开发,这也得符合一些相关的框架。为了辅助相关调整进行相关流程截面设计,这是进行了相关的集成。
下面看到就是我们底层的一个CMDB数据库,所有这些配制项目可以自动发现,进行相关的拓扑。包括最终一些当前最新了软件库等。CMDB提供向相关设计工具界面,用户可以自定义维护相关数据。下面是一个界面展示的是我们是以报表统一为主,根据不同报表给用户提供不同数据的统计,下面这些报表可以随意拖动到我们用户收藏夹当中,可以进行快速的收藏。整个产品界面是比较简单易用,左、右侧界面划分,页面上下功能调整等等。这块是做相关一些知识管理,所有生成运维相关知识,自动录入到数据库当中。
最后我们再回顾一下整个我们产品的整体价值所在。首先我们摩卡解决方案目的是最终为运维服务,整个运维是一个全方位这样一个解决方案。所有相关这种包括运维方面流程最佳方法论,相关我们监控设计也好,不是一概而论的。因为我们公司从多年来已经有十多年IT维护服务外包经验,我们提供的相关知识是涵盖我们相关运维知识。这是我们整个产品套装及其对应,BSM是我们摩卡一个技术,IT资产管理对应是IT周期管理,对于基础设施管理,ITAM就是运维管理流程。最终实现一个三位一体的产品定位。
最后介绍一下我们以前实施的项目。首先是中国移动集团总公司的项目,这个项目不是一个单独的厂家进行实施,而是通过多家厂商一个合力。我们在这里面主要要说我们针对客户单独做了一些应用管理和模型开发,帮助用户实现一个VPN动态系统监控,此外通过系统集成,为用户提供统一界面展现。然后是一个国内制造行业的就是三一重工,这个项目除了一些基本功能以外,重点说到三一重工用到的网络环境是比较复杂,网络设备比较老,型号也比较老,通过我们开发最后实现一个快速的产品定制,帮忙用户最终解决它网络管理方面的一些问题。
我的介绍就到这里谢谢大家。
主持人:下面有请RSA,EMC信息安全事业部中国区资深技术顾问冯崇彪先生。
冯崇彪:大家下午好,我是EMC信息维护业务顾问,今天向大家报告的内容是简化IT运行及企业监管合规。
在介绍简化IT运行及企业监管合规之前,我们给大家先介绍一下背景,实际上我们IT部门现在所面临的问题是,需要审计员过来要审计我们信息的时候,是要求百分之百数据。这时候我们以前审计人员来我们IT人员会感觉非常紧张,这时候怎么样应付内部来自审计,还有来自于外部审计部门的审计。这时候我们会要求我们的IT人员找相应数据应对是这样一个情况。我们解决方案可以帮助我们IT部门,快速取出我们众多工具里面6个数据给审计部门,内控部门,包括外部审计部门。
我们可以看到其实证监会对于我们所有上市公司,本身是有非常得高要求,去年已经发出《关于加强对投资者网上交易安全保护的通知》。这个通知实际上要求我们所有的上市公司对于一些非法的交易行为的监控。要求每个机构对投资者的登陆,交易转帐活动进行监控,一旦发现有什么问题的话,在这上面需要进行相应的监控。另外对于我们企业内部控制基本规范,这个规范要求今年的7月1日对所有上市公司需要有这样一个要求。内部规范实际上是由财政部牵头,包括证监会,审计署还有银监会、保监会,各个机构出的指导意见,对于我们在座各位有非常好的指导意义。
对于我们IT主管面临的问题是什么,我们现在IT环境越来越复杂,系统越来越庞大,这个时候我们的系统涵盖了包括主机、网络、应用、安全、存储等等方面。这每一个系统里面都有相应的数据在里面,对于这些如山的数据,我们怎么保障它怎么样让我们IT运转很正常,同时我们还能够保障能够满足内部控制和外审的要求。这个实际上对于我们提出一个最高要求,审计员他们希望得到是什么呢,是对于财务有效的系统控制,我们的财务部门关心是财务数据控制,一些人事部门任务移植怎么把帐号在系统中屏蔽掉,比如说密码需要更改,对于我们IT部门,或者科技部门怎么做这样一个有效控制等等,所以对于内控,各个部门关心是不同的角度。
我们有一个三合一的日志管理平台,通过对于这些数据拿过来以后做分析整理,能够做一个用户集中化的管理,同时在这个基础上对于做分析,做报告来优化IT运维。在这个基础上可以做什么呢,日志管理,资产识别,能够维护我们本身IT的基本原则。基于上面的话,我们可以做满足我们内控和外审相应的报表,还有根据这里面IT本身里面一些安全东西,可以做出相应的报表,比如说像一个黑客冒充一个合法用户,日志里面只是看到一条日志,如果把多个设备集中起来看是一个安全事件,黑客登陆十台机器,十台机器合起来看是一个安全事件,我们机器可以报警告诉你这里面有个黑客,可以基于不同设备之间做出这种关联,比如说有的人只防外网,没有能力访问内网,如果他访问内网可以及时报告出来,有的只是访问互联网,这也是不允许的。
我们这里面做一些比如说像有一些是我们举证的行为,我们可以做一些举证的分析,同时可以做到安全和我们的IT运营做一个职责分离,比如说我们在座一些企业可能是说在IT运营的时候,我们只关心是本身IT能够正常运转就可以,但是从安全角度考虑,可能需要更高要求,过了时间才能做举证分析,再回去查,比如说是几个月前,或者几年前一些事情。有的过一两年才发现这面有安全事件。还可以把现有的IT数据转换成可用的信息和智能,我们有相应仪表盘,让我们公司高管可以看到目前运行情况,我们有超过1000多张,用于强制合规和安全的报表模板,我们这些模板是遵照国际上一些标准,比如说《萨班斯法案》等等这样的标准制定,这些模板可以根据我们企业内部的标准,可以变成是我们银监会要求的报表,或者我们内部要求的报表,这些报表可以做成定时的,也可以做成是一次性的,根据我们需要。
后面我跟大家分享就是非常几个非常简单的例子,怎么样来帮助我们提升安全。首先我们这里面有一个报表是专门做密码变更和过期的,我们从安全角度要求我们企业内部所有人员,可能隔一段时间要更改密码,这些密码我们之前有相应的策略在里面,但是没有一个统一管理,了解到让我们IT主管了解到它的密码变更情况,比如说有多少人在半个月之内需要更改密码,大家心里面想我们原来系统里面一部分系统已经有了,但是没有一个综合管理的平台。
还有一个比如说有一个人离职,这时候他的帐号是不是还是可以用,还是说这个人帐号密码还是可以用。大家关心可能操作变更控制,我们这里面总公司要求各个分公司,子公司策略必须按照总公司要求,我们怎么保障总公司策略能够强制执行下去,对于我们解决方案也有一些相应的方案在里面。禁用帐号我们也有例子,对于离职员工要进行禁用帐号。再有就是有很多合规报表,有《萨班斯法案》等等,我这里面主要列举这种合规报表,这里面大概整个系统里面有1000多张发表,最早银监会、证监会要求,做成我们每个企业内部是和自己的安全报表,根据这些报表可以对我们企业做好内控。我们可以看到每一个报表上面都有写,这个是遵循ISO27001,或者是ISO27002的具体第几本的要求。每一个报表和合规里面某一项怎么对应,在我们系统里面非常详细的介绍。
我们可以看一看,有人试图违反企业策略,试图从外部删除企业资料,我们通过ISO方案都可以找出来,我们可以看到有一个告警是来自于公司的三楼办公室,我们从这里面再往下点可以看到,这个告警信息是关于违反策略方面。这个报警是有一个关联规则,我们内部有检测系统或者是防火墙的系统,通过关联规则可以知道这些。我们接着看,可以看到我们公司内部员工,试图从家里面联到公司内部,试图删除一个客户资料。
另外的场景是我们有效地监控超级用户异常的活动。这里举的例子是一个管理员在一个小时之内,他创建了一个用户帐号,然后做了一些违法的事情。之后,他又把这个帐号给它删掉了。这样的话他自己认为他做了一些自己可以抹掉,即使是这样我们也可以发现。这个时候他创立了一个异常的活动出来,这个时候管理员可以看到,原来这个管理员是一个小时内创建的帐号,同时一个小时之后把帐号给它删掉。中间做了事情,我们都有记录把它记录了下来。
这个时候往下看,可以看到一些安全的证据。这个时候管理员创建和删除帐号的信息都在这下面,不同的设备和位置里面都以去看到,我们可以不断地把过去一个小时内所有用户的活动查询到。所以,从众多的用户当中,把刚才可疑的帐号抓出来,进行分析。我们这里面中间是查询帐号,那么这时候我们发现一个问题是什么呢?这个用户是修改了他们公司里面一个非常重要的数据库里面的数据,这种行为是非常危险,系统管理员在每一个企业里面他的权限是非常大的。那么他可以增加用户名,删除用户名,允许这种解决方案,放在第三方这里面任何一些数据这些信息都可以统一到你的设备里面来,中间做任何事情,等还没有做成的时候,报警就出来了。所以可以把这个数据存到到我们叫调查数据库里面。这个安全官登录到这个系统里面可以查出来这个人,他到这个系统里面到底做了什么事情,所以这个事情很快就可以查出来。
所以实施这种日志安全审计有什么样的业务价值呢?第一个方面,可以减少或者是避免合规成本,因为我们内控有要求,对上市公司外部审计也有合规要求,我们有了这种解决方案以后,可以提高效率,可以降低成本。另外我们可以降低或者避免安全破坏成本,如果是说我们问题出来以后,再亡羊补牢这样有的时候会太晚了,如果把这些东西能够做在前面,我们可以做一些事先预防。还有我们可以降低安全运行成本,不需要太多能力投入,同时可以降低一些法律,如果这个事情出来以后,遇到法律不允许,这时候可以提高我们的收益。同时我们可以保护我们企业品牌和声誉,所以要防止数据的泄露。
谢谢大家。
主持人:接下来有请信息中心主任张艳做最后一个主题演讲。 张艳:大家好,很高兴有机会跟大家一起分享。
关于《萨班斯法案》法案我就不多说,国际上美国证监会安然、世通事件,等等一些诈骗情况里面,美国证监会为了诚实公布信息,所以颁布了《萨班斯法案》法案。在方案中间一再说到关于IT风险这块,所以说我希望有机会跟大家一起探讨一下,在这个额为什么在《萨班斯法案》中间本来是针对上市公司财务审计,为什么跟我们IT审计是密切相关的等等一系列的过程。在企业发展过程中间它不断壮大,如果在十年前,对于我们财务系统来讲,完全可以靠手工来完成。但是十年后的今天,随着IT的发展,不管是各种各样的系统也好,包括ERP系统,或者单纯的财务系统,不可避免的通过在硬件上通过软件实现数据的录入、积累,最后呈现一个财务报表给大家看的情况。那么在这个过程中间由于把系统的不安全,或者硬件不安全,最终有可能导致财务报表的不安全。所以,从财务涉及IT这一块,根据美国证监会要求,审计师是穿透系统不是绕着系统审计,所以是这样一个过程。
大家请看一下,这个《萨班斯法案》法案来源不再介绍了,在这个SOX中关于IT审计过程中间,我们需要相关的像C-SOX安全一些策略也好,规范条例也好,真正实现这样一个安全控制和管理。
IT控制在每一个公司中存在,至少是下面三个因素,像决策管理、商务流程和IT服务。决策管理是建立在实体上,就是人的因素上,如果在一个企业中,不管是IT部门的负责人,还是一个企业的CEO也好,高层管理人员,如果他们没有充分地认识到IT管理的安全,首先来讲,就决定在IT层面上将不可能真正做到一种安全。其次是商务流程,商务流程就是说我们因为是要通过我们这些系统,来给我们企业创造价值,IT永远是作为一个帮助企业的业务部门来实现自身价值的部门。所以通过商务上由于业务的需求,我们引进了很多商务软件,包括大型ERP系统,通过这样系统跟我们IT硬件相结合在一起,形成高效一个系统集成这样一个概念。
IT服务这一块,除了日常的IT维护和管理等等,它来决定服务好坏,同样决定安全非常重要的因素。其实我们也看到这样一张图表,这包括了SOX法案所要遵循的部分,中间包括实体层控制,这也给大家解释过了。现在ITAC应用方面,就是我们讲大型系统。再往下最底层是我们ITGC一般应用控制,在这个控制中间我们简单成为系统开发、系统变更、运营管理、安全管理四大块,我常常比喻为是一个金字塔形的框架。在金字塔的底层是由ITGC来控制的,中间是应用程序控制方面,在塔尖一定是人的控制,通过这样一个搭建结构才能保证我们整个IT的在大型企业中,IT非常安全的控制。
再用一个同样的图表来给大家解释一下,在我们ITAC和ITGC相近的关系,上面有一系列安全产品,这样搭建我们IT的基础安全措施,上面是我们常见的财务系统,不管是什么样的系统,它也应该是只有秉承安全的,上面才安全,上面是我们业务系统、采购系统、销售系统等等,我们财务相关接口实现有效的管理。再往上我们可以看到通过一系列这样的流程,最后我们呈现这份财务报表,为什么在说到C-SOX当中大家说我们需要做IT安全,在整个《萨班斯法》并没有说到IT审计,但是在我们日益们上市公司做审计的时候面临财务审计,基于这样的原因,在ITGC大概控制点,这是AC准确、完整、授权职责分离。
这是ITGC和ITAC关系的图表,首先从信息管理和人事结构,这是一个公司,其次是上升到人的,在有是整个公司的管理,凭险评估,再就是流程层面评估,分为早期,系统与数据所有者,包括业务有关数据控制等等。
我们所有安全策略其实基于框架结构谈到,石油是美国一个信息系统控制协会,它分为四大块,在这个框架计划和组织结构,开发采购信息系统,等等。这是我们常见一张框架具体图表,每块对应我们说四大块,我们讲拷贝一个框架跟《萨班斯法案》有什么关系呢?我们通过这样一个图表让大家来理解。信息计划和组织结构开发和我们公司层面内控是相符合,采购信息系统和系统开发和维护是向符合。
在《萨班斯法案》中间我们实施过程是什么样的?首先,我们要做一个有效设计,我们建立一些常规流程,这个流程是首先是我们做安全第一步,我们如何管理网络,其次是我们建立相关策略我们有没有执行,执行以后有没有监控,如果说我们制定了一定的策略,但是没有人执行,更谈不上监控,结果等于一样,没有完成这样的工作,也不可能实现真正的安全。这样只有通过一系列的建立、执行、监控,最终包括穿行测试,通过了我们这套系统,刚才我也说对系统测试应该是穿行而不是绕行,最后达到内部监控的改善。
《萨班斯法案》有以下几个基本控制范围,公司层面控制,系统操作管理,安全管理,系统开发和维护/数据库维护,网络管理,操作系统维护。
首先从公司公司层面可以看一下,建立与公司层面有关的管理目标,规定和流程等等,意义是确保公司IT部门有明确管理目标和制度,确保公司所有员工认识到时候IT系统重要性以及如何遵守公司IT制定,这一点是可以实现的,可以通过我们新员工入职的时候可以跟他建立一个,要他知道所有IT的方面的所有层面,不会因为他的操作公司有一些损失或者破坏。同时也给公司从法律的角度来讲做了一个非常有效的保障。
确保IT部门制定的策略与公司发展方向一致,我们IT发展是一定要同我们业务相匹配,作为一个公司讲没有一个长期的战略计划,而且在这个战略计划制定之后应该建立有效跟业务部门沟通以后进行不断更新。这些公司都在了以后,一个公司IT怎么谈得上安全,因为他对IT发展方向都没有一个明确控制管理。
下面是针对系统开发、维护和数据库维护的相关要求,要对系统数据库上线以后做修改管理,这些为什么从设备采购我们就要开始控制了,在采购环节从价格各方面进行有效管理,在开发层面我们有没有做到有效职责分离,测试环节上我们有没有做渗透式的测试,等等因素不管其中某一个环节都有可能造成整个系统开发维护和数据库的维护,是有安全漏洞的存在。
下面是安全的管理和网络管理,制定和持续确保系统、平台、数据库、网络等在逻辑性和物理性方面有安全和有管理的存取措施,更多是针对我们的常见的安全设备像防火墙,路由器等等一系列的硬件产品,包括今天我们看到在场一系列安全产品,这些产品有助于我们保障我们的整个IT系统的安全。下面是系统操作管理和操作系统的维护,确保系统日常操作一致性,制定故障处理,发布,记录和分析流程,等等这样一些部门。可以达到在操作系统层面做一个非常安全的控制和管理。
最后是我们所说到应用控制,应有控制中心确保应用系统在输入及输出数据时能够有效控制数据的准确、完整性,确保授予员工的应用系统权限不会有职责分离的冲突,确保系统之间的数据传送的准确和完整性,确保系统运算的准确。中航油就有一个事件,由于数据缺失导致了6亿元的损失。
第16篇:关于对公司审计部内控状况的审计报告的回复关于对公司审计部内控状况的审计报告的
回复
首先感谢贵小组对审计部内控状况的审计,针对审计报告中提到的几个问题,我部回复意见如下:
1.审计计划性差
关于审计计划问题,临时性审计计划均为管理层和总经理安排,非审计部所能控制.我们的解决办法是根据实际审计情况及时对计划进行调整.
2.人员流动频繁
针对人员问题,我部已全部同离职人员进行了离职调查,主要原因一是压力大,二是待遇低,三是不受重视,此问题已上报公司管理层和人力资源部门.
3.内控制度不健全
鉴于内部审计工作的工作特性,在复核、现场管理、底稿、档案管理、内部考评等方面确实还有一些不足,以后将加强内部审计作业管理,尽量作到能标准化的标准化.
4.审计工作底稿不完善
针对审计工作底稿问题,请详细列明相关具体审计项目.
5.审计工作缺少复核
目前我部采取主管复核制,审计报告经签批发出后即视 为已对审计工作进行了复核.下一步我部将规范审计工作复核流程,完善签字复核手续.
6.培训欠缺
公司无此方面的预算.
请贵小组考虑我部意见,发表客观的审计结论和建议,并恳请贵小组将审计部现状提交公司最高管理层,以期引起对审计工作的关注.
审计部
XX年4月19日
第17篇:供应公司审计汇报材料08供应公司审计汇报材料
(2012年1-8月份)
根据《吕梁山公司2012 年度供应系统专项审计通知》安排,现将供应公司一到八月份主要工作和主要经济指标的完成情况汇报如下:
一、机构设置情况
供应公司现有班子成员三人:经理、书记、副经理。下设四个科室:综合科、材料科、设备配件科、总仓库。在册员工23人。
二、主要经济指标完成情况
1.物资出入库情况
1-8月份采购入库9929.49万元,出库9961.63万元,其中:材料入库7089.41万元,出库7118.81万元,配件入库2840.08万元,出库2842.83万元。
2.综合价差率完成情况
1-8月份累计自采计划金额7930.89万元,实际金额6493.36万元,实现价差额-1437.53万元,完成价差率-18.13%比核定综合指标-17.53%多完成0.6个百分点,多实现价差额47.33万元。
3.综合税率完成情况
1-8月份(剔除修理报销汽配155.21万元)实际采购金额6352.61万元,税额1058.99万元,完成税率16.67%,比核定指标15.89%多完成0.78个百分点,多实现税额49.75万元。
4.仓储管理
吕梁山供应系统储备定额2295万元,八月末实际占用1943.68万元,比定额节约了351.32万元,节约幅度为15.31%;与去年年底的2206.43万元相比,降低了262.75万元,降幅为11.91%。其中供应公司储备定额1000万元,材料650万元,配件350万元;八月末实际占用667.69万元,比定额节约了332.31万元,节约幅度为33.23%;与去年同期的 781.06万元相比,降低了113.37万元,降幅为14.52%。其中:材料实际占用628.49万元,比定额降低了21.51万元,降幅为3.31%;与去年同期的685.08万元相比减少了56.59万元,降幅为8.26%;配件实际占用39.19万元,比定额降低了310.81万元,降幅为88.80%;与去年同期的141.15万元相比减少了101.96万元,降幅为72.24%。
5.代储建设
1-8月份代储物资累计采购计划金额5547.13万元,实际金额4902.15万元,实现价差额-644.98万元,截止八月末代储物资库存为1596.70万元,比上年同期的916.51万元增加了680.19万元,增幅为74.21%。
6.废旧物资销售
落实山西焦煤《关于废旧物资对外销售由国贸公司统一销售》的通知精神,根据焦煤公司拍卖情况,对各矿、厂废旧物资进行销售,共计销售金额52.21万元。
三、开展的主要工作
1.采购制度建设方面。重新制定完善了物资采购计划制度,采购员工作制度,监督管理制度等方面进行了完善和规范,制定完善了《物资采购管理办法》、《物资验收制度》、《采
购员岗位责任制》、《采购员工作责任制》、《采购员经济责任追究制》等制度,我们结合公司实际,完善了物资采购制度方面的不足,细化了采购制度内容,出台了土林产品限价规定,形成了完整的管理体系。
2.物资采购计划管理。为了确保物资计划的严肃性,提高物资计划的准确率,杜绝计划随意性,防止因计划的失准造成物资的积压,在编制采购计划时,我们组织保管、计划、采购等相关人员进行月计划的审编工作,根据各需用材料单位所报材料计划情况,库存情况编制,编报后报请批准后批准后,并根据生产材料使用的轻、重、缓、急进行采购,在保证生产物资供应的同时,严格地控制非生产物资的消耗和新材料投入,降低生产成本,严格控制材料费的超支。
3.在物资的采购方面,为提高生产效益,降低生产成本,改善采购环境,我们加强了物资的计划管理,要求采购人员严格执行集团公司有关物资采购规定,按照供应公司月度物资采购计划采购,不准违反规定乱采乱购,不准采购人情物资,不准采购质次价高的物资。要做到质量合格可靠,价格合理,狠抓物资的进货关,减少物资的积压,要求采购人员在物资的采购中,必须采购技术先进,质量可靠,做到货比三家,同等产品比质量,同等质量比价格,同等价格比远近的工作程序原则,减少物资流通的价外费用,杜绝乱采乱购现象,降低采购成本。
4.在物质保管、验收、发放方面,建立健全了各项制度,物资入库严格按照物资名称、规格、质量、数量以及各类相关证件是否齐全完整,是否与月计划相符进行验收,验收后
及时登记到货记录并双方签字。物资保管要达到合理化、科学化,对库内存放的物资要做到“四号定位”、“五五摆放”, 保持库内整洁卫生,分类存放。严格仓库管理制度,加强工作责任心,确保物资达到不丢失,不损坏,不霉烂,不漏失和帐卡物资金相符,坚持“日清月结”,各种帐册单据、报表等要做到计算准确,书写正规。坚持“永续盘存”制度,每日对有动态的器材随时盘点,无动态的器材每季度要进行一次小盘点,半年和年终要进行全面盘点。
四、存在的问题
1、物资采购价格下降力度不大,询价、比价、市场调查工作还有待于提高。
2、物资代储工作还有待于进一步加强,只有扩大代储品种、范围,才能有效降低物资储备资金占用。
五、今后的工作措施
1.深化采购比价工作,加大采购降价增效的力度,加强市场调查,摸清市场底价,在做到“货比三家”、“公开、透明”的同时,切实、有效地降低采购价格,实现采购价格全年下降10%的目标。
2.继续推行全方位代储业务,优化代储结构、规范代储程序,进一步扩大代储品种范围、减少储备占用。
3.全力抓好物资验收工作。一是认真审查供应商资质和产品资质,完善供应商资质档案;二是在可操作范围内,对采购批量大的物资,按现行标准进行抽查验收,每月不得少于10种,并将此项验收资料,归档建账。
4.加强废旧物资管理,利用《物资信息管理系统》,将
废旧物资视同正规物资管理,将废旧物资回收指标核定、计划下达、回收上缴等基础工作做细做实,在鼓励生产部门复用的前提下,严格废旧物资的回收和上缴工作,为企业节支挖潜做贡献。
5.根据吕梁山公司安排在四级管理人员中开展“知矿情、熟系统、懂业务、学技术”活动,进行有针对性的培训,抓好现场培训,夯实基础工作,进一步提高全体干部职工综合素质,提升业务操作水平。
二〇一二年十一月十五日
第18篇:审计工作总结和审计工作思路2009年审计工作总结和2010年审计工作思路
2009年,我局在区委、区政府和市审计局的正确领导下,在区人大、区政协的监督支持下,以科学发展观总揽审计工作全局,坚持依法审计,文明审计,注重提升审计质量和水平,充分发挥了审计监督在改善我区经济发展环境,推进富民强区,构建和谐石鼓,加强廉政建设等方面的作用,各项工作取得了较好的成绩。今年,我局计划审计项目13个,已完成审计项目23个,占计划的177%。其中预算执行审计 1个,行业审计项目1 个,经济责任审计1个,政府投资审计项目 20个,查出违纪违规金额35万元,管理不规范金额522万元,核减工程造价272万元。
2009年审计工作总结
一、精心组织,按时完成审计项目和各项审计工作任务
1、2008年度区本级财政预算执行情况审计。此项审计把握主体,突出宏观,关注效益,发挥其建设性作用。通过整体把握、评价部门预算执行情况,加强对专项资金的延伸审计做到点面结合,加强对历史数据、相关部门数据、部门内部数据的关联分析,实事求是地分析审计中发现的问题。通过加大对专项资金的审计和延伸审计调查力度,掌握部门专项资金种类、总量和结构,结合部门职能特点,了解财政预算编制的科学性、完整性和合理性,加强关系经济社会发展,涉及人民群众切身利益的专项资金的审计监督;关注财政资金和公共资源配置使用的经济性、效率性和效果性,关注公共财政体制的运行和改革效果。通过审计,从体制、机制、制度层面,揭露问题,分析原因,提出建议,促进政府财政收支逐步实现“收入一个笼子,预算一个盘子,支出一个口子”,构建完整的财政预算体系。
2、政府投资项目审计。《湖南省国家建设项目审计监督办法》已于2月1日起试行,政府投资审计监督工作是审计部门十分重要的常年性工作之一,区委、区政府决定把2009年作为“项目建设年”。我局围绕深化投融资体制改革、规范政府投资行为,加强项目建设管理,提高固定资产投资效益,进一步加强对重点建设工程项目竣工决算审计。已完成对区新机关会议中心主体建设,区新机关会议中心二次装修,区新机关党校、食堂、宿舍楼建设,区委、人大、政协办公大楼、政务中心的初步审计。在固定资产投资审计过程中,我局积极探索重点建设项目跟踪审计监督新途径,在摸清工程建设和资金管理使用总体情况基础上,注重突出重点,加大审计执法力度,确保审计质量。固定资产投资审计共为财政节支272万元,其中组织实施对2008年背街小巷改造维修等工程建设项目审计,核减工程造价169万元。
3、金融审计。根据省、市审计部门统一安排,我局对石鼓区农村信用合作联社进行审计,核实农村信用社资产负债损益的基本情况,揭露农村信用社经营管理中存在的违纪违规问题和突出风险,反映农村信用社在服务“三农”、建设社会主义新农村和支持地方经济发展等方面所起的作用,促进农村信用社完善管理体制和产权制度,转换经营机制,加强内部控制,依法经营,规范管理。同时从体制、机制、制度和监管上分析原因,提出深化我区农村信用社改革的审计建议,为市、区政府决策提供参考。
4、领导干部经济责任审计。经济责任审计是管理和考核干部的一项重要制度,是《审计法》赋予审计机关的重要职责。我局坚持积极稳妥、量力而行、提高质量、防范风险的原则,科学确定审计时间,不断深化和规范经济责任审计内容,提高审计质量,从体制、机制和制度层面揭示问题、分析原因、提出审计意见和建议,注重审计成果的合理运用,发挥经济责任审计的作用,对查出的问题要依法依规进行处理,对责任人要依法依规进行追究,为相关部门评价和选拔任用干部提供重要依据,已完成对区司法局的经济责任审计,对区妇幼保健院、区环保局、松木乡的经济责任审计现已完成现场查证工作
二、统筹兼顾,确保各项中心工作齐头并进。 一是以政治思想建设为先导,扎实开展“解放思想与石鼓发展”大讨论,深入学习实践科学发展观活动。按照市委、区委的统一安排,与深入贯彻落实党的十七大精神结合起来,与中华人民共和国成立六十周年结合起来,与纪念改革开放三十周年结合起来,与推进富民强区、构建和谐石鼓结合起来,与创造性地开展审计工作结合起来,一并安排部署,一并学习辅导,一并整改提高,通过此活动有力促进了我局审计工作的又好又快发展。
二是以队伍建设为根本,加大教育培训力度,增强审计队伍整体素质。我局立足于提高依法审计能力,积极开展创建学习型支部和学习型机关活动,取得了明显成效。一是狠抓继续教育工作。通过公开招考等形式,引进人才,完善审计队伍知识结构,着力提高审计队伍的整体业务素质。二是狠抓审计业务培训。先后出台了教育培训计划、人才建设规划等规定,组织开展宏观经济知识、审计法律法规、审计实务、经算计审计知识等学习与培训,提高了审计干部业务素质和工作能力。三是狠抓先进技术推广。积极推广先进的审计技术方法、探索信息化条件下的审计工作方式,为审计工作发展提供了有力的技术支持,大力推进计算机审计现场实施系统(AO)的运用,提高审计效率和全局审计人员计算机运用水平。
三是以我市推行计算机审计为契机,快步推进审计信息化建设。2009年,我局加快了审计信息化步伐,首先为每名审计干部配备了台式电脑和手提电脑,完善了硬件设施;其次采取送出去培训的方式,学习0A和AO知识,不断熟悉0A办公管理系统和审计现场实施系统,积极培养计算机审计人才,为审计信息化创造了有利条件。第三是积极推行政府信息公开,在石鼓党政网开设审计专栏,实时报送审计工作开展情况,自觉接受群众监督。已报送各类综合报告和信息63篇,发表27篇。
2010年审计工作思路
温家宝总理提出,要强化监察、审计等专门监督,行政权力运用到哪里,监督就落实到哪里,财政资金运用到哪里,审计就跟进到哪里。这是党中央、国务院在新形势下对审计工作提出的新要求、赋予的新任务,也给审计工作带来了前所未有的机遇和挑战。2010年,我局将在认真分析总结2009年工作经验的基础上,结合我区经济发展实际,切实履行宪法和法律赋予的职责,充分发挥审计免疫系统功能,努力促进我区审计工作走上一个新台阶。具体有以下“1234”点工作思路:
一、围绕“一个中心”,合理谋划审计工作布局。即要紧紧围绕促进区域经济发展这个中心,围绕区委、政府确定的工作目标,研究审计环境,合理安排审计项目,确定审计重点,强化审计监督服务。
二、发挥“两个作用”,有效履行审计监督和服务职能。第一,要充分发挥审计的监督作用和保障经济社会运行“免疫系统”功能的本质作用。第二,要充分发挥审计的服务作用和建设性作用,要加强审计调研,注重从宏观上提出旨在规范财经管理的建设性意见和建议,为宏观决策服务。
三、突出“三大建设”,不断提升审计工作水平
一是突出审计业务能力建设。坚持以审计能力建设为核心,进一步加大培训力度,改进培训方式,提高培训效果,2010年,我局将充分利用各种机会,鼓励审计干部参加省、市局等上级部门的培训,提高审计业务能力。同时,鼓励审计干部通过业余学习提高知识水平。坚持教育培训和实战锻炼相结合,锻炼人才,努力培养出一批查核问题的能手、综合分析的高手和计算机应用的强手。二是突出审计规范化和科学化建设。进一步完善审计质量控制制度,规范审计行为,防范审计风险;加强和改进计划管理,实行滚动编制、统筹安排、突出重点;注重整合资源,充分发挥内部审计、社会审计的作用,加强成本核算,提高审计工作绩效;加大审计督促整改(问责)力度,争取领导支持和部门配合,努力形成审计整改(问责)工作机制;完善审计结果公告制度,扩大对外公告的数量和范围,充分发挥舆论监督作用,提高审计机关的公信力和执行力。三是突出审计信息化建设。进一步提高对审计信息化发展形势的认识,查找差距,激发动力;加快现场审计实施系统(AO)和审计管理系统(OA)的普及工作,提升计算机应用的层次和水平;建立健全审计信息化工作的激励约束机制,形成以计划项目压担子、以目标考评促应用、以培训学习求推动、以审计能手带一般的局面。
四、抓好“四项审计”,切实发挥好审计职能作用 一是突出抓好预算执行审计。围绕执行稳健的财政政策、构建公共财政体系的要求,重点加强对财政部门组织本级预算执行情况审计,推动预算管理制度改革;加强对部门预算执行情况审计,促进规范部门预算管理、严格预算执行;加强对非税收入收缴管理情况审计,促进落实收支两条线管理;加强对财政转移支付资金审计,促进提高财政资金使用效益。二是突出抓好政府投资审计。在摸清工程建设和资金使用情况的基础上,关注质量效益、节能降耗、环境保护等问题,促进减少损失浪费和节约资源。前移监督关口,大力推行和积极探索建设项目全过程跟踪审计制度,帮助杜绝项目建设中的高估冒算、挤占挪用和损失浪费行为,促进提高工程建设管理水平和投资效益。三是突出抓好经济责任审计。从加强对权力运行的监督和制约,保证把人民赋予的权力用来为人民谋利益的高度,进一步强化经济责任审计,认真贯彻上级部门的部署要求。进一步完善经济责任审计工作制度,规范经济责任审计行为,把经济责任审计与财政财务收支审计结合起来,积极推进任中审计,不断提高任中审计比重。进一步深化审计内容,健全审计评价指标体系,完善审计结果运用制度,提升经济责任审计工作水平,促进各级领导干部依法行使权力和履行职责、落实科学发展观和正确政绩观。四是突出抓好民生资金审计。坚持把维护人民群众的根本利益作为审计工作的最终目标,加大对教育、社会保障、医疗卫生、环境保护等关系民生的资金审计力度,督促管好用好公共资金,推动各项惠民政策的落实。
在增强审计人员素质,提高审计业务水平,突出审计重点,全面落实任务的同时,我们还将继续加强审计队伍的思想建设、机关作风建设以及廉政建设,不断增强用科学发展观统领各项工作的本领。
一是坚持加强思想建设。坚持并完善局党支部理论学习制度,坚持把科学发展观作为学习重点内容,坚持学习日和交流研讨制度,确保学习取得实实在在的成效,促进领导干部学会运用科学发展观分析和解决审计工作中的实际问题,自觉遵循和运用客观规律办事,努力提高领导审计事业科学发展的能力和水平。
二是坚持加强作风建设。大兴履职担责之风,时刻牢记自已的职责,切实履行自己的职能,勇于承担工作责任,始终保持一颗奋发向上、不断进取之心,真正做到干一行、爱一行、懂一行、专一行。大兴求真务实之风,坚持办实事求实效,以群众满意不满意作为检验工作成效的标准,想群众之所虑,急群众之所难,谋群众之所求,办群众之所盼。大兴开拓创新之风,坚持解放思想、实事求是、与时俱进,以创新精神推动各项审计工作进步,以改革办法破解审计工作发展中遇到的难题。
三是坚持加强廉政建设。我局将继续坚持把廉政建设视为审计工作的生命线,把作风建设作为审计队伍建设的“看家宝”,要求审计人员用高于要求别人的标准要求自己,用严于监督别人的标准监督自己,通过强化教育、严格纪律、创新机制,不断规范审计权力的行使。一是积极践行文明审计理念,努力把文明行为贯穿于审计工作全过程,要求审计人员做到依法按程序,遇到讲道理,遵守审计纪律,言行举止文明。二是大力推行审计权能分离,积极探索推行审计权能分离管理模式,注重从业务管理源头上加强审计权力的制约和监督。三是加强反腐倡廉制度建设,认真落实党风廉政责任制。按照建立健全教育、制度、监督并重的惩防体系的要求,逐步建立起以制度管权、以制度管钱、以制度管事的制度管理体系,保证审计机关一切权力在阳光下运行。
总之,2010年我局将在区委、区政府的正确领导下,总结过去,面向未来,抢抓机遇,迎难而上,切实履行宪法和法律赋予的职责,充分发挥审计保障国家经济运行的免疫系统功能,努力开创我区审计工作新局面。
石鼓区审计局
二OO九年十一月二十四日