第一篇:CIO如何借SOX经验建合规IT内控体系
CIO如何借SOX经验建合规IT内控体系? 2009年05月26日01:57
来源:我有话说 查看评论(0)好文我顶(0)
由于我国的《企业内部控制基本规范》要在2009年7月才开始施行,因此这次的上市公司CIO高层论坛上热点讨论和借鉴的是美国于2002年发布的《萨班斯—奥克斯利法案》(简称SOX法案)。
经济危机使到2009年依然是一个充满变数的一年。近日我参加了一个上市公司CIO的专题研讨会,主题是如何建立合规的IT内控体系,以符合上市公司的规范。起因是面对即将于2009年7月实施的《企业内部控制基本规范》,上市公司均急需一套普遍适用的IT内部控制方法以满足《企业内部控制基本规范》的要求,和协助IT部门建立合规的IT内部控制机制。
但是,从研讨会上大家讨论的情况来看,目前国内大部分上市公司在内控风险防范意识方面,特别是对合规的IT内控体系的重视程度还严重不足,IT内部管控措施也经常执行不到位,这使得许多上市公司很容易陷入违规的财务操作风险危机之中。而且,经济危机的漫延也在警示我们:财务违规风险如影随形,无处不在。因此,如何通过IT内控体系与合规管理来防范和降低上市公司的财务违规风险,是企业高层领导和CIO目前最迫切需要解决的难题。
一.什么是SOX法案的合规性?
由于我国的《企业内部控制基本规范》要在2009年7月才开始施行,因此这次的上市公司CIO高层论坛上热点讨论和借鉴的是美国于2002年发布的《萨班斯—奥克斯利法案》(简称SOX法案)。SOX法案的产生源自于上市公司操作的不规范和公司丑闻的披露,它要求上市公司针对产生财务交易的所有作业流程,都做到能见度、透明度、控制、通讯、风险管理和欺诈防范,且这些流程必须详细记录到可追查交易源头的地步。因此,SOX法案明确提出了所有上市公司都必须加强和建立有效的内部控制框架,以确保上市公司遵守证券法律和提高公司披露信息的准确性和可靠性。
在2008年6月,我国财政部、证监会、银监会、保监会及审计署委联合发布了被称为“中国版萨班斯法案”的《企业内部控制基本规范》,此规范将于2009年7月起首先在上市企业中实施。其中,该规范第37条规定:“企业应当建立重大风险预警机制和突发事件应急处理机制,明确风险预警标准,对可能发生的重大风险或突发事件,制定应急预案、明确责任人员、规范处置程序,确保突发事件得到及时妥善处理。”
与我国的《企业内部控制基本规范》第37条规定相比较,在“美国版萨班斯法案”中也有类似条款,比如第404条款规定:企业必须了解那些可能影响财务报告流程的风险,并必须要实施恰当的控制以阻止财务违法行为。此外,SOX法案第404条款还要求,企业需建立一个基础设施,以确保所有的记录和数据不会被毁灭、丢失、未经授权的变更和错误的使用。由于IT和财务报告的关联性,故IT也需要加强控制以达到SOX法案的合规要求。因此,上市公司在建立符合《萨班斯—奥克斯利法案》要求的企业风险管理与内部控制的工作中,60%在财务控制上,而40%是在IT控制上的。所以,SOX法案在合规方面也要求企业必须落实到对IT的有效管理控制上来。
二.从SOX合规性看我国IT内控规范
(1)为什么内控合规必须以IT为突破口?
无论是美国的SOX法案还是我国的《企业内部控制基本规范》涉及的东西都比较多,在这里我们主要关注的是IT内控方面的内容。在很多公司内部,财务报告流程是由IT系统驱动的。无论是ERP系统还是其它系统,都与财务交易中的开始、批准、记录、处理和报告等活动紧密集成。比如财务报告保存在财务系统里,财务系统的数据从业务系统来,业务系统的数据也存放在相关的数据库里,数据库又是保存在服务器上,服务器还可能跟网络互联。因此,在财务信息操作上只要有一丝的漏洞,都可能是被IT系统出卖的。因此,合规的问题不再只是CEO、CFO的职责,IT部门在这方面也将渐渐承担主角。简单的说,IT是保证财务报告内部控制有效性的基础。
虽然,我国的《企业内部控制基本规范》要求企业实现的内控是以战略为导向的全面内控,但该规范包括的范围相当广泛,仅内控这项内容就包括:企业层面、业务流程与IT一般控制与IT应用控制。其中涉及到企业运营的方方面面:从企业战略管理、财务管理、供应链管理、生产管理到人力资源管理、OA办公管理等。由于所有的业务都可能产生数据,而如何确保数据的及时收集、准确与完整性都离不开IT系统的支撑。因此,如何把IT内控与企业内控管理统一起来,是合规《企业内部控制基本规范》的一个关键点。也就是说,在内控合规方面,IT就是一个最佳的突破口。
(2)借鉴SOX合规对IT内控的要求
SOX法案对IT内控要求主要有两个方面:一个是IT应用控制(ITApplicationControl),是因为大多数上市公司在一定程度上都依赖IT系统来运作业务,IT系统对业务流程的控制作用非常大,因此必须对业务流程所依赖的IT系统进行某些控制,其中特别是针对支持财务报告的特定IT应用。另一方面是IT一般控制(ITGenerallyControl),是因为上市公司必然有一个完整的IT系统做支撑,所以对于支撑公司运作的IT基础技术架构平台,必须进行有效管理控制。其中主要是针对基本的IT基础设施控制,包括物理和逻辑网络安全、数据库管理、系统开发、变更控制、灾难恢复等。
SOX法案是一部典型的法律文件,它既不是管理手册,也不是行动指南。它只规定了上市公司在整体或业务层面上必须达到的要求,却没有指明上市公司应该如何达到法案规定的水平。比如SOX法案要求企业的IT内控必须有效,但落实到具体IT控制方面SOX法案则完全没有给出任何的指导意见。例如,上市公司需要什么样的IT控制,如何进行IT控制和IT内控效力如何评估等全都不在SOX法案范围之内。
但根据上市公司内控需求和SOX法案的合规性管理描述,IT部门的主要职责和活动应该包括:①是深入了解公司的内控项目和财务汇报流程,②确定与内控活动或财务汇报流程相对应的IT系统;③是分析和辨别这些IT系统带来的风险,并对此进行监控以保证控制措施的长期效力;④是将控制措施文档化和IT化,并进行测试;⑤是及时地对IT控制进行必要的升级和变更,以配合公司内控或财务汇报流程的变化;⑥是作为一个重要的职能部门,IT部门应该全程参与公司SOX法案合规管理项目。
三.如何打造合规的IT内控体系?
从IT控制的范围来说,IT内控通常包括IT内控环境、IT运维、IT系统和数据的访问、系统开发和系统变更等部分。IT控制有一个治理框架,即COBIT框架。COBIT全称是信息及相关技术的控制目标(Controltives for Information andrelatedTechnology)。COBIT是将IT流程、IT资源与企业的策略与目标联系起来,在企业业务战略指导下,对信息及相关资源进行规划与处理。因此,有IT专家认为,企业要建立合规的IT内部控制,必须要先打造一个合规的IT内控体系。
(1)确定合规的IT内控范围
第一步是先确定合规的IT内控范围,它是指根据《企业内部控制基本规范》的要求,从全局角度去考虑、分析、规划需要控制的事情和范围。这是IT内部控制中最为关键的内容,包括风险形势评估、风险识别、风险分析和风险评价等几部分。一般来说,确定IT内控的范围可以分为这几个步骤:首先确定财务报告流程中的核心要素;其次,识别关键的业务流程;最后,根据财务交易活动确定关键的IT流程和IT支持系统,从而确定IT内控范围。
(2)对选定的IT内控范围进行风险评估
风险评估可使上市公司更加清晰地认识到,意外事件的发生将如何限制业务目标的达成。风险评估的目的是要辨别IT合规性的潜藏内在风险与残存风险。当在IT内控时可能会碰到很多风险时,通常的做法是要把可能的风险划分一个优先级,对于优先级高的风险要给以更多的关注,例如财务违规操作流程和影响上市公司股价波动的信息透露的流程。包括风险判断标准、风险发生的可能性、风险发生的危险度、风险预防措施、风险消除措施等几个方面进行评估。在IT内控合规过程中,很多东西都是未知的,要把握这种不确定性,唯有把这种不确定性深深嵌入到IT内控风险评估中才可能会得到有效的控制。
(3)进行内部IT审计
通常来说,合规控制对于上市公司和IT系统来说有三种控制:公司级控制、应用控制和通用控制,这三种控制的范围、手段方法和力度是不同的。因此,在控制文档设计完毕后,上市公司需要自行先进行一次IT内部审计。IT内控审计主要有:IT制度与流程手册、系统变更(包括应用系统及基础设施)、逻辑访问(包括应用系统及基础设施)、物理访问、IT灾难备份、数据接口、第三方管理、环境控制、问题管理和作业调度等。对于测试不合格的IT控制,应该及时纠正缺陷,完善IT控制体系的设计与提高IT运维的质量,以确保其有效性。
(4)报告管理层IT内控审计情况
在IT内控审计完成后,应该立即形成正式的书面审计结论,并向管理层报告情况,以方便管理层及时调整和调配IT内控的资源和策略,尽快将风险防患于未然之中。例如将IT内控审计的计划、行动和结果进行整理和分析,形成IT内控审计管理报告。
俗话说“凡事预则立,不预则废”。在《企业内部控制基本规范》合规过程中,一个成功的IT内控体系可以防止和减少许多潜在问题的发生和影响。正如居安思危,有备无患一样。一个优秀的CIO应在IT内控和合规之间达成一种平衡,从而大大减小内部风险对整个公司所造成的影响。
第二篇:内控合规
内控合规学习心得体会
合规经营是银行稳健运行的内在要求,是每一个员工必须履行的职责,同时也是保障我们自己切身利益的有力武器,通过全行开展的内控制度学习,是我对合规有了更加深刻的认识:合规操作涉及银行各条线、各部门,覆盖银行业务的每一个环节,作为中国银行的老员工,我深刻体会到合规经营意思重大。现在就这次学习谈谈自己的体会:
一、爱岗敬业、无私奉献:在平凡中奉献,爱岗敬业是各行各业中最为普遍的奉献精神,它看似平凡,实则伟大。作为农行人,为了农行的前途,为了农行的荣誉,做一名爱岗敬业的人,是职业道德对我们最引为用以规范行为品质,评价善恶的行为规则。
作为一个金融单位的职工更应以自己所从事的职业上讲求道与德,如果路走得不对就会犯错误,就会迷失方向;如果没有德,就难于为人民服务,就谈不上自己的事业,也就没有单位事业的兴旺,就没有个人事业的发展,也就失去了人身存在的社会价值。我现在正在从事农行工作,这是我的职业,也是我唯一的职业,自我参加工作以来,我一直从事这项职业,也一直热爱这个职业,对农行工作有浓厚的兴趣和深厚的感情,所以我一直是爱岗敬业的。只有爱岗敬业才是我为人民服务的精神的具体体现。
二、加强业务知识学习、提升合规操作意识。“没有规矩何成方圆”,身为网点一线员工,切实提高业务素质和风险防范能力,全面加强柜面营销和柜台服务,是我们临柜人员最为实际的工作任务。因
此,在临柜工作中,我始终坚持要做一个“有心人”。虚心学习业务,用心锻炼技能,耐心办理业务,热心对待客户。在银行业竞争日趋激烈的形势下,我们都很清楚地意识到:只有更耐心、周到、快捷的优质服务才能为我行争取更多的客户,赢得更好的社会形象。
加强合规操作意识,并不是一句挂在嘴边的空话。有时,总是觉得有的规章制度在束缚着我们业务的办理,在制约着我们的业务发展,细细想来,其实不然,各项规章制度的建立,不是凭空想象出来产物,而是在经历过许许多多实际工作经验教训总结出来的,只有按照各项规章制度办事,我们才有保护自己的权益和维护广大客户的权益能力。我们的各项规章制度正如一架庞大的机器,每一项制度都是一个机器零件,如果我们不按程序去操作维护它,哪怕是少了一颗螺丝钉,也会造成不可估量的损失,各项制度的维护和贯彻是要靠我们广大的员工严格执行,规章制度的执行,不是靠某一人来执行的,而是要靠一个集体相互制约、监督来实施的。
通过“内控制度活动”的学习,增强了本人遵纪守法的自觉性,显示了遵纪守法的必要性,激发了遵纪守法的热情,提高了工作中的自律意识,使我们广大职工在日常的工作中“细到项目,认真到成因”,自发地以“自重、自省、自警自励”严格要求自己,并做到遵纪守法,严以律己,尽职尽责,恪守职业道德,争做遵规守纪的农行人,为实现中国农业银行持续稳健经营、快速发展的既定目标贡献力量!
第三篇:内控合规
中国工商银行股份有限公司江苏省扬州分行征文
题
目:
内控提升品质,合规创造价值 姓
名: 余加强 单
位: 仪征白沙支行
内控提升品质,合规创造价值 内部合规管理的主要内容
1.1 内部环境
内部环境是银行实施内部控制的基础,一般包括智力结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。
1.2 风险评估
风险评估是银行及时识别、系统分析经营活动中与现实内部控制目标相关的风险,合理确定风险应对策略。银行开展风险评估,应当准确识别与现实目标相关的内部风险和外部风险,确定相应的风险承受度。银行应根据风险分析的结果,结合风险承受度,权衡风险与收益,综合运用风险规避、风险降低、风险分担和风险承受等应对策略,实现对风险的有效控制。
1.3 控制活动
控制活动是银行根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内。控制措施一般包括:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。同时,银行应当建立重大风险预警机制和突发事件应急处理机制,明确风险预警标准,对可能发生的重大风险或突发事件,制定应急预案、明确责任人员、规范处置程序,确保突发事件得到及时妥善处理。
1.4 信息与沟通
信息与沟通是银行及时、准确地收集、传递与内部控制相关的信息,确保信息在银行内部、银行与外部之间进行有效沟通。
银行应当利用信息技术出尽信息的集成与共享,充分发挥信息技术在信息与沟通中的作用,并加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制,保证信息系统安全、稳定运行。
银行应当建立反舞弊机制,坚持惩防并举、重在预防的原则,明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限,规范舞弊案件的举报、调查、处理、报告和补救程序。
1.5 内部监督
银行应当制定内部监督制度,明确内部审计机构和其他内部机构在内部监督中的职责权限,规范内部监督的程序、方法和要求,并制定内部控制缺陷认定标准,对监督过程中发现的内部控制缺陷,应当分析缺陷的性质和产生的原因,提出整改的方案,采取适当的形式及时向董事会、监事会或者经理层报告。银行应当结合内部监督情况,定期对内部控制的有效性进行自我评价,出具内部控制自我评价报告。我行当前内控合规的问题
2.1 内控观念认识有偏差。
商业银行内控机制作为一种自律行为,必然受内控观念影响和支配,而在实际工作中,对内控观念的认识存在许多偏差:一是许多人往往简单地认为内控机制就是各种规章制度的汇总,而忽视内控机制是业务运作过程中环环相扣、监督制约的一种动态机制;二是误解内控是对同事、员工的不信任;三是片面地理解业务开拓和内控的关系,认为内控严则业务损;四是误认为内控只是决策层和职能部门的职责,从而在思想上没有形成严格执制的意识。这种认识偏差必然导致在问题发生后只能采取事后补救的办法,从而违背内控机制事前控制的特点,埋下风险隐患。
2.2 内控机制不健全。
目前,我国商业银行的内控机制从总体上有了很大的进步,但实效性还不是很理想,突出表现在:一是制度贯彻不力。许多规章制度流于形式,抓落实的力度不够,遇到具体问题,灵活性讲得多,原则性讲得少。二是制度不完整。一些新业务和计算机业务的管理制度滞后,无法适应新业务的正常开展需要;一些新业务还没有制定出完善的操作程序和相应的制度,存在无章可循的空档。三是制度不系统。制度建设中重此轻彼,缺乏统一的考虑,影响了制度整体作用的发挥。四是制度条文不够严谨。
2.3 内控运行机制失调。
在实际工作中,业务主管部门既是业务活动的组织者,又是业务经营自身监督的责任者,这种对自己行为进行所谓的“自我监督”本身就不可靠。同时,银行内部各业务部门在具体行使监控职能时职责不明确,或政出多门、或相互推诿,不能形成协调和制约机制。
2.4 权力制约失衡。
突出表现在业务人员、管理人员的业务行为、决策行为、责任行为缺乏可操作的规范制度予以制约。一把手负责制的经营管理模式虽然有利于经营管理水平的提高,但由于权力没有受到约束,缺乏规范有效的监督机制,权责失衡,导致个别负责人越权行事、滥用职权、欺上瞒下、行贿受贿等不良现象发生,严重影响商业银行的稳健发展。
2.5 稽核部门监督职能弱化。
目前,各商业银行都实行了系统领导的稽核管理体制或者总稽核负责制,但稽核部门作为内部机构,地位不超脱,职能不独立,难以对领导决策失误造成的损失进行有效的监督,并且稽核部门对稽查出的问题不经领导同意就不能上报,不能独立作出决定。稽核监督的滞后性以及稽核手段落后,都影响了稽核监督功能的发挥。对内控合规管理的几点建议 3.1 完善银行组织管理体系,创造良好的内控环境。
银行业应注重宏观金融背景之下,如何提升自身的风险管理能力的问题,创造良好的内控环境。根据《公司法》、《中华人民共和国商业银行法》的要求,实行董事会领导下的行长负责制,保证董事会是全行最高权力机构,切实发挥董事会在银行发展方向、重大业务决策和宏观管理方面的职能作用。在此基础上,改革商业银行现行的内部稽核体制,实行对总行法人负责的内部稽核制度,加强总行对稽核工作的垂直领导。
3.2 加强岗位内部控制机制建设,实现岗位间的监督制约。
一是按照责任分离、相互制约的原则建立会计岗位责任制,坚持现金、有价单证保管与账务记录相分离,重要空白凭证保管与使用相分离,账务收支审批与会计核算相分离,呆账准备金的确认与销核相分离,账务处理与后续稽核相分离的准则,按照会计制度、业务性质和合理负担的要求设置记账、复核、事后监督等岗位,明确每个岗位的职责和权限,并相互制衡。严禁会计人员一人从事两个以上重要岗位的工作和越岗越权处理业务。二是按照每一项业务至少必须有两个岗位或两人以上参与记录、核算和管理的要求,明确各岗位或员工在业务操作中的责权划分,按各自的工作性质、权限承担相应的工作责任;三是加强业务操作的事后检查,每项业务要求有一名业务主管或专门岗位对该项业务处理的整个流程进行综合把关和全过程的检查,确保各岗位按职责要求正确处理同一业务,发现问题,及时纠正。
3.3健全银行内部责任机制,保证资产运用的安全性和盈利性。
一方面要解决好银行内部审批程序和分段授权问题,防止分支机构权力过大,资产风险不易控制。另一方面狠抓内部岗位责任的落实。建立会计内部控制负责制,主管会计的副行长向行长负责,应定期检查会计工作;会计主管对主管行长负责,具体组织和管理各项会计工作,监督各项规章制度的落实,处理重要会计事项,定期抽查重要会计业务,发现问题及时解决,定期向主管行长汇报工作,但不参与具体事务;一般会计人员对会计主管负责,执行各项会计制度和操作规程,履行所承担职责;下级行对上级行负责,并接受总机构的监督和指导。
3.4加强银行内控电子化管理,保障银行业务的正常运行。
银行业务的日益现代化,要求银行内控手段更加有效率、更加安全可靠。而我国银行业目前还未形成一套有效的内部电子监管系统和电子网络系统,影响了内控的质量和效率,有必要在银行电脑内部控制方面继续完善。
3.5加强业务岗位的交叉检查,防范员工舞弊行为。
交叉检查是银行实施内部控制、防范员工舞弊行为的一个基本措施,也是银行会计控制体系和业务分工设计的基本出发点,因此要正确应用交叉检查原则,实行行内岗位轮换制和员工年假制等,使银行每个人、每项业务都处于被监督、被检查范围之内。
3.6创建重视知识和人才的机制。
首先,改革银行用人制度。在引入竞争机制,实行平等、公开的竞聘上岗的制度的基础上,进一步完善企业人才等级制度。管理者要知人善任,创造让优秀创新人才脱颖而出人才机制,让相应才能的人才处于相应的能级岗位,注意发现和使用那些具有信息意识、竞争意识、风险意识、创新能力、管理能力和公关能力的一批人,要扬长避短,量才为用,使人才配备尽量合理化,这是留住人才的有效措施之一,也是优化人才配置,提高银行业风险防范水平的必备条件。其次,创造良好的吸引人才的环境。如工资待遇、奖金制度、职位聘任、岗位责任制、成果评定与奖励等整套政策和办法,千方百计吸引优秀人才从事银行工作,成为企业学术带头人、业务骨干和管理创新骨干。第三,加大人才投资力度。采取送出去和请进来的办法,加强员工再教育和再培训,促进员工知识更新,使其逐步成为新型的创新型和风险管理型人才。
第四篇:内控合规
“合规文化”学习心得
根据总行全行开展“合规文化建设大讨论”活动的要求,科技部内部也开展了合规文化建设,重点学习了《张云同志在中国农业银行合规文化暨案防制度宣讲报告会上的讲话》。作为新入行的大学生员工,我感觉受益颇深。
合规文化大讨论,是落实“基础管理提升年”活动,不断增强合规管理基础的重要环节。开展合规文化大讨论,就是针对合规管理中影响农行基本面最直观、最突出的问题进行深刻的讨论分析,让新型的合规文化理念深入人心,是我们真正明白只有深入开展合规文化大讨论,将合规管理理念渗透到业务经营全过程,努力做到时时合规、事事合规、处处合规,才能有限防控风险,降低案件发生;只有深入开展合规大讨论,引导我们树立全新的合规文化理念,才能深入推进合规文化建设,进而将“基础管理提升年”活到落到实处,从肯本上增强合规管理基础,确保农行稳健经营、长治久安和科学发展。
作为新入行的大学生,在今后的工作中,我要做到以下几点:
一、提高自身思想素质,增强依法合规经营的理念
加强自身的法律法规、规章制度学习,加强思想教育,这是从源头上杜绝违规违章行为的重要手段。加强对自身的风险防范教育,使大家都认识到社会的复杂性和银行经营风险的普遍性,认识到银行本身就是高风险行业,把风险防范放在第一位。
每天从自己的岗位做起,自觉遵守各项规章制度,自觉抵制各种违纪、违规、违章行为,要根除以信任代替管理,以习惯代替制度,以情面代替纪律,珍惜自己的职业生涯,视制度如生命,纠违章如排雷,增强风险防范意识和自我保护意识,提高规范操作,从源头上预防案件的发生。
在前段时间还积极参加了分行组织的参观看守所进行警示教育活动,对此我也感受颇深,深深地明白了不按规章制度办事可能带来的严重后果。
二、学习合规文化,人人有责
合规文化的推崇目标,是把合规理念融入每一位员工必须接受、认同、遵从的企业精神和价值理念之中。合规不只是专业管理人士的责任,合规管理人人有责;对合规机制建设无一例外;对制度规范执行一视同仁,这是合规文化建设所追求的效果。
企业合规文化教育建设是一项工程浩大的系统性工程,不是一朝一夕就能建成的,也不是某一个员工的事情,是我们行所有员工共同的目标。农行作为一个企业,要合理确定发展目标,在一个时期内要有一定的规划目标,最终建立适应企业长远发展的机制。而我们作为农行的一员,则需要不断审视在自已的岗位上应如何做好自已的工作,与别的员工相比差别有多大,应如何改进;在农行这个大家庭中自已是什么角色,自已出了多少力,对农行的改革与发展有何建设性意见。加强学习,努力提高自身的人生观、世界观、价值观,培训合规文化思想。同时,我们要结合工作实际,认真开展规范化服务,按照总行各项规章规定中的条款,对一些细节问题、难点问题要进行专项学习。对存在较大矛盾和服务困难的服务焦点要集思广益,打开思路,不断创新服务方式,以最大的限度满足客户需要,提升农行以及自身合规文化精华。
合规文化是一种严肃的爱,今天对我们的严格要求,是为了我们的明天更自律。今天我们严格要求自己,是为了明天我们能更自由。不要把合规文化当成我们的负担,制度的执行只是为我们的工作提供了强有力的保障,为我们的工作顺利进行提供依据,是我们的“保护伞”。认真学习合规文化,我们就能很好地利用合规文化这把“保护伞”。
第五篇:合规与内控
合规与内控,为风险管理解困
来源:CIO时代网
从美国安然、世通事件、9.11事件,到2008年发生的南方冻雨、汶川地震、次债危机,众多的风险和危机在警示我们:“风险如影随形,无处不在”。如何通过内部控制与合规管理防范、降低风险,是企业领导迫切需要解决的管理难题。
古希腊政治家伯利克利在提出“风险”概念时,并不是为了能够预见未来的风险,而是为了为不可预知的风险做好准备,这与中国的谚语“居安思危,思则有备,有备无患”有异曲同工之妙。
但是,目前国内大部分企业乃至很多全球性企业都在风险防范意识方面重视程度不足,在风险管控措施方面执行不到位,这使得众多企业在面对重大突发灾难时,很容易陷入生存危机,比如,“9.11”事件迫使超过半数的受影响企业倒闭;汶川地震致使大批中小企业遭受史无前例的打击。
即使不受突发灾难影响,由于盲目扩张、多元化经营、造假和管理失控等风险造成的“突然死亡事件”也不胜枚举,比如,美国安然公司、世通公司由于爆发财务丑闻,难逃破产命运;三鹿集团由于造假、应急不当最终破产;波及全球的次债危机更是引发多家金融机构破产,并波及全球其它经济实体。
从德隆系、三鹿到香港合俊的陨落,从美国安然、世通到雷曼兄弟的破产,每场危机的背后都隐藏着风险管理的缺口。居安思危,防微杜渐,全球化经济形势下,中国企业应尽快加强内部控制,构建合规管理体系,提升风险管控能力。
加强内控,箭已在弦
内部控制有助于企业实现业绩和利润目标,提高工作效率,防止资源损失,提高财务报告的可靠性,督促企业遵守相关法律、法规,避免企业名誉受到损害以及受到其它不良影响。
为了防范和及早发现各种风险,避免或减少可能遭受的损失,在保证企业稳定、健康、快速发展的同时,企业的经营、管理者应该认真制定和切实执行内控管理:首先,企业应建立高效的风险管理机制,以风险管理为核心,严格控制经营风险,保证业务收益的稳定;其次,企业应运用新技术、新方法对风险进行科学预测,对可能面临的各种风险进行控制和管理;第三,完善风险监控机制,建立科学的风险监测反馈系统;第四,完善企业内部控制管理制度,用制度管人、管机构、管业务、管经营,并接受监管部门的指导和检查。
2008年6月,我国财政部、证监会、银监会、保监会及审计署等五部委联合发布了“中国版萨班斯法案”——《企业内部控制基本规范》,并将于2009年7月起首先在上市企业中实施。其中,该规范第37条规定:“企业应当建立重大风险预警机制和突发事件应急处理机制,明确风险预警标准,对可能发生的重大风险或突发事件,制定应急预案、明确责任人员、规范处置程序,确保突发事件得到及时妥善处理。”
在“美国版萨班斯法案”中,也有类似条款,比如第404条款规定:企业必须了解那些可能影响财务报告流程的风险,并要求他们实施恰当的控制以阻止财务违法行为;此外,404条款还要求,企业需建立一个基础设施,以确保所有的记录和数据不会被毁灭、丢失、未经授权的变更和错误的使用——这是业务连续性管理能够成为满足萨班斯法案合规性手段的重要原因之一。
从概念描述和服务内容上看,中国的应急预案机制与国际上所倡导的业务连续性管理体系有很多共融、共通之处。相对而言,包括三鹿集团、香港合俊等,中国很多企业都缺乏完善的应急机制、业务连续性管理体系和风险防范意识,这正是压倒他们的最后稻草。
合规价值,不可小觊
近年来,各种法律、法规、行业指导性文件越来越多:《中央企业全面风险管理指引》、《新巴塞尔资本协定》、《萨班斯法案》、《信息系统灾难恢复规范》、《上交所内部控制指引》、《深交所内部控制指引》、《银行业金融机构信息系统风险管理指引》以及即将在2009年7月起实施的《企业内部控制基本规范》等等,一个又一个法律、法规的出台,使企业管理不知不觉中进入了一个合规时代。
从风险管理的角度看,合规能够帮助企业管理各种风险,避免罚款、法律制裁、商业损失或者因为员工失误造成的数据泄漏等风险。
合规不仅是企业为了满足外部监管机构的要求,更是完善企业治理,提高内部控制管理水平和风险管理水平的重要手段。
需要强调的是,合规是可以创造价值的,也是可以度量和考核的。其中,银监会所颁发的《商业银行合规风险管理指引》中指出:合规可以降低因遭受监管处罚和法律诉讼而导致财务损失的可能性;坚持合规经营的宗旨和原则,能够提升品牌价值和社会地位,增强银行持续竞争力,带来财富收入和声誉价值。
可以说,这些价值和衡量标准对于银行以外的企业同样适用,合规管理完全可以超越“成本中心”,成为价值源泉。
合规与内控,以IT为突破口
随着IT应用的逐步深入,企业的日常运营越来越依赖于IT系统的支撑。IT系统已经成为整个企业业务的重要支撑,同时也是对企业活动进行控制的重要手段。以具体运营流程为基础展开的IT控制,直接关系到运营活动的实施。因此,企业进行内部控制应该从以IT为主的内部控制为突破口。需要强调的是,IT内部控制并不是孤立的,它是企业以业务目标为主导的整体内部控制项目的一部分。
IT内部控制必须遵循企业的内部控制机制和策略,确保IT控制符合企业内部控制的基调。此外,IT内部控制还担当支持企业高层管理活动的责任。在企业内设定业务目标,确立企业政策,在组织资源配置及管理决策时,IT负责辅助企业制定政策方针并在组织内部传达交流。
面对即将于2009年7月实施的《企业内部控制基本规范》,上市公司急需一套普遍适用的IT内部控制方法论以满足《企业内部控制基本规范》的要求,协助IT部门建立合适的内部控制机制。
点击咨询 