【正文】 T中國治理研究中心在綜合研究的基礎(chǔ)上提出如下定義： IT治理用于描述企業(yè)或征服是否采用有效的機制，使得 IT引用能完成組織賦予的使命，同時平衡信息技術(shù)與過程的風險，確保實現(xiàn)組織的戰(zhàn)略目標。 公司治理和 IT治理 ? 公司治理是一個設(shè)計公司的管理層、董事會、股東和其他利益相關(guān)者之間的一整套關(guān)系體系，是在所有權(quán)和經(jīng)營權(quán)分離條件下，為解決所有者和經(jīng)營者因委托代理關(guān)系所產(chǎn)生的利益不一致，二建立起來的互相制衡機制，從而減低管理風險，實現(xiàn)組織目標。 ? IT治理關(guān)鍵因素是使 IT與業(yè)務融合，以實現(xiàn)組織的業(yè)務價值。 ? IT治理框架由一系列結(jié)構(gòu)、流程和相關(guān)機制組成。 IT戰(zhàn)略委員會、風險管理和標準 IT平衡記分卡。 ? 作為公司治理的一個重要組成部分， IT治理包含了確定企業(yè)如何應用 IT的一系列問題。因此，在整個企業(yè)治理中，評價 IT治理成為越來越重要的內(nèi)容 IT治理與內(nèi)部審計 ? 內(nèi)部審計是一種獨立、客觀的保證，是為了機構(gòu)增加價值并提高機構(gòu)的運行效率；它采用系統(tǒng)化、規(guī)范化的方法評價風險管理、控制及治理過程并提高其效率，從而幫助實現(xiàn)組織目標。 ? 關(guān)于內(nèi)部審計在 IT治理過程中的職責，美國的《 薩班斯 — 奧克斯萊法 》 有明確規(guī)定，在美國上市公司內(nèi)部審計師應幫助管理層對公司 IT應用控制和 IT一般性控制進行評估并出具報告。 IT治理標準 ? 一個有效的 IT治理架構(gòu)需要理解組織的核心競爭力，并且在商業(yè)目標，治理原型，業(yè)務績效目標之間維持平衡，進而提出 IT治理框架，指定決策以及如何在關(guān)鍵的信息技術(shù)領(lǐng)域去確定。 企業(yè)風險管理的必要性 案例一：美國安然公司 (Enron) ? 在 2022年，安然是美國最大的石油和天然氣企業(yè)之一 ? 2022年末，安然宣布第三季度錄得 ，美國證監(jiān)會對該公司進行調(diào)查，發(fā)現(xiàn)該公司在1997以來虛報利潤 ? 2022年末，安然申請破產(chǎn)保護令，但在之前 10個月內(nèi)，公司卻因股票價格超越預期目標而向董事及高級管理人員發(fā)放 調(diào)查發(fā)現(xiàn)： ? 安然的董事會及審計委員會均采取不干預 (“handsoff”) 監(jiān)控政策 ? 事件發(fā)生之后，部 分董事表示不太了解安然的財務狀況、 期貨及期權(quán)的業(yè)務 ? 安然重視短期的業(yè)績指標 ? 安然管理高層常常藐視或推翻公司制定的內(nèi)控制度 企業(yè)風險管理框架 什么是風險管理？ 企業(yè)風險管理是一套由企業(yè)董事會與管理層共同設(shè)立、和與企業(yè)戰(zhàn)略相結(jié)合的管理流程。它的功能是識別那些會影響企業(yè)運作的潛在事件和把相關(guān)的風險管理到一個企業(yè)可接受的水平，從而幫助企業(yè)達至它的目標。 美國內(nèi)控研究委員會 企業(yè)為何要建立風險管理？ 因為企業(yè)的 股東與管理層常常要面對一些令他們寢食難安的問題。因此，企業(yè)需要系統(tǒng)化地建立一套風險管理體制，從而識別影響企業(yè)盈利的關(guān)鍵因素，并對那些會影響企業(yè)達標的風險進行監(jiān)控及管理 股東對企業(yè)風險管理最 關(guān)心的四個問題： 1. 企業(yè) 知道它所面對的主要風險嗎？ 例如：什么風險正在或?qū)绊懫髽I(yè)的業(yè)務？ ? 企業(yè)的品牌 ? 新產(chǎn)品、新市場的開發(fā) ? 戰(zhàn)略聯(lián)盟 ? 客戶或供應鏈的管理 理想的情況： 企業(yè)能開發(fā)一套標準的、共通的風險語言，從而識別企業(yè)所面對的風險，并就其嚴重的程度進行排序。共通的風險語言亦有利于企業(yè)上下層就風險的管理進行溝通 2. 企業(yè)是否已對這些風險設(shè)臵內(nèi)部控制？ 企業(yè)需要就各業(yè)務單位在日常運作中所面對的風險 (戰(zhàn)略性風險、業(yè)務性風險、流程性風險 )，構(gòu)建內(nèi)部控制 (包括預防性控制及覺察性控制 ) ，以確保企業(yè)能實現(xiàn)目標和符合各方面的法律、法規(guī) 理想的情況： 企業(yè)就其所面對的風險和采取的內(nèi)控，編制一套完整的文檔，并借鑒國際最佳的實務不斷進行檢討 3. 企業(yè)的內(nèi)部控制有效嗎？ 企業(yè)要對其內(nèi)控系統(tǒng)不間斷地進行監(jiān)控和測試，以確保其對風險控制的能力 理想的情況： 企業(yè)把各類風險控制在可接受的水平，并在這基準上賺取合理的回報 4. 哪一些內(nèi)部控制必須改進？ 企業(yè)內(nèi)部和內(nèi)部環(huán)境的變化會不停地影響企業(yè)所面對的風險和所應采取的監(jiān)控措施 理想的情況： 企業(yè)能建立一套具前瞻性的信息管理系統(tǒng)和預警系統(tǒng)，使企業(yè)能及時識別新生的風險，并對相關(guān)的業(yè)務計劃、政策和程序進行修正 企業(yè)風險管理框架 ? 一個基礎(chǔ) ? 三道防線 管理層 CEO 第 三 道防線 第 二 道防線 第一道防線 業(yè)務部門 董事會 風險管理 內(nèi)部審計 審計委員會 風險管理 委員會 ?風險管理總目標 一、全面風險管理的目標 38 財務報告真實可靠 確保內(nèi)外部，尤其是企業(yè)與股東之間實現(xiàn)真實、可靠的信息溝通，包括編制和提供真實、可靠的財務報告； 合規(guī)合法 確保遵守有關(guān)法律法規(guī)； 高效運營 確保企業(yè)有關(guān)規(guī)章制度和為實現(xiàn)經(jīng)營目標而采取重大措施的貫徹執(zhí)行，保障經(jīng)營管理的有效性，提高經(jīng)營活動的效率和效果，降低實現(xiàn)經(jīng)營目標的不確定性； 與 戰(zhàn)略目標一致 確保將風險控制在與總體目標相適應并可承受的范圍內(nèi)； 應對突發(fā)事件 防止重大損失 確保企業(yè)建立針對各項重大風險發(fā)生后的危機處理計劃，保護企業(yè)不因災害性風險或人為失誤而遭受重大損失。 風 險 管 理 總 體 目 標 公司治理與風險管理有什么關(guān)系？ 公司治理是風險管理的一個必要的組成部份，因為它提供了對風險由上而下的監(jiān)控與管理 ? 近年多個國家都訂立了公司治理的最佳守則： ? 美國：紐約證交所最佳治理守則 ? 英國： Cadbury/Hampel Report、 The Combined Code ? 加拿大： Dey Report ? OECD Report 這些最佳守則均清楚指出建立風險管理是董事會及管理層的責任 如何構(gòu)建一個有利風險管理的公司治理結(jié)構(gòu)？ ? 建立一個健全的、以董事會為首的公司治理結(jié)構(gòu) ? 訂立企業(yè)的目標和戰(zhàn)略，包括企業(yè)的風險政策和極限 ? 貫徹一套重視風險管理的企業(yè)文化和價值觀 第一道防線：業(yè)務單位防線 ? 業(yè)務單位包含了企業(yè)大部分的資產(chǎn)和業(yè)務，它們在日常工作中面對各類的風險，是企業(yè)的前線 ? 企業(yè)必須把風險管理的手段和內(nèi)控程序融入到業(yè)務單位的工作與流程中，才能建立好防范風險的第一道防線 如何建立第一道防線 1. 了解企業(yè)戰(zhàn)略目標及可能影響企業(yè)達標的風險 2. 識別風險類別 3. 對相關(guān)風險作出評估 4. 決定轉(zhuǎn)移、避免或減低風險的策略 5. 計設(shè)及實施風險策略的相關(guān)內(nèi)部控制 (風險宇宙 TM ) 資信 制度 知識產(chǎn)權(quán) 財務 流動資產(chǎn)與 信貸 資本結(jié)構(gòu) 市場 財務報告 營運 法律 生產(chǎn)程序 營商環(huán)境 市場結(jié)構(gòu) 民風與文化 管治 策略 董事會活動 交易 并購 變賣 聲譽 道德 社區(qū)責任 風險管理 董事會及 管理層業(yè)績 組織結(jié)構(gòu) 監(jiān)察與溝通 執(zhí)行 籌劃與開發(fā) 利益有關(guān)方 供應商 政府 顧客 股東 經(jīng)濟情況 國家情況 市場變化 競爭對手 人才資源 雇員 溝通 有形資產(chǎn) 機器、廠房 與土地 其他