久久99精品久久久久久琪琪,久久人人爽人人爽人人片亞洲,熟妇人妻无码中文字幕,亚洲精品无码久久久久久久

上市公司CIO 內(nèi)控管理和信息化建設(shè)

時間:2019-05-12 03:56:48下載本文作者:會員上傳
簡介:寫寫幫文庫小編為你整理了多篇相關(guān)的《上市公司CIO 內(nèi)控管理和信息化建設(shè)》,但愿對你工作學(xué)習有幫助,當然你在寫寫幫文庫還可以找到更多《上市公司CIO 內(nèi)控管理和信息化建設(shè)》。

第一篇:上市公司CIO 內(nèi)控管理和信息化建設(shè)

財政部會計司綜合處處長,內(nèi)控標準委員會家成員胡興國 中國石油化工股份有限公司信息系統(tǒng)管理部處長姜林

用友公司NC產(chǎn)品架構(gòu)師付建華女士

河北網(wǎng)通信息化部高級工程師屈玉閣

浪潮通軟副總裁兼技術(shù)總監(jiān)魏代森

中國鋁業(yè)信息部的楊磊

國際信息系統(tǒng)審計師協(xié)會北京事務(wù)委員會主席何迪生

摩卡軟件高級售前顧問周立民

EMC信息安全事業(yè)部中國區(qū)資深技術(shù)顧問馮崇彪 信息中心主任張艷

下面我們有請財政部會計司綜合處處長,內(nèi)控標準委員會家成員胡興國。胡興國:各位領(lǐng)導(dǎo),嘉賓,上午好。

今天能有這個機會我想給大家匯報一下財政部會同另外四各部位關(guān)于標準建設(shè)實施情況,我匯報情況叫我國企業(yè)內(nèi)部控制標準建設(shè)與實施。

匯報5個問題,一個是我們啟動標準建設(shè)的規(guī)定,第二就是匯報我們企業(yè)內(nèi)部控制建設(shè)歷程,第三簡單匯報一下標準建設(shè)框架體系,第四簡單介紹一下信息化,風險管理與內(nèi)部控制關(guān)系,最后大家探討一下企業(yè)在事實內(nèi)控標準應(yīng)該做一些什么工作。

第一部分是就是它的意義,我從三個部分進行總結(jié),大家知道去年5月11日,財政部,證監(jiān)會,保監(jiān)會,還有審計署同時頒發(fā)了基本規(guī)范,我們也在北京召開了發(fā)布會標志著我們國家企業(yè)內(nèi)部控制標準建設(shè),有了重要階段性成果。

當前世界金融危機給我們國家造成很多機遇,我們做了一個調(diào)研企業(yè)加強內(nèi)部建設(shè),提升自身的能力是非常重要。第二就是中央提出走出去戰(zhàn)略,國家起草規(guī)范和技術(shù)出發(fā)點,要企業(yè)做強做大,幫助他們國外資本市場進行融資,特別是是美國,英國,法國,包括我們香港都有一些要求。

第三就是滿足我們資本市場發(fā)展需要,我們國家資本市場公開,公平,公正,提高財政的信息質(zhì)量,提升我們經(jīng)營管理水平,可持續(xù)發(fā)展,還有保護我們廣大投資者利益。第二部分就是發(fā)展歷程,我們國家企業(yè)內(nèi)部控制建設(shè)從70年代就是改革開放以后,特別是我們第一部會計法的實施,這是一個標準性階段。在滿足社會不同需要,在這個過程我們出現(xiàn)過滿足核算制度等等。早在70年代末期,80年代初,包括我們提出崗位分離等等。90年代的時候,特別是我們會計法實施的時候財政部96年發(fā)布會計規(guī)范,規(guī)范要求各單位進一步建立健全包括內(nèi)部控制先進內(nèi)部會計管理制度,會計法明確要求各單位建立內(nèi)部管理,這是我們內(nèi)部管理的法律依據(jù),到2001年6月22日,財政部依據(jù)會計法規(guī)定又制定了企業(yè)內(nèi)部會計控制規(guī)范,基本規(guī)范和后備資金,04年相繼發(fā)布了銷售與收入增加,發(fā)布了1+6的等各項制度。

第三階段以我們發(fā)布的金融規(guī)范,來源主要是美國安然事件以后,采捕正有關(guān)領(lǐng)導(dǎo),把安然事件對我們國家的意義報個國務(wù)院,國務(wù)院領(lǐng)導(dǎo)同志做了批示,這項工作財政部牽頭,證監(jiān)會,國資委配合,建立中國的塞班斯法,到2007年,財政部,銀監(jiān)會,國資委等聯(lián)合發(fā)起成立我國企業(yè)內(nèi)部標準委員會,委員會委員是31位,我們成立了8個咨詢小組,8個小組去年我們把這個小組又擴大了,委員從31名發(fā)展大50人,咨詢小組現(xiàn)在有150人,當時我們發(fā)布規(guī)范發(fā)布了17項具體規(guī)范。我剛才說5月22日我們發(fā)布節(jié)本規(guī)范,要求7月1日正式實施。

第三部分給大家匯報一下,基本規(guī)范的框架體系。框架體系是一個規(guī)范加三個指引,一個是基本規(guī)范已經(jīng)發(fā)布了,內(nèi)部標準體系是最高層次,有的人說是中國的塞班斯法,第二是主要是對企業(yè),對企業(yè)有內(nèi)控企業(yè)的主體。幫助企業(yè)建立體系,第三系評價指標,是企業(yè)內(nèi)部必須做的評價包括自我評價,怎么評價。第四是審計指引,會計事務(wù)所執(zhí)行內(nèi)部審計。基本規(guī)范主要是有概念,目標,原則,要素。我們提出了概念,當時我們國家內(nèi)部控制很多部門都有,包括我們銀行,銀監(jiān)會,包括我們的證監(jiān)會,包括我們兩個交易所,我們部門把概念統(tǒng)一一下。目標有三個目標,我們提出5個目標,我們是5目標,原則,要素。應(yīng)用指引,給我們發(fā)布了征求意見,目前21個應(yīng)用指引,加上審計指引,加上評價指引,一共是23個,我們財政部部長簽發(fā)了,審計署也簽了。我們應(yīng)用指引主要是21個分布,一個是針對企業(yè)管理,我們根據(jù)基本規(guī)范有5個一個是統(tǒng)一架構(gòu),一個是發(fā)展戰(zhàn)略,一個是人力資源,還有社會責任和企業(yè)文化。這5個我們是怎么每一個構(gòu)架都差不多,我就舉一個社會責任框架,我們第一就是整合,提出它的概念什么是社會責任,我們再提出中心有哪些,社會責任我們提出4個中心點,安全生產(chǎn),不落實可能導(dǎo)致企業(yè)生產(chǎn)事故,第二產(chǎn)品質(zhì)量惡劣,會侵害消費者利益,可以導(dǎo)致企業(yè)破產(chǎn),大家知道河北石家莊三鹿開奶粉事件,第三是環(huán)保投入不足,資源消耗大,造成環(huán)境污染,資源枯竭,缺乏發(fā)展后勁一是一個風險。

第四我們說促進就業(yè)和員工權(quán)益保護,我們金融危機背景下,擴大就業(yè),保內(nèi)需,增長,我們從企業(yè)角度。第一是控制環(huán)境,第二是資源,包括資金活動,我們以融資,投資這一塊我們放在一些活動里面,還有采購業(yè)務(wù),還有負債管理,銷售,研發(fā),工程項目,服務(wù)外包等等。應(yīng)用指引形式都差不多,比如說采購應(yīng)用,我們主要是支付環(huán)境,包括購買環(huán)節(jié),要采購申請,招標,確定供應(yīng)商,供應(yīng)價格,報批核準等等,每個環(huán)節(jié)進行控制,第三是控制手段,包括全面預(yù)算,風險管理,內(nèi)容信息傳遞,信息系統(tǒng),財務(wù)報告。

第四針對特殊行業(yè)或者行業(yè)的控制,包括銀行業(yè),證券期貨業(yè)務(wù),保險業(yè)務(wù)個個應(yīng)對指引。再說一下就是評價制度,作為企業(yè)內(nèi)部管理涉及到運行效果和自我評價,為了方便起見,我們起草了一個對企業(yè)內(nèi)部控制,內(nèi)部評價指標,包括內(nèi)容,標準,程序,方法,包括報告形式,我們選擇企業(yè)報告的基本是從1月2日,12月31作為一個會計年計表,也可以選擇6月30號自查報告也有了新的形式我們參考的深交所還有美國塞班斯法正在研究,報告形式可能要分兩部分,第一個是對環(huán)境評價,對業(yè)務(wù)流程通過一些表格,數(shù)據(jù)一些量化標準。企業(yè)怎么判斷你的是否存在重大缺陷,下面就是審計制度,主要是事務(wù)所接受企業(yè)審計。從我們目前起草稿子我們指引分四各類型,一個就是標準,還有在強調(diào)時間段和保留意見,還有否定一些意見,還有無法表明一些意見,和我們財務(wù)報告差不多,這個也有一些具體指標。我簡單匯報一下框架體系。

第四部分我們匯報一下內(nèi)部控制與風險管理的信息化,我們是怎么理解的。內(nèi)部控制和風險管理,實際上存在一些爭議,理論界對這一問題,人事部統(tǒng)一,有人認為內(nèi)部控制與風險管理是兩回事,兩張皮,也有人形象說內(nèi)部控制是“正確的做事”,風險管理是“做正確的事”。從我們制定基本規(guī)范角度出發(fā)點,我們認為內(nèi)部控制和風險管理不是兩張皮,應(yīng)該是一個完整和有機融合,我們認為內(nèi)部控制主要是企業(yè)內(nèi)容風險,包括你可控風險也包括不可控風險,但是都要做。所以我們基本規(guī)范風險評估,有風險識別,分析,經(jīng)營存在的風險,戰(zhàn)略,決策等等。第二對國際先進研究成果與經(jīng)驗看,應(yīng)該是有機融合的趨勢。看與風險之間的感到我們是這樣理解的。

那樣控制與信與化,信息化會計信息化有財政部會計司也說,80年代我們在全國積累了很多經(jīng)驗,在電算化的一些標準,08年11月12日我們財政部會同其他8大部委在北京成立會計信息化,包括還有XBRL中國地區(qū)組織。經(jīng)過20多年的努力,在會計信息化工作方面給我們發(fā)了一個指導(dǎo)意見,這項工作從我們司角度,已經(jīng)成為工作重點。會計信息化與內(nèi)部控制信息化還是有一點區(qū)別,這一方面從我們內(nèi)控角度,我們單獨有一個信息系統(tǒng)這方面的指引,我相信這個會內(nèi)部控制好,要做得好,對大多數(shù)企業(yè)來說很重要的。隨著科技發(fā)展水平越來越先進,所以信息化一定要跟內(nèi)容控制有機融合起來。信息系統(tǒng)我個人理解不僅是本身需要控制,最主要是在內(nèi)容控制和風險管理中,能發(fā)揮很大的作用,提高工作效率,能夠節(jié)約很多成本。

第五部分,我匯報一下企業(yè)如何實施內(nèi)容控制規(guī)范。我們知道原來定今年7月1日上市公司開始實施,考慮到因為我們一系列的具體的應(yīng)用目前還沒有發(fā)布,加上我們審計指引,發(fā)布以后還要有一段時間消化吸收還要有一個過程,由于金融危機影響,我們調(diào)研一些企業(yè)他們關(guān)注點說法不一樣,有的說我們現(xiàn)在經(jīng)濟不景氣,我們練內(nèi)功吧,有的關(guān)注不是這個關(guān)注經(jīng)濟增長率,所以經(jīng)過部里面領(lǐng)導(dǎo)多年的慎重研究,目前我們調(diào)整到2010年1月1日,原來是在境外上市公司實施,考慮到情況其他上市公司、其他企業(yè)也執(zhí)行。這套體系下來已經(jīng)做了調(diào)研實施成本是非常大,實施難度還是有一定難度的,目前需要財力,人力資源,所以我們想這個中國在境外上市有4個國家。實施原定7月1日實施,有一個自查報告,2010年12月31日,我們還有一年半的時間,我們的有一些企業(yè)有完善的標準、完善的制度體系,我們宣傳和應(yīng)用。下半年我們就做一個宣傳和培訓(xùn)工作,我們目前正在緊鑼密鼓的籌備當中。目前我們跟蹤一些大的企業(yè)看看他們的實施效果。

企業(yè)在貫徹實施內(nèi)部控制規(guī)范制度,我個人理解應(yīng)該從下面6個方面。第一個方面就是要強化宣傳培訓(xùn),提高內(nèi)部的認識。不管7月1日執(zhí)行不執(zhí)行,上市公司總是要執(zhí)行,只是一個時間問題,延續(xù)明年下半年,或者后年總之是要執(zhí)行的,所以工作還要往前做。所以要宣傳培訓(xùn)提高認識。第二點就是要健全內(nèi)控機構(gòu),提供組織保障。不少企業(yè)有內(nèi)控部、有風險部,有的是單獨設(shè)立了內(nèi)控部門,有的是放在財政部下面,有內(nèi)控部。形式不一樣,但是我們從基本規(guī)范角度要求,要設(shè)立機構(gòu)配備人員。第三點要循序漸進,穩(wěn)步實施,不是哪一個部門,不是我們財務(wù)部一下子的事,是需要多個部門配合。對于企業(yè)因為差別很大,差別很多,千差萬別基礎(chǔ)也不一樣,建議分步驟、分層次的進行。選擇境外上市公司執(zhí)行,考慮境外上市公司資本市場是適合公眾利益,執(zhí)行效果好壞事關(guān)資本市場的穩(wěn)定,但是上市公司基礎(chǔ)較好,人員素質(zhì)較高,本身有完善的內(nèi)部控制的制度體系,同時也有雄厚財力支持,所以選擇境外上市是有扎實的基礎(chǔ)。第五點我們建議注重實施成本,講究實施成本。第六就是強化內(nèi)部控制建設(shè),增加風險防范能力,應(yīng)該進行統(tǒng)一協(xié)調(diào)。

最后一點就是要企業(yè)善于借助外部資源,合理利用外腦。企業(yè)在實施過程中內(nèi)部控制標準體系過程中,讓人感覺到這方面人才,智力資源的局限于可以借助外部咨詢機構(gòu),中介機構(gòu),幫助你設(shè)計,避免少走彎路。同時讓咨詢機構(gòu)培訓(xùn)自己的人才,這樣提高企業(yè)綜合管理水平。我要匯報簡單給大家匯報一下的是我們財政部牽頭這項工作的基本思路,不對之處請大家指正謝謝大家。

主持人:非常感謝胡處長的發(fā)言,下面我們有請來自IDS Scheer咨詢經(jīng)理闞相元先生發(fā)言。闞相元:各位領(lǐng)導(dǎo),各位來賓,大家早上好。

我代表Scheer公司,與大家分享一下我們內(nèi)控風險管理的認識和經(jīng)驗。

在正式演講前我們Scheer公司是德國著名管理信息學(xué)教授在1999年建立的,進入中國是2004年,目前公司在北京上海,還有深圳,有三個辦公室,在中國主要是提供兩個方面大的分別服務(wù)一個是SAP實施和核心ERP系統(tǒng)咨詢服務(wù)。第二服務(wù)我們公司業(yè)務(wù)流程管理系統(tǒng)核心包括風險和內(nèi)控建設(shè),進入中國時間雖然很短但是我們在中國市場獲得很多客戶,包括一些跨國公司。

今天的演講分三個方面去介紹,首先,跟大家分享我們看到國內(nèi)管理的企業(yè)在整個內(nèi)控與風險管理建設(shè)方面遇到一些挑戰(zhàn)和困惑。第二,我們看到信息化系統(tǒng)在解決這些困惑和挑戰(zhàn)方面起到什么樣的作用。第三個方面,我們會用一個具體的案例介紹一下兩個方面。我們現(xiàn)在企業(yè)面臨很多的要求,要求我們企業(yè)加強內(nèi)控風險管理,我們分析了一下,這些要求不外乎是從四個角度出發(fā),比如說國資委的《中央企業(yè)全面風險管理指引》,從是保護股東權(quán)益角度出發(fā),還有保護公眾權(quán)益出發(fā)的,還有一個是專業(yè)的行業(yè)部門,為了保障行業(yè)穩(wěn)定發(fā)展,尤其是金融行業(yè),比較明確是我們有銀行的一些管理辦法。還有保險業(yè),還有政府部門維護整個市場經(jīng)濟經(jīng)濟角度出臺一些要求。

比如說財政部內(nèi)部控制規(guī)范,這些核心思想是結(jié)合本企業(yè)自身特點,一些基本參考框架建管理體系,實際上和我們在很很早之前做的ISO的應(yīng)用是一樣的道理,無外乎我們要參照基本要求建立企業(yè)自身特點的管理體系,我們有很多客戶交流,尤其是一些國有大中型企業(yè),和上市公司交流大家會遇到一些困難,我們遵循上交所規(guī)范,和財政部規(guī)范,還有國資委中央企業(yè)風險管理的要求。我們怎么保證一套體系滿足這些要求,我們要分門別類地架構(gòu)我們的體系,我們企業(yè)肯定是不堪重負。我們仔細分析了一下及我們以財政部和國資委兩個法律法規(guī)要求看,他們是不矛盾、不沖突的。他們的核心思想是一樣的,比如說我們財政部內(nèi)部控制基本規(guī)范,提高我們內(nèi)部控制體系核心要素分為五個部分,我們國資委前面風險管理執(zhí)行里面也提到很多條,但是他們明顯有一個明確的供應(yīng)關(guān)系,我們認為我們結(jié)合一些國內(nèi)外的案例,《企業(yè)的內(nèi)控與前面風險管理指引》,有不同政策要求,但是我們都何以分成三個層面理解,首先一個層面我們要結(jié)合我企業(yè)特點,識別出我們的風險或者是控制點,設(shè)立我們相應(yīng)對的控制措施,是我們整個體系設(shè)立層面。第二,我們要把我設(shè)立措施應(yīng)急方案在企業(yè)內(nèi)部推廣也是一個控制實施過程,第三我們保證體系健康發(fā)展,做工作對體系運行設(shè)計和工作實施情況,進行監(jiān)督,對不足之處改進,確保我們整個體系設(shè)計是合理的,執(zhí)行是到位的,這樣一個體系。

根據(jù)我們對不同客戶的交流按,發(fā)現(xiàn)大家面臨一些一樣的困惑,所有管理政策要求核心要求是基本是一致的,第一就是要設(shè)計符合企業(yè)內(nèi)部業(yè)務(wù)特點的管理體系,并且這個管理體系要能夠根據(jù)公司業(yè)務(wù),比如說組織架構(gòu)調(diào)整進行及時調(diào)整。第二就是我們要把體系形成文件,作為我們執(zhí)行和審計的依據(jù),作為監(jiān)督改變的依據(jù)。這樣我們看到整個企業(yè)面臨兩個方面的挑戰(zhàn),第一我們體系改革的中心、編制審核很難跟得上業(yè)務(wù)變化,組織是在不斷調(diào)整,業(yè)務(wù)流程是不斷變化的,信息系統(tǒng)建設(shè)是逐步推進,每次做這種變革需要我們重新審計這些文件。第二就是我們體系文件難以根據(jù)外部環(huán)境變化進行及時調(diào)整。

在控制實施方面,所以體系文件我們看到有兩個要求,一個是根據(jù)設(shè)計的方案,我們體系設(shè)計與執(zhí)行的一致性。第二就是實施過程當中你要保留一些可以審計,檢查,這樣一些依據(jù),比如說控制實施了,要留下相應(yīng)證明文件。這樣我們可以看到有很多企業(yè)面臨兩方面挑戰(zhàn),第一就是缺乏有效的發(fā)布實施平臺,我們做這個文件怎么能夠讓我企業(yè)內(nèi)部從高層到基層管理,大家都知道,業(yè)務(wù)當中執(zhí)行這是一個挑戰(zhàn)。第二就是胡處長提到我們企業(yè)控制點很多,我有的客戶有5千個控制點,如果全部用人工進行控制的時候,控制成本會很高。這是面臨兩個挑戰(zhàn),在整個體系監(jiān)督和改進方面,有兩個核心管理要點,我們要對體系設(shè)計合理性,實施徹底性監(jiān)督并且定期出一些評價。第二我們評價監(jiān)督資料要保留一下,可以供外部或者是企業(yè)的監(jiān)督點所使用。

這樣我們可以看到企業(yè)里面有兩個方面要求,第一就是我們體系監(jiān)督本身工作量很大,協(xié)調(diào)的難度也很高,這樣導(dǎo)致我們合規(guī)的成本是很高的,第二就是我們需要和一些企業(yè)定期每季度,每年度要做監(jiān)督測試的工作,這些工作資料實際上對我們整個體系持續(xù)優(yōu)化是很重要。但是我們很多企業(yè)做完以后,發(fā)現(xiàn)資料量太大,我將來不會再利用,達不到我們持續(xù)優(yōu)化的目的。

上面這些挑戰(zhàn)直接導(dǎo)致后果就是四個,一個首先合規(guī)成本很高,我們看到很多企業(yè)最早國內(nèi)企業(yè)是遵循美國的《薩班斯法案》,動員內(nèi)部很多力量,才能完成合規(guī)工作。第二,很多企業(yè)抱怨,我是把風險控制住了,但是我們業(yè)務(wù)效率降下來,業(yè)務(wù)要不斷識別風險,滿足內(nèi)控部門要求。第三導(dǎo)致的后果是我們很難持續(xù)地合規(guī),今年可能通過,明年能不能通過還是一個未知數(shù)。第四是企業(yè)很難滿足不斷增加的內(nèi)部的合規(guī)要求,我們國內(nèi)上市公司面臨這個困難很明顯,最早是滿足《薩班斯法案》,國內(nèi)又提出,國資委又提出要求,最近在財政部也提出要求,企業(yè)怎么滿足不同需求。這個我們認為可以借鑒向國外上市的公司,用《薩班斯法案》上市的經(jīng)驗,可以分五個階段。第一個階段是企業(yè)如何去控制規(guī)范,企業(yè)具體要求是什么,第二就是我要建立業(yè)務(wù)體系,第三就是我們要內(nèi)部體系進行評價,第四個階段我們企業(yè)面臨挑戰(zhàn)就出來了,企業(yè)尋求信息化的手段,首先想到信息化手段我們要把我的內(nèi)控測試,監(jiān)督工作流信息化,我們要把整個體系文件信息化管理,第五階段我們更高層面規(guī)范我把業(yè)務(wù)標準化,很多跨國公司很多相同業(yè)務(wù)存在,他們風險是類似,也是可借鑒的。如果不存在業(yè)務(wù)單元,業(yè)務(wù)列成標準化,我風險的數(shù)量會大大降低,這是流程標準化。最后就是他會有一些信息化的手段實現(xiàn)我們業(yè)務(wù)和我們內(nèi)控有機融合的目的。這是我們所面臨些挑戰(zhàn)與啟示,下面給大家介紹一下我們在內(nèi)控和風險管理的一些解決方案和想法。

我們認為國資委前面發(fā)的指引也好,或者是財政部規(guī)范也好,明確提出企業(yè)在內(nèi)控風險管理過程當中充分發(fā)揮信息系統(tǒng)作用,也結(jié)合我們在國外的一些經(jīng)驗,我們現(xiàn)在解決模塊就是6大模塊,基本涵蓋我們整個內(nèi)控和風險管理過程。第一就是我們首先一個建模模塊,可以把企業(yè)內(nèi)部業(yè)務(wù)和整個風險和內(nèi)控風險體系文件進行管理。第二是風險事件的管理模塊,我們怎么建立風險事件部。第三是風險評估模塊,我們把風險評估任務(wù)分到各個管理部門把所有風險進行排序。在第二層面控制實施模塊有兩個,一個是幫助發(fā)布實施模塊,我們可以給企業(yè)業(yè)務(wù)流程,讓業(yè)務(wù)流程管理人員共同使用。第二是監(jiān)控及預(yù)警的模塊。我們一些業(yè)務(wù)的指標,資金流動性等等這些指標,第三層面就是我們有一個監(jiān)督改進模塊,可以使整個體系監(jiān)督測試工作機械化。

我們在跟企業(yè)溝通過程中有一些問題,我們體系文件問題是很多,我們用大量文檔,我們看到表述了企業(yè)業(yè)務(wù)實際情況的文檔,還有一些風險矩陣,包括一些制度組織,發(fā)信這些文件是分散,在業(yè)務(wù)上是有聯(lián)系,但是在管理手段是沒有聯(lián)系,我們怎么做風險識別呢?我們系統(tǒng)有一個基于一個數(shù)據(jù)庫把我們整個企業(yè)業(yè)務(wù)現(xiàn)狀和風險控制集成化進行對象化的建模。我們左側(cè)看到了一個流程,我們發(fā)現(xiàn)有一個風險點,這個風險點有一些控制措施,基于控制措施的執(zhí)行情況,由于會有一個監(jiān)督測試措施,針對這些測試我們制訂一些人員,在系統(tǒng)里面把有機關(guān)聯(lián)起來,進入一個建模。基于我們信息化模式可以進行快速分析,我可以知道我們企業(yè)業(yè)務(wù)存在哪些風險,我知道哪些管理這些風險,哪些風險是在哪些流程上這樣我可以很容易抓住一些風險的重點,并且我們業(yè)務(wù)管理軟件有一個很好作用我能夠把企業(yè)里面對于同一個業(yè)務(wù),從不同管理體系的要求,都在這業(yè)務(wù)流程表述出來,比如說從質(zhì)量管理方面的要求,安全管理信息的要求,內(nèi)控管理信息的要求。在整個表當中我們可以看到三套流程框架,我在具體執(zhí)行業(yè)務(wù)過程中我到底要執(zhí)行哪套業(yè)務(wù),執(zhí)行哪些要求,我們這個系統(tǒng)是可以把所有管理體系的要求落實到一個業(yè)務(wù)流程體系,這是同一個業(yè)務(wù)流程進行集中化的管理。在我們系統(tǒng)可以根據(jù)不同管理體系要求,我們質(zhì)量管理要求,內(nèi)控管理要求,再出具不同的業(yè)務(wù)報表。

我們的系統(tǒng)最重要一個點我們可以搭建一個業(yè)務(wù)部門和風險管理共同使用平臺,首先我們業(yè)務(wù)人員和風險管理人員可以進行業(yè)務(wù)的建模和風險管理建模,形成一個企業(yè)管理知識庫,管理人員可以看我們風險點,業(yè)務(wù)人員可以看業(yè)務(wù),并且可以滿足跨地域的支持。

綜合來講,在這一塊特點主要有兩個,第一搭建業(yè)務(wù)人員和風險管理人員共同使用平臺,第二我們可以提高業(yè)務(wù)流程風險管理制度的效果,前面講到可以減少工作量。

第二跟大家介紹一下我們風險評估的模塊,是一個風險評估軟件,在我們風險評估內(nèi)部發(fā)起到外心,到風險評價結(jié)果分析,前后我們都可以在系統(tǒng)里面完成。最后系統(tǒng)要給企業(yè)管理層幾個報表,比如說定量分析的熱圖,定性分析的熱圖。并且我們可以根據(jù)我們多次評估結(jié)果掌握不同風險變化趨勢。這個風險評估解決方案特點,主要有兩個,第一我們通過流程信息化,我們把風險評估工作,信息化以后,固化以后可以建立一個持續(xù)風險評估機制,比如說對某一個風險要半年評估一次,到期的時候,系統(tǒng)會自動發(fā)起評估任務(wù),可以確保風險評估任務(wù)的工作,第二我們基于同一個平臺進行風險評估可以保障所有風險在同一個平臺實現(xiàn),可以掌握所有的風險的情況。第三個模塊是我們風險損失事件管理,可以通過一個工作流建立一個數(shù)據(jù)庫,給我們提供一些風險借鑒的案例,比如說我們看到一個信譽風險有幾次,原因是什么,這樣對我們風險識別有一些啟示作用。它的特點有兩個,一個是通過信息化建立一種固化持續(xù)化的風險機制,第二建立公司統(tǒng)一可以對風險應(yīng)對提供一些數(shù)據(jù)化的支持。第四是我們監(jiān)控和預(yù)警的模塊,這個模塊最大的特點是我們可以從企業(yè)業(yè)務(wù)系統(tǒng)里面提取業(yè)務(wù)數(shù)據(jù),進行指標的監(jiān)控基于規(guī)則的事件識別。

我們系統(tǒng)最大的特點數(shù)據(jù)功能是非常強大,可以跟現(xiàn)在所有的業(yè)務(wù)系統(tǒng)和數(shù)據(jù)庫可以進行數(shù)據(jù)的收集和對接,我們可以把企業(yè)很多關(guān)心情況展開的地方,可以預(yù)警展開指標的情況,從而實現(xiàn)風險之前的管理和運營。我們設(shè)計了一些業(yè)務(wù)規(guī)則,看系統(tǒng)里面我們業(yè)務(wù)操作過程中有沒有按照這些規(guī)則做,實現(xiàn)過程控制,還可以提供一些選擇功能。比如說我們能夠看我們的職責,在各種信息系統(tǒng)里面落實情況,檢查全面配制的正確性,合理性。

最后是我們測試和評價模塊,這個模塊主要是通過測試和實現(xiàn)對我們體系監(jiān)督評價,這樣我們的軟件也是一個工作流軟件,涵蓋了從測試任務(wù)的發(fā)起到測試工作的進入,到統(tǒng)計分析到改進工作跟蹤,全過程涵蓋。它的最大特點能夠和我們建模模塊做最初體系軟件,進行數(shù)據(jù)同步,保證我們在監(jiān)督測試的時候,我們看到和我們體系設(shè)計的初衷是一直的。

最后它這個系統(tǒng)有一個很大的統(tǒng)計分析功能,出一些多緯度測試結(jié)果,內(nèi)控和風險管理績效考核,不同業(yè)務(wù)哪塊業(yè)務(wù)做不好,哪一塊風險管理不好。我們可以從不同角度,或者和哪些科目相關(guān)的風險控制點到位不到位。我們通過流程信息化建立個測試及整改的工作機制,第二我們系統(tǒng)和我們體系管理系統(tǒng)進行數(shù)據(jù)接口,保證在測試過程中使用所有的文檔都是集成的,不用工作人員手工做很多文件,第三簡化我們大量工作,提高我們的工作質(zhì)量。下面我們簡單介紹一下我們在德國做的案例,這是一家在國外上市的大型國有企業(yè),最初就是做內(nèi)控項目是從《薩班斯法案》開始,在遵循《薩班斯法案》過程中他發(fā)現(xiàn)有幾個方面挑戰(zhàn),第一是業(yè)務(wù)流程管理水平很低,增加了內(nèi)控管理的難度,影響內(nèi)控管理工作的落實。缺乏一套可以全面表述工作情況的文件,不能不全面的表述出工作業(yè)務(wù)的實際情況,要識別風險加以控制這是一個很大的挑戰(zhàn)。第二是他的組織人員非常龐大,他體系管理難度是很大。第三挑戰(zhàn)他的內(nèi)控監(jiān)督測試的組織,工作難度很大,測試成本很高,用的幾百人的人力進行一年工作,才能做完,首先有很多的工作細節(jié)導(dǎo)致很多測試成本不是很高。

根據(jù)這樣的特點,我設(shè)計了基于風險管理的系統(tǒng),首先把我們業(yè)務(wù)和體系文件管理起來,第二做人力和測試模塊。第三就是我們要把做完的業(yè)務(wù)和體系文件發(fā)布出來,同時這個系統(tǒng)還能夠支持我基于同一套流程,可以滿足我內(nèi)控也可以滿足我ERP實施的要求,還有一些指標的控制。做的第一個工作首先是我們把業(yè)務(wù)進行全面梳理,從橫向到縱向可以保證我業(yè)務(wù)真實的業(yè)務(wù)狀況。基于這情況我們看每一個業(yè)務(wù)流程里面有那些風險點,業(yè)務(wù)目標是什么,有哪些不確定的因素,針對風險點我們有哪些是控制措施,風險管理,控制執(zhí)行我們怎么測試進行一個統(tǒng)一規(guī)則進行了一個描述,以后我們可以發(fā)布出來企業(yè)管理的內(nèi)容庫,這樣我的業(yè)務(wù)人員在維護人員可以看我每一個業(yè)務(wù)要求,風險管理人員可以快速看到的風險可以到那個里面去。通過前面講的測試的管理和測試的統(tǒng)一分析,極大地節(jié)省了他們的人力與物力。這樣以后我們跟客戶一起總結(jié),整個做完以后收益是體現(xiàn)三個方面,第一是通過風險管理工作,進行業(yè)務(wù)流程標準化,加強企業(yè)規(guī)范化指引,提高業(yè)務(wù)管理水平,這是客戶一個收益。第二提高內(nèi)控管理的工作效率和質(zhì)量,降低我們合規(guī)化成本,主要是信息化手段降低了工作量提高效率降低了合規(guī)成本。第三方面的收益實現(xiàn)了內(nèi)控管理和業(yè)務(wù)經(jīng)營活動的有機融合,過去內(nèi)控風險管理工作就是風險管理部門工作,業(yè)務(wù)部門是對專業(yè)部門去推動的,這樣一個雙方抵觸的情緒。通過這樣一個程序雙方可以落實,把我控制風險融合到業(yè)務(wù)當中去,實現(xiàn)業(yè)務(wù)管理工作和風險控制的有機融合,我們對內(nèi)部監(jiān)督測試過程也是對我們業(yè)務(wù)執(zhí)行力的檢查,也是業(yè)務(wù)執(zhí)行的保障。

今天時間有限給大家介紹就到此為止,謝謝大家。

主持人:非常感謝闞先生。下面一個討論主題是“中國石化信息化建設(shè)和內(nèi)部控制體系”,有請中國石油化工股份有限公司信息系統(tǒng)管理部處長姜林。

姜林:各位領(lǐng)導(dǎo),嘉賓上午好。

我匯報題目是“中國石化信息化建設(shè)和內(nèi)部控制體系”,匯報的內(nèi)容包括中國石化基本情況,信息化建設(shè)和應(yīng)用情況,信息系統(tǒng)內(nèi)部體系,IT內(nèi)部體系。

中國石油化工股份有限公司是由中國石油化工集團公司,國家中華人民共和國公司法多家發(fā)行方式,2000年2月25日設(shè)立股份制公司,分別在香港、紐約、倫敦,三地交易所成功發(fā)行上市。

2001年7月16日上海證券交易所成功發(fā)行了28億A股,截至2008年年底中國石化總股本857億股。中國石化是中國最大能源化工公司之一,主要從事石油與天然氣開采開發(fā)。管道運輸銷售,石油煉制、化工、化纖、化肥等等產(chǎn)品輸送。石油、天然氣、石油產(chǎn)品、化工與其他化工產(chǎn)品進出口代理進出口業(yè)務(wù)。技術(shù)信息研究開發(fā)應(yīng)用,中國石化是中國最大的石油產(chǎn)品,包括汽油、柴油等主要石油產(chǎn)品,也是中國第二大原油生產(chǎn)商。

中國石化建立了規(guī)范的治理機構(gòu),實行了集中決策風險管理和專業(yè)化經(jīng)營事業(yè)部,事業(yè)部管理體制,中國石化有全股子公司,包括煉油、化工產(chǎn)品銷售等企業(yè)。主要是集中在中國最發(fā)達的東部和南部的地區(qū)。中國石化更加注重科學(xué)創(chuàng)新、管理創(chuàng)新,努力把石化建設(shè)成為能源化工公司。

中國石化最大股東中華石油化工集團公司是國家在原中國石化公司總基礎(chǔ)之上,1998年成立了特大型石油石化集團,美國《財富》雜志2008年世界500強中國石化名列第16位。第二方面是信息化建設(shè)了應(yīng)用情況,2000年以來,中國石化以ERP為主線信息化建設(shè)獲得快速發(fā)展,到2008年底ERP在81家企業(yè),以ERP為帶動電子商務(wù)系統(tǒng)、供應(yīng)鏈系統(tǒng)、生產(chǎn)指揮系統(tǒng)、集中管理系統(tǒng),一些先進控制生產(chǎn)集成系統(tǒng),等多種使用系統(tǒng)都得到了廣泛的應(yīng)用。目前信息技術(shù)應(yīng)用解決中國石化生產(chǎn)管理多個領(lǐng)域,中國石化ERP開始于20000年,在4企業(yè)成功試點多個展開,包括油田,煉油化工銷售,企業(yè)全部覆蓋,企業(yè)從業(yè)大規(guī)模ERP建設(shè),2007年底基本完成,ERP系統(tǒng)推進資金改革提高管理水平,規(guī)范信息管理行為,強化控制方面效果明顯。

中國石化通過采購電子商務(wù)系統(tǒng)從2008年8月投入至今,網(wǎng)上采購結(jié)果88個單位,5千個物資擴大到目前50多個單位,76萬多個效果,90%的物資實現(xiàn)了網(wǎng)上采購,到09年3月網(wǎng)上采購資金突破6千億,集約采購200多億。對供應(yīng)鏈系統(tǒng)經(jīng)過幾年建設(shè),提高原油采購,運輸、加工,供應(yīng)鏈管理系為煉油企業(yè)講穩(wěn)增效起來發(fā)揮了重要的作用。人員統(tǒng)一調(diào)配,用統(tǒng)一安排格局及實現(xiàn)技術(shù)指標分割,數(shù)據(jù)采集,監(jiān)控分析,有效地降低用戶費用和財務(wù)費用。目前總部生產(chǎn)系統(tǒng)以新大樓統(tǒng)一運行,實現(xiàn)調(diào)度跟蹤,系統(tǒng)各項部門功能得到有效應(yīng)用,總部集中了平臺,用戶總體不斷擴大。目前已建成IC卡聯(lián)網(wǎng)加油站17000多戶,發(fā)卡網(wǎng)點5000多,持卡消費33%以上。增產(chǎn)集成系統(tǒng)用三年左右時間提高到2到4個小時完成,為企業(yè)降低能耗提升精細化管理水平有很大的改善。其他應(yīng)用系統(tǒng),全面運算系統(tǒng)等油田企業(yè)煉化企業(yè)、教授企業(yè)、科研工程單位信息化建設(shè)也得到了深刻發(fā)展。

第三是信息系統(tǒng)的內(nèi)控體系,我們03年成立了內(nèi)部指導(dǎo)小組,成立專門辦公室,組織協(xié)調(diào)內(nèi)控建設(shè)和實施工作。應(yīng)對不同市場,借鑒美國經(jīng)驗提出內(nèi)部控制框架,公司經(jīng)營財務(wù)有大關(guān)鍵劃界,制訂了內(nèi)部手冊,經(jīng)過測試于2005年1月1日起,在公司正式實施內(nèi)控制度,經(jīng)過四年多實踐,內(nèi)部范圍控制逐漸擴大,覆蓋了中國石化所有活動內(nèi)控體系。中國石化內(nèi)部控制手冊2009年版有18大類,配套相關(guān)總部管理制度244個,各分公司規(guī)定了工作流程結(jié)合本單位。為了保障內(nèi)控管理有效實施,辦法內(nèi)部控制辦法,在總部分公司兩個層面使用。中國石化內(nèi)部控制手冊2009版本有17個流程,基本全部實現(xiàn)了信息化,另外5個業(yè)務(wù)流程為IT部門流程,其他業(yè)流程暫時沒有實施信息化,或者與信息化無關(guān)。

第四個問題向大家匯報一下中國石化IT控制體系。中國石化IT控制體系包括IT內(nèi)部業(yè)務(wù)流程,IT一般性控制,和IT應(yīng)用控制。2003年建立了信息系統(tǒng)管理業(yè)務(wù)流程,2005年啟動IT控制工作,2006年建立了IT一般性控制,2007年結(jié)合ERP系統(tǒng),應(yīng)用系統(tǒng)和基礎(chǔ)設(shè)施IT一般性控制流程。2008年IT控制體系進一步完善,并將重點專項IT應(yīng)用控制,2009年隨著深化ERP應(yīng)用進一步深化IT應(yīng)用控制。IT一般性控制包括企業(yè)整體層面IT控制,和企業(yè)活動層面IT控制,近期系統(tǒng)管理業(yè)務(wù)流程IT體現(xiàn)包括與管理體系,信息化教育培訓(xùn)及憑險評估,信息安全管理重要控制內(nèi)容。有關(guān)活動層面IT要求,通過ERP系統(tǒng)控制流程等體現(xiàn),ERP系推IT一般性流程,包括和數(shù)據(jù)訪問,程序變更等等,業(yè)務(wù)流程IT一般性控制流程,主要財務(wù)報告是生成相關(guān),如ERP財務(wù)報告系統(tǒng),加油卡系統(tǒng)流程包括程序變更,訪問方面內(nèi)容。結(jié)合網(wǎng)絡(luò)服務(wù)器,機房設(shè)計。流程包括機房管理,故障處理方面內(nèi)容。中國石化IT一般性控制主要和信息系統(tǒng)日常管理結(jié)合,經(jīng)過幾年扎扎實實的工作,對外部省市認為中國石化IT控制到位,保障信息系統(tǒng)安全,穩(wěn)定系統(tǒng)方面發(fā)揮重要作用,中國石化IT控制主要有ERP系統(tǒng)應(yīng)用結(jié)合,ERP系推是中國石化主要系統(tǒng),比如說計劃控制、一般控制、價格控制等等,自動平衡資源及實現(xiàn)資金流,物流等等。通過發(fā)揮系統(tǒng)集成,滿足用戶管理要求,實現(xiàn)IT控制目標。

中國石化內(nèi)部控制手冊設(shè)置50多個流程,以27個業(yè)務(wù)流程與ERP有關(guān),總體實現(xiàn)配制控制,輸出輸入控制,包括時期控制、操作規(guī)范控制,日常操作,垃圾數(shù)據(jù)操作。用戶檢驗包括組織值,關(guān)鍵詞代碼,以及系統(tǒng)機構(gòu)控制。ERP全面實施落實IT控制提供標準平臺,有利實現(xiàn)IT控制目標,提供了有效的保證,實現(xiàn)提供有效保證,在深化ERP系推同時進一步加強的IT控制。

主持人:非常感謝姜處長。下面有請網(wǎng)康科技服務(wù)部總監(jiān)陸續(xù)周先生。

陸續(xù)周:很榮幸有這個機會,跟各位專家交流一下內(nèi)控體系,我本身有在一個大企業(yè)做過10年的IT系統(tǒng),而且比較早的實現(xiàn)了有關(guān)的業(yè)務(wù)內(nèi)控,我的交流分五個部分,引言,把內(nèi)控條例讀薄。

內(nèi)控剛才也講了是一個全員的工作,尤其是核心團隊共同實施,因為借助信息化實施,所以一般CIO比較痛苦,我該怎么辦。其實整個技術(shù)層面內(nèi)控里面是一個支撐,如果說我不能一下子全做到,有一個辦法分布落實,這個時候可以看到把內(nèi)控條例讀薄對我們有很大幫助。一個經(jīng)濟學(xué)的泰斗跟我說過,書里面東西比電視好,書里面東西可以讓人聰明,電視可以讓人變傻,因為書是可以越讀越薄,把內(nèi)控條例讀薄對我們有很大幫助。在這個內(nèi)控條例里面我們最主要是宣傳、培訓(xùn),讓每一個落實人心,無論是美國的安然,還是經(jīng)濟危機美國企業(yè)高管,依舊發(fā)高額年薪,往往是因為人的不當操作導(dǎo)致,內(nèi)控精髓是規(guī)范人的行為,讓規(guī)范深入人心,同時讓人難以有意、無意違反這個條例。所以我的標題就是“內(nèi)控以人為本”。我覺得要想把內(nèi)控讀薄有很多范圍,畫了四個框。首先內(nèi)控是一把手工程,從董事會,最高層要重視。第二點是整個核心團隊,共同參與設(shè)計不要指望就是IT部門做內(nèi)容不可能。但是IT部門的這種支撐、架構(gòu)是必不可少,我們內(nèi)控所有流程都在支撐系統(tǒng)中,人的大腦效率是很低,我們一定確保內(nèi)控條例,確保我們規(guī)范真正深入人心。往往人懂了不抵觸,就會知道這樣的好處。我以前的公司老板跟員工說我為什么要做好控制,因為只有我們控制住我們才可以活著,如果公司不好,員工得不好,所以公司600人一樣可以進行很好了內(nèi)控體系,我們有了框架以后我們怎么把內(nèi)控體系讀薄,構(gòu)成一個企業(yè)無非是兩種,一個是活生生的人,還有一個是企業(yè)資產(chǎn),同時我們業(yè)務(wù)運作有業(yè)務(wù)流程和財務(wù)流程,是我們要做內(nèi)控體系要關(guān)注方面,把我們這些梳理清楚以后,有了這些關(guān)注點以后,我們怎么對每一個點進行內(nèi)控規(guī)范設(shè)計,在內(nèi)控條例章節(jié)里面可以看到,第一章第六節(jié),權(quán)責分配、企業(yè)愿景、人力獎懲、可審計、反舞弊。每一個設(shè)計流程關(guān)鍵點切分,每個點都很重要,但是每一個點流程應(yīng)該怎么做的,第一我們處理任何一個流程,任何關(guān)注點的時候我們要遵循第二章到五節(jié)第一風險分析,控制措施,信息溝通,監(jiān)督檢查,一點可以分成20個操作步驟,不管有多少點我要抓住關(guān)鍵操作過程就一定可以做下去,我本來想畫一個四維圖,本人美工有限畫不出來。我覺得還有一個很大的緯度就是我們網(wǎng)絡(luò),內(nèi)部和外部網(wǎng)絡(luò),有這么多點我已經(jīng)知道了,那么我該怎么做,今天有做窗效應(yīng)。如果我想做窗等到我們所有的窗戶一次性采購?fù)辏@樣的話讓別人認為窗戶破是應(yīng)該的,不破窗戶我要打破,這個是一個很知名的效應(yīng)叫“破窗效應(yīng)”。這樣的話用最快的效益,把能夠修復(fù)好盡快修好,給人一個意識我不能再打破其他窗戶了。這種思路一定要灌輸,內(nèi)控條例里面有沒有可以盡快修復(fù)破窗呢。

這是整個架構(gòu)內(nèi)部外部網(wǎng)絡(luò),內(nèi)部網(wǎng)絡(luò)關(guān)注于每個企業(yè)的個性,比如說金融、石化、科研、政府內(nèi)網(wǎng)一定不一樣。一個是設(shè)備制造商內(nèi)網(wǎng)一定不一樣,它的流程很復(fù)雜,外部網(wǎng)絡(luò)比如說我訪問互聯(lián)網(wǎng)、訪問郵件、訪問外部應(yīng)用是有通用的,是一種普適性很強的,不妨我們從最容易下手的地方下手,把破窗破除掉。

這是我的心得,內(nèi)控先找軟柿子捏,在這種外網(wǎng)互聯(lián)網(wǎng)環(huán)境里面我們可以看到,它實際上貫徹了一個企業(yè)企業(yè)文化,企業(yè)愿景,就是人員基礎(chǔ),我們利用互聯(lián)網(wǎng)知道應(yīng)該做什么,不應(yīng)該做什么,這個是通用而不準則,因為是一個基礎(chǔ)所以很重要,因為通用是一個軟柿子,很成熟不需要我們太多考慮我們業(yè)務(wù)的關(guān)注點,在外界很多大量已經(jīng)成熟可用的方法,來破除破窗。同時互聯(lián)網(wǎng)這種行為是人的第二人生,可以反映出一個企業(yè)人的文化、思路、想法。因為我們曾經(jīng)給客戶做咨詢的時候,我們很輕松發(fā)現(xiàn)哪些員工想跳槽,是一個人的思路直接體現(xiàn),所以當我們了解人的思路以后,了解了關(guān)鍵點之后,我們想讓我們其他規(guī)范深入人心會變得很容易。所以說互聯(lián)網(wǎng)行為的內(nèi)控實際上是一個已經(jīng)成熟,而且成本效應(yīng)更高的軟柿子,我們不妨從這里下手。內(nèi)控為兩種,那么互聯(lián)網(wǎng)內(nèi)控,問題到底在哪里,我們現(xiàn)有體系是不是已經(jīng)把內(nèi)控實現(xiàn)了。我們來看一下,根據(jù)我們服務(wù)過很多客戶的角度看,第一現(xiàn)有狀況很普遍,內(nèi)網(wǎng)IT沒有認證,沒有專業(yè)互聯(lián)網(wǎng)接入的安全體系,會導(dǎo)致我們內(nèi)部的人員根本不知道誰做的,我相信我們越大的網(wǎng)絡(luò)越會采用動態(tài)的成本,這種情況我們怎么知道誰做了什么事,我們不能關(guān)注到人何談內(nèi)容,沒有權(quán)限、沒有規(guī)范。第二,我們互聯(lián)網(wǎng)上可以看到無論是HTTP網(wǎng)頁下載,還是最流行的P2P下載,還是IM的收取,都是面臨企業(yè)挑戰(zhàn)希望員工不違背的事情,大概30%是國家級的網(wǎng)站,我聽到收音機,說北京市青少年每周平均上網(wǎng)時間是37.5小時,如果按8小時工作日,將近5天,而且其中有一半的學(xué)生訪問過色情網(wǎng)站。實際上可以看到這里面網(wǎng)頁的問題很大,同時像P2P基本上沒有太多用來傳數(shù)據(jù),基本上是娛樂。

像IM、UML都是我們想控制的,但是卻控制不住。第三點實際上在我們外網(wǎng)業(yè)務(wù)我們?nèi)鄙儆行С隹冢也恢劳饷娴奈淖质鞘裁矗@時候帶來是本身在金融危機下避免風險是最主要的事情,規(guī)避風險,那么因為我們無法控制,接入的風險就很大。同時我們企業(yè)機密,核心信息往外發(fā)送是太簡單容易的事情,我印象最深當時國內(nèi)兩大運營商,簽署互不侵犯條約,這個時候我們對數(shù)據(jù)保護來說存在很多的問題。其實我們IT系統(tǒng)最重要是要付出有所得,由于我們局域網(wǎng)帶寬很大,運營商核心網(wǎng)帶寬也很大,我們想讓企業(yè)網(wǎng)能夠匹配這個大小不可能。第五點最重要的一點,跟企業(yè)文化有關(guān)系,我們在一個專業(yè)的報表里面可以看到,我們員工在互聯(lián)網(wǎng)上,只有45%是查詢有效資料,其它的是在做與工作無無關(guān)的事情。如果一個企業(yè)文是讓員工積極向上,而在某一些工作行為當中是積極向下。的確我們想控制,但是為什么控制不之呢,可以看到,安全里面有一個很重要效應(yīng)叫“獨眼鹿效應(yīng)”,這個“獨眼鹿效應(yīng)”我們默認的是防外,不防內(nèi)。第二是說很多我們不希望發(fā)生的行為,往往披一個合法的外衣。現(xiàn)在可以看到現(xiàn)在的我們信息專家,80端口的迅雷,我們有太多協(xié)議。第三我們內(nèi)容細節(jié)沒有辦法判斷,因為我服務(wù)公司是一個研發(fā)公司,從網(wǎng)絡(luò)傳一個SP是什么我不知道,我只知道是一個文件這種情況我們怎么管理。

我們講兩個案例,一個是華為電腦,可以看到300多帶寬70%以上流量被工作無關(guān)的內(nèi)容占用。第二是國家核電,自成立以來是一個部級單位。為什么和困惑,我不知道網(wǎng)絡(luò)可以傳輸B2PIM里面內(nèi)容是什么,但是我想知道里面內(nèi)容是什么,不能讓里面核心的東西出去,這是我們中國企業(yè)困惑的。在國外企業(yè)來說可以看到通用電器,還有摩根大通、環(huán)球電視,這些都很早做了互聯(lián)網(wǎng)控制。

有了這些問題我們怎么做,我們服務(wù)客戶我們覺得我們把這個條例讀清楚,互聯(lián)網(wǎng)技術(shù)層面?zhèn)鹘y(tǒng)的有傳輸?shù)腍TTP等等,新興的P2P,等等。在我們內(nèi)控點上結(jié)合我們有哪些,第一主體健全,我們行為要符合企業(yè)遠景,我們行為要可審計,要能給IT成本很大收益,我們行為能夠讓人力資源部進行相應(yīng)控制,我這是我們在外網(wǎng)、內(nèi)網(wǎng)的著眼點。管理方法我們在兩年前就提出內(nèi)控風險管理,就是一個典型的干預(yù),大家遵循是螺旋式上升原理,我是任務(wù)模式不是功能模式。比如說我們設(shè)備防火墻,是把功能模式,但是不是任務(wù)模式有效灌輸給我們客戶以一種方法引導(dǎo)我們,所以我們很早提出的理念就是遵守我們風險評估。

具體的建議,第一點無論是什么樣的系統(tǒng),我建議都新用一個路由器放進去。你是雙面的,單面的,還是旁路接入都可以,把我們互聯(lián)網(wǎng)出口進行這種進行下一步分析。首先建立有效的行為主體識別機制,與組織建構(gòu)真實的相關(guān)可靠的真實的網(wǎng)。這是我們第一步主體健全。第二是我們分析進行相應(yīng)的風險分析,我們知道有網(wǎng)站,應(yīng)用,流量問題,為什么搜索習慣寫在里面,我們曾經(jīng)用一分鐘的時間搜索,就是一個員工做什么,雖然就是幾個字,十幾條,這種搜索習慣很容易看到企業(yè)的員工的心態(tài)。第二,我們專業(yè)網(wǎng)頁應(yīng)用完善自己監(jiān)督與控制,是內(nèi)控體系第二步,我們是借助全球最大的中文搜索部,對各種各樣外發(fā)信息內(nèi)容,大小,人員行為識別,對流量通過我們獨有通道來有效控制,可以能夠讓我們安全體系、能夠讓我們互聯(lián)網(wǎng)控制體系達到有效的控制。第三點是最最重要的,一個我們解決方案決不能是看,控,一定是可分析、可統(tǒng)計、可查詢。這個是我們內(nèi)控里面很重要,我如果持續(xù)發(fā)現(xiàn)我們網(wǎng)絡(luò)有新的問題出現(xiàn),流量有異常,不斷發(fā)現(xiàn)我們有異常,不斷地和我們主管公司高層溝通,發(fā)布報表可以有效讓這種制度落實到人心,讓大家知道我該怎么做。

通過對外網(wǎng)的內(nèi)控體系、內(nèi)控思路、內(nèi)控方法的灌輸,我相信合法、合規(guī)行為將將一個積極向上企業(yè)文化提心,信息保密,外發(fā)控制會得到有效,同時資產(chǎn)保護也會得到很大的保護。當時華北電網(wǎng)部署網(wǎng)上體系以后,帶寬下降了150兆,國家核電全網(wǎng)采購了我們的體系,他的所有代發(fā)體系就健全了。

這是網(wǎng)康的服務(wù)案例,大家都是全網(wǎng)采購,無論是國家部委,這是最大金融機構(gòu),國內(nèi)很大上市公司,還有制造業(yè)、媒體,各個區(qū)域像華北電網(wǎng)等等。可以看到通過部署這些裝置,很有效的能夠管理企業(yè)。

網(wǎng)康公司實際上已經(jīng)持續(xù)5年為互聯(lián)網(wǎng)提供專業(yè)服務(wù),我們以每年300%速度提升。我們價值,我們理念是以人為本互聯(lián)網(wǎng)管理思路,以人為本價值呈現(xiàn)我們在第8層上,我們希望能夠在第8次做到人與技術(shù)完美結(jié)合,服務(wù)于我們中國企業(yè)上好網(wǎng),用好網(wǎng)謝謝大家。主持人:非常感謝陸先生的精彩發(fā)言。下面我們有請用友公司NC產(chǎn)品架構(gòu)師付建華女士。

付建華:各位來賓,上午好,非常榮幸能夠有這次機會我們借助這個平臺,用友公司和我們在座的企業(yè)高管,我們公同探討一下信息化環(huán)境下企業(yè)內(nèi)控的建設(shè)。

說到這個話題,在今天和大家交流的時候,除了在后面介紹用友NC系統(tǒng),之前還要想稍微花一點時間交流一下IT技術(shù)或者說在信息系統(tǒng)環(huán)境下,企業(yè)內(nèi)部控制管理差異和重要性。

首先看看IT環(huán)境下企業(yè)內(nèi)部控制體系的建設(shè),前面我看到來自于不同的企業(yè)嘉賓都提到了。我們說到企業(yè)內(nèi)部控制系統(tǒng)建設(shè)的時候,我們都知道離不開IT的手段和工具,實際上在我們交流這個問題的時候,如果我們是在座企業(yè)的CIO,或者你是企業(yè)將來服務(wù)內(nèi)控工作開展職能部門的負責人,我覺得首先要思考一個問題,在目前IT環(huán)境下,我們這個企業(yè)開展內(nèi)部體系建設(shè)、健全、保障它有效執(zhí)行,然后進行監(jiān)督和評價的時候。到底和原先在傳統(tǒng)方式下產(chǎn)生了哪些差異。在《薩班斯法案》頒布以前,沒有一家企業(yè)可以說我們沒有一點內(nèi)控機制,如果你是中型企業(yè)、大型企業(yè),企業(yè)制度和相關(guān)文檔這些東西在企業(yè)當中都是有,但是法案頒布以后對企業(yè)要求更加體系在幾個方面。第一是內(nèi)控是否完善健全,第二風險內(nèi)控是否得到有效執(zhí)行,第三法律要求進行監(jiān)督評價,如果內(nèi)控有漏洞,沒有讓公眾及時了解到,要承擔相應(yīng)的法律責任。

在企業(yè)圍繞三個層面開展內(nèi)控管理建設(shè),執(zhí)行評價的時候,首先你要來思考一下在IT環(huán)境下,或者說信息技術(shù)與信息技術(shù)結(jié)合情況下,企業(yè)內(nèi)控管理如何開展。首先看一下信息技術(shù)給企業(yè)內(nèi)控管理帶來影響有哪些方面。

首先控制原則和方法發(fā)生巨大改變,我們原先說內(nèi)部控制基本原則和方法,我們知道有原則,目前對于企業(yè)也可能要非常關(guān)注信息技術(shù),IT環(huán)境下控制原則變化,信息技術(shù)成為企業(yè)內(nèi)部管理很重要的方法、手段和工具。第二是控制內(nèi)容和方位,從5部委中我們可以了解健全企業(yè)內(nèi)部控制體系,IT控制是你企業(yè)必須要關(guān)注一個領(lǐng)域,原先你非常關(guān)注我企業(yè)工作治理機構(gòu),組織架構(gòu),職責權(quán)限,業(yè)務(wù)流程在企業(yè)循環(huán)的控制。在當今企業(yè)環(huán)境要更加關(guān)注IT控制這塊,要思考一下我們企業(yè)以前,公司以前在IT控制領(lǐng)域是否有健全的控制體系,制度是否有有效的監(jiān)控手段。這也是一個巨大是變化。

第三個方面也是IT技術(shù)對企業(yè)帶來的挑戰(zhàn),你的內(nèi)控制度體系設(shè)計非常有效,但是執(zhí)行是否得到有效保障,所以說內(nèi)控執(zhí)行在目前管理情況下,所有企業(yè)或者說大中型企業(yè)借助于IT系統(tǒng)保障內(nèi)部控制有效性。在座的各位領(lǐng)導(dǎo)公司知道沒有一家公司不會使用一部分軟件,比如說使用ERP系統(tǒng),Oracle或者用友,其它軟件系統(tǒng)。你的核心業(yè)務(wù)、財務(wù)信息、報表會在這些系統(tǒng)里面產(chǎn)生,那么如果說這個時候你的內(nèi)部控制執(zhí)行的手段,或者說執(zhí)行的評價要繞開ERP系統(tǒng)或者是IT系統(tǒng),企業(yè)可能就不能正常運行。第三點我們可以用一句話指導(dǎo)它的重要性,對客戶框架有深入分析,我們知道全球包括美國、英國,包括新加坡、香港、日本,還有我們現(xiàn)在中國,所以的國家在制定內(nèi)部控制相關(guān)法律規(guī)范的使用框架,是遵循的COX框架,如果你這個企業(yè)的內(nèi)部控制執(zhí)行,是依賴于某些IT工具,比如說ERP系統(tǒng),其他的軟件工具,將來第三方見證機構(gòu)對企業(yè)進行內(nèi)部控制審計評價,可以適當?shù)臏p少審計工作量,提高內(nèi)部提出有效性可信任評估,所以借助ERP執(zhí)行是非常重要的了。如果說像我們原先很多在海外上市公司,每年請四大幫你做內(nèi)部審計,或者咨詢費用是非常昂貴。如果說我有了可靠ERP系統(tǒng),所有內(nèi)部控制都在ERP系統(tǒng)當中得到良好體現(xiàn)和控制,你的審計和相應(yīng)成本會縮小了降低很多。這也是企業(yè)要關(guān)注的重要一個方面。

另外一個方面就是控制監(jiān)督及我們知道法規(guī)頒布以后,對企業(yè)帶一個新的挑戰(zhàn),就是內(nèi)部控制必須進行監(jiān)督評價。這個監(jiān)督評價包含兩個層次,第一個是內(nèi)部監(jiān)督評價,我們看到國內(nèi)上市公司都著手把企業(yè)的內(nèi)部及審機構(gòu)職能進行擴充,原先可能是傳統(tǒng)審計就是報表審計,現(xiàn)在要擴展傳統(tǒng)的審計,企業(yè)內(nèi)部控制、獨立審計等等方面。在內(nèi)部監(jiān)督評價同時,法規(guī)明確要求必須請外部第三方機構(gòu)進行有效評價。在評價和監(jiān)督的時候,我們知道首先我要檢查你的內(nèi)部控制設(shè)計是否健全、有效。檢查的時候事務(wù)所是看內(nèi)部控制設(shè)計是不是得當,這是第一個。接下來就是內(nèi)部測試執(zhí)行是否有效,要看你內(nèi)部控制的證據(jù),企業(yè)核心業(yè)務(wù)在ERP系統(tǒng)上,那么ERP系統(tǒng)可以幫助你保留你的關(guān)鍵業(yè)務(wù)執(zhí)行過程當中證據(jù)、文檔、資料、報告,供你企業(yè)內(nèi)審,機構(gòu)檢查一些證據(jù),做出評價。同時,我們知道如果你看這個基本規(guī)范的時候,只說了一句,要請第三方機構(gòu)對內(nèi)審機構(gòu)評價,你需要在年報當中明確的公告你的企業(yè)內(nèi)部,對企業(yè)管理層,對內(nèi)部工作的評價結(jié)果是怎么樣的。我們看到很多上市公司從2007年年報當中就開始披露,大概有兩段話,認為我們公司內(nèi)部工作是完善有效健全等等,這一段話是給公眾看。背后包含內(nèi)容非常多,你這個有效性是要有證據(jù),雖然沒有披露給公眾但是都要包含在企業(yè)當中。所以這些數(shù)據(jù)依靠手工整理這些證據(jù),保留這些證據(jù)基本是不可能實現(xiàn)的。

第四方面也是我們企業(yè)在現(xiàn)在應(yīng)對法律法規(guī)要求的時候,要考慮的,我們怎么保證這個有效性評價,提供證據(jù)。這四個方面對我們是非常重要,這是我們提到的第一個方面,IT控制內(nèi)容增加,我們時間有限,不相信展開討論這些問題。如果說我們是CIO,IT控制這一塊領(lǐng)域要圍繞這些部分,IT控制建設(shè)是圍繞這些方面。在這些方面當中如果你的企業(yè)用了軟件系統(tǒng),比如說ERP系統(tǒng),ERP本身的環(huán)境控制,本身安全性是你IT控制重要核心內(nèi)容,這個是給大家作為一個簡單提示,不要忽視這個方面。另外在執(zhí)行的時候,我們看到執(zhí)行的過程全面可以在系統(tǒng)得到有效保障,當然企業(yè)內(nèi)部的內(nèi)容涉及到公司治理到每個業(yè)務(wù)全部內(nèi)容,其中有很多關(guān)鍵核心的東西,我們可以借助平臺網(wǎng)上控制執(zhí)行有效性,將來要借助ERP系統(tǒng)內(nèi)部控制執(zhí)行過程信息記錄下來,證據(jù)記錄下來。我們舉一個例子,假如說信用控制是企業(yè)非常關(guān)注的點,在很多行業(yè)信用控制是風險非常高的地方,信用控制的制度,文檔設(shè)計好以后,接下來要讓信用控制得到有效執(zhí)行,這就要包含一系列的動作。首先要先做什么資質(zhì)鑒定評價,有相應(yīng)的資料。評價完畢以后設(shè)定信用的情況、信用的額度,所有業(yè)務(wù)發(fā)生完的時候是否受到了控制,這些都是控制證據(jù)。這些控制證據(jù)如果說你銷售管理系統(tǒng)采用是ERP系統(tǒng),ERP就應(yīng)該幫助你留下這些信息證據(jù)。這都是將來第三方審計的時候要看的,如果第三方審計的時候,看的時候問你這些信息在哪呢,我說我們不是手工管理是ERP管理,但是這個ERP系統(tǒng)當中也沒有記錄出來完整的信息,這個時候事務(wù)所說你的系統(tǒng)是有漏洞風險的,我不能數(shù)據(jù)無保留意見報告了,所以說在這些方面,將來檢查一個系統(tǒng),軟件系統(tǒng)能不能滿足我們內(nèi)控要求是非常重要。

在我們用友公司內(nèi)部部署多條產(chǎn)品線,分別面對不同客戶群體。NC產(chǎn)品也很多企業(yè)接觸過,是面向與中高端客戶群體,尤其是集團性企業(yè)的一個完整ERP軟件。目前來說我們很多上市公司最先要受法律法規(guī)約束的上市公司,集團企業(yè)占的數(shù)量比較多,集團企業(yè)在開展內(nèi)部控制管理的關(guān)注點和一般企業(yè)有非常得大區(qū)別。比如說我是一個小型企業(yè)或者中型企業(yè),內(nèi)部按照常規(guī)內(nèi)容流程設(shè)計開展就可以了,但是對于集團公司來講內(nèi)部控制涉及到所有業(yè)務(wù)職能,還涉及到總部對下述不同類型分支機構(gòu)控制,第二方面控制是目前設(shè)置企業(yè)內(nèi)部控制的時候一定要關(guān)注的地方。比如說原來中石油、中石化內(nèi)控系統(tǒng)走得比較靠前,目前應(yīng)該重新構(gòu)建檢查內(nèi)部控制體系的時候,一定要關(guān)注這個環(huán)節(jié),比如說你的權(quán)限的重新設(shè)計,權(quán)限體系的重新設(shè)計,必須從總部一級子公司到分級子公司下來的,我們采購業(yè)務(wù)是集中采購,某些物資在集團總部有那些,下級子公司有哪些,是要縱向考慮。所以說由于企業(yè)集團在控制管理特殊性考慮。

這個軟件是為集團企業(yè)設(shè)計還是為一般企業(yè)設(shè)計的。NC系統(tǒng)的年軟件系統(tǒng)首先一個完整的ERP系統(tǒng),在2005年、2006年我們開始跟蹤相應(yīng)的法律法規(guī),還是做相應(yīng)產(chǎn)品規(guī)劃和完善,我是NC產(chǎn)品內(nèi)控產(chǎn)品設(shè)計人員,實際上在NC產(chǎn)品當中,信息化除了目前完整ERP系統(tǒng)以后,也結(jié)合了相應(yīng)的法律法規(guī),不管是《薩班斯法案》還是國內(nèi)法律法規(guī),對企業(yè)要求就分四類,我們很多企業(yè)接觸法規(guī)的時候,或者搞控制體系不知道該怎么入手,其實就是一個四個方面,第一是內(nèi)部控制制度的設(shè)計,內(nèi)部控制的執(zhí)行,內(nèi)部控制的監(jiān)督評價,最后就是證據(jù),左邊是法規(guī)對你企業(yè)的要求,每一個領(lǐng)域你合規(guī)應(yīng)該滿足要求是什么樣的。

結(jié)合法規(guī)的要求,將來考核軟件系統(tǒng)要求軟件系統(tǒng)在這些方面支持內(nèi)部控制開展,第一內(nèi)部控制穩(wěn)當跟ERP系統(tǒng)產(chǎn)生一些交互關(guān)系,我們內(nèi)部控制文檔文件資料一大堆。然后實際上我所有這些內(nèi)部控制流程在軟件系統(tǒng)里執(zhí)行,我要看一下某一個業(yè)務(wù)內(nèi)部控制文檔,再檢查執(zhí)行有的時候很難結(jié)合起來,應(yīng)該要求軟件系統(tǒng)提供文件記錄或者關(guān)聯(lián)功能,讓把兩者有機結(jié)合起來。第二檢查軟件系統(tǒng)控制是否嚴密,是否可以滿足你關(guān)鍵業(yè)務(wù)、關(guān)鍵控制點在你軟件上面開展,這也很重要。企業(yè)內(nèi)部明確崗位分離,看五部委規(guī)范的時候,每一個集體規(guī)范第一頁都寫了,你要把權(quán)限文檔變成權(quán)限體系,是否可以幫助你稽核不相融職位和崗位的分離,這是很重要。第三要求軟件系統(tǒng)對企業(yè)關(guān)注核心業(yè)務(wù)數(shù)據(jù)保留審計線索,這是非常重要,如果沒有審計先線索我就不能檢查制衡過程中有沒有什么漏洞。如說軟件系統(tǒng)當中客商檔案信用額度隨便被別人修改過,修改完了我也不知道。那這方面你們企業(yè)這在分析漏洞就是非常大,我關(guān)注客商信用額度信息,軟件要給我記錄,某人是否修改過,什么時候修改,我能夠記錄下來。

第四點,能夠在軟件平臺查詢關(guān)鍵的控制流程、控制點和情況,要求評價內(nèi)部控制時候要做的工作,這個工作同樣要借助軟件系統(tǒng)。前提就是一個你的業(yè)務(wù)是在ERP里面,手工評價是不可能,要對軟件這些方面也有要求,我有一個觀點和大家交流如果你業(yè)務(wù)財務(wù)都是在依靠ERP系統(tǒng)執(zhí)行,這套系統(tǒng)檢查評價內(nèi)部控制是最重要。你的內(nèi)部控制是在用友系統(tǒng)當中執(zhí)行,你用另外一個軟件檢查你內(nèi)控是否得到有效執(zhí)行,這個效果會大大折扣,如果我們是企業(yè)CIO同一個軟件公司設(shè)計出來不同軟件產(chǎn)品之間的集成程度,不可能像一套軟件集成程度那么好,一個廠商可以幫助你控制執(zhí)行,又可以幫助你監(jiān)控執(zhí)行是最有效的,集成性我覺得是非常重要一個方面。

另外在平臺監(jiān)督內(nèi)部控制執(zhí)行,做出評價。結(jié)合這些方面在用友NC產(chǎn)品當中,在各個層次上面為企業(yè)提供內(nèi)部控制服務(wù)功能和產(chǎn)品功能中這也是讓廠商要求做的,實際上在為企業(yè)提供服務(wù)的時候,從內(nèi)部控制管理上面可以分五個層次,剛才我們說到這個企業(yè)現(xiàn)在搞內(nèi)部工作必須關(guān)注IT控制,當中軟件系統(tǒng)環(huán)境控制是非常重要的方面,如果整個企業(yè)應(yīng)用軟件是一套,或者核心業(yè)務(wù)都在用友軟件里面,都在SP的軟件里,首先肯定要檢查這個軟件自身的控制是否嚴格,嚴密。比如說輸入控制是否安全、輸出控制是否安全,處理控制是否安全。比如說輸出控制,安全機制是否能夠滿足企業(yè)的要求,這件事情說起來簡單,但是實際上實踐起來也比較難,所有用戶進入系統(tǒng)要有用戶密碼,這個機制是否安全,除了一般的密碼是有特殊保障,我們知道在企業(yè)當中風險非常高的崗位就是出納,出納人員可以去執(zhí)行付款的動作。如果這個人員可以隨便被別人篡改密碼登陸系統(tǒng)的話風險就太高了,這些方面軟件系統(tǒng)應(yīng)該有安全的機制,保障你這方面安全還是很有效。

另外我們考慮內(nèi)部控制建設(shè)的時候,關(guān)注的一般控制內(nèi)容,在企業(yè)內(nèi)部控制規(guī)范當中也提到了,企業(yè)應(yīng)該關(guān)注核心控制的東西,比如說權(quán)限、審批、稽核、風險預(yù)警等等,這些是所有業(yè)務(wù)要遵循控制關(guān)鍵點,我們用友滿足所有的機制和功能比如說系統(tǒng)當中權(quán)限、模型,然后用戶決策模型,是幫助你權(quán)限方面的模型,是否可以滿足企業(yè)審批控制要求,系統(tǒng)當中預(yù)警機制,是否能夠滿足你控制風險預(yù)警等等。這也是在NC系統(tǒng)當中第二個層次提供的價值。第三方面就流程控制,我們知道所有企業(yè)核心業(yè)務(wù)流程設(shè)計了很多控制點,比如說銷售業(yè)務(wù)、采購業(yè)務(wù)、投資業(yè)務(wù)、財務(wù)報告編制等等,所有這些業(yè)務(wù)都會涉及到很多的控制點。那么你原先在選擇ERP系統(tǒng)的時候,原先這個廠商ERP系統(tǒng)能不能滿足我們業(yè)務(wù)流程,現(xiàn)在要增加另外一個考慮緯度,除了滿足銷售業(yè)務(wù)還必須滿足我們銷售控制在系統(tǒng)當中得到有效執(zhí)行。業(yè)務(wù)系統(tǒng)方面我們NC系統(tǒng)結(jié)合我們五部委頒布《《企業(yè)內(nèi)部控制基本規(guī)范》的要求,全部滿足了,沒有滿足現(xiàn)在把這些內(nèi)控點在產(chǎn)品中進行了相應(yīng)補充。

第四方面是為我們內(nèi)控的監(jiān)督和評價服務(wù)的相應(yīng)產(chǎn)品,比如說我們將來要監(jiān)督這些控制的執(zhí)行和評價,你要幫我留有完整審計線索,幫我把相應(yīng)控制流程和一些規(guī)則輸?shù)较到y(tǒng)當中去,要提供平臺,讓我看到我的內(nèi)部執(zhí)行情況是怎么樣的。這就幫助企業(yè)減輕了大量的工作,所以這也是我們提出新的產(chǎn)品功能。

第五個方面是我們公司本來有審計產(chǎn)品,原先我們企業(yè)在選擇ERP系統(tǒng)的時候,可能不會過多地關(guān)注審計的產(chǎn)品,將來就有可能非常關(guān)注,企業(yè)內(nèi)審機構(gòu)在企業(yè)發(fā)揮職責職能越來越重要。你內(nèi)審的時候是需要借鑒軟件的平臺。所以第五方面也是軟件系統(tǒng)提供給我們的相應(yīng)價值。這是剛才我提到跟各個方面,比如說提到第一個系統(tǒng)環(huán)境工作,看一下NC系統(tǒng),在安全性控制提供功能和機制,然后審計線索,安全性NC系統(tǒng)當中可以實現(xiàn)對企業(yè)你關(guān)注核心的數(shù)據(jù)、單據(jù)、文件、報告單獨做CA認證。比如說剛才說的出納,付款我們要做CA認證,比如說我們非常關(guān)注核心報告閱讀也可以做CA認證,等等。這樣保證系統(tǒng)風險高的地方有效地方安全保障。第二,系統(tǒng)日志非常重要,在NC系統(tǒng)當中分為操作日志、功能日志,幫助企業(yè)保留日志信息,結(jié)合內(nèi)控要求不能僅僅結(jié)合在原先我們記住某個操作員某天某時間登陸過,要記住相應(yīng)操作動作,供給,內(nèi)容是什么,當然這是跟企業(yè)不同要求,你來設(shè)計你要關(guān)注哪些東西,系統(tǒng)就幫助你保有哪些系統(tǒng)。

另外就是撤離上面安全機制要求,比如說系統(tǒng)處理價值,非常重要財務(wù)報告完整有效。現(xiàn)在每個幾個企財務(wù)報告是用手工都是軟件,那么系統(tǒng)中處理結(jié)構(gòu)是否安全,也決定了你企業(yè)報告的完整有效,管理層解讀資產(chǎn)負債表,是否是最準確的債務(wù)信息,要取決于系統(tǒng)報告生成機制,比如說這個系統(tǒng)根本沒有檢查機制,財務(wù)系統(tǒng)操作人員。所以系統(tǒng)處理安全機制是非常重要。

第二方面就是系統(tǒng)平臺可以為我們提供一般控制規(guī)則。比如說系統(tǒng)會提供完善的權(quán)限模型,NC系統(tǒng)模型可以結(jié)合你對人設(shè)計非常細致的權(quán)限。軟件會幫助你檢查不相容職務(wù)是否分離,比如說出他和會計給一個操作人員,軟件系統(tǒng)可以幫助你檢查出來。分角色應(yīng)用等等,審批的控制,預(yù)警平臺。

第三方面就是ERP系統(tǒng)各個業(yè)務(wù)系統(tǒng)可以有效的支部內(nèi)部控制的執(zhí)行。這個是企業(yè)案例,實際上做得比較好企業(yè),內(nèi)部控制是制度當中的一個部分,將來我們?nèi)绻f在座企業(yè)內(nèi)部控制體系還沒有健全,制度沒有完善,將來你也可能按照這個思路做,分析業(yè)務(wù)目標,風險,設(shè)置控制點,設(shè)計監(jiān)督檢查辦法,然后形成流程圖。這些東西設(shè)計完畢以后,要把它的核心東西伴隨業(yè)務(wù)流程開展同時,控制在系統(tǒng)當中得到有效執(zhí)行,從控制方法預(yù)防性控制比檢查性控制永遠都有效。比如說銷售業(yè)務(wù)必須做信譽額度檢查報警等等,都需要做規(guī)格,銷售價格自動控制等等,都必須借助軟件平臺保證它的準確有效。這不詳細分析了,這也是你在軟件系統(tǒng)選擇關(guān)注點,也是NC系統(tǒng)提供的核心價值。

第四點就是內(nèi)部控制過程文檔證據(jù)記錄,和內(nèi)部控制有效性的評價。在這個方面實際上也是對軟件系統(tǒng)要求,同時NC軟件系統(tǒng)希望在這個方面給企業(yè)提供幫助,比如說業(yè)務(wù)流程發(fā)生的時候在系統(tǒng)當中會有很多單據(jù)信息。這些都是證據(jù),業(yè)務(wù)系統(tǒng)可以把這些證據(jù)分類,實現(xiàn)各種各樣查詢,和你風險息息關(guān)聯(lián),同時跟你后續(xù)支持評價。另外,產(chǎn)品可以做內(nèi)部控制監(jiān)控平臺,告訴你的相關(guān)業(yè)務(wù)流程的控制,你的風險有多大等等幫助你做監(jiān)督。

最后就是審計系統(tǒng),實際上企業(yè)內(nèi)部審計開展內(nèi)部管理的時候,同樣要借助審計系統(tǒng)檢查ERP系推內(nèi)部控制執(zhí)行有性。

今天就用短暫的時間把用友NC系統(tǒng),在企業(yè)內(nèi)部管理建設(shè)中能夠為我們服務(wù)和價值做一個簡單介紹。各位領(lǐng)導(dǎo)和嘉賓有意見的話,用友公司也在做很多市場活動,再做詳細的交流和分析,謝謝大家。

主持人:下面為我們做精彩致詞的是河北網(wǎng)通信息化部高級工程師屈玉閣。

屈玉閣:各位領(lǐng)導(dǎo),各位先生、各位女士上午好。我簡單地介紹原來河北網(wǎng)通信息化建設(shè)的情況,大家知道網(wǎng)通現(xiàn)在和聯(lián)通合并了,我說說河北網(wǎng)通是怎么進行IT系統(tǒng)的。

我說一下我們中國網(wǎng)通內(nèi)控測試結(jié)果是為零缺陷,這已經(jīng)通過2007年測試結(jié)果。內(nèi)控基本路徑是這樣的,首先在美國上市公司要求,我們請國外咨詢公司制定滿足《薩班斯法案》框架的制度,然后在企業(yè)各個層面落實,企業(yè)請外部公司進行審計得出結(jié)論,最后在資本市場檢驗審計的結(jié)果。

每年內(nèi)控工作基本都是說依照內(nèi)控模塊制定的活動,依據(jù)本地化活動檢查點,檢查自己有多少差距。我們組織檢查各個單位改進,外省一次測試,到年底進行外省第二次測試。信息化工作主要是兩個層面,一個是信息化建設(shè)與運營,第二是信息化控制的控制。

《薩班斯法案》對財務(wù)來源控制途徑是三個部分,第一是信息系統(tǒng),第二是紙質(zhì)報表,第三就是電子表格。大家看一看ITGC報表,有幾個模板。我們原網(wǎng)通公司IT內(nèi)控涉及的領(lǐng)域有兩大部分,一個是一般性質(zhì),一個是信息系統(tǒng)應(yīng)用控制。一般性的系統(tǒng)控制包括四個層面,安全、操作、變更管理、開發(fā)與支持。信息系統(tǒng)包括ERP系統(tǒng)。一般性信息工作基本能力,我剛才說新系統(tǒng)安全操作變更管理,和運營系統(tǒng)數(shù)據(jù)庫開發(fā)與支持,這個包括詳細一般系統(tǒng)操作管理,數(shù)據(jù)庫和網(wǎng)絡(luò),還有防病毒等等,還有應(yīng)急預(yù)案,變更管理包括應(yīng)用系統(tǒng),操作系統(tǒng),數(shù)據(jù)庫還有保護變更,在新系統(tǒng)開發(fā)包括應(yīng)用和實施這個層面。一般性管理架構(gòu)包括核心是應(yīng)用系統(tǒng)安全,數(shù)據(jù)庫安全,下一個層面是操作系統(tǒng)安全,網(wǎng)絡(luò)安全,防止病毒應(yīng)用系統(tǒng)和操作系統(tǒng)層面控制。

舉個例子,操作系統(tǒng)安全用戶管理,系統(tǒng)管理監(jiān)控管理,我們在舉例子帳號管理要求內(nèi)控是這樣,第一密碼格式、無效登陸次數(shù)三次,歷史密碼記憶個數(shù),密碼復(fù)雜程度,秘密要求6位,默認帳號鎖定,帳號超過時間我們是10分鐘等等。另外系統(tǒng)包括業(yè)務(wù)系統(tǒng)數(shù)據(jù)開發(fā),新的應(yīng)用系統(tǒng)測試,新的數(shù)據(jù)結(jié)構(gòu)測試,新的網(wǎng)絡(luò)測試。

我們說一下當時我們河北網(wǎng)通公司管理,外部看我們有網(wǎng)通公司內(nèi)部控制管理400多條所以我們工作量是非常大,我們涉及安全、變更、系統(tǒng)開發(fā)、操作、信息系統(tǒng)等等,涉及部門就更多了,包括工程建設(shè),物流采購綜合部,我們還負責電子表格,實際上要求我們06年必須達到《薩班斯法案》要求。信息系統(tǒng)大部分不能滿足IT一般要求,第二很多單位沒有形成IT系統(tǒng)控制路徑。

2006年我們進行8個方面的工作,一個是內(nèi)容控制制度建設(shè),貫徹風險管理方式,開展針對性與信息化管理控制工作相結(jié)合,統(tǒng)一IT內(nèi)部流程表述和文檔的格式,問題整理及整改措施的落實,現(xiàn)場督導(dǎo)提出具體的管理措施。積極與相關(guān)部門溝通,解決COSO、UAT和持其系統(tǒng)存在的問題。最后是組織各單位有效開展管理工作。我們內(nèi)控制度,首先要求制度健全,我們制定信息系統(tǒng)安全規(guī)范,表格的規(guī)范,還有做編碼,開發(fā)要求,開發(fā)必須遵守編碼規(guī)范,還有報財務(wù)部一個軟件。我們還開展針對性培訓(xùn),我們培訓(xùn)是考慮兩個層面,一個內(nèi)控要求對信息系統(tǒng)要求,一個是說內(nèi)控對信息化管理控制以及業(yè)務(wù)流程要求。我們工作開展培訓(xùn)以后,因為我們是做了大量的培訓(xùn),我們從舉辦各個省公司的集團技術(shù)主任,從各技術(shù)工作進行現(xiàn)場培訓(xùn),兩次進行電話培訓(xùn)等等。這樣使員工的內(nèi)控意識有了很大的提高。我們做了1200頁的控制文檔,包括開發(fā)與測試,還有風險管理內(nèi)控,還有《薩班斯法案》,還有與外省市溝通。我們第三點,統(tǒng)一IT內(nèi)控務(wù)流程描述和文檔格式,河北省有自己管理流程,我們?yōu)榱思訌妰?nèi)控管理我們我用一周時間制定流程,這樣寫文檔合適了,每個都比較完整就達到要求了。上個季度我們也形成了一個安全標準,通過統(tǒng)一流程、統(tǒng)一文檔我們在工作深度,進度方面取得了主動權(quán),這個工作我們當時都在前列。

第四個方面,問題整理及整改措施的落實,我們制定了一個內(nèi)控責任,根據(jù)系統(tǒng)分到每一個人負責哪條,每個人負責哪一段流程。我們內(nèi)控整改工作還包括了兩個層面,一個是系統(tǒng)要求,我們原來系統(tǒng)基本上滿足了內(nèi)控方面的要求。技術(shù)上我們做溝通做了補丁,要求在2000年的時候達到《薩班斯法案》的要求。五我們要求在網(wǎng)上要做記錄,完了之后領(lǐng)導(dǎo)要做相應(yīng)的確認。第二個層面一定要進行內(nèi)控的控制。控制聲明、授權(quán)和被授權(quán)文檔、作業(yè)流程、人工降低IT內(nèi)控風險整改措施等等。

授權(quán)2006年各單位整改的基礎(chǔ)上,網(wǎng)通河北省分公司IT內(nèi)控工作組去年市分公司收集整理第一輪測試在20個共性問題,深入理解內(nèi)控要求,提出了人工降低IT內(nèi)控風險整改措施。我們有一個信息系統(tǒng)非緊急變更實施范圍定義表,我們相應(yīng)流程跟大家都做了記錄。內(nèi)部授權(quán)方式,首先你要做聲明,首先您是誰,然后各部門制定一個崗位說明書,帳號統(tǒng)一管理,我們第一次測試的時候,有一個系統(tǒng)管理員把一個參數(shù)修改了,最后查出來,問你這個人是誰我告訴他,你把系統(tǒng)管理員的說明書拿出來,當時沒有找到,當時就說你不是系統(tǒng)操作系統(tǒng)管理員,你改參數(shù)干什么。當時我找他們溝通,把操作系統(tǒng)管理員的找到了,風險就解決,外部風險變成內(nèi)部風險這個風險就降了。

我們總結(jié)一下IT工控制基本流程就是四個方面。首先是提出申請,然后是主管領(lǐng)導(dǎo)審批,不一定是你就是部門主任也可以是副主任,可能也是你班組長,相關(guān)主管領(lǐng)導(dǎo)。然后在執(zhí)行當中并寫一下工作日志,主管另是一個月或者三個月進行審核。

第五點我們現(xiàn)場監(jiān)督,提出具體的管理措施,保證通過普華永道的測試。我們也去做公司,有的地市公司老總說內(nèi)控我知道就是坦白從寬、抗拒從嚴,當時我沒有好意思說,我告訴他內(nèi)控是跟是外部公司是一個博弈過程。因為內(nèi)控要求你幾條,那幾條完成就可以,不要求所有都做了,都做了工作就沒有完了。所以我告訴大家內(nèi)控要求幾個做到就可以,不沒有要求不一定要做,不要把自己陷得太深。

第六點,我們開展信息系統(tǒng)風險評估,模擬演練預(yù)案。原來我們是按照硬件軟件分,這是按應(yīng)用,我們是基于業(yè)務(wù)的角度。我們?yōu)榱私档惋L險,我們按照風險管理理論,將信息系統(tǒng)分成實物、軟件、信息、服務(wù)等四個類的資產(chǎn)。

這個系統(tǒng)風險評估過程,看看這張圖。首先是確定范圍資產(chǎn)管理本身的弱點和漏洞,再看看內(nèi)部管理測試有哪些,看了這些以后還漏下什么東西,這就是你的風險,還有在排隊哪些重要,哪些不重要,最后提出風險報告和管理措施。

第七個方面我們積極與相關(guān)部門溝通,解決COSO、UAT和久其系統(tǒng)存在的問題。系統(tǒng)每年執(zhí)行是不是符合《薩班斯法案》要求,久其報表是簡單的財務(wù)系統(tǒng),我們跟財務(wù)部相關(guān)部門溝通,也了很多的辦法。

第八個方面是組織各單位,開展電子表格內(nèi)控管理,滿足內(nèi)控要求。我們寫了報表做,這個帳號怎么控制呢,我們也是一個內(nèi)控表一個規(guī)范,我們從模板設(shè)計、模板使用、模板維護積極控制,把控制原則制定一下,電子表設(shè)計人,使用人,維護人,訪問人,設(shè)計和使用人可以合一,這個流程圖有一個具體的方法。首先可以進行申請,設(shè)計人可以進行模板開發(fā),使用人表格進行數(shù)據(jù)編輯、更新、管理,最后訪問人可以對表格進行實時查詢,原來我們是集中管理。

謝謝大家。

主持人:非常感謝屈先生,下面有請浪潮通軟副總裁兼技術(shù)總監(jiān)魏代森先生,進行“企業(yè)全面風險管理與信息化”。

魏代森:首先感謝主辦方,在這樣比較適合的時間,面向正確的對象我們CIO們,舉辦這樣一場有意義的論壇會議。

企業(yè)內(nèi)部風險管理,看起來離我們CIO關(guān)系比較遠,從國家制定政策,當企業(yè)經(jīng)營者,管理者制定體系相關(guān)。我們知道所有風險控制工作的最后落腳點是CIO是我們信息系統(tǒng),所以我覺得特別有意義。

我跟大家溝通幾個觀點。作為企業(yè)內(nèi)控的信息化,我想并不是特指要和專門內(nèi)控和風險管理的信息化,我們知道我們企業(yè)經(jīng)營過程當中,我們業(yè)務(wù)管理過程中我們更多風險點我們要控制,管理的更多一些控制活動和風險還是經(jīng)營過程當中業(yè)務(wù)活動方面。

我涉及了三個方面的內(nèi)容,第一部分是風險很重要,這不多說了。另外一點,企業(yè)和內(nèi)控風險不是矛盾是相輔相成的。我們也知道美國《薩班斯法案》,我國內(nèi)推出的內(nèi)部控制規(guī)范,對我們企業(yè)內(nèi)控是一個指導(dǎo)二是一個壓力。同時,今天我們在座的上市公司CIO,應(yīng)該說更多上市公司集團性企業(yè),集團企業(yè)在風險管理方面還是面臨更多挑戰(zhàn)。

因此,這里兩個建議,對大企業(yè)加強集團風險管控有兩條。第一條啊管控層面,采用集中式管理模式。母公司層面開始管理模式,通過這種模式我們可以加強分析機構(gòu)對我們整個優(yōu)化進行有效整合,通常對我們標準,規(guī)范,對一些業(yè)務(wù)流程進行有些控制,對企業(yè)內(nèi)控不僅僅是控制風險,還是要加強教育。同時,這種集成管理有利于集團的戰(zhàn)略執(zhí)行、運營等,我們運營中產(chǎn)生的信息、結(jié)果可以有效配合。

業(yè)務(wù)層面可以涉及到一些具體的,我們應(yīng)用活動重要的控制點,比如說在流程方面,我們由采購需求開始,到采購申請,采購定單,再到采購招標,到貨物交付,這個結(jié)算過程我們要規(guī)范流程,流程規(guī)范我們就可以避免風險,這樣業(yè)務(wù)活動當中控制。第二個方面,我們加上信息庫存我有合理庫存,有信譽額度,在執(zhí)行過程運算的控制。第三是對業(yè)務(wù)追蹤了貨源,最多對一些風險點進行及時警示,包括業(yè)務(wù),財務(wù)的。

第二個方面是信息化在加強企業(yè)內(nèi)控中的作用,所以企業(yè)控制風險管理,迅速落腳點還是要在我們信息系統(tǒng)當中,信息化是重要的保障。首先我們無論要建我們風險管理系統(tǒng),內(nèi)控體系是要以信息化作為基礎(chǔ)。第二個方面,我們信息化建設(shè)現(xiàn)在信息化應(yīng)該越來越多體現(xiàn)內(nèi)控風險管理要求,以前我們建設(shè)信息系統(tǒng)時候,建設(shè)基礎(chǔ)設(shè)施、應(yīng)用系統(tǒng),我們可能并許多過多的考慮內(nèi)控和風險管理要求。從我們一旦意識到了我們的風險管理,對企業(yè)重要性以后,我們說信息建設(shè)要充分考慮這些因素,從業(yè)務(wù)、管理、決策層面都要考慮這些因素。

信息化在內(nèi)控、風險管理方面是非常重要,我們風險包括方方面面,戰(zhàn)略,投資,財務(wù)運營,法律和道德風險,信息化可以在很多方面可以發(fā)揮作用,但是并不是解決所有問題,他可以財務(wù)方面很重要的作用。

企業(yè)內(nèi)控的五要素,內(nèi)部環(huán)境,風險評估,風險評估等等,我從5個方面簡單看一下我們建立怎么建設(shè)信息系統(tǒng),第一建立集成IT系統(tǒng)是重要基礎(chǔ),有了它,我們有了政策很多制度,標準規(guī)范在能夠暢通無阻的貫徹下去,有了它我們很多信息才能并較好頒布,識別很多先進點可以再這樣環(huán)境下被有效控制。

這種信息化模式要從戰(zhàn)略層面我從財政,物流等等進行集中化管理,業(yè)務(wù)層面我們要建立我們業(yè)務(wù)系統(tǒng)、生產(chǎn)、質(zhì)量設(shè)備,這個層面有機結(jié)合擴大我們企業(yè)的途徑,我們風險管理要弱到信息系統(tǒng)當中去,但是我們知道剛才說到我們管理有沒有權(quán)利用到系統(tǒng)配置,應(yīng)用系統(tǒng)是不是可以為所欲為,我們信息管理是不是可以在掌控之下做各種的工作。首先這里有最大的風險,首先對信息系統(tǒng)授權(quán)要分析授權(quán),第二要分角色授權(quán),我們提出叫四員的管理概念,我們要設(shè)計系統(tǒng),應(yīng)用,安全員,審計員,我們可以有效讓我們信息系統(tǒng)合理得到一些相互制約,分別關(guān)注自己的角色,使得我們信息系統(tǒng)是可靠安全的,是可以保障的。我們的風險管理,才可以建立。

第二點我們說在企業(yè)當中可以建立很多控制措施,我們建立信息化的物流系統(tǒng),首先可以使得我們企業(yè)之間物資供應(yīng)建立一個協(xié)同管理,不至于信息不暢通,因為我們一些流程規(guī)劃,我們?nèi)我獠捎迷斐筛囡L險的漏洞,我們通過建立這種系統(tǒng)使得我們業(yè)務(wù)流程規(guī)范,比如規(guī)定如何采購、如何競標、如何招標、如何收貨,如何結(jié)算我們可以有一套總公司范圍內(nèi)有一套完整流程。這一點是關(guān)于加強風險技術(shù)管理是控制企業(yè)風險的重要措施,在幾年前大家都意識到了,今年再強調(diào)綜合一起看也不為過分,這個是企業(yè)最關(guān)心的資源,通過對它的統(tǒng)一管理,集中結(jié)算可以有效解決一些企業(yè)投資、擔保、貸款問題,下面企業(yè)當中產(chǎn)生最大風險也是在資金和理財方面。

第三方面我們還是對我們企業(yè)的財產(chǎn),實物財產(chǎn)有個合理控制,可以加強實物財產(chǎn)管理,我們之前跟客戶交流過,他們也遇到過,他們一棟樓著火以后就找不到帳目的問題,所以我想這種事件發(fā)生會導(dǎo)致很多實物財產(chǎn)大量損失。

第三,要讓全面預(yù)算真正成為企業(yè)戰(zhàn)略落地的工具,以前是很多都是形式,很多運算多了我們就調(diào)整一下,或者簡單批復(fù)一下就過了,我們下來要用剛性和柔性來判斷,可以有不同的選擇。這種系統(tǒng)可以完全比較好解決系統(tǒng)溝通問題,第一可以有效了解企業(yè)經(jīng)營真實的信息,及時信息。往往我們說信息和溝通遇到最多問題,就是盡管信息是產(chǎn)生了,但是信息不是及時的,第二信息不是一定是真實的。這樣信息系統(tǒng)使得我們最終合理信息集中起來,對它我們設(shè)計指標,設(shè)立風險點進行及時分析對比,產(chǎn)生預(yù)警信息,做到防患于未然。

總結(jié)一下,第一建立集中式信息系統(tǒng)是實現(xiàn)企業(yè)重要基礎(chǔ),第二風險管理是企業(yè)管理信息系統(tǒng)的主線和方向,我們說建立一條風險體系,管理系統(tǒng)不僅是一個實施一個簡單風險或者管理更多分析點,是分布在我們經(jīng)營活動當中,分布在業(yè)務(wù)過程當中,這一些是企業(yè)管理信息,而且管理信息要求是與風險管理密切結(jié)合。第三,我們企業(yè)信息系統(tǒng)與風險管理進一步融合與統(tǒng)一。

第四,建立企業(yè)管理體系系統(tǒng),全面風險管理雙框架,并實現(xiàn)有機融合與統(tǒng)一并且作為一個有力的支撐。

謝謝各位。

主持人:下面有請中國鋁業(yè)信息部的楊磊先生做演講。

楊磊:各位領(lǐng)導(dǎo)、各位來賓,大家下午好。我是楊磊來自于中國鋁業(yè)有限公司,我們公司是在美國,香港、上交所三地上市的國有控股大型企業(yè),去年銷售額567億人民幣,全球第二大的鋁業(yè)公司。

我今天講主要內(nèi)容是和大家分享一下我們公司開展《薩班斯法案》工作,和IT相關(guān)一些體會心得。我首先給大家簡單介紹一下關(guān)于《薩班斯法案》的一些簡單內(nèi)容,然后再和大家分享我們公司在開展這項工作的簡單情況和有關(guān)工作。

今天的主題可能是圍繞內(nèi)控開始的,所以說《薩班斯法案》404大家一聽是耳熟能詳,我不介紹太多情況。簡單說2001年是實踐是《薩班斯法案》的導(dǎo)火索,根本原因是上市公司監(jiān)控缺失的一個后果。

《薩班斯法案》方面,管理層每年要出局一個年度報告,包括一下內(nèi)容,我們總結(jié)一下就是要求管理層要承擔兩個重要責任,一個建立一個有效的監(jiān)督組織,第二每年對內(nèi)控的有效性能進行評估,管理層公司控制有效性作出評價包括公司層面控制,業(yè)務(wù)流程層面,公司層面的評估和信息系統(tǒng)層面監(jiān)督。既然開展內(nèi)部評估,在美國上市公司監(jiān)督委員會審核中要求管理層采取適當?shù)目蚣芄芾砉ぷ鳌5且粋€強制目標不是COSO。

這個圖就是COSC的三維內(nèi)部控制框架,標準和COSC

04的關(guān)系。COSC的三維內(nèi)部控制框架中5大要素是和我們關(guān)系非常緊密,我們可以看到控制活動其他要素非常核心的地位。剛才我談到我們開展內(nèi)部公司控制評估,多數(shù)是采用COSC方案,這是針對一個企業(yè)開展內(nèi)控評估一個整體的框架,一直到開展IT層面評估,我們經(jīng)常使用另外一個指標是有名的控制協(xié)會推出的COBIT的三維控制框架。

第二部分我想簡單介紹2005年美國公司404公司內(nèi)控報告的披露情況,因為2005年是美國公司開展404第一年,他們遇到問題有可能是我們中國公司第一年會遇到的。這個圖我們可以看出來,在第一年美國的公司中,404報告中的披露情況。這個調(diào)查針對美國一些大型企業(yè)開展并不是美國所有企業(yè)。這個ABCD是比較知名的會計師事務(wù)所,即使在非常文明的美國大型企業(yè),一年也有16%的企業(yè)沒有順利通過404審計。這張圖是對他們所被評估中發(fā)現(xiàn)的漏洞一個簡單分類,我們可以看到因為404思想之一關(guān)注與財務(wù)報告相關(guān)內(nèi)容控制,所以實質(zhì)性漏洞就是與財務(wù)相關(guān)的事情。

美國公司實施404遵循工作的主要問題與挑戰(zhàn),第一年識別了大量內(nèi)控缺陷,其中20%內(nèi)控是與IT相關(guān),一個企業(yè)想擺脫IT是不可能。第二個特點是工作量大,投入高,有一些簡單數(shù)據(jù),在美國公司開展相關(guān)工作投入成本是非常高的。以上我簡單關(guān)于《薩班斯法案》方案做了一些介紹。

下面我們就中國鋁業(yè)信息系統(tǒng)開展內(nèi)部控制項目情況給大家做一個介紹。中國鋁業(yè)是國內(nèi)最早開始做SOX合規(guī)工作的公司之一,從2004年開始已經(jīng)流程層面的文檔記錄工作,最開始沒有涉及到IT系統(tǒng)方面工作。但是自從2005年開始,我們公司的信息化建設(shè)出現(xiàn)重大變化,開展大規(guī)模信息化基礎(chǔ)設(shè)施建設(shè),以及更為重要的是在總部和十幾家公司開始大規(guī)模ERP實施,這種情況下信息系統(tǒng)它的組織結(jié)構(gòu),流程等等方面發(fā)生了非常激烈變化。同時在短期內(nèi)公司業(yè)務(wù)運營對于信息系統(tǒng)依賴程度也飛速增加,所以從2005年開始我們公司開展404增加了GCC的工作,并且2005年成立了GCC的項目工作組,并且開展相關(guān)工作。

這就是我們公司開展GCC項目總體想法,可以說開展這個項目來源是首先是來自于外部的遵循法律法規(guī)要求,《薩班斯法案》404,不僅僅是唯一一個理由。剛才我已經(jīng)說過我們信息系統(tǒng)日趨復(fù)雜,業(yè)務(wù)對IT系統(tǒng)的依賴性增強,這種情況下實施GCC項目變得非常迫切,所以我們實施GCC項目主要最終的目的是希望建立一個IT體系達到組織結(jié)構(gòu)統(tǒng)一化,管理制度流程標準化,人員配制合理化,最終使信息系統(tǒng)有效可靠運行,在此基礎(chǔ)上順理成章通過404年度審計。

信息系統(tǒng)控制的項目主要內(nèi)容,不管在我們公司還是其它公司都是一樣,公司層面,一般控制和應(yīng)用系統(tǒng)控制,公司層面控制是關(guān)注與公司層面跟IT相關(guān)的問題,組織機構(gòu),IT治理,法規(guī)、制度等等,一些基礎(chǔ)性的建設(shè),它的控制好壞對整個IT控制結(jié)果會產(chǎn)生最大影響。下面就是IT一般控制,保證IT應(yīng)用控制持續(xù)有效性,比較常見是變更管理、系統(tǒng)開發(fā)、IT安全等等,相關(guān)的問題。應(yīng)用系統(tǒng)控制是我們常說ITAC和相應(yīng)對是關(guān)于主應(yīng)用系統(tǒng)程序執(zhí)行的一些控制,直接關(guān)注到財務(wù)報表、數(shù)據(jù)準確性、安全性、一致性等等。

下面我介紹一下開展項目的工作,大家都是采用類似的框架目錄開展相關(guān)工作,項目實施方法基本上是都是一樣,常規(guī)404項目工作方法我們可以從這個張圖看出來。不管是左邊公司層面業(yè)務(wù)層面控制,還是公司層面IT工作,IT層面來說大家使用方法是基本一致的。經(jīng)過了幾個結(jié)論都是一樣,預(yù)評估,詳細評估,整改和再測試、管理層報告。在IT層面開展預(yù)評估和業(yè)務(wù)流程小組有一個比較緊密合作關(guān)系,因為在IT層面看相關(guān)工作的時候,確定關(guān)聯(lián)業(yè)務(wù)流程,風險評估都是必須根據(jù)業(yè)務(wù),《薩班斯法案》關(guān)注是財務(wù)報表,相關(guān)的一些控制。換句話說這個問題再嚴重主要財務(wù)報表沒有直接關(guān)系,那么《薩班斯法案》不會對這個問題發(fā)生任何,所以我們IT首先要看這個控制是不是跟財務(wù)報表有緊密關(guān)系,這個階段需要有一個緊密配合關(guān)系這個常用的常見階段做事情和產(chǎn)出。比如說項目范圍,評估生產(chǎn)報告,整改,制定管理制度,最后是測試記錄,生成年底測試報告,數(shù)據(jù)管理層報告。

這張圖是我們當時開展這個項目一個整體工作計劃一個示意圖是完全符合我講到開展404項目整體的方法論。實際上開展這個項目主要做兩個層面工作,一個是IT風險評估,一個是缺陷評估分析。IT層面評估分兩個層面,一個是一般控制層面,一個是應(yīng)用控制層面。至于為什么公司層面沒有單獨列里面,我們考慮公司層面問題一般是比較高層的問題,和整個404項目層面是合并在一起工作,沒有單獨對這個項目來開展,其中一些和IT相關(guān)比較密切工作也分在密切工作中開展。

我們在開展404條款對內(nèi)部控制的要求分為5個階段,我們主要都做了哪些工作。第一階段是項目啟動和評估,成立項目組聘請顧問,制定項目章程,對總部和分公司進行初步評估,了解了從風險管理角度初步對信息系統(tǒng)現(xiàn)狀進行分析,根據(jù)現(xiàn)狀分析制定標準制度和流程,完善IT整個架構(gòu)。這個階段對于他的重點在于是一個評估一個是制定標準。為什么這么說呢,當時在中國鋁業(yè)開展這個項目面對挑戰(zhàn)就是,從IT里面管理流程說,并是一個完全實現(xiàn)流程管理部門,信息化基礎(chǔ)相對薄弱,內(nèi)控意識也不是很強。在這種情況下想建立內(nèi)控,第一要做的事情要建立一個內(nèi)控體系,在中國來說,要建立一個所謂體系或者框架,往往比較容易是要建立一套制度。在這一階段我們通過大量工作,制定了21個與信息化相關(guān)的標準制度,從物理基礎(chǔ)上做好了開展下一步工作這樣一個準備。第二階段進行一般制度認證完善推廣和培訓(xùn)工作,我們對于制定制度選擇一些試點,收集反饋意見,根據(jù)反饋意見修訂之后在公司內(nèi)推廣相應(yīng)制度流程標準,讓大家試運行,讓大家進行一個熱身。第三階段是進行控制措施和缺陷整改工作,我們制定了嚴格詳細各項控制要求文檔,但是第一次開展工作企業(yè)當中,說東話西,大部分東西都流于形式,原因是在中國企業(yè)缺少這種執(zhí)行文化和流行問題,與前幾個月對于執(zhí)行制度的檢查,會發(fā)現(xiàn)大量問題,各個控制點的問題,合理相應(yīng)整改措施進行整改。在整改以后做第四階段工作,同樣進行測試繼續(xù)整改是我們常用概念,提出比較GCC這樣一個循環(huán)。這樣一個循環(huán)一直到年底,形成年底測試工作。從SOX審計要求講,是可以出現(xiàn)缺陷和問題的,只要及時整改是沒有問題的,在年底最后一次的年底測試中,它出現(xiàn)的問題不能再回避,必須承認進行相應(yīng)風險的評估看它的嚴重性。

同樣在IT應(yīng)用控制層面,也開展了類似的工作,只不過針對控制點有一些差距。我們接下來講年終測試以后我們進行一個重要的工作就是內(nèi)部缺陷分析,年底要出一個內(nèi)部評估報告,不是把你測試發(fā)現(xiàn)問題列在上面,你在分析影響程度,每一個問題不管是直接還是間接必須分析清楚,定義它是一個嚴重問題,重大問題,一般缺陷,如果出現(xiàn)幾個重大或者一個實質(zhì)性漏洞基本可以導(dǎo)致你404無法通過。所以我們在06年底完成年終測試以后。

從我們分析發(fā)現(xiàn)的缺陷進行分析情況下,我們分享我們經(jīng)常遇到的問題,一發(fā)現(xiàn)缺陷是由于基礎(chǔ)設(shè)施方面,主要原因是因為前期相關(guān)技術(shù)流程執(zhí)行得不夠徹底、不夠完善造成的,IT用戶歐層面我們測試四個方面的主要問題,系統(tǒng)配置,關(guān)鍵報表,權(quán)責分離和關(guān)鍵事物代碼。ITAC方面大家可能發(fā)現(xiàn)最多集中在關(guān)鍵事物代碼,往往你是你信息化水平越高,用的系統(tǒng)越先進,集成這兩快問題就越嚴重,你看重的是非常初級的信息化,或者你信息項目是沒有集成這兩塊問題很少。我們當時有6000個帳號,其中有1500帳號都出現(xiàn)相關(guān)問題,這個也是比較好理解,上弦沒有充分考慮到《薩班斯法案》內(nèi)控相關(guān)要求體現(xiàn)在SAT項目當中。我們付出大量分析勞動,在權(quán)責分離,業(yè)界常見接觸上我們通過分析有39對權(quán)限都是出現(xiàn)一個人身上。

第三就是基準方案,我們同時做兩件事情,基于我們開展SAT上線是咨詢公司或者做外部審計、內(nèi)部審計都是知名公司,沒有一個公司是兩個同時進行的,最終還能順利通過404是非常困難。為了保證每項工作都有好的結(jié)果,第一SAT可以可靠上線,第二上線也完全符合404要求,所以我們公司管理層確定一個制定要有一個基本方案,對于系統(tǒng)配置,報表,數(shù)據(jù)維護等等方面,劃定一個日期,在此之前SAT上線的項目,所有工作可以按照它的項目規(guī)劃,業(yè)務(wù)需求去做,我們劃定是2006年9月1日,所有的配置,控制要經(jīng)過全面嚴格測試,確保這一點在這個時間所有SAT相關(guān)配置都是符合相關(guān)要求,之后所有相關(guān)工作變動必須經(jīng)過404相關(guān)標準進行審核,確保是符合要求,這是我們做具體方案一個初衷,結(jié)果非常圓滿完成了審核要求。

下面我們講一下通過實施這樣一個GCC項目的效果首當其沖實現(xiàn)目標就是通過404審計,在美國上市公司,把風險做這樣一個法律強制要求,相關(guān)工作不一定能夠得到高層領(lǐng)導(dǎo)的這么大的支持,雖然我們要我們建立一個高效運行IT體系,如果只靠這個目標,而沒有通過404可以說我們這個項目是完全失敗的。

下面是對于我們作為信息化工作非常關(guān)注的一點,就是非常好的效果,我們制定了一套非常好標準制度和流程,并且在各個公司推廣,通過流程推廣基本建立一套體系規(guī)范信息系統(tǒng)管理,因為COSO我在國外財政部網(wǎng)站看到了,他們要推遲到大陸應(yīng)用的時間,但是我們作為一個國家主要大型企業(yè),已經(jīng)在2006年按照北京市要求,在2008年開展中國版《薩班斯法案》工作,已經(jīng)出具符合中國四部委辦法的基本規(guī)范,要求內(nèi)部控制評估報告,在開展這項工作過程中我們感覺到及時,無論我們說的COSO還是美國的《薩班斯法案》等等,只要你有一套可靠內(nèi)部控制體系,并不是太需要關(guān)注你通過是什么樣的法案,去年我們通過中國的《薩班斯法案》,我們可以看到說我們沒有做任何附加工作。

第三制定了總部和分子公司信息部組織架構(gòu)和崗位設(shè)置參考模型,還有一個我們基本方案講到相關(guān)從另外一個層面驗證我們使用ERP安全性,可靠性,相關(guān)部門可以接受IT部門的風險評估。通過資質(zhì)建立我們有建立了一套可靠的流程和相關(guān)工作。

404審計并不是一個一勞永逸的工作,是每年要進行的相關(guān)工作,從我自己分析看這兩年工作還是要開展相關(guān)工作,我認為是大家需要注意的。第一是及時調(diào)整項目問題,從SOX要求不是對你所有企業(yè)所有業(yè)務(wù)進行評估有一個重要標準你銷售收入高出5%以上,在中國高速發(fā)展階段,企業(yè)主要業(yè)務(wù)變化每一年都比較大的變化,一定要提前關(guān)注并有預(yù)見性,在明年哪些企業(yè)、流程、業(yè)務(wù)可能會跳出SOX的范圍。同時,根據(jù)上一年分析結(jié)果改進原來缺陷,按照以往的技術(shù)嚴格的執(zhí)行。

還要風險管理工作因為第一年通過SOX法案,比我們企業(yè)來說我們現(xiàn)在總部大概花費很多錢,如果每年搞運營形式,我們總部付出工作量,包括我們分公司下面工作量,把一定要將風險控制、內(nèi)部控制工作常規(guī)化。

最后我想跟大家分享一下,我們開展這項工作以后得到的經(jīng)驗或者是教訓(xùn),希望大家要做或者即將要做這項工作的比較關(guān)注的事情,首先就是大家預(yù)示到開展相關(guān)工作的重要性,困難想對超出大多數(shù)人做這項工作的想象,一定要有足夠資源保障,一要找好優(yōu)秀外部力量幫助。第二點我覺得還需要關(guān)注項目進行準確的界定,什么流程,什么業(yè)務(wù)需要進行評估,它和你財務(wù)報表重要程度緊密相關(guān)的,如果你這個做不好,你做半年,10月、11月份測試的時候,突然告訴你現(xiàn)在的關(guān)聯(lián)度沒有達到,你從來沒有關(guān)注流程,沒有處理最后統(tǒng)計局發(fā)現(xiàn)有漏洞,這個時候你根本沒有辦法挽回,到了年底你才發(fā)現(xiàn)有錯誤,這個時候就是很危險。

開展相關(guān)工作在有審計師一些工作也會發(fā)生一些變化,實際要跟外界及時溝通。信息系統(tǒng)是也許由信息部管,但是從控制關(guān)注角度講,信息系統(tǒng)主要是業(yè)務(wù)部門使用,它的控制點主要在業(yè)務(wù)部門,如果業(yè)務(wù)部門不充分理解相關(guān)重要性、相關(guān)知識,那么信息部門根本無法做好這項工作。

最后不得不提醒大家一點,如果大家使用大型ERP系統(tǒng),全線管理和系統(tǒng)變更管理會經(jīng)常出現(xiàn)很多問題,大家一定要有心理準備。另外剛才我要講第一年你可以完成依靠顧問,第二年會請一些顧問,但是每一年都靠外部力量完成,最后一定要實現(xiàn)常規(guī)化,我們在2008年開了外部工作,全部工作全部由內(nèi)部員工完成。

因為時間有限,可能有一些問題希望大家諒解。

主持人:下面讓我為大家請出一位企業(yè)內(nèi)控方面的專家,國際信息系統(tǒng)審計師協(xié)會北京事務(wù)委員會主席何迪生先生。

何迪生:各位領(lǐng)導(dǎo)、各位嘉賓,大家下午好。楊總剛才基本上把我想講的講完了,他是非常有經(jīng)驗的內(nèi)控方面的專家,今天過來是非常有價值的,看到他的演講在內(nèi)控方面有很大的突破。

介紹一下我自己,很多的朋友說我最必然的身份,有其他的不是很清楚。今天的大會是中國信息化推進聯(lián)盟都是中國很有影響力的協(xié)會,所以,對于上面的ISACA,很多人可能不是太清楚。我把自己的一些體驗跟大家分享一下,ISACA審計協(xié)會是什么樣的協(xié)會。

我們協(xié)會是國際的協(xié)會,1996年開始成立的。我們現(xiàn)在遍布140多個國家,人數(shù)達47000多員,我們的畢馬威、德勤審計師大部分是我們的成員,還有很多的CIO都是我們的成員。所以,我們的網(wǎng)址是www.tmdps.cn,大家可以看一下,中國的網(wǎng)址是我們在分享很多的內(nèi)容。

ISACA是一個被公認為對資訊系統(tǒng)管理、控制、安全及審計扮演領(lǐng)導(dǎo)角色的國際性組織。我們提供全面的會員服務(wù),我們監(jiān)管全球性受尊敬的國際公認資訊審計師CISA及國際公認資訊保安經(jīng)理CISM等認證。

今天我跟大家分享的是什么?我想剛才我說了今天講了很多的東西,我大概從SOX的概念,楊總講的我不講了。還有講講什么是IT治理,還有是COBIT,我分享一下它的框架是什么,最后我講講我們的看法以及中國的SOX面臨的挑戰(zhàn)。

《薩班斯法案》,大家知道薩班斯的名字是怎么來的。是2002年美國的丑聞“安然事件”,如安然和世通事件,如果我們不想起的話對于普通的投資者所共鳴,所以有兩個比較有名的人,一個是三薩班斯,還有一個是Oxley是他的朋友和專家,他們一起來做的方案。2002年7月份美國總統(tǒng)布什簽署了法律,所以《薩班斯法案》一共有11章。第一章是針對匯集會計及公司行為的監(jiān)管,包括CEO之間的管理,在安然審計事件里面他們有很多的東西,所以,當薩班斯方案出來之后,很多的CIO、CEO不敢做事情,因為怕有這樣的事情存在。

在404條款里面剛才講了很多了,我不講很細的東西了。條款里面有用我們自己的IT方案去服務(wù)于我們IT平臺的管理。剛才講了一點是我們的SOX方案,要真正幫我們的IT治理進一步做得更好,沒有立法行為的話,很多公司的CEO他們不會花太多的精力、太多的金錢太多的時間去把IT治理做好。系統(tǒng)2003年之后,我們看IT治理IT方面做得越來越好。所以,很多事情要進一步推動的話,要積極的話,一點難度都沒有了。

除了進一步的推動之外,我們?yōu)槭裁匆狪T治理呢?從普華永道右邊的三種計量看出來,很多人認為我們的IT事件跟數(shù)據(jù)是有關(guān)的,全球是16%,我們的比例是44%。其中對安全事件管理的方面,我們的比重已經(jīng)不錯了,因為全球范圍內(nèi)比例是51%,而中國也是44%。平均去看一個安全事件的損失大概是100萬,這些數(shù)據(jù)告訴我們IT治理是很重要的。IT對于企業(yè)不可能沒有IT,還有進一步的管理,不同部門等都有IT。今天IT不止是一個網(wǎng)絡(luò),它對企業(yè)有戰(zhàn)略性的意義。但是,我覺得在中國IT好象還沒有得到應(yīng)有的重視,但是如果不久的將來IT對企業(yè)來講應(yīng)該有很大的貢獻。我們對安全做得很好,對建設(shè)做得很好,所以為什么有IT治理。

IT治理來講具體到企業(yè)的財務(wù)部、業(yè)務(wù)、還有IT部門。從IT來講舉個例子是從安全的角度,我們的仿冒的網(wǎng)站很多,像ebay等電子商務(wù)公司。還有木馬病毒活動猖獗,還有帳戶的盜用,所以,我們企業(yè)管理內(nèi)控很重要。

下面我們講講COBIT,它的英文我們不講了,只講COBIT,這是一個習慣。COBIT也是不斷進化的框架,我們從1996年開始,我們對COBIT都開始在ISACA里面控制了。今天來講有不同的版本,因為我們的社會、經(jīng)濟每天都在發(fā)生變化,所以,我們也有變化。就是把COBIT一步一步地進化去,以至于在今天也能使用。像主要的目的和方向是研究、發(fā)展、宣傳權(quán)威的、最新的國際化工人信息技術(shù)控制目標以至于我們的人員使用,可以慢慢建立起來。所以,COBIT里面有34個IT的流程、四個領(lǐng)域。PO是繼續(xù)與組織、獲取與實施、交付與支持、監(jiān)控與評估。

這個是COBIT的框架里面可以看到,第一用一個商業(yè)的目標,我們的企業(yè)做生意把商業(yè)達成,我們的IT是幫他達成這樣目標的工具。所以,信息是IT里面最重要的一個重點,所以這是給商業(yè)的應(yīng)用把商業(yè)的目標達成。后面是IT資源,我們講了ICP、Oracle等等。還有平臺業(yè)務(wù)的發(fā)展。所以,如果我們把IT資源深化,我們有很多的方案,像很多都用了IT運維管理的系統(tǒng)。從COBIT來看,PO、AI、ME、DS里面有不同的框架,我們里面PO有10個、AI有17個、ME有4個,DS有13個。所以,我們這些基于應(yīng)用去達到我們的效果,我們把IT治理變成有效率、有效果,可靠性、有效性、保密性、可用性、完整性,這樣我們的IT治理便維護起來。

今天有很多種問題,COSO和COBIT怎么分開,這有很好的內(nèi)控框架,但是從我們的角度去看,COSO是看事情,COBIT來講是IT的兩塊,一個是集成的架構(gòu),一個是財會應(yīng)用,這通常是我們參考的意義,但是就一個行不行?也行。

從《薩班斯法案》404條款里面,COBIT的關(guān)系剛才也講了很多,COBIT就是我們404里面最主要的部分,是幫我們把條款的要求一步一步達成。剛才楊總也講了,他看過一些運維的問題,運維的經(jīng)驗跟大家分享,這里面重要的重點跟大家分享了我就不多講了。

我跟大家講一下今天C-SOX面臨的挑戰(zhàn),我們看有什么東西。我們看到的挑戰(zhàn)可能今天中國有很多的框架流程、標準,但是我們很多的中國同胞可能不是太了解,這是第一點。今天很多領(lǐng)導(dǎo)都把我們的力量拿出來,跟大家分享一下怎么樣把這個做得更好。

第一個是中國本土相關(guān)的服務(wù),我們是國外的企業(yè)過來幫助我們服務(wù),但是本地化的中國服務(wù)不多,我們也希望跟中國本土的交流,把香港的力量,本地的服務(wù)團隊精英人才、專業(yè)人才給慢慢培養(yǎng)起來。

今天我覺得很多審計人員對IT的審計不是太熟,我們跟很多朋友聊起這樣的問題,我們應(yīng)該怎么樣一步一步地解決問題。我覺得最重要的是第四點,沒有規(guī)定具體處罰的內(nèi)容,很可能造成有法不依、違法不究、執(zhí)法不嚴的情況。如果發(fā)生了事件,他們可能坐牢坐20年,每個CEO、CFO他們一定把他們的能力、精力,盡量把事情做好,今天中國現(xiàn)在沒有法律說沒有專門做的話,也不重要。我們內(nèi)部是剛剛開始,我們可以在未來的幾年大家一起努力,把這一塊做好,將來一定會變成法律,讓我們的上市公司投資界獲得利益。

我覺得很重要的一點,企業(yè)很多大的財務(wù)部、審計部跟我們的IT部的整合是一個很大的挑戰(zhàn)。基本上現(xiàn)在沒有太多的溝通,但是我們?nèi)绻幸粋€很好的內(nèi)控團隊在公司里面的話,就可以把他們聯(lián)在一起,把我們應(yīng)該干的事情干好。剛剛開始的時候不容易,假如我們會找四大和有經(jīng)驗的朋友幫忙,把剛剛開始的COBIT等事情做好,以后我們會有更好的團隊去發(fā)展,把文化發(fā)展成為一個很好的運維的習慣。我們的IT治理不止是C-SOX還是SOX都會慢慢做好。

再總結(jié)一下,今天來講我覺得IT是業(yè)務(wù)的組成部分很重要,沒有IT什么也做不了。IT治理是公司治理的組成部分,公司的企業(yè)治理永遠是很重要的一塊。IT重要還是IT治理重要,處理不好的話很多事情處理不好。影響了我們業(yè)務(wù)的發(fā)展、公司的企業(yè)文化,還有對投資者一些不好的影響。所以,今天我們的IT治理剛剛開始,要在內(nèi)控方面大力推出去,我們有這方面的專家和領(lǐng)導(dǎo),我覺得可以一起去看怎么樣把它做得更好,把它發(fā)揚光大,以至于我們的企業(yè)做得更成功。

謝謝。

主持人:非常感謝何迪生主席白忙之中帶來這么精彩的演講,下面有請摩卡軟件高級售前顧問周立民為了我們帶來精彩的演講。

周立民:大家好,下面頁我們各位領(lǐng)導(dǎo),分享一下我們摩卡軟件針對企業(yè)整體的解決方案。開始的時候,介紹一下我們公司摩卡軟件的實際情況,這個平臺大家多少有一些陌生,但是實際上我們公司已經(jīng)有十多年這樣一個產(chǎn)品研發(fā)過程,我們在亞太區(qū)有兩大產(chǎn)品線,我們公司有員工600多名,研發(fā)團隊占了一半以上,目前公司最大股東英國電信。整個公司業(yè)務(wù)的分布遍布了國內(nèi)大中型城市,產(chǎn)品的客戶群主要還是定位于通信行業(yè),中國移動全國30多家省公司一半以上都是我們的客戶。包括現(xiàn)有金融、制造業(yè)等等。此外,在國際上一些東南亞,也有一些相關(guān)項目在做。

下面我們回顧一下從IT運維管理發(fā)展一個歷程,目前來說企業(yè)整個隨著IT環(huán)境越來越復(fù)雜,每年投入整個IT運維的資金、人力也越來越大。但是現(xiàn)在還是有一些問題,比如說出現(xiàn)一些問題,出現(xiàn)一些故障之后,有專門的網(wǎng)絡(luò)運維人員,有一些應(yīng)用系統(tǒng)的維護人員也覺得有許多問題,實際上整個業(yè)務(wù)系統(tǒng)已經(jīng)出現(xiàn)了性能的瓶頸。從運維來講有監(jiān)督的系統(tǒng),但是還是沒有辦法正常的串聯(lián)起來。

還有從傳統(tǒng)監(jiān)控運維管理監(jiān)控軟件還有一個問題,出現(xiàn)系統(tǒng)故障是采用快速告警,在這個告警接到以后,我們運維人員需要做什么,基本上傳統(tǒng)軟件來說,就終止了。真正一些我們公司的一些運維產(chǎn)品是從告警開始,包括告警以后一系列故障跟蹤堵截等等,這是我們傳統(tǒng)運維軟件所出現(xiàn)的問題。這個是我們傳統(tǒng)的一些運維軟件,實際上和信息缺乏全方位運維都串聯(lián)起來形成一個有機整體。

下面我們看一下針對整個IT運維提出叫全方位的運維解方案,摩卡軟件整個軟件產(chǎn)品定位叫三位一體,首先底層是一個傳統(tǒng)網(wǎng)管軟件,提供一些基礎(chǔ)的數(shù)據(jù)支持,來為高層運維提供數(shù)據(jù)來源,通過傳統(tǒng)監(jiān)控,引用故障報警出發(fā),實現(xiàn)整個故障的跟蹤,包括對方一個解決。第三層民是IT服務(wù)管理,是通過一個流程框架給企業(yè)帶來一個全范圍標準流程化的運維工作平臺。

我們提出4+1的解決方案,提出一個基礎(chǔ)架構(gòu)管理,包括應(yīng)用平臺的監(jiān)控管理,包括從指標到業(yè)務(wù),通過一些業(yè)務(wù)系統(tǒng)的響應(yīng)時間情況,包括業(yè)務(wù)服務(wù)的一些站在業(yè)務(wù)的視角審視一些IT的資源管理,這是一個業(yè)務(wù)初步管理,從監(jiān)控到流程,從監(jiān)控引入相關(guān)流程平臺,實現(xiàn)IT運維從技術(shù)到管理的過程。最終實現(xiàn)全方位自動化的全方位運維。

我們看一個我們整體提出的4+的優(yōu)勢,第一個,全方位系統(tǒng)監(jiān)控,相關(guān)的情況存儲情況。為了滿足國內(nèi)用戶使用喜歡,我們整個產(chǎn)品設(shè)計理念就是一個簡單易用的系統(tǒng),提出簡單的可視化,簡單的一些策略管理等等一些方面。為了滿足不同用戶需求我們提供多種產(chǎn)品模塊,包括業(yè)務(wù)提供服務(wù)管理,資產(chǎn)生命周期的管理等等。重點是通過一些展現(xiàn)的方式,我們提供了叫做多種展現(xiàn)方式,從傳統(tǒng)瀏覽器的方式,到手機接入方式等等。此外,這樣一個展現(xiàn)方式是一般單一入口,可以我們企業(yè)可以管理層面不同決策人員提供不同展現(xiàn)內(nèi)容,因為不同決策人員關(guān)注內(nèi)容是不一樣,高層是關(guān)注一些報表等等,中層是關(guān)注一些情況,業(yè)務(wù)人員是關(guān)注一些數(shù)據(jù)。滿足這種需求,我們提供不同決策提供不同內(nèi)容。通過引入相關(guān)框架提供相關(guān)服務(wù)臺,通過ITIL等等。

下面我們仔細看一下全方位的資源管理,首先是全方位的網(wǎng)絡(luò)設(shè)計監(jiān)控,可以支持市場常見品牌相關(guān)的類型,底層是通過資源管理的支持,進行快速開發(fā),多種操作系統(tǒng)支持,基本上目前IT環(huán)境包含系統(tǒng)都可以支持。各種應(yīng)用平臺,從服務(wù)器、數(shù)據(jù)庫,包括一種大型企業(yè)級的數(shù)據(jù)庫,各種管理服務(wù)器等等,應(yīng)用平臺可以實現(xiàn)這種監(jiān)控,監(jiān)控方式包括前面的主機,我們提供兩種,一種是代理,一種是非代理,方式可以任意選擇。完善資源監(jiān)控還有機房環(huán)境的監(jiān)控,數(shù)據(jù)的呈現(xiàn)是與相關(guān)網(wǎng)絡(luò)拓撲進行關(guān)聯(lián),為用戶提供一種整體化,從整體到具體轉(zhuǎn)變的過程。首先可以看到這是一個全國性一個骨干網(wǎng)線路圖,我們可以看到全國每個縣的網(wǎng)絡(luò)狀態(tài),每個機房里面的情況,重點關(guān)注一個機房可以點擊具體城市里面一個機房,機房是哪個地區(qū)機房有問題的話,可以點擊機房進入這個機房界面,可以看到機柜情況、溫濕度環(huán)境等等。想看一個具體機柜,機架上面服務(wù)器和網(wǎng)絡(luò)設(shè)備狀態(tài),目的在于我們提供從宏觀到具體的全方位展現(xiàn),而且是將網(wǎng)絡(luò)監(jiān)控和機房監(jiān)控做了一個統(tǒng)一。

下面看到是一些數(shù)據(jù)和監(jiān)控,包括一些視頻監(jiān)控的聯(lián)動等等。我們前面說到的是一些底層IT資源全范圍的管理,我們在這個基礎(chǔ)上有一個相關(guān)聯(lián)的配置變更管理,這是變更是管理的,這很難注意到,這種變更可帶來很大影響。通過對我們所有包括網(wǎng)絡(luò)、主機應(yīng)用等等配置的變更管理可以實現(xiàn)一些快速的監(jiān)控,比如說發(fā)現(xiàn)一些配置出現(xiàn)變化的時候可以產(chǎn)生一些快速告知等等。這些企業(yè)網(wǎng)絡(luò)環(huán)境很多配置管理變更,很多管理人員是通過手工來實現(xiàn),我們通過一種摩卡IAM管理,可以自動發(fā)現(xiàn)網(wǎng)絡(luò)配置,實現(xiàn)一個備份,通過自動備份,可以發(fā)生了一些變化,可以自動對比出來與以前哪個腳本發(fā)生了變化,這是一個我們解決方案里面一個模塊,叫摩卡變更管理。

為了滿足用戶的習慣,我們整個界面設(shè)計盡量從簡單易用著手,下面是一些截面截圖,包括一些主機,數(shù)據(jù)庫監(jiān)控的一個展現(xiàn)是通過動態(tài)一個展現(xiàn),這樣比較直觀易懂。

我們前面說到如何去實現(xiàn)一個全范圍的IT運維管理,一個企業(yè)原來有相關(guān)網(wǎng)絡(luò)管理、業(yè)務(wù)管理,如何串聯(lián)起來我們通過業(yè)務(wù)服務(wù)管理,把所有IT管理和業(yè)務(wù)進行一個相關(guān)關(guān)聯(lián),投入業(yè)務(wù)相關(guān)業(yè)務(wù)組件關(guān)聯(lián),某一個IT組件出現(xiàn)問題會對業(yè)務(wù)出現(xiàn)相關(guān)影響,從運維角度可以快速定位這個問題,下面看到是一個業(yè)務(wù)服務(wù)監(jiān)控的展現(xiàn)。當我們的業(yè)務(wù)出現(xiàn)問題的時候,整個業(yè)務(wù)會推動一些狀態(tài)實時的查詢,進而通過業(yè)務(wù)服務(wù)對IT部門,其他部門的影響幫助管理員去判斷。

現(xiàn)在我們的網(wǎng)絡(luò),帶寬確實是越來越高,但是也面臨了一個問題,帶寬濫用問題,我們針對這種情況提供一個解決方案,網(wǎng)絡(luò)流量的分析。首先是可以解決判斷出來網(wǎng)絡(luò)網(wǎng)絡(luò)當中哪些用戶造成大量帶寬占用,是那種協(xié)議有這樣一個大量帶寬占用,什么時間是大量帶寬的占用。國際上網(wǎng)絡(luò)廠商有相關(guān)的代碼協(xié)議,比如說思科,華為等等,我們能實現(xiàn)對所有協(xié)議的支持。從整個協(xié)議的分析來看,目前國際上有一些協(xié)議,從支持角度大多數(shù)同類型產(chǎn)品都可以支持,我們重點在于對一些像華為的設(shè)備,我們也能夠?qū)崿F(xiàn)這樣一些支持。

隨著企業(yè)的IT管理發(fā)展,整個IT資產(chǎn)管理逐步產(chǎn)生一些問題,因為簡單通過手動工作方式工作量越來越大,我們提供了一種摩卡ITAM,是IT資產(chǎn)管理,通過資產(chǎn)設(shè)備周期到設(shè)備到戶是一個全生命周期的跟蹤。前面說到一些業(yè)務(wù)監(jiān)控,可能重點關(guān)注終端用戶體驗,我們這個系統(tǒng)快不快,我們?yōu)檫@種具體提供一種叫做摩卡ITAM,首先通過一些用戶訪問過程,包括一些查詢等等,把一個用戶訪問過程錄下來,整個監(jiān)控結(jié)果可以看到具體是哪個步驟,從而一個性能問題,哪個步驟比較慢,而且是由于那個具體環(huán)節(jié)引起的,這是摩卡ITAM前面經(jīng)介紹是一個全方位資源管理。

下面我們看一個全方位接入塊,首先我們是統(tǒng)一認證,這樣用戶只需要登陸一次,錯此外通過統(tǒng)一認證可以集成用戶享有的一些資源,所有這些內(nèi)容可以在一個操作當中展現(xiàn),可以看到無論是監(jiān)控信息,報表第三方系統(tǒng)都可以這個里面展示,除了傳統(tǒng)意瀏覽器展示。這是整個接入方式截面一個截圖,可以查詢當前狀態(tài),包括當前資源狀態(tài)等等,解方式我們提供兩種,一個是傳統(tǒng)WAP方式,還有就是J2ME方式。第三方面一個全方位流程ITIL的管理,ITIL這個概念已經(jīng)很多年了,在一個具體項目實施過程當中,還是需要一些支撐,因此我們產(chǎn)品提供了一套方法論,整個方法論是基于我們公司多種運維管理的經(jīng)驗。我們摩卡運維管理底層平臺是一個業(yè)務(wù)管理平臺,是我們公司業(yè)務(wù)流程管理平臺。通過一些數(shù)據(jù)表單和相關(guān)的工具,來幫助用戶進行一些相關(guān)流程定制。這是我們基于IT的管理。

我們看一下我們ITIL最佳實現(xiàn)和方法論,我們圍繞四個階段,看IT的運維管理。在這個整個系統(tǒng)當中為整個IT部門組織架構(gòu)解決相關(guān)所有決策人員的一個定義。下面是一個全面的流程框架,首先是服務(wù)臺事故管理,主要功能就是快速相應(yīng)客戶請求,目的是為了盡量快速恢復(fù)故障。接下來當時系統(tǒng)存在一些系統(tǒng)原因沒有查明的話,可以請求轉(zhuǎn)移到故障管理流程,可以查明故障原因,對問題進行跟蹤和規(guī)劃。接下來是變更管理,一旦涉及到問題的一個修改會有相關(guān)一個變更管理,通過變更管理對資源進行相關(guān)修改。最終執(zhí)行整個一個變更管理流程是通過這樣發(fā)布,這是我們整個產(chǎn)品一個四大流程框架。同時服務(wù)臺跟分級管理所有出席請求也好,都會生成最終制式納入到知識庫當中,進行今后經(jīng)驗的一個積累。變更發(fā)布過程會最終更新到CMDB的配置項。為了滿足客戶不同需求,我們提供了對同一個流程提供多種版本的選擇,用戶可以根據(jù)自己的習慣,去選擇不同的版本進行實施。下面看到就是流程設(shè)計一個截面,這個雖然我們提供一些流程,還是需要進行相關(guān)微調(diào)進行一些二次開發(fā),這也得符合一些相關(guān)的框架。為了輔助相關(guān)調(diào)整進行相關(guān)流程截面設(shè)計,這是進行了相關(guān)的集成。

下面看到就是我們底層的一個CMDB數(shù)據(jù)庫,所有這些配制項目可以自動發(fā)現(xiàn),進行相關(guān)的拓撲。包括最終一些當前最新了軟件庫等。CMDB提供向相關(guān)設(shè)計工具界面,用戶可以自定義維護相關(guān)數(shù)據(jù)。下面是一個界面展示的是我們是以報表統(tǒng)一為主,根據(jù)不同報表給用戶提供不同數(shù)據(jù)的統(tǒng)計,下面這些報表可以隨意拖動到我們用戶收藏夾當中,可以進行快速的收藏。整個產(chǎn)品界面是比較簡單易用,左、右側(cè)界面劃分,頁面上下功能調(diào)整等等。這塊是做相關(guān)一些知識管理,所有生成運維相關(guān)知識,自動錄入到數(shù)據(jù)庫當中。

最后我們再回顧一下整個我們產(chǎn)品的整體價值所在。首先我們摩卡解決方案目的是最終為運維服務(wù),整個運維是一個全方位這樣一個解決方案。所有相關(guān)這種包括運維方面流程最佳方法論,相關(guān)我們監(jiān)控設(shè)計也好,不是一概而論的。因為我們公司從多年來已經(jīng)有十多年IT維護服務(wù)外包經(jīng)驗,我們提供的相關(guān)知識是涵蓋我們相關(guān)運維知識。這是我們整個產(chǎn)品套裝及其對應(yīng),BSM是我們摩卡一個技術(shù),IT資產(chǎn)管理對應(yīng)是IT周期管理,對于基礎(chǔ)設(shè)施管理,ITAM就是運維管理流程。最終實現(xiàn)一個三位一體的產(chǎn)品定位。

最后介紹一下我們以前實施的項目。首先是中國移動集團總公司的項目,這個項目不是一個單獨的廠家進行實施,而是通過多家廠商一個合力。我們在這里面主要要說我們針對客戶單獨做了一些應(yīng)用管理和模型開發(fā),幫助用戶實現(xiàn)一個VPN動態(tài)系統(tǒng)監(jiān)控,此外通過系統(tǒng)集成,為用戶提供統(tǒng)一界面展現(xiàn)。然后是一個國內(nèi)制造行業(yè)的就是三一重工,這個項目除了一些基本功能以外,重點說到三一重工用到的網(wǎng)絡(luò)環(huán)境是比較復(fù)雜,網(wǎng)絡(luò)設(shè)備比較老,型號也比較老,通過我們開發(fā)最后實現(xiàn)一個快速的產(chǎn)品定制,幫忙用戶最終解決它網(wǎng)絡(luò)管理方面的一些問題。

我的介紹就到這里謝謝大家。

主持人:下面有請RSA,EMC信息安全事業(yè)部中國區(qū)資深技術(shù)顧問馮崇彪先生。

馮崇彪:大家下午好,我是EMC信息維護業(yè)務(wù)顧問,今天向大家報告的內(nèi)容是簡化IT運行及企業(yè)監(jiān)管合規(guī)。

在介紹簡化IT運行及企業(yè)監(jiān)管合規(guī)之前,我們給大家先介紹一下背景,實際上我們IT部門現(xiàn)在所面臨的問題是,需要審計員過來要審計我們信息的時候,是要求百分之百數(shù)據(jù)。這時候我們以前審計人員來我們IT人員會感覺非常緊張,這時候怎么樣應(yīng)付內(nèi)部來自審計,還有來自于外部審計部門的審計。這時候我們會要求我們的IT人員找相應(yīng)數(shù)據(jù)應(yīng)對是這樣一個情況。我們解決方案可以幫助我們IT部門,快速取出我們眾多工具里面6個數(shù)據(jù)給審計部門,內(nèi)控部門,包括外部審計部門。

我們可以看到其實證監(jiān)會對于我們所有上市公司,本身是有非常得高要求,去年已經(jīng)發(fā)出《關(guān)于加強對投資者網(wǎng)上交易安全保護的通知》。這個通知實際上要求我們所有的上市公司對于一些非法的交易行為的監(jiān)控。要求每個機構(gòu)對投資者的登陸,交易轉(zhuǎn)帳活動進行監(jiān)控,一旦發(fā)現(xiàn)有什么問題的話,在這上面需要進行相應(yīng)的監(jiān)控。另外對于我們企業(yè)內(nèi)部控制基本規(guī)范,這個規(guī)范要求今年的7月1日對所有上市公司需要有這樣一個要求。內(nèi)部規(guī)范實際上是由財政部牽頭,包括證監(jiān)會,審計署還有銀監(jiān)會、保監(jiān)會,各個機構(gòu)出的指導(dǎo)意見,對于我們在座各位有非常好的指導(dǎo)意義。

對于我們IT主管面臨的問題是什么,我們現(xiàn)在IT環(huán)境越來越復(fù)雜,系統(tǒng)越來越龐大,這個時候我們的系統(tǒng)涵蓋了包括主機、網(wǎng)絡(luò)、應(yīng)用、安全、存儲等等方面。這每一個系統(tǒng)里面都有相應(yīng)的數(shù)據(jù)在里面,對于這些如山的數(shù)據(jù),我們怎么保障它怎么樣讓我們IT運轉(zhuǎn)很正常,同時我們還能夠保障能夠滿足內(nèi)部控制和外審的要求。這個實際上對于我們提出一個最高要求,審計員他們希望得到是什么呢,是對于財務(wù)有效的系統(tǒng)控制,我們的財務(wù)部門關(guān)心是財務(wù)數(shù)據(jù)控制,一些人事部門任務(wù)移植怎么把帳號在系統(tǒng)中屏蔽掉,比如說密碼需要更改,對于我們IT部門,或者科技部門怎么做這樣一個有效控制等等,所以對于內(nèi)控,各個部門關(guān)心是不同的角度。

我們有一個三合一的日志管理平臺,通過對于這些數(shù)據(jù)拿過來以后做分析整理,能夠做一個用戶集中化的管理,同時在這個基礎(chǔ)上對于做分析,做報告來優(yōu)化IT運維。在這個基礎(chǔ)上可以做什么呢,日志管理,資產(chǎn)識別,能夠維護我們本身IT的基本原則。基于上面的話,我們可以做滿足我們內(nèi)控和外審相應(yīng)的報表,還有根據(jù)這里面IT本身里面一些安全東西,可以做出相應(yīng)的報表,比如說像一個黑客冒充一個合法用戶,日志里面只是看到一條日志,如果把多個設(shè)備集中起來看是一個安全事件,黑客登陸十臺機器,十臺機器合起來看是一個安全事件,我們機器可以報警告訴你這里面有個黑客,可以基于不同設(shè)備之間做出這種關(guān)聯(lián),比如說有的人只防外網(wǎng),沒有能力訪問內(nèi)網(wǎng),如果他訪問內(nèi)網(wǎng)可以及時報告出來,有的只是訪問互聯(lián)網(wǎng),這也是不允許的。

我們這里面做一些比如說像有一些是我們舉證的行為,我們可以做一些舉證的分析,同時可以做到安全和我們的IT運營做一個職責分離,比如說我們在座一些企業(yè)可能是說在IT運營的時候,我們只關(guān)心是本身IT能夠正常運轉(zhuǎn)就可以,但是從安全角度考慮,可能需要更高要求,過了時間才能做舉證分析,再回去查,比如說是幾個月前,或者幾年前一些事情。有的過一兩年才發(fā)現(xiàn)這面有安全事件。還可以把現(xiàn)有的IT數(shù)據(jù)轉(zhuǎn)換成可用的信息和智能,我們有相應(yīng)儀表盤,讓我們公司高管可以看到目前運行情況,我們有超過1000多張,用于強制合規(guī)和安全的報表模板,我們這些模板是遵照國際上一些標準,比如說《薩班斯法案》等等這樣的標準制定,這些模板可以根據(jù)我們企業(yè)內(nèi)部的標準,可以變成是我們銀監(jiān)會要求的報表,或者我們內(nèi)部要求的報表,這些報表可以做成定時的,也可以做成是一次性的,根據(jù)我們需要。

后面我跟大家分享就是非常幾個非常簡單的例子,怎么樣來幫助我們提升安全。首先我們這里面有一個報表是專門做密碼變更和過期的,我們從安全角度要求我們企業(yè)內(nèi)部所有人員,可能隔一段時間要更改密碼,這些密碼我們之前有相應(yīng)的策略在里面,但是沒有一個統(tǒng)一管理,了解到讓我們IT主管了解到它的密碼變更情況,比如說有多少人在半個月之內(nèi)需要更改密碼,大家心里面想我們原來系統(tǒng)里面一部分系統(tǒng)已經(jīng)有了,但是沒有一個綜合管理的平臺。

還有一個比如說有一個人離職,這時候他的帳號是不是還是可以用,還是說這個人帳號密碼還是可以用。大家關(guān)心可能操作變更控制,我們這里面總公司要求各個分公司,子公司策略必須按照總公司要求,我們怎么保障總公司策略能夠強制執(zhí)行下去,對于我們解決方案也有一些相應(yīng)的方案在里面。禁用帳號我們也有例子,對于離職員工要進行禁用帳號。再有就是有很多合規(guī)報表,有《薩班斯法案》等等,我這里面主要列舉這種合規(guī)報表,這里面大概整個系統(tǒng)里面有1000多張發(fā)表,最早銀監(jiān)會、證監(jiān)會要求,做成我們每個企業(yè)內(nèi)部是和自己的安全報表,根據(jù)這些報表可以對我們企業(yè)做好內(nèi)控。我們可以看到每一個報表上面都有寫,這個是遵循ISO27001,或者是ISO27002的具體第幾本的要求。每一個報表和合規(guī)里面某一項怎么對應(yīng),在我們系統(tǒng)里面非常詳細的介紹。

我們可以看一看,有人試圖違反企業(yè)策略,試圖從外部刪除企業(yè)資料,我們通過ISO方案都可以找出來,我們可以看到有一個告警是來自于公司的三樓辦公室,我們從這里面再往下點可以看到,這個告警信息是關(guān)于違反策略方面。這個報警是有一個關(guān)聯(lián)規(guī)則,我們內(nèi)部有檢測系統(tǒng)或者是防火墻的系統(tǒng),通過關(guān)聯(lián)規(guī)則可以知道這些。我們接著看,可以看到我們公司內(nèi)部員工,試圖從家里面聯(lián)到公司內(nèi)部,試圖刪除一個客戶資料。

另外的場景是我們有效地監(jiān)控超級用戶異常的活動。這里舉的例子是一個管理員在一個小時之內(nèi),他創(chuàng)建了一個用戶帳號,然后做了一些違法的事情。之后,他又把這個帳號給它刪掉了。這樣的話他自己認為他做了一些自己可以抹掉,即使是這樣我們也可以發(fā)現(xiàn)。這個時候他創(chuàng)立了一個異常的活動出來,這個時候管理員可以看到,原來這個管理員是一個小時內(nèi)創(chuàng)建的帳號,同時一個小時之后把帳號給它刪掉。中間做了事情,我們都有記錄把它記錄了下來。

這個時候往下看,可以看到一些安全的證據(jù)。這個時候管理員創(chuàng)建和刪除帳號的信息都在這下面,不同的設(shè)備和位置里面都以去看到,我們可以不斷地把過去一個小時內(nèi)所有用戶的活動查詢到。所以,從眾多的用戶當中,把剛才可疑的帳號抓出來,進行分析。我們這里面中間是查詢帳號,那么這時候我們發(fā)現(xiàn)一個問題是什么呢?這個用戶是修改了他們公司里面一個非常重要的數(shù)據(jù)庫里面的數(shù)據(jù),這種行為是非常危險,系統(tǒng)管理員在每一個企業(yè)里面他的權(quán)限是非常大的。那么他可以增加用戶名,刪除用戶名,允許這種解決方案,放在第三方這里面任何一些數(shù)據(jù)這些信息都可以統(tǒng)一到你的設(shè)備里面來,中間做任何事情,等還沒有做成的時候,報警就出來了。所以可以把這個數(shù)據(jù)存到到我們叫調(diào)查數(shù)據(jù)庫里面。這個安全官登錄到這個系統(tǒng)里面可以查出來這個人,他到這個系統(tǒng)里面到底做了什么事情,所以這個事情很快就可以查出來。

所以實施這種日志安全審計有什么樣的業(yè)務(wù)價值呢?第一個方面,可以減少或者是避免合規(guī)成本,因為我們內(nèi)控有要求,對上市公司外部審計也有合規(guī)要求,我們有了這種解決方案以后,可以提高效率,可以降低成本。另外我們可以降低或者避免安全破壞成本,如果是說我們問題出來以后,再亡羊補牢這樣有的時候會太晚了,如果把這些東西能夠做在前面,我們可以做一些事先預(yù)防。還有我們可以降低安全運行成本,不需要太多能力投入,同時可以降低一些法律,如果這個事情出來以后,遇到法律不允許,這時候可以提高我們的收益。同時我們可以保護我們企業(yè)品牌和聲譽,所以要防止數(shù)據(jù)的泄露。

謝謝大家。

主持人:接下來有請信息中心主任張艷做最后一個主題演講。張艷:大家好,很高興有機會跟大家一起分享。

關(guān)于《薩班斯法案》法案我就不多說,國際上美國證監(jiān)會安然、世通事件,等等一些詐騙情況里面,美國證監(jiān)會為了誠實公布信息,所以頒布了《薩班斯法案》法案。在方案中間一再說到關(guān)于IT風險這塊,所以說我希望有機會跟大家一起探討一下,在這個額為什么在《薩班斯法案》中間本來是針對上市公司財務(wù)審計,為什么跟我們IT審計是密切相關(guān)的等等一系列的過程。在企業(yè)發(fā)展過程中間它不斷壯大,如果在十年前,對于我們財務(wù)系統(tǒng)來講,完全可以靠手工來完成。但是十年后的今天,隨著IT的發(fā)展,不管是各種各樣的系統(tǒng)也好,包括ERP系統(tǒng),或者單純的財務(wù)系統(tǒng),不可避免的通過在硬件上通過軟件實現(xiàn)數(shù)據(jù)的錄入、積累,最后呈現(xiàn)一個財務(wù)報表給大家看的情況。那么在這個過程中間由于把系統(tǒng)的不安全,或者硬件不安全,最終有可能導(dǎo)致財務(wù)報表的不安全。所以,從財務(wù)涉及IT這一塊,根據(jù)美國證監(jiān)會要求,審計師是穿透系統(tǒng)不是繞著系統(tǒng)審計,所以是這樣一個過程。

大家請看一下,這個《薩班斯法案》法案來源不再介紹了,在這個SOX中關(guān)于IT審計過程中間,我們需要相關(guān)的像C-SOX安全一些策略也好,規(guī)范條例也好,真正實現(xiàn)這樣一個安全控制和管理。

IT控制在每一個公司中存在,至少是下面三個因素,像決策管理、商務(wù)流程和IT服務(wù)。決策管理是建立在實體上,就是人的因素上,如果在一個企業(yè)中,不管是IT部門的負責人,還是一個企業(yè)的CEO也好,高層管理人員,如果他們沒有充分地認識到IT管理的安全,首先來講,就決定在IT層面上將不可能真正做到一種安全。其次是商務(wù)流程,商務(wù)流程就是說我們因為是要通過我們這些系統(tǒng),來給我們企業(yè)創(chuàng)造價值,IT永遠是作為一個幫助企業(yè)的業(yè)務(wù)部門來實現(xiàn)自身價值的部門。所以通過商務(wù)上由于業(yè)務(wù)的需求,我們引進了很多商務(wù)軟件,包括大型ERP系統(tǒng),通過這樣系統(tǒng)跟我們IT硬件相結(jié)合在一起,形成高效一個系統(tǒng)集成這樣一個概念。

IT服務(wù)這一塊,除了日常的IT維護和管理等等,它來決定服務(wù)好壞,同樣決定安全非常重要的因素。其實我們也看到這樣一張圖表,這包括了SOX法案所要遵循的部分,中間包括實體層控制,這也給大家解釋過了。現(xiàn)在ITAC應(yīng)用方面,就是我們講大型系統(tǒng)。再往下最底層是我們ITGC一般應(yīng)用控制,在這個控制中間我們簡單成為系統(tǒng)開發(fā)、系統(tǒng)變更、運營管理、安全管理四大塊,我常常比喻為是一個金字塔形的框架。在金字塔的底層是由ITGC來控制的,中間是應(yīng)用程序控制方面,在塔尖一定是人的控制,通過這樣一個搭建結(jié)構(gòu)才能保證我們整個IT的在大型企業(yè)中,IT非常安全的控制。

再用一個同樣的圖表來給大家解釋一下,在我們ITAC和ITGC相近的關(guān)系,上面有一系列安全產(chǎn)品,這樣搭建我們IT的基礎(chǔ)安全措施,上面是我們常見的財務(wù)系統(tǒng),不管是什么樣的系統(tǒng),它也應(yīng)該是只有秉承安全的,上面才安全,上面是我們業(yè)務(wù)系統(tǒng)、采購系統(tǒng)、銷售系統(tǒng)等等,我們財務(wù)相關(guān)接口實現(xiàn)有效的管理。再往上我們可以看到通過一系列這樣的流程,最后我們呈現(xiàn)這份財務(wù)報表,為什么在說到C-SOX當中大家說我們需要做IT安全,在整個《薩班斯法》并沒有說到IT審計,但是在我們?nèi)找鎮(zhèn)兩鲜泄咀鰧徲嫷臅r候面臨財務(wù)審計,基于這樣的原因,在ITGC大概控制點,這是AC準確、完整、授權(quán)職責分離。

這是ITGC和ITAC關(guān)系的圖表,首先從信息管理和人事結(jié)構(gòu),這是一個公司,其次是上升到人的,在有是整個公司的管理,憑險評估,再就是流程層面評估,分為早期,系統(tǒng)與數(shù)據(jù)所有者,包括業(yè)務(wù)有關(guān)數(shù)據(jù)控制等等。

我們所有安全策略其實基于框架結(jié)構(gòu)談到,石油是美國一個信息系統(tǒng)控制協(xié)會,它分為四大塊,在這個框架計劃和組織結(jié)構(gòu),開發(fā)采購信息系統(tǒng),等等。這是我們常見一張框架具體圖表,每塊對應(yīng)我們說四大塊,我們講拷貝一個框架跟《薩班斯法案》有什么關(guān)系呢?我們通過這樣一個圖表讓大家來理解。信息計劃和組織結(jié)構(gòu)開發(fā)和我們公司層面內(nèi)控是相符合,采購信息系統(tǒng)和系統(tǒng)開發(fā)和維護是向符合。

在《薩班斯法案》中間我們實施過程是什么樣的?首先,我們要做一個有效設(shè)計,我們建立一些常規(guī)流程,這個流程是首先是我們做安全第一步,我們?nèi)绾喂芾砭W(wǎng)絡(luò),其次是我們建立相關(guān)策略我們有沒有執(zhí)行,執(zhí)行以后有沒有監(jiān)控,如果說我們制定了一定的策略,但是沒有人執(zhí)行,更談不上監(jiān)控,結(jié)果等于一樣,沒有完成這樣的工作,也不可能實現(xiàn)真正的安全。這樣只有通過一系列的建立、執(zhí)行、監(jiān)控,最終包括穿行測試,通過了我們這套系統(tǒng),剛才我也說對系統(tǒng)測試應(yīng)該是穿行而不是繞行,最后達到內(nèi)部監(jiān)控的改善。

《薩班斯法案》有以下幾個基本控制范圍,公司層面控制,系統(tǒng)操作管理,安全管理,系統(tǒng)開發(fā)和維護/數(shù)據(jù)庫維護,網(wǎng)絡(luò)管理,操作系統(tǒng)維護。

首先從公司公司層面可以看一下,建立與公司層面有關(guān)的管理目標,規(guī)定和流程等等,意義是確保公司IT部門有明確管理目標和制度,確保公司所有員工認識到時候IT系統(tǒng)重要性以及如何遵守公司IT制定,這一點是可以實現(xiàn)的,可以通過我們新員工入職的時候可以跟他建立一個,要他知道所有IT的方面的所有層面,不會因為他的操作公司有一些損失或者破壞。同時也給公司從法律的角度來講做了一個非常有效的保障。

確保IT部門制定的策略與公司發(fā)展方向一致,我們IT發(fā)展是一定要同我們業(yè)務(wù)相匹配,作為一個公司講沒有一個長期的戰(zhàn)略計劃,而且在這個戰(zhàn)略計劃制定之后應(yīng)該建立有效跟業(yè)務(wù)部門溝通以后進行不斷更新。這些公司都在了以后,一個公司IT怎么談得上安全,因為他對IT發(fā)展方向都沒有一個明確控制管理。

下面是針對系統(tǒng)開發(fā)、維護和數(shù)據(jù)庫維護的相關(guān)要求,要對系統(tǒng)數(shù)據(jù)庫上線以后做修改管理,這些為什么從設(shè)備采購我們就要開始控制了,在采購環(huán)節(jié)從價格各方面進行有效管理,在開發(fā)層面我們有沒有做到有效職責分離,測試環(huán)節(jié)上我們有沒有做滲透式的測試,等等因素不管其中某一個環(huán)節(jié)都有可能造成整個系統(tǒng)開發(fā)維護和數(shù)據(jù)庫的維護,是有安全漏洞的存在。

下面是安全的管理和網(wǎng)絡(luò)管理,制定和持續(xù)確保系統(tǒng)、平臺、數(shù)據(jù)庫、網(wǎng)絡(luò)等在邏輯性和物理性方面有安全和有管理的存取措施,更多是針對我們的常見的安全設(shè)備像防火墻,路由器等等一系列的硬件產(chǎn)品,包括今天我們看到在場一系列安全產(chǎn)品,這些產(chǎn)品有助于我們保障我們的整個IT系統(tǒng)的安全。下面是系統(tǒng)操作管理和操作系統(tǒng)的維護,確保系統(tǒng)日常操作一致性,制定故障處理,發(fā)布,記錄和分析流程,等等這樣一些部門。可以達到在操作系統(tǒng)層面做一個非常安全的控制和管理。

最后是我們所說到應(yīng)用控制,應(yīng)有控制中心確保應(yīng)用系統(tǒng)在輸入及輸出數(shù)據(jù)時能夠有效控制數(shù)據(jù)的準確、完整性,確保授予員工的應(yīng)用系統(tǒng)權(quán)限不會有職責分離的沖突,確保系統(tǒng)之間的數(shù)據(jù)傳送的準確和完整性,確保系統(tǒng)運算的準確。中航油就有一個事件,由于數(shù)據(jù)缺失導(dǎo)致了6億元的損失。

第二篇:CIO時代網(wǎng) -制造企業(yè)內(nèi)部信息化

CIO時代網(wǎng):黃總您好,您所在企業(yè)是何時開始信息化建設(shè)的?當前信息化的基本情況是怎樣的?

黃起豹:我們公司的信息化建設(shè)很早就在進行,但真正有規(guī)模還是在這兩年,目前來看,公司信息化建設(shè)基本上涵蓋了公司的各各角落。如在生產(chǎn)方面,我們基本上實現(xiàn)的信息化與自動化。在日常管理方面,主要是以ERP為主,基本上實現(xiàn)了傳統(tǒng)企業(yè)管理現(xiàn)代化。在外派的工程與銷售人員管理方面,以前這塊對于公司來說是個盲點,今年我們專門針對這塊設(shè)計了一套管理系統(tǒng),所有外派人員的績效與指導(dǎo)都在這個系統(tǒng)上進行。這個系統(tǒng)是獨立的,與當前的公司其它管理系統(tǒng)是分開的。在這個系統(tǒng)中還有一個知識庫系統(tǒng),這對在外的員工們來說意義非常重大,能給他們在方方面面進行指導(dǎo)與提高。這個系統(tǒng)也是我們今年在重點推的一個系統(tǒng),將來還會在這個方面做很多工作。

CIO時代網(wǎng):信息系統(tǒng)實施之后,主要給管理和運營帶來了哪些主要的成效?

黃起豹:首先是管理方面,在計劃、執(zhí)行、決策、監(jiān)控、反饋等方面都有不同程度的提升。比如說在計劃階段,在信息系統(tǒng)實施之后,大大地提高了計劃的準確率。以前也做計劃,但是計劃與最終的結(jié)果總是有很大的差距,自從信息系統(tǒng)實施之后,我們在做計劃制定時就非常科學(xué)了,不在是拍腦袋出來的,而是在先進的模型和可靠的歷史數(shù)據(jù)基礎(chǔ)上制定計劃。在執(zhí)行階段,信息系統(tǒng)實施以后,執(zhí)行的速度比已前更快了,還不容易出錯。在決策支持階段,系統(tǒng)中建立了全公司集中共享平臺和多維分析模型,支撐財務(wù)、工程、人力、業(yè)務(wù)指標等各專業(yè)的管理決策分析,使公司的用戶數(shù)指標、業(yè)務(wù)量指標可以在時間、地域、用戶、業(yè)務(wù)、客戶、流向等多維度進行分析和決策,為市場經(jīng)營分析提供支持,并基本統(tǒng)一了各大業(yè)務(wù)基礎(chǔ)數(shù)據(jù)的定義、規(guī)范和標準,為今后跨部門分析、集成應(yīng)用保證了數(shù)據(jù)的一致性。在監(jiān)控階段,通過日志與匯報系統(tǒng),可以清晰的了解工作的進度,也起到了監(jiān)控的目的。在反饋階段,主要是通過信息化的溝通工具,縮短了公司溝通成本,這是在管理方面。

而在運營方面,我覺得主要有這么幾個方面的體現(xiàn):

1、優(yōu)化了銷售環(huán)節(jié),降低了銷售成本,提升了給客戶服務(wù)的水平,加速了貨款回收效率。

2、實現(xiàn)資金流、物流、信息流的統(tǒng)一管理,解決了內(nèi)部信息不暢通及管理困難等弊端。

3、業(yè)務(wù)數(shù)據(jù)實時處理,決策命令準確下達。減少經(jīng)營成本,降低經(jīng)營風險,快速應(yīng)對市場變化。

4、采購提前期縮短一半。采購人員有了及時準確的生產(chǎn)計劃信息,就能集中精力進行價值分析,貨源選擇,研究談判策略,了解生產(chǎn)問題,縮短了采購時間和節(jié)省了采購費用。

5、制造成本降低。由于庫存費用下降,勞力的節(jié)約,采購費用節(jié)省等一系列人、財、物的效應(yīng),使生產(chǎn)成本得到降低。

6、成本核算自動化,實時報表統(tǒng)計及月底結(jié)賬瞬間完成,確保、準確、快速的提供各種成本數(shù)據(jù),提高財務(wù)人員效率;同時實時監(jiān)控財務(wù)信息,隨時掌握資金動態(tài),促進財務(wù)管理從核算型轉(zhuǎn)變?yōu)楣芾硇汀r值型。

7、強化系統(tǒng)工程管理的功能,推進工程管理精確化進程。

黃起豹:在經(jīng)營管理方面,第一個重要的信息化手段就是ERP,其它還包括有知識庫管理、資產(chǎn)管理、客戶呼叫中心、客戶關(guān)系管理、BI、以及根據(jù)自己行業(yè)特點研發(fā)的銷售與工程管

理等系統(tǒng)。在生產(chǎn)制造環(huán)節(jié),主要用到系統(tǒng)有PLC、PDM、PLM、數(shù)控系統(tǒng),以及CAD系統(tǒng)等。

從我的實際工作經(jīng)驗來看,我日常工作中,有一半的時間是在解決問題,有一半時間是在溝通問題。而這些問題中,有些問題可能是具體公司特有的,有些問題可以會是行業(yè)普遍存在的問題,在這里我舉二個比較有代表的問題來給大家分享。第一個是有關(guān)數(shù)據(jù)方面的問題。由于當時我們是整個集團同時要上ERP系統(tǒng),而當時公司組織架構(gòu)是,有些部門是整個集團共用的,而有些部門是各分公司獨立的,如生產(chǎn)部、市場部等。而在上ERP系統(tǒng)之前,各子公司都或多或少地建了一些系統(tǒng),但是這些系統(tǒng)都是按照各公司自己的特點去做數(shù)據(jù)庫的設(shè)計,這些數(shù)據(jù)跑在單個公司是沒什么問題,但是整合到一個大的平臺時,就暴露出特別多的問題,如何把這些數(shù)據(jù)進行兼容,當時花了我們特別多時間去整合,現(xiàn)在基本是沒什么問題。但是這中間的一些體會,還是想與大家分享一下,如果您所在的公司是有多個子公司的話,那么在上管控型的ERP系統(tǒng)之前,最好是先把各分公司的數(shù)據(jù)進行統(tǒng)一編碼,然后再上ERP系統(tǒng)。第二個問題是,ERP系統(tǒng)的實施相對于以前的工作方式來說是一種改革,改革就會設(shè)計到意識形態(tài)和行為方式的改變,而實際情況是,有些人可能會接受的比較快,快速適應(yīng),另一些人可能就會有困難,當然這跟員工本身的學(xué)識以及所處的環(huán)境是密不可分的。而對于這批人來說,在公司推行ERP系統(tǒng)來就有很大的困難,因為他們會找各種理由來拒絕實施ERP,如認為ERP并沒有提高效率反而是增加了麻煩等等。這時作為CIO,如何將自己的理念傳達給這部分員工就是一項非常有藝術(shù)的工作了,當時我本人為了消除這部分人員對ERP認識上的誤區(qū),提高他們的信息化的水平,讓他們能在公司現(xiàn)代化環(huán)境中,同步發(fā)展,確實做了大量的工作,如今看來,這些付出還是給公司帶來了很好的回報。首先給他們培訓(xùn),培訓(xùn)完了。還要對他們進行理論考試,對考試成績好的,給相應(yīng)的獎勵。考試通過后,接下來就是指導(dǎo)他們實踐,直到他們完完全全地掌握。后來他們管這種培訓(xùn)方式為,不但給病人開藥方,還給病人煎藥,直到病人痊愈全服務(wù)鏈式的培訓(xùn)。

CIO時代網(wǎng):信息化建設(shè)必然離不開軟件選型,在選型過程中遇到過哪些問題,有哪些獨到的經(jīng)驗與大家分享呢?

黃起豹:選型是CIO們必須面對的一個問題,CIO們每天面對的要么是選用專業(yè)公司的解決方案,要么就是自己組織團隊研發(fā)。我認為在選型上可以分為三種情況:

(1)通用型產(chǎn)品的選擇。也就是說這些軟件拿過來就可以直接用,通用型產(chǎn)品的特點是市場上會有很多的提供商,很容易獲取,在這種情況下選型,我會考慮他的價格是不是有優(yōu)勢,售后服務(wù)如何。售后服務(wù)是很重要的一部分,采用別人的軟件就是要用別人的思想來給公司做事情,若選擇的供應(yīng)商售后服務(wù)不好的話,遠比你購買這個軟件所花費的經(jīng)歷要大的多。還有就是供應(yīng)商的品牌的問題,這也是一個很重要的問題,如果選擇的是一家品牌很小企業(yè),可能當時它會承諾很多看起來很有誘惑售后服務(wù),但是也有可能這家公司沒過一段時間就消失不見,這對一般的公司可能沒什么,但是對一家業(yè)務(wù)成熟的公司來說,那影響可就大了。所以對于長期發(fā)展的大制造企業(yè)在選擇供應(yīng)商時,必須要考慮到這個方面。

(2)非通用產(chǎn)品。非通用產(chǎn)品的話,主要是從公司的內(nèi)部要求去考慮,比如公司發(fā)展到一定的階段,必須得上這套系統(tǒng),那樣的話就沒有多大的溢價能力,并且所能提供服務(wù)商也就那么一兩家,所以只能從中選擇一家進行合作。

(3)是否涉及到二次開發(fā)的問題。一般情況下,大量采購過來的軟件都是需要二次開發(fā)的,那么這個時候,就需要評估現(xiàn)有團隊有沒有相應(yīng)的二次開發(fā)的能力,如果沒有的話,盡量不要選擇這樣類型的軟件產(chǎn)品。

CIO時代網(wǎng):有一種觀點認為制造業(yè)信息化就是“引進幾套先進的管理軟件、搞企業(yè)網(wǎng)絡(luò)、搞生產(chǎn)自動化”,您是怎么看待這個問題的?

黃起豹:這種說法是有一定的道理,但是他又是比較片面的說法,“引進幾套先進的管理軟件、搞企業(yè)網(wǎng)絡(luò)、搞生產(chǎn)自動化”這些只是信息化建設(shè)的一部分,并不能涵蓋整個信息化的內(nèi)容,但是這些是信息化的基礎(chǔ)。如果從辨證思路來看的話,那就是只見樹木,沒看森林。如果從圖論的角度來看的話,我們可以把企業(yè)制造信息化看作外面的大圓,而主持人剛才提到那個,只能看作是大圓里的一個小圓,但是上面這種觀點,卻把小圓說成大圓那是非常危險的。而我們現(xiàn)在社會這種情況也比比皆事,我在這里給大家舉一個每個家長都非常關(guān)心,又與這個命題非常類似的例子。比如:一個小孩哇哇來到人間(好比是主持人剛才提到的系統(tǒng)),到他長大成人,并且能給社會/個人創(chuàng)造價值,這中間還有很多工作要做。如果家庭和社會,在這些中間環(huán)節(jié)中不去做很多工作的話,那這個小孩可能不但達到大家預(yù)期,還有可能給社會帶來很大危害,反之,如果家庭和社會各方面工作都得非常到位,那他也會給組織與社會帶一個非常好的回報。所以說,你剛才提到的那些系統(tǒng)是公司信息化基礎(chǔ),如果要這些系統(tǒng)給公司帶來效果,這中間還要CIO們做大量的工作才行。

CIO時代網(wǎng):制造業(yè)信息化過程,是一個長期的復(fù)雜過程,決不能急功近利,要有長遠打算,特別是要有長遠規(guī)劃。在您所在的企業(yè)IT規(guī)劃是如何進行的?

黃起豹:首先我們有一個IT的長期規(guī)劃,并且每年都會在長期規(guī)劃的基礎(chǔ)上做滾動規(guī)劃。而在做這個規(guī)劃之前,我們會去綜合各方面的信息并結(jié)合實際情況進行規(guī)劃。第一方面的信息是公司戰(zhàn)略方面的,因為公司戰(zhàn)略中有企業(yè)的使命,希望達到的目標以及企業(yè)所擁有的優(yōu)勢、劣勢、機會、威脅、供應(yīng)商的特點及可能的趨勢、新進入者的情況、客戶的特點和新形式下可能發(fā)生的變化,替代品出現(xiàn)的可能性,競爭者可能采取的動作和信息化方面的情況,以及現(xiàn)公司所處的發(fā)展階段和行業(yè)特點等方面的信息。第二個是業(yè)務(wù)方面信息,這個相對簡單,主要是看一下來年的銷售計劃是怎么樣的,公司的信息規(guī)劃是要隨著業(yè)務(wù)的變化做相應(yīng)的調(diào)整,如果業(yè)務(wù)擴大,相應(yīng)的IT信息服務(wù)也要擴大,反之,就要進行相應(yīng)的壓縮,最終的目地是要保證信息化和業(yè)務(wù)的發(fā)展相匹配。第三個方面是信息技術(shù)本身,很多新的技術(shù)可以優(yōu)化原來的一些不足,若CIO在做規(guī)劃的時,沒有把這些因素考慮進去的話,那么信息化很難為公司帶來信息所具有的更高的效率。第四個方面合規(guī)性內(nèi)容,例如上市公司會涉及到信息公開,那么上市公司在做信息規(guī)劃時就要把這些內(nèi)容考慮進去,要在規(guī)劃中就按照國際標準,如《薩班斯法》相關(guān)規(guī)定來進行。上面內(nèi)容了解清楚后,IT部門就可以進行規(guī)劃,來年到底需要采購多少軟件與硬件,會需要多大的數(shù)據(jù)庫支持,它的架構(gòu)與及基礎(chǔ)設(shè)施如何也就出來了。

CIO時代網(wǎng):有人說:IT預(yù)算分配比例是業(yè)務(wù)部門說了算,畢竟業(yè)務(wù)部門最清楚自己的IT需求。但也有人說:IT預(yù)算分配是IT上的事,應(yīng)由IT部門來決定。那么,IT預(yù)算分配比例究竟是誰說了才算呢?您是怎么看待這個問題的?

黃起豹:無論是IT部門還是業(yè)務(wù)部門中任何一個部門去做都是有問題的。因為業(yè)務(wù)部門的特點是對業(yè)務(wù)特別的熟悉,并且采購或者開發(fā)出來的產(chǎn)品最終也是他們來使用,而信息部門的特點,是比較喜歡追求技術(shù)的先進性,但是先進的不一定是實用的,如果信息部門花很大的價錢購買或研發(fā)了一個軟件,但是并沒有給業(yè)務(wù)部門的工作帶來實實在在的便利,這樣的話,信息部門所做決策就是失敗的。反之,完全由業(yè)務(wù)部門來決策的話,會出現(xiàn)的一種情況是,業(yè)務(wù)部門把全部的功能寫到采購清單中去,這樣可能會造成資金的浪費。因為并不是業(yè)務(wù)部門的每一項需求都必須要出去采購,有些業(yè)務(wù)需求可能在IT部門之前就有這方面的解決方案或者IT部門自己花很少的工作就可能研發(fā)出來,根本就不需要單獨去購買。另外一種情況是,業(yè)務(wù)部門在提需求時,只會把當前遇到的需求現(xiàn)狀說出來,不可能會知道在信息化之上,即滿足現(xiàn)有需求,還需要擴展的內(nèi)容。但是好的CIO們是或多或少會有一些這方面的經(jīng)驗的。要是完全由業(yè)務(wù)部門決策,那像CIO們的這些好的思想就沒法在項目中得到體現(xiàn)。所以說,這兩個部門無論哪個部門單獨的去做決策,都會產(chǎn)生很多的問題。因此,建議公司因該有一個決策委員會,當中有業(yè)務(wù)部負責人,信息部負責人還有財務(wù)部負責人等,任何一個項目,由決策會一起表決決定,這樣就會比較科學(xué),合理。

CIO時代網(wǎng):有一個誤區(qū)就是認為企業(yè)信息化只要有投入就會有產(chǎn)出,而不重視投入產(chǎn)出比,但是關(guān)注IT投資的投入產(chǎn)出比成為了CIO最重要的工作之一,您一般是如何做投入產(chǎn)出的分析呢?

黃起豹:以往在一些政府部門的CIO們眼中,會有這樣一種觀點,認為他們的系統(tǒng)提供的服務(wù)都是公益的,所以不需要或者也無法算出它的回報率。但是,這一,二年,他們對這個方面問題的認識,也發(fā)現(xiàn)了非常大的變化,他們開始覺得,他們的產(chǎn)品一樣要看它的回報率,與企業(yè)所不同的是,他們的產(chǎn)品不是已財務(wù)指標作為唯一的衡量標準。

而對于民企來說,那它的每一產(chǎn)品都一定要考慮投入產(chǎn)出比。如果在上系統(tǒng)之前沒有估算好的話,哪它的投資的結(jié)果就會很麻煩。下面我講一下,我們通常在這個方面的做法,首先,我們在上任何一個系統(tǒng)之前,都會按照公司信息部所擁有的規(guī)范列一個表,表中大致包涵了與這個系統(tǒng)所有有關(guān)的使用者和創(chuàng)建者,然后,分別給他們分配權(quán)值,最后,把這些權(quán)值加總求和,在后,用這個總數(shù)和沒有上系統(tǒng)所需要花費的費用總數(shù)進行比較,如果結(jié)果大于期望的倍數(shù)的話,我們就是進行投入,反之,可能就不會投資或者推遲投資的時間。

CIO時代網(wǎng):信息化項目實施會帶來各個方面的風險,比如業(yè)務(wù)流程重組的風險、技術(shù)風險等等,那么您作為CIO是如何讓有效的規(guī)避這些風險呢?

黃起豹:風險是指它具有不確定性因素,而信息化產(chǎn)品是一個智力產(chǎn)品,所以它在整個生命周期中處處都會有不確定性,那么如何把這些不確定性變成確定性,就是考驗CIO智慧的時候。下面我分享一下,我自己這么多年處理風險的經(jīng)驗:

如果我拿到一個新項目,首先,我會把項目所有的邊界確定清楚,比如這個是給哪些人服務(wù),提供什么樣的服務(wù)等具體的內(nèi)容全部都列出來,并且要經(jīng)過相關(guān)使用者的簽字確認。

其次是在以上的基礎(chǔ)上把質(zhì)量目標全部找出來,這包括顯性質(zhì)量和隱性質(zhì)量,并要把這些質(zhì)量內(nèi)容在項目實施之前,跟項目相關(guān)方進行一項一項地確認,并要把這些內(nèi)容寫到正規(guī)的文檔里,以使項目結(jié)束,雙方或多方進行驗收。

再次就是建立一個通透的溝通渠道。使大家有任何問題都能及時溝通,而不能等項目實

施完之后再去溝通,要一邊實施一邊溝通,這樣不但能啟到培訓(xùn)的作用,而且還能啟到收集需求的作用。也加深了項目相關(guān)人員的參與程度。

最后就是時間安排。要給項目做一個確實可行的項目時間計劃,里面要包括里程碑式的時間結(jié)節(jié),并且要在這些結(jié)節(jié)中,清楚地描繪出需要完成哪些功能,需要提交哪些文檔以及如果延期他的補救措施是什么等內(nèi)容。

上面說的是如何盡量的減少風險,但是有些風險是無法避免的,像這種情況,我個人的建議是,在風險出現(xiàn)之前,先通過科學(xué)的方法,盡可能多地找出可能存在的風險,然后針對每一種風險付上權(quán)值,最后求出這種風險出現(xiàn)的可能性。而對每一種可能性,找出一到二種應(yīng)急預(yù)案,這樣,即使真出現(xiàn)了風險,我們也能從容地應(yīng)對,不至于給公司帶來很大的損失。

CIO時代網(wǎng):作為CIO,您在跟其他業(yè)務(wù)部門或者領(lǐng)導(dǎo)溝通時有沒有獨到的經(jīng)驗可以與大家分享?

黃起豹:其實溝通是一個非常普遍的問題,不只是CIO面對這個問題。應(yīng)該說:每一個都會面臨這個問題,那又為什么會出現(xiàn)有些人溝通的好,有些人溝通的就不好。我個人覺得:原因有,由于每一個個體所處的背景不同、角色不同、所期望的目標也是不同的,在這樣復(fù)雜的系統(tǒng)下,那就難免會遇到溝通不暢的問題。但是也不是說,沒有方法來規(guī)避。我談一下,我本人在這方面的經(jīng)驗,通常我如果要去與領(lǐng)導(dǎo)溝通一件事時,首先我會深入了解將要溝通主題,不僅要了解主題表象意義,而且還會去深入了解隱含在里面的內(nèi)容,比如:CIO們經(jīng)常要向領(lǐng)導(dǎo)申請IT項目經(jīng)費,如果碰到不會溝通的CIO,他的溝通狀態(tài)是這樣的。老板我們將要上一套,費用是XX,老板請簽字。而老板接到這個信息,第一反映是,又來要錢,那老板確定會找很多其它方面的理由來搪塞。而換成一個會溝通的,同樣是這件事,他在與老板溝通之前,會去做大量的工作,收集大量的數(shù)據(jù)來證明投資這個產(chǎn)品的必要性和所會帶來的價值。然后在找適合的溝通渠道,像老板匯報。而這種溝通結(jié)果跟前一種,那肯定是天壤之別。

CIO時代網(wǎng):制造業(yè)信息化是國民經(jīng)濟和社會信息化的核心部分,您認為制造業(yè)信息化的關(guān)鍵是什么呢?那么您認為在中國如何才能搞好制造業(yè)的信息化建設(shè)?

黃起豹:我認為當前制造業(yè)信息化的關(guān)鍵主要表現(xiàn)在三個方面:(1)生產(chǎn)自動化(2)管理現(xiàn)代化,(3)協(xié)作便利化,這些是制造業(yè)信息化比較關(guān)鍵的幾點。

搞好制造業(yè)的信息化會涉及到方方面面,即會涉及到宏觀方面的問題,也會涉及到微觀方面的問題。下面我將就與制造業(yè)信息化有聯(lián)系的各方分別來談,(1)政府方面,應(yīng)該制定一種健康向上的市場規(guī)則和好政策,讓制造業(yè)在合規(guī)的范圍內(nèi)受益,并且能提供在一個平等的平臺讓他們來競爭,這是對于國內(nèi)市場的制造來說。而對于出口型的,應(yīng)該降底稅率,支持創(chuàng)新,提高它們的國際競爭能力等等方面。(2)是媒體和行業(yè)機構(gòu)方面,應(yīng)該做好宣傳與引導(dǎo)作用,多宣傳一些優(yōu)秀的解決方案,并利用平臺的優(yōu)勢,多組織專家為信息化方面有困難的企業(yè),進行診斷與把脈,幫助他們在信息化路上少走一些彎路。(3)最后就是企業(yè)本身,企業(yè)要有在信息化時代的大環(huán)境下有變革的思想,只有企業(yè)領(lǐng)導(dǎo)者愿意去改變,不怕來至于之前的各種不好方面的阻力,再加上有一個好的CIO,一起并肩做戰(zhàn),企業(yè)信息化一定會取得非常好的成績。同時如果上面各方都把自己的定位做好,我相信整個中國的制造業(yè)信息化

水平一天會比一天好。

CIO時代網(wǎng):您認為CIO應(yīng)該具備怎樣的知識結(jié)構(gòu)和核心能力?在云計算鋪天蓋地的今天,會有人說,“云計算來了,CIO得走了”,您是怎么看待這個問題的呢?

黃起豹:CIO應(yīng)具備的知識結(jié)構(gòu)有:信息化知識、管理知識、業(yè)務(wù)知識等知識。而能力方面我覺得應(yīng)該至少有這些方面:溝通能力、沖突處理能力、學(xué)習能力、領(lǐng)導(dǎo)能力、創(chuàng)新能力、宏觀思考問題的能力、團隊協(xié)作等方面的能力。

云計算是一種變革,既然是變革就會有人員的流動,這是必然的,并且對行業(yè)也會進行一定洗滌,但是從目前CIO的狀況來看,影響較大的是小企業(yè)的CIO,本身小企業(yè)就是靠壓縮成本來生存,那降低成本就是他們追求一種重要的目標。而如果云計算來了,正好可以給公司在信息化建設(shè)方面節(jié)省公司成本。因為公司信息化工作只要花很少的錢,由專業(yè)的云平臺來管理,這樣的話,公司可能在某種程度上來看,就不需要CIO這個角色了。但是中大型企業(yè),云計算來了以后,CIO不但不會走,可能還會帶來了另一種機會。我先說一下中型企業(yè),中型企業(yè)的特點是前面有大型企業(yè)的壓制,下面有小企業(yè)的追趕,所以他需要新的技術(shù),新的思路來更好的發(fā)展企業(yè),以縮短他與大型企業(yè)的距離。新的技術(shù)肯定是CIO掌握的最多,而實際情況是:目前很多CIO是每天都在解決大量的日常問題,而沒有精力去思考和學(xué)習很多新技術(shù)與管理,而云計算來了之后,CIO就可以騰出大量的時間,去汲取更多的專業(yè)知識,以至來輔助公司向大企業(yè)邁進。這樣一來,CIO在公司的定位就會越來越高。這是對于中型企業(yè)。而對于大型企業(yè)的說,云計算來了以后,CIO可以做的事情就更多了,一般大公司的CIO都是雙重人才,既懂技術(shù)又懂業(yè)務(wù)和管理,云計算的到來,給了他們?nèi)ニ伎紤?zhàn)略以及為戰(zhàn)略實踐提供大好機會。

CIO時代網(wǎng):非常感謝黃先生在百忙之中,接受我們的采訪,希望在未來的廣闊空間中,CIO的路能夠越走越寬,給企業(yè)信息化插上騰飛的翅膀。

第二、電力行業(yè)信息化建設(shè)規(guī)劃的缺失和系統(tǒng)的分裂的局面,也迫切需要從根本上對于電力行業(yè)的信息化建設(shè)進行再思考和重新整合。在過去幾十年內(nèi),信息技術(shù)應(yīng)用在電力工業(yè)各個專業(yè)領(lǐng)域,但各領(lǐng)域的應(yīng)用是分散和孤立的,并沒有形成大系統(tǒng)的概念。因此在下一階段,電力信息化的重點之一就是信息技術(shù)的集成和綜合利用。首先,為了保障電力行業(yè)在信息、網(wǎng)絡(luò)方面的可靠性與安全性,應(yīng)該對電力系統(tǒng)光纖通信網(wǎng)、數(shù)據(jù)網(wǎng)、信息網(wǎng)進行整合與統(tǒng)一。其次是管理信息系統(tǒng)等信息化應(yīng)用系統(tǒng)內(nèi)部的整合。經(jīng)過多年來持續(xù)不斷的建設(shè),電力行業(yè)內(nèi)部各個子系統(tǒng)采用了各種不同的平臺和管理軟件,這不利于使用操作、管理維護和整體效果的發(fā)揮,因此要進行平臺整合。再就是各信息化應(yīng)用系統(tǒng)間的整合。

其二,在企業(yè)的各項管理體系,如各種會議、員工培訓(xùn)以及日常的業(yè)務(wù)管理中,引入信息化的管理體系,不僅能夠縮短管理的時間和跨度,節(jié)約管理管理成本。其三,對企業(yè)中的人、財、物、技術(shù)等基本生產(chǎn)要素采用信息系統(tǒng)進行管理,不僅可以提高企業(yè)生產(chǎn)效率、降低生產(chǎn)成本,也可以實現(xiàn)資源共享,互通有無。其

四、對企業(yè)戰(zhàn)略、決策過程、組織崗位、制度、技能、績效考核實行信息化管理,以確保在多角度、多層面上提高企業(yè)的科學(xué)管理水平。

第三篇:上市公司邁入內(nèi)控時代

上市公司邁入內(nèi)控時代

2012年,中國境內(nèi)主板上市公司將全面執(zhí)行內(nèi)控制度的要求,這是提升上市公司和非上市大中型企業(yè)管理能力與競爭力水平的重要舉措,也將成為中國企業(yè)應(yīng)對國際金融危機和復(fù)雜競爭形式的有效手段。

為進一步推動內(nèi)控工作的深入開展,使得內(nèi)控工作真正利于公司的實際管理和保障投資者的利益,公司應(yīng)當嚴格要求自身,根據(jù)財政部、證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會聯(lián)合制定的《企業(yè)內(nèi)部控制基本規(guī)范》要求,以及其配套的三大指引——應(yīng)用指引、審計指引、評價指引來建立、健全自身的內(nèi)控制度,并且推動其有效施行。

在國家監(jiān)管方面,以12月31日作為內(nèi)部控制評價報告的基準日,上市公司需在基準日后4個月內(nèi)報出企業(yè)內(nèi)部控制評價報告,以滿足合規(guī)要求。參考2011已經(jīng)實施內(nèi)控規(guī)范或者參與試點的公司內(nèi)控評價報告要求,我們可以發(fā)現(xiàn),上市公司需要將經(jīng)董事會審議通過的公司實施內(nèi)部控制工作方案報證監(jiān)局和交易所備案,并在規(guī)定時間內(nèi)分別將內(nèi)控實施進展情況報送證監(jiān)局和交易所。

什么是企業(yè)內(nèi)控評價報告,報告又應(yīng)當具備什么內(nèi)容呢?

長安風險管理律師將企業(yè)內(nèi)部控制評價報告總結(jié)為是上市公司董事會或類似權(quán)力機構(gòu),根據(jù)《企業(yè)內(nèi)部控制基本規(guī)范》,及其配套的應(yīng)用指引和評價指引,依據(jù)內(nèi)部檢查和監(jiān)督工作報告,以及相關(guān)信息,對自身內(nèi)部控制進行自我評價,對公司內(nèi)部控制自我評估報告形成決議后出具的文件。

對于公司的內(nèi)部控制來說,評價報告的作用相當于體檢報告。

內(nèi)控評價報告具體要求,早在2006年7月1日,《上海證券交易所上市公司內(nèi)部控制指引》第三十三條就已經(jīng)列明,總共有7個方面內(nèi)容。而后《深圳證券交易所上市公司內(nèi)部控制指引》也于2007年7月1日施行,內(nèi)容上精簡出4條。

針對一份合格的內(nèi)部控制評價報告,至少應(yīng)當披露董事會對內(nèi)部控制報告真實性的聲明;內(nèi)部控制評價工作的總體情況;內(nèi)部控制評價的依據(jù);內(nèi)部控制評價的范圍;內(nèi)部控制評價的程序和方法;內(nèi)部控制缺陷及其認定情況;內(nèi)部控制缺陷的整改情況及重大缺陷擬采取的整改措施和內(nèi)部控制有效性的結(jié)論等內(nèi)容。

關(guān)于內(nèi)部控制體系的法律規(guī)范都是指引性的文件,對于內(nèi)控體系的建立,監(jiān)管部門是放任自流還是強制執(zhí)行?《關(guān)于印發(fā)企業(yè)內(nèi)部控制配套指引的通知》中顯示的內(nèi)控體系推進的時間表從2012年1月1日起,包括境內(nèi)外同時上市的公司和滬深兩市主板上市的公司都要建立內(nèi)部控制體系,應(yīng)當對內(nèi)部控制的有效性進行自我評價,披露自我評價報告,同時應(yīng)當聘請會計師事

務(wù)所對財務(wù)報告內(nèi)部控制的有效性進行審計并出具審計報告。此《通知》中用了“應(yīng)當”一詞,我們可以根據(jù)法律法規(guī)的一般解釋認為是強制要求的意思。

從當前的調(diào)查結(jié)果看,已經(jīng)向上證所和深交所提出內(nèi)部控制自我評價報告的企業(yè),也只是部分地執(zhí)行了《企業(yè)內(nèi)部控制基本規(guī)范》的相關(guān)要求,與基本規(guī)范要求的標準還有差距。毫無疑問,上市公司還需要做更多的工作。

來源: 國際金融報

第四篇:工程項目建設(shè)內(nèi)控管理

工程項目建設(shè)內(nèi)控管理制度

工程管理制度1、1.1、為加強對公司投資項目工程變更的管理,確保工程變更進行必要的審核和信息流轉(zhuǎn),有效控制工程投資和工期。1.2項目工程部應(yīng)在公司批準的工作計劃前提下進行。

1.3項目工程部應(yīng)根據(jù)工作進度計劃進行分解,落實到月度計劃。1.4項目工程部應(yīng)根據(jù)公司制定的月度計劃,對施工單位上報的進度計劃進行修正,并對施工單位上報的人材機進行調(diào)整,使施工單位合理組織人員、材料、機械配比,合理組織作業(yè)面,使工程進展順利進行。

1.5項目工程部應(yīng)積極主動進行工作,充分調(diào)動工程部、監(jiān)理公司、施工單位各參見人員的主觀能動性,積極主動發(fā)現(xiàn)施工過程中的問題,制定有效的整改措施及方案,在合理的時間內(nèi)落實整改措施,并以此類推,制定今后的預(yù)防措施。現(xiàn)場監(jiān)理管理辦法

1、總則

為加強公司開發(fā)建設(shè)項目的工程監(jiān)理工作,切實發(fā)揮好監(jiān)理在工程質(zhì)量控制、投資控制、進度控制的作用,落實好監(jiān)理單位在項目合同管

/ 9

理、信息管理和施工組織協(xié)調(diào)中的工作職責,特制訂本管理辦法。

2、現(xiàn)場監(jiān)理人員管理

2.1、監(jiān)理單位按合同約定派出本公司建設(shè)項目監(jiān)理工作需要的監(jiān)理機構(gòu)、監(jiān)理人員。監(jiān)理單位進駐現(xiàn)場工作前七天應(yīng)將駐現(xiàn)場監(jiān)理組成人員的組織架構(gòu)、資歷、工作職責、擬為本工程服務(wù)的時間報給公司工程部,公司工程部于七天內(nèi)給予書面答復(fù)。

2.2、根據(jù)工程形象進度,現(xiàn)場監(jiān)理需要調(diào)整工作人員時,應(yīng)于七天前將調(diào)換、增加、減少的人選報給公司工程部,新進的工作人員其資歷必須經(jīng)過公司工程部審批。

2.3、監(jiān)理單位如需更換現(xiàn)場總監(jiān)理工程師,必須提前七天將替補人員的資歷報給公司工程部審批。未經(jīng)審批的人員不得進入監(jiān)理現(xiàn)場工作。

2.4、所有現(xiàn)場監(jiān)理工作人員必須每天到工程項目部上班,不得兼任其它項目職務(wù)。總監(jiān)理工程師離崗時間在兩天內(nèi)的,應(yīng)向公司工程部經(jīng)理請假;離崗兩天以上的,應(yīng)向公司分管副總經(jīng)理書面請假。

2.5、公司工程部可對現(xiàn)場監(jiān)理未盡職和不稱職的工作人員提出警告,直至要求監(jiān)理單位撤換。

3、現(xiàn)場監(jiān)理作息時間與值班

3.1、監(jiān)理單位的工作日作息時間應(yīng)與公司工程部保持一致,在工作日工作時間以外應(yīng)根據(jù)工程施工情況安排工作。晚間必須有一人值班。3.2、根據(jù)實際情況,可以要求現(xiàn)場監(jiān)理同公司工程部工作人員一起實行上下班打卡制度,以便更有效地掌握和控制監(jiān)理人員出勤情況。

/ 9

3.3、公司免費向監(jiān)理單位駐現(xiàn)場人員提供辦公用房、辦公家具。工作餐由公司統(tǒng)一安排,費用由監(jiān)理人員自理,不得擅自在施工單位搭伙。

4、監(jiān)理內(nèi)業(yè)管理要求

4.1、現(xiàn)場監(jiān)理應(yīng)準備監(jiān)理日志,對日常工作作詳細記錄;監(jiān)理單位辦公場所應(yīng)保持整潔,監(jiān)理規(guī)劃和實施細則要點、工程形象進度、現(xiàn)場平面布臵等資料要求上墻。監(jiān)理單位應(yīng)配備一套工程規(guī)范。

4.2、現(xiàn)場監(jiān)理應(yīng)協(xié)助做好施工圖審核,重點是施工圖技術(shù)經(jīng)濟不合理部分及錯、漏、碰、缺,以及項目的概(預(yù))算,參與圖紙會審,做好記錄,寫出會審紀要。

4.3、現(xiàn)場監(jiān)理應(yīng)協(xié)助做好開工前準備,審批開工報告,復(fù)核灰線,經(jīng)公司工程部同意下達開工令。

4.4、現(xiàn)場監(jiān)理應(yīng)審批施工組織設(shè)計,審查和檢查施工技術(shù)措施、質(zhì)量保證體系及安全防護措施,提出合理的整改意見和建議。

4.5、現(xiàn)場監(jiān)理應(yīng)對施工變更進行如實簽證,參與工程變更的簽證,復(fù)核施工變更。監(jiān)理單位的審核、審批期限原則上不得超過七天。超過七天而無合理理由的,施工單位可以向公司工程部反映。

4.6、現(xiàn)場監(jiān)理應(yīng)協(xié)助召開工程協(xié)調(diào)會議及綜合管線協(xié)調(diào)會議,主持召開工程協(xié)調(diào)會議并做好會議紀要,調(diào)解有關(guān)工程建設(shè)各種合同爭議。

4.7、現(xiàn)場監(jiān)理應(yīng)協(xié)助對工程投資進行控制,對施工單位提出的付款申請進行審核。

4.8、配合做好審核工程結(jié)算,協(xié)助做好審核工程造價,努力降低工

/ 9

程費用。

4.9、及時提供完整的監(jiān)理資料,定期編制監(jiān)理簡報。4.10、完成監(jiān)理規(guī)范要求的其他工作內(nèi)容。

5、現(xiàn)場監(jiān)理對施工單位的管理

5.1、現(xiàn)場監(jiān)理應(yīng)審核施工進度計劃,并在實施過程中檢查、督促施工單位嚴格按合同和施工規(guī)范、工程技術(shù)標準、設(shè)計要求進行施工,監(jiān)督施工單位現(xiàn)場施工管理。

5.2、監(jiān)理單位要組織專業(yè)監(jiān)理工程師對施工單位的施工組織設(shè)計(技術(shù)方案)進行審查,并將意見書面報給公司工程部。

5.3、現(xiàn)場監(jiān)理應(yīng)審查施工單位采購清單,檢查工程使用材料、構(gòu)件、設(shè)備的品牌、規(guī)格、質(zhì)量與數(shù)量。督促施工單位編制材料的供需計劃。

5.4、檢查督促施工單位貫徹執(zhí)行國家相關(guān)安全法律、法規(guī)和杭州市有關(guān)部門對建筑安全的相關(guān)文件,檢查安全防護措施和文明施工,檢查督促工程進度、施工質(zhì)量。

5.5、監(jiān)理單位應(yīng)參加公司工程竣工驗收,并督促施工單位的做好工程整改工作。按照竣工驗收及備案工作的有關(guān)規(guī)定,完成《杭州市建設(shè)工程竣工檔案自檢表》、《杭州市建設(shè)工程竣工檔案專項驗收申報表》、《監(jiān)理單位質(zhì)量(檢查)評估報告》。

6、考核與處罰

6.1、對現(xiàn)場監(jiān)理的考核由公司工程部組織進行,每季度安排一次。

6.2、對現(xiàn)場監(jiān)理的考核內(nèi)容包括監(jiān)理內(nèi)業(yè)、資料檢查,施工工序監(jiān)理工作檢查,聽取公司工程管理人員對監(jiān)理單位工作和具體人員的評

/ 9

價,聽取主要施工單位對監(jiān)理單位工作和具體人員評價。

6.3、對考核通報中要求監(jiān)理單位整改的事項,監(jiān)理單位必須在限期內(nèi)整改完畢,并通知公司工程部組織復(fù)查。整改事項完成以前,最近一期監(jiān)理服務(wù)費用可延期支付。

6.4、監(jiān)理單位在責任期內(nèi),應(yīng)當履行約定的義務(wù)。如果因監(jiān)理單位和監(jiān)理人員而造成公司的經(jīng)濟損失,應(yīng)當予以賠償,總金額不超過監(jiān)理報酬總額。

6.5、如發(fā)現(xiàn)監(jiān)理人員不按監(jiān)理合同履行監(jiān)理職責,或與施工單位串通給本公司或工程造成損失的,公司將要求監(jiān)理單位更換監(jiān)理人員,直至終止合同并要求監(jiān)理單位承擔相應(yīng)的賠償責任或連帶賠償責任。工程項目竣工檔案管理制度

1、總則

為對工程檔案資料進行有效的管理和利用,督促監(jiān)理單位、施工單位完整、準確、及時地完成項目資料,確保項目完工后及時完成竣工資料并移交給區(qū)城建檔案館,根據(jù)《城市建設(shè)檔案管理辦法》及城建檔案館的相關(guān)要求,特制定本管理制度。

2、檔案分類

工程項目建設(shè)檔案是公司在項目開發(fā)整個過程中形成的各類項目工程技術(shù)類檔案資料。主要由工程準備階段文件,監(jiān)理文件,施工文件,聲像、縮微、電子檔案,地下管線竣工測量成果,財務(wù)文件等六個部分組成,具體詳見《建筑安裝工程竣工檔案移交書》(以下簡稱《檔案移交書》)。

/ 9

3、職責分工

3.1、各部門要按照統(tǒng)一要求、專人收集、專人保管的原則,做好建設(shè)項目檔案積累的日常工作,確保檔案資料的完整、準確、安全和有效利用。

3.2、辦公室為公司工程項目檔案管理的主管部門,負責在項目竣工驗收后三個月內(nèi)向區(qū)城建檔案館移交項目檔案資料,并申領(lǐng)《建設(shè)工程竣工檔案認可意見書》。

3.3、前期部、總師辦負責工程準備階段文件的收集、整理 工作,項目檔案資料工作與項目建設(shè)進程同步。項目進行立項 時,即應(yīng)開始進行文件材料的積累、整理、審查工作,加強對工 程準備階段產(chǎn)生的文件材料的管理。

3.4、工程部負責監(jiān)理文件,施工文件,聲像、縮微、電子檔案,地下管線竣工測量成果的收集、審核等具體實施工作。工程部在工程例會時檢查落實建設(shè)項目的實施過程中,要同時檢查落實檔案工作的情況,并在工程竣工驗收時,同時驗收工程檔案情況。

3.5、在項目建設(shè)過程中,前期部、總師辦、工程部應(yīng)在各自的職責范圍內(nèi)負責項目建設(shè)資料的形成、積累、整理工作,及時將辦理完畢或有關(guān)人員保存的文件資料收集齊全,將原件交給辦公室統(tǒng)一保管。

3.6、在項目建設(shè)過程中,各部門根據(jù)實際工作需要均可到辦公室借用、復(fù)印。

4、檔案要求

4.1、歸檔的工程文件應(yīng)為原件,內(nèi)容必須真實、準確,與工程實際

/ 9

相符合。

4.2、檔案資料上所反映的圖形尺寸、材質(zhì)、規(guī)格等內(nèi)容須做到圖物相符,做到字跡清楚、圖表整潔、規(guī)格統(tǒng)一、簽字蓋章手續(xù)完備。

4.3、應(yīng)采用耐久性強的書寫材料,如碳素墨水、藍黑墨水,不得使用易褪色的書寫材料(如紅色墨水、純藍墨水、圓珠筆、鉛筆)書寫、繪制。凡由易褪色書寫材料(如復(fù)寫紙、熱敏紙等)形成的文件資料應(yīng)附復(fù)印件。

4.4、照片(含底片)和聲像材料,要求圖像清晰,聲音清楚,解說與畫面同步,照片與聲像材料的文字說明準確精煉;電子檔案(軟盤、光盤等)應(yīng)符合國家有關(guān)標準。

4.5、在整理檔案資料時,遇下列情況,應(yīng)要求責任部門進行重新制作:

4.5.1、一張圖紙上改動部分超過圖面35%或改繪后致使圖面混亂、模糊、分辨不清的圖(表);

4.5.2、使用破損、受過光照圖面不清、紙張有明顯油漬、水漬和有霉變的圖紙或資料;

4.5.3、結(jié)構(gòu)、工藝、平面位臵(或局部)改變,無法在原圖上通過修改來反映的;

4.5.4管線平面位臵變動(長度超過總長的五分之一,線位平移超過2m),構(gòu)造形式改變,斷面尺寸變化,豎向位臵變動等;

4.5.5未按施工圖位臵施工的管線工程。

4.6、所有竣工圖均應(yīng)加蓋竣工圖章。竣工圖章尺寸為50mm×80mm,7 / 9

內(nèi)容包括:“竣工圖”字樣、施工單位、編制人、審核人、技術(shù)負責人、編制日期、監(jiān)理單位、現(xiàn)場監(jiān)理、總監(jiān)。簽字要求填寫清楚、齊全,不得代簽。

4.7、設(shè)計、勘察、監(jiān)理等單位的竣工資料須兩套;施工單位的竣工資料要求施工技術(shù)文件二套、竣工圖整套四套、建筑竣工圖二套,施工技術(shù)文件、竣工圖一套原件經(jīng)辦公室匯總后移交區(qū)城建檔案館,另一套由公司檔案室存檔。竣工圖二套用于物業(yè)管理和消防驗收,建筑竣工圖二套分別用于規(guī)劃驗收和房產(chǎn)測繪。

5、檔案的組卷和移交

5.1、組卷要遵循項目工程文件的自然形成規(guī)律,保持卷內(nèi)文件的有機聯(lián)系,便于檔案的保管和利用。

5.2、一個建設(shè)工程由多個單位工程組成時,工程文件應(yīng)按單位工程組卷。具體順序參照《檔案移交書》。

5.3、竣工圖按專業(yè)排列,同專業(yè)圖紙按圖號順序排列;文字材料在前、圖紙在后。

5.4、工程文字材料裝訂應(yīng)采用線繩三孔左側(cè)裝訂法,要整齊、牢固,便于保管和利用;圖紙不裝訂,統(tǒng)一折疊成A4幅面(297mm×2lOmm),圖標欄露在外面。

5.5、案卷必須填寫卷內(nèi)目錄、備考表和封面、脊背;編寫案卷頁號,頁號位臵是文件資料正面右下角,雙面書寫文件資料背面為左下角。

5.6、項目檔案資料統(tǒng)一采用卷盒。外表尺寸為3lOmm×220mm。厚度分別為20、30、40、50mm。

/ 9

5.7、勘察、設(shè)計單位應(yīng)當在任務(wù)完成時,施工、監(jiān)理單位應(yīng)當在工程竣工驗收前,將各自形成的有關(guān)工程檔案參照《檔案移交書》順序整理立卷后,經(jīng)公司工程部、監(jiān)理單位根據(jù)區(qū)城建檔案館的要求對檔案文件的完整、準確進行審查,審查合格后向公司辦公室移交。

5.8、各建設(shè)項目的各分包工程竣工資料由分包單位向總包施工單位提供,統(tǒng)一由總包單位匯總、整理,工程部負責具體協(xié)調(diào)。

5.9、在項目完成綜合驗收后由辦公室向區(qū)城建檔案館移交一套符合規(guī)定的工程檔案,辦理移交手續(xù),填寫移交目錄,雙方簽字、蓋章后交接,并領(lǐng)取《建設(shè)工程竣工檔案認可意見書》。

5.10、移交項目檔案時如實填寫《檔案移交書》,《檔案移交書》等相關(guān)文件資料同時也均應(yīng)歸入公司文書檔案。

/ 9

第五篇:淺談上市公司內(nèi)控制度8

淺談上市公司內(nèi)控制度 摘要]:

[關(guān)鍵詞]:內(nèi)部控制?內(nèi)部控制

新加坡中航油事件,對國內(nèi)外相關(guān)各方都產(chǎn)生了巨大沖擊和深遠的影響,對我國海外上市公司產(chǎn)生的負面影響,嚴重損害了海外上市公司尤其是大型國有企業(yè)的形象。震驚之余,人們不免要猜測并思考事件背后的原因,聯(lián)系到近年來發(fā)生在國際國內(nèi)企業(yè)的一些事件,如國內(nèi)“銀廣廈”的轟然倒塌,紅極一時藍田和東方電子的衰敗、成都紅光的造假舞弊案等。這些企業(yè)是昔日在股市呼風喚雨的“績優(yōu)”龍頭,隨著證券市場的完善、法律法規(guī)查處力度的加大,人為編織的美麗光環(huán)漸漸褪去,廬山真面目逐漸顯露。而在國外,從安然開始,假賬丑聞象多米諾骨牌一樣擊倒了世通、安達信等世界著名的企業(yè)。這些事件不禁讓我們深思:是什么原因使這些明星企業(yè)陷入絕境?企業(yè)要改變現(xiàn)狀最緊迫的事情是什么?

通過對類似案例的分析,我們得出的結(jié)論是,這些事件的發(fā)生與企業(yè)的內(nèi)控機制、內(nèi)控管理有著密切的聯(lián)系。正是內(nèi)控各個方面問題的堆積最終導(dǎo)致了這些企業(yè)走向衰敗。筆者就內(nèi)控制度談?wù)勛约旱目捶ā?nèi)部控制是適應(yīng)國內(nèi)外證券機構(gòu)監(jiān)管要求,企業(yè)董事會、管理層及其全體員工實施的,為經(jīng)營活動的效率和效果、財務(wù)報告的可靠性、相關(guān)法律法規(guī)的遵循性等目標的實現(xiàn)而提供合理保證的過程。內(nèi)部控制主要由控制環(huán)境、風險評價、控制活動、信息溝通及監(jiān)督等五個方面構(gòu)成:(1)控制環(huán)境是指對建立、加強或削弱特定政策和程序效率發(fā)生影響的各種因素,包括管理者的經(jīng)營風格和經(jīng)營理念,公司法人治理結(jié)構(gòu)、公司集權(quán)與分權(quán)的程度,管理控制方法及人力資源政策等。(2)風險評價是提高企業(yè)內(nèi)部控制效率和效果的關(guān)鍵,包括分析和辨認實現(xiàn)確定目標可能發(fā)生的風險。(3)控制活動是指管理者為了確保管理指令能夠得以有效實施而制定并實行的各種政策及程序,旨在幫助企業(yè)保證其已針對組織目標所涉及的風險采取了必要的防范或減少損失的措施。(4)信息溝通是指信息在企業(yè)內(nèi)部自上而下、自下而上、橫向之間以及企業(yè)與外界進行有效的傳遞,全面、及時和準確的信息有助于公司管理層做出正確、快捷的經(jīng)營決策,有助于提高內(nèi)部控制的效率和效果。(5)監(jiān)督是一種隨著時間的推移及內(nèi)外部因素的變動而不斷地對企業(yè)的內(nèi)部控制框架進行檢查評價的過程。

一、我國有關(guān)法律、法規(guī)關(guān)于內(nèi)部控制的要求

內(nèi)部控制制度是企業(yè)各管理有關(guān)人員,在處理生產(chǎn)經(jīng)營業(yè)務(wù)活動時相互聯(lián)系、相互的管理體系,保證企業(yè)正常經(jīng)營所采取的管理措施。內(nèi)部控制制度的重點是嚴格,設(shè)計合理有效的組織機構(gòu)和職務(wù)分工,實施崗位責任分明的標準化業(yè)務(wù)處理程序。《內(nèi)部會計控制規(guī)范》

完整的內(nèi)部控制體系和完善的內(nèi)部控制制度,是約束、規(guī)范企業(yè)管理行為的準則,是減少風險的重大措施。實施內(nèi)部控制可以及時發(fā)現(xiàn)和糾正各種舞弊及不法行為,有利于保證資產(chǎn)安全、完整,保證經(jīng)營成果與財務(wù)狀況真實、可靠。其必要性表現(xiàn)為: 一是建立現(xiàn)代企業(yè)制度,完善法人治理結(jié)構(gòu),實現(xiàn)經(jīng)營機制的轉(zhuǎn)換,加強企業(yè)管理,提高企業(yè)經(jīng)營業(yè)績,改善企業(yè)財務(wù)狀況。二是貫徹國家《會計法》、財政部頒布的《內(nèi)部會計控制規(guī)范》,適應(yīng)美國《薩班斯法案》等法律法規(guī)對上市公司的要求,滿足國內(nèi)外資本市場監(jiān)管需求,提高會計信息質(zhì)量。三是積極參與競爭、努力降低風險。隨著市場競爭日趨激烈和信息技術(shù)高度發(fā)展,以及全球經(jīng)濟一體化的進程加速,上市公司所面臨的風險也逐漸加大。建立健全有效的內(nèi)部控制制度,是防范風險、提高經(jīng)營管理效率和效果的重要措施。四是建立統(tǒng)一規(guī)范的內(nèi)部控制制度,使上市公司各項規(guī)章制度成為系統(tǒng)性、可操作性和包容性很強的內(nèi)部管理制度,更為有效地體現(xiàn)股份公司管理理念。

四、企業(yè)內(nèi)部控制應(yīng)遵循的基本原則

1、合規(guī)性原則 合規(guī)性是指企業(yè)內(nèi)部控制制度必須符合國家的法律、法規(guī)和政策;符合股份公司上市地證券監(jiān)管機構(gòu)有關(guān)上市公司的法律、法規(guī)和要求。

2、全面性與系統(tǒng)性原則 內(nèi)部控制制度涉及公司經(jīng)營活動的各個方面,其內(nèi)部監(jiān)督和控制貫穿于經(jīng)營管理活動的全過程和并涉及全體員工。股份公司的每一個員工既是內(nèi)部控制的主體,又是內(nèi)部控制的客體;既要對其負責的作業(yè)實施控制,又要受到其他人員或制度的監(jiān)督與制約。內(nèi)部控制使股份公司內(nèi)部各部門、各崗位形成較為系統(tǒng)的既互相制約又具有縱橫交錯關(guān)系的統(tǒng)一整體,確保各部門和各崗位均能按特定的目標相互協(xié)調(diào)地發(fā)揮作用,最終實現(xiàn)股份公司內(nèi)部控制的總體目標。

3、內(nèi)部牽制及不相容原則 內(nèi)部牽制是指在部門與部門、員工與員工以及各崗位之間所建立的互相驗證、互相制約的關(guān)系,屬于企業(yè)內(nèi)部控制制度一個重要組成部分。其主要特征是將有關(guān)責任進行分配,使單獨的一個人或一個部門對任何一項或多項經(jīng)濟業(yè)務(wù)活動沒有完全的處理權(quán),必須經(jīng)過不相容的其他部門或人員的驗證、核對和制約。

4、權(quán)責明確、獎懲結(jié)合原則 根據(jù)各部門和崗位的職能與性質(zhì),明確各部門及人員應(yīng)承擔的責任并賦予相應(yīng)的權(quán)限,制定操作規(guī)則和處理程序,確定追究、查處責任的措施與獎懲辦法等,使權(quán)有所屬,責有所歸,利有所享,避免發(fā)生越權(quán)或互相推諉的現(xiàn)象。

5、成本效益原則 在內(nèi)部控制活動中貫徹成本效益原則,就是要力爭以最少的控制或最低管理成本獲取最大的經(jīng)濟效益。要實行有選擇的控制;要努力降低控制成本,盡量精簡機構(gòu)和人員,改進控制方法和手段,提高效率。

6、可操作性原則 內(nèi)部控制制度必須符合股份公司實際,無論是業(yè)務(wù)流程控制點的設(shè)置,還是授權(quán)項目權(quán)限的確定,都要考慮實際管理工作中是否可行,保證其可操作性。

7、包容性原則 內(nèi)部控制制度是依據(jù)公司現(xiàn)行各項管理制度,為控制風險而編制的一系列業(yè)務(wù)流程控制體系,內(nèi)容涵蓋投資、生產(chǎn)、經(jīng)營、財務(wù)、監(jiān)督檢查等方方面面。內(nèi)部控制制度力求避免與其他制度相矛盾。對確實脫離實際的其他各項管理制度,應(yīng)及時修改、完善,并以內(nèi)部控制制度規(guī)定為準。

8、信息反饋原則 確定與控制工作有關(guān)的人員在信息傳遞中的任務(wù)與責任,規(guī)定信息的傳遞程序、收集方法和時間要求等事項,建立嚴密的記錄、報告等信息反饋系統(tǒng)。

五、當前我國企業(yè)內(nèi)控普遍存在的問題 ?? ?從以上的分析可以看出,建立健全內(nèi)部控制,不僅必要而且非常緊迫。健全內(nèi)部控制,需要做的工作很多,從大的原則來說,主要應(yīng)加大企業(yè)改革力度,建立現(xiàn)代企業(yè)制度,提倡和營造內(nèi)控文化。從審計實際工作的角度說,筆者認為,應(yīng)主要抓好以下個環(huán)節(jié):一是抓企業(yè)領(lǐng)導(dǎo)。企業(yè)領(lǐng)導(dǎo)既是內(nèi)部控制的制訂者又是執(zhí)行者,只有企業(yè)領(lǐng)導(dǎo)重視,才能選用合適的內(nèi)部控制管理人員,注重發(fā)揮內(nèi)部審計的作用,健全內(nèi)部控制,從而使內(nèi)部控制落實到位。二是抓監(jiān)督檢查。從國內(nèi)外的實際看,內(nèi)部控制的建立,多是外部力量推動的結(jié)果,因此現(xiàn)階段,應(yīng)全力推進內(nèi)部控制的國家化,這就要求在強化內(nèi)部審計機構(gòu)獨立性的基礎(chǔ)上,加大外部監(jiān)督力度。因此,審計等職能部門在對企業(yè)進行監(jiān)督檢查時,必須改變各自為政、各管一攤的老做法,努力使監(jiān)督形成合力,使檢查具有權(quán)威性,并幫助企業(yè)不斷完善內(nèi)部控制,防止企業(yè)內(nèi)部控制形同虛設(shè)現(xiàn)象的發(fā)生。三是抓審計指導(dǎo)。內(nèi)部審計是對企業(yè)會計資料真實完整的再監(jiān)督,搞好內(nèi)部審計,不僅可以堵塞漏洞,消除隱患,防止并及時發(fā)現(xiàn)和糾正各種欺詐舞弊行為,保護企業(yè)財產(chǎn)完整,而且可以規(guī)范企業(yè)會計行為,提高會計信息質(zhì)量,確保國家有關(guān)法律法規(guī)和內(nèi)部規(guī)章制度的貫徹執(zhí)行。業(yè)務(wù)目標包括經(jīng)營目標、財務(wù)目標和合規(guī)目標。經(jīng)營目標是指與企業(yè)有效使用資源相關(guān)的目標。財務(wù)目標是指與企業(yè)編制可信賴的財務(wù)報告有關(guān)的目標。合規(guī)目標是指與企業(yè)遵循法律法規(guī)相關(guān)的目標。(2)業(yè)務(wù)風險 業(yè)務(wù)風險包括經(jīng)營風險、財務(wù)風險和合規(guī)風險。經(jīng)營風險是指可能會導(dǎo)致經(jīng)濟效益流失或資源喪失的風險。財務(wù)風險是指可能會造成財務(wù)信息失真的風險。合規(guī)風險是指可能會導(dǎo)致監(jiān)管部門處罰的風險。(3)業(yè)務(wù)流程步驟與控制點 內(nèi)部控制業(yè)務(wù)流程將企業(yè)的經(jīng)營與財務(wù)活動分解成各個業(yè)務(wù)流程步驟。每一個業(yè)務(wù)流程步驟由一個或多個控制點構(gòu)成。控制點內(nèi)容包括該業(yè)務(wù)涉及的單位及其崗位職責、本步驟工作過程描述、上一步驟和本步驟控制結(jié)果等。(4)業(yè)務(wù)流程圖表 業(yè)務(wù)流程圖表是具體業(yè)務(wù)流程的控制點、適用單位、不相容崗位、控制點分值和相應(yīng)的監(jiān)督檢查方法的圖表式反映,扼要標明業(yè)務(wù)流程主要步驟。⑸相關(guān)制度目錄 相關(guān)制度目錄是指涉及具體流程的企業(yè)外部法規(guī)、總部或各部門相關(guān)的重要內(nèi)部管理制度。(6)主要控制點相關(guān)資料 主要控制點相關(guān)資料是單位、崗位和員工執(zhí)行業(yè)務(wù)流程的依據(jù)、執(zhí)行過程記錄,也是持續(xù)監(jiān)督與個別評價的參照物。包括總部、各部門、各單位、各崗位與具體業(yè)務(wù)流程相關(guān)的重要報告及業(yè)務(wù)流程操作記錄、附件等。

五、股份公司內(nèi)部控制組織機構(gòu) 股份公司應(yīng)設(shè)立內(nèi)部控制領(lǐng)導(dǎo)小組(簡稱“內(nèi)控領(lǐng)導(dǎo)小組”),組長由總裁擔任,設(shè)副組長若干人,組成成員包括:財務(wù)部、法律事務(wù)部、審計部、監(jiān)察部、各事業(yè)部及相關(guān)職能部門主要領(lǐng)導(dǎo)。內(nèi)部控制領(lǐng)導(dǎo)小組是股份公司內(nèi)部控制的領(lǐng)導(dǎo)機構(gòu),經(jīng)董事會授權(quán),審批《內(nèi)部控制手冊》中間的臨時修改;審核股份公司內(nèi)部控制評價報告;對內(nèi)部控制檢查中發(fā)現(xiàn)的問題作出處理和整改決定,重大問題報董事會審批;負責審議每年更新的《內(nèi)部控制手冊》,呈報董事會審批。內(nèi)部控制領(lǐng)導(dǎo)小組下設(shè)專職辦公室(簡稱“內(nèi)控辦公室”),作為股份公司內(nèi)部控制工作日常管理機構(gòu)。具體負責組織內(nèi)部控制執(zhí)行情況監(jiān)督檢查,內(nèi)部控制評價,《內(nèi)部控制手冊》更新及培訓(xùn)等工作。分公司、全資子公司和控股子公司應(yīng)成立內(nèi)部控制領(lǐng)導(dǎo)小組,主要領(lǐng)導(dǎo)擔任組長;下設(shè)辦公室,作為常設(shè)的內(nèi)部控制工作機構(gòu)。具體負責本單位的內(nèi)部控制監(jiān)督檢查,實施細則和內(nèi)控手冊的更新及培訓(xùn)等工作。內(nèi)部控制辦公室可以單獨設(shè)立,也可以設(shè)在財務(wù)、企管部門,但為了保證審計、監(jiān)察的獨立性,不能設(shè)在審計和監(jiān)察部門。

基于我國目前大部分企業(yè)內(nèi)控制度不嚴或執(zhí)行不力的現(xiàn)實,如何進行有效的內(nèi)控體系設(shè)計是企業(yè)內(nèi)控研究的難點與最終落腳點。max.book118.com 中國最龐大的下載資料庫(整理.版權(quán)歸原作者所有)如果您不是在 3722.cn 網(wǎng)站下載此資料的, 不要隨意相信.請訪問3722, 加入3722.cn必要時可將此文件解密成可編輯的DOC或PPT格式 2

class=“ad_box”>

文檔加載中...廣告還剩

下載上市公司CIO 內(nèi)控管理和信息化建設(shè)word格式文檔
下載上市公司CIO 內(nèi)控管理和信息化建設(shè).doc
將本文檔下載到自己電腦,方便修改和收藏,請勿使用迅雷等下載。
點此處下載文檔

文檔為doc格式
相關(guān)專題 上市公司內(nèi)控管理 國企內(nèi)控信息化建設(shè) 上市公司內(nèi)控體系建設(shè)

聲明:本文內(nèi)容由互聯(lián)網(wǎng)用戶自發(fā)貢獻自行上傳,本網(wǎng)站不擁有所有權(quán),未作人工編輯處理,也不承擔相關(guān)法律責任。如果您發(fā)現(xiàn)有涉嫌版權(quán)的內(nèi)容,歡迎發(fā)送郵件至:645879355@qq.com 進行舉報,并提供相關(guān)證據(jù),工作人員會在5個工作日內(nèi)聯(lián)系你,一經(jīng)查實,本站將立刻刪除涉嫌侵權(quán)內(nèi)容。

相關(guān)范文推薦

    交通信息化上市公司一覽2011

    交通信息化-與智能交通相關(guān)上市公司一覽[2011版] (一)高速公路 、紫光股份(000938): 在智能交通產(chǎn)品領(lǐng)域[ ],公司研發(fā)的高速公路通信系統(tǒng)主要由光纖傳 輸系統(tǒng)、光纖綜合業(yè)務(wù)接......

    企業(yè)內(nèi)控管理信息化藍圖(共5篇)

    企業(yè)內(nèi)控管理信息化藍圖規(guī)劃2011新年伊始,標志著中國上市企業(yè)正式邁入內(nèi)控監(jiān)管的時代,也預(yù)示著越來越多的國內(nèi)企業(yè)將踏上實質(zhì)性的內(nèi)控體系建設(shè)之路。從那些通過美國薩班斯內(nèi)控......

    檔案信息化建設(shè)管理

    【關(guān)鍵詞】信息化 [摘要] 檔案信息化建設(shè)是新時期檔案部門的一項基礎(chǔ)性業(yè)務(wù)工作,需要我們從各方面予以重視,從基礎(chǔ)設(shè)施、信息資源建設(shè)、目錄數(shù)據(jù)庫建設(shè)以及管理人員的業(yè)務(wù)素質(zhì)等......

    內(nèi)控管理大全

    X銀監(jiān)局: 收到《X銀監(jiān)局監(jiān)管通報》(豫銀監(jiān)通股字[X]1號)后,分行領(lǐng)導(dǎo)高度重視,對照《公司法》、《證券法》等有關(guān)法律法規(guī)以及《XXX章程》(“《XX銀行X分行公司章程》”)等內(nèi)部規(guī)章......

    我國上市公司內(nèi)控管理制度探析(合集五篇)

    我國上市公司內(nèi)控管理制度探析 聶華 2012-8-20 14:37:06 來源:《企業(yè)家信息》2012年06期 內(nèi)部控制作為一種管理思想和實踐活動,已經(jīng)成為現(xiàn)代企業(yè)管理的一項重要手段。上市公......

    CIO如何借SOX經(jīng)驗建合規(guī)IT內(nèi)控體系

    CIO如何借SOX經(jīng)驗建合規(guī)IT內(nèi)控體系? 2009年05月26日01:57來源:我有話說 查看評論(0) 好文我頂(0) 由于我國的《企業(yè)內(nèi)部控制基本規(guī)范》要在2009年7月才開始施行,因此這次的上市......

    加強內(nèi)控建設(shè) 規(guī)范采購管理(doc9)

    www.tmdps.cn 中國最龐大的下載資料庫 (整理. 版權(quán)歸原作者所有) 如果您不是在 3722.cn 網(wǎng)站下載此資料的, 不要隨意相信. 請訪問3722, 加入3722.cn必要時可將此文......

    解放教育信息化領(lǐng)導(dǎo)力,打造基礎(chǔ)教育學(xué)校CIO

    解放教育信息化領(lǐng)導(dǎo)力,打造基礎(chǔ)教育學(xué)校CIO 摘要:“十二五”期間,教育信息化建設(shè)的核心目標與標志工程即“三通兩平臺”建設(shè)。如何能從頂層設(shè)計的角度做好整體規(guī)劃工作,對于“......

主站蜘蛛池模板: 免费a级毛片无码免费视| 一边啪啪一边呻吟av夜夜嗨| 四虎国产成人永久精品免费| 精品偷自拍另类在线观看| 无码国产精品一区二区app| 亚洲精品夜夜夜| 欧洲美洲精品一区二区三区| 9999国产精品欧美久久久久久| 免费极品av一视觉盛宴| 亚洲精品久久一区二区三区777| 2019年最好看的中文免费视频| 狠狠cao日日穞夜夜穞av| 夜夜未满十八勿进的爽爽影院| 亚洲国产天堂久久综合网| 欧美黑人巨大videos精品| 无码专区天天躁天天躁在线| 99re66在线观看精品免费| 成人免费777777| 无码喷水一区二区浪潮av| 欧美人与动牲猛交xxxxbbbb| 国产手机在线亚洲精品观看| 少妇被爽到高潮喷水久久欧美精品| 日本韩国男男作爱gaywww| 天天狠天天添日日拍捆绑调教| 色偷偷一区二区无码视频| 国产成人精品亚洲777人妖| 国产成人av综合亚洲色欲| 久久久国产精品亚洲一区| 亚洲综合天堂av网站在线观看| 久久久久久国产精品免费免费男同| 暖暖视频日本| 国产亚洲婷婷香蕉久久精品| 熟妇人妻中文字幕无码老熟妇| 国产在线午夜不卡精品影院| 亚洲午夜久久久影院| 国产精品久久久一区二区三区| 国产粉嫩馒头无套内在线观看免费| 狠狠cao2020高清视频| 国产精品久久久久不卡无毒| 精品无人国产偷自产在线| 236宅宅理论片免费|