第一篇:CIO時代網 -制造企業內部信息化
CIO時代網:黃總您好,您所在企業是何時開始信息化建設的?當前信息化的基本情況是怎樣的?
黃起豹:我們公司的信息化建設很早就在進行,但真正有規模還是在這兩年,目前來看,公司信息化建設基本上涵蓋了公司的各各角落。如在生產方面,我們基本上實現的信息化與自動化。在日常管理方面,主要是以ERP為主,基本上實現了傳統企業管理現代化。在外派的工程與銷售人員管理方面,以前這塊對于公司來說是個盲點,今年我們專門針對這塊設計了一套管理系統,所有外派人員的績效與指導都在這個系統上進行。這個系統是獨立的,與當前的公司其它管理系統是分開的。在這個系統中還有一個知識庫系統,這對在外的員工們來說意義非常重大,能給他們在方方面面進行指導與提高。這個系統也是我們今年在重點推的一個系統,將來還會在這個方面做很多工作。
CIO時代網:信息系統實施之后,主要給管理和運營帶來了哪些主要的成效?
黃起豹:首先是管理方面,在計劃、執行、決策、監控、反饋等方面都有不同程度的提升。比如說在計劃階段,在信息系統實施之后,大大地提高了計劃的準確率。以前也做計劃,但是計劃與最終的結果總是有很大的差距,自從信息系統實施之后,我們在做計劃制定時就非常科學了,不在是拍腦袋出來的,而是在先進的模型和可靠的歷史數據基礎上制定計劃。在執行階段,信息系統實施以后,執行的速度比已前更快了,還不容易出錯。在決策支持階段,系統中建立了全公司集中共享平臺和多維分析模型,支撐財務、工程、人力、業務指標等各專業的管理決策分析,使公司的用戶數指標、業務量指標可以在時間、地域、用戶、業務、客戶、流向等多維度進行分析和決策,為市場經營分析提供支持,并基本統一了各大業務基礎數據的定義、規范和標準,為今后跨部門分析、集成應用保證了數據的一致性。在監控階段,通過日志與匯報系統,可以清晰的了解工作的進度,也起到了監控的目的。在反饋階段,主要是通過信息化的溝通工具,縮短了公司溝通成本,這是在管理方面。
而在運營方面,我覺得主要有這么幾個方面的體現:
1、優化了銷售環節,降低了銷售成本,提升了給客戶服務的水平,加速了貨款回收效率。
2、實現資金流、物流、信息流的統一管理,解決了內部信息不暢通及管理困難等弊端。
3、業務數據實時處理,決策命令準確下達。減少經營成本,降低經營風險,快速應對市場變化。
4、采購提前期縮短一半。采購人員有了及時準確的生產計劃信息,就能集中精力進行價值分析,貨源選擇,研究談判策略,了解生產問題,縮短了采購時間和節省了采購費用。
5、制造成本降低。由于庫存費用下降,勞力的節約,采購費用節省等一系列人、財、物的效應,使生產成本得到降低。
6、成本核算自動化,實時報表統計及月底結賬瞬間完成,確保、準確、快速的提供各種成本數據,提高財務人員效率;同時實時監控財務信息,隨時掌握資金動態,促進財務管理從核算型轉變為管理型、價值型。
7、強化系統工程管理的功能,推進工程管理精確化進程。
黃起豹:在經營管理方面,第一個重要的信息化手段就是ERP,其它還包括有知識庫管理、資產管理、客戶呼叫中心、客戶關系管理、BI、以及根據自己行業特點研發的銷售與工程管
理等系統。在生產制造環節,主要用到系統有PLC、PDM、PLM、數控系統,以及CAD系統等。
從我的實際工作經驗來看,我日常工作中,有一半的時間是在解決問題,有一半時間是在溝通問題。而這些問題中,有些問題可能是具體公司特有的,有些問題可以會是行業普遍存在的問題,在這里我舉二個比較有代表的問題來給大家分享。第一個是有關數據方面的問題。由于當時我們是整個集團同時要上ERP系統,而當時公司組織架構是,有些部門是整個集團共用的,而有些部門是各分公司獨立的,如生產部、市場部等。而在上ERP系統之前,各子公司都或多或少地建了一些系統,但是這些系統都是按照各公司自己的特點去做數據庫的設計,這些數據跑在單個公司是沒什么問題,但是整合到一個大的平臺時,就暴露出特別多的問題,如何把這些數據進行兼容,當時花了我們特別多時間去整合,現在基本是沒什么問題。但是這中間的一些體會,還是想與大家分享一下,如果您所在的公司是有多個子公司的話,那么在上管控型的ERP系統之前,最好是先把各分公司的數據進行統一編碼,然后再上ERP系統。第二個問題是,ERP系統的實施相對于以前的工作方式來說是一種改革,改革就會設計到意識形態和行為方式的改變,而實際情況是,有些人可能會接受的比較快,快速適應,另一些人可能就會有困難,當然這跟員工本身的學識以及所處的環境是密不可分的。而對于這批人來說,在公司推行ERP系統來就有很大的困難,因為他們會找各種理由來拒絕實施ERP,如認為ERP并沒有提高效率反而是增加了麻煩等等。這時作為CIO,如何將自己的理念傳達給這部分員工就是一項非常有藝術的工作了,當時我本人為了消除這部分人員對ERP認識上的誤區,提高他們的信息化的水平,讓他們能在公司現代化環境中,同步發展,確實做了大量的工作,如今看來,這些付出還是給公司帶來了很好的回報。首先給他們培訓,培訓完了。還要對他們進行理論考試,對考試成績好的,給相應的獎勵。考試通過后,接下來就是指導他們實踐,直到他們完完全全地掌握。后來他們管這種培訓方式為,不但給病人開藥方,還給病人煎藥,直到病人痊愈全服務鏈式的培訓。
CIO時代網:信息化建設必然離不開軟件選型,在選型過程中遇到過哪些問題,有哪些獨到的經驗與大家分享呢?
黃起豹:選型是CIO們必須面對的一個問題,CIO們每天面對的要么是選用專業公司的解決方案,要么就是自己組織團隊研發。我認為在選型上可以分為三種情況:
(1)通用型產品的選擇。也就是說這些軟件拿過來就可以直接用,通用型產品的特點是市場上會有很多的提供商,很容易獲取,在這種情況下選型,我會考慮他的價格是不是有優勢,售后服務如何。售后服務是很重要的一部分,采用別人的軟件就是要用別人的思想來給公司做事情,若選擇的供應商售后服務不好的話,遠比你購買這個軟件所花費的經歷要大的多。還有就是供應商的品牌的問題,這也是一個很重要的問題,如果選擇的是一家品牌很小企業,可能當時它會承諾很多看起來很有誘惑售后服務,但是也有可能這家公司沒過一段時間就消失不見,這對一般的公司可能沒什么,但是對一家業務成熟的公司來說,那影響可就大了。所以對于長期發展的大制造企業在選擇供應商時,必須要考慮到這個方面。
(2)非通用產品。非通用產品的話,主要是從公司的內部要求去考慮,比如公司發展到一定的階段,必須得上這套系統,那樣的話就沒有多大的溢價能力,并且所能提供服務商也就那么一兩家,所以只能從中選擇一家進行合作。
(3)是否涉及到二次開發的問題。一般情況下,大量采購過來的軟件都是需要二次開發的,那么這個時候,就需要評估現有團隊有沒有相應的二次開發的能力,如果沒有的話,盡量不要選擇這樣類型的軟件產品。
CIO時代網:有一種觀點認為制造業信息化就是“引進幾套先進的管理軟件、搞企業網絡、搞生產自動化”,您是怎么看待這個問題的?
黃起豹:這種說法是有一定的道理,但是他又是比較片面的說法,“引進幾套先進的管理軟件、搞企業網絡、搞生產自動化”這些只是信息化建設的一部分,并不能涵蓋整個信息化的內容,但是這些是信息化的基礎。如果從辨證思路來看的話,那就是只見樹木,沒看森林。如果從圖論的角度來看的話,我們可以把企業制造信息化看作外面的大圓,而主持人剛才提到那個,只能看作是大圓里的一個小圓,但是上面這種觀點,卻把小圓說成大圓那是非常危險的。而我們現在社會這種情況也比比皆事,我在這里給大家舉一個每個家長都非常關心,又與這個命題非常類似的例子。比如:一個小孩哇哇來到人間(好比是主持人剛才提到的系統),到他長大成人,并且能給社會/個人創造價值,這中間還有很多工作要做。如果家庭和社會,在這些中間環節中不去做很多工作的話,那這個小孩可能不但達到大家預期,還有可能給社會帶來很大危害,反之,如果家庭和社會各方面工作都得非常到位,那他也會給組織與社會帶一個非常好的回報。所以說,你剛才提到的那些系統是公司信息化基礎,如果要這些系統給公司帶來效果,這中間還要CIO們做大量的工作才行。
CIO時代網:制造業信息化過程,是一個長期的復雜過程,決不能急功近利,要有長遠打算,特別是要有長遠規劃。在您所在的企業IT規劃是如何進行的?
黃起豹:首先我們有一個IT的長期規劃,并且每年都會在長期規劃的基礎上做滾動規劃。而在做這個規劃之前,我們會去綜合各方面的信息并結合實際情況進行規劃。第一方面的信息是公司戰略方面的,因為公司戰略中有企業的使命,希望達到的目標以及企業所擁有的優勢、劣勢、機會、威脅、供應商的特點及可能的趨勢、新進入者的情況、客戶的特點和新形式下可能發生的變化,替代品出現的可能性,競爭者可能采取的動作和信息化方面的情況,以及現公司所處的發展階段和行業特點等方面的信息。第二個是業務方面信息,這個相對簡單,主要是看一下來年的銷售計劃是怎么樣的,公司的信息規劃是要隨著業務的變化做相應的調整,如果業務擴大,相應的IT信息服務也要擴大,反之,就要進行相應的壓縮,最終的目地是要保證信息化和業務的發展相匹配。第三個方面是信息技術本身,很多新的技術可以優化原來的一些不足,若CIO在做規劃的時,沒有把這些因素考慮進去的話,那么信息化很難為公司帶來信息所具有的更高的效率。第四個方面合規性內容,例如上市公司會涉及到信息公開,那么上市公司在做信息規劃時就要把這些內容考慮進去,要在規劃中就按照國際標準,如《薩班斯法》相關規定來進行。上面內容了解清楚后,IT部門就可以進行規劃,來年到底需要采購多少軟件與硬件,會需要多大的數據庫支持,它的架構與及基礎設施如何也就出來了。
CIO時代網:有人說:IT預算分配比例是業務部門說了算,畢竟業務部門最清楚自己的IT需求。但也有人說:IT預算分配是IT上的事,應由IT部門來決定。那么,IT預算分配比例究竟是誰說了才算呢?您是怎么看待這個問題的?
黃起豹:無論是IT部門還是業務部門中任何一個部門去做都是有問題的。因為業務部門的特點是對業務特別的熟悉,并且采購或者開發出來的產品最終也是他們來使用,而信息部門的特點,是比較喜歡追求技術的先進性,但是先進的不一定是實用的,如果信息部門花很大的價錢購買或研發了一個軟件,但是并沒有給業務部門的工作帶來實實在在的便利,這樣的話,信息部門所做決策就是失敗的。反之,完全由業務部門來決策的話,會出現的一種情況是,業務部門把全部的功能寫到采購清單中去,這樣可能會造成資金的浪費。因為并不是業務部門的每一項需求都必須要出去采購,有些業務需求可能在IT部門之前就有這方面的解決方案或者IT部門自己花很少的工作就可能研發出來,根本就不需要單獨去購買。另外一種情況是,業務部門在提需求時,只會把當前遇到的需求現狀說出來,不可能會知道在信息化之上,即滿足現有需求,還需要擴展的內容。但是好的CIO們是或多或少會有一些這方面的經驗的。要是完全由業務部門決策,那像CIO們的這些好的思想就沒法在項目中得到體現。所以說,這兩個部門無論哪個部門單獨的去做決策,都會產生很多的問題。因此,建議公司因該有一個決策委員會,當中有業務部負責人,信息部負責人還有財務部負責人等,任何一個項目,由決策會一起表決決定,這樣就會比較科學,合理。
CIO時代網:有一個誤區就是認為企業信息化只要有投入就會有產出,而不重視投入產出比,但是關注IT投資的投入產出比成為了CIO最重要的工作之一,您一般是如何做投入產出的分析呢?
黃起豹:以往在一些政府部門的CIO們眼中,會有這樣一種觀點,認為他們的系統提供的服務都是公益的,所以不需要或者也無法算出它的回報率。但是,這一,二年,他們對這個方面問題的認識,也發現了非常大的變化,他們開始覺得,他們的產品一樣要看它的回報率,與企業所不同的是,他們的產品不是已財務指標作為唯一的衡量標準。
而對于民企來說,那它的每一產品都一定要考慮投入產出比。如果在上系統之前沒有估算好的話,哪它的投資的結果就會很麻煩。下面我講一下,我們通常在這個方面的做法,首先,我們在上任何一個系統之前,都會按照公司信息部所擁有的規范列一個表,表中大致包涵了與這個系統所有有關的使用者和創建者,然后,分別給他們分配權值,最后,把這些權值加總求和,在后,用這個總數和沒有上系統所需要花費的費用總數進行比較,如果結果大于期望的倍數的話,我們就是進行投入,反之,可能就不會投資或者推遲投資的時間。
CIO時代網:信息化項目實施會帶來各個方面的風險,比如業務流程重組的風險、技術風險等等,那么您作為CIO是如何讓有效的規避這些風險呢?
黃起豹:風險是指它具有不確定性因素,而信息化產品是一個智力產品,所以它在整個生命周期中處處都會有不確定性,那么如何把這些不確定性變成確定性,就是考驗CIO智慧的時候。下面我分享一下,我自己這么多年處理風險的經驗:
如果我拿到一個新項目,首先,我會把項目所有的邊界確定清楚,比如這個是給哪些人服務,提供什么樣的服務等具體的內容全部都列出來,并且要經過相關使用者的簽字確認。
其次是在以上的基礎上把質量目標全部找出來,這包括顯性質量和隱性質量,并要把這些質量內容在項目實施之前,跟項目相關方進行一項一項地確認,并要把這些內容寫到正規的文檔里,以使項目結束,雙方或多方進行驗收。
再次就是建立一個通透的溝通渠道。使大家有任何問題都能及時溝通,而不能等項目實
施完之后再去溝通,要一邊實施一邊溝通,這樣不但能啟到培訓的作用,而且還能啟到收集需求的作用。也加深了項目相關人員的參與程度。
最后就是時間安排。要給項目做一個確實可行的項目時間計劃,里面要包括里程碑式的時間結節,并且要在這些結節中,清楚地描繪出需要完成哪些功能,需要提交哪些文檔以及如果延期他的補救措施是什么等內容。
上面說的是如何盡量的減少風險,但是有些風險是無法避免的,像這種情況,我個人的建議是,在風險出現之前,先通過科學的方法,盡可能多地找出可能存在的風險,然后針對每一種風險付上權值,最后求出這種風險出現的可能性。而對每一種可能性,找出一到二種應急預案,這樣,即使真出現了風險,我們也能從容地應對,不至于給公司帶來很大的損失。
CIO時代網:作為CIO,您在跟其他業務部門或者領導溝通時有沒有獨到的經驗可以與大家分享?
黃起豹:其實溝通是一個非常普遍的問題,不只是CIO面對這個問題。應該說:每一個都會面臨這個問題,那又為什么會出現有些人溝通的好,有些人溝通的就不好。我個人覺得:原因有,由于每一個個體所處的背景不同、角色不同、所期望的目標也是不同的,在這樣復雜的系統下,那就難免會遇到溝通不暢的問題。但是也不是說,沒有方法來規避。我談一下,我本人在這方面的經驗,通常我如果要去與領導溝通一件事時,首先我會深入了解將要溝通主題,不僅要了解主題表象意義,而且還會去深入了解隱含在里面的內容,比如:CIO們經常要向領導申請IT項目經費,如果碰到不會溝通的CIO,他的溝通狀態是這樣的。老板我們將要上一套,費用是XX,老板請簽字。而老板接到這個信息,第一反映是,又來要錢,那老板確定會找很多其它方面的理由來搪塞。而換成一個會溝通的,同樣是這件事,他在與老板溝通之前,會去做大量的工作,收集大量的數據來證明投資這個產品的必要性和所會帶來的價值。然后在找適合的溝通渠道,像老板匯報。而這種溝通結果跟前一種,那肯定是天壤之別。
CIO時代網:制造業信息化是國民經濟和社會信息化的核心部分,您認為制造業信息化的關鍵是什么呢?那么您認為在中國如何才能搞好制造業的信息化建設?
黃起豹:我認為當前制造業信息化的關鍵主要表現在三個方面:(1)生產自動化(2)管理現代化,(3)協作便利化,這些是制造業信息化比較關鍵的幾點。
搞好制造業的信息化會涉及到方方面面,即會涉及到宏觀方面的問題,也會涉及到微觀方面的問題。下面我將就與制造業信息化有聯系的各方分別來談,(1)政府方面,應該制定一種健康向上的市場規則和好政策,讓制造業在合規的范圍內受益,并且能提供在一個平等的平臺讓他們來競爭,這是對于國內市場的制造來說。而對于出口型的,應該降底稅率,支持創新,提高它們的國際競爭能力等等方面。(2)是媒體和行業機構方面,應該做好宣傳與引導作用,多宣傳一些優秀的解決方案,并利用平臺的優勢,多組織專家為信息化方面有困難的企業,進行診斷與把脈,幫助他們在信息化路上少走一些彎路。(3)最后就是企業本身,企業要有在信息化時代的大環境下有變革的思想,只有企業領導者愿意去改變,不怕來至于之前的各種不好方面的阻力,再加上有一個好的CIO,一起并肩做戰,企業信息化一定會取得非常好的成績。同時如果上面各方都把自己的定位做好,我相信整個中國的制造業信息化
水平一天會比一天好。
CIO時代網:您認為CIO應該具備怎樣的知識結構和核心能力?在云計算鋪天蓋地的今天,會有人說,“云計算來了,CIO得走了”,您是怎么看待這個問題的呢?
黃起豹:CIO應具備的知識結構有:信息化知識、管理知識、業務知識等知識。而能力方面我覺得應該至少有這些方面:溝通能力、沖突處理能力、學習能力、領導能力、創新能力、宏觀思考問題的能力、團隊協作等方面的能力。
云計算是一種變革,既然是變革就會有人員的流動,這是必然的,并且對行業也會進行一定洗滌,但是從目前CIO的狀況來看,影響較大的是小企業的CIO,本身小企業就是靠壓縮成本來生存,那降低成本就是他們追求一種重要的目標。而如果云計算來了,正好可以給公司在信息化建設方面節省公司成本。因為公司信息化工作只要花很少的錢,由專業的云平臺來管理,這樣的話,公司可能在某種程度上來看,就不需要CIO這個角色了。但是中大型企業,云計算來了以后,CIO不但不會走,可能還會帶來了另一種機會。我先說一下中型企業,中型企業的特點是前面有大型企業的壓制,下面有小企業的追趕,所以他需要新的技術,新的思路來更好的發展企業,以縮短他與大型企業的距離。新的技術肯定是CIO掌握的最多,而實際情況是:目前很多CIO是每天都在解決大量的日常問題,而沒有精力去思考和學習很多新技術與管理,而云計算來了之后,CIO就可以騰出大量的時間,去汲取更多的專業知識,以至來輔助公司向大企業邁進。這樣一來,CIO在公司的定位就會越來越高。這是對于中型企業。而對于大型企業的說,云計算來了以后,CIO可以做的事情就更多了,一般大公司的CIO都是雙重人才,既懂技術又懂業務和管理,云計算的到來,給了他們去思考戰略以及為戰略實踐提供大好機會。
CIO時代網:非常感謝黃先生在百忙之中,接受我們的采訪,希望在未來的廣闊空間中,CIO的路能夠越走越寬,給企業信息化插上騰飛的翅膀。
第二、電力行業信息化建設規劃的缺失和系統的分裂的局面,也迫切需要從根本上對于電力行業的信息化建設進行再思考和重新整合。在過去幾十年內,信息技術應用在電力工業各個專業領域,但各領域的應用是分散和孤立的,并沒有形成大系統的概念。因此在下一階段,電力信息化的重點之一就是信息技術的集成和綜合利用。首先,為了保障電力行業在信息、網絡方面的可靠性與安全性,應該對電力系統光纖通信網、數據網、信息網進行整合與統一。其次是管理信息系統等信息化應用系統內部的整合。經過多年來持續不斷的建設,電力行業內部各個子系統采用了各種不同的平臺和管理軟件,這不利于使用操作、管理維護和整體效果的發揮,因此要進行平臺整合。再就是各信息化應用系統間的整合。
其二,在企業的各項管理體系,如各種會議、員工培訓以及日常的業務管理中,引入信息化的管理體系,不僅能夠縮短管理的時間和跨度,節約管理管理成本。其三,對企業中的人、財、物、技術等基本生產要素采用信息系統進行管理,不僅可以提高企業生產效率、降低生產成本,也可以實現資源共享,互通有無。其
四、對企業戰略、決策過程、組織崗位、制度、技能、績效考核實行信息化管理,以確保在多角度、多層面上提高企業的科學管理水平。
第二篇:上市公司CIO 內控管理和信息化建設
財政部會計司綜合處處長,內控標準委員會家成員胡興國 中國石油化工股份有限公司信息系統管理部處長姜林
用友公司NC產品架構師付建華女士
河北網通信息化部高級工程師屈玉閣
浪潮通軟副總裁兼技術總監魏代森
中國鋁業信息部的楊磊
國際信息系統審計師協會北京事務委員會主席何迪生
摩卡軟件高級售前顧問周立民
EMC信息安全事業部中國區資深技術顧問馮崇彪 信息中心主任張艷
下面我們有請財政部會計司綜合處處長,內控標準委員會家成員胡興國。胡興國:各位領導,嘉賓,上午好。
今天能有這個機會我想給大家匯報一下財政部會同另外四各部位關于標準建設實施情況,我匯報情況叫我國企業內部控制標準建設與實施。
匯報5個問題,一個是我們啟動標準建設的規定,第二就是匯報我們企業內部控制建設歷程,第三簡單匯報一下標準建設框架體系,第四簡單介紹一下信息化,風險管理與內部控制關系,最后大家探討一下企業在事實內控標準應該做一些什么工作。
第一部分是就是它的意義,我從三個部分進行總結,大家知道去年5月11日,財政部,證監會,保監會,還有審計署同時頒發了基本規范,我們也在北京召開了發布會標志著我們國家企業內部控制標準建設,有了重要階段性成果。
當前世界金融危機給我們國家造成很多機遇,我們做了一個調研企業加強內部建設,提升自身的能力是非常重要。第二就是中央提出走出去戰略,國家起草規范和技術出發點,要企業做強做大,幫助他們國外資本市場進行融資,特別是是美國,英國,法國,包括我們香港都有一些要求。
第三就是滿足我們資本市場發展需要,我們國家資本市場公開,公平,公正,提高財政的信息質量,提升我們經營管理水平,可持續發展,還有保護我們廣大投資者利益。第二部分就是發展歷程,我們國家企業內部控制建設從70年代就是改革開放以后,特別是我們第一部會計法的實施,這是一個標準性階段。在滿足社會不同需要,在這個過程我們出現過滿足核算制度等等。早在70年代末期,80年代初,包括我們提出崗位分離等等。90年代的時候,特別是我們會計法實施的時候財政部96年發布會計規范,規范要求各單位進一步建立健全包括內部控制先進內部會計管理制度,會計法明確要求各單位建立內部管理,這是我們內部管理的法律依據,到2001年6月22日,財政部依據會計法規定又制定了企業內部會計控制規范,基本規范和后備資金,04年相繼發布了銷售與收入增加,發布了1+6的等各項制度。
第三階段以我們發布的金融規范,來源主要是美國安然事件以后,采捕正有關領導,把安然事件對我們國家的意義報個國務院,國務院領導同志做了批示,這項工作財政部牽頭,證監會,國資委配合,建立中國的塞班斯法,到2007年,財政部,銀監會,國資委等聯合發起成立我國企業內部標準委員會,委員會委員是31位,我們成立了8個咨詢小組,8個小組去年我們把這個小組又擴大了,委員從31名發展大50人,咨詢小組現在有150人,當時我們發布規范發布了17項具體規范。我剛才說5月22日我們發布節本規范,要求7月1日正式實施。
第三部分給大家匯報一下,基本規范的框架體系。框架體系是一個規范加三個指引,一個是基本規范已經發布了,內部標準體系是最高層次,有的人說是中國的塞班斯法,第二是主要是對企業,對企業有內控企業的主體。幫助企業建立體系,第三系評價指標,是企業內部必須做的評價包括自我評價,怎么評價。第四是審計指引,會計事務所執行內部審計。基本規范主要是有概念,目標,原則,要素。我們提出了概念,當時我們國家內部控制很多部門都有,包括我們銀行,銀監會,包括我們的證監會,包括我們兩個交易所,我們部門把概念統一一下。目標有三個目標,我們提出5個目標,我們是5目標,原則,要素。應用指引,給我們發布了征求意見,目前21個應用指引,加上審計指引,加上評價指引,一共是23個,我們財政部部長簽發了,審計署也簽了。我們應用指引主要是21個分布,一個是針對企業管理,我們根據基本規范有5個一個是統一架構,一個是發展戰略,一個是人力資源,還有社會責任和企業文化。這5個我們是怎么每一個構架都差不多,我就舉一個社會責任框架,我們第一就是整合,提出它的概念什么是社會責任,我們再提出中心有哪些,社會責任我們提出4個中心點,安全生產,不落實可能導致企業生產事故,第二產品質量惡劣,會侵害消費者利益,可以導致企業破產,大家知道河北石家莊三鹿開奶粉事件,第三是環保投入不足,資源消耗大,造成環境污染,資源枯竭,缺乏發展后勁一是一個風險。
第四我們說促進就業和員工權益保護,我們金融危機背景下,擴大就業,保內需,增長,我們從企業角度。第一是控制環境,第二是資源,包括資金活動,我們以融資,投資這一塊我們放在一些活動里面,還有采購業務,還有負債管理,銷售,研發,工程項目,服務外包等等。應用指引形式都差不多,比如說采購應用,我們主要是支付環境,包括購買環節,要采購申請,招標,確定供應商,供應價格,報批核準等等,每個環節進行控制,第三是控制手段,包括全面預算,風險管理,內容信息傳遞,信息系統,財務報告。
第四針對特殊行業或者行業的控制,包括銀行業,證券期貨業務,保險業務個個應對指引。再說一下就是評價制度,作為企業內部管理涉及到運行效果和自我評價,為了方便起見,我們起草了一個對企業內部控制,內部評價指標,包括內容,標準,程序,方法,包括報告形式,我們選擇企業報告的基本是從1月2日,12月31作為一個會計年計表,也可以選擇6月30號自查報告也有了新的形式我們參考的深交所還有美國塞班斯法正在研究,報告形式可能要分兩部分,第一個是對環境評價,對業務流程通過一些表格,數據一些量化標準。企業怎么判斷你的是否存在重大缺陷,下面就是審計制度,主要是事務所接受企業審計。從我們目前起草稿子我們指引分四各類型,一個就是標準,還有在強調時間段和保留意見,還有否定一些意見,還有無法表明一些意見,和我們財務報告差不多,這個也有一些具體指標。我簡單匯報一下框架體系。
第四部分我們匯報一下內部控制與風險管理的信息化,我們是怎么理解的。內部控制和風險管理,實際上存在一些爭議,理論界對這一問題,人事部統一,有人認為內部控制與風險管理是兩回事,兩張皮,也有人形象說內部控制是“正確的做事”,風險管理是“做正確的事”。從我們制定基本規范角度出發點,我們認為內部控制和風險管理不是兩張皮,應該是一個完整和有機融合,我們認為內部控制主要是企業內容風險,包括你可控風險也包括不可控風險,但是都要做。所以我們基本規范風險評估,有風險識別,分析,經營存在的風險,戰略,決策等等。第二對國際先進研究成果與經驗看,應該是有機融合的趨勢。看與風險之間的感到我們是這樣理解的。
那樣控制與信與化,信息化會計信息化有財政部會計司也說,80年代我們在全國積累了很多經驗,在電算化的一些標準,08年11月12日我們財政部會同其他8大部委在北京成立會計信息化,包括還有XBRL中國地區組織。經過20多年的努力,在會計信息化工作方面給我們發了一個指導意見,這項工作從我們司角度,已經成為工作重點。會計信息化與內部控制信息化還是有一點區別,這一方面從我們內控角度,我們單獨有一個信息系統這方面的指引,我相信這個會內部控制好,要做得好,對大多數企業來說很重要的。隨著科技發展水平越來越先進,所以信息化一定要跟內容控制有機融合起來。信息系統我個人理解不僅是本身需要控制,最主要是在內容控制和風險管理中,能發揮很大的作用,提高工作效率,能夠節約很多成本。
第五部分,我匯報一下企業如何實施內容控制規范。我們知道原來定今年7月1日上市公司開始實施,考慮到因為我們一系列的具體的應用目前還沒有發布,加上我們審計指引,發布以后還要有一段時間消化吸收還要有一個過程,由于金融危機影響,我們調研一些企業他們關注點說法不一樣,有的說我們現在經濟不景氣,我們練內功吧,有的關注不是這個關注經濟增長率,所以經過部里面領導多年的慎重研究,目前我們調整到2010年1月1日,原來是在境外上市公司實施,考慮到情況其他上市公司、其他企業也執行。這套體系下來已經做了調研實施成本是非常大,實施難度還是有一定難度的,目前需要財力,人力資源,所以我們想這個中國在境外上市有4個國家。實施原定7月1日實施,有一個自查報告,2010年12月31日,我們還有一年半的時間,我們的有一些企業有完善的標準、完善的制度體系,我們宣傳和應用。下半年我們就做一個宣傳和培訓工作,我們目前正在緊鑼密鼓的籌備當中。目前我們跟蹤一些大的企業看看他們的實施效果。
企業在貫徹實施內部控制規范制度,我個人理解應該從下面6個方面。第一個方面就是要強化宣傳培訓,提高內部的認識。不管7月1日執行不執行,上市公司總是要執行,只是一個時間問題,延續明年下半年,或者后年總之是要執行的,所以工作還要往前做。所以要宣傳培訓提高認識。第二點就是要健全內控機構,提供組織保障。不少企業有內控部、有風險部,有的是單獨設立了內控部門,有的是放在財政部下面,有內控部。形式不一樣,但是我們從基本規范角度要求,要設立機構配備人員。第三點要循序漸進,穩步實施,不是哪一個部門,不是我們財務部一下子的事,是需要多個部門配合。對于企業因為差別很大,差別很多,千差萬別基礎也不一樣,建議分步驟、分層次的進行。選擇境外上市公司執行,考慮境外上市公司資本市場是適合公眾利益,執行效果好壞事關資本市場的穩定,但是上市公司基礎較好,人員素質較高,本身有完善的內部控制的制度體系,同時也有雄厚財力支持,所以選擇境外上市是有扎實的基礎。第五點我們建議注重實施成本,講究實施成本。第六就是強化內部控制建設,增加風險防范能力,應該進行統一協調。
最后一點就是要企業善于借助外部資源,合理利用外腦。企業在實施過程中內部控制標準體系過程中,讓人感覺到這方面人才,智力資源的局限于可以借助外部咨詢機構,中介機構,幫助你設計,避免少走彎路。同時讓咨詢機構培訓自己的人才,這樣提高企業綜合管理水平。我要匯報簡單給大家匯報一下的是我們財政部牽頭這項工作的基本思路,不對之處請大家指正謝謝大家。
主持人:非常感謝胡處長的發言,下面我們有請來自IDS Scheer咨詢經理闞相元先生發言。闞相元:各位領導,各位來賓,大家早上好。
我代表Scheer公司,與大家分享一下我們內控風險管理的認識和經驗。
在正式演講前我們Scheer公司是德國著名管理信息學教授在1999年建立的,進入中國是2004年,目前公司在北京上海,還有深圳,有三個辦公室,在中國主要是提供兩個方面大的分別服務一個是SAP實施和核心ERP系統咨詢服務。第二服務我們公司業務流程管理系統核心包括風險和內控建設,進入中國時間雖然很短但是我們在中國市場獲得很多客戶,包括一些跨國公司。
今天的演講分三個方面去介紹,首先,跟大家分享我們看到國內管理的企業在整個內控與風險管理建設方面遇到一些挑戰和困惑。第二,我們看到信息化系統在解決這些困惑和挑戰方面起到什么樣的作用。第三個方面,我們會用一個具體的案例介紹一下兩個方面。我們現在企業面臨很多的要求,要求我們企業加強內控風險管理,我們分析了一下,這些要求不外乎是從四個角度出發,比如說國資委的《中央企業全面風險管理指引》,從是保護股東權益角度出發,還有保護公眾權益出發的,還有一個是專業的行業部門,為了保障行業穩定發展,尤其是金融行業,比較明確是我們有銀行的一些管理辦法。還有保險業,還有政府部門維護整個市場經濟經濟角度出臺一些要求。
比如說財政部內部控制規范,這些核心思想是結合本企業自身特點,一些基本參考框架建管理體系,實際上和我們在很很早之前做的ISO的應用是一樣的道理,無外乎我們要參照基本要求建立企業自身特點的管理體系,我們有很多客戶交流,尤其是一些國有大中型企業,和上市公司交流大家會遇到一些困難,我們遵循上交所規范,和財政部規范,還有國資委中央企業風險管理的要求。我們怎么保證一套體系滿足這些要求,我們要分門別類地架構我們的體系,我們企業肯定是不堪重負。我們仔細分析了一下及我們以財政部和國資委兩個法律法規要求看,他們是不矛盾、不沖突的。他們的核心思想是一樣的,比如說我們財政部內部控制基本規范,提高我們內部控制體系核心要素分為五個部分,我們國資委前面風險管理執行里面也提到很多條,但是他們明顯有一個明確的供應關系,我們認為我們結合一些國內外的案例,《企業的內控與前面風險管理指引》,有不同政策要求,但是我們都何以分成三個層面理解,首先一個層面我們要結合我企業特點,識別出我們的風險或者是控制點,設立我們相應對的控制措施,是我們整個體系設立層面。第二,我們要把我設立措施應急方案在企業內部推廣也是一個控制實施過程,第三我們保證體系健康發展,做工作對體系運行設計和工作實施情況,進行監督,對不足之處改進,確保我們整個體系設計是合理的,執行是到位的,這樣一個體系。
根據我們對不同客戶的交流按,發現大家面臨一些一樣的困惑,所有管理政策要求核心要求是基本是一致的,第一就是要設計符合企業內部業務特點的管理體系,并且這個管理體系要能夠根據公司業務,比如說組織架構調整進行及時調整。第二就是我們要把體系形成文件,作為我們執行和審計的依據,作為監督改變的依據。這樣我們看到整個企業面臨兩個方面的挑戰,第一我們體系改革的中心、編制審核很難跟得上業務變化,組織是在不斷調整,業務流程是不斷變化的,信息系統建設是逐步推進,每次做這種變革需要我們重新審計這些文件。第二就是我們體系文件難以根據外部環境變化進行及時調整。
在控制實施方面,所以體系文件我們看到有兩個要求,一個是根據設計的方案,我們體系設計與執行的一致性。第二就是實施過程當中你要保留一些可以審計,檢查,這樣一些依據,比如說控制實施了,要留下相應證明文件。這樣我們可以看到有很多企業面臨兩方面挑戰,第一就是缺乏有效的發布實施平臺,我們做這個文件怎么能夠讓我企業內部從高層到基層管理,大家都知道,業務當中執行這是一個挑戰。第二就是胡處長提到我們企業控制點很多,我有的客戶有5千個控制點,如果全部用人工進行控制的時候,控制成本會很高。這是面臨兩個挑戰,在整個體系監督和改進方面,有兩個核心管理要點,我們要對體系設計合理性,實施徹底性監督并且定期出一些評價。第二我們評價監督資料要保留一下,可以供外部或者是企業的監督點所使用。
這樣我們可以看到企業里面有兩個方面要求,第一就是我們體系監督本身工作量很大,協調的難度也很高,這樣導致我們合規的成本是很高的,第二就是我們需要和一些企業定期每季度,每要做監督測試的工作,這些工作資料實際上對我們整個體系持續優化是很重要。但是我們很多企業做完以后,發現資料量太大,我將來不會再利用,達不到我們持續優化的目的。
上面這些挑戰直接導致后果就是四個,一個首先合規成本很高,我們看到很多企業最早國內企業是遵循美國的《薩班斯法案》,動員內部很多力量,才能完成合規工作。第二,很多企業抱怨,我是把風險控制住了,但是我們業務效率降下來,業務要不斷識別風險,滿足內控部門要求。第三導致的后果是我們很難持續地合規,今年可能通過,明年能不能通過還是一個未知數。第四是企業很難滿足不斷增加的內部的合規要求,我們國內上市公司面臨這個困難很明顯,最早是滿足《薩班斯法案》,國內又提出,國資委又提出要求,最近在財政部也提出要求,企業怎么滿足不同需求。這個我們認為可以借鑒向國外上市的公司,用《薩班斯法案》上市的經驗,可以分五個階段。第一個階段是企業如何去控制規范,企業具體要求是什么,第二就是我要建立業務體系,第三就是我們要內部體系進行評價,第四個階段我們企業面臨挑戰就出來了,企業尋求信息化的手段,首先想到信息化手段我們要把我的內控測試,監督工作流信息化,我們要把整個體系文件信息化管理,第五階段我們更高層面規范我把業務標準化,很多跨國公司很多相同業務存在,他們風險是類似,也是可借鑒的。如果不存在業務單元,業務列成標準化,我風險的數量會大大降低,這是流程標準化。最后就是他會有一些信息化的手段實現我們業務和我們內控有機融合的目的。這是我們所面臨些挑戰與啟示,下面給大家介紹一下我們在內控和風險管理的一些解決方案和想法。
我們認為國資委前面發的指引也好,或者是財政部規范也好,明確提出企業在內控風險管理過程當中充分發揮信息系統作用,也結合我們在國外的一些經驗,我們現在解決模塊就是6大模塊,基本涵蓋我們整個內控和風險管理過程。第一就是我們首先一個建模模塊,可以把企業內部業務和整個風險和內控風險體系文件進行管理。第二是風險事件的管理模塊,我們怎么建立風險事件部。第三是風險評估模塊,我們把風險評估任務分到各個管理部門把所有風險進行排序。在第二層面控制實施模塊有兩個,一個是幫助發布實施模塊,我們可以給企業業務流程,讓業務流程管理人員共同使用。第二是監控及預警的模塊。我們一些業務的指標,資金流動性等等這些指標,第三層面就是我們有一個監督改進模塊,可以使整個體系監督測試工作機械化。
我們在跟企業溝通過程中有一些問題,我們體系文件問題是很多,我們用大量文檔,我們看到表述了企業業務實際情況的文檔,還有一些風險矩陣,包括一些制度組織,發信這些文件是分散,在業務上是有聯系,但是在管理手段是沒有聯系,我們怎么做風險識別呢?我們系統有一個基于一個數據庫把我們整個企業業務現狀和風險控制集成化進行對象化的建模。我們左側看到了一個流程,我們發現有一個風險點,這個風險點有一些控制措施,基于控制措施的執行情況,由于會有一個監督測試措施,針對這些測試我們制訂一些人員,在系統里面把有機關聯起來,進入一個建模。基于我們信息化模式可以進行快速分析,我可以知道我們企業業務存在哪些風險,我知道哪些管理這些風險,哪些風險是在哪些流程上這樣我可以很容易抓住一些風險的重點,并且我們業務管理軟件有一個很好作用我能夠把企業里面對于同一個業務,從不同管理體系的要求,都在這業務流程表述出來,比如說從質量管理方面的要求,安全管理信息的要求,內控管理信息的要求。在整個表當中我們可以看到三套流程框架,我在具體執行業務過程中我到底要執行哪套業務,執行哪些要求,我們這個系統是可以把所有管理體系的要求落實到一個業務流程體系,這是同一個業務流程進行集中化的管理。在我們系統可以根據不同管理體系要求,我們質量管理要求,內控管理要求,再出具不同的業務報表。
我們的系統最重要一個點我們可以搭建一個業務部門和風險管理共同使用平臺,首先我們業務人員和風險管理人員可以進行業務的建模和風險管理建模,形成一個企業管理知識庫,管理人員可以看我們風險點,業務人員可以看業務,并且可以滿足跨地域的支持。
綜合來講,在這一塊特點主要有兩個,第一搭建業務人員和風險管理人員共同使用平臺,第二我們可以提高業務流程風險管理制度的效果,前面講到可以減少工作量。
第二跟大家介紹一下我們風險評估的模塊,是一個風險評估軟件,在我們風險評估內部發起到外心,到風險評價結果分析,前后我們都可以在系統里面完成。最后系統要給企業管理層幾個報表,比如說定量分析的熱圖,定性分析的熱圖。并且我們可以根據我們多次評估結果掌握不同風險變化趨勢。這個風險評估解決方案特點,主要有兩個,第一我們通過流程信息化,我們把風險評估工作,信息化以后,固化以后可以建立一個持續風險評估機制,比如說對某一個風險要半年評估一次,到期的時候,系統會自動發起評估任務,可以確保風險評估任務的工作,第二我們基于同一個平臺進行風險評估可以保障所有風險在同一個平臺實現,可以掌握所有的風險的情況。第三個模塊是我們風險損失事件管理,可以通過一個工作流建立一個數據庫,給我們提供一些風險借鑒的案例,比如說我們看到一個信譽風險有幾次,原因是什么,這樣對我們風險識別有一些啟示作用。它的特點有兩個,一個是通過信息化建立一種固化持續化的風險機制,第二建立公司統一可以對風險應對提供一些數據化的支持。第四是我們監控和預警的模塊,這個模塊最大的特點是我們可以從企業業務系統里面提取業務數據,進行指標的監控基于規則的事件識別。
我們系統最大的特點數據功能是非常強大,可以跟現在所有的業務系統和數據庫可以進行數據的收集和對接,我們可以把企業很多關心情況展開的地方,可以預警展開指標的情況,從而實現風險之前的管理和運營。我們設計了一些業務規則,看系統里面我們業務操作過程中有沒有按照這些規則做,實現過程控制,還可以提供一些選擇功能。比如說我們能夠看我們的職責,在各種信息系統里面落實情況,檢查全面配制的正確性,合理性。
最后是我們測試和評價模塊,這個模塊主要是通過測試和實現對我們體系監督評價,這樣我們的軟件也是一個工作流軟件,涵蓋了從測試任務的發起到測試工作的進入,到統計分析到改進工作跟蹤,全過程涵蓋。它的最大特點能夠和我們建模模塊做最初體系軟件,進行數據同步,保證我們在監督測試的時候,我們看到和我們體系設計的初衷是一直的。
最后它這個系統有一個很大的統計分析功能,出一些多緯度測試結果,內控和風險管理績效考核,不同業務哪塊業務做不好,哪一塊風險管理不好。我們可以從不同角度,或者和哪些科目相關的風險控制點到位不到位。我們通過流程信息化建立個測試及整改的工作機制,第二我們系統和我們體系管理系統進行數據接口,保證在測試過程中使用所有的文檔都是集成的,不用工作人員手工做很多文件,第三簡化我們大量工作,提高我們的工作質量。下面我們簡單介紹一下我們在德國做的案例,這是一家在國外上市的大型國有企業,最初就是做內控項目是從《薩班斯法案》開始,在遵循《薩班斯法案》過程中他發現有幾個方面挑戰,第一是業務流程管理水平很低,增加了內控管理的難度,影響內控管理工作的落實。缺乏一套可以全面表述工作情況的文件,不能不全面的表述出工作業務的實際情況,要識別風險加以控制這是一個很大的挑戰。第二是他的組織人員非常龐大,他體系管理難度是很大。第三挑戰他的內控監督測試的組織,工作難度很大,測試成本很高,用的幾百人的人力進行一年工作,才能做完,首先有很多的工作細節導致很多測試成本不是很高。
根據這樣的特點,我設計了基于風險管理的系統,首先把我們業務和體系文件管理起來,第二做人力和測試模塊。第三就是我們要把做完的業務和體系文件發布出來,同時這個系統還能夠支持我基于同一套流程,可以滿足我內控也可以滿足我ERP實施的要求,還有一些指標的控制。做的第一個工作首先是我們把業務進行全面梳理,從橫向到縱向可以保證我業務真實的業務狀況。基于這情況我們看每一個業務流程里面有那些風險點,業務目標是什么,有哪些不確定的因素,針對風險點我們有哪些是控制措施,風險管理,控制執行我們怎么測試進行一個統一規則進行了一個描述,以后我們可以發布出來企業管理的內容庫,這樣我的業務人員在維護人員可以看我每一個業務要求,風險管理人員可以快速看到的風險可以到那個里面去。通過前面講的測試的管理和測試的統一分析,極大地節省了他們的人力與物力。這樣以后我們跟客戶一起總結,整個做完以后收益是體現三個方面,第一是通過風險管理工作,進行業務流程標準化,加強企業規范化指引,提高業務管理水平,這是客戶一個收益。第二提高內控管理的工作效率和質量,降低我們合規化成本,主要是信息化手段降低了工作量提高效率降低了合規成本。第三方面的收益實現了內控管理和業務經營活動的有機融合,過去內控風險管理工作就是風險管理部門工作,業務部門是對專業部門去推動的,這樣一個雙方抵觸的情緒。通過這樣一個程序雙方可以落實,把我控制風險融合到業務當中去,實現業務管理工作和風險控制的有機融合,我們對內部監督測試過程也是對我們業務執行力的檢查,也是業務執行的保障。
今天時間有限給大家介紹就到此為止,謝謝大家。
主持人:非常感謝闞先生。下面一個討論主題是“中國石化信息化建設和內部控制體系”,有請中國石油化工股份有限公司信息系統管理部處長姜林。
姜林:各位領導,嘉賓上午好。
我匯報題目是“中國石化信息化建設和內部控制體系”,匯報的內容包括中國石化基本情況,信息化建設和應用情況,信息系統內部體系,IT內部體系。
中國石油化工股份有限公司是由中國石油化工集團公司,國家中華人民共和國公司法多家發行方式,2000年2月25日設立股份制公司,分別在香港、紐約、倫敦,三地交易所成功發行上市。
2001年7月16日上海證券交易所成功發行了28億A股,截至2008年年底中國石化總股本857億股。中國石化是中國最大能源化工公司之一,主要從事石油與天然氣開采開發。管道運輸銷售,石油煉制、化工、化纖、化肥等等產品輸送。石油、天然氣、石油產品、化工與其他化工產品進出口代理進出口業務。技術信息研究開發應用,中國石化是中國最大的石油產品,包括汽油、柴油等主要石油產品,也是中國第二大原油生產商。
中國石化建立了規范的治理機構,實行了集中決策風險管理和專業化經營事業部,事業部管理體制,中國石化有全股子公司,包括煉油、化工產品銷售等企業。主要是集中在中國最發達的東部和南部的地區。中國石化更加注重科學創新、管理創新,努力把石化建設成為能源化工公司。
中國石化最大股東中華石油化工集團公司是國家在原中國石化公司總基礎之上,1998年成立了特大型石油石化集團,美國《財富》雜志2008年世界500強中國石化名列第16位。第二方面是信息化建設了應用情況,2000年以來,中國石化以ERP為主線信息化建設獲得快速發展,到2008年底ERP在81家企業,以ERP為帶動電子商務系統、供應鏈系統、生產指揮系統、集中管理系統,一些先進控制生產集成系統,等多種使用系統都得到了廣泛的應用。目前信息技術應用解決中國石化生產管理多個領域,中國石化ERP開始于20000年,在4企業成功試點多個展開,包括油田,煉油化工銷售,企業全部覆蓋,企業從業大規模ERP建設,2007年底基本完成,ERP系統推進資金改革提高管理水平,規范信息管理行為,強化控制方面效果明顯。
中國石化通過采購電子商務系統從2008年8月投入至今,網上采購結果88個單位,5千個物資擴大到目前50多個單位,76萬多個效果,90%的物資實現了網上采購,到09年3月網上采購資金突破6千億,集約采購200多億。對供應鏈系統經過幾年建設,提高原油采購,運輸、加工,供應鏈管理系為煉油企業講穩增效起來發揮了重要的作用。人員統一調配,用統一安排格局及實現技術指標分割,數據采集,監控分析,有效地降低用戶費用和財務費用。目前總部生產系統以新大樓統一運行,實現調度跟蹤,系統各項部門功能得到有效應用,總部集中了平臺,用戶總體不斷擴大。目前已建成IC卡聯網加油站17000多戶,發卡網點5000多,持卡消費33%以上。增產集成系統用三年左右時間提高到2到4個小時完成,為企業降低能耗提升精細化管理水平有很大的改善。其他應用系統,全面運算系統等油田企業煉化企業、教授企業、科研工程單位信息化建設也得到了深刻發展。
第三是信息系統的內控體系,我們03年成立了內部指導小組,成立專門辦公室,組織協調內控建設和實施工作。應對不同市場,借鑒美國經驗提出內部控制框架,公司經營財務有大關鍵劃界,制訂了內部手冊,經過測試于2005年1月1日起,在公司正式實施內控制度,經過四年多實踐,內部范圍控制逐漸擴大,覆蓋了中國石化所有活動內控體系。中國石化內部控制手冊2009年版有18大類,配套相關總部管理制度244個,各分公司規定了工作流程結合本單位。為了保障內控管理有效實施,辦法內部控制辦法,在總部分公司兩個層面使用。中國石化內部控制手冊2009版本有17個流程,基本全部實現了信息化,另外5個業務流程為IT部門流程,其他業流程暫時沒有實施信息化,或者與信息化無關。
第四個問題向大家匯報一下中國石化IT控制體系。中國石化IT控制體系包括IT內部業務流程,IT一般性控制,和IT應用控制。2003年建立了信息系統管理業務流程,2005年啟動IT控制工作,2006年建立了IT一般性控制,2007年結合ERP系統,應用系統和基礎設施IT一般性控制流程。2008年IT控制體系進一步完善,并將重點專項IT應用控制,2009年隨著深化ERP應用進一步深化IT應用控制。IT一般性控制包括企業整體層面IT控制,和企業活動層面IT控制,近期系統管理業務流程IT體現包括與管理體系,信息化教育培訓及憑險評估,信息安全管理重要控制內容。有關活動層面IT要求,通過ERP系統控制流程等體現,ERP系推IT一般性流程,包括和數據訪問,程序變更等等,業務流程IT一般性控制流程,主要財務報告是生成相關,如ERP財務報告系統,加油卡系統流程包括程序變更,訪問方面內容。結合網絡服務器,機房設計。流程包括機房管理,故障處理方面內容。中國石化IT一般性控制主要和信息系統日常管理結合,經過幾年扎扎實實的工作,對外部省市認為中國石化IT控制到位,保障信息系統安全,穩定系統方面發揮重要作用,中國石化IT控制主要有ERP系統應用結合,ERP系推是中國石化主要系統,比如說計劃控制、一般控制、價格控制等等,自動平衡資源及實現資金流,物流等等。通過發揮系統集成,滿足用戶管理要求,實現IT控制目標。
中國石化內部控制手冊設置50多個流程,以27個業務流程與ERP有關,總體實現配制控制,輸出輸入控制,包括時期控制、操作規范控制,日常操作,垃圾數據操作。用戶檢驗包括組織值,關鍵詞代碼,以及系統機構控制。ERP全面實施落實IT控制提供標準平臺,有利實現IT控制目標,提供了有效的保證,實現提供有效保證,在深化ERP系推同時進一步加強的IT控制。
主持人:非常感謝姜處長。下面有請網康科技服務部總監陸續周先生。
陸續周:很榮幸有這個機會,跟各位專家交流一下內控體系,我本身有在一個大企業做過10年的IT系統,而且比較早的實現了有關的業務內控,我的交流分五個部分,引言,把內控條例讀薄。
內控剛才也講了是一個全員的工作,尤其是核心團隊共同實施,因為借助信息化實施,所以一般CIO比較痛苦,我該怎么辦。其實整個技術層面內控里面是一個支撐,如果說我不能一下子全做到,有一個辦法分布落實,這個時候可以看到把內控條例讀薄對我們有很大幫助。一個經濟學的泰斗跟我說過,書里面東西比電視好,書里面東西可以讓人聰明,電視可以讓人變傻,因為書是可以越讀越薄,把內控條例讀薄對我們有很大幫助。在這個內控條例里面我們最主要是宣傳、培訓,讓每一個落實人心,無論是美國的安然,還是經濟危機美國企業高管,依舊發高額年薪,往往是因為人的不當操作導致,內控精髓是規范人的行為,讓規范深入人心,同時讓人難以有意、無意違反這個條例。所以我的標題就是“內控以人為本”。我覺得要想把內控讀薄有很多范圍,畫了四個框。首先內控是一把手工程,從董事會,最高層要重視。第二點是整個核心團隊,共同參與設計不要指望就是IT部門做內容不可能。但是IT部門的這種支撐、架構是必不可少,我們內控所有流程都在支撐系統中,人的大腦效率是很低,我們一定確保內控條例,確保我們規范真正深入人心。往往人懂了不抵觸,就會知道這樣的好處。我以前的公司老板跟員工說我為什么要做好控制,因為只有我們控制住我們才可以活著,如果公司不好,員工得不好,所以公司600人一樣可以進行很好了內控體系,我們有了框架以后我們怎么把內控體系讀薄,構成一個企業無非是兩種,一個是活生生的人,還有一個是企業資產,同時我們業務運作有業務流程和財務流程,是我們要做內控體系要關注方面,把我們這些梳理清楚以后,有了這些關注點以后,我們怎么對每一個點進行內控規范設計,在內控條例章節里面可以看到,第一章第六節,權責分配、企業愿景、人力獎懲、可審計、反舞弊。每一個設計流程關鍵點切分,每個點都很重要,但是每一個點流程應該怎么做的,第一我們處理任何一個流程,任何關注點的時候我們要遵循第二章到五節第一風險分析,控制措施,信息溝通,監督檢查,一點可以分成20個操作步驟,不管有多少點我要抓住關鍵操作過程就一定可以做下去,我本來想畫一個四維圖,本人美工有限畫不出來。我覺得還有一個很大的緯度就是我們網絡,內部和外部網絡,有這么多點我已經知道了,那么我該怎么做,今天有做窗效應。如果我想做窗等到我們所有的窗戶一次性采購完,這樣的話讓別人認為窗戶破是應該的,不破窗戶我要打破,這個是一個很知名的效應叫“破窗效應”。這樣的話用最快的效益,把能夠修復好盡快修好,給人一個意識我不能再打破其他窗戶了。這種思路一定要灌輸,內控條例里面有沒有可以盡快修復破窗呢。
這是整個架構內部外部網絡,內部網絡關注于每個企業的個性,比如說金融、石化、科研、政府內網一定不一樣。一個是設備制造商內網一定不一樣,它的流程很復雜,外部網絡比如說我訪問互聯網、訪問郵件、訪問外部應用是有通用的,是一種普適性很強的,不妨我們從最容易下手的地方下手,把破窗破除掉。
這是我的心得,內控先找軟柿子捏,在這種外網互聯網環境里面我們可以看到,它實際上貫徹了一個企業企業文化,企業愿景,就是人員基礎,我們利用互聯網知道應該做什么,不應該做什么,這個是通用而不準則,因為是一個基礎所以很重要,因為通用是一個軟柿子,很成熟不需要我們太多考慮我們業務的關注點,在外界很多大量已經成熟可用的方法,來破除破窗。同時互聯網這種行為是人的第二人生,可以反映出一個企業人的文化、思路、想法。因為我們曾經給客戶做咨詢的時候,我們很輕松發現哪些員工想跳槽,是一個人的思路直接體現,所以當我們了解人的思路以后,了解了關鍵點之后,我們想讓我們其他規范深入人心會變得很容易。所以說互聯網行為的內控實際上是一個已經成熟,而且成本效應更高的軟柿子,我們不妨從這里下手。內控為兩種,那么互聯網內控,問題到底在哪里,我們現有體系是不是已經把內控實現了。我們來看一下,根據我們服務過很多客戶的角度看,第一現有狀況很普遍,內網IT沒有認證,沒有專業互聯網接入的安全體系,會導致我們內部的人員根本不知道誰做的,我相信我們越大的網絡越會采用動態的成本,這種情況我們怎么知道誰做了什么事,我們不能關注到人何談內容,沒有權限、沒有規范。第二,我們互聯網上可以看到無論是HTTP網頁下載,還是最流行的P2P下載,還是IM的收取,都是面臨企業挑戰希望員工不違背的事情,大概30%是國家級的網站,我聽到收音機,說北京市青少年每周平均上網時間是37.5小時,如果按8小時工作日,將近5天,而且其中有一半的學生訪問過色情網站。實際上可以看到這里面網頁的問題很大,同時像P2P基本上沒有太多用來傳數據,基本上是娛樂。
像IM、UML都是我們想控制的,但是卻控制不住。第三點實際上在我們外網業務我們缺少有效出口,我不知道外面的文字是什么,這時候帶來是本身在金融危機下避免風險是最主要的事情,規避風險,那么因為我們無法控制,接入的風險就很大。同時我們企業機密,核心信息往外發送是太簡單容易的事情,我印象最深當時國內兩大運營商,簽署互不侵犯條約,這個時候我們對數據保護來說存在很多的問題。其實我們IT系統最重要是要付出有所得,由于我們局域網帶寬很大,運營商核心網帶寬也很大,我們想讓企業網能夠匹配這個大小不可能。第五點最重要的一點,跟企業文化有關系,我們在一個專業的報表里面可以看到,我們員工在互聯網上,只有45%是查詢有效資料,其它的是在做與工作無無關的事情。如果一個企業文是讓員工積極向上,而在某一些工作行為當中是積極向下。的確我們想控制,但是為什么控制不之呢,可以看到,安全里面有一個很重要效應叫“獨眼鹿效應”,這個“獨眼鹿效應”我們默認的是防外,不防內。第二是說很多我們不希望發生的行為,往往披一個合法的外衣。現在可以看到現在的我們信息專家,80端口的迅雷,我們有太多協議。第三我們內容細節沒有辦法判斷,因為我服務公司是一個研發公司,從網絡傳一個SP是什么我不知道,我只知道是一個文件這種情況我們怎么管理。
我們講兩個案例,一個是華為電腦,可以看到300多帶寬70%以上流量被工作無關的內容占用。第二是國家核電,自成立以來是一個部級單位。為什么和困惑,我不知道網絡可以傳輸B2PIM里面內容是什么,但是我想知道里面內容是什么,不能讓里面核心的東西出去,這是我們中國企業困惑的。在國外企業來說可以看到通用電器,還有摩根大通、環球電視,這些都很早做了互聯網控制。
有了這些問題我們怎么做,我們服務客戶我們覺得我們把這個條例讀清楚,互聯網技術層面傳統的有傳輸的HTTP等等,新興的P2P,等等。在我們內控點上結合我們有哪些,第一主體健全,我們行為要符合企業遠景,我們行為要可審計,要能給IT成本很大收益,我們行為能夠讓人力資源部進行相應控制,我這是我們在外網、內網的著眼點。管理方法我們在兩年前就提出內控風險管理,就是一個典型的干預,大家遵循是螺旋式上升原理,我是任務模式不是功能模式。比如說我們設備防火墻,是把功能模式,但是不是任務模式有效灌輸給我們客戶以一種方法引導我們,所以我們很早提出的理念就是遵守我們風險評估。
具體的建議,第一點無論是什么樣的系統,我建議都新用一個路由器放進去。你是雙面的,單面的,還是旁路接入都可以,把我們互聯網出口進行這種進行下一步分析。首先建立有效的行為主體識別機制,與組織建構真實的相關可靠的真實的網。這是我們第一步主體健全。第二是我們分析進行相應的風險分析,我們知道有網站,應用,流量問題,為什么搜索習慣寫在里面,我們曾經用一分鐘的時間搜索,就是一個員工做什么,雖然就是幾個字,十幾條,這種搜索習慣很容易看到企業的員工的心態。第二,我們專業網頁應用完善自己監督與控制,是內控體系第二步,我們是借助全球最大的中文搜索部,對各種各樣外發信息內容,大小,人員行為識別,對流量通過我們獨有通道來有效控制,可以能夠讓我們安全體系、能夠讓我們互聯網控制體系達到有效的控制。第三點是最最重要的,一個我們解決方案決不能是看,控,一定是可分析、可統計、可查詢。這個是我們內控里面很重要,我如果持續發現我們網絡有新的問題出現,流量有異常,不斷發現我們有異常,不斷地和我們主管公司高層溝通,發布報表可以有效讓這種制度落實到人心,讓大家知道我該怎么做。
通過對外網的內控體系、內控思路、內控方法的灌輸,我相信合法、合規行為將將一個積極向上企業文化提心,信息保密,外發控制會得到有效,同時資產保護也會得到很大的保護。當時華北電網部署網上體系以后,帶寬下降了150兆,國家核電全網采購了我們的體系,他的所有代發體系就健全了。
這是網康的服務案例,大家都是全網采購,無論是國家部委,這是最大金融機構,國內很大上市公司,還有制造業、媒體,各個區域像華北電網等等。可以看到通過部署這些裝置,很有效的能夠管理企業。
網康公司實際上已經持續5年為互聯網提供專業服務,我們以每年300%速度提升。我們價值,我們理念是以人為本互聯網管理思路,以人為本價值呈現我們在第8層上,我們希望能夠在第8次做到人與技術完美結合,服務于我們中國企業上好網,用好網謝謝大家。主持人:非常感謝陸先生的精彩發言。下面我們有請用友公司NC產品架構師付建華女士。
付建華:各位來賓,上午好,非常榮幸能夠有這次機會我們借助這個平臺,用友公司和我們在座的企業高管,我們公同探討一下信息化環境下企業內控的建設。
說到這個話題,在今天和大家交流的時候,除了在后面介紹用友NC系統,之前還要想稍微花一點時間交流一下IT技術或者說在信息系統環境下,企業內部控制管理差異和重要性。
首先看看IT環境下企業內部控制體系的建設,前面我看到來自于不同的企業嘉賓都提到了。我們說到企業內部控制系統建設的時候,我們都知道離不開IT的手段和工具,實際上在我們交流這個問題的時候,如果我們是在座企業的CIO,或者你是企業將來服務內控工作開展職能部門的負責人,我覺得首先要思考一個問題,在目前IT環境下,我們這個企業開展內部體系建設、健全、保障它有效執行,然后進行監督和評價的時候。到底和原先在傳統方式下產生了哪些差異。在《薩班斯法案》頒布以前,沒有一家企業可以說我們沒有一點內控機制,如果你是中型企業、大型企業,企業制度和相關文檔這些東西在企業當中都是有,但是法案頒布以后對企業要求更加體系在幾個方面。第一是內控是否完善健全,第二風險內控是否得到有效執行,第三法律要求進行監督評價,如果內控有漏洞,沒有讓公眾及時了解到,要承擔相應的法律責任。
在企業圍繞三個層面開展內控管理建設,執行評價的時候,首先你要來思考一下在IT環境下,或者說信息技術與信息技術結合情況下,企業內控管理如何開展。首先看一下信息技術給企業內控管理帶來影響有哪些方面。
首先控制原則和方法發生巨大改變,我們原先說內部控制基本原則和方法,我們知道有原則,目前對于企業也可能要非常關注信息技術,IT環境下控制原則變化,信息技術成為企業內部管理很重要的方法、手段和工具。第二是控制內容和方位,從5部委中我們可以了解健全企業內部控制體系,IT控制是你企業必須要關注一個領域,原先你非常關注我企業工作治理機構,組織架構,職責權限,業務流程在企業循環的控制。在當今企業環境要更加關注IT控制這塊,要思考一下我們企業以前,公司以前在IT控制領域是否有健全的控制體系,制度是否有有效的監控手段。這也是一個巨大是變化。
第三個方面也是IT技術對企業帶來的挑戰,你的內控制度體系設計非常有效,但是執行是否得到有效保障,所以說內控執行在目前管理情況下,所有企業或者說大中型企業借助于IT系統保障內部控制有效性。在座的各位領導公司知道沒有一家公司不會使用一部分軟件,比如說使用ERP系統,Oracle或者用友,其它軟件系統。你的核心業務、財務信息、報表會在這些系統里面產生,那么如果說這個時候你的內部控制執行的手段,或者說執行的評價要繞開ERP系統或者是IT系統,企業可能就不能正常運行。第三點我們可以用一句話指導它的重要性,對客戶框架有深入分析,我們知道全球包括美國、英國,包括新加坡、香港、日本,還有我們現在中國,所以的國家在制定內部控制相關法律規范的使用框架,是遵循的COX框架,如果你這個企業的內部控制執行,是依賴于某些IT工具,比如說ERP系統,其他的軟件工具,將來第三方見證機構對企業進行內部控制審計評價,可以適當的減少審計工作量,提高內部提出有效性可信任評估,所以借助ERP執行是非常重要的了。如果說像我們原先很多在海外上市公司,每年請四大幫你做內部審計,或者咨詢費用是非常昂貴。如果說我有了可靠ERP系統,所有內部控制都在ERP系統當中得到良好體現和控制,你的審計和相應成本會縮小了降低很多。這也是企業要關注的重要一個方面。
另外一個方面就是控制監督及我們知道法規頒布以后,對企業帶一個新的挑戰,就是內部控制必須進行監督評價。這個監督評價包含兩個層次,第一個是內部監督評價,我們看到國內上市公司都著手把企業的內部及審機構職能進行擴充,原先可能是傳統審計就是報表審計,現在要擴展傳統的審計,企業內部控制、獨立審計等等方面。在內部監督評價同時,法規明確要求必須請外部第三方機構進行有效評價。在評價和監督的時候,我們知道首先我要檢查你的內部控制設計是否健全、有效。檢查的時候事務所是看內部控制設計是不是得當,這是第一個。接下來就是內部測試執行是否有效,要看你內部控制的證據,企業核心業務在ERP系統上,那么ERP系統可以幫助你保留你的關鍵業務執行過程當中證據、文檔、資料、報告,供你企業內審,機構檢查一些證據,做出評價。同時,我們知道如果你看這個基本規范的時候,只說了一句,要請第三方機構對內審機構評價,你需要在年報當中明確的公告你的企業內部,對企業管理層,對內部工作的評價結果是怎么樣的。我們看到很多上市公司從2007年年報當中就開始披露,大概有兩段話,認為我們公司內部工作是完善有效健全等等,這一段話是給公眾看。背后包含內容非常多,你這個有效性是要有證據,雖然沒有披露給公眾但是都要包含在企業當中。所以這些數據依靠手工整理這些證據,保留這些證據基本是不可能實現的。
第四方面也是我們企業在現在應對法律法規要求的時候,要考慮的,我們怎么保證這個有效性評價,提供證據。這四個方面對我們是非常重要,這是我們提到的第一個方面,IT控制內容增加,我們時間有限,不相信展開討論這些問題。如果說我們是CIO,IT控制這一塊領域要圍繞這些部分,IT控制建設是圍繞這些方面。在這些方面當中如果你的企業用了軟件系統,比如說ERP系統,ERP本身的環境控制,本身安全性是你IT控制重要核心內容,這個是給大家作為一個簡單提示,不要忽視這個方面。另外在執行的時候,我們看到執行的過程全面可以在系統得到有效保障,當然企業內部的內容涉及到公司治理到每個業務全部內容,其中有很多關鍵核心的東西,我們可以借助平臺網上控制執行有效性,將來要借助ERP系統內部控制執行過程信息記錄下來,證據記錄下來。我們舉一個例子,假如說信用控制是企業非常關注的點,在很多行業信用控制是風險非常高的地方,信用控制的制度,文檔設計好以后,接下來要讓信用控制得到有效執行,這就要包含一系列的動作。首先要先做什么資質鑒定評價,有相應的資料。評價完畢以后設定信用的情況、信用的額度,所有業務發生完的時候是否受到了控制,這些都是控制證據。這些控制證據如果說你銷售管理系統采用是ERP系統,ERP就應該幫助你留下這些信息證據。這都是將來第三方審計的時候要看的,如果第三方審計的時候,看的時候問你這些信息在哪呢,我說我們不是手工管理是ERP管理,但是這個ERP系統當中也沒有記錄出來完整的信息,這個時候事務所說你的系統是有漏洞風險的,我不能數據無保留意見報告了,所以說在這些方面,將來檢查一個系統,軟件系統能不能滿足我們內控要求是非常重要。
在我們用友公司內部部署多條產品線,分別面對不同客戶群體。NC產品也很多企業接觸過,是面向與中高端客戶群體,尤其是集團性企業的一個完整ERP軟件。目前來說我們很多上市公司最先要受法律法規約束的上市公司,集團企業占的數量比較多,集團企業在開展內部控制管理的關注點和一般企業有非常得大區別。比如說我是一個小型企業或者中型企業,內部按照常規內容流程設計開展就可以了,但是對于集團公司來講內部控制涉及到所有業務職能,還涉及到總部對下述不同類型分支機構控制,第二方面控制是目前設置企業內部控制的時候一定要關注的地方。比如說原來中石油、中石化內控系統走得比較靠前,目前應該重新構建檢查內部控制體系的時候,一定要關注這個環節,比如說你的權限的重新設計,權限體系的重新設計,必須從總部一級子公司到分級子公司下來的,我們采購業務是集中采購,某些物資在集團總部有那些,下級子公司有哪些,是要縱向考慮。所以說由于企業集團在控制管理特殊性考慮。
這個軟件是為集團企業設計還是為一般企業設計的。NC系統的年軟件系統首先一個完整的ERP系統,在2005年、2006年我們開始跟蹤相應的法律法規,還是做相應產品規劃和完善,我是NC產品內控產品設計人員,實際上在NC產品當中,信息化除了目前完整ERP系統以后,也結合了相應的法律法規,不管是《薩班斯法案》還是國內法律法規,對企業要求就分四類,我們很多企業接觸法規的時候,或者搞控制體系不知道該怎么入手,其實就是一個四個方面,第一是內部控制制度的設計,內部控制的執行,內部控制的監督評價,最后就是證據,左邊是法規對你企業的要求,每一個領域你合規應該滿足要求是什么樣的。
結合法規的要求,將來考核軟件系統要求軟件系統在這些方面支持內部控制開展,第一內部控制穩當跟ERP系統產生一些交互關系,我們內部控制文檔文件資料一大堆。然后實際上我所有這些內部控制流程在軟件系統里執行,我要看一下某一個業務內部控制文檔,再檢查執行有的時候很難結合起來,應該要求軟件系統提供文件記錄或者關聯功能,讓把兩者有機結合起來。第二檢查軟件系統控制是否嚴密,是否可以滿足你關鍵業務、關鍵控制點在你軟件上面開展,這也很重要。企業內部明確崗位分離,看五部委規范的時候,每一個集體規范第一頁都寫了,你要把權限文檔變成權限體系,是否可以幫助你稽核不相融職位和崗位的分離,這是很重要。第三要求軟件系統對企業關注核心業務數據保留審計線索,這是非常重要,如果沒有審計先線索我就不能檢查制衡過程中有沒有什么漏洞。如說軟件系統當中客商檔案信用額度隨便被別人修改過,修改完了我也不知道。那這方面你們企業這在分析漏洞就是非常大,我關注客商信用額度信息,軟件要給我記錄,某人是否修改過,什么時候修改,我能夠記錄下來。
第四點,能夠在軟件平臺查詢關鍵的控制流程、控制點和情況,要求評價內部控制時候要做的工作,這個工作同樣要借助軟件系統。前提就是一個你的業務是在ERP里面,手工評價是不可能,要對軟件這些方面也有要求,我有一個觀點和大家交流如果你業務財務都是在依靠ERP系統執行,這套系統檢查評價內部控制是最重要。你的內部控制是在用友系統當中執行,你用另外一個軟件檢查你內控是否得到有效執行,這個效果會大大折扣,如果我們是企業CIO同一個軟件公司設計出來不同軟件產品之間的集成程度,不可能像一套軟件集成程度那么好,一個廠商可以幫助你控制執行,又可以幫助你監控執行是最有效的,集成性我覺得是非常重要一個方面。
另外在平臺監督內部控制執行,做出評價。結合這些方面在用友NC產品當中,在各個層次上面為企業提供內部控制服務功能和產品功能中這也是讓廠商要求做的,實際上在為企業提供服務的時候,從內部控制管理上面可以分五個層次,剛才我們說到這個企業現在搞內部工作必須關注IT控制,當中軟件系統環境控制是非常重要的方面,如果整個企業應用軟件是一套,或者核心業務都在用友軟件里面,都在SP的軟件里,首先肯定要檢查這個軟件自身的控制是否嚴格,嚴密。比如說輸入控制是否安全、輸出控制是否安全,處理控制是否安全。比如說輸出控制,安全機制是否能夠滿足企業的要求,這件事情說起來簡單,但是實際上實踐起來也比較難,所有用戶進入系統要有用戶密碼,這個機制是否安全,除了一般的密碼是有特殊保障,我們知道在企業當中風險非常高的崗位就是出納,出納人員可以去執行付款的動作。如果這個人員可以隨便被別人篡改密碼登陸系統的話風險就太高了,這些方面軟件系統應該有安全的機制,保障你這方面安全還是很有效。
另外我們考慮內部控制建設的時候,關注的一般控制內容,在企業內部控制規范當中也提到了,企業應該關注核心控制的東西,比如說權限、審批、稽核、風險預警等等,這些是所有業務要遵循控制關鍵點,我們用友滿足所有的機制和功能比如說系統當中權限、模型,然后用戶決策模型,是幫助你權限方面的模型,是否可以滿足企業審批控制要求,系統當中預警機制,是否能夠滿足你控制風險預警等等。這也是在NC系統當中第二個層次提供的價值。第三方面就流程控制,我們知道所有企業核心業務流程設計了很多控制點,比如說銷售業務、采購業務、投資業務、財務報告編制等等,所有這些業務都會涉及到很多的控制點。那么你原先在選擇ERP系統的時候,原先這個廠商ERP系統能不能滿足我們業務流程,現在要增加另外一個考慮緯度,除了滿足銷售業務還必須滿足我們銷售控制在系統當中得到有效執行。業務系統方面我們NC系統結合我們五部委頒布《《企業內部控制基本規范》的要求,全部滿足了,沒有滿足現在把這些內控點在產品中進行了相應補充。
第四方面是為我們內控的監督和評價服務的相應產品,比如說我們將來要監督這些控制的執行和評價,你要幫我留有完整審計線索,幫我把相應控制流程和一些規則輸到系統當中去,要提供平臺,讓我看到我的內部執行情況是怎么樣的。這就幫助企業減輕了大量的工作,所以這也是我們提出新的產品功能。
第五個方面是我們公司本來有審計產品,原先我們企業在選擇ERP系統的時候,可能不會過多地關注審計的產品,將來就有可能非常關注,企業內審機構在企業發揮職責職能越來越重要。你內審的時候是需要借鑒軟件的平臺。所以第五方面也是軟件系統提供給我們的相應價值。這是剛才我提到跟各個方面,比如說提到第一個系統環境工作,看一下NC系統,在安全性控制提供功能和機制,然后審計線索,安全性NC系統當中可以實現對企業你關注核心的數據、單據、文件、報告單獨做CA認證。比如說剛才說的出納,付款我們要做CA認證,比如說我們非常關注核心報告閱讀也可以做CA認證,等等。這樣保證系統風險高的地方有效地方安全保障。第二,系統日志非常重要,在NC系統當中分為操作日志、功能日志,幫助企業保留日志信息,結合內控要求不能僅僅結合在原先我們記住某個操作員某天某時間登陸過,要記住相應操作動作,供給,內容是什么,當然這是跟企業不同要求,你來設計你要關注哪些東西,系統就幫助你保有哪些系統。
另外就是撤離上面安全機制要求,比如說系統處理價值,非常重要財務報告完整有效。現在每個幾個企財務報告是用手工都是軟件,那么系統中處理結構是否安全,也決定了你企業報告的完整有效,管理層解讀資產負債表,是否是最準確的債務信息,要取決于系統報告生成機制,比如說這個系統根本沒有檢查機制,財務系統操作人員。所以系統處理安全機制是非常重要。
第二方面就是系統平臺可以為我們提供一般控制規則。比如說系統會提供完善的權限模型,NC系統模型可以結合你對人設計非常細致的權限。軟件會幫助你檢查不相容職務是否分離,比如說出他和會計給一個操作人員,軟件系統可以幫助你檢查出來。分角色應用等等,審批的控制,預警平臺。
第三方面就是ERP系統各個業務系統可以有效的支部內部控制的執行。這個是企業案例,實際上做得比較好企業,內部控制是制度當中的一個部分,將來我們如果說在座企業內部控制體系還沒有健全,制度沒有完善,將來你也可能按照這個思路做,分析業務目標,風險,設置控制點,設計監督檢查辦法,然后形成流程圖。這些東西設計完畢以后,要把它的核心東西伴隨業務流程開展同時,控制在系統當中得到有效執行,從控制方法預防性控制比檢查性控制永遠都有效。比如說銷售業務必須做信譽額度檢查報警等等,都需要做規格,銷售價格自動控制等等,都必須借助軟件平臺保證它的準確有效。這不詳細分析了,這也是你在軟件系統選擇關注點,也是NC系統提供的核心價值。
第四點就是內部控制過程文檔證據記錄,和內部控制有效性的評價。在這個方面實際上也是對軟件系統要求,同時NC軟件系統希望在這個方面給企業提供幫助,比如說業務流程發生的時候在系統當中會有很多單據信息。這些都是證據,業務系統可以把這些證據分類,實現各種各樣查詢,和你風險息息關聯,同時跟你后續支持評價。另外,產品可以做內部控制監控平臺,告訴你的相關業務流程的控制,你的風險有多大等等幫助你做監督。
最后就是審計系統,實際上企業內部審計開展內部管理的時候,同樣要借助審計系統檢查ERP系推內部控制執行有性。
今天就用短暫的時間把用友NC系統,在企業內部管理建設中能夠為我們服務和價值做一個簡單介紹。各位領導和嘉賓有意見的話,用友公司也在做很多市場活動,再做詳細的交流和分析,謝謝大家。
主持人:下面為我們做精彩致詞的是河北網通信息化部高級工程師屈玉閣。
屈玉閣:各位領導,各位先生、各位女士上午好。我簡單地介紹原來河北網通信息化建設的情況,大家知道網通現在和聯通合并了,我說說河北網通是怎么進行IT系統的。
我說一下我們中國網通內控測試結果是為零缺陷,這已經通過2007年測試結果。內控基本路徑是這樣的,首先在美國上市公司要求,我們請國外咨詢公司制定滿足《薩班斯法案》框架的制度,然后在企業各個層面落實,企業請外部公司進行審計得出結論,最后在資本市場檢驗審計的結果。
每年內控工作基本都是說依照內控模塊制定的活動,依據本地化活動檢查點,檢查自己有多少差距。我們組織檢查各個單位改進,外省一次測試,到年底進行外省第二次測試。信息化工作主要是兩個層面,一個是信息化建設與運營,第二是信息化控制的控制。
《薩班斯法案》對財務來源控制途徑是三個部分,第一是信息系統,第二是紙質報表,第三就是電子表格。大家看一看ITGC報表,有幾個模板。我們原網通公司IT內控涉及的領域有兩大部分,一個是一般性質,一個是信息系統應用控制。一般性的系統控制包括四個層面,安全、操作、變更管理、開發與支持。信息系統包括ERP系統。一般性信息工作基本能力,我剛才說新系統安全操作變更管理,和運營系統數據庫開發與支持,這個包括詳細一般系統操作管理,數據庫和網絡,還有防病毒等等,還有應急預案,變更管理包括應用系統,操作系統,數據庫還有保護變更,在新系統開發包括應用和實施這個層面。一般性管理架構包括核心是應用系統安全,數據庫安全,下一個層面是操作系統安全,網絡安全,防止病毒應用系統和操作系統層面控制。
舉個例子,操作系統安全用戶管理,系統管理監控管理,我們在舉例子帳號管理要求內控是這樣,第一密碼格式、無效登陸次數三次,歷史密碼記憶個數,密碼復雜程度,秘密要求6位,默認帳號鎖定,帳號超過時間我們是10分鐘等等。另外系統包括業務系統數據開發,新的應用系統測試,新的數據結構測試,新的網絡測試。
我們說一下當時我們河北網通公司管理,外部看我們有網通公司內部控制管理400多條所以我們工作量是非常大,我們涉及安全、變更、系統開發、操作、信息系統等等,涉及部門就更多了,包括工程建設,物流采購綜合部,我們還負責電子表格,實際上要求我們06年必須達到《薩班斯法案》要求。信息系統大部分不能滿足IT一般要求,第二很多單位沒有形成IT系統控制路徑。
2006年我們進行8個方面的工作,一個是內容控制制度建設,貫徹風險管理方式,開展針對性與信息化管理控制工作相結合,統一IT內部流程表述和文檔的格式,問題整理及整改措施的落實,現場督導提出具體的管理措施。積極與相關部門溝通,解決COSO、UAT和持其系統存在的問題。最后是組織各單位有效開展管理工作。我們內控制度,首先要求制度健全,我們制定信息系統安全規范,表格的規范,還有做編碼,開發要求,開發必須遵守編碼規范,還有報財務部一個軟件。我們還開展針對性培訓,我們培訓是考慮兩個層面,一個內控要求對信息系統要求,一個是說內控對信息化管理控制以及業務流程要求。我們工作開展培訓以后,因為我們是做了大量的培訓,我們從舉辦各個省公司的集團技術主任,從各技術工作進行現場培訓,兩次進行電話培訓等等。這樣使員工的內控意識有了很大的提高。我們做了1200頁的控制文檔,包括開發與測試,還有風險管理內控,還有《薩班斯法案》,還有與外省市溝通。我們第三點,統一IT內控務流程描述和文檔格式,河北省有自己管理流程,我們為了加強內控管理我們我用一周時間制定流程,這樣寫文檔合適了,每個都比較完整就達到要求了。上個季度我們也形成了一個安全標準,通過統一流程、統一文檔我們在工作深度,進度方面取得了主動權,這個工作我們當時都在前列。
第四個方面,問題整理及整改措施的落實,我們制定了一個內控責任,根據系統分到每一個人負責哪條,每個人負責哪一段流程。我們內控整改工作還包括了兩個層面,一個是系統要求,我們原來系統基本上滿足了內控方面的要求。技術上我們做溝通做了補丁,要求在2000年的時候達到《薩班斯法案》的要求。五我們要求在網上要做記錄,完了之后領導要做相應的確認。第二個層面一定要進行內控的控制。控制聲明、授權和被授權文檔、作業流程、人工降低IT內控風險整改措施等等。
授權2006年各單位整改的基礎上,網通河北省分公司IT內控工作組去年市分公司收集整理第一輪測試在20個共性問題,深入理解內控要求,提出了人工降低IT內控風險整改措施。我們有一個信息系統非緊急變更實施范圍定義表,我們相應流程跟大家都做了記錄。內部授權方式,首先你要做聲明,首先您是誰,然后各部門制定一個崗位說明書,帳號統一管理,我們第一次測試的時候,有一個系統管理員把一個參數修改了,最后查出來,問你這個人是誰我告訴他,你把系統管理員的說明書拿出來,當時沒有找到,當時就說你不是系統操作系統管理員,你改參數干什么。當時我找他們溝通,把操作系統管理員的找到了,風險就解決,外部風險變成內部風險這個風險就降了。
我們總結一下IT工控制基本流程就是四個方面。首先是提出申請,然后是主管領導審批,不一定是你就是部門主任也可以是副主任,可能也是你班組長,相關主管領導。然后在執行當中并寫一下工作日志,主管另是一個月或者三個月進行審核。
第五點我們現場監督,提出具體的管理措施,保證通過普華永道的測試。我們也去做公司,有的地市公司老總說內控我知道就是坦白從寬、抗拒從嚴,當時我沒有好意思說,我告訴他內控是跟是外部公司是一個博弈過程。因為內控要求你幾條,那幾條完成就可以,不要求所有都做了,都做了工作就沒有完了。所以我告訴大家內控要求幾個做到就可以,不沒有要求不一定要做,不要把自己陷得太深。
第六點,我們開展信息系統風險評估,模擬演練預案。原來我們是按照硬件軟件分,這是按應用,我們是基于業務的角度。我們為了降低風險,我們按照風險管理理論,將信息系統分成實物、軟件、信息、服務等四個類的資產。
這個系統風險評估過程,看看這張圖。首先是確定范圍資產管理本身的弱點和漏洞,再看看內部管理測試有哪些,看了這些以后還漏下什么東西,這就是你的風險,還有在排隊哪些重要,哪些不重要,最后提出風險報告和管理措施。
第七個方面我們積極與相關部門溝通,解決COSO、UAT和久其系統存在的問題。系統每年執行是不是符合《薩班斯法案》要求,久其報表是簡單的財務系統,我們跟財務部相關部門溝通,也了很多的辦法。
第八個方面是組織各單位,開展電子表格內控管理,滿足內控要求。我們寫了報表做,這個帳號怎么控制呢,我們也是一個內控表一個規范,我們從模板設計、模板使用、模板維護積極控制,把控制原則制定一下,電子表設計人,使用人,維護人,訪問人,設計和使用人可以合一,這個流程圖有一個具體的方法。首先可以進行申請,設計人可以進行模板開發,使用人表格進行數據編輯、更新、管理,最后訪問人可以對表格進行實時查詢,原來我們是集中管理。
謝謝大家。
主持人:非常感謝屈先生,下面有請浪潮通軟副總裁兼技術總監魏代森先生,進行“企業全面風險管理與信息化”。
魏代森:首先感謝主辦方,在這樣比較適合的時間,面向正確的對象我們CIO們,舉辦這樣一場有意義的論壇會議。
企業內部風險管理,看起來離我們CIO關系比較遠,從國家制定政策,當企業經營者,管理者制定體系相關。我們知道所有風險控制工作的最后落腳點是CIO是我們信息系統,所以我覺得特別有意義。
我跟大家溝通幾個觀點。作為企業內控的信息化,我想并不是特指要和專門內控和風險管理的信息化,我們知道我們企業經營過程當中,我們業務管理過程中我們更多風險點我們要控制,管理的更多一些控制活動和風險還是經營過程當中業務活動方面。
我涉及了三個方面的內容,第一部分是風險很重要,這不多說了。另外一點,企業和內控風險不是矛盾是相輔相成的。我們也知道美國《薩班斯法案》,我國內推出的內部控制規范,對我們企業內控是一個指導二是一個壓力。同時,今天我們在座的上市公司CIO,應該說更多上市公司集團性企業,集團企業在風險管理方面還是面臨更多挑戰。
因此,這里兩個建議,對大企業加強集團風險管控有兩條。第一條啊管控層面,采用集中式管理模式。母公司層面開始管理模式,通過這種模式我們可以加強分析機構對我們整個優化進行有效整合,通常對我們標準,規范,對一些業務流程進行有些控制,對企業內控不僅僅是控制風險,還是要加強教育。同時,這種集成管理有利于集團的戰略執行、運營等,我們運營中產生的信息、結果可以有效配合。
業務層面可以涉及到一些具體的,我們應用活動重要的控制點,比如說在流程方面,我們由采購需求開始,到采購申請,采購定單,再到采購招標,到貨物交付,這個結算過程我們要規范流程,流程規范我們就可以避免風險,這樣業務活動當中控制。第二個方面,我們加上信息庫存我有合理庫存,有信譽額度,在執行過程運算的控制。第三是對業務追蹤了貨源,最多對一些風險點進行及時警示,包括業務,財務的。
第二個方面是信息化在加強企業內控中的作用,所以企業控制風險管理,迅速落腳點還是要在我們信息系統當中,信息化是重要的保障。首先我們無論要建我們風險管理系統,內控體系是要以信息化作為基礎。第二個方面,我們信息化建設現在信息化應該越來越多體現內控風險管理要求,以前我們建設信息系統時候,建設基礎設施、應用系統,我們可能并許多過多的考慮內控和風險管理要求。從我們一旦意識到了我們的風險管理,對企業重要性以后,我們說信息建設要充分考慮這些因素,從業務、管理、決策層面都要考慮這些因素。
信息化在內控、風險管理方面是非常重要,我們風險包括方方面面,戰略,投資,財務運營,法律和道德風險,信息化可以在很多方面可以發揮作用,但是并不是解決所有問題,他可以財務方面很重要的作用。
企業內控的五要素,內部環境,風險評估,風險評估等等,我從5個方面簡單看一下我們建立怎么建設信息系統,第一建立集成IT系統是重要基礎,有了它,我們有了政策很多制度,標準規范在能夠暢通無阻的貫徹下去,有了它我們很多信息才能并較好頒布,識別很多先進點可以再這樣環境下被有效控制。
這種信息化模式要從戰略層面我從財政,物流等等進行集中化管理,業務層面我們要建立我們業務系統、生產、質量設備,這個層面有機結合擴大我們企業的途徑,我們風險管理要弱到信息系統當中去,但是我們知道剛才說到我們管理有沒有權利用到系統配置,應用系統是不是可以為所欲為,我們信息管理是不是可以在掌控之下做各種的工作。首先這里有最大的風險,首先對信息系統授權要分析授權,第二要分角色授權,我們提出叫四員的管理概念,我們要設計系統,應用,安全員,審計員,我們可以有效讓我們信息系統合理得到一些相互制約,分別關注自己的角色,使得我們信息系統是可靠安全的,是可以保障的。我們的風險管理,才可以建立。
第二點我們說在企業當中可以建立很多控制措施,我們建立信息化的物流系統,首先可以使得我們企業之間物資供應建立一個協同管理,不至于信息不暢通,因為我們一些流程規劃,我們任意采用造成更多風險的漏洞,我們通過建立這種系統使得我們業務流程規范,比如規定如何采購、如何競標、如何招標、如何收貨,如何結算我們可以有一套總公司范圍內有一套完整流程。這一點是關于加強風險技術管理是控制企業風險的重要措施,在幾年前大家都意識到了,今年再強調綜合一起看也不為過分,這個是企業最關心的資源,通過對它的統一管理,集中結算可以有效解決一些企業投資、擔保、貸款問題,下面企業當中產生最大風險也是在資金和理財方面。
第三方面我們還是對我們企業的財產,實物財產有個合理控制,可以加強實物財產管理,我們之前跟客戶交流過,他們也遇到過,他們一棟樓著火以后就找不到帳目的問題,所以我想這種事件發生會導致很多實物財產大量損失。
第三,要讓全面預算真正成為企業戰略落地的工具,以前是很多都是形式,很多運算多了我們就調整一下,或者簡單批復一下就過了,我們下來要用剛性和柔性來判斷,可以有不同的選擇。這種系統可以完全比較好解決系統溝通問題,第一可以有效了解企業經營真實的信息,及時信息。往往我們說信息和溝通遇到最多問題,就是盡管信息是產生了,但是信息不是及時的,第二信息不是一定是真實的。這樣信息系統使得我們最終合理信息集中起來,對它我們設計指標,設立風險點進行及時分析對比,產生預警信息,做到防患于未然。
總結一下,第一建立集中式信息系統是實現企業重要基礎,第二風險管理是企業管理信息系統的主線和方向,我們說建立一條風險體系,管理系統不僅是一個實施一個簡單風險或者管理更多分析點,是分布在我們經營活動當中,分布在業務過程當中,這一些是企業管理信息,而且管理信息要求是與風險管理密切結合。第三,我們企業信息系統與風險管理進一步融合與統一。
第四,建立企業管理體系系統,全面風險管理雙框架,并實現有機融合與統一并且作為一個有力的支撐。
謝謝各位。
主持人:下面有請中國鋁業信息部的楊磊先生做演講。
楊磊:各位領導、各位來賓,大家下午好。我是楊磊來自于中國鋁業有限公司,我們公司是在美國,香港、上交所三地上市的國有控股大型企業,去年銷售額567億人民幣,全球第二大的鋁業公司。
我今天講主要內容是和大家分享一下我們公司開展《薩班斯法案》工作,和IT相關一些體會心得。我首先給大家簡單介紹一下關于《薩班斯法案》的一些簡單內容,然后再和大家分享我們公司在開展這項工作的簡單情況和有關工作。
今天的主題可能是圍繞內控開始的,所以說《薩班斯法案》404大家一聽是耳熟能詳,我不介紹太多情況。簡單說2001年是實踐是《薩班斯法案》的導火索,根本原因是上市公司監控缺失的一個后果。
《薩班斯法案》方面,管理層每年要出局一個報告,包括一下內容,我們總結一下就是要求管理層要承擔兩個重要責任,一個建立一個有效的監督組織,第二每年對內控的有效性能進行評估,管理層公司控制有效性作出評價包括公司層面控制,業務流程層面,公司層面的評估和信息系統層面監督。既然開展內部評估,在美國上市公司監督委員會審核中要求管理層采取適當的框架管理工作。但是一個強制目標不是COSO。
這個圖就是COSC的三維內部控制框架,標準和COSC
04的關系。COSC的三維內部控制框架中5大要素是和我們關系非常緊密,我們可以看到控制活動其他要素非常核心的地位。剛才我談到我們開展內部公司控制評估,多數是采用COSC方案,這是針對一個企業開展內控評估一個整體的框架,一直到開展IT層面評估,我們經常使用另外一個指標是有名的控制協會推出的COBIT的三維控制框架。
第二部分我想簡單介紹2005年美國公司404公司內控報告的披露情況,因為2005年是美國公司開展404第一年,他們遇到問題有可能是我們中國公司第一年會遇到的。這個圖我們可以看出來,在第一年美國的公司中,404報告中的披露情況。這個調查針對美國一些大型企業開展并不是美國所有企業。這個ABCD是比較知名的會計師事務所,即使在非常文明的美國大型企業,一年也有16%的企業沒有順利通過404審計。這張圖是對他們所被評估中發現的漏洞一個簡單分類,我們可以看到因為404思想之一關注與財務報告相關內容控制,所以實質性漏洞就是與財務相關的事情。
美國公司實施404遵循工作的主要問題與挑戰,第一年識別了大量內控缺陷,其中20%內控是與IT相關,一個企業想擺脫IT是不可能。第二個特點是工作量大,投入高,有一些簡單數據,在美國公司開展相關工作投入成本是非常高的。以上我簡單關于《薩班斯法案》方案做了一些介紹。
下面我們就中國鋁業信息系統開展內部控制項目情況給大家做一個介紹。中國鋁業是國內最早開始做SOX合規工作的公司之一,從2004年開始已經流程層面的文檔記錄工作,最開始沒有涉及到IT系統方面工作。但是自從2005年開始,我們公司的信息化建設出現重大變化,開展大規模信息化基礎設施建設,以及更為重要的是在總部和十幾家公司開始大規模ERP實施,這種情況下信息系統它的組織結構,流程等等方面發生了非常激烈變化。同時在短期內公司業務運營對于信息系統依賴程度也飛速增加,所以從2005年開始我們公司開展404增加了GCC的工作,并且2005年成立了GCC的項目工作組,并且開展相關工作。
這就是我們公司開展GCC項目總體想法,可以說開展這個項目來源是首先是來自于外部的遵循法律法規要求,《薩班斯法案》404,不僅僅是唯一一個理由。剛才我已經說過我們信息系統日趨復雜,業務對IT系統的依賴性增強,這種情況下實施GCC項目變得非常迫切,所以我們實施GCC項目主要最終的目的是希望建立一個IT體系達到組織結構統一化,管理制度流程標準化,人員配制合理化,最終使信息系統有效可靠運行,在此基礎上順理成章通過404審計。
信息系統控制的項目主要內容,不管在我們公司還是其它公司都是一樣,公司層面,一般控制和應用系統控制,公司層面控制是關注與公司層面跟IT相關的問題,組織機構,IT治理,法規、制度等等,一些基礎性的建設,它的控制好壞對整個IT控制結果會產生最大影響。下面就是IT一般控制,保證IT應用控制持續有效性,比較常見是變更管理、系統開發、IT安全等等,相關的問題。應用系統控制是我們常說ITAC和相應對是關于主應用系統程序執行的一些控制,直接關注到財務報表、數據準確性、安全性、一致性等等。
下面我介紹一下開展項目的工作,大家都是采用類似的框架目錄開展相關工作,項目實施方法基本上是都是一樣,常規404項目工作方法我們可以從這個張圖看出來。不管是左邊公司層面業務層面控制,還是公司層面IT工作,IT層面來說大家使用方法是基本一致的。經過了幾個結論都是一樣,預評估,詳細評估,整改和再測試、管理層報告。在IT層面開展預評估和業務流程小組有一個比較緊密合作關系,因為在IT層面看相關工作的時候,確定關聯業務流程,風險評估都是必須根據業務,《薩班斯法案》關注是財務報表,相關的一些控制。換句話說這個問題再嚴重主要財務報表沒有直接關系,那么《薩班斯法案》不會對這個問題發生任何,所以我們IT首先要看這個控制是不是跟財務報表有緊密關系,這個階段需要有一個緊密配合關系這個常用的常見階段做事情和產出。比如說項目范圍,評估生產報告,整改,制定管理制度,最后是測試記錄,生成年底測試報告,數據管理層報告。
這張圖是我們當時開展這個項目一個整體工作計劃一個示意圖是完全符合我講到開展404項目整體的方法論。實際上開展這個項目主要做兩個層面工作,一個是IT風險評估,一個是缺陷評估分析。IT層面評估分兩個層面,一個是一般控制層面,一個是應用控制層面。至于為什么公司層面沒有單獨列里面,我們考慮公司層面問題一般是比較高層的問題,和整個404項目層面是合并在一起工作,沒有單獨對這個項目來開展,其中一些和IT相關比較密切工作也分在密切工作中開展。
我們在開展404條款對內部控制的要求分為5個階段,我們主要都做了哪些工作。第一階段是項目啟動和評估,成立項目組聘請顧問,制定項目章程,對總部和分公司進行初步評估,了解了從風險管理角度初步對信息系統現狀進行分析,根據現狀分析制定標準制度和流程,完善IT整個架構。這個階段對于他的重點在于是一個評估一個是制定標準。為什么這么說呢,當時在中國鋁業開展這個項目面對挑戰就是,從IT里面管理流程說,并是一個完全實現流程管理部門,信息化基礎相對薄弱,內控意識也不是很強。在這種情況下想建立內控,第一要做的事情要建立一個內控體系,在中國來說,要建立一個所謂體系或者框架,往往比較容易是要建立一套制度。在這一階段我們通過大量工作,制定了21個與信息化相關的標準制度,從物理基礎上做好了開展下一步工作這樣一個準備。第二階段進行一般制度認證完善推廣和培訓工作,我們對于制定制度選擇一些試點,收集反饋意見,根據反饋意見修訂之后在公司內推廣相應制度流程標準,讓大家試運行,讓大家進行一個熱身。第三階段是進行控制措施和缺陷整改工作,我們制定了嚴格詳細各項控制要求文檔,但是第一次開展工作企業當中,說東話西,大部分東西都流于形式,原因是在中國企業缺少這種執行文化和流行問題,與前幾個月對于執行制度的檢查,會發現大量問題,各個控制點的問題,合理相應整改措施進行整改。在整改以后做第四階段工作,同樣進行測試繼續整改是我們常用概念,提出比較GCC這樣一個循環。這樣一個循環一直到年底,形成年底測試工作。從SOX審計要求講,是可以出現缺陷和問題的,只要及時整改是沒有問題的,在年底最后一次的年底測試中,它出現的問題不能再回避,必須承認進行相應風險的評估看它的嚴重性。
同樣在IT應用控制層面,也開展了類似的工作,只不過針對控制點有一些差距。我們接下來講年終測試以后我們進行一個重要的工作就是內部缺陷分析,年底要出一個內部評估報告,不是把你測試發現問題列在上面,你在分析影響程度,每一個問題不管是直接還是間接必須分析清楚,定義它是一個嚴重問題,重大問題,一般缺陷,如果出現幾個重大或者一個實質性漏洞基本可以導致你404無法通過。所以我們在06年底完成年終測試以后。
從我們分析發現的缺陷進行分析情況下,我們分享我們經常遇到的問題,一發現缺陷是由于基礎設施方面,主要原因是因為前期相關技術流程執行得不夠徹底、不夠完善造成的,IT用戶歐層面我們測試四個方面的主要問題,系統配置,關鍵報表,權責分離和關鍵事物代碼。ITAC方面大家可能發現最多集中在關鍵事物代碼,往往你是你信息化水平越高,用的系統越先進,集成這兩快問題就越嚴重,你看重的是非常初級的信息化,或者你信息項目是沒有集成這兩塊問題很少。我們當時有6000個帳號,其中有1500帳號都出現相關問題,這個也是比較好理解,上弦沒有充分考慮到《薩班斯法案》內控相關要求體現在SAT項目當中。我們付出大量分析勞動,在權責分離,業界常見接觸上我們通過分析有39對權限都是出現一個人身上。
第三就是基準方案,我們同時做兩件事情,基于我們開展SAT上線是咨詢公司或者做外部審計、內部審計都是知名公司,沒有一個公司是兩個同時進行的,最終還能順利通過404是非常困難。為了保證每項工作都有好的結果,第一SAT可以可靠上線,第二上線也完全符合404要求,所以我們公司管理層確定一個制定要有一個基本方案,對于系統配置,報表,數據維護等等方面,劃定一個日期,在此之前SAT上線的項目,所有工作可以按照它的項目規劃,業務需求去做,我們劃定是2006年9月1日,所有的配置,控制要經過全面嚴格測試,確保這一點在這個時間所有SAT相關配置都是符合相關要求,之后所有相關工作變動必須經過404相關標準進行審核,確保是符合要求,這是我們做具體方案一個初衷,結果非常圓滿完成了審核要求。
下面我們講一下通過實施這樣一個GCC項目的效果首當其沖實現目標就是通過404審計,在美國上市公司,把風險做這樣一個法律強制要求,相關工作不一定能夠得到高層領導的這么大的支持,雖然我們要我們建立一個高效運行IT體系,如果只靠這個目標,而沒有通過404可以說我們這個項目是完全失敗的。
下面是對于我們作為信息化工作非常關注的一點,就是非常好的效果,我們制定了一套非常好標準制度和流程,并且在各個公司推廣,通過流程推廣基本建立一套體系規范信息系統管理,因為COSO我在國外財政部網站看到了,他們要推遲到大陸應用的時間,但是我們作為一個國家主要大型企業,已經在2006年按照北京市要求,在2008年開展中國版《薩班斯法案》工作,已經出具符合中國四部委辦法的基本規范,要求內部控制評估報告,在開展這項工作過程中我們感覺到及時,無論我們說的COSO還是美國的《薩班斯法案》等等,只要你有一套可靠內部控制體系,并不是太需要關注你通過是什么樣的法案,去年我們通過中國的《薩班斯法案》,我們可以看到說我們沒有做任何附加工作。
第三制定了總部和分子公司信息部組織架構和崗位設置參考模型,還有一個我們基本方案講到相關從另外一個層面驗證我們使用ERP安全性,可靠性,相關部門可以接受IT部門的風險評估。通過資質建立我們有建立了一套可靠的流程和相關工作。
404審計并不是一個一勞永逸的工作,是每年要進行的相關工作,從我自己分析看這兩年工作還是要開展相關工作,我認為是大家需要注意的。第一是及時調整項目問題,從SOX要求不是對你所有企業所有業務進行評估有一個重要標準你銷售收入高出5%以上,在中國高速發展階段,企業主要業務變化每一年都比較大的變化,一定要提前關注并有預見性,在明年哪些企業、流程、業務可能會跳出SOX的范圍。同時,根據上一年分析結果改進原來缺陷,按照以往的技術嚴格的執行。
還要風險管理工作因為第一年通過SOX法案,比我們企業來說我們現在總部大概花費很多錢,如果每年搞運營形式,我們總部付出工作量,包括我們分公司下面工作量,把一定要將風險控制、內部控制工作常規化。
最后我想跟大家分享一下,我們開展這項工作以后得到的經驗或者是教訓,希望大家要做或者即將要做這項工作的比較關注的事情,首先就是大家預示到開展相關工作的重要性,困難想對超出大多數人做這項工作的想象,一定要有足夠資源保障,一要找好優秀外部力量幫助。第二點我覺得還需要關注項目進行準確的界定,什么流程,什么業務需要進行評估,它和你財務報表重要程度緊密相關的,如果你這個做不好,你做半年,10月、11月份測試的時候,突然告訴你現在的關聯度沒有達到,你從來沒有關注流程,沒有處理最后統計局發現有漏洞,這個時候你根本沒有辦法挽回,到了年底你才發現有錯誤,這個時候就是很危險。
開展相關工作在有審計師一些工作也會發生一些變化,實際要跟外界及時溝通。信息系統是也許由信息部管,但是從控制關注角度講,信息系統主要是業務部門使用,它的控制點主要在業務部門,如果業務部門不充分理解相關重要性、相關知識,那么信息部門根本無法做好這項工作。
最后不得不提醒大家一點,如果大家使用大型ERP系統,全線管理和系統變更管理會經常出現很多問題,大家一定要有心理準備。另外剛才我要講第一年你可以完成依靠顧問,第二年會請一些顧問,但是每一年都靠外部力量完成,最后一定要實現常規化,我們在2008年開了外部工作,全部工作全部由內部員工完成。
因為時間有限,可能有一些問題希望大家諒解。
主持人:下面讓我為大家請出一位企業內控方面的專家,國際信息系統審計師協會北京事務委員會主席何迪生先生。
何迪生:各位領導、各位嘉賓,大家下午好。楊總剛才基本上把我想講的講完了,他是非常有經驗的內控方面的專家,今天過來是非常有價值的,看到他的演講在內控方面有很大的突破。
介紹一下我自己,很多的朋友說我最必然的身份,有其他的不是很清楚。今天的大會是中國信息化推進聯盟都是中國很有影響力的協會,所以,對于上面的ISACA,很多人可能不是太清楚。我把自己的一些體驗跟大家分享一下,ISACA審計協會是什么樣的協會。
我們協會是國際的協會,1996年開始成立的。我們現在遍布140多個國家,人數達47000多員,我們的畢馬威、德勤審計師大部分是我們的成員,還有很多的CIO都是我們的成員。所以,我們的網址是www.tmdps.cn,大家可以看一下,中國的網址是我們在分享很多的內容。
ISACA是一個被公認為對資訊系統管理、控制、安全及審計扮演領導角色的國際性組織。我們提供全面的會員服務,我們監管全球性受尊敬的國際公認資訊審計師CISA及國際公認資訊保安經理CISM等認證。
今天我跟大家分享的是什么?我想剛才我說了今天講了很多的東西,我大概從SOX的概念,楊總講的我不講了。還有講講什么是IT治理,還有是COBIT,我分享一下它的框架是什么,最后我講講我們的看法以及中國的SOX面臨的挑戰。
《薩班斯法案》,大家知道薩班斯的名字是怎么來的。是2002年美國的丑聞“安然事件”,如安然和世通事件,如果我們不想起的話對于普通的投資者所共鳴,所以有兩個比較有名的人,一個是三薩班斯,還有一個是Oxley是他的朋友和專家,他們一起來做的方案。2002年7月份美國總統布什簽署了法律,所以《薩班斯法案》一共有11章。第一章是針對匯集會計及公司行為的監管,包括CEO之間的管理,在安然審計事件里面他們有很多的東西,所以,當薩班斯方案出來之后,很多的CIO、CEO不敢做事情,因為怕有這樣的事情存在。
在404條款里面剛才講了很多了,我不講很細的東西了。條款里面有用我們自己的IT方案去服務于我們IT平臺的管理。剛才講了一點是我們的SOX方案,要真正幫我們的IT治理進一步做得更好,沒有立法行為的話,很多公司的CEO他們不會花太多的精力、太多的金錢太多的時間去把IT治理做好。系統2003年之后,我們看IT治理IT方面做得越來越好。所以,很多事情要進一步推動的話,要積極的話,一點難度都沒有了。
除了進一步的推動之外,我們為什么要IT治理呢?從普華永道右邊的三種計量看出來,很多人認為我們的IT事件跟數據是有關的,全球是16%,我們的比例是44%。其中對安全事件管理的方面,我們的比重已經不錯了,因為全球范圍內比例是51%,而中國也是44%。平均去看一個安全事件的損失大概是100萬,這些數據告訴我們IT治理是很重要的。IT對于企業不可能沒有IT,還有進一步的管理,不同部門等都有IT。今天IT不止是一個網絡,它對企業有戰略性的意義。但是,我覺得在中國IT好象還沒有得到應有的重視,但是如果不久的將來IT對企業來講應該有很大的貢獻。我們對安全做得很好,對建設做得很好,所以為什么有IT治理。
IT治理來講具體到企業的財務部、業務、還有IT部門。從IT來講舉個例子是從安全的角度,我們的仿冒的網站很多,像ebay等電子商務公司。還有木馬病毒活動猖獗,還有帳戶的盜用,所以,我們企業管理內控很重要。
下面我們講講COBIT,它的英文我們不講了,只講COBIT,這是一個習慣。COBIT也是不斷進化的框架,我們從1996年開始,我們對COBIT都開始在ISACA里面控制了。今天來講有不同的版本,因為我們的社會、經濟每天都在發生變化,所以,我們也有變化。就是把COBIT一步一步地進化去,以至于在今天也能使用。像主要的目的和方向是研究、發展、宣傳權威的、最新的國際化工人信息技術控制目標以至于我們的人員使用,可以慢慢建立起來。所以,COBIT里面有34個IT的流程、四個領域。PO是繼續與組織、獲取與實施、交付與支持、監控與評估。
這個是COBIT的框架里面可以看到,第一用一個商業的目標,我們的企業做生意把商業達成,我們的IT是幫他達成這樣目標的工具。所以,信息是IT里面最重要的一個重點,所以這是給商業的應用把商業的目標達成。后面是IT資源,我們講了ICP、Oracle等等。還有平臺業務的發展。所以,如果我們把IT資源深化,我們有很多的方案,像很多都用了IT運維管理的系統。從COBIT來看,PO、AI、ME、DS里面有不同的框架,我們里面PO有10個、AI有17個、ME有4個,DS有13個。所以,我們這些基于應用去達到我們的效果,我們把IT治理變成有效率、有效果,可靠性、有效性、保密性、可用性、完整性,這樣我們的IT治理便維護起來。
今天有很多種問題,COSO和COBIT怎么分開,這有很好的內控框架,但是從我們的角度去看,COSO是看事情,COBIT來講是IT的兩塊,一個是集成的架構,一個是財會應用,這通常是我們參考的意義,但是就一個行不行?也行。
從《薩班斯法案》404條款里面,COBIT的關系剛才也講了很多,COBIT就是我們404里面最主要的部分,是幫我們把條款的要求一步一步達成。剛才楊總也講了,他看過一些運維的問題,運維的經驗跟大家分享,這里面重要的重點跟大家分享了我就不多講了。
我跟大家講一下今天C-SOX面臨的挑戰,我們看有什么東西。我們看到的挑戰可能今天中國有很多的框架流程、標準,但是我們很多的中國同胞可能不是太了解,這是第一點。今天很多領導都把我們的力量拿出來,跟大家分享一下怎么樣把這個做得更好。
第一個是中國本土相關的服務,我們是國外的企業過來幫助我們服務,但是本地化的中國服務不多,我們也希望跟中國本土的交流,把香港的力量,本地的服務團隊精英人才、專業人才給慢慢培養起來。
今天我覺得很多審計人員對IT的審計不是太熟,我們跟很多朋友聊起這樣的問題,我們應該怎么樣一步一步地解決問題。我覺得最重要的是第四點,沒有規定具體處罰的內容,很可能造成有法不依、違法不究、執法不嚴的情況。如果發生了事件,他們可能坐牢坐20年,每個CEO、CFO他們一定把他們的能力、精力,盡量把事情做好,今天中國現在沒有法律說沒有專門做的話,也不重要。我們內部是剛剛開始,我們可以在未來的幾年大家一起努力,把這一塊做好,將來一定會變成法律,讓我們的上市公司投資界獲得利益。
我覺得很重要的一點,企業很多大的財務部、審計部跟我們的IT部的整合是一個很大的挑戰。基本上現在沒有太多的溝通,但是我們如果有一個很好的內控團隊在公司里面的話,就可以把他們聯在一起,把我們應該干的事情干好。剛剛開始的時候不容易,假如我們會找四大和有經驗的朋友幫忙,把剛剛開始的COBIT等事情做好,以后我們會有更好的團隊去發展,把文化發展成為一個很好的運維的習慣。我們的IT治理不止是C-SOX還是SOX都會慢慢做好。
再總結一下,今天來講我覺得IT是業務的組成部分很重要,沒有IT什么也做不了。IT治理是公司治理的組成部分,公司的企業治理永遠是很重要的一塊。IT重要還是IT治理重要,處理不好的話很多事情處理不好。影響了我們業務的發展、公司的企業文化,還有對投資者一些不好的影響。所以,今天我們的IT治理剛剛開始,要在內控方面大力推出去,我們有這方面的專家和領導,我覺得可以一起去看怎么樣把它做得更好,把它發揚光大,以至于我們的企業做得更成功。
謝謝。
主持人:非常感謝何迪生主席白忙之中帶來這么精彩的演講,下面有請摩卡軟件高級售前顧問周立民為了我們帶來精彩的演講。
周立民:大家好,下面頁我們各位領導,分享一下我們摩卡軟件針對企業整體的解決方案。開始的時候,介紹一下我們公司摩卡軟件的實際情況,這個平臺大家多少有一些陌生,但是實際上我們公司已經有十多年這樣一個產品研發過程,我們在亞太區有兩大產品線,我們公司有員工600多名,研發團隊占了一半以上,目前公司最大股東英國電信。整個公司業務的分布遍布了國內大中型城市,產品的客戶群主要還是定位于通信行業,中國移動全國30多家省公司一半以上都是我們的客戶。包括現有金融、制造業等等。此外,在國際上一些東南亞,也有一些相關項目在做。
下面我們回顧一下從IT運維管理發展一個歷程,目前來說企業整個隨著IT環境越來越復雜,每年投入整個IT運維的資金、人力也越來越大。但是現在還是有一些問題,比如說出現一些問題,出現一些故障之后,有專門的網絡運維人員,有一些應用系統的維護人員也覺得有許多問題,實際上整個業務系統已經出現了性能的瓶頸。從運維來講有監督的系統,但是還是沒有辦法正常的串聯起來。
還有從傳統監控運維管理監控軟件還有一個問題,出現系統故障是采用快速告警,在這個告警接到以后,我們運維人員需要做什么,基本上傳統軟件來說,就終止了。真正一些我們公司的一些運維產品是從告警開始,包括告警以后一系列故障跟蹤堵截等等,這是我們傳統運維軟件所出現的問題。這個是我們傳統的一些運維軟件,實際上和信息缺乏全方位運維都串聯起來形成一個有機整體。
下面我們看一下針對整個IT運維提出叫全方位的運維解方案,摩卡軟件整個軟件產品定位叫三位一體,首先底層是一個傳統網管軟件,提供一些基礎的數據支持,來為高層運維提供數據來源,通過傳統監控,引用故障報警出發,實現整個故障的跟蹤,包括對方一個解決。第三層民是IT服務管理,是通過一個流程框架給企業帶來一個全范圍標準流程化的運維工作平臺。
我們提出4+1的解決方案,提出一個基礎架構管理,包括應用平臺的監控管理,包括從指標到業務,通過一些業務系統的響應時間情況,包括業務服務的一些站在業務的視角審視一些IT的資源管理,這是一個業務初步管理,從監控到流程,從監控引入相關流程平臺,實現IT運維從技術到管理的過程。最終實現全方位自動化的全方位運維。
我們看一個我們整體提出的4+的優勢,第一個,全方位系統監控,相關的情況存儲情況。為了滿足國內用戶使用喜歡,我們整個產品設計理念就是一個簡單易用的系統,提出簡單的可視化,簡單的一些策略管理等等一些方面。為了滿足不同用戶需求我們提供多種產品模塊,包括業務提供服務管理,資產生命周期的管理等等。重點是通過一些展現的方式,我們提供了叫做多種展現方式,從傳統瀏覽器的方式,到手機接入方式等等。此外,這樣一個展現方式是一般單一入口,可以我們企業可以管理層面不同決策人員提供不同展現內容,因為不同決策人員關注內容是不一樣,高層是關注一些報表等等,中層是關注一些情況,業務人員是關注一些數據。滿足這種需求,我們提供不同決策提供不同內容。通過引入相關框架提供相關服務臺,通過ITIL等等。
下面我們仔細看一下全方位的資源管理,首先是全方位的網絡設計監控,可以支持市場常見品牌相關的類型,底層是通過資源管理的支持,進行快速開發,多種操作系統支持,基本上目前IT環境包含系統都可以支持。各種應用平臺,從服務器、數據庫,包括一種大型企業級的數據庫,各種管理服務器等等,應用平臺可以實現這種監控,監控方式包括前面的主機,我們提供兩種,一種是代理,一種是非代理,方式可以任意選擇。完善資源監控還有機房環境的監控,數據的呈現是與相關網絡拓撲進行關聯,為用戶提供一種整體化,從整體到具體轉變的過程。首先可以看到這是一個全國性一個骨干網線路圖,我們可以看到全國每個縣的網絡狀態,每個機房里面的情況,重點關注一個機房可以點擊具體城市里面一個機房,機房是哪個地區機房有問題的話,可以點擊機房進入這個機房界面,可以看到機柜情況、溫濕度環境等等。想看一個具體機柜,機架上面服務器和網絡設備狀態,目的在于我們提供從宏觀到具體的全方位展現,而且是將網絡監控和機房監控做了一個統一。
下面看到是一些數據和監控,包括一些視頻監控的聯動等等。我們前面說到的是一些底層IT資源全范圍的管理,我們在這個基礎上有一個相關聯的配置變更管理,這是變更是管理的,這很難注意到,這種變更可帶來很大影響。通過對我們所有包括網絡、主機應用等等配置的變更管理可以實現一些快速的監控,比如說發現一些配置出現變化的時候可以產生一些快速告知等等。這些企業網絡環境很多配置管理變更,很多管理人員是通過手工來實現,我們通過一種摩卡IAM管理,可以自動發現網絡配置,實現一個備份,通過自動備份,可以發生了一些變化,可以自動對比出來與以前哪個腳本發生了變化,這是一個我們解決方案里面一個模塊,叫摩卡變更管理。
為了滿足用戶的習慣,我們整個界面設計盡量從簡單易用著手,下面是一些截面截圖,包括一些主機,數據庫監控的一個展現是通過動態一個展現,這樣比較直觀易懂。
我們前面說到如何去實現一個全范圍的IT運維管理,一個企業原來有相關網絡管理、業務管理,如何串聯起來我們通過業務服務管理,把所有IT管理和業務進行一個相關關聯,投入業務相關業務組件關聯,某一個IT組件出現問題會對業務出現相關影響,從運維角度可以快速定位這個問題,下面看到是一個業務服務監控的展現。當我們的業務出現問題的時候,整個業務會推動一些狀態實時的查詢,進而通過業務服務對IT部門,其他部門的影響幫助管理員去判斷。
現在我們的網絡,帶寬確實是越來越高,但是也面臨了一個問題,帶寬濫用問題,我們針對這種情況提供一個解決方案,網絡流量的分析。首先是可以解決判斷出來網絡網絡當中哪些用戶造成大量帶寬占用,是那種協議有這樣一個大量帶寬占用,什么時間是大量帶寬的占用。國際上網絡廠商有相關的代碼協議,比如說思科,華為等等,我們能實現對所有協議的支持。從整個協議的分析來看,目前國際上有一些協議,從支持角度大多數同類型產品都可以支持,我們重點在于對一些像華為的設備,我們也能夠實現這樣一些支持。
隨著企業的IT管理發展,整個IT資產管理逐步產生一些問題,因為簡單通過手動工作方式工作量越來越大,我們提供了一種摩卡ITAM,是IT資產管理,通過資產設備周期到設備到戶是一個全生命周期的跟蹤。前面說到一些業務監控,可能重點關注終端用戶體驗,我們這個系統快不快,我們為這種具體提供一種叫做摩卡ITAM,首先通過一些用戶訪問過程,包括一些查詢等等,把一個用戶訪問過程錄下來,整個監控結果可以看到具體是哪個步驟,從而一個性能問題,哪個步驟比較慢,而且是由于那個具體環節引起的,這是摩卡ITAM前面經介紹是一個全方位資源管理。
下面我們看一個全方位接入塊,首先我們是統一認證,這樣用戶只需要登陸一次,錯此外通過統一認證可以集成用戶享有的一些資源,所有這些內容可以在一個操作當中展現,可以看到無論是監控信息,報表第三方系統都可以這個里面展示,除了傳統意瀏覽器展示。這是整個接入方式截面一個截圖,可以查詢當前狀態,包括當前資源狀態等等,解方式我們提供兩種,一個是傳統WAP方式,還有就是J2ME方式。第三方面一個全方位流程ITIL的管理,ITIL這個概念已經很多年了,在一個具體項目實施過程當中,還是需要一些支撐,因此我們產品提供了一套方法論,整個方法論是基于我們公司多種運維管理的經驗。我們摩卡運維管理底層平臺是一個業務管理平臺,是我們公司業務流程管理平臺。通過一些數據表單和相關的工具,來幫助用戶進行一些相關流程定制。這是我們基于IT的管理。
我們看一下我們ITIL最佳實現和方法論,我們圍繞四個階段,看IT的運維管理。在這個整個系統當中為整個IT部門組織架構解決相關所有決策人員的一個定義。下面是一個全面的流程框架,首先是服務臺事故管理,主要功能就是快速相應客戶請求,目的是為了盡量快速恢復故障。接下來當時系統存在一些系統原因沒有查明的話,可以請求轉移到故障管理流程,可以查明故障原因,對問題進行跟蹤和規劃。接下來是變更管理,一旦涉及到問題的一個修改會有相關一個變更管理,通過變更管理對資源進行相關修改。最終執行整個一個變更管理流程是通過這樣發布,這是我們整個產品一個四大流程框架。同時服務臺跟分級管理所有出席請求也好,都會生成最終制式納入到知識庫當中,進行今后經驗的一個積累。變更發布過程會最終更新到CMDB的配置項。為了滿足客戶不同需求,我們提供了對同一個流程提供多種版本的選擇,用戶可以根據自己的習慣,去選擇不同的版本進行實施。下面看到就是流程設計一個截面,這個雖然我們提供一些流程,還是需要進行相關微調進行一些二次開發,這也得符合一些相關的框架。為了輔助相關調整進行相關流程截面設計,這是進行了相關的集成。
下面看到就是我們底層的一個CMDB數據庫,所有這些配制項目可以自動發現,進行相關的拓撲。包括最終一些當前最新了軟件庫等。CMDB提供向相關設計工具界面,用戶可以自定義維護相關數據。下面是一個界面展示的是我們是以報表統一為主,根據不同報表給用戶提供不同數據的統計,下面這些報表可以隨意拖動到我們用戶收藏夾當中,可以進行快速的收藏。整個產品界面是比較簡單易用,左、右側界面劃分,頁面上下功能調整等等。這塊是做相關一些知識管理,所有生成運維相關知識,自動錄入到數據庫當中。
最后我們再回顧一下整個我們產品的整體價值所在。首先我們摩卡解決方案目的是最終為運維服務,整個運維是一個全方位這樣一個解決方案。所有相關這種包括運維方面流程最佳方法論,相關我們監控設計也好,不是一概而論的。因為我們公司從多年來已經有十多年IT維護服務外包經驗,我們提供的相關知識是涵蓋我們相關運維知識。這是我們整個產品套裝及其對應,BSM是我們摩卡一個技術,IT資產管理對應是IT周期管理,對于基礎設施管理,ITAM就是運維管理流程。最終實現一個三位一體的產品定位。
最后介紹一下我們以前實施的項目。首先是中國移動集團總公司的項目,這個項目不是一個單獨的廠家進行實施,而是通過多家廠商一個合力。我們在這里面主要要說我們針對客戶單獨做了一些應用管理和模型開發,幫助用戶實現一個VPN動態系統監控,此外通過系統集成,為用戶提供統一界面展現。然后是一個國內制造行業的就是三一重工,這個項目除了一些基本功能以外,重點說到三一重工用到的網絡環境是比較復雜,網絡設備比較老,型號也比較老,通過我們開發最后實現一個快速的產品定制,幫忙用戶最終解決它網絡管理方面的一些問題。
我的介紹就到這里謝謝大家。
主持人:下面有請RSA,EMC信息安全事業部中國區資深技術顧問馮崇彪先生。
馮崇彪:大家下午好,我是EMC信息維護業務顧問,今天向大家報告的內容是簡化IT運行及企業監管合規。
在介紹簡化IT運行及企業監管合規之前,我們給大家先介紹一下背景,實際上我們IT部門現在所面臨的問題是,需要審計員過來要審計我們信息的時候,是要求百分之百數據。這時候我們以前審計人員來我們IT人員會感覺非常緊張,這時候怎么樣應付內部來自審計,還有來自于外部審計部門的審計。這時候我們會要求我們的IT人員找相應數據應對是這樣一個情況。我們解決方案可以幫助我們IT部門,快速取出我們眾多工具里面6個數據給審計部門,內控部門,包括外部審計部門。
我們可以看到其實證監會對于我們所有上市公司,本身是有非常得高要求,去年已經發出《關于加強對投資者網上交易安全保護的通知》。這個通知實際上要求我們所有的上市公司對于一些非法的交易行為的監控。要求每個機構對投資者的登陸,交易轉帳活動進行監控,一旦發現有什么問題的話,在這上面需要進行相應的監控。另外對于我們企業內部控制基本規范,這個規范要求今年的7月1日對所有上市公司需要有這樣一個要求。內部規范實際上是由財政部牽頭,包括證監會,審計署還有銀監會、保監會,各個機構出的指導意見,對于我們在座各位有非常好的指導意義。
對于我們IT主管面臨的問題是什么,我們現在IT環境越來越復雜,系統越來越龐大,這個時候我們的系統涵蓋了包括主機、網絡、應用、安全、存儲等等方面。這每一個系統里面都有相應的數據在里面,對于這些如山的數據,我們怎么保障它怎么樣讓我們IT運轉很正常,同時我們還能夠保障能夠滿足內部控制和外審的要求。這個實際上對于我們提出一個最高要求,審計員他們希望得到是什么呢,是對于財務有效的系統控制,我們的財務部門關心是財務數據控制,一些人事部門任務移植怎么把帳號在系統中屏蔽掉,比如說密碼需要更改,對于我們IT部門,或者科技部門怎么做這樣一個有效控制等等,所以對于內控,各個部門關心是不同的角度。
我們有一個三合一的日志管理平臺,通過對于這些數據拿過來以后做分析整理,能夠做一個用戶集中化的管理,同時在這個基礎上對于做分析,做報告來優化IT運維。在這個基礎上可以做什么呢,日志管理,資產識別,能夠維護我們本身IT的基本原則。基于上面的話,我們可以做滿足我們內控和外審相應的報表,還有根據這里面IT本身里面一些安全東西,可以做出相應的報表,比如說像一個黑客冒充一個合法用戶,日志里面只是看到一條日志,如果把多個設備集中起來看是一個安全事件,黑客登陸十臺機器,十臺機器合起來看是一個安全事件,我們機器可以報警告訴你這里面有個黑客,可以基于不同設備之間做出這種關聯,比如說有的人只防外網,沒有能力訪問內網,如果他訪問內網可以及時報告出來,有的只是訪問互聯網,這也是不允許的。
我們這里面做一些比如說像有一些是我們舉證的行為,我們可以做一些舉證的分析,同時可以做到安全和我們的IT運營做一個職責分離,比如說我們在座一些企業可能是說在IT運營的時候,我們只關心是本身IT能夠正常運轉就可以,但是從安全角度考慮,可能需要更高要求,過了時間才能做舉證分析,再回去查,比如說是幾個月前,或者幾年前一些事情。有的過一兩年才發現這面有安全事件。還可以把現有的IT數據轉換成可用的信息和智能,我們有相應儀表盤,讓我們公司高管可以看到目前運行情況,我們有超過1000多張,用于強制合規和安全的報表模板,我們這些模板是遵照國際上一些標準,比如說《薩班斯法案》等等這樣的標準制定,這些模板可以根據我們企業內部的標準,可以變成是我們銀監會要求的報表,或者我們內部要求的報表,這些報表可以做成定時的,也可以做成是一次性的,根據我們需要。
后面我跟大家分享就是非常幾個非常簡單的例子,怎么樣來幫助我們提升安全。首先我們這里面有一個報表是專門做密碼變更和過期的,我們從安全角度要求我們企業內部所有人員,可能隔一段時間要更改密碼,這些密碼我們之前有相應的策略在里面,但是沒有一個統一管理,了解到讓我們IT主管了解到它的密碼變更情況,比如說有多少人在半個月之內需要更改密碼,大家心里面想我們原來系統里面一部分系統已經有了,但是沒有一個綜合管理的平臺。
還有一個比如說有一個人離職,這時候他的帳號是不是還是可以用,還是說這個人帳號密碼還是可以用。大家關心可能操作變更控制,我們這里面總公司要求各個分公司,子公司策略必須按照總公司要求,我們怎么保障總公司策略能夠強制執行下去,對于我們解決方案也有一些相應的方案在里面。禁用帳號我們也有例子,對于離職員工要進行禁用帳號。再有就是有很多合規報表,有《薩班斯法案》等等,我這里面主要列舉這種合規報表,這里面大概整個系統里面有1000多張發表,最早銀監會、證監會要求,做成我們每個企業內部是和自己的安全報表,根據這些報表可以對我們企業做好內控。我們可以看到每一個報表上面都有寫,這個是遵循ISO27001,或者是ISO27002的具體第幾本的要求。每一個報表和合規里面某一項怎么對應,在我們系統里面非常詳細的介紹。
我們可以看一看,有人試圖違反企業策略,試圖從外部刪除企業資料,我們通過ISO方案都可以找出來,我們可以看到有一個告警是來自于公司的三樓辦公室,我們從這里面再往下點可以看到,這個告警信息是關于違反策略方面。這個報警是有一個關聯規則,我們內部有檢測系統或者是防火墻的系統,通過關聯規則可以知道這些。我們接著看,可以看到我們公司內部員工,試圖從家里面聯到公司內部,試圖刪除一個客戶資料。
另外的場景是我們有效地監控超級用戶異常的活動。這里舉的例子是一個管理員在一個小時之內,他創建了一個用戶帳號,然后做了一些違法的事情。之后,他又把這個帳號給它刪掉了。這樣的話他自己認為他做了一些自己可以抹掉,即使是這樣我們也可以發現。這個時候他創立了一個異常的活動出來,這個時候管理員可以看到,原來這個管理員是一個小時內創建的帳號,同時一個小時之后把帳號給它刪掉。中間做了事情,我們都有記錄把它記錄了下來。
這個時候往下看,可以看到一些安全的證據。這個時候管理員創建和刪除帳號的信息都在這下面,不同的設備和位置里面都以去看到,我們可以不斷地把過去一個小時內所有用戶的活動查詢到。所以,從眾多的用戶當中,把剛才可疑的帳號抓出來,進行分析。我們這里面中間是查詢帳號,那么這時候我們發現一個問題是什么呢?這個用戶是修改了他們公司里面一個非常重要的數據庫里面的數據,這種行為是非常危險,系統管理員在每一個企業里面他的權限是非常大的。那么他可以增加用戶名,刪除用戶名,允許這種解決方案,放在第三方這里面任何一些數據這些信息都可以統一到你的設備里面來,中間做任何事情,等還沒有做成的時候,報警就出來了。所以可以把這個數據存到到我們叫調查數據庫里面。這個安全官登錄到這個系統里面可以查出來這個人,他到這個系統里面到底做了什么事情,所以這個事情很快就可以查出來。
所以實施這種日志安全審計有什么樣的業務價值呢?第一個方面,可以減少或者是避免合規成本,因為我們內控有要求,對上市公司外部審計也有合規要求,我們有了這種解決方案以后,可以提高效率,可以降低成本。另外我們可以降低或者避免安全破壞成本,如果是說我們問題出來以后,再亡羊補牢這樣有的時候會太晚了,如果把這些東西能夠做在前面,我們可以做一些事先預防。還有我們可以降低安全運行成本,不需要太多能力投入,同時可以降低一些法律,如果這個事情出來以后,遇到法律不允許,這時候可以提高我們的收益。同時我們可以保護我們企業品牌和聲譽,所以要防止數據的泄露。
謝謝大家。
主持人:接下來有請信息中心主任張艷做最后一個主題演講。張艷:大家好,很高興有機會跟大家一起分享。
關于《薩班斯法案》法案我就不多說,國際上美國證監會安然、世通事件,等等一些詐騙情況里面,美國證監會為了誠實公布信息,所以頒布了《薩班斯法案》法案。在方案中間一再說到關于IT風險這塊,所以說我希望有機會跟大家一起探討一下,在這個額為什么在《薩班斯法案》中間本來是針對上市公司財務審計,為什么跟我們IT審計是密切相關的等等一系列的過程。在企業發展過程中間它不斷壯大,如果在十年前,對于我們財務系統來講,完全可以靠手工來完成。但是十年后的今天,隨著IT的發展,不管是各種各樣的系統也好,包括ERP系統,或者單純的財務系統,不可避免的通過在硬件上通過軟件實現數據的錄入、積累,最后呈現一個財務報表給大家看的情況。那么在這個過程中間由于把系統的不安全,或者硬件不安全,最終有可能導致財務報表的不安全。所以,從財務涉及IT這一塊,根據美國證監會要求,審計師是穿透系統不是繞著系統審計,所以是這樣一個過程。
大家請看一下,這個《薩班斯法案》法案來源不再介紹了,在這個SOX中關于IT審計過程中間,我們需要相關的像C-SOX安全一些策略也好,規范條例也好,真正實現這樣一個安全控制和管理。
IT控制在每一個公司中存在,至少是下面三個因素,像決策管理、商務流程和IT服務。決策管理是建立在實體上,就是人的因素上,如果在一個企業中,不管是IT部門的負責人,還是一個企業的CEO也好,高層管理人員,如果他們沒有充分地認識到IT管理的安全,首先來講,就決定在IT層面上將不可能真正做到一種安全。其次是商務流程,商務流程就是說我們因為是要通過我們這些系統,來給我們企業創造價值,IT永遠是作為一個幫助企業的業務部門來實現自身價值的部門。所以通過商務上由于業務的需求,我們引進了很多商務軟件,包括大型ERP系統,通過這樣系統跟我們IT硬件相結合在一起,形成高效一個系統集成這樣一個概念。
IT服務這一塊,除了日常的IT維護和管理等等,它來決定服務好壞,同樣決定安全非常重要的因素。其實我們也看到這樣一張圖表,這包括了SOX法案所要遵循的部分,中間包括實體層控制,這也給大家解釋過了。現在ITAC應用方面,就是我們講大型系統。再往下最底層是我們ITGC一般應用控制,在這個控制中間我們簡單成為系統開發、系統變更、運營管理、安全管理四大塊,我常常比喻為是一個金字塔形的框架。在金字塔的底層是由ITGC來控制的,中間是應用程序控制方面,在塔尖一定是人的控制,通過這樣一個搭建結構才能保證我們整個IT的在大型企業中,IT非常安全的控制。
再用一個同樣的圖表來給大家解釋一下,在我們ITAC和ITGC相近的關系,上面有一系列安全產品,這樣搭建我們IT的基礎安全措施,上面是我們常見的財務系統,不管是什么樣的系統,它也應該是只有秉承安全的,上面才安全,上面是我們業務系統、采購系統、銷售系統等等,我們財務相關接口實現有效的管理。再往上我們可以看到通過一系列這樣的流程,最后我們呈現這份財務報表,為什么在說到C-SOX當中大家說我們需要做IT安全,在整個《薩班斯法》并沒有說到IT審計,但是在我們日益們上市公司做審計的時候面臨財務審計,基于這樣的原因,在ITGC大概控制點,這是AC準確、完整、授權職責分離。
這是ITGC和ITAC關系的圖表,首先從信息管理和人事結構,這是一個公司,其次是上升到人的,在有是整個公司的管理,憑險評估,再就是流程層面評估,分為早期,系統與數據所有者,包括業務有關數據控制等等。
我們所有安全策略其實基于框架結構談到,石油是美國一個信息系統控制協會,它分為四大塊,在這個框架計劃和組織結構,開發采購信息系統,等等。這是我們常見一張框架具體圖表,每塊對應我們說四大塊,我們講拷貝一個框架跟《薩班斯法案》有什么關系呢?我們通過這樣一個圖表讓大家來理解。信息計劃和組織結構開發和我們公司層面內控是相符合,采購信息系統和系統開發和維護是向符合。
在《薩班斯法案》中間我們實施過程是什么樣的?首先,我們要做一個有效設計,我們建立一些常規流程,這個流程是首先是我們做安全第一步,我們如何管理網絡,其次是我們建立相關策略我們有沒有執行,執行以后有沒有監控,如果說我們制定了一定的策略,但是沒有人執行,更談不上監控,結果等于一樣,沒有完成這樣的工作,也不可能實現真正的安全。這樣只有通過一系列的建立、執行、監控,最終包括穿行測試,通過了我們這套系統,剛才我也說對系統測試應該是穿行而不是繞行,最后達到內部監控的改善。
《薩班斯法案》有以下幾個基本控制范圍,公司層面控制,系統操作管理,安全管理,系統開發和維護/數據庫維護,網絡管理,操作系統維護。
首先從公司公司層面可以看一下,建立與公司層面有關的管理目標,規定和流程等等,意義是確保公司IT部門有明確管理目標和制度,確保公司所有員工認識到時候IT系統重要性以及如何遵守公司IT制定,這一點是可以實現的,可以通過我們新員工入職的時候可以跟他建立一個,要他知道所有IT的方面的所有層面,不會因為他的操作公司有一些損失或者破壞。同時也給公司從法律的角度來講做了一個非常有效的保障。
確保IT部門制定的策略與公司發展方向一致,我們IT發展是一定要同我們業務相匹配,作為一個公司講沒有一個長期的戰略計劃,而且在這個戰略計劃制定之后應該建立有效跟業務部門溝通以后進行不斷更新。這些公司都在了以后,一個公司IT怎么談得上安全,因為他對IT發展方向都沒有一個明確控制管理。
下面是針對系統開發、維護和數據庫維護的相關要求,要對系統數據庫上線以后做修改管理,這些為什么從設備采購我們就要開始控制了,在采購環節從價格各方面進行有效管理,在開發層面我們有沒有做到有效職責分離,測試環節上我們有沒有做滲透式的測試,等等因素不管其中某一個環節都有可能造成整個系統開發維護和數據庫的維護,是有安全漏洞的存在。
下面是安全的管理和網絡管理,制定和持續確保系統、平臺、數據庫、網絡等在邏輯性和物理性方面有安全和有管理的存取措施,更多是針對我們的常見的安全設備像防火墻,路由器等等一系列的硬件產品,包括今天我們看到在場一系列安全產品,這些產品有助于我們保障我們的整個IT系統的安全。下面是系統操作管理和操作系統的維護,確保系統日常操作一致性,制定故障處理,發布,記錄和分析流程,等等這樣一些部門。可以達到在操作系統層面做一個非常安全的控制和管理。
最后是我們所說到應用控制,應有控制中心確保應用系統在輸入及輸出數據時能夠有效控制數據的準確、完整性,確保授予員工的應用系統權限不會有職責分離的沖突,確保系統之間的數據傳送的準確和完整性,確保系統運算的準確。中航油就有一個事件,由于數據缺失導致了6億元的損失。
第三篇:論文:信息化時代
當今社會已進入科學技術發展日新月異的信息化時代,人類所面臨的是瞬息萬變的以及滲透到生活各個領域的復雜的文化。現代社會知識更新的速度不斷加快,在高中階段,對學生傳授的知識是有限的,學校教育不可能讓學生學的知識用上一輩子。人們在獲得生存與發展中所面臨的問題越來越具有社會性、復雜性和不可預見性,人們所必需的知識范圍與能力素養的范圍急劇擴大。而我們的學校教育滯后于現代科技發展,僅僅停留在讓學生被動地接受知識,這是很不夠的,是跟不上形勢發展的需要的。正因為如此新的《全日制普通高級中學數學教學大綱》在普通高中數學課中設置“課題研究”,即“研究性學習”,說明了研究性學習的重要性。這是我國高中數學課程的一項重大改革,是我國教育走向世界的具體一步。作為一名數學教師有責任引導學生從數學的角度分析社會生活和實踐活動中的問題、開展探究活動,讓學生在獲得必要的數學知識與技能的同時,認識知識探究與問題探索的基本方法和途徑,提高參與社會生活的探究、發現和改造等一切活動中進行決策的基本能力。
數學教師要激發學生的好奇心,要是不斷發現社會生活和實踐活動中的數學問題,并不斷詢問‘為什么’,研究的目的是提出新問題。研究性學習主要是提出新問題的過程,而不僅僅是知識的獲得。古希臘哲學家德謨克利特曾經指出:“教育力圖達到的目標不是完備的知識,而是充分的理解。”我國古代教育家說得更精辟且形象:教學中應“授之以‘漁’”,而不僅是“授之以‘魚’”。
所以在高中階段開展“研究性學習”主要目的不僅是我們教與學方式的一個重要的轉變,更重要的是轉變教育思想,改變教育模式。強調主動探究式的學習,全面培養學生綜合運用所學知識的能力,收集和處理信息的能力,分析和解決問題的能力,語言文字表達能力以及團結協作能力,學會探究,培養創新精神和實踐能力。總之一句話就是培養人類生存的必備條件--學會學習乃至終身學習能力。這也就是進行素質教育的核心目的。
教師如何進行研究性學習教學呢?我認為研究性學習教學可分為兩個層次,開始是知識探索型學習,在學生積累了一定的知識和研究能力、組織合作能力、社會閱歷較豐富后,再進行綜合性課題研究性學習。
一、課前準備
教會學生如何去學比傳授知識更重要,可以課前提出一些研究性問題,讓學生先行探究。通過自己收集資料,甚至進行數學實驗,要求學生像數學家那樣去進行想象和猜測,然后再去進行檢驗和證實,用嚴謹的數學語言去表達所發現的數學事實.使學生從“被動的接受”轉向“主動的建構”。如:在引入弧度制這一節的學習前,先布置學生利用平幾知識研究:角度制在運算過程中有什么不便?圓心角的大小與什么因素有關?從中能找出一種新的角的度量單位嗎?甚至讓學生設計、實踐一些數學實驗。又如:學習概率前,先讓學生自己通過實驗研究硬幣正反面出現的頻率等。再如在學習“統計和概率初步”前布置學生自學課文內容,分實驗小組對某一個問題進行抽樣調查研究,搜集有關數據并整理。結合研究過程中碰到的問題進一步學習本章節內容,隨著學習的深入,不斷完善調查設計方案,使調查更科學,結論更可靠,讓學生從要我學變成我要學。
二、課堂教學
(一)善用課本
新教材很重視學生的自主學習,很多章節附有相對應的閱讀材料可以讓學生自己查閱學習,可以讓學生通過上網查閱、互相交流等方法繼續深入學習。教材中也增加很多研究性學習的內容,如:數列中數列知識在儲蓄、貸款中的應用;向量在物理中的應用等。這些都是很好的研究性學習的素材,又如:教材的每一章節前言部分都以一個實際應用的例子引入,在教學中可以讓學生帶著問題學習,通過學習自己尋找答案,再把所學到的知識應用到其它實際問題中。不能將學生自主學習的內容粗略帶過場,甚至將高考不考的研究性學習的內容刪掉。這樣不利于學生分析問題和解決問題能力的培養。
(二)拓展課本 課本中的例題、習題應該說是比較典型性的,它將把所學的基礎知識、基本概念與應用結合起來,教會學生如何去運用數學思想解決實際問題,起著指導和穿針引線的作用,在例題的教學中,可以留下空間讓學生自己進行多角度探討,總結多種解法,這就使得課本內
cosx1?sinx?cosx,可以讓學生自容具有拓展的可能。如例題:求證 1?sinx己討論歸納,盡量從不同的角度思考,結果學生自己就可以歸納出多種解法。討論的過程可以小組討論,自由發言,一問一答甚至搶答等多種形式。一道比較簡單的例題,通過自主的探索、討論,學生更深刻的體會到等式的證明實質就是由異化同的過程,在變形的過程中要有目標意識,逐步湊出目標。作差、作商是證明等式或不等式的常用方法,而化歸則是數學中很重要的思想。此外,還可以讓學生討論和展示一些學習過程中存在的問題、誤區;模仿課本例題編一些習題、應用題等,從而融會貫通拓展思維。
(三)走下講臺
在教學的過程中,我們很容易犯的一個毛病是,總是恨不得一下子把自己掌握的所有知識全部向學生灌輸,不知不覺就把教學過程變為滿堂灌的填鴨式教學,無形中剝奪了學生發現、探索知識、體驗發現過程的機會。到頭來好象講了很多,其實效果不一定好,有時給學生留下一些思考的余地,效果可能更好。所以,在教學中盡量不要將課本現成的知識結論硬性灌輸給學生,而是要創設問題情景,讓學生體驗發現與創造的過程。給學生創造一個“觀察、試探、猜測”的情景,模擬數學家的活動,去體驗數學家是怎樣由實驗而歸納,由類比而猜想,由發現到證明的艱難思維、認識活動的經歷。現代課堂教學的理念是“把課堂還給學生,使課堂充滿生命力”,在課堂教學中要發揮學生的主體作用,重視師生的互動。在教學活動中,我努力嘗試成為學生數學活動的組織者、引導者、合作者。例如,“正弦、余弦定理的圖象和性質”第二節課,我就曾采用走下講臺,讓學生自主探索學習為主的方法。先用多媒體平臺顯示正、余弦曲線的圖象及其變化情況,然后讓學生分組討論、歸納其定義域、值域、最大值、最小值及其對應的X值,當sinx≥0、sinx<0、cosx≥0、cosx<0時對應的X的解集。然后請學生代表上來匯報他們觀察分析的結果,其他同學補充,并對不明白的地方提出質疑,在一問一答的過程中,學生對曲線的相關性質作了深入的思考,思維活躍,印象深刻,把性質歸納整理后,我提供了一些有針對性的例題和練習。也是由學生來充當小老師,作解題示范并講解,回答同學們的質疑。在這過程中,我則以學生的身份傾聽,和學生一起學習,體驗他們的思維過程,關鍵時候則通過提出質疑、建議等方法,有序地控制課堂教學深度、廣度、進度,以保證教學的質量。學生們學習的興致很高,從開始沒有人敢上臺,逐步到很多同學主動要求上講臺當小老師。在這過程中,掌握知識的同時,組織能力、表達能力、研究解決問題的能力等各方面的能力都得到了鍛煉。同時,也體現了學生的主體性,建立起一種新型的師生關系。
(四)走出課室
就中學數學教學內容來講,不能只考慮代數、幾何、三角之間的聯系,還應該研究數學與現實世界各種不同領域的外部關系和聯系。如與日常生活,工農業生產,貨幣流通和商品生產經營等的聯系.這樣才能使學生一方面獲得既豐富多彩而又錯綜的“現實的數學”內容,掌握比較完整的數學體系.另一方面,學生也有可能把學到的數學知識應用于現實世界中去.課本有些跟實際結合比較緊密的內容,學生必須經過自己動手、動腦的實踐才能真正掌握。此時,若再局限于課室內從理論到理論的學習,顯然不能滿足學習的要求。如學習解三角形這一部分內容時,可以大膽嘗試讓學生走出課室,以小組或個人為單位,帶上簡單的測量工具,在校園內自己尋找一個測量目標(有障礙物或不便于直接測量的兩點間距離),利用所學的解斜三角形的知識,自己設計測量方案,轉化為數學模型計算。然后互相交流學習方法和體會。讓同學們真正體會到數學的“有用”和“用數學”的方法。
(五)跨學科整合
新教材還有一個比較顯著的改變是增加了一些跨學科內容。如學習習近平面向量這一部分內容時,可以結合向量在物理中的應用,這對我們數學老師是一個新的挑戰,為了讓學生能真正掌握這部分的內容,并實際應用于物理學習中。我嘗試與物理老師合作,把學生帶到了物理實驗室,讓學生利用物理器材進行相關實驗,如力的合成、平拋、斜拋運動等,取得原始數據后再用數學方法建模求解驗證。課后再讓學生思考總結,還有哪些數學方法可以應用于解決物理或其它學科遇到的問題。讓學生真正認識到數學知識作為一種工具在實踐應用中的地位和作用,從而也增強了學習數學的興趣。
三、課后提高
研究性學習在課后的延續也是很重要的,把握好了,可以讓學生的學習有一個質的飛躍。在實踐中,可以嘗試了以下的做法:(1)要求學生寫反思小結,對每一章節的知識進行串聯,典型例題、典型方法、典型錯誤等進行歸類總結,寫出心得體會、小論文等。(2)指導學生利用所學知識動手制作一些模型、教具。如用硬紙折疊出各種柱、錐、臺體、簡易經緯儀等。(3)配合課堂教學進行一些課外的研究性學習,如:高一上學期結束后,我建議同學們在寒假利用本學期所學到的數學知識進行一些研究性的學習,自定課題,寫出調查報告。下學期開學后發現每一位同學都進行了一些研究性的學習,而且學生的思維是非常活躍的。從交來的研究報告可以看到,既有常規的函數模型,如:物質溶解的速度和時間的函數,物體影長與時間的函數關系等,又有數列模型類問題,如:銀行存、貸款利息、分期付款問題,各類分紅保險的特點的調查比較等。甚至還有一些奇思異想,如:金魚的生長速度和時間的函數關系、出租影碟的付款與租期的函數關系,香的燃燒速度的研究等。讓我很有感觸的是學生的潛能是巨大的,智慧是無窮的,其中不乏閃光點。盡管他們的研究方法可能還簡單、幼稚,他們的研究成果很還粗糙、膚淺,還有一些是借鑒了現成的資料,原創的成分不是很多。但是最關鍵的是他們從中體驗了學習的樂趣,體會了獨立研究一個問題的方法,養成了動手求證的習慣。真正把所學的知識應用于實踐中。假以時日,也許他們中就會產生偉大的科學家、發明家。“研究性學習”理念是新教材中比較重視的教學理念,是教學觀念的更新,學習方式的革命。與傳統的教學觀念,學習方式比較,“研究性學習”由于注意了學生在學習過程中的參與體驗,從而從根本上確定了學生在學習中的主體地位;而且注重了學生認知結構的自我建構與發展,變被動學習為主動學習,更有利于培養學生的科學精神、創新精神。通過一段時間的把研究性學習的理念引入數學課堂的教學實踐,我覺得很有收獲,對新教材,甚至是未來的新課程的改革都有了更深刻的理解。我期待學生通過學習不但掌握了數學的知識,更重要的是真正學懂了數學,掌握了學習的方法,學會“用”數學,并且能延續到他們以后的數學和其他學科的學習中,能有長遠的影響,為學生終身學習打下堅實基礎,同時在學習過程中真正體會到創造的快樂。因此,我會在以后的數學教學實踐中堅持把研究性學習的理念引入數學課堂的教學中,并且不斷探索更好的方法和途徑,堅持教中學,學中教。
第四篇:《新制造時代》讀后感
《新制造時代》讀后感 陳丹
2017年11月
最近利用休息時間,閱讀了這本書的前面八章,這本書的可讀性很強,跟隨李書福先生的創業經歷,心情也隨之跌宕起伏。對于他的創業故事,主要有四點感受。
首先,是關于創業精神。李書福先生的創業精神深深打動了我,讓我看到了創業是一種基因。“哪里有市場,哪里就有李書福”,他創建吉利,不是偶然,而是必然,但卻不可復制。那個年代的出身對他帶來的影響,一不怕窮,二不怕苦,三想致富。所以他從做自行車、照相館、混合金屬的生意,直到1984年正式進入制造領域,但又經歷了電冰箱配件、裝潢材料,房地產失敗之后,1992年回到了實業,開始造車。造車之路,也并不平坦。但他一直堅持,并不被政策所束縛,并走上了國際化之路。這中間反映出來的,是他的創業精神,創業是一條不歸路,一旦開始,不管成敗,只有堅持下去。但只要有這樣一種不怕困難、堅持到底的創業精神和信念,就一定能夠闖出一片自己的天地。但李書福先生并不是一個普通的創業者,他的格局和眼光也是非常人,所以吉利才能在今天成為自主品牌的佼佼者。
這就說到了第二個方面,是關于海外戰略。吉利的海外戰略從公司創立之初,2002年創立國際貿易公司時就漸見雛形,并確立了三分之一國內生產銷在國內,三分之一國內生產銷往海外,三分之一海外生產銷往海外。在一開始就確立這樣的戰略的企業家并不簡單,尤其是汽車這個在發達國家先行崛起并且技術研發遠遠領先的產業。說明他的格局足夠大,眼光足夠長遠,是一個有夢想的企業家。他的夢想就是讓中國汽車走向世界舞臺。我感受到了像李書福、董明珠這樣的企業家,他們做企業不僅僅考慮的是企業利潤,還有一個偉大的抱負,也是一個個這樣的個體支撐著中國汽車產業的發展,令很多人敬佩。
最后,關于專注核心技術,也就是專注品質。李書福先生的國際化之路也是一條并購之路。他所選擇的并購對象,無一不是在技術領域方面有自己領先和擅長的某個部分,才會成為他的目標。因為他認為不能僅僅獲得產品,還要獲得核心的甚至完整的技術和管理體系流程。也是這樣的一種價值導向和經營理念,促進吉利在國際上迅速樹立起自己的品牌形象,是一家尊重知識產權的公司。這也體現了吉利對品質的關注。
此外就是重視人才。這本書中沒有提到太多,但還是能夠看到李書福先生對人才的重視,在他創業之初,就在湖南大學設立了吉利獎學金,它的受益者后來也成為了幫他開疆拓土的功臣,他的人格魅力也吸引著跟隨他創業的人。沒有他們,也沒有吉利。
以上就是我個人的一點讀后感受。
第五篇:云時代的CIO需要思維轉變
云時代的CIO需要思維轉變
上周,我有機會在桂林與正大(中國)投資的陳大林副總裁、陜西鼓風機集團的戰略規劃部孫為平副部長交流,兩位在各自的企業都擔負著CIO的職責。
他們都不是傳統意義上的CIO,但所分工負責的企業信息系統和信息化應用都非常成功,很好地服務了企業業務,在契合企業業務需求和方向上,還成功地助力業務轉型和業務效率提升。
兩家企業信息化成功的經驗在于業務和能力聚焦,企業專注于業務對信息化的需求、業務與信息化融合的研究和方法戰略制定,委托IT專業機構實現規劃。做自己最擅長的、找最專業的服務商,合理整合利用內外部資源和能力服務于企業信息化,這是兩位CIO共同的心得和經驗。
兩家企業信息化的思維在CIO群體中的認同度很高,在《計算機世界》采訪過的企業和行業CIO中占有很高的比例,但真正能夠像這兩家企業一樣實施的并不多,因為這不僅需要CIO的轉變,也需要CEO等企業運營者的思維轉變。
在中國企業傳統思維中,習慣于“自力更生、自給自足”,習慣于“完全控制”,但隨著企業對信息化需求的逐步升級以及信息技術的快速發展,“自給”的IT團隊從專業能力、知識結構到服務能力都已經勉為其難,通過外包合作無疑是一個理想的途徑和模式。
IDC的報告也佐證了這一點――“隨著IT系統規模逐步擴大,管理難度日益增加,預計未來5年中國企業的IT運維服務支出的比例將提高。中國企業的IT投資從之前的軟硬件支出占主導,逐步轉向軟硬件投資和服務投資平衡發展。”
如今IT開始進入云計算時代,云計算的核心同樣是IT資源和服務的整合和合理分配,無論是行業還是企業的信息化應用都將逐步涉足云計算或者被云計算主導,在迎接并適應云計算的同時,CIO和CEO們的思維首先要轉變和轉型。
在云時代,CIO和CEO需要考慮IT投資風險和回報,合理選擇基礎設施和服務的投資比例和投資方式,同時更加準確地理解和把握業務需求和發展方向,讓IT更加靈活、快速地響應業務需求,更進一步考慮IT從之前的滿足業務需求向引導業務創新和業務轉型邁進。
所以在云計算這樣的新技術浪潮面前,CIO們需要的不僅僅是知識結構和能力,更重要的是思維模式和自我定位。
點擊咨詢 