第一篇：CIO時(shí)代網(wǎng) -制造企業(yè)內(nèi)部信息化

CIO時(shí)代網(wǎng)：黃總您好，您所在企業(yè)是何時(shí)開始信息化建設(shè)的？當(dāng)前信息化的基本情況是怎樣的？

黃起豹：我們公司的信息化建設(shè)很早就在進(jìn)行，但真正有規(guī)模還是在這兩年，目前來看，公司信息化建設(shè)基本上涵蓋了公司的各各角落。如在生產(chǎn)方面，我們基本上實(shí)現(xiàn)的信息化與自動(dòng)化。在日常管理方面，主要是以ERP為主，基本上實(shí)現(xiàn)了傳統(tǒng)企業(yè)管理現(xiàn)代化。在外派的工程與銷售人員管理方面，以前這塊對(duì)于公司來說是個(gè)盲點(diǎn)，今年我們專門針對(duì)這塊設(shè)計(jì)了一套管理系統(tǒng)，所有外派人員的績(jī)效與指導(dǎo)都在這個(gè)系統(tǒng)上進(jìn)行。這個(gè)系統(tǒng)是獨(dú)立的，與當(dāng)前的公司其它管理系統(tǒng)是分開的。在這個(gè)系統(tǒng)中還有一個(gè)知識(shí)庫(kù)系統(tǒng)，這對(duì)在外的員工們來說意義非常重大，能給他們?cè)诜椒矫婷孢M(jìn)行指導(dǎo)與提高。這個(gè)系統(tǒng)也是我們今年在重點(diǎn)推的一個(gè)系統(tǒng)，將來還會(huì)在這個(gè)方面做很多工作。

CIO時(shí)代網(wǎng)：信息系統(tǒng)實(shí)施之后，主要給管理和運(yùn)營(yíng)帶來了哪些主要的成效？

黃起豹：首先是管理方面，在計(jì)劃、執(zhí)行、決策、監(jiān)控、反饋等方面都有不同程度的提升。比如說在計(jì)劃階段，在信息系統(tǒng)實(shí)施之后，大大地提高了計(jì)劃的準(zhǔn)確率。以前也做計(jì)劃，但是計(jì)劃與最終的結(jié)果總是有很大的差距，自從信息系統(tǒng)實(shí)施之后，我們?cè)谧鲇?jì)劃制定時(shí)就非?？茖W(xué)了，不在是拍腦袋出來的，而是在先進(jìn)的模型和可靠的歷史數(shù)據(jù)基礎(chǔ)上制定計(jì)劃。在執(zhí)行階段，信息系統(tǒng)實(shí)施以后，執(zhí)行的速度比已前更快了，還不容易出錯(cuò)。在決策支持階段，系統(tǒng)中建立了全公司集中共享平臺(tái)和多維分析模型，支撐財(cái)務(wù)、工程、人力、業(yè)務(wù)指標(biāo)等各專業(yè)的管理決策分析，使公司的用戶數(shù)指標(biāo)、業(yè)務(wù)量指標(biāo)可以在時(shí)間、地域、用戶、業(yè)務(wù)、客戶、流向等多維度進(jìn)行分析和決策，為市場(chǎng)經(jīng)營(yíng)分析提供支持，并基本統(tǒng)一了各大業(yè)務(wù)基礎(chǔ)數(shù)據(jù)的定義、規(guī)范和標(biāo)準(zhǔn)，為今后跨部門分析、集成應(yīng)用保證了數(shù)據(jù)的一致性。在監(jiān)控階段，通過日志與匯報(bào)系統(tǒng)，可以清晰的了解工作的進(jìn)度，也起到了監(jiān)控的目的。在反饋階段，主要是通過信息化的溝通工具，縮短了公司溝通成本，這是在管理方面。

而在運(yùn)營(yíng)方面，我覺得主要有這么幾個(gè)方面的體現(xiàn)：

1、優(yōu)化了銷售環(huán)節(jié)，降低了銷售成本，提升了給客戶服務(wù)的水平，加速了貨款回收效率。

2、實(shí)現(xiàn)資金流、物流、信息流的統(tǒng)一管理，解決了內(nèi)部信息不暢通及管理困難等弊端。

3、業(yè)務(wù)數(shù)據(jù)實(shí)時(shí)處理，決策命令準(zhǔn)確下達(dá)。減少經(jīng)營(yíng)成本，降低經(jīng)營(yíng)風(fēng)險(xiǎn)，快速應(yīng)對(duì)市場(chǎng)變化。

4、采購(gòu)提前期縮短一半。采購(gòu)人員有了及時(shí)準(zhǔn)確的生產(chǎn)計(jì)劃信息，就能集中精力進(jìn)行價(jià)值分析，貨源選擇，研究談判策略，了解生產(chǎn)問題，縮短了采購(gòu)時(shí)間和節(jié)省了采購(gòu)費(fèi)用。

5、制造成本降低。由于庫(kù)存費(fèi)用下降，勞力的節(jié)約，采購(gòu)費(fèi)用節(jié)省等一系列人、財(cái)、物的效應(yīng)，使生產(chǎn)成本得到降低。

6、成本核算自動(dòng)化，實(shí)時(shí)報(bào)表統(tǒng)計(jì)及月底結(jié)賬瞬間完成，確保、準(zhǔn)確、快速的提供各種成本數(shù)據(jù)，提高財(cái)務(wù)人員效率；同時(shí)實(shí)時(shí)監(jiān)控財(cái)務(wù)信息，隨時(shí)掌握資金動(dòng)態(tài)，促進(jìn)財(cái)務(wù)管理從核算型轉(zhuǎn)變?yōu)楣芾硇汀r(jià)值型。

7、強(qiáng)化系統(tǒng)工程管理的功能，推進(jìn)工程管理精確化進(jìn)程。

黃起豹：在經(jīng)營(yíng)管理方面，第一個(gè)重要的信息化手段就是ERP，其它還包括有知識(shí)庫(kù)管理、資產(chǎn)管理、客戶呼叫中心、客戶關(guān)系管理、BI、以及根據(jù)自己行業(yè)特點(diǎn)研發(fā)的銷售與工程管

理等系統(tǒng)。在生產(chǎn)制造環(huán)節(jié)，主要用到系統(tǒng)有PLC、PDM、PLM、數(shù)控系統(tǒng)，以及CAD系統(tǒng)等。

從我的實(shí)際工作經(jīng)驗(yàn)來看，我日常工作中，有一半的時(shí)間是在解決問題，有一半時(shí)間是在溝通問題。而這些問題中，有些問題可能是具體公司特有的，有些問題可以會(huì)是行業(yè)普遍存在的問題，在這里我舉二個(gè)比較有代表的問題來給大家分享。第一個(gè)是有關(guān)數(shù)據(jù)方面的問題。由于當(dāng)時(shí)我們是整個(gè)集團(tuán)同時(shí)要上ERP系統(tǒng)，而當(dāng)時(shí)公司組織架構(gòu)是，有些部門是整個(gè)集團(tuán)共用的，而有些部門是各分公司獨(dú)立的，如生產(chǎn)部、市場(chǎng)部等。而在上ERP系統(tǒng)之前，各子公司都或多或少地建了一些系統(tǒng)，但是這些系統(tǒng)都是按照各公司自己的特點(diǎn)去做數(shù)據(jù)庫(kù)的設(shè)計(jì)，這些數(shù)據(jù)跑在單個(gè)公司是沒什么問題，但是整合到一個(gè)大的平臺(tái)時(shí)，就暴露出特別多的問題，如何把這些數(shù)據(jù)進(jìn)行兼容，當(dāng)時(shí)花了我們特別多時(shí)間去整合，現(xiàn)在基本是沒什么問題。但是這中間的一些體會(huì)，還是想與大家分享一下，如果您所在的公司是有多個(gè)子公司的話，那么在上管控型的ERP系統(tǒng)之前，最好是先把各分公司的數(shù)據(jù)進(jìn)行統(tǒng)一編碼，然后再上ERP系統(tǒng)。第二個(gè)問題是，ERP系統(tǒng)的實(shí)施相對(duì)于以前的工作方式來說是一種改革，改革就會(huì)設(shè)計(jì)到意識(shí)形態(tài)和行為方式的改變，而實(shí)際情況是，有些人可能會(huì)接受的比較快，快速適應(yīng)，另一些人可能就會(huì)有困難，當(dāng)然這跟員工本身的學(xué)識(shí)以及所處的環(huán)境是密不可分的。而對(duì)于這批人來說，在公司推行ERP系統(tǒng)來就有很大的困難，因?yàn)樗麄儠?huì)找各種理由來拒絕實(shí)施ERP，如認(rèn)為ERP并沒有提高效率反而是增加了麻煩等等。這時(shí)作為CIO，如何將自己的理念傳達(dá)給這部分員工就是一項(xiàng)非常有藝術(shù)的工作了，當(dāng)時(shí)我本人為了消除這部分人員對(duì)ERP認(rèn)識(shí)上的誤區(qū)，提高他們的信息化的水平，讓他們能在公司現(xiàn)代化環(huán)境中，同步發(fā)展，確實(shí)做了大量的工作，如今看來，這些付出還是給公司帶來了很好的回報(bào)。首先給他們培訓(xùn)，培訓(xùn)完了。還要對(duì)他們進(jìn)行理論考試，對(duì)考試成績(jī)好的，給相應(yīng)的獎(jiǎng)勵(lì)?？荚囃ㄟ^后，接下來就是指導(dǎo)他們實(shí)踐，直到他們完完全全地掌握。后來他們管這種培訓(xùn)方式為，不但給病人開藥方，還給病人煎藥，直到病人痊愈全服務(wù)鏈?zhǔn)降呐嘤?xùn)。

CIO時(shí)代網(wǎng)：信息化建設(shè)必然離不開軟件選型，在選型過程中遇到過哪些問題，有哪些獨(dú)到的經(jīng)驗(yàn)與大家分享呢？

黃起豹：選型是CIO們必須面對(duì)的一個(gè)問題，CIO們每天面對(duì)的要么是選用專業(yè)公司的解決方案，要么就是自己組織團(tuán)隊(duì)研發(fā)。我認(rèn)為在選型上可以分為三種情況：

（1）通用型產(chǎn)品的選擇。也就是說這些軟件拿過來就可以直接用，通用型產(chǎn)品的特點(diǎn)是市場(chǎng)上會(huì)有很多的提供商，很容易獲取，在這種情況下選型，我會(huì)考慮他的價(jià)格是不是有優(yōu)勢(shì)，售后服務(wù)如何。售后服務(wù)是很重要的一部分，采用別人的軟件就是要用別人的思想來給公司做事情，若選擇的供應(yīng)商售后服務(wù)不好的話，遠(yuǎn)比你購(gòu)買這個(gè)軟件所花費(fèi)的經(jīng)歷要大的多。還有就是供應(yīng)商的品牌的問題，這也是一個(gè)很重要的問題，如果選擇的是一家品牌很小企業(yè)，可能當(dāng)時(shí)它會(huì)承諾很多看起來很有誘惑售后服務(wù)，但是也有可能這家公司沒過一段時(shí)間就消失不見，這對(duì)一般的公司可能沒什么，但是對(duì)一家業(yè)務(wù)成熟的公司來說，那影響可就大了。所以對(duì)于長(zhǎng)期發(fā)展的大制造企業(yè)在選擇供應(yīng)商時(shí)，必須要考慮到這個(gè)方面。

（2）非通用產(chǎn)品。非通用產(chǎn)品的話，主要是從公司的內(nèi)部要求去考慮，比如公司發(fā)展到一定的階段，必須得上這套系統(tǒng)，那樣的話就沒有多大的溢價(jià)能力，并且所能提供服務(wù)商也就那么一兩家，所以只能從中選擇一家進(jìn)行合作。

（3）是否涉及到二次開發(fā)的問題。一般情況下，大量采購(gòu)過來的軟件都是需要二次開發(fā)的，那么這個(gè)時(shí)候，就需要評(píng)估現(xiàn)有團(tuán)隊(duì)有沒有相應(yīng)的二次開發(fā)的能力，如果沒有的話，盡量不要選擇這樣類型的軟件產(chǎn)品。

CIO時(shí)代網(wǎng)：有一種觀點(diǎn)認(rèn)為制造業(yè)信息化就是“引進(jìn)幾套先進(jìn)的管理軟件、搞企業(yè)網(wǎng)絡(luò)、搞生產(chǎn)自動(dòng)化”，您是怎么看待這個(gè)問題的？

黃起豹：這種說法是有一定的道理，但是他又是比較片面的說法，“引進(jìn)幾套先進(jìn)的管理軟件、搞企業(yè)網(wǎng)絡(luò)、搞生產(chǎn)自動(dòng)化”這些只是信息化建設(shè)的一部分，并不能涵蓋整個(gè)信息化的內(nèi)容，但是這些是信息化的基礎(chǔ)。如果從辨證思路來看的話，那就是只見樹木，沒看森林。如果從圖論的角度來看的話，我們可以把企業(yè)制造信息化看作外面的大圓，而主持人剛才提到那個(gè)，只能看作是大圓里的一個(gè)小圓，但是上面這種觀點(diǎn)，卻把小圓說成大圓那是非常危險(xiǎn)的。而我們現(xiàn)在社會(huì)這種情況也比比皆事，我在這里給大家舉一個(gè)每個(gè)家長(zhǎng)都非常關(guān)心，又與這個(gè)命題非常類似的例子。比如：一個(gè)小孩哇哇來到人間（好比是主持人剛才提到的系統(tǒng)），到他長(zhǎng)大成人，并且能給社會(huì)/個(gè)人創(chuàng)造價(jià)值，這中間還有很多工作要做。如果家庭和社會(huì)，在這些中間環(huán)節(jié)中不去做很多工作的話，那這個(gè)小孩可能不但達(dá)到大家預(yù)期，還有可能給社會(huì)帶來很大危害，反之，如果家庭和社會(huì)各方面工作都得非常到位，那他也會(huì)給組織與社會(huì)帶一個(gè)非常好的回報(bào)。所以說，你剛才提到的那些系統(tǒng)是公司信息化基礎(chǔ)，如果要這些系統(tǒng)給公司帶來效果，這中間還要CIO們做大量的工作才行。

CIO時(shí)代網(wǎng)：制造業(yè)信息化過程，是一個(gè)長(zhǎng)期的復(fù)雜過程，決不能急功近利，要有長(zhǎng)遠(yuǎn)打算，特別是要有長(zhǎng)遠(yuǎn)規(guī)劃。在您所在的企業(yè)IT規(guī)劃是如何進(jìn)行的？

黃起豹：首先我們有一個(gè)IT的長(zhǎng)期規(guī)劃，并且每年都會(huì)在長(zhǎng)期規(guī)劃的基礎(chǔ)上做滾動(dòng)規(guī)劃。而在做這個(gè)規(guī)劃之前，我們會(huì)去綜合各方面的信息并結(jié)合實(shí)際情況進(jìn)行規(guī)劃。第一方面的信息是公司戰(zhàn)略方面的，因?yàn)楣緫?zhàn)略中有企業(yè)的使命，希望達(dá)到的目標(biāo)以及企業(yè)所擁有的優(yōu)勢(shì)、劣勢(shì)、機(jī)會(huì)、威脅、供應(yīng)商的特點(diǎn)及可能的趨勢(shì)、新進(jìn)入者的情況、客戶的特點(diǎn)和新形式下可能發(fā)生的變化，替代品出現(xiàn)的可能性，競(jìng)爭(zhēng)者可能采取的動(dòng)作和信息化方面的情況，以及現(xiàn)公司所處的發(fā)展階段和行業(yè)特點(diǎn)等方面的信息。第二個(gè)是業(yè)務(wù)方面信息，這個(gè)相對(duì)簡(jiǎn)單，主要是看一下來年的銷售計(jì)劃是怎么樣的，公司的信息規(guī)劃是要隨著業(yè)務(wù)的變化做相應(yīng)的調(diào)整，如果業(yè)務(wù)擴(kuò)大，相應(yīng)的IT信息服務(wù)也要擴(kuò)大，反之，就要進(jìn)行相應(yīng)的壓縮，最終的目地是要保證信息化和業(yè)務(wù)的發(fā)展相匹配。第三個(gè)方面是信息技術(shù)本身，很多新的技術(shù)可以優(yōu)化原來的一些不足，若CIO在做規(guī)劃的時(shí)，沒有把這些因素考慮進(jìn)去的話，那么信息化很難為公司帶來信息所具有的更高的效率。第四個(gè)方面合規(guī)性內(nèi)容，例如上市公司會(huì)涉及到信息公開，那么上市公司在做信息規(guī)劃時(shí)就要把這些內(nèi)容考慮進(jìn)去，要在規(guī)劃中就按照國(guó)際標(biāo)準(zhǔn)，如《薩班斯法》相關(guān)規(guī)定來進(jìn)行。上面內(nèi)容了解清楚后，IT部門就可以進(jìn)行規(guī)劃，來年到底需要采購(gòu)多少軟件與硬件，會(huì)需要多大的數(shù)據(jù)庫(kù)支持，它的架構(gòu)與及基礎(chǔ)設(shè)施如何也就出來了。

CIO時(shí)代網(wǎng)：有人說：IT預(yù)算分配比例是業(yè)務(wù)部門說了算，畢竟業(yè)務(wù)部門最清楚自己的IT需求。但也有人說：IT預(yù)算分配是IT上的事，應(yīng)由IT部門來決定。那么，IT預(yù)算分配比例究竟是誰說了才算呢？您是怎么看待這個(gè)問題的？

黃起豹：無論是IT部門還是業(yè)務(wù)部門中任何一個(gè)部門去做都是有問題的。因?yàn)闃I(yè)務(wù)部門的特點(diǎn)是對(duì)業(yè)務(wù)特別的熟悉，并且采購(gòu)或者開發(fā)出來的產(chǎn)品最終也是他們來使用，而信息部門的特點(diǎn)，是比較喜歡追求技術(shù)的先進(jìn)性，但是先進(jìn)的不一定是實(shí)用的，如果信息部門花很大的價(jià)錢購(gòu)買或研發(fā)了一個(gè)軟件，但是并沒有給業(yè)務(wù)部門的工作帶來實(shí)實(shí)在在的便利，這樣的話，信息部門所做決策就是失敗的。反之，完全由業(yè)務(wù)部門來決策的話，會(huì)出現(xiàn)的一種情況是，業(yè)務(wù)部門把全部的功能寫到采購(gòu)清單中去，這樣可能會(huì)造成資金的浪費(fèi)。因?yàn)椴⒉皇菢I(yè)務(wù)部門的每一項(xiàng)需求都必須要出去采購(gòu)，有些業(yè)務(wù)需求可能在IT部門之前就有這方面的解決方案或者IT部門自己花很少的工作就可能研發(fā)出來，根本就不需要單獨(dú)去購(gòu)買。另外一種情況是，業(yè)務(wù)部門在提需求時(shí)，只會(huì)把當(dāng)前遇到的需求現(xiàn)狀說出來，不可能會(huì)知道在信息化之上，即滿足現(xiàn)有需求，還需要擴(kuò)展的內(nèi)容。但是好的CIO們是或多或少會(huì)有一些這方面的經(jīng)驗(yàn)的。要是完全由業(yè)務(wù)部門決策，那像CIO們的這些好的思想就沒法在項(xiàng)目中得到體現(xiàn)。所以說，這兩個(gè)部門無論哪個(gè)部門單獨(dú)的去做決策，都會(huì)產(chǎn)生很多的問題。因此，建議公司因該有一個(gè)決策委員會(huì)，當(dāng)中有業(yè)務(wù)部負(fù)責(zé)人，信息部負(fù)責(zé)人還有財(cái)務(wù)部負(fù)責(zé)人等，任何一個(gè)項(xiàng)目，由決策會(huì)一起表決決定，這樣就會(huì)比較科學(xué)，合理。

CIO時(shí)代網(wǎng)：有一個(gè)誤區(qū)就是認(rèn)為企業(yè)信息化只要有投入就會(huì)有產(chǎn)出，而不重視投入產(chǎn)出比，但是關(guān)注IT投資的投入產(chǎn)出比成為了CIO最重要的工作之一，您一般是如何做投入產(chǎn)出的分析呢？

黃起豹：以往在一些政府部門的CIO們眼中，會(huì)有這樣一種觀點(diǎn)，認(rèn)為他們的系統(tǒng)提供的服務(wù)都是公益的，所以不需要或者也無法算出它的回報(bào)率。但是，這一，二年，他們對(duì)這個(gè)方面問題的認(rèn)識(shí)，也發(fā)現(xiàn)了非常大的變化，他們開始覺得，他們的產(chǎn)品一樣要看它的回報(bào)率，與企業(yè)所不同的是，他們的產(chǎn)品不是已財(cái)務(wù)指標(biāo)作為唯一的衡量標(biāo)準(zhǔn)。

而對(duì)于民企來說，那它的每一產(chǎn)品都一定要考慮投入產(chǎn)出比。如果在上系統(tǒng)之前沒有估算好的話，哪它的投資的結(jié)果就會(huì)很麻煩。下面我講一下，我們通常在這個(gè)方面的做法，首先，我們?cè)谏先魏我粋€(gè)系統(tǒng)之前，都會(huì)按照公司信息部所擁有的規(guī)范列一個(gè)表，表中大致包涵了與這個(gè)系統(tǒng)所有有關(guān)的使用者和創(chuàng)建者，然后，分別給他們分配權(quán)值，最后，把這些權(quán)值加總求和，在后，用這個(gè)總數(shù)和沒有上系統(tǒng)所需要花費(fèi)的費(fèi)用總數(shù)進(jìn)行比較，如果結(jié)果大于期望的倍數(shù)的話，我們就是進(jìn)行投入，反之，可能就不會(huì)投資或者推遲投資的時(shí)間。

CIO時(shí)代網(wǎng)：信息化項(xiàng)目實(shí)施會(huì)帶來各個(gè)方面的風(fēng)險(xiǎn)，比如業(yè)務(wù)流程重組的風(fēng)險(xiǎn)、技術(shù)風(fēng)險(xiǎn)等等，那么您作為CIO是如何讓有效的規(guī)避這些風(fēng)險(xiǎn)呢？

黃起豹：風(fēng)險(xiǎn)是指它具有不確定性因素，而信息化產(chǎn)品是一個(gè)智力產(chǎn)品，所以它在整個(gè)生命周期中處處都會(huì)有不確定性，那么如何把這些不確定性變成確定性，就是考驗(yàn)CIO智慧的時(shí)候。下面我分享一下，我自己這么多年處理風(fēng)險(xiǎn)的經(jīng)驗(yàn)：

如果我拿到一個(gè)新項(xiàng)目，首先，我會(huì)把項(xiàng)目所有的邊界確定清楚，比如這個(gè)是給哪些人服務(wù)，提供什么樣的服務(wù)等具體的內(nèi)容全部都列出來，并且要經(jīng)過相關(guān)使用者的簽字確認(rèn)。

其次是在以上的基礎(chǔ)上把質(zhì)量目標(biāo)全部找出來，這包括顯性質(zhì)量和隱性質(zhì)量，并要把這些質(zhì)量?jī)?nèi)容在項(xiàng)目實(shí)施之前，跟項(xiàng)目相關(guān)方進(jìn)行一項(xiàng)一項(xiàng)地確認(rèn)，并要把這些內(nèi)容寫到正規(guī)的文檔里，以使項(xiàng)目結(jié)束，雙方或多方進(jìn)行驗(yàn)收。

再次就是建立一個(gè)通透的溝通渠道。使大家有任何問題都能及時(shí)溝通，而不能等項(xiàng)目實(shí)

施完之后再去溝通，要一邊實(shí)施一邊溝通，這樣不但能啟到培訓(xùn)的作用，而且還能啟到收集需求的作用。也加深了項(xiàng)目相關(guān)人員的參與程度。

最后就是時(shí)間安排。要給項(xiàng)目做一個(gè)確實(shí)可行的項(xiàng)目時(shí)間計(jì)劃，里面要包括里程碑式的時(shí)間結(jié)節(jié)，并且要在這些結(jié)節(jié)中，清楚地描繪出需要完成哪些功能，需要提交哪些文檔以及如果延期他的補(bǔ)救措施是什么等內(nèi)容。

上面說的是如何盡量的減少風(fēng)險(xiǎn)，但是有些風(fēng)險(xiǎn)是無法避免的，像這種情況，我個(gè)人的建議是，在風(fēng)險(xiǎn)出現(xiàn)之前，先通過科學(xué)的方法，盡可能多地找出可能存在的風(fēng)險(xiǎn)，然后針對(duì)每一種風(fēng)險(xiǎn)付上權(quán)值，最后求出這種風(fēng)險(xiǎn)出現(xiàn)的可能性。而對(duì)每一種可能性，找出一到二種應(yīng)急預(yù)案，這樣，即使真出現(xiàn)了風(fēng)險(xiǎn)，我們也能從容地應(yīng)對(duì)，不至于給公司帶來很大的損失。

CIO時(shí)代網(wǎng)：作為CIO，您在跟其他業(yè)務(wù)部門或者領(lǐng)導(dǎo)溝通時(shí)有沒有獨(dú)到的經(jīng)驗(yàn)可以與大家分享？

黃起豹：其實(shí)溝通是一個(gè)非常普遍的問題，不只是CIO面對(duì)這個(gè)問題。應(yīng)該說：每一個(gè)都會(huì)面臨這個(gè)問題，那又為什么會(huì)出現(xiàn)有些人溝通的好，有些人溝通的就不好。我個(gè)人覺得：原因有，由于每一個(gè)個(gè)體所處的背景不同、角色不同、所期望的目標(biāo)也是不同的，在這樣復(fù)雜的系統(tǒng)下，那就難免會(huì)遇到溝通不暢的問題。但是也不是說，沒有方法來規(guī)避。我談一下，我本人在這方面的經(jīng)驗(yàn)，通常我如果要去與領(lǐng)導(dǎo)溝通一件事時(shí)，首先我會(huì)深入了解將要溝通主題，不僅要了解主題表象意義，而且還會(huì)去深入了解隱含在里面的內(nèi)容，比如：CIO們經(jīng)常要向領(lǐng)導(dǎo)申請(qǐng)IT項(xiàng)目經(jīng)費(fèi)，如果碰到不會(huì)溝通的CIO，他的溝通狀態(tài)是這樣的。老板我們將要上一套，費(fèi)用是XX，老板請(qǐng)簽字。而老板接到這個(gè)信息，第一反映是，又來要錢，那老板確定會(huì)找很多其它方面的理由來搪塞。而換成一個(gè)會(huì)溝通的，同樣是這件事，他在與老板溝通之前，會(huì)去做大量的工作，收集大量的數(shù)據(jù)來證明投資這個(gè)產(chǎn)品的必要性和所會(huì)帶來的價(jià)值。然后在找適合的溝通渠道，像老板匯報(bào)。而這種溝通結(jié)果跟前一種，那肯定是天壤之別。

CIO時(shí)代網(wǎng)：制造業(yè)信息化是國(guó)民經(jīng)濟(jì)和社會(huì)信息化的核心部分，您認(rèn)為制造業(yè)信息化的關(guān)鍵是什么呢？那么您認(rèn)為在中國(guó)如何才能搞好制造業(yè)的信息化建設(shè)？

黃起豹：我認(rèn)為當(dāng)前制造業(yè)信息化的關(guān)鍵主要表現(xiàn)在三個(gè)方面：（1）生產(chǎn)自動(dòng)化（2）管理現(xiàn)代化，（3）協(xié)作便利化，這些是制造業(yè)信息化比較關(guān)鍵的幾點(diǎn)。

搞好制造業(yè)的信息化會(huì)涉及到方方面面，即會(huì)涉及到宏觀方面的問題，也會(huì)涉及到微觀方面的問題。下面我將就與制造業(yè)信息化有聯(lián)系的各方分別來談，（1）政府方面，應(yīng)該制定一種健康向上的市場(chǎng)規(guī)則和好政策，讓制造業(yè)在合規(guī)的范圍內(nèi)受益，并且能提供在一個(gè)平等的平臺(tái)讓他們來競(jìng)爭(zhēng)，這是對(duì)于國(guó)內(nèi)市場(chǎng)的制造來說。而對(duì)于出口型的，應(yīng)該降底稅率，支持創(chuàng)新，提高它們的國(guó)際競(jìng)爭(zhēng)能力等等方面。（2）是媒體和行業(yè)機(jī)構(gòu)方面，應(yīng)該做好宣傳與引導(dǎo)作用，多宣傳一些優(yōu)秀的解決方案，并利用平臺(tái)的優(yōu)勢(shì)，多組織專家為信息化方面有困難的企業(yè)，進(jìn)行診斷與把脈，幫助他們?cè)谛畔⒒飞仙僮咭恍澛贰＃?）最后就是企業(yè)本身，企業(yè)要有在信息化時(shí)代的大環(huán)境下有變革的思想，只有企業(yè)領(lǐng)導(dǎo)者愿意去改變，不怕來至于之前的各種不好方面的阻力，再加上有一個(gè)好的CIO，一起并肩做戰(zhàn)，企業(yè)信息化一定會(huì)取得非常好的成績(jī)。同時(shí)如果上面各方都把自己的定位做好，我相信整個(gè)中國(guó)的制造業(yè)信息化

水平一天會(huì)比一天好。

CIO時(shí)代網(wǎng)：您認(rèn)為CIO應(yīng)該具備怎樣的知識(shí)結(jié)構(gòu)和核心能力？在云計(jì)算鋪天蓋地的今天，會(huì)有人說，“云計(jì)算來了，CIO得走了”，您是怎么看待這個(gè)問題的呢？

黃起豹：CIO應(yīng)具備的知識(shí)結(jié)構(gòu)有：信息化知識(shí)、管理知識(shí)、業(yè)務(wù)知識(shí)等知識(shí)。而能力方面我覺得應(yīng)該至少有這些方面：溝通能力、沖突處理能力、學(xué)習(xí)能力、領(lǐng)導(dǎo)能力、創(chuàng)新能力、宏觀思考問題的能力、團(tuán)隊(duì)協(xié)作等方面的能力。

云計(jì)算是一種變革，既然是變革就會(huì)有人員的流動(dòng)，這是必然的，并且對(duì)行業(yè)也會(huì)進(jìn)行一定洗滌，但是從目前CIO的狀況來看，影響較大的是小企業(yè)的CIO，本身小企業(yè)就是靠壓縮成本來生存，那降低成本就是他們追求一種重要的目標(biāo)。而如果云計(jì)算來了，正好可以給公司在信息化建設(shè)方面節(jié)省公司成本。因?yàn)楣拘畔⒒ぷ髦灰ê苌俚腻X，由專業(yè)的云平臺(tái)來管理，這樣的話，公司可能在某種程度上來看，就不需要CIO這個(gè)角色了。但是中大型企業(yè)，云計(jì)算來了以后，CIO不但不會(huì)走，可能還會(huì)帶來了另一種機(jī)會(huì)。我先說一下中型企業(yè)，中型企業(yè)的特點(diǎn)是前面有大型企業(yè)的壓制，下面有小企業(yè)的追趕，所以他需要新的技術(shù)，新的思路來更好的發(fā)展企業(yè)，以縮短他與大型企業(yè)的距離。新的技術(shù)肯定是CIO掌握的最多，而實(shí)際情況是：目前很多CIO是每天都在解決大量的日常問題，而沒有精力去思考和學(xué)習(xí)很多新技術(shù)與管理，而云計(jì)算來了之后，CIO就可以騰出大量的時(shí)間，去汲取更多的專業(yè)知識(shí)，以至來輔助公司向大企業(yè)邁進(jìn)。這樣一來，CIO在公司的定位就會(huì)越來越高。這是對(duì)于中型企業(yè)。而對(duì)于大型企業(yè)的說，云計(jì)算來了以后，CIO可以做的事情就更多了，一般大公司的CIO都是雙重人才，既懂技術(shù)又懂業(yè)務(wù)和管理，云計(jì)算的到來，給了他們?nèi)ニ伎紤?zhàn)略以及為戰(zhàn)略實(shí)踐提供大好機(jī)會(huì)。

CIO時(shí)代網(wǎng)：非常感謝黃先生在百忙之中，接受我們的采訪，希望在未來的廣闊空間中，CIO的路能夠越走越寬，給企業(yè)信息化插上騰飛的翅膀。

第二、電力行業(yè)信息化建設(shè)規(guī)劃的缺失和系統(tǒng)的分裂的局面，也迫切需要從根本上對(duì)于電力行業(yè)的信息化建設(shè)進(jìn)行再思考和重新整合。在過去幾十年內(nèi)，信息技術(shù)應(yīng)用在電力工業(yè)各個(gè)專業(yè)領(lǐng)域，但各領(lǐng)域的應(yīng)用是分散和孤立的，并沒有形成大系統(tǒng)的概念。因此在下一階段，電力信息化的重點(diǎn)之一就是信息技術(shù)的集成和綜合利用。首先，為了保障電力行業(yè)在信息、網(wǎng)絡(luò)方面的可靠性與安全性，應(yīng)該對(duì)電力系統(tǒng)光纖通信網(wǎng)、數(shù)據(jù)網(wǎng)、信息網(wǎng)進(jìn)行整合與統(tǒng)一。其次是管理信息系統(tǒng)等信息化應(yīng)用系統(tǒng)內(nèi)部的整合。經(jīng)過多年來持續(xù)不斷的建設(shè)，電力行業(yè)內(nèi)部各個(gè)子系統(tǒng)采用了各種不同的平臺(tái)和管理軟件，這不利于使用操作、管理維護(hù)和整體效果的發(fā)揮，因此要進(jìn)行平臺(tái)整合。再就是各信息化應(yīng)用系統(tǒng)間的整合。

其二，在企業(yè)的各項(xiàng)管理體系，如各種會(huì)議、員工培訓(xùn)以及日常的業(yè)務(wù)管理中，引入信息化的管理體系，不僅能夠縮短管理的時(shí)間和跨度，節(jié)約管理管理成本。其三，對(duì)企業(yè)中的人、財(cái)、物、技術(shù)等基本生產(chǎn)要素采用信息系統(tǒng)進(jìn)行管理，不僅可以提高企業(yè)生產(chǎn)效率、降低生產(chǎn)成本，也可以實(shí)現(xiàn)資源共享，互通有無。其

四、對(duì)企業(yè)戰(zhàn)略、決策過程、組織崗位、制度、技能、績(jī)效考核實(shí)行信息化管理，以確保在多角度、多層面上提高企業(yè)的科學(xué)管理水平。

第二篇：上市公司CIO 內(nèi)控管理和信息化建設(shè)

財(cái)政部會(huì)計(jì)司綜合處處長(zhǎng)，內(nèi)控標(biāo)準(zhǔn)委員會(huì)家成員胡興國(guó) 中國(guó)石油化工股份有限公司信息系統(tǒng)管理部處長(zhǎng)姜林

用友公司NC產(chǎn)品架構(gòu)師付建華女士

河北網(wǎng)通信息化部高級(jí)工程師屈玉閣

浪潮通軟副總裁兼技術(shù)總監(jiān)魏代森

中國(guó)鋁業(yè)信息部的楊磊

國(guó)際信息系統(tǒng)審計(jì)師協(xié)會(huì)北京事務(wù)委員會(huì)主席何迪生

摩卡軟件高級(jí)售前顧問周立民

EMC信息安全事業(yè)部中國(guó)區(qū)資深技術(shù)顧問馮崇彪 信息中心主任張艷

下面我們有請(qǐng)財(cái)政部會(huì)計(jì)司綜合處處長(zhǎng)，內(nèi)控標(biāo)準(zhǔn)委員會(huì)家成員胡興國(guó)。胡興國(guó)：各位領(lǐng)導(dǎo)，嘉賓，上午好。

今天能有這個(gè)機(jī)會(huì)我想給大家匯報(bào)一下財(cái)政部會(huì)同另外四各部位關(guān)于標(biāo)準(zhǔn)建設(shè)實(shí)施情況，我匯報(bào)情況叫我國(guó)企業(yè)內(nèi)部控制標(biāo)準(zhǔn)建設(shè)與實(shí)施。

匯報(bào)5個(gè)問題，一個(gè)是我們啟動(dòng)標(biāo)準(zhǔn)建設(shè)的規(guī)定，第二就是匯報(bào)我們企業(yè)內(nèi)部控制建設(shè)歷程，第三簡(jiǎn)單匯報(bào)一下標(biāo)準(zhǔn)建設(shè)框架體系，第四簡(jiǎn)單介紹一下信息化，風(fēng)險(xiǎn)管理與內(nèi)部控制關(guān)系，最后大家探討一下企業(yè)在事實(shí)內(nèi)控標(biāo)準(zhǔn)應(yīng)該做一些什么工作。

第一部分是就是它的意義，我從三個(gè)部分進(jìn)行總結(jié)，大家知道去年5月11日，財(cái)政部，證監(jiān)會(huì)，保監(jiān)會(huì)，還有審計(jì)署同時(shí)頒發(fā)了基本規(guī)范，我們也在北京召開了發(fā)布會(huì)標(biāo)志著我們國(guó)家企業(yè)內(nèi)部控制標(biāo)準(zhǔn)建設(shè)，有了重要階段性成果。

當(dāng)前世界金融危機(jī)給我們國(guó)家造成很多機(jī)遇，我們做了一個(gè)調(diào)研企業(yè)加強(qiáng)內(nèi)部建設(shè)，提升自身的能力是非常重要。第二就是中央提出走出去戰(zhàn)略，國(guó)家起草規(guī)范和技術(shù)出發(fā)點(diǎn)，要企業(yè)做強(qiáng)做大，幫助他們國(guó)外資本市場(chǎng)進(jìn)行融資，特別是是美國(guó)，英國(guó)，法國(guó)，包括我們香港都有一些要求。

第三就是滿足我們資本市場(chǎng)發(fā)展需要，我們國(guó)家資本市場(chǎng)公開，公平，公正，提高財(cái)政的信息質(zhì)量，提升我們經(jīng)營(yíng)管理水平，可持續(xù)發(fā)展，還有保護(hù)我們廣大投資者利益。第二部分就是發(fā)展歷程，我們國(guó)家企業(yè)內(nèi)部控制建設(shè)從70年代就是改革開放以后，特別是我們第一部會(huì)計(jì)法的實(shí)施，這是一個(gè)標(biāo)準(zhǔn)性階段。在滿足社會(huì)不同需要，在這個(gè)過程我們出現(xiàn)過滿足核算制度等等。早在70年代末期，80年代初，包括我們提出崗位分離等等。90年代的時(shí)候，特別是我們會(huì)計(jì)法實(shí)施的時(shí)候財(cái)政部96年發(fā)布會(huì)計(jì)規(guī)范，規(guī)范要求各單位進(jìn)一步建立健全包括內(nèi)部控制先進(jìn)內(nèi)部會(huì)計(jì)管理制度，會(huì)計(jì)法明確要求各單位建立內(nèi)部管理，這是我們內(nèi)部管理的法律依據(jù)，到2001年6月22日，財(cái)政部依據(jù)會(huì)計(jì)法規(guī)定又制定了企業(yè)內(nèi)部會(huì)計(jì)控制規(guī)范，基本規(guī)范和后備資金，04年相繼發(fā)布了銷售與收入增加，發(fā)布了1+6的等各項(xiàng)制度。

第三階段以我們發(fā)布的金融規(guī)范，來源主要是美國(guó)安然事件以后，采捕正有關(guān)領(lǐng)導(dǎo)，把安然事件對(duì)我們國(guó)家的意義報(bào)個(gè)國(guó)務(wù)院，國(guó)務(wù)院領(lǐng)導(dǎo)同志做了批示，這項(xiàng)工作財(cái)政部牽頭，證監(jiān)會(huì)，國(guó)資委配合，建立中國(guó)的塞班斯法，到2007年，財(cái)政部，銀監(jiān)會(huì)，國(guó)資委等聯(lián)合發(fā)起成立我國(guó)企業(yè)內(nèi)部標(biāo)準(zhǔn)委員會(huì)，委員會(huì)委員是31位，我們成立了8個(gè)咨詢小組，8個(gè)小組去年我們把這個(gè)小組又?jǐn)U大了，委員從31名發(fā)展大50人，咨詢小組現(xiàn)在有150人，當(dāng)時(shí)我們發(fā)布規(guī)范發(fā)布了17項(xiàng)具體規(guī)范。我剛才說5月22日我們發(fā)布節(jié)本規(guī)范，要求7月1日正式實(shí)施。

第三部分給大家匯報(bào)一下，基本規(guī)范的框架體系?？蚣荏w系是一個(gè)規(guī)范加三個(gè)指引，一個(gè)是基本規(guī)范已經(jīng)發(fā)布了，內(nèi)部標(biāo)準(zhǔn)體系是最高層次，有的人說是中國(guó)的塞班斯法，第二是主要是對(duì)企業(yè)，對(duì)企業(yè)有內(nèi)控企業(yè)的主體。幫助企業(yè)建立體系，第三系評(píng)價(jià)指標(biāo)，是企業(yè)內(nèi)部必須做的評(píng)價(jià)包括自我評(píng)價(jià)，怎么評(píng)價(jià)。第四是審計(jì)指引，會(huì)計(jì)事務(wù)所執(zhí)行內(nèi)部審計(jì)?；疽?guī)范主要是有概念，目標(biāo)，原則，要素。我們提出了概念，當(dāng)時(shí)我們國(guó)家內(nèi)部控制很多部門都有，包括我們銀行，銀監(jiān)會(huì)，包括我們的證監(jiān)會(huì)，包括我們兩個(gè)交易所，我們部門把概念統(tǒng)一一下。目標(biāo)有三個(gè)目標(biāo)，我們提出5個(gè)目標(biāo)，我們是5目標(biāo)，原則，要素。應(yīng)用指引，給我們發(fā)布了征求意見，目前21個(gè)應(yīng)用指引，加上審計(jì)指引，加上評(píng)價(jià)指引，一共是23個(gè)，我們財(cái)政部部長(zhǎng)簽發(fā)了，審計(jì)署也簽了。我們應(yīng)用指引主要是21個(gè)分布，一個(gè)是針對(duì)企業(yè)管理，我們根據(jù)基本規(guī)范有5個(gè)一個(gè)是統(tǒng)一架構(gòu)，一個(gè)是發(fā)展戰(zhàn)略，一個(gè)是人力資源，還有社會(huì)責(zé)任和企業(yè)文化。這5個(gè)我們是怎么每一個(gè)構(gòu)架都差不多，我就舉一個(gè)社會(huì)責(zé)任框架，我們第一就是整合，提出它的概念什么是社會(huì)責(zé)任，我們?cè)偬岢鲋行挠心男?，社?huì)責(zé)任我們提出4個(gè)中心點(diǎn)，安全生產(chǎn)，不落實(shí)可能導(dǎo)致企業(yè)生產(chǎn)事故，第二產(chǎn)品質(zhì)量惡劣，會(huì)侵害消費(fèi)者利益，可以導(dǎo)致企業(yè)破產(chǎn)，大家知道河北石家莊三鹿開奶粉事件，第三是環(huán)保投入不足，資源消耗大，造成環(huán)境污染，資源枯竭，缺乏發(fā)展后勁一是一個(gè)風(fēng)險(xiǎn)。

第四我們說促進(jìn)就業(yè)和員工權(quán)益保護(hù)，我們金融危機(jī)背景下，擴(kuò)大就業(yè)，保內(nèi)需，增長(zhǎng)，我們從企業(yè)角度。第一是控制環(huán)境，第二是資源，包括資金活動(dòng)，我們以融資，投資這一塊我們放在一些活動(dòng)里面，還有采購(gòu)業(yè)務(wù)，還有負(fù)債管理，銷售，研發(fā)，工程項(xiàng)目，服務(wù)外包等等。應(yīng)用指引形式都差不多，比如說采購(gòu)應(yīng)用，我們主要是支付環(huán)境，包括購(gòu)買環(huán)節(jié)，要采購(gòu)申請(qǐng)，招標(biāo)，確定供應(yīng)商，供應(yīng)價(jià)格，報(bào)批核準(zhǔn)等等，每個(gè)環(huán)節(jié)進(jìn)行控制，第三是控制手段，包括全面預(yù)算，風(fēng)險(xiǎn)管理，內(nèi)容信息傳遞，信息系統(tǒng)，財(cái)務(wù)報(bào)告。

第四針對(duì)特殊行業(yè)或者行業(yè)的控制，包括銀行業(yè)，證券期貨業(yè)務(wù)，保險(xiǎn)業(yè)務(wù)個(gè)個(gè)應(yīng)對(duì)指引。再說一下就是評(píng)價(jià)制度，作為企業(yè)內(nèi)部管理涉及到運(yùn)行效果和自我評(píng)價(jià)，為了方便起見，我們起草了一個(gè)對(duì)企業(yè)內(nèi)部控制，內(nèi)部評(píng)價(jià)指標(biāo)，包括內(nèi)容，標(biāo)準(zhǔn)，程序，方法，包括報(bào)告形式，我們選擇企業(yè)報(bào)告的基本是從1月2日，12月31作為一個(gè)會(huì)計(jì)年計(jì)表，也可以選擇6月30號(hào)自查報(bào)告也有了新的形式我們參考的深交所還有美國(guó)塞班斯法正在研究，報(bào)告形式可能要分兩部分，第一個(gè)是對(duì)環(huán)境評(píng)價(jià)，對(duì)業(yè)務(wù)流程通過一些表格，數(shù)據(jù)一些量化標(biāo)準(zhǔn)。企業(yè)怎么判斷你的是否存在重大缺陷，下面就是審計(jì)制度，主要是事務(wù)所接受企業(yè)審計(jì)。從我們目前起草稿子我們指引分四各類型，一個(gè)就是標(biāo)準(zhǔn)，還有在強(qiáng)調(diào)時(shí)間段和保留意見，還有否定一些意見，還有無法表明一些意見，和我們財(cái)務(wù)報(bào)告差不多，這個(gè)也有一些具體指標(biāo)。我簡(jiǎn)單匯報(bào)一下框架體系。

第四部分我們匯報(bào)一下內(nèi)部控制與風(fēng)險(xiǎn)管理的信息化，我們是怎么理解的。內(nèi)部控制和風(fēng)險(xiǎn)管理，實(shí)際上存在一些爭(zhēng)議，理論界對(duì)這一問題，人事部統(tǒng)一，有人認(rèn)為內(nèi)部控制與風(fēng)險(xiǎn)管理是兩回事，兩張皮，也有人形象說內(nèi)部控制是“正確的做事”，風(fēng)險(xiǎn)管理是“做正確的事”。從我們制定基本規(guī)范角度出發(fā)點(diǎn)，我們認(rèn)為內(nèi)部控制和風(fēng)險(xiǎn)管理不是兩張皮，應(yīng)該是一個(gè)完整和有機(jī)融合，我們認(rèn)為內(nèi)部控制主要是企業(yè)內(nèi)容風(fēng)險(xiǎn)，包括你可控風(fēng)險(xiǎn)也包括不可控風(fēng)險(xiǎn)，但是都要做。所以我們基本規(guī)范風(fēng)險(xiǎn)評(píng)估，有風(fēng)險(xiǎn)識(shí)別，分析，經(jīng)營(yíng)存在的風(fēng)險(xiǎn)，戰(zhàn)略，決策等等。第二對(duì)國(guó)際先進(jìn)研究成果與經(jīng)驗(yàn)看，應(yīng)該是有機(jī)融合的趨勢(shì)?？磁c風(fēng)險(xiǎn)之間的感到我們是這樣理解的。

那樣控制與信與化，信息化會(huì)計(jì)信息化有財(cái)政部會(huì)計(jì)司也說，80年代我們?cè)谌珖?guó)積累了很多經(jīng)驗(yàn)，在電算化的一些標(biāo)準(zhǔn)，08年11月12日我們財(cái)政部會(huì)同其他8大部委在北京成立會(huì)計(jì)信息化，包括還有XBRL中國(guó)地區(qū)組織。經(jīng)過20多年的努力，在會(huì)計(jì)信息化工作方面給我們發(fā)了一個(gè)指導(dǎo)意見，這項(xiàng)工作從我們司角度，已經(jīng)成為工作重點(diǎn)。會(huì)計(jì)信息化與內(nèi)部控制信息化還是有一點(diǎn)區(qū)別，這一方面從我們內(nèi)控角度，我們單獨(dú)有一個(gè)信息系統(tǒng)這方面的指引，我相信這個(gè)會(huì)內(nèi)部控制好，要做得好，對(duì)大多數(shù)企業(yè)來說很重要的。隨著科技發(fā)展水平越來越先進(jìn)，所以信息化一定要跟內(nèi)容控制有機(jī)融合起來。信息系統(tǒng)我個(gè)人理解不僅是本身需要控制，最主要是在內(nèi)容控制和風(fēng)險(xiǎn)管理中，能發(fā)揮很大的作用，提高工作效率，能夠節(jié)約很多成本。

第五部分，我匯報(bào)一下企業(yè)如何實(shí)施內(nèi)容控制規(guī)范。我們知道原來定今年7月1日上市公司開始實(shí)施，考慮到因?yàn)槲覀円幌盗械木唧w的應(yīng)用目前還沒有發(fā)布，加上我們審計(jì)指引，發(fā)布以后還要有一段時(shí)間消化吸收還要有一個(gè)過程，由于金融危機(jī)影響，我們調(diào)研一些企業(yè)他們關(guān)注點(diǎn)說法不一樣，有的說我們現(xiàn)在經(jīng)濟(jì)不景氣，我們練內(nèi)功吧，有的關(guān)注不是這個(gè)關(guān)注經(jīng)濟(jì)增長(zhǎng)率，所以經(jīng)過部里面領(lǐng)導(dǎo)多年的慎重研究，目前我們調(diào)整到2010年1月1日，原來是在境外上市公司實(shí)施，考慮到情況其他上市公司、其他企業(yè)也執(zhí)行。這套體系下來已經(jīng)做了調(diào)研實(shí)施成本是非常大，實(shí)施難度還是有一定難度的，目前需要財(cái)力，人力資源，所以我們想這個(gè)中國(guó)在境外上市有4個(gè)國(guó)家。實(shí)施原定7月1日實(shí)施，有一個(gè)自查報(bào)告，2010年12月31日，我們還有一年半的時(shí)間，我們的有一些企業(yè)有完善的標(biāo)準(zhǔn)、完善的制度體系，我們宣傳和應(yīng)用。下半年我們就做一個(gè)宣傳和培訓(xùn)工作，我們目前正在緊鑼密鼓的籌備當(dāng)中。目前我們跟蹤一些大的企業(yè)看看他們的實(shí)施效果。

企業(yè)在貫徹實(shí)施內(nèi)部控制規(guī)范制度，我個(gè)人理解應(yīng)該從下面6個(gè)方面。第一個(gè)方面就是要強(qiáng)化宣傳培訓(xùn)，提高內(nèi)部的認(rèn)識(shí)。不管7月1日?qǐng)?zhí)行不執(zhí)行，上市公司總是要執(zhí)行，只是一個(gè)時(shí)間問題，延續(xù)明年下半年，或者后年總之是要執(zhí)行的，所以工作還要往前做。所以要宣傳培訓(xùn)提高認(rèn)識(shí)。第二點(diǎn)就是要健全內(nèi)控機(jī)構(gòu)，提供組織保障。不少企業(yè)有內(nèi)控部、有風(fēng)險(xiǎn)部，有的是單獨(dú)設(shè)立了內(nèi)控部門，有的是放在財(cái)政部下面，有內(nèi)控部。形式不一樣，但是我們從基本規(guī)范角度要求，要設(shè)立機(jī)構(gòu)配備人員。第三點(diǎn)要循序漸進(jìn)，穩(wěn)步實(shí)施，不是哪一個(gè)部門，不是我們財(cái)務(wù)部一下子的事，是需要多個(gè)部門配合。對(duì)于企業(yè)因?yàn)椴顒e很大，差別很多，千差萬別基礎(chǔ)也不一樣，建議分步驟、分層次的進(jìn)行。選擇境外上市公司執(zhí)行，考慮境外上市公司資本市場(chǎng)是適合公眾利益，執(zhí)行效果好壞事關(guān)資本市場(chǎng)的穩(wěn)定，但是上市公司基礎(chǔ)較好，人員素質(zhì)較高，本身有完善的內(nèi)部控制的制度體系，同時(shí)也有雄厚財(cái)力支持，所以選擇境外上市是有扎實(shí)的基礎(chǔ)。第五點(diǎn)我們建議注重實(shí)施成本，講究實(shí)施成本。第六就是強(qiáng)化內(nèi)部控制建設(shè)，增加風(fēng)險(xiǎn)防范能力，應(yīng)該進(jìn)行統(tǒng)一協(xié)調(diào)。

最后一點(diǎn)就是要企業(yè)善于借助外部資源，合理利用外腦。企業(yè)在實(shí)施過程中內(nèi)部控制標(biāo)準(zhǔn)體系過程中，讓人感覺到這方面人才，智力資源的局限于可以借助外部咨詢機(jī)構(gòu)，中介機(jī)構(gòu)，幫助你設(shè)計(jì)，避免少走彎路。同時(shí)讓咨詢機(jī)構(gòu)培訓(xùn)自己的人才，這樣提高企業(yè)綜合管理水平。我要匯報(bào)簡(jiǎn)單給大家匯報(bào)一下的是我們財(cái)政部牽頭這項(xiàng)工作的基本思路，不對(duì)之處請(qǐng)大家指正謝謝大家。

主持人：非常感謝胡處長(zhǎng)的發(fā)言，下面我們有請(qǐng)來自IDS Scheer咨詢經(jīng)理闞相元先生發(fā)言。闞相元：各位領(lǐng)導(dǎo)，各位來賓，大家早上好。

我代表Scheer公司，與大家分享一下我們內(nèi)控風(fēng)險(xiǎn)管理的認(rèn)識(shí)和經(jīng)驗(yàn)。

在正式演講前我們Scheer公司是德國(guó)著名管理信息學(xué)教授在1999年建立的，進(jìn)入中國(guó)是2004年，目前公司在北京上海，還有深圳，有三個(gè)辦公室，在中國(guó)主要是提供兩個(gè)方面大的分別服務(wù)一個(gè)是SAP實(shí)施和核心ERP系統(tǒng)咨詢服務(wù)。第二服務(wù)我們公司業(yè)務(wù)流程管理系統(tǒng)核心包括風(fēng)險(xiǎn)和內(nèi)控建設(shè)，進(jìn)入中國(guó)時(shí)間雖然很短但是我們?cè)谥袊?guó)市場(chǎng)獲得很多客戶，包括一些跨國(guó)公司。

今天的演講分三個(gè)方面去介紹，首先，跟大家分享我們看到國(guó)內(nèi)管理的企業(yè)在整個(gè)內(nèi)控與風(fēng)險(xiǎn)管理建設(shè)方面遇到一些挑戰(zhàn)和困惑。第二，我們看到信息化系統(tǒng)在解決這些困惑和挑戰(zhàn)方面起到什么樣的作用。第三個(gè)方面，我們會(huì)用一個(gè)具體的案例介紹一下兩個(gè)方面。我們現(xiàn)在企業(yè)面臨很多的要求，要求我們企業(yè)加強(qiáng)內(nèi)控風(fēng)險(xiǎn)管理，我們分析了一下，這些要求不外乎是從四個(gè)角度出發(fā)，比如說國(guó)資委的《中央企業(yè)全面風(fēng)險(xiǎn)管理指引》，從是保護(hù)股東權(quán)益角度出發(fā)，還有保護(hù)公眾權(quán)益出發(fā)的，還有一個(gè)是專業(yè)的行業(yè)部門，為了保障行業(yè)穩(wěn)定發(fā)展，尤其是金融行業(yè)，比較明確是我們有銀行的一些管理辦法。還有保險(xiǎn)業(yè)，還有政府部門維護(hù)整個(gè)市場(chǎng)經(jīng)濟(jì)經(jīng)濟(jì)角度出臺(tái)一些要求。

比如說財(cái)政部?jī)?nèi)部控制規(guī)范，這些核心思想是結(jié)合本企業(yè)自身特點(diǎn)，一些基本參考框架建管理體系，實(shí)際上和我們?cè)诤芎茉缰白龅腎SO的應(yīng)用是一樣的道理，無外乎我們要參照基本要求建立企業(yè)自身特點(diǎn)的管理體系，我們有很多客戶交流，尤其是一些國(guó)有大中型企業(yè)，和上市公司交流大家會(huì)遇到一些困難，我們遵循上交所規(guī)范，和財(cái)政部規(guī)范，還有國(guó)資委中央企業(yè)風(fēng)險(xiǎn)管理的要求。我們?cè)趺幢ＷC一套體系滿足這些要求，我們要分門別類地架構(gòu)我們的體系，我們企業(yè)肯定是不堪重負(fù)。我們仔細(xì)分析了一下及我們以財(cái)政部和國(guó)資委兩個(gè)法律法規(guī)要求看，他們是不矛盾、不沖突的。他們的核心思想是一樣的，比如說我們財(cái)政部?jī)?nèi)部控制基本規(guī)范，提高我們內(nèi)部控制體系核心要素分為五個(gè)部分，我們國(guó)資委前面風(fēng)險(xiǎn)管理執(zhí)行里面也提到很多條，但是他們明顯有一個(gè)明確的供應(yīng)關(guān)系，我們認(rèn)為我們結(jié)合一些國(guó)內(nèi)外的案例，《企業(yè)的內(nèi)控與前面風(fēng)險(xiǎn)管理指引》，有不同政策要求，但是我們都何以分成三個(gè)層面理解，首先一個(gè)層面我們要結(jié)合我企業(yè)特點(diǎn)，識(shí)別出我們的風(fēng)險(xiǎn)或者是控制點(diǎn)，設(shè)立我們相應(yīng)對(duì)的控制措施，是我們整個(gè)體系設(shè)立層面。第二，我們要把我設(shè)立措施應(yīng)急方案在企業(yè)內(nèi)部推廣也是一個(gè)控制實(shí)施過程，第三我們保證體系健康發(fā)展，做工作對(duì)體系運(yùn)行設(shè)計(jì)和工作實(shí)施情況，進(jìn)行監(jiān)督，對(duì)不足之處改進(jìn)，確保我們整個(gè)體系設(shè)計(jì)是合理的，執(zhí)行是到位的，這樣一個(gè)體系。

根據(jù)我們對(duì)不同客戶的交流按，發(fā)現(xiàn)大家面臨一些一樣的困惑，所有管理政策要求核心要求是基本是一致的，第一就是要設(shè)計(jì)符合企業(yè)內(nèi)部業(yè)務(wù)特點(diǎn)的管理體系，并且這個(gè)管理體系要能夠根據(jù)公司業(yè)務(wù)，比如說組織架構(gòu)調(diào)整進(jìn)行及時(shí)調(diào)整。第二就是我們要把體系形成文件，作為我們執(zhí)行和審計(jì)的依據(jù)，作為監(jiān)督改變的依據(jù)。這樣我們看到整個(gè)企業(yè)面臨兩個(gè)方面的挑戰(zhàn)，第一我們體系改革的中心、編制審核很難跟得上業(yè)務(wù)變化，組織是在不斷調(diào)整，業(yè)務(wù)流程是不斷變化的，信息系統(tǒng)建設(shè)是逐步推進(jìn)，每次做這種變革需要我們重新審計(jì)這些文件。第二就是我們體系文件難以根據(jù)外部環(huán)境變化進(jìn)行及時(shí)調(diào)整。

在控制實(shí)施方面，所以體系文件我們看到有兩個(gè)要求，一個(gè)是根據(jù)設(shè)計(jì)的方案，我們體系設(shè)計(jì)與執(zhí)行的一致性。第二就是實(shí)施過程當(dāng)中你要保留一些可以審計(jì)，檢查，這樣一些依據(jù)，比如說控制實(shí)施了，要留下相應(yīng)證明文件。這樣我們可以看到有很多企業(yè)面臨兩方面挑戰(zhàn)，第一就是缺乏有效的發(fā)布實(shí)施平臺(tái)，我們做這個(gè)文件怎么能夠讓我企業(yè)內(nèi)部從高層到基層管理，大家都知道，業(yè)務(wù)當(dāng)中執(zhí)行這是一個(gè)挑戰(zhàn)。第二就是胡處長(zhǎng)提到我們企業(yè)控制點(diǎn)很多，我有的客戶有5千個(gè)控制點(diǎn)，如果全部用人工進(jìn)行控制的時(shí)候，控制成本會(huì)很高。這是面臨兩個(gè)挑戰(zhàn)，在整個(gè)體系監(jiān)督和改進(jìn)方面，有兩個(gè)核心管理要點(diǎn)，我們要對(duì)體系設(shè)計(jì)合理性，實(shí)施徹底性監(jiān)督并且定期出一些評(píng)價(jià)。第二我們?cè)u(píng)價(jià)監(jiān)督資料要保留一下，可以供外部或者是企業(yè)的監(jiān)督點(diǎn)所使用。

這樣我們可以看到企業(yè)里面有兩個(gè)方面要求，第一就是我們體系監(jiān)督本身工作量很大，協(xié)調(diào)的難度也很高，這樣導(dǎo)致我們合規(guī)的成本是很高的，第二就是我們需要和一些企業(yè)定期每季度，每要做監(jiān)督測(cè)試的工作，這些工作資料實(shí)際上對(duì)我們整個(gè)體系持續(xù)優(yōu)化是很重要。但是我們很多企業(yè)做完以后，發(fā)現(xiàn)資料量太大，我將來不會(huì)再利用，達(dá)不到我們持續(xù)優(yōu)化的目的。

上面這些挑戰(zhàn)直接導(dǎo)致后果就是四個(gè)，一個(gè)首先合規(guī)成本很高，我們看到很多企業(yè)最早國(guó)內(nèi)企業(yè)是遵循美國(guó)的《薩班斯法案》，動(dòng)員內(nèi)部很多力量，才能完成合規(guī)工作。第二，很多企業(yè)抱怨，我是把風(fēng)險(xiǎn)控制住了，但是我們業(yè)務(wù)效率降下來，業(yè)務(wù)要不斷識(shí)別風(fēng)險(xiǎn)，滿足內(nèi)控部門要求。第三導(dǎo)致的后果是我們很難持續(xù)地合規(guī)，今年可能通過，明年能不能通過還是一個(gè)未知數(shù)。第四是企業(yè)很難滿足不斷增加的內(nèi)部的合規(guī)要求，我們國(guó)內(nèi)上市公司面臨這個(gè)困難很明顯，最早是滿足《薩班斯法案》，國(guó)內(nèi)又提出，國(guó)資委又提出要求，最近在財(cái)政部也提出要求，企業(yè)怎么滿足不同需求。這個(gè)我們認(rèn)為可以借鑒向國(guó)外上市的公司，用《薩班斯法案》上市的經(jīng)驗(yàn)，可以分五個(gè)階段。第一個(gè)階段是企業(yè)如何去控制規(guī)范，企業(yè)具體要求是什么，第二就是我要建立業(yè)務(wù)體系，第三就是我們要內(nèi)部體系進(jìn)行評(píng)價(jià)，第四個(gè)階段我們企業(yè)面臨挑戰(zhàn)就出來了，企業(yè)尋求信息化的手段，首先想到信息化手段我們要把我的內(nèi)控測(cè)試，監(jiān)督工作流信息化，我們要把整個(gè)體系文件信息化管理，第五階段我們更高層面規(guī)范我把業(yè)務(wù)標(biāo)準(zhǔn)化，很多跨國(guó)公司很多相同業(yè)務(wù)存在，他們風(fēng)險(xiǎn)是類似，也是可借鑒的。如果不存在業(yè)務(wù)單元，業(yè)務(wù)列成標(biāo)準(zhǔn)化，我風(fēng)險(xiǎn)的數(shù)量會(huì)大大降低，這是流程標(biāo)準(zhǔn)化。最后就是他會(huì)有一些信息化的手段實(shí)現(xiàn)我們業(yè)務(wù)和我們內(nèi)控有機(jī)融合的目的。這是我們所面臨些挑戰(zhàn)與啟示，下面給大家介紹一下我們?cè)趦?nèi)控和風(fēng)險(xiǎn)管理的一些解決方案和想法。

我們認(rèn)為國(guó)資委前面發(fā)的指引也好，或者是財(cái)政部規(guī)范也好，明確提出企業(yè)在內(nèi)控風(fēng)險(xiǎn)管理過程當(dāng)中充分發(fā)揮信息系統(tǒng)作用，也結(jié)合我們?cè)趪?guó)外的一些經(jīng)驗(yàn)，我們現(xiàn)在解決模塊就是6大模塊，基本涵蓋我們整個(gè)內(nèi)控和風(fēng)險(xiǎn)管理過程。第一就是我們首先一個(gè)建模模塊，可以把企業(yè)內(nèi)部業(yè)務(wù)和整個(gè)風(fēng)險(xiǎn)和內(nèi)控風(fēng)險(xiǎn)體系文件進(jìn)行管理。第二是風(fēng)險(xiǎn)事件的管理模塊，我們?cè)趺唇L(fēng)險(xiǎn)事件部。第三是風(fēng)險(xiǎn)評(píng)估模塊，我們把風(fēng)險(xiǎn)評(píng)估任務(wù)分到各個(gè)管理部門把所有風(fēng)險(xiǎn)進(jìn)行排序。在第二層面控制實(shí)施模塊有兩個(gè)，一個(gè)是幫助發(fā)布實(shí)施模塊，我們可以給企業(yè)業(yè)務(wù)流程，讓業(yè)務(wù)流程管理人員共同使用。第二是監(jiān)控及預(yù)警的模塊。我們一些業(yè)務(wù)的指標(biāo)，資金流動(dòng)性等等這些指標(biāo)，第三層面就是我們有一個(gè)監(jiān)督改進(jìn)模塊，可以使整個(gè)體系監(jiān)督測(cè)試工作機(jī)械化。

我們?cè)诟髽I(yè)溝通過程中有一些問題，我們體系文件問題是很多，我們用大量文檔，我們看到表述了企業(yè)業(yè)務(wù)實(shí)際情況的文檔，還有一些風(fēng)險(xiǎn)矩陣，包括一些制度組織，發(fā)信這些文件是分散，在業(yè)務(wù)上是有聯(lián)系，但是在管理手段是沒有聯(lián)系，我們?cè)趺醋鲲L(fēng)險(xiǎn)識(shí)別呢？我們系統(tǒng)有一個(gè)基于一個(gè)數(shù)據(jù)庫(kù)把我們整個(gè)企業(yè)業(yè)務(wù)現(xiàn)狀和風(fēng)險(xiǎn)控制集成化進(jìn)行對(duì)象化的建模。我們左側(cè)看到了一個(gè)流程，我們發(fā)現(xiàn)有一個(gè)風(fēng)險(xiǎn)點(diǎn)，這個(gè)風(fēng)險(xiǎn)點(diǎn)有一些控制措施，基于控制措施的執(zhí)行情況，由于會(huì)有一個(gè)監(jiān)督測(cè)試措施，針對(duì)這些測(cè)試我們制訂一些人員，在系統(tǒng)里面把有機(jī)關(guān)聯(lián)起來，進(jìn)入一個(gè)建模?；谖覀冃畔⒒Ｊ娇梢赃M(jìn)行快速分析，我可以知道我們企業(yè)業(yè)務(wù)存在哪些風(fēng)險(xiǎn)，我知道哪些管理這些風(fēng)險(xiǎn)，哪些風(fēng)險(xiǎn)是在哪些流程上這樣我可以很容易抓住一些風(fēng)險(xiǎn)的重點(diǎn)，并且我們業(yè)務(wù)管理軟件有一個(gè)很好作用我能夠把企業(yè)里面對(duì)于同一個(gè)業(yè)務(wù)，從不同管理體系的要求，都在這業(yè)務(wù)流程表述出來，比如說從質(zhì)量管理方面的要求，安全管理信息的要求，內(nèi)控管理信息的要求。在整個(gè)表當(dāng)中我們可以看到三套流程框架，我在具體執(zhí)行業(yè)務(wù)過程中我到底要執(zhí)行哪套業(yè)務(wù)，執(zhí)行哪些要求，我們這個(gè)系統(tǒng)是可以把所有管理體系的要求落實(shí)到一個(gè)業(yè)務(wù)流程體系，這是同一個(gè)業(yè)務(wù)流程進(jìn)行集中化的管理。在我們系統(tǒng)可以根據(jù)不同管理體系要求，我們質(zhì)量管理要求，內(nèi)控管理要求，再出具不同的業(yè)務(wù)報(bào)表。

我們的系統(tǒng)最重要一個(gè)點(diǎn)我們可以搭建一個(gè)業(yè)務(wù)部門和風(fēng)險(xiǎn)管理共同使用平臺(tái)，首先我們業(yè)務(wù)人員和風(fēng)險(xiǎn)管理人員可以進(jìn)行業(yè)務(wù)的建模和風(fēng)險(xiǎn)管理建模，形成一個(gè)企業(yè)管理知識(shí)庫(kù)，管理人員可以看我們風(fēng)險(xiǎn)點(diǎn)，業(yè)務(wù)人員可以看業(yè)務(wù)，并且可以滿足跨地域的支持。

綜合來講，在這一塊特點(diǎn)主要有兩個(gè)，第一搭建業(yè)務(wù)人員和風(fēng)險(xiǎn)管理人員共同使用平臺(tái)，第二我們可以提高業(yè)務(wù)流程風(fēng)險(xiǎn)管理制度的效果，前面講到可以減少工作量。

第二跟大家介紹一下我們風(fēng)險(xiǎn)評(píng)估的模塊，是一個(gè)風(fēng)險(xiǎn)評(píng)估軟件，在我們風(fēng)險(xiǎn)評(píng)估內(nèi)部發(fā)起到外心，到風(fēng)險(xiǎn)評(píng)價(jià)結(jié)果分析，前后我們都可以在系統(tǒng)里面完成。最后系統(tǒng)要給企業(yè)管理層幾個(gè)報(bào)表，比如說定量分析的熱圖，定性分析的熱圖。并且我們可以根據(jù)我們多次評(píng)估結(jié)果掌握不同風(fēng)險(xiǎn)變化趨勢(shì)。這個(gè)風(fēng)險(xiǎn)評(píng)估解決方案特點(diǎn)，主要有兩個(gè)，第一我們通過流程信息化，我們把風(fēng)險(xiǎn)評(píng)估工作，信息化以后，固化以后可以建立一個(gè)持續(xù)風(fēng)險(xiǎn)評(píng)估機(jī)制，比如說對(duì)某一個(gè)風(fēng)險(xiǎn)要半年評(píng)估一次，到期的時(shí)候，系統(tǒng)會(huì)自動(dòng)發(fā)起評(píng)估任務(wù)，可以確保風(fēng)險(xiǎn)評(píng)估任務(wù)的工作，第二我們基于同一個(gè)平臺(tái)進(jìn)行風(fēng)險(xiǎn)評(píng)估可以保障所有風(fēng)險(xiǎn)在同一個(gè)平臺(tái)實(shí)現(xiàn)，可以掌握所有的風(fēng)險(xiǎn)的情況。第三個(gè)模塊是我們風(fēng)險(xiǎn)損失事件管理，可以通過一個(gè)工作流建立一個(gè)數(shù)據(jù)庫(kù)，給我們提供一些風(fēng)險(xiǎn)借鑒的案例，比如說我們看到一個(gè)信譽(yù)風(fēng)險(xiǎn)有幾次，原因是什么，這樣對(duì)我們風(fēng)險(xiǎn)識(shí)別有一些啟示作用。它的特點(diǎn)有兩個(gè)，一個(gè)是通過信息化建立一種固化持續(xù)化的風(fēng)險(xiǎn)機(jī)制，第二建立公司統(tǒng)一可以對(duì)風(fēng)險(xiǎn)應(yīng)對(duì)提供一些數(shù)據(jù)化的支持。第四是我們監(jiān)控和預(yù)警的模塊，這個(gè)模塊最大的特點(diǎn)是我們可以從企業(yè)業(yè)務(wù)系統(tǒng)里面提取業(yè)務(wù)數(shù)據(jù)，進(jìn)行指標(biāo)的監(jiān)控基于規(guī)則的事件識(shí)別。

我們系統(tǒng)最大的特點(diǎn)數(shù)據(jù)功能是非常強(qiáng)大，可以跟現(xiàn)在所有的業(yè)務(wù)系統(tǒng)和數(shù)據(jù)庫(kù)可以進(jìn)行數(shù)據(jù)的收集和對(duì)接，我們可以把企業(yè)很多關(guān)心情況展開的地方，可以預(yù)警展開指標(biāo)的情況，從而實(shí)現(xiàn)風(fēng)險(xiǎn)之前的管理和運(yùn)營(yíng)。我們?cè)O(shè)計(jì)了一些業(yè)務(wù)規(guī)則，看系統(tǒng)里面我們業(yè)務(wù)操作過程中有沒有按照這些規(guī)則做，實(shí)現(xiàn)過程控制，還可以提供一些選擇功能。比如說我們能夠看我們的職責(zé)，在各種信息系統(tǒng)里面落實(shí)情況，檢查全面配制的正確性，合理性。

最后是我們測(cè)試和評(píng)價(jià)模塊，這個(gè)模塊主要是通過測(cè)試和實(shí)現(xiàn)對(duì)我們體系監(jiān)督評(píng)價(jià)，這樣我們的軟件也是一個(gè)工作流軟件，涵蓋了從測(cè)試任務(wù)的發(fā)起到測(cè)試工作的進(jìn)入，到統(tǒng)計(jì)分析到改進(jìn)工作跟蹤，全過程涵蓋。它的最大特點(diǎn)能夠和我們建模模塊做最初體系軟件，進(jìn)行數(shù)據(jù)同步，保證我們?cè)诒O(jiān)督測(cè)試的時(shí)候，我們看到和我們體系設(shè)計(jì)的初衷是一直的。

最后它這個(gè)系統(tǒng)有一個(gè)很大的統(tǒng)計(jì)分析功能，出一些多緯度測(cè)試結(jié)果，內(nèi)控和風(fēng)險(xiǎn)管理績(jī)效考核，不同業(yè)務(wù)哪塊業(yè)務(wù)做不好，哪一塊風(fēng)險(xiǎn)管理不好。我們可以從不同角度，或者和哪些科目相關(guān)的風(fēng)險(xiǎn)控制點(diǎn)到位不到位。我們通過流程信息化建立個(gè)測(cè)試及整改的工作機(jī)制，第二我們系統(tǒng)和我們體系管理系統(tǒng)進(jìn)行數(shù)據(jù)接口，保證在測(cè)試過程中使用所有的文檔都是集成的，不用工作人員手工做很多文件，第三簡(jiǎn)化我們大量工作，提高我們的工作質(zhì)量。下面我們簡(jiǎn)單介紹一下我們?cè)诘聡?guó)做的案例，這是一家在國(guó)外上市的大型國(guó)有企業(yè)，最初就是做內(nèi)控項(xiàng)目是從《薩班斯法案》開始，在遵循《薩班斯法案》過程中他發(fā)現(xiàn)有幾個(gè)方面挑戰(zhàn)，第一是業(yè)務(wù)流程管理水平很低，增加了內(nèi)控管理的難度，影響內(nèi)控管理工作的落實(shí)。缺乏一套可以全面表述工作情況的文件，不能不全面的表述出工作業(yè)務(wù)的實(shí)際情況，要識(shí)別風(fēng)險(xiǎn)加以控制這是一個(gè)很大的挑戰(zhàn)。第二是他的組織人員非常龐大，他體系管理難度是很大。第三挑戰(zhàn)他的內(nèi)控監(jiān)督測(cè)試的組織，工作難度很大，測(cè)試成本很高，用的幾百人的人力進(jìn)行一年工作，才能做完，首先有很多的工作細(xì)節(jié)導(dǎo)致很多測(cè)試成本不是很高。

根據(jù)這樣的特點(diǎn)，我設(shè)計(jì)了基于風(fēng)險(xiǎn)管理的系統(tǒng)，首先把我們業(yè)務(wù)和體系文件管理起來，第二做人力和測(cè)試模塊。第三就是我們要把做完的業(yè)務(wù)和體系文件發(fā)布出來，同時(shí)這個(gè)系統(tǒng)還能夠支持我基于同一套流程，可以滿足我內(nèi)控也可以滿足我ERP實(shí)施的要求，還有一些指標(biāo)的控制。做的第一個(gè)工作首先是我們把業(yè)務(wù)進(jìn)行全面梳理，從橫向到縱向可以保證我業(yè)務(wù)真實(shí)的業(yè)務(wù)狀況?；谶@情況我們看每一個(gè)業(yè)務(wù)流程里面有那些風(fēng)險(xiǎn)點(diǎn)，業(yè)務(wù)目標(biāo)是什么，有哪些不確定的因素，針對(duì)風(fēng)險(xiǎn)點(diǎn)我們有哪些是控制措施，風(fēng)險(xiǎn)管理，控制執(zhí)行我們?cè)趺礈y(cè)試進(jìn)行一個(gè)統(tǒng)一規(guī)則進(jìn)行了一個(gè)描述，以后我們可以發(fā)布出來企業(yè)管理的內(nèi)容庫(kù)，這樣我的業(yè)務(wù)人員在維護(hù)人員可以看我每一個(gè)業(yè)務(wù)要求，風(fēng)險(xiǎn)管理人員可以快速看到的風(fēng)險(xiǎn)可以到那個(gè)里面去。通過前面講的測(cè)試的管理和測(cè)試的統(tǒng)一分析，極大地節(jié)省了他們的人力與物力。這樣以后我們跟客戶一起總結(jié)，整個(gè)做完以后收益是體現(xiàn)三個(gè)方面，第一是通過風(fēng)險(xiǎn)管理工作，進(jìn)行業(yè)務(wù)流程標(biāo)準(zhǔn)化，加強(qiáng)企業(yè)規(guī)范化指引，提高業(yè)務(wù)管理水平，這是客戶一個(gè)收益。第二提高內(nèi)控管理的工作效率和質(zhì)量，降低我們合規(guī)化成本，主要是信息化手段降低了工作量提高效率降低了合規(guī)成本。第三方面的收益實(shí)現(xiàn)了內(nèi)控管理和業(yè)務(wù)經(jīng)營(yíng)活動(dòng)的有機(jī)融合，過去內(nèi)控風(fēng)險(xiǎn)管理工作就是風(fēng)險(xiǎn)管理部門工作，業(yè)務(wù)部門是對(duì)專業(yè)部門去推動(dòng)的，這樣一個(gè)雙方抵觸的情緒。通過這樣一個(gè)程序雙方可以落實(shí)，把我控制風(fēng)險(xiǎn)融合到業(yè)務(wù)當(dāng)中去，實(shí)現(xiàn)業(yè)務(wù)管理工作和風(fēng)險(xiǎn)控制的有機(jī)融合，我們對(duì)內(nèi)部監(jiān)督測(cè)試過程也是對(duì)我們業(yè)務(wù)執(zhí)行力的檢查，也是業(yè)務(wù)執(zhí)行的保障。

今天時(shí)間有限給大家介紹就到此為止，謝謝大家。

主持人：非常感謝闞先生。下面一個(gè)討論主題是“中國(guó)石化信息化建設(shè)和內(nèi)部控制體系”，有請(qǐng)中國(guó)石油化工股份有限公司信息系統(tǒng)管理部處長(zhǎng)姜林。

姜林：各位領(lǐng)導(dǎo)，嘉賓上午好。

我匯報(bào)題目是“中國(guó)石化信息化建設(shè)和內(nèi)部控制體系”，匯報(bào)的內(nèi)容包括中國(guó)石化基本情況，信息化建設(shè)和應(yīng)用情況，信息系統(tǒng)內(nèi)部體系，IT內(nèi)部體系。

中國(guó)石油化工股份有限公司是由中國(guó)石油化工集團(tuán)公司，國(guó)家中華人民共和國(guó)公司法多家發(fā)行方式，2000年2月25日設(shè)立股份制公司，分別在香港、紐約、倫敦，三地交易所成功發(fā)行上市。

2001年7月16日上海證券交易所成功發(fā)行了28億A股，截至2008年年底中國(guó)石化總股本857億股。中國(guó)石化是中國(guó)最大能源化工公司之一，主要從事石油與天然氣開采開發(fā)。管道運(yùn)輸銷售，石油煉制、化工、化纖、化肥等等產(chǎn)品輸送。石油、天然氣、石油產(chǎn)品、化工與其他化工產(chǎn)品進(jìn)出口代理進(jìn)出口業(yè)務(wù)。技術(shù)信息研究開發(fā)應(yīng)用，中國(guó)石化是中國(guó)最大的石油產(chǎn)品，包括汽油、柴油等主要石油產(chǎn)品，也是中國(guó)第二大原油生產(chǎn)商。

中國(guó)石化建立了規(guī)范的治理機(jī)構(gòu)，實(shí)行了集中決策風(fēng)險(xiǎn)管理和專業(yè)化經(jīng)營(yíng)事業(yè)部，事業(yè)部管理體制，中國(guó)石化有全股子公司，包括煉油、化工產(chǎn)品銷售等企業(yè)。主要是集中在中國(guó)最發(fā)達(dá)的東部和南部的地區(qū)。中國(guó)石化更加注重科學(xué)創(chuàng)新、管理創(chuàng)新，努力把石化建設(shè)成為能源化工公司。

中國(guó)石化最大股東中華石油化工集團(tuán)公司是國(guó)家在原中國(guó)石化公司總基礎(chǔ)之上，1998年成立了特大型石油石化集團(tuán)，美國(guó)《財(cái)富》雜志2008年世界500強(qiáng)中國(guó)石化名列第16位。第二方面是信息化建設(shè)了應(yīng)用情況，2000年以來，中國(guó)石化以ERP為主線信息化建設(shè)獲得快速發(fā)展，到2008年底ERP在81家企業(yè)，以ERP為帶動(dòng)電子商務(wù)系統(tǒng)、供應(yīng)鏈系統(tǒng)、生產(chǎn)指揮系統(tǒng)、集中管理系統(tǒng)，一些先進(jìn)控制生產(chǎn)集成系統(tǒng)，等多種使用系統(tǒng)都得到了廣泛的應(yīng)用。目前信息技術(shù)應(yīng)用解決中國(guó)石化生產(chǎn)管理多個(gè)領(lǐng)域，中國(guó)石化ERP開始于20000年，在4企業(yè)成功試點(diǎn)多個(gè)展開，包括油田，煉油化工銷售，企業(yè)全部覆蓋，企業(yè)從業(yè)大規(guī)模ERP建設(shè)，2007年底基本完成，ERP系統(tǒng)推進(jìn)資金改革提高管理水平，規(guī)范信息管理行為，強(qiáng)化控制方面效果明顯。

中國(guó)石化通過采購(gòu)電子商務(wù)系統(tǒng)從2008年8月投入至今，網(wǎng)上采購(gòu)結(jié)果88個(gè)單位，5千個(gè)物資擴(kuò)大到目前50多個(gè)單位，76萬多個(gè)效果，90%的物資實(shí)現(xiàn)了網(wǎng)上采購(gòu)，到09年3月網(wǎng)上采購(gòu)資金突破6千億，集約采購(gòu)200多億。對(duì)供應(yīng)鏈系統(tǒng)經(jīng)過幾年建設(shè)，提高原油采購(gòu)，運(yùn)輸、加工，供應(yīng)鏈管理系為煉油企業(yè)講穩(wěn)增效起來發(fā)揮了重要的作用。人員統(tǒng)一調(diào)配，用統(tǒng)一安排格局及實(shí)現(xiàn)技術(shù)指標(biāo)分割，數(shù)據(jù)采集，監(jiān)控分析，有效地降低用戶費(fèi)用和財(cái)務(wù)費(fèi)用。目前總部生產(chǎn)系統(tǒng)以新大樓統(tǒng)一運(yùn)行，實(shí)現(xiàn)調(diào)度跟蹤，系統(tǒng)各項(xiàng)部門功能得到有效應(yīng)用，總部集中了平臺(tái)，用戶總體不斷擴(kuò)大。目前已建成IC卡聯(lián)網(wǎng)加油站17000多戶，發(fā)卡網(wǎng)點(diǎn)5000多，持卡消費(fèi)33%以上。增產(chǎn)集成系統(tǒng)用三年左右時(shí)間提高到2到4個(gè)小時(shí)完成，為企業(yè)降低能耗提升精細(xì)化管理水平有很大的改善。其他應(yīng)用系統(tǒng)，全面運(yùn)算系統(tǒng)等油田企業(yè)煉化企業(yè)、教授企業(yè)、科研工程單位信息化建設(shè)也得到了深刻發(fā)展。

第三是信息系統(tǒng)的內(nèi)控體系，我們03年成立了內(nèi)部指導(dǎo)小組，成立專門辦公室，組織協(xié)調(diào)內(nèi)控建設(shè)和實(shí)施工作。應(yīng)對(duì)不同市場(chǎng)，借鑒美國(guó)經(jīng)驗(yàn)提出內(nèi)部控制框架，公司經(jīng)營(yíng)財(cái)務(wù)有大關(guān)鍵劃界，制訂了內(nèi)部手冊(cè)，經(jīng)過測(cè)試于2005年1月1日起，在公司正式實(shí)施內(nèi)控制度，經(jīng)過四年多實(shí)踐，內(nèi)部范圍控制逐漸擴(kuò)大，覆蓋了中國(guó)石化所有活動(dòng)內(nèi)控體系。中國(guó)石化內(nèi)部控制手冊(cè)2009年版有18大類，配套相關(guān)總部管理制度244個(gè)，各分公司規(guī)定了工作流程結(jié)合本單位。為了保障內(nèi)控管理有效實(shí)施，辦法內(nèi)部控制辦法，在總部分公司兩個(gè)層面使用。中國(guó)石化內(nèi)部控制手冊(cè)2009版本有17個(gè)流程，基本全部實(shí)現(xiàn)了信息化，另外5個(gè)業(yè)務(wù)流程為IT部門流程，其他業(yè)流程暫時(shí)沒有實(shí)施信息化，或者與信息化無關(guān)。

第四個(gè)問題向大家匯報(bào)一下中國(guó)石化IT控制體系。中國(guó)石化IT控制體系包括IT內(nèi)部業(yè)務(wù)流程，IT一般性控制，和IT應(yīng)用控制。2003年建立了信息系統(tǒng)管理業(yè)務(wù)流程，2005年啟動(dòng)IT控制工作，2006年建立了IT一般性控制，2007年結(jié)合ERP系統(tǒng)，應(yīng)用系統(tǒng)和基礎(chǔ)設(shè)施IT一般性控制流程。2008年IT控制體系進(jìn)一步完善，并將重點(diǎn)專項(xiàng)IT應(yīng)用控制，2009年隨著深化ERP應(yīng)用進(jìn)一步深化IT應(yīng)用控制。IT一般性控制包括企業(yè)整體層面IT控制，和企業(yè)活動(dòng)層面IT控制，近期系統(tǒng)管理業(yè)務(wù)流程IT體現(xiàn)包括與管理體系，信息化教育培訓(xùn)及憑險(xiǎn)評(píng)估，信息安全管理重要控制內(nèi)容。有關(guān)活動(dòng)層面IT要求，通過ERP系統(tǒng)控制流程等體現(xiàn)，ERP系推IT一般性流程，包括和數(shù)據(jù)訪問，程序變更等等，業(yè)務(wù)流程IT一般性控制流程，主要財(cái)務(wù)報(bào)告是生成相關(guān)，如ERP財(cái)務(wù)報(bào)告系統(tǒng)，加油卡系統(tǒng)流程包括程序變更，訪問方面內(nèi)容。結(jié)合網(wǎng)絡(luò)服務(wù)器，機(jī)房設(shè)計(jì)。流程包括機(jī)房管理，故障處理方面內(nèi)容。中國(guó)石化IT一般性控制主要和信息系統(tǒng)日常管理結(jié)合，經(jīng)過幾年扎扎實(shí)實(shí)的工作，對(duì)外部省市認(rèn)為中國(guó)石化IT控制到位，保障信息系統(tǒng)安全，穩(wěn)定系統(tǒng)方面發(fā)揮重要作用，中國(guó)石化IT控制主要有ERP系統(tǒng)應(yīng)用結(jié)合，ERP系推是中國(guó)石化主要系統(tǒng)，比如說計(jì)劃控制、一般控制、價(jià)格控制等等，自動(dòng)平衡資源及實(shí)現(xiàn)資金流，物流等等。通過發(fā)揮系統(tǒng)集成，滿足用戶管理要求，實(shí)現(xiàn)IT控制目標(biāo)。

中國(guó)石化內(nèi)部控制手冊(cè)設(shè)置50多個(gè)流程，以27個(gè)業(yè)務(wù)流程與ERP有關(guān)，總體實(shí)現(xiàn)配制控制，輸出輸入控制，包括時(shí)期控制、操作規(guī)范控制，日常操作，垃圾數(shù)據(jù)操作。用戶檢驗(yàn)包括組織值，關(guān)鍵詞代碼，以及系統(tǒng)機(jī)構(gòu)控制。ERP全面實(shí)施落實(shí)IT控制提供標(biāo)準(zhǔn)平臺(tái)，有利實(shí)現(xiàn)IT控制目標(biāo)，提供了有效的保證，實(shí)現(xiàn)提供有效保證，在深化ERP系推同時(shí)進(jìn)一步加強(qiáng)的IT控制。

主持人：非常感謝姜處長(zhǎng)。下面有請(qǐng)網(wǎng)康科技服務(wù)部總監(jiān)陸續(xù)周先生。

陸續(xù)周：很榮幸有這個(gè)機(jī)會(huì)，跟各位專家交流一下內(nèi)控體系，我本身有在一個(gè)大企業(yè)做過10年的IT系統(tǒng)，而且比較早的實(shí)現(xiàn)了有關(guān)的業(yè)務(wù)內(nèi)控，我的交流分五個(gè)部分，引言，把內(nèi)控條例讀薄。

內(nèi)控剛才也講了是一個(gè)全員的工作，尤其是核心團(tuán)隊(duì)共同實(shí)施，因?yàn)榻柚畔⒒瘜?shí)施，所以一般CIO比較痛苦，我該怎么辦。其實(shí)整個(gè)技術(shù)層面內(nèi)控里面是一個(gè)支撐，如果說我不能一下子全做到，有一個(gè)辦法分布落實(shí)，這個(gè)時(shí)候可以看到把內(nèi)控條例讀薄對(duì)我們有很大幫助。一個(gè)經(jīng)濟(jì)學(xué)的泰斗跟我說過，書里面東西比電視好，書里面東西可以讓人聰明，電視可以讓人變傻，因?yàn)闀强梢栽阶x越薄，把內(nèi)控條例讀薄對(duì)我們有很大幫助。在這個(gè)內(nèi)控條例里面我們最主要是宣傳、培訓(xùn)，讓每一個(gè)落實(shí)人心，無論是美國(guó)的安然，還是經(jīng)濟(jì)危機(jī)美國(guó)企業(yè)高管，依舊發(fā)高額年薪，往往是因?yàn)槿说牟划?dāng)操作導(dǎo)致，內(nèi)控精髓是規(guī)范人的行為，讓規(guī)范深入人心，同時(shí)讓人難以有意、無意違反這個(gè)條例。所以我的標(biāo)題就是“內(nèi)控以人為本”。我覺得要想把內(nèi)控讀薄有很多范圍，畫了四個(gè)框。首先內(nèi)控是一把手工程，從董事會(huì)，最高層要重視。第二點(diǎn)是整個(gè)核心團(tuán)隊(duì)，共同參與設(shè)計(jì)不要指望就是IT部門做內(nèi)容不可能。但是IT部門的這種支撐、架構(gòu)是必不可少，我們內(nèi)控所有流程都在支撐系統(tǒng)中，人的大腦效率是很低，我們一定確保內(nèi)控條例，確保我們規(guī)范真正深入人心。往往人懂了不抵觸，就會(huì)知道這樣的好處。我以前的公司老板跟員工說我為什么要做好控制，因?yàn)橹挥形覀兛刂谱∥覀儾趴梢曰钪?，如果公司不好，員工得不好，所以公司600人一樣可以進(jìn)行很好了內(nèi)控體系，我們有了框架以后我們?cè)趺窗褍?nèi)控體系讀薄，構(gòu)成一個(gè)企業(yè)無非是兩種，一個(gè)是活生生的人，還有一個(gè)是企業(yè)資產(chǎn)，同時(shí)我們業(yè)務(wù)運(yùn)作有業(yè)務(wù)流程和財(cái)務(wù)流程，是我們要做內(nèi)控體系要關(guān)注方面，把我們這些梳理清楚以后，有了這些關(guān)注點(diǎn)以后，我們?cè)趺磳?duì)每一個(gè)點(diǎn)進(jìn)行內(nèi)控規(guī)范設(shè)計(jì)，在內(nèi)控條例章節(jié)里面可以看到，第一章第六節(jié)，權(quán)責(zé)分配、企業(yè)愿景、人力獎(jiǎng)懲、可審計(jì)、反舞弊。每一個(gè)設(shè)計(jì)流程關(guān)鍵點(diǎn)切分，每個(gè)點(diǎn)都很重要，但是每一個(gè)點(diǎn)流程應(yīng)該怎么做的，第一我們處理任何一個(gè)流程，任何關(guān)注點(diǎn)的時(shí)候我們要遵循第二章到五節(jié)第一風(fēng)險(xiǎn)分析，控制措施，信息溝通，監(jiān)督檢查，一點(diǎn)可以分成20個(gè)操作步驟，不管有多少點(diǎn)我要抓住關(guān)鍵操作過程就一定可以做下去，我本來想畫一個(gè)四維圖，本人美工有限畫不出來。我覺得還有一個(gè)很大的緯度就是我們網(wǎng)絡(luò)，內(nèi)部和外部網(wǎng)絡(luò)，有這么多點(diǎn)我已經(jīng)知道了，那么我該怎么做，今天有做窗效應(yīng)。如果我想做窗等到我們所有的窗戶一次性采購(gòu)?fù)?，這樣的話讓別人認(rèn)為窗戶破是應(yīng)該的，不破窗戶我要打破，這個(gè)是一個(gè)很知名的效應(yīng)叫“破窗效應(yīng)”。這樣的話用最快的效益，把能夠修復(fù)好盡快修好，給人一個(gè)意識(shí)我不能再打破其他窗戶了。這種思路一定要灌輸，內(nèi)控條例里面有沒有可以盡快修復(fù)破窗呢。

這是整個(gè)架構(gòu)內(nèi)部外部網(wǎng)絡(luò)，內(nèi)部網(wǎng)絡(luò)關(guān)注于每個(gè)企業(yè)的個(gè)性，比如說金融、石化、科研、政府內(nèi)網(wǎng)一定不一樣。一個(gè)是設(shè)備制造商內(nèi)網(wǎng)一定不一樣，它的流程很復(fù)雜，外部網(wǎng)絡(luò)比如說我訪問互聯(lián)網(wǎng)、訪問郵件、訪問外部應(yīng)用是有通用的，是一種普適性很強(qiáng)的，不妨我們從最容易下手的地方下手，把破窗破除掉。

這是我的心得，內(nèi)控先找軟柿子捏，在這種外網(wǎng)互聯(lián)網(wǎng)環(huán)境里面我們可以看到，它實(shí)際上貫徹了一個(gè)企業(yè)企業(yè)文化，企業(yè)愿景，就是人員基礎(chǔ)，我們利用互聯(lián)網(wǎng)知道應(yīng)該做什么，不應(yīng)該做什么，這個(gè)是通用而不準(zhǔn)則，因?yàn)槭且粋€(gè)基礎(chǔ)所以很重要，因?yàn)橥ㄓ檬且粋€(gè)軟柿子，很成熟不需要我們太多考慮我們業(yè)務(wù)的關(guān)注點(diǎn)，在外界很多大量已經(jīng)成熟可用的方法，來破除破窗。同時(shí)互聯(lián)網(wǎng)這種行為是人的第二人生，可以反映出一個(gè)企業(yè)人的文化、思路、想法。因?yàn)槲覀冊(cè)?jīng)給客戶做咨詢的時(shí)候，我們很輕松發(fā)現(xiàn)哪些員工想跳槽，是一個(gè)人的思路直接體現(xiàn)，所以當(dāng)我們了解人的思路以后，了解了關(guān)鍵點(diǎn)之后，我們想讓我們其他規(guī)范深入人心會(huì)變得很容易。所以說互聯(lián)網(wǎng)行為的內(nèi)控實(shí)際上是一個(gè)已經(jīng)成熟，而且成本效應(yīng)更高的軟柿子，我們不妨從這里下手。內(nèi)控為兩種，那么互聯(lián)網(wǎng)內(nèi)控，問題到底在哪里，我們現(xiàn)有體系是不是已經(jīng)把內(nèi)控實(shí)現(xiàn)了。我們來看一下，根據(jù)我們服務(wù)過很多客戶的角度看，第一現(xiàn)有狀況很普遍，內(nèi)網(wǎng)IT沒有認(rèn)證，沒有專業(yè)互聯(lián)網(wǎng)接入的安全體系，會(huì)導(dǎo)致我們內(nèi)部的人員根本不知道誰做的，我相信我們?cè)酱蟮木W(wǎng)絡(luò)越會(huì)采用動(dòng)態(tài)的成本，這種情況我們?cè)趺粗勒l做了什么事，我們不能關(guān)注到人何談內(nèi)容，沒有權(quán)限、沒有規(guī)范。第二，我們互聯(lián)網(wǎng)上可以看到無論是HTTP網(wǎng)頁(yè)下載，還是最流行的P2P下載，還是IM的收取，都是面臨企業(yè)挑戰(zhàn)希望員工不違背的事情，大概30%是國(guó)家級(jí)的網(wǎng)站，我聽到收音機(jī)，說北京市青少年每周平均上網(wǎng)時(shí)間是37.5小時(shí)，如果按8小時(shí)工作日，將近5天，而且其中有一半的學(xué)生訪問過色情網(wǎng)站。實(shí)際上可以看到這里面網(wǎng)頁(yè)的問題很大，同時(shí)像P2P基本上沒有太多用來傳數(shù)據(jù)，基本上是娛樂。

像IM、UML都是我們想控制的，但是卻控制不住。第三點(diǎn)實(shí)際上在我們外網(wǎng)業(yè)務(wù)我們?nèi)鄙儆行С隹冢也恢劳饷娴奈淖质鞘裁?，這時(shí)候帶來是本身在金融危機(jī)下避免風(fēng)險(xiǎn)是最主要的事情，規(guī)避風(fēng)險(xiǎn)，那么因?yàn)槲覀儫o法控制，接入的風(fēng)險(xiǎn)就很大。同時(shí)我們企業(yè)機(jī)密，核心信息往外發(fā)送是太簡(jiǎn)單容易的事情，我印象最深當(dāng)時(shí)國(guó)內(nèi)兩大運(yùn)營(yíng)商，簽署互不侵犯條約，這個(gè)時(shí)候我們對(duì)數(shù)據(jù)保護(hù)來說存在很多的問題。其實(shí)我們IT系統(tǒng)最重要是要付出有所得，由于我們局域網(wǎng)帶寬很大，運(yùn)營(yíng)商核心網(wǎng)帶寬也很大，我們想讓企業(yè)網(wǎng)能夠匹配這個(gè)大小不可能。第五點(diǎn)最重要的一點(diǎn)，跟企業(yè)文化有關(guān)系，我們?cè)谝粋€(gè)專業(yè)的報(bào)表里面可以看到，我們員工在互聯(lián)網(wǎng)上，只有45%是查詢有效資料，其它的是在做與工作無無關(guān)的事情。如果一個(gè)企業(yè)文是讓員工積極向上，而在某一些工作行為當(dāng)中是積極向下。的確我們想控制，但是為什么控制不之呢，可以看到，安全里面有一個(gè)很重要效應(yīng)叫“獨(dú)眼鹿效應(yīng)”，這個(gè)“獨(dú)眼鹿效應(yīng)”我們默認(rèn)的是防外，不防內(nèi)。第二是說很多我們不希望發(fā)生的行為，往往披一個(gè)合法的外衣?，F(xiàn)在可以看到現(xiàn)在的我們信息專家，80端口的迅雷，我們有太多協(xié)議。第三我們內(nèi)容細(xì)節(jié)沒有辦法判斷，因?yàn)槲曳?wù)公司是一個(gè)研發(fā)公司，從網(wǎng)絡(luò)傳一個(gè)SP是什么我不知道，我只知道是一個(gè)文件這種情況我們?cè)趺垂芾怼?/p>

我們講兩個(gè)案例，一個(gè)是華為電腦，可以看到300多帶寬70%以上流量被工作無關(guān)的內(nèi)容占用。第二是國(guó)家核電，自成立以來是一個(gè)部級(jí)單位。為什么和困惑，我不知道網(wǎng)絡(luò)可以傳輸B2PIM里面內(nèi)容是什么，但是我想知道里面內(nèi)容是什么，不能讓里面核心的東西出去，這是我們中國(guó)企業(yè)困惑的。在國(guó)外企業(yè)來說可以看到通用電器，還有摩根大通、環(huán)球電視，這些都很早做了互聯(lián)網(wǎng)控制。

有了這些問題我們?cè)趺醋?，我們服?wù)客戶我們覺得我們把這個(gè)條例讀清楚，互聯(lián)網(wǎng)技術(shù)層面?zhèn)鹘y(tǒng)的有傳輸?shù)腍TTP等等，新興的P2P，等等。在我們內(nèi)控點(diǎn)上結(jié)合我們有哪些，第一主體健全，我們行為要符合企業(yè)遠(yuǎn)景，我們行為要可審計(jì)，要能給IT成本很大收益，我們行為能夠讓人力資源部進(jìn)行相應(yīng)控制，我這是我們?cè)谕饩W(wǎng)、內(nèi)網(wǎng)的著眼點(diǎn)。管理方法我們?cè)趦赡昵熬吞岢鰞?nèi)控風(fēng)險(xiǎn)管理，就是一個(gè)典型的干預(yù)，大家遵循是螺旋式上升原理，我是任務(wù)模式不是功能模式。比如說我們?cè)O(shè)備防火墻，是把功能模式，但是不是任務(wù)模式有效灌輸給我們客戶以一種方法引導(dǎo)我們，所以我們很早提出的理念就是遵守我們風(fēng)險(xiǎn)評(píng)估。

具體的建議，第一點(diǎn)無論是什么樣的系統(tǒng)，我建議都新用一個(gè)路由器放進(jìn)去。你是雙面的，單面的，還是旁路接入都可以，把我們互聯(lián)網(wǎng)出口進(jìn)行這種進(jìn)行下一步分析。首先建立有效的行為主體識(shí)別機(jī)制，與組織建構(gòu)真實(shí)的相關(guān)可靠的真實(shí)的網(wǎng)。這是我們第一步主體健全。第二是我們分析進(jìn)行相應(yīng)的風(fēng)險(xiǎn)分析，我們知道有網(wǎng)站，應(yīng)用，流量問題，為什么搜索習(xí)慣寫在里面，我們?cè)?jīng)用一分鐘的時(shí)間搜索，就是一個(gè)員工做什么，雖然就是幾個(gè)字，十幾條，這種搜索習(xí)慣很容易看到企業(yè)的員工的心態(tài)。第二，我們專業(yè)網(wǎng)頁(yè)應(yīng)用完善自己監(jiān)督與控制，是內(nèi)控體系第二步，我們是借助全球最大的中文搜索部，對(duì)各種各樣外發(fā)信息內(nèi)容，大小，人員行為識(shí)別，對(duì)流量通過我們獨(dú)有通道來有效控制，可以能夠讓我們安全體系、能夠讓我們互聯(lián)網(wǎng)控制體系達(dá)到有效的控制。第三點(diǎn)是最最重要的，一個(gè)我們解決方案決不能是看，控，一定是可分析、可統(tǒng)計(jì)、可查詢。這個(gè)是我們內(nèi)控里面很重要，我如果持續(xù)發(fā)現(xiàn)我們網(wǎng)絡(luò)有新的問題出現(xiàn)，流量有異常，不斷發(fā)現(xiàn)我們有異常，不斷地和我們主管公司高層溝通，發(fā)布報(bào)表可以有效讓這種制度落實(shí)到人心，讓大家知道我該怎么做。

通過對(duì)外網(wǎng)的內(nèi)控體系、內(nèi)控思路、內(nèi)控方法的灌輸，我相信合法、合規(guī)行為將將一個(gè)積極向上企業(yè)文化提心，信息保密，外發(fā)控制會(huì)得到有效，同時(shí)資產(chǎn)保護(hù)也會(huì)得到很大的保護(hù)。當(dāng)時(shí)華北電網(wǎng)部署網(wǎng)上體系以后，帶寬下降了150兆，國(guó)家核電全網(wǎng)采購(gòu)了我們的體系，他的所有代發(fā)體系就健全了。

這是網(wǎng)康的服務(wù)案例，大家都是全網(wǎng)采購(gòu)，無論是國(guó)家部委，這是最大金融機(jī)構(gòu)，國(guó)內(nèi)很大上市公司，還有制造業(yè)、媒體，各個(gè)區(qū)域像華北電網(wǎng)等等。可以看到通過部署這些裝置，很有效的能夠管理企業(yè)。

網(wǎng)康公司實(shí)際上已經(jīng)持續(xù)5年為互聯(lián)網(wǎng)提供專業(yè)服務(wù)，我們以每年300%速度提升。我們價(jià)值，我們理念是以人為本互聯(lián)網(wǎng)管理思路，以人為本價(jià)值呈現(xiàn)我們?cè)诘?層上，我們希望能夠在第8次做到人與技術(shù)完美結(jié)合，服務(wù)于我們中國(guó)企業(yè)上好網(wǎng)，用好網(wǎng)謝謝大家。主持人：非常感謝陸先生的精彩發(fā)言。下面我們有請(qǐng)用友公司NC產(chǎn)品架構(gòu)師付建華女士。

付建華：各位來賓，上午好，非常榮幸能夠有這次機(jī)會(huì)我們借助這個(gè)平臺(tái)，用友公司和我們?cè)谧钠髽I(yè)高管，我們公同探討一下信息化環(huán)境下企業(yè)內(nèi)控的建設(shè)。

說到這個(gè)話題，在今天和大家交流的時(shí)候，除了在后面介紹用友NC系統(tǒng)，之前還要想稍微花一點(diǎn)時(shí)間交流一下IT技術(shù)或者說在信息系統(tǒng)環(huán)境下，企業(yè)內(nèi)部控制管理差異和重要性。

首先看看IT環(huán)境下企業(yè)內(nèi)部控制體系的建設(shè)，前面我看到來自于不同的企業(yè)嘉賓都提到了。我們說到企業(yè)內(nèi)部控制系統(tǒng)建設(shè)的時(shí)候，我們都知道離不開IT的手段和工具，實(shí)際上在我們交流這個(gè)問題的時(shí)候，如果我們是在座企業(yè)的CIO，或者你是企業(yè)將來服務(wù)內(nèi)控工作開展職能部門的負(fù)責(zé)人，我覺得首先要思考一個(gè)問題，在目前IT環(huán)境下，我們這個(gè)企業(yè)開展內(nèi)部體系建設(shè)、健全、保障它有效執(zhí)行，然后進(jìn)行監(jiān)督和評(píng)價(jià)的時(shí)候。到底和原先在傳統(tǒng)方式下產(chǎn)生了哪些差異。在《薩班斯法案》頒布以前，沒有一家企業(yè)可以說我們沒有一點(diǎn)內(nèi)控機(jī)制，如果你是中型企業(yè)、大型企業(yè)，企業(yè)制度和相關(guān)文檔這些東西在企業(yè)當(dāng)中都是有，但是法案頒布以后對(duì)企業(yè)要求更加體系在幾個(gè)方面。第一是內(nèi)控是否完善健全，第二風(fēng)險(xiǎn)內(nèi)控是否得到有效執(zhí)行，第三法律要求進(jìn)行監(jiān)督評(píng)價(jià)，如果內(nèi)控有漏洞，沒有讓公眾及時(shí)了解到，要承擔(dān)相應(yīng)的法律責(zé)任。

在企業(yè)圍繞三個(gè)層面開展內(nèi)控管理建設(shè)，執(zhí)行評(píng)價(jià)的時(shí)候，首先你要來思考一下在IT環(huán)境下，或者說信息技術(shù)與信息技術(shù)結(jié)合情況下，企業(yè)內(nèi)控管理如何開展。首先看一下信息技術(shù)給企業(yè)內(nèi)控管理帶來影響有哪些方面。

首先控制原則和方法發(fā)生巨大改變，我們?cè)日f內(nèi)部控制基本原則和方法，我們知道有原則，目前對(duì)于企業(yè)也可能要非常關(guān)注信息技術(shù)，IT環(huán)境下控制原則變化，信息技術(shù)成為企業(yè)內(nèi)部管理很重要的方法、手段和工具。第二是控制內(nèi)容和方位，從5部委中我們可以了解健全企業(yè)內(nèi)部控制體系，IT控制是你企業(yè)必須要關(guān)注一個(gè)領(lǐng)域，原先你非常關(guān)注我企業(yè)工作治理機(jī)構(gòu)，組織架構(gòu)，職責(zé)權(quán)限，業(yè)務(wù)流程在企業(yè)循環(huán)的控制。在當(dāng)今企業(yè)環(huán)境要更加關(guān)注IT控制這塊，要思考一下我們企業(yè)以前，公司以前在IT控制領(lǐng)域是否有健全的控制體系，制度是否有有效的監(jiān)控手段。這也是一個(gè)巨大是變化。

第三個(gè)方面也是IT技術(shù)對(duì)企業(yè)帶來的挑戰(zhàn)，你的內(nèi)控制度體系設(shè)計(jì)非常有效，但是執(zhí)行是否得到有效保障，所以說內(nèi)控執(zhí)行在目前管理情況下，所有企業(yè)或者說大中型企業(yè)借助于IT系統(tǒng)保障內(nèi)部控制有效性。在座的各位領(lǐng)導(dǎo)公司知道沒有一家公司不會(huì)使用一部分軟件，比如說使用ERP系統(tǒng)，Oracle或者用友，其它軟件系統(tǒng)。你的核心業(yè)務(wù)、財(cái)務(wù)信息、報(bào)表會(huì)在這些系統(tǒng)里面產(chǎn)生，那么如果說這個(gè)時(shí)候你的內(nèi)部控制執(zhí)行的手段，或者說執(zhí)行的評(píng)價(jià)要繞開ERP系統(tǒng)或者是IT系統(tǒng)，企業(yè)可能就不能正常運(yùn)行。第三點(diǎn)我們可以用一句話指導(dǎo)它的重要性，對(duì)客戶框架有深入分析，我們知道全球包括美國(guó)、英國(guó)，包括新加坡、香港、日本，還有我們現(xiàn)在中國(guó)，所以的國(guó)家在制定內(nèi)部控制相關(guān)法律規(guī)范的使用框架，是遵循的COX框架，如果你這個(gè)企業(yè)的內(nèi)部控制執(zhí)行，是依賴于某些IT工具，比如說ERP系統(tǒng)，其他的軟件工具，將來第三方見證機(jī)構(gòu)對(duì)企業(yè)進(jìn)行內(nèi)部控制審計(jì)評(píng)價(jià)，可以適當(dāng)?shù)臏p少審計(jì)工作量，提高內(nèi)部提出有效性可信任評(píng)估，所以借助ERP執(zhí)行是非常重要的了。如果說像我們?cè)群芏嘣诤Ｍ馍鲜泄?，每年?qǐng)四大幫你做內(nèi)部審計(jì)，或者咨詢費(fèi)用是非常昂貴。如果說我有了可靠ERP系統(tǒng)，所有內(nèi)部控制都在ERP系統(tǒng)當(dāng)中得到良好體現(xiàn)和控制，你的審計(jì)和相應(yīng)成本會(huì)縮小了降低很多。這也是企業(yè)要關(guān)注的重要一個(gè)方面。

另外一個(gè)方面就是控制監(jiān)督及我們知道法規(guī)頒布以后，對(duì)企業(yè)帶一個(gè)新的挑戰(zhàn)，就是內(nèi)部控制必須進(jìn)行監(jiān)督評(píng)價(jià)。這個(gè)監(jiān)督評(píng)價(jià)包含兩個(gè)層次，第一個(gè)是內(nèi)部監(jiān)督評(píng)價(jià)，我們看到國(guó)內(nèi)上市公司都著手把企業(yè)的內(nèi)部及審機(jī)構(gòu)職能進(jìn)行擴(kuò)充，原先可能是傳統(tǒng)審計(jì)就是報(bào)表審計(jì)，現(xiàn)在要擴(kuò)展傳統(tǒng)的審計(jì)，企業(yè)內(nèi)部控制、獨(dú)立審計(jì)等等方面。在內(nèi)部監(jiān)督評(píng)價(jià)同時(shí)，法規(guī)明確要求必須請(qǐng)外部第三方機(jī)構(gòu)進(jìn)行有效評(píng)價(jià)。在評(píng)價(jià)和監(jiān)督的時(shí)候，我們知道首先我要檢查你的內(nèi)部控制設(shè)計(jì)是否健全、有效。檢查的時(shí)候事務(wù)所是看內(nèi)部控制設(shè)計(jì)是不是得當(dāng)，這是第一個(gè)。接下來就是內(nèi)部測(cè)試執(zhí)行是否有效，要看你內(nèi)部控制的證據(jù)，企業(yè)核心業(yè)務(wù)在ERP系統(tǒng)上，那么ERP系統(tǒng)可以幫助你保留你的關(guān)鍵業(yè)務(wù)執(zhí)行過程當(dāng)中證據(jù)、文檔、資料、報(bào)告，供你企業(yè)內(nèi)審，機(jī)構(gòu)檢查一些證據(jù)，做出評(píng)價(jià)。同時(shí)，我們知道如果你看這個(gè)基本規(guī)范的時(shí)候，只說了一句，要請(qǐng)第三方機(jī)構(gòu)對(duì)內(nèi)審機(jī)構(gòu)評(píng)價(jià)，你需要在年報(bào)當(dāng)中明確的公告你的企業(yè)內(nèi)部，對(duì)企業(yè)管理層，對(duì)內(nèi)部工作的評(píng)價(jià)結(jié)果是怎么樣的。我們看到很多上市公司從2007年年報(bào)當(dāng)中就開始披露，大概有兩段話，認(rèn)為我們公司內(nèi)部工作是完善有效健全等等，這一段話是給公眾看。背后包含內(nèi)容非常多，你這個(gè)有效性是要有證據(jù)，雖然沒有披露給公眾但是都要包含在企業(yè)當(dāng)中。所以這些數(shù)據(jù)依靠手工整理這些證據(jù)，保留這些證據(jù)基本是不可能實(shí)現(xiàn)的。

第四方面也是我們企業(yè)在現(xiàn)在應(yīng)對(duì)法律法規(guī)要求的時(shí)候，要考慮的，我們?cè)趺幢ＷC這個(gè)有效性評(píng)價(jià)，提供證據(jù)。這四個(gè)方面對(duì)我們是非常重要，這是我們提到的第一個(gè)方面，IT控制內(nèi)容增加，我們時(shí)間有限，不相信展開討論這些問題。如果說我們是CIO，IT控制這一塊領(lǐng)域要圍繞這些部分，IT控制建設(shè)是圍繞這些方面。在這些方面當(dāng)中如果你的企業(yè)用了軟件系統(tǒng)，比如說ERP系統(tǒng)，ERP本身的環(huán)境控制，本身安全性是你IT控制重要核心內(nèi)容，這個(gè)是給大家作為一個(gè)簡(jiǎn)單提示，不要忽視這個(gè)方面。另外在執(zhí)行的時(shí)候，我們看到執(zhí)行的過程全面可以在系統(tǒng)得到有效保障，當(dāng)然企業(yè)內(nèi)部的內(nèi)容涉及到公司治理到每個(gè)業(yè)務(wù)全部?jī)?nèi)容，其中有很多關(guān)鍵核心的東西，我們可以借助平臺(tái)網(wǎng)上控制執(zhí)行有效性，將來要借助ERP系統(tǒng)內(nèi)部控制執(zhí)行過程信息記錄下來，證據(jù)記錄下來。我們舉一個(gè)例子，假如說信用控制是企業(yè)非常關(guān)注的點(diǎn)，在很多行業(yè)信用控制是風(fēng)險(xiǎn)非常高的地方，信用控制的制度，文檔設(shè)計(jì)好以后，接下來要讓信用控制得到有效執(zhí)行，這就要包含一系列的動(dòng)作。首先要先做什么資質(zhì)鑒定評(píng)價(jià)，有相應(yīng)的資料。評(píng)價(jià)完畢以后設(shè)定信用的情況、信用的額度，所有業(yè)務(wù)發(fā)生完的時(shí)候是否受到了控制，這些都是控制證據(jù)。這些控制證據(jù)如果說你銷售管理系統(tǒng)采用是ERP系統(tǒng)，ERP就應(yīng)該幫助你留下這些信息證據(jù)。這都是將來第三方審計(jì)的時(shí)候要看的，如果第三方審計(jì)的時(shí)候，看的時(shí)候問你這些信息在哪呢，我說我們不是手工管理是ERP管理，但是這個(gè)ERP系統(tǒng)當(dāng)中也沒有記錄出來完整的信息，這個(gè)時(shí)候事務(wù)所說你的系統(tǒng)是有漏洞風(fēng)險(xiǎn)的，我不能數(shù)據(jù)無保留意見報(bào)告了，所以說在這些方面，將來檢查一個(gè)系統(tǒng)，軟件系統(tǒng)能不能滿足我們內(nèi)控要求是非常重要。

在我們用友公司內(nèi)部部署多條產(chǎn)品線，分別面對(duì)不同客戶群體。NC產(chǎn)品也很多企業(yè)接觸過，是面向與中高端客戶群體，尤其是集團(tuán)性企業(yè)的一個(gè)完整ERP軟件。目前來說我們很多上市公司最先要受法律法規(guī)約束的上市公司，集團(tuán)企業(yè)占的數(shù)量比較多，集團(tuán)企業(yè)在開展內(nèi)部控制管理的關(guān)注點(diǎn)和一般企業(yè)有非常得大區(qū)別。比如說我是一個(gè)小型企業(yè)或者中型企業(yè)，內(nèi)部按照常規(guī)內(nèi)容流程設(shè)計(jì)開展就可以了，但是對(duì)于集團(tuán)公司來講內(nèi)部控制涉及到所有業(yè)務(wù)職能，還涉及到總部對(duì)下述不同類型分支機(jī)構(gòu)控制，第二方面控制是目前設(shè)置企業(yè)內(nèi)部控制的時(shí)候一定要關(guān)注的地方。比如說原來中石油、中石化內(nèi)控系統(tǒng)走得比較靠前，目前應(yīng)該重新構(gòu)建檢查內(nèi)部控制體系的時(shí)候，一定要關(guān)注這個(gè)環(huán)節(jié)，比如說你的權(quán)限的重新設(shè)計(jì)，權(quán)限體系的重新設(shè)計(jì)，必須從總部一級(jí)子公司到分級(jí)子公司下來的，我們采購(gòu)業(yè)務(wù)是集中采購(gòu)，某些物資在集團(tuán)總部有那些，下級(jí)子公司有哪些，是要縱向考慮。所以說由于企業(yè)集團(tuán)在控制管理特殊性考慮。

這個(gè)軟件是為集團(tuán)企業(yè)設(shè)計(jì)還是為一般企業(yè)設(shè)計(jì)的。NC系統(tǒng)的年軟件系統(tǒng)首先一個(gè)完整的ERP系統(tǒng)，在2005年、2006年我們開始跟蹤相應(yīng)的法律法規(guī)，還是做相應(yīng)產(chǎn)品規(guī)劃和完善，我是NC產(chǎn)品內(nèi)控產(chǎn)品設(shè)計(jì)人員，實(shí)際上在NC產(chǎn)品當(dāng)中，信息化除了目前完整ERP系統(tǒng)以后，也結(jié)合了相應(yīng)的法律法規(guī)，不管是《薩班斯法案》還是國(guó)內(nèi)法律法規(guī)，對(duì)企業(yè)要求就分四類，我們很多企業(yè)接觸法規(guī)的時(shí)候，或者搞控制體系不知道該怎么入手，其實(shí)就是一個(gè)四個(gè)方面，第一是內(nèi)部控制制度的設(shè)計(jì)，內(nèi)部控制的執(zhí)行，內(nèi)部控制的監(jiān)督評(píng)價(jià)，最后就是證據(jù)，左邊是法規(guī)對(duì)你企業(yè)的要求，每一個(gè)領(lǐng)域你合規(guī)應(yīng)該滿足要求是什么樣的。

結(jié)合法規(guī)的要求，將來考核軟件系統(tǒng)要求軟件系統(tǒng)在這些方面支持內(nèi)部控制開展，第一內(nèi)部控制穩(wěn)當(dāng)跟ERP系統(tǒng)產(chǎn)生一些交互關(guān)系，我們內(nèi)部控制文檔文件資料一大堆。然后實(shí)際上我所有這些內(nèi)部控制流程在軟件系統(tǒng)里執(zhí)行，我要看一下某一個(gè)業(yè)務(wù)內(nèi)部控制文檔，再檢查執(zhí)行有的時(shí)候很難結(jié)合起來，應(yīng)該要求軟件系統(tǒng)提供文件記錄或者關(guān)聯(lián)功能，讓把兩者有機(jī)結(jié)合起來。第二檢查軟件系統(tǒng)控制是否嚴(yán)密，是否可以滿足你關(guān)鍵業(yè)務(wù)、關(guān)鍵控制點(diǎn)在你軟件上面開展，這也很重要。企業(yè)內(nèi)部明確崗位分離，看五部委規(guī)范的時(shí)候，每一個(gè)集體規(guī)范第一頁(yè)都寫了，你要把權(quán)限文檔變成權(quán)限體系，是否可以幫助你稽核不相融職位和崗位的分離，這是很重要。第三要求軟件系統(tǒng)對(duì)企業(yè)關(guān)注核心業(yè)務(wù)數(shù)據(jù)保留審計(jì)線索，這是非常重要，如果沒有審計(jì)先線索我就不能檢查制衡過程中有沒有什么漏洞。如說軟件系統(tǒng)當(dāng)中客商檔案信用額度隨便被別人修改過，修改完了我也不知道。那這方面你們企業(yè)這在分析漏洞就是非常大，我關(guān)注客商信用額度信息，軟件要給我記錄，某人是否修改過，什么時(shí)候修改，我能夠記錄下來。

第四點(diǎn)，能夠在軟件平臺(tái)查詢關(guān)鍵的控制流程、控制點(diǎn)和情況，要求評(píng)價(jià)內(nèi)部控制時(shí)候要做的工作，這個(gè)工作同樣要借助軟件系統(tǒng)。前提就是一個(gè)你的業(yè)務(wù)是在ERP里面，手工評(píng)價(jià)是不可能，要對(duì)軟件這些方面也有要求，我有一個(gè)觀點(diǎn)和大家交流如果你業(yè)務(wù)財(cái)務(wù)都是在依靠ERP系統(tǒng)執(zhí)行，這套系統(tǒng)檢查評(píng)價(jià)內(nèi)部控制是最重要。你的內(nèi)部控制是在用友系統(tǒng)當(dāng)中執(zhí)行，你用另外一個(gè)軟件檢查你內(nèi)控是否得到有效執(zhí)行，這個(gè)效果會(huì)大大折扣，如果我們是企業(yè)CIO同一個(gè)軟件公司設(shè)計(jì)出來不同軟件產(chǎn)品之間的集成程度，不可能像一套軟件集成程度那么好，一個(gè)廠商可以幫助你控制執(zhí)行，又可以幫助你監(jiān)控執(zhí)行是最有效的，集成性我覺得是非常重要一個(gè)方面。

另外在平臺(tái)監(jiān)督內(nèi)部控制執(zhí)行，做出評(píng)價(jià)。結(jié)合這些方面在用友NC產(chǎn)品當(dāng)中，在各個(gè)層次上面為企業(yè)提供內(nèi)部控制服務(wù)功能和產(chǎn)品功能中這也是讓廠商要求做的，實(shí)際上在為企業(yè)提供服務(wù)的時(shí)候，從內(nèi)部控制管理上面可以分五個(gè)層次，剛才我們說到這個(gè)企業(yè)現(xiàn)在搞內(nèi)部工作必須關(guān)注IT控制，當(dāng)中軟件系統(tǒng)環(huán)境控制是非常重要的方面，如果整個(gè)企業(yè)應(yīng)用軟件是一套，或者核心業(yè)務(wù)都在用友軟件里面，都在SP的軟件里，首先肯定要檢查這個(gè)軟件自身的控制是否嚴(yán)格，嚴(yán)密。比如說輸入控制是否安全、輸出控制是否安全，處理控制是否安全。比如說輸出控制，安全機(jī)制是否能夠滿足企業(yè)的要求，這件事情說起來簡(jiǎn)單，但是實(shí)際上實(shí)踐起來也比較難，所有用戶進(jìn)入系統(tǒng)要有用戶密碼，這個(gè)機(jī)制是否安全，除了一般的密碼是有特殊保障，我們知道在企業(yè)當(dāng)中風(fēng)險(xiǎn)非常高的崗位就是出納，出納人員可以去執(zhí)行付款的動(dòng)作。如果這個(gè)人員可以隨便被別人篡改密碼登陸系統(tǒng)的話風(fēng)險(xiǎn)就太高了，這些方面軟件系統(tǒng)應(yīng)該有安全的機(jī)制，保障你這方面安全還是很有效。

另外我們考慮內(nèi)部控制建設(shè)的時(shí)候，關(guān)注的一般控制內(nèi)容，在企業(yè)內(nèi)部控制規(guī)范當(dāng)中也提到了，企業(yè)應(yīng)該關(guān)注核心控制的東西，比如說權(quán)限、審批、稽核、風(fēng)險(xiǎn)預(yù)警等等，這些是所有業(yè)務(wù)要遵循控制關(guān)鍵點(diǎn)，我們用友滿足所有的機(jī)制和功能比如說系統(tǒng)當(dāng)中權(quán)限、模型，然后用戶決策模型，是幫助你權(quán)限方面的模型，是否可以滿足企業(yè)審批控制要求，系統(tǒng)當(dāng)中預(yù)警機(jī)制，是否能夠滿足你控制風(fēng)險(xiǎn)預(yù)警等等。這也是在NC系統(tǒng)當(dāng)中第二個(gè)層次提供的價(jià)值。第三方面就流程控制，我們知道所有企業(yè)核心業(yè)務(wù)流程設(shè)計(jì)了很多控制點(diǎn)，比如說銷售業(yè)務(wù)、采購(gòu)業(yè)務(wù)、投資業(yè)務(wù)、財(cái)務(wù)報(bào)告編制等等，所有這些業(yè)務(wù)都會(huì)涉及到很多的控制點(diǎn)。那么你原先在選擇ERP系統(tǒng)的時(shí)候，原先這個(gè)廠商ERP系統(tǒng)能不能滿足我們業(yè)務(wù)流程，現(xiàn)在要增加另外一個(gè)考慮緯度，除了滿足銷售業(yè)務(wù)還必須滿足我們銷售控制在系統(tǒng)當(dāng)中得到有效執(zhí)行。業(yè)務(wù)系統(tǒng)方面我們NC系統(tǒng)結(jié)合我們五部委頒布《《企業(yè)內(nèi)部控制基本規(guī)范》的要求，全部滿足了，沒有滿足現(xiàn)在把這些內(nèi)控點(diǎn)在產(chǎn)品中進(jìn)行了相應(yīng)補(bǔ)充。

第四方面是為我們內(nèi)控的監(jiān)督和評(píng)價(jià)服務(wù)的相應(yīng)產(chǎn)品，比如說我們將來要監(jiān)督這些控制的執(zhí)行和評(píng)價(jià)，你要幫我留有完整審計(jì)線索，幫我把相應(yīng)控制流程和一些規(guī)則輸?shù)较到y(tǒng)當(dāng)中去，要提供平臺(tái)，讓我看到我的內(nèi)部執(zhí)行情況是怎么樣的。這就幫助企業(yè)減輕了大量的工作，所以這也是我們提出新的產(chǎn)品功能。

第五個(gè)方面是我們公司本來有審計(jì)產(chǎn)品，原先我們企業(yè)在選擇ERP系統(tǒng)的時(shí)候，可能不會(huì)過多地關(guān)注審計(jì)的產(chǎn)品，將來就有可能非常關(guān)注，企業(yè)內(nèi)審機(jī)構(gòu)在企業(yè)發(fā)揮職責(zé)職能越來越重要。你內(nèi)審的時(shí)候是需要借鑒軟件的平臺(tái)。所以第五方面也是軟件系統(tǒng)提供給我們的相應(yīng)價(jià)值。這是剛才我提到跟各個(gè)方面，比如說提到第一個(gè)系統(tǒng)環(huán)境工作，看一下NC系統(tǒng)，在安全性控制提供功能和機(jī)制，然后審計(jì)線索，安全性NC系統(tǒng)當(dāng)中可以實(shí)現(xiàn)對(duì)企業(yè)你關(guān)注核心的數(shù)據(jù)、單據(jù)、文件、報(bào)告單獨(dú)做CA認(rèn)證。比如說剛才說的出納，付款我們要做CA認(rèn)證，比如說我們非常關(guān)注核心報(bào)告閱讀也可以做CA認(rèn)證，等等。這樣保證系統(tǒng)風(fēng)險(xiǎn)高的地方有效地方安全保障。第二，系統(tǒng)日志非常重要，在NC系統(tǒng)當(dāng)中分為操作日志、功能日志，幫助企業(yè)保留日志信息，結(jié)合內(nèi)控要求不能僅僅結(jié)合在原先我們記住某個(gè)操作員某天某時(shí)間登陸過，要記住相應(yīng)操作動(dòng)作，供給，內(nèi)容是什么，當(dāng)然這是跟企業(yè)不同要求，你來設(shè)計(jì)你要關(guān)注哪些東西，系統(tǒng)就幫助你保有哪些系統(tǒng)。

另外就是撤離上面安全機(jī)制要求，比如說系統(tǒng)處理價(jià)值，非常重要財(cái)務(wù)報(bào)告完整有效?，F(xiàn)在每個(gè)幾個(gè)企財(cái)務(wù)報(bào)告是用手工都是軟件，那么系統(tǒng)中處理結(jié)構(gòu)是否安全，也決定了你企業(yè)報(bào)告的完整有效，管理層解讀資產(chǎn)負(fù)債表，是否是最準(zhǔn)確的債務(wù)信息，要取決于系統(tǒng)報(bào)告生成機(jī)制，比如說這個(gè)系統(tǒng)根本沒有檢查機(jī)制，財(cái)務(wù)系統(tǒng)操作人員。所以系統(tǒng)處理安全機(jī)制是非常重要。

第二方面就是系統(tǒng)平臺(tái)可以為我們提供一般控制規(guī)則。比如說系統(tǒng)會(huì)提供完善的權(quán)限模型，NC系統(tǒng)模型可以結(jié)合你對(duì)人設(shè)計(jì)非常細(xì)致的權(quán)限。軟件會(huì)幫助你檢查不相容職務(wù)是否分離，比如說出他和會(huì)計(jì)給一個(gè)操作人員，軟件系統(tǒng)可以幫助你檢查出來。分角色應(yīng)用等等，審批的控制，預(yù)警平臺(tái)。

第三方面就是ERP系統(tǒng)各個(gè)業(yè)務(wù)系統(tǒng)可以有效的支部?jī)?nèi)部控制的執(zhí)行。這個(gè)是企業(yè)案例，實(shí)際上做得比較好企業(yè)，內(nèi)部控制是制度當(dāng)中的一個(gè)部分，將來我們?nèi)绻f在座企業(yè)內(nèi)部控制體系還沒有健全，制度沒有完善，將來你也可能按照這個(gè)思路做，分析業(yè)務(wù)目標(biāo)，風(fēng)險(xiǎn)，設(shè)置控制點(diǎn)，設(shè)計(jì)監(jiān)督檢查辦法，然后形成流程圖。這些東西設(shè)計(jì)完畢以后，要把它的核心東西伴隨業(yè)務(wù)流程開展同時(shí)，控制在系統(tǒng)當(dāng)中得到有效執(zhí)行，從控制方法預(yù)防性控制比檢查性控制永遠(yuǎn)都有效。比如說銷售業(yè)務(wù)必須做信譽(yù)額度檢查報(bào)警等等，都需要做規(guī)格，銷售價(jià)格自動(dòng)控制等等，都必須借助軟件平臺(tái)保證它的準(zhǔn)確有效。這不詳細(xì)分析了，這也是你在軟件系統(tǒng)選擇關(guān)注點(diǎn)，也是NC系統(tǒng)提供的核心價(jià)值。

第四點(diǎn)就是內(nèi)部控制過程文檔證據(jù)記錄，和內(nèi)部控制有效性的評(píng)價(jià)。在這個(gè)方面實(shí)際上也是對(duì)軟件系統(tǒng)要求，同時(shí)NC軟件系統(tǒng)希望在這個(gè)方面給企業(yè)提供幫助，比如說業(yè)務(wù)流程發(fā)生的時(shí)候在系統(tǒng)當(dāng)中會(huì)有很多單據(jù)信息。這些都是證據(jù)，業(yè)務(wù)系統(tǒng)可以把這些證據(jù)分類，實(shí)現(xiàn)各種各樣查詢，和你風(fēng)險(xiǎn)息息關(guān)聯(lián)，同時(shí)跟你后續(xù)支持評(píng)價(jià)。另外，產(chǎn)品可以做內(nèi)部控制監(jiān)控平臺(tái)，告訴你的相關(guān)業(yè)務(wù)流程的控制，你的風(fēng)險(xiǎn)有多大等等幫助你做監(jiān)督。

最后就是審計(jì)系統(tǒng)，實(shí)際上企業(yè)內(nèi)部審計(jì)開展內(nèi)部管理的時(shí)候，同樣要借助審計(jì)系統(tǒng)檢查ERP系推內(nèi)部控制執(zhí)行有性。

今天就用短暫的時(shí)間把用友NC系統(tǒng)，在企業(yè)內(nèi)部管理建設(shè)中能夠?yàn)槲覀兎?wù)和價(jià)值做一個(gè)簡(jiǎn)單介紹。各位領(lǐng)導(dǎo)和嘉賓有意見的話，用友公司也在做很多市場(chǎng)活動(dòng)，再做詳細(xì)的交流和分析，謝謝大家。

主持人：下面為我們做精彩致詞的是河北網(wǎng)通信息化部高級(jí)工程師屈玉閣。

屈玉閣：各位領(lǐng)導(dǎo)，各位先生、各位女士上午好。我簡(jiǎn)單地介紹原來河北網(wǎng)通信息化建設(shè)的情況，大家知道網(wǎng)通現(xiàn)在和聯(lián)通合并了，我說說河北網(wǎng)通是怎么進(jìn)行IT系統(tǒng)的。

我說一下我們中國(guó)網(wǎng)通內(nèi)控測(cè)試結(jié)果是為零缺陷，這已經(jīng)通過2007年測(cè)試結(jié)果。內(nèi)控基本路徑是這樣的，首先在美國(guó)上市公司要求，我們請(qǐng)國(guó)外咨詢公司制定滿足《薩班斯法案》框架的制度，然后在企業(yè)各個(gè)層面落實(shí)，企業(yè)請(qǐng)外部公司進(jìn)行審計(jì)得出結(jié)論，最后在資本市場(chǎng)檢驗(yàn)審計(jì)的結(jié)果。

每年內(nèi)控工作基本都是說依照內(nèi)控模塊制定的活動(dòng)，依據(jù)本地化活動(dòng)檢查點(diǎn)，檢查自己有多少差距。我們組織檢查各個(gè)單位改進(jìn)，外省一次測(cè)試，到年底進(jìn)行外省第二次測(cè)試。信息化工作主要是兩個(gè)層面，一個(gè)是信息化建設(shè)與運(yùn)營(yíng)，第二是信息化控制的控制。

《薩班斯法案》對(duì)財(cái)務(wù)來源控制途徑是三個(gè)部分，第一是信息系統(tǒng)，第二是紙質(zhì)報(bào)表，第三就是電子表格。大家看一看ITGC報(bào)表，有幾個(gè)模板。我們?cè)W(wǎng)通公司IT內(nèi)控涉及的領(lǐng)域有兩大部分，一個(gè)是一般性質(zhì)，一個(gè)是信息系統(tǒng)應(yīng)用控制。一般性的系統(tǒng)控制包括四個(gè)層面，安全、操作、變更管理、開發(fā)與支持。信息系統(tǒng)包括ERP系統(tǒng)。一般性信息工作基本能力，我剛才說新系統(tǒng)安全操作變更管理，和運(yùn)營(yíng)系統(tǒng)數(shù)據(jù)庫(kù)開發(fā)與支持，這個(gè)包括詳細(xì)一般系統(tǒng)操作管理，數(shù)據(jù)庫(kù)和網(wǎng)絡(luò)，還有防病毒等等，還有應(yīng)急預(yù)案，變更管理包括應(yīng)用系統(tǒng)，操作系統(tǒng)，數(shù)據(jù)庫(kù)還有保護(hù)變更，在新系統(tǒng)開發(fā)包括應(yīng)用和實(shí)施這個(gè)層面。一般性管理架構(gòu)包括核心是應(yīng)用系統(tǒng)安全，數(shù)據(jù)庫(kù)安全，下一個(gè)層面是操作系統(tǒng)安全，網(wǎng)絡(luò)安全，防止病毒應(yīng)用系統(tǒng)和操作系統(tǒng)層面控制。

舉個(gè)例子，操作系統(tǒng)安全用戶管理，系統(tǒng)管理監(jiān)控管理，我們?cè)谂e例子帳號(hào)管理要求內(nèi)控是這樣，第一密碼格式、無效登陸次數(shù)三次，歷史密碼記憶個(gè)數(shù)，密碼復(fù)雜程度，秘密要求6位，默認(rèn)帳號(hào)鎖定，帳號(hào)超過時(shí)間我們是10分鐘等等。另外系統(tǒng)包括業(yè)務(wù)系統(tǒng)數(shù)據(jù)開發(fā)，新的應(yīng)用系統(tǒng)測(cè)試，新的數(shù)據(jù)結(jié)構(gòu)測(cè)試，新的網(wǎng)絡(luò)測(cè)試。

我們說一下當(dāng)時(shí)我們河北網(wǎng)通公司管理，外部看我們有網(wǎng)通公司內(nèi)部控制管理400多條所以我們工作量是非常大，我們涉及安全、變更、系統(tǒng)開發(fā)、操作、信息系統(tǒng)等等，涉及部門就更多了，包括工程建設(shè)，物流采購(gòu)綜合部，我們還負(fù)責(zé)電子表格，實(shí)際上要求我們06年必須達(dá)到《薩班斯法案》要求。信息系統(tǒng)大部分不能滿足IT一般要求，第二很多單位沒有形成IT系統(tǒng)控制路徑。

2006年我們進(jìn)行8個(gè)方面的工作，一個(gè)是內(nèi)容控制制度建設(shè)，貫徹風(fēng)險(xiǎn)管理方式，開展針對(duì)性與信息化管理控制工作相結(jié)合，統(tǒng)一IT內(nèi)部流程表述和文檔的格式，問題整理及整改措施的落實(shí)，現(xiàn)場(chǎng)督導(dǎo)提出具體的管理措施。積極與相關(guān)部門溝通，解決COSO、UAT和持其系統(tǒng)存在的問題。最后是組織各單位有效開展管理工作。我們內(nèi)控制度，首先要求制度健全，我們制定信息系統(tǒng)安全規(guī)范，表格的規(guī)范，還有做編碼，開發(fā)要求，開發(fā)必須遵守編碼規(guī)范，還有報(bào)財(cái)務(wù)部一個(gè)軟件。我們還開展針對(duì)性培訓(xùn)，我們培訓(xùn)是考慮兩個(gè)層面，一個(gè)內(nèi)控要求對(duì)信息系統(tǒng)要求，一個(gè)是說內(nèi)控對(duì)信息化管理控制以及業(yè)務(wù)流程要求。我們工作開展培訓(xùn)以后，因?yàn)槲覀兪亲隽舜罅康呐嘤?xùn)，我們從舉辦各個(gè)省公司的集團(tuán)技術(shù)主任，從各技術(shù)工作進(jìn)行現(xiàn)場(chǎng)培訓(xùn)，兩次進(jìn)行電話培訓(xùn)等等。這樣使員工的內(nèi)控意識(shí)有了很大的提高。我們做了1200頁(yè)的控制文檔，包括開發(fā)與測(cè)試，還有風(fēng)險(xiǎn)管理內(nèi)控，還有《薩班斯法案》，還有與外省市溝通。我們第三點(diǎn)，統(tǒng)一IT內(nèi)控務(wù)流程描述和文檔格式，河北省有自己管理流程，我們?yōu)榱思訌?qiáng)內(nèi)控管理我們我用一周時(shí)間制定流程，這樣寫文檔合適了，每個(gè)都比較完整就達(dá)到要求了。上個(gè)季度我們也形成了一個(gè)安全標(biāo)準(zhǔn)，通過統(tǒng)一流程、統(tǒng)一文檔我們?cè)诠ぷ魃疃龋M(jìn)度方面取得了主動(dòng)權(quán)，這個(gè)工作我們當(dāng)時(shí)都在前列。

第四個(gè)方面，問題整理及整改措施的落實(shí)，我們制定了一個(gè)內(nèi)控責(zé)任，根據(jù)系統(tǒng)分到每一個(gè)人負(fù)責(zé)哪條，每個(gè)人負(fù)責(zé)哪一段流程。我們內(nèi)控整改工作還包括了兩個(gè)層面，一個(gè)是系統(tǒng)要求，我們?cè)瓉硐到y(tǒng)基本上滿足了內(nèi)控方面的要求。技術(shù)上我們做溝通做了補(bǔ)丁，要求在2000年的時(shí)候達(dá)到《薩班斯法案》的要求。五我們要求在網(wǎng)上要做記錄，完了之后領(lǐng)導(dǎo)要做相應(yīng)的確認(rèn)。第二個(gè)層面一定要進(jìn)行內(nèi)控的控制。控制聲明、授權(quán)和被授權(quán)文檔、作業(yè)流程、人工降低IT內(nèi)控風(fēng)險(xiǎn)整改措施等等。

授權(quán)2006年各單位整改的基礎(chǔ)上，網(wǎng)通河北省分公司IT內(nèi)控工作組去年市分公司收集整理第一輪測(cè)試在20個(gè)共性問題，深入理解內(nèi)控要求，提出了人工降低IT內(nèi)控風(fēng)險(xiǎn)整改措施。我們有一個(gè)信息系統(tǒng)非緊急變更實(shí)施范圍定義表，我們相應(yīng)流程跟大家都做了記錄。內(nèi)部授權(quán)方式，首先你要做聲明，首先您是誰，然后各部門制定一個(gè)崗位說明書，帳號(hào)統(tǒng)一管理，我們第一次測(cè)試的時(shí)候，有一個(gè)系統(tǒng)管理員把一個(gè)參數(shù)修改了，最后查出來，問你這個(gè)人是誰我告訴他，你把系統(tǒng)管理員的說明書拿出來，當(dāng)時(shí)沒有找到，當(dāng)時(shí)就說你不是系統(tǒng)操作系統(tǒng)管理員，你改參數(shù)干什么。當(dāng)時(shí)我找他們溝通，把操作系統(tǒng)管理員的找到了，風(fēng)險(xiǎn)就解決，外部風(fēng)險(xiǎn)變成內(nèi)部風(fēng)險(xiǎn)這個(gè)風(fēng)險(xiǎn)就降了。

我們總結(jié)一下IT工控制基本流程就是四個(gè)方面。首先是提出申請(qǐng)，然后是主管領(lǐng)導(dǎo)審批，不一定是你就是部門主任也可以是副主任，可能也是你班組長(zhǎng)，相關(guān)主管領(lǐng)導(dǎo)。然后在執(zhí)行當(dāng)中并寫一下工作日志，主管另是一個(gè)月或者三個(gè)月進(jìn)行審核。

第五點(diǎn)我們現(xiàn)場(chǎng)監(jiān)督，提出具體的管理措施，保證通過普華永道的測(cè)試。我們也去做公司，有的地市公司老總說內(nèi)控我知道就是坦白從寬、抗拒從嚴(yán)，當(dāng)時(shí)我沒有好意思說，我告訴他內(nèi)控是跟是外部公司是一個(gè)博弈過程。因?yàn)閮?nèi)控要求你幾條，那幾條完成就可以，不要求所有都做了，都做了工作就沒有完了。所以我告訴大家內(nèi)控要求幾個(gè)做到就可以，不沒有要求不一定要做，不要把自己陷得太深。

第六點(diǎn)，我們開展信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估，模擬演練預(yù)案。原來我們是按照硬件軟件分，這是按應(yīng)用，我們是基于業(yè)務(wù)的角度。我們?yōu)榱私档惋L(fēng)險(xiǎn)，我們按照風(fēng)險(xiǎn)管理理論，將信息系統(tǒng)分成實(shí)物、軟件、信息、服務(wù)等四個(gè)類的資產(chǎn)。

這個(gè)系統(tǒng)風(fēng)險(xiǎn)評(píng)估過程，看看這張圖。首先是確定范圍資產(chǎn)管理本身的弱點(diǎn)和漏洞，再看看內(nèi)部管理測(cè)試有哪些，看了這些以后還漏下什么東西，這就是你的風(fēng)險(xiǎn)，還有在排隊(duì)哪些重要，哪些不重要，最后提出風(fēng)險(xiǎn)報(bào)告和管理措施。

第七個(gè)方面我們積極與相關(guān)部門溝通，解決COSO、UAT和久其系統(tǒng)存在的問題。系統(tǒng)每年執(zhí)行是不是符合《薩班斯法案》要求，久其報(bào)表是簡(jiǎn)單的財(cái)務(wù)系統(tǒng)，我們跟財(cái)務(wù)部相關(guān)部門溝通，也了很多的辦法。

第八個(gè)方面是組織各單位，開展電子表格內(nèi)控管理，滿足內(nèi)控要求。我們寫了報(bào)表做，這個(gè)帳號(hào)怎么控制呢，我們也是一個(gè)內(nèi)控表一個(gè)規(guī)范，我們從模板設(shè)計(jì)、模板使用、模板維護(hù)積極控制，把控制原則制定一下，電子表設(shè)計(jì)人，使用人，維護(hù)人，訪問人，設(shè)計(jì)和使用人可以合一，這個(gè)流程圖有一個(gè)具體的方法。首先可以進(jìn)行申請(qǐng)，設(shè)計(jì)人可以進(jìn)行模板開發(fā)，使用人表格進(jìn)行數(shù)據(jù)編輯、更新、管理，最后訪問人可以對(duì)表格進(jìn)行實(shí)時(shí)查詢，原來我們是集中管理。

謝謝大家。

主持人：非常感謝屈先生，下面有請(qǐng)浪潮通軟副總裁兼技術(shù)總監(jiān)魏代森先生，進(jìn)行“企業(yè)全面風(fēng)險(xiǎn)管理與信息化”。

魏代森：首先感謝主辦方，在這樣比較適合的時(shí)間，面向正確的對(duì)象我們CIO們，舉辦這樣一場(chǎng)有意義的論壇會(huì)議。

企業(yè)內(nèi)部風(fēng)險(xiǎn)管理，看起來離我們CIO關(guān)系比較遠(yuǎn)，從國(guó)家制定政策，當(dāng)企業(yè)經(jīng)營(yíng)者，管理者制定體系相關(guān)。我們知道所有風(fēng)險(xiǎn)控制工作的最后落腳點(diǎn)是CIO是我們信息系統(tǒng)，所以我覺得特別有意義。

我跟大家溝通幾個(gè)觀點(diǎn)。作為企業(yè)內(nèi)控的信息化，我想并不是特指要和專門內(nèi)控和風(fēng)險(xiǎn)管理的信息化，我們知道我們企業(yè)經(jīng)營(yíng)過程當(dāng)中，我們業(yè)務(wù)管理過程中我們更多風(fēng)險(xiǎn)點(diǎn)我們要控制，管理的更多一些控制活動(dòng)和風(fēng)險(xiǎn)還是經(jīng)營(yíng)過程當(dāng)中業(yè)務(wù)活動(dòng)方面。

我涉及了三個(gè)方面的內(nèi)容，第一部分是風(fēng)險(xiǎn)很重要，這不多說了。另外一點(diǎn)，企業(yè)和內(nèi)控風(fēng)險(xiǎn)不是矛盾是相輔相成的。我們也知道美國(guó)《薩班斯法案》，我國(guó)內(nèi)推出的內(nèi)部控制規(guī)范，對(duì)我們企業(yè)內(nèi)控是一個(gè)指導(dǎo)二是一個(gè)壓力。同時(shí)，今天我們?cè)谧纳鲜泄綜IO，應(yīng)該說更多上市公司集團(tuán)性企業(yè)，集團(tuán)企業(yè)在風(fēng)險(xiǎn)管理方面還是面臨更多挑戰(zhàn)。

因此，這里兩個(gè)建議，對(duì)大企業(yè)加強(qiáng)集團(tuán)風(fēng)險(xiǎn)管控有兩條。第一條啊管控層面，采用集中式管理模式。母公司層面開始管理模式，通過這種模式我們可以加強(qiáng)分析機(jī)構(gòu)對(duì)我們整個(gè)優(yōu)化進(jìn)行有效整合，通常對(duì)我們標(biāo)準(zhǔn)，規(guī)范，對(duì)一些業(yè)務(wù)流程進(jìn)行有些控制，對(duì)企業(yè)內(nèi)控不僅僅是控制風(fēng)險(xiǎn)，還是要加強(qiáng)教育。同時(shí)，這種集成管理有利于集團(tuán)的戰(zhàn)略執(zhí)行、運(yùn)營(yíng)等，我們運(yùn)營(yíng)中產(chǎn)生的信息、結(jié)果可以有效配合。

業(yè)務(wù)層面可以涉及到一些具體的，我們應(yīng)用活動(dòng)重要的控制點(diǎn)，比如說在流程方面，我們由采購(gòu)需求開始，到采購(gòu)申請(qǐng)，采購(gòu)定單，再到采購(gòu)招標(biāo)，到貨物交付，這個(gè)結(jié)算過程我們要規(guī)范流程，流程規(guī)范我們就可以避免風(fēng)險(xiǎn)，這樣業(yè)務(wù)活動(dòng)當(dāng)中控制。第二個(gè)方面，我們加上信息庫(kù)存我有合理庫(kù)存，有信譽(yù)額度，在執(zhí)行過程運(yùn)算的控制。第三是對(duì)業(yè)務(wù)追蹤了貨源，最多對(duì)一些風(fēng)險(xiǎn)點(diǎn)進(jìn)行及時(shí)警示，包括業(yè)務(wù)，財(cái)務(wù)的。

第二個(gè)方面是信息化在加強(qiáng)企業(yè)內(nèi)控中的作用，所以企業(yè)控制風(fēng)險(xiǎn)管理，迅速落腳點(diǎn)還是要在我們信息系統(tǒng)當(dāng)中，信息化是重要的保障。首先我們無論要建我們風(fēng)險(xiǎn)管理系統(tǒng)，內(nèi)控體系是要以信息化作為基礎(chǔ)。第二個(gè)方面，我們信息化建設(shè)現(xiàn)在信息化應(yīng)該越來越多體現(xiàn)內(nèi)控風(fēng)險(xiǎn)管理要求，以前我們建設(shè)信息系統(tǒng)時(shí)候，建設(shè)基礎(chǔ)設(shè)施、應(yīng)用系統(tǒng)，我們可能并許多過多的考慮內(nèi)控和風(fēng)險(xiǎn)管理要求。從我們一旦意識(shí)到了我們的風(fēng)險(xiǎn)管理，對(duì)企業(yè)重要性以后，我們說信息建設(shè)要充分考慮這些因素，從業(yè)務(wù)、管理、決策層面都要考慮這些因素。

信息化在內(nèi)控、風(fēng)險(xiǎn)管理方面是非常重要，我們風(fēng)險(xiǎn)包括方方面面，戰(zhàn)略，投資，財(cái)務(wù)運(yùn)營(yíng)，法律和道德風(fēng)險(xiǎn)，信息化可以在很多方面可以發(fā)揮作用，但是并不是解決所有問題，他可以財(cái)務(wù)方面很重要的作用。

企業(yè)內(nèi)控的五要素，內(nèi)部環(huán)境，風(fēng)險(xiǎn)評(píng)估，風(fēng)險(xiǎn)評(píng)估等等，我從5個(gè)方面簡(jiǎn)單看一下我們建立怎么建設(shè)信息系統(tǒng)，第一建立集成IT系統(tǒng)是重要基礎(chǔ)，有了它，我們有了政策很多制度，標(biāo)準(zhǔn)規(guī)范在能夠暢通無阻的貫徹下去，有了它我們很多信息才能并較好頒布，識(shí)別很多先進(jìn)點(diǎn)可以再這樣環(huán)境下被有效控制。

這種信息化模式要從戰(zhàn)略層面我從財(cái)政，物流等等進(jìn)行集中化管理，業(yè)務(wù)層面我們要建立我們業(yè)務(wù)系統(tǒng)、生產(chǎn)、質(zhì)量設(shè)備，這個(gè)層面有機(jī)結(jié)合擴(kuò)大我們企業(yè)的途徑，我們風(fēng)險(xiǎn)管理要弱到信息系統(tǒng)當(dāng)中去，但是我們知道剛才說到我們管理有沒有權(quán)利用到系統(tǒng)配置，應(yīng)用系統(tǒng)是不是可以為所欲為，我們信息管理是不是可以在掌控之下做各種的工作。首先這里有最大的風(fēng)險(xiǎn)，首先對(duì)信息系統(tǒng)授權(quán)要分析授權(quán)，第二要分角色授權(quán)，我們提出叫四員的管理概念，我們要設(shè)計(jì)系統(tǒng)，應(yīng)用，安全員，審計(jì)員，我們可以有效讓我們信息系統(tǒng)合理得到一些相互制約，分別關(guān)注自己的角色，使得我們信息系統(tǒng)是可靠安全的，是可以保障的。我們的風(fēng)險(xiǎn)管理，才可以建立。

第二點(diǎn)我們說在企業(yè)當(dāng)中可以建立很多控制措施，我們建立信息化的物流系統(tǒng)，首先可以使得我們企業(yè)之間物資供應(yīng)建立一個(gè)協(xié)同管理，不至于信息不暢通，因?yàn)槲覀円恍┝鞒桃?guī)劃，我們?nèi)我獠捎迷斐筛囡L(fēng)險(xiǎn)的漏洞，我們通過建立這種系統(tǒng)使得我們業(yè)務(wù)流程規(guī)范，比如規(guī)定如何采購(gòu)、如何競(jìng)標(biāo)、如何招標(biāo)、如何收貨，如何結(jié)算我們可以有一套總公司范圍內(nèi)有一套完整流程。這一點(diǎn)是關(guān)于加強(qiáng)風(fēng)險(xiǎn)技術(shù)管理是控制企業(yè)風(fēng)險(xiǎn)的重要措施，在幾年前大家都意識(shí)到了，今年再?gòu)?qiáng)調(diào)綜合一起看也不為過分，這個(gè)是企業(yè)最關(guān)心的資源，通過對(duì)它的統(tǒng)一管理，集中結(jié)算可以有效解決一些企業(yè)投資、擔(dān)保、貸款問題，下面企業(yè)當(dāng)中產(chǎn)生最大風(fēng)險(xiǎn)也是在資金和理財(cái)方面。

第三方面我們還是對(duì)我們企業(yè)的財(cái)產(chǎn)，實(shí)物財(cái)產(chǎn)有個(gè)合理控制，可以加強(qiáng)實(shí)物財(cái)產(chǎn)管理，我們之前跟客戶交流過，他們也遇到過，他們一棟樓著火以后就找不到帳目的問題，所以我想這種事件發(fā)生會(huì)導(dǎo)致很多實(shí)物財(cái)產(chǎn)大量損失。

第三，要讓全面預(yù)算真正成為企業(yè)戰(zhàn)略落地的工具，以前是很多都是形式，很多運(yùn)算多了我們就調(diào)整一下，或者簡(jiǎn)單批復(fù)一下就過了，我們下來要用剛性和柔性來判斷，可以有不同的選擇。這種系統(tǒng)可以完全比較好解決系統(tǒng)溝通問題，第一可以有效了解企業(yè)經(jīng)營(yíng)真實(shí)的信息，及時(shí)信息。往往我們說信息和溝通遇到最多問題，就是盡管信息是產(chǎn)生了，但是信息不是及時(shí)的，第二信息不是一定是真實(shí)的。這樣信息系統(tǒng)使得我們最終合理信息集中起來，對(duì)它我們?cè)O(shè)計(jì)指標(biāo)，設(shè)立風(fēng)險(xiǎn)點(diǎn)進(jìn)行及時(shí)分析對(duì)比，產(chǎn)生預(yù)警信息，做到防患于未然。

總結(jié)一下，第一建立集中式信息系統(tǒng)是實(shí)現(xiàn)企業(yè)重要基礎(chǔ)，第二風(fēng)險(xiǎn)管理是企業(yè)管理信息系統(tǒng)的主線和方向，我們說建立一條風(fēng)險(xiǎn)體系，管理系統(tǒng)不僅是一個(gè)實(shí)施一個(gè)簡(jiǎn)單風(fēng)險(xiǎn)或者管理更多分析點(diǎn)，是分布在我們經(jīng)營(yíng)活動(dòng)當(dāng)中，分布在業(yè)務(wù)過程當(dāng)中，這一些是企業(yè)管理信息，而且管理信息要求是與風(fēng)險(xiǎn)管理密切結(jié)合。第三，我們企業(yè)信息系統(tǒng)與風(fēng)險(xiǎn)管理進(jìn)一步融合與統(tǒng)一。

第四，建立企業(yè)管理體系系統(tǒng)，全面風(fēng)險(xiǎn)管理雙框架，并實(shí)現(xiàn)有機(jī)融合與統(tǒng)一并且作為一個(gè)有力的支撐。

謝謝各位。

主持人：下面有請(qǐng)中國(guó)鋁業(yè)信息部的楊磊先生做演講。

楊磊：各位領(lǐng)導(dǎo)、各位來賓，大家下午好。我是楊磊來自于中國(guó)鋁業(yè)有限公司，我們公司是在美國(guó)，香港、上交所三地上市的國(guó)有控股大型企業(yè)，去年銷售額567億人民幣，全球第二大的鋁業(yè)公司。

我今天講主要內(nèi)容是和大家分享一下我們公司開展《薩班斯法案》工作，和IT相關(guān)一些體會(huì)心得。我首先給大家簡(jiǎn)單介紹一下關(guān)于《薩班斯法案》的一些簡(jiǎn)單內(nèi)容，然后再和大家分享我們公司在開展這項(xiàng)工作的簡(jiǎn)單情況和有關(guān)工作。

今天的主題可能是圍繞內(nèi)控開始的，所以說《薩班斯法案》404大家一聽是耳熟能詳，我不介紹太多情況。簡(jiǎn)單說2001年是實(shí)踐是《薩班斯法案》的導(dǎo)火索，根本原因是上市公司監(jiān)控缺失的一個(gè)后果。

《薩班斯法案》方面，管理層每年要出局一個(gè)報(bào)告，包括一下內(nèi)容，我們總結(jié)一下就是要求管理層要承擔(dān)兩個(gè)重要責(zé)任，一個(gè)建立一個(gè)有效的監(jiān)督組織，第二每年對(duì)內(nèi)控的有效性能進(jìn)行評(píng)估，管理層公司控制有效性作出評(píng)價(jià)包括公司層面控制，業(yè)務(wù)流程層面，公司層面的評(píng)估和信息系統(tǒng)層面監(jiān)督。既然開展內(nèi)部評(píng)估，在美國(guó)上市公司監(jiān)督委員會(huì)審核中要求管理層采取適當(dāng)?shù)目蚣芄芾砉ぷ?。但是一個(gè)強(qiáng)制目標(biāo)不是COSO。

這個(gè)圖就是COSC的三維內(nèi)部控制框架，標(biāo)準(zhǔn)和COSC

04的關(guān)系。COSC的三維內(nèi)部控制框架中5大要素是和我們關(guān)系非常緊密，我們可以看到控制活動(dòng)其他要素非常核心的地位。剛才我談到我們開展內(nèi)部公司控制評(píng)估，多數(shù)是采用COSC方案，這是針對(duì)一個(gè)企業(yè)開展內(nèi)控評(píng)估一個(gè)整體的框架，一直到開展IT層面評(píng)估，我們經(jīng)常使用另外一個(gè)指標(biāo)是有名的控制協(xié)會(huì)推出的COBIT的三維控制框架。

第二部分我想簡(jiǎn)單介紹2005年美國(guó)公司404公司內(nèi)控報(bào)告的披露情況，因?yàn)?005年是美國(guó)公司開展404第一年，他們遇到問題有可能是我們中國(guó)公司第一年會(huì)遇到的。這個(gè)圖我們可以看出來，在第一年美國(guó)的公司中，404報(bào)告中的披露情況。這個(gè)調(diào)查針對(duì)美國(guó)一些大型企業(yè)開展并不是美國(guó)所有企業(yè)。這個(gè)ABCD是比較知名的會(huì)計(jì)師事務(wù)所，即使在非常文明的美國(guó)大型企業(yè)，一年也有16%的企業(yè)沒有順利通過404審計(jì)。這張圖是對(duì)他們所被評(píng)估中發(fā)現(xiàn)的漏洞一個(gè)簡(jiǎn)單分類，我們可以看到因?yàn)?04思想之一關(guān)注與財(cái)務(wù)報(bào)告相關(guān)內(nèi)容控制，所以實(shí)質(zhì)性漏洞就是與財(cái)務(wù)相關(guān)的事情。

美國(guó)公司實(shí)施404遵循工作的主要問題與挑戰(zhàn)，第一年識(shí)別了大量?jī)?nèi)控缺陷，其中20%內(nèi)控是與IT相關(guān)，一個(gè)企業(yè)想擺脫IT是不可能。第二個(gè)特點(diǎn)是工作量大，投入高，有一些簡(jiǎn)單數(shù)據(jù)，在美國(guó)公司開展相關(guān)工作投入成本是非常高的。以上我簡(jiǎn)單關(guān)于《薩班斯法案》方案做了一些介紹。

下面我們就中國(guó)鋁業(yè)信息系統(tǒng)開展內(nèi)部控制項(xiàng)目情況給大家做一個(gè)介紹。中國(guó)鋁業(yè)是國(guó)內(nèi)最早開始做SOX合規(guī)工作的公司之一，從2004年開始已經(jīng)流程層面的文檔記錄工作，最開始沒有涉及到IT系統(tǒng)方面工作。但是自從2005年開始，我們公司的信息化建設(shè)出現(xiàn)重大變化，開展大規(guī)模信息化基礎(chǔ)設(shè)施建設(shè)，以及更為重要的是在總部和十幾家公司開始大規(guī)模ERP實(shí)施，這種情況下信息系統(tǒng)它的組織結(jié)構(gòu)，流程等等方面發(fā)生了非常激烈變化。同時(shí)在短期內(nèi)公司業(yè)務(wù)運(yùn)營(yíng)對(duì)于信息系統(tǒng)依賴程度也飛速增加，所以從2005年開始我們公司開展404增加了GCC的工作，并且2005年成立了GCC的項(xiàng)目工作組，并且開展相關(guān)工作。

這就是我們公司開展GCC項(xiàng)目總體想法，可以說開展這個(gè)項(xiàng)目來源是首先是來自于外部的遵循法律法規(guī)要求，《薩班斯法案》404，不僅僅是唯一一個(gè)理由。剛才我已經(jīng)說過我們信息系統(tǒng)日趨復(fù)雜，業(yè)務(wù)對(duì)IT系統(tǒng)的依賴性增強(qiáng)，這種情況下實(shí)施GCC項(xiàng)目變得非常迫切，所以我們實(shí)施GCC項(xiàng)目主要最終的目的是希望建立一個(gè)IT體系達(dá)到組織結(jié)構(gòu)統(tǒng)一化，管理制度流程標(biāo)準(zhǔn)化，人員配制合理化，最終使信息系統(tǒng)有效可靠運(yùn)行，在此基礎(chǔ)上順理成章通過404審計(jì)。

信息系統(tǒng)控制的項(xiàng)目主要內(nèi)容，不管在我們公司還是其它公司都是一樣，公司層面，一般控制和應(yīng)用系統(tǒng)控制，公司層面控制是關(guān)注與公司層面跟IT相關(guān)的問題，組織機(jī)構(gòu)，IT治理，法規(guī)、制度等等，一些基礎(chǔ)性的建設(shè)，它的控制好壞對(duì)整個(gè)IT控制結(jié)果會(huì)產(chǎn)生最大影響。下面就是IT一般控制，保證IT應(yīng)用控制持續(xù)有效性，比較常見是變更管理、系統(tǒng)開發(fā)、IT安全等等，相關(guān)的問題。應(yīng)用系統(tǒng)控制是我們常說ITAC和相應(yīng)對(duì)是關(guān)于主應(yīng)用系統(tǒng)程序執(zhí)行的一些控制，直接關(guān)注到財(cái)務(wù)報(bào)表、數(shù)據(jù)準(zhǔn)確性、安全性、一致性等等。

下面我介紹一下開展項(xiàng)目的工作，大家都是采用類似的框架目錄開展相關(guān)工作，項(xiàng)目實(shí)施方法基本上是都是一樣，常規(guī)404項(xiàng)目工作方法我們可以從這個(gè)張圖看出來。不管是左邊公司層面業(yè)務(wù)層面控制，還是公司層面IT工作，IT層面來說大家使用方法是基本一致的。經(jīng)過了幾個(gè)結(jié)論都是一樣，預(yù)評(píng)估，詳細(xì)評(píng)估，整改和再測(cè)試、管理層報(bào)告。在IT層面開展預(yù)評(píng)估和業(yè)務(wù)流程小組有一個(gè)比較緊密合作關(guān)系，因?yàn)樵贗T層面看相關(guān)工作的時(shí)候，確定關(guān)聯(lián)業(yè)務(wù)流程，風(fēng)險(xiǎn)評(píng)估都是必須根據(jù)業(yè)務(wù)，《薩班斯法案》關(guān)注是財(cái)務(wù)報(bào)表，相關(guān)的一些控制。換句話說這個(gè)問題再嚴(yán)重主要財(cái)務(wù)報(bào)表沒有直接關(guān)系，那么《薩班斯法案》不會(huì)對(duì)這個(gè)問題發(fā)生任何，所以我們IT首先要看這個(gè)控制是不是跟財(cái)務(wù)報(bào)表有緊密關(guān)系，這個(gè)階段需要有一個(gè)緊密配合關(guān)系這個(gè)常用的常見階段做事情和產(chǎn)出。比如說項(xiàng)目范圍，評(píng)估生產(chǎn)報(bào)告，整改，制定管理制度，最后是測(cè)試記錄，生成年底測(cè)試報(bào)告，數(shù)據(jù)管理層報(bào)告。

這張圖是我們當(dāng)時(shí)開展這個(gè)項(xiàng)目一個(gè)整體工作計(jì)劃一個(gè)示意圖是完全符合我講到開展404項(xiàng)目整體的方法論。實(shí)際上開展這個(gè)項(xiàng)目主要做兩個(gè)層面工作，一個(gè)是IT風(fēng)險(xiǎn)評(píng)估，一個(gè)是缺陷評(píng)估分析。IT層面評(píng)估分兩個(gè)層面，一個(gè)是一般控制層面，一個(gè)是應(yīng)用控制層面。至于為什么公司層面沒有單獨(dú)列里面，我們考慮公司層面問題一般是比較高層的問題，和整個(gè)404項(xiàng)目層面是合并在一起工作，沒有單獨(dú)對(duì)這個(gè)項(xiàng)目來開展，其中一些和IT相關(guān)比較密切工作也分在密切工作中開展。

我們?cè)陂_展404條款對(duì)內(nèi)部控制的要求分為5個(gè)階段，我們主要都做了哪些工作。第一階段是項(xiàng)目啟動(dòng)和評(píng)估，成立項(xiàng)目組聘請(qǐng)顧問，制定項(xiàng)目章程，對(duì)總部和分公司進(jìn)行初步評(píng)估，了解了從風(fēng)險(xiǎn)管理角度初步對(duì)信息系統(tǒng)現(xiàn)狀進(jìn)行分析，根據(jù)現(xiàn)狀分析制定標(biāo)準(zhǔn)制度和流程，完善IT整個(gè)架構(gòu)。這個(gè)階段對(duì)于他的重點(diǎn)在于是一個(gè)評(píng)估一個(gè)是制定標(biāo)準(zhǔn)。為什么這么說呢，當(dāng)時(shí)在中國(guó)鋁業(yè)開展這個(gè)項(xiàng)目面對(duì)挑戰(zhàn)就是，從IT里面管理流程說，并是一個(gè)完全實(shí)現(xiàn)流程管理部門，信息化基礎(chǔ)相對(duì)薄弱，內(nèi)控意識(shí)也不是很強(qiáng)。在這種情況下想建立內(nèi)控，第一要做的事情要建立一個(gè)內(nèi)控體系，在中國(guó)來說，要建立一個(gè)所謂體系或者框架，往往比較容易是要建立一套制度。在這一階段我們通過大量工作，制定了21個(gè)與信息化相關(guān)的標(biāo)準(zhǔn)制度，從物理基礎(chǔ)上做好了開展下一步工作這樣一個(gè)準(zhǔn)備。第二階段進(jìn)行一般制度認(rèn)證完善推廣和培訓(xùn)工作，我們對(duì)于制定制度選擇一些試點(diǎn)，收集反饋意見，根據(jù)反饋意見修訂之后在公司內(nèi)推廣相應(yīng)制度流程標(biāo)準(zhǔn)，讓大家試運(yùn)行，讓大家進(jìn)行一個(gè)熱身。第三階段是進(jìn)行控制措施和缺陷整改工作，我們制定了嚴(yán)格詳細(xì)各項(xiàng)控制要求文檔，但是第一次開展工作企業(yè)當(dāng)中，說東話西，大部分東西都流于形式，原因是在中國(guó)企業(yè)缺少這種執(zhí)行文化和流行問題，與前幾個(gè)月對(duì)于執(zhí)行制度的檢查，會(huì)發(fā)現(xiàn)大量問題，各個(gè)控制點(diǎn)的問題，合理相應(yīng)整改措施進(jìn)行整改。在整改以后做第四階段工作，同樣進(jìn)行測(cè)試?yán)^續(xù)整改是我們常用概念，提出比較GCC這樣一個(gè)循環(huán)。這樣一個(gè)循環(huán)一直到年底，形成年底測(cè)試工作。從SOX審計(jì)要求講，是可以出現(xiàn)缺陷和問題的，只要及時(shí)整改是沒有問題的，在年底最后一次的年底測(cè)試中，它出現(xiàn)的問題不能再回避，必須承認(rèn)進(jìn)行相應(yīng)風(fēng)險(xiǎn)的評(píng)估看它的嚴(yán)重性。

同樣在IT應(yīng)用控制層面，也開展了類似的工作，只不過針對(duì)控制點(diǎn)有一些差距。我們接下來講年終測(cè)試以后我們進(jìn)行一個(gè)重要的工作就是內(nèi)部缺陷分析，年底要出一個(gè)內(nèi)部評(píng)估報(bào)告，不是把你測(cè)試發(fā)現(xiàn)問題列在上面，你在分析影響程度，每一個(gè)問題不管是直接還是間接必須分析清楚，定義它是一個(gè)嚴(yán)重問題，重大問題，一般缺陷，如果出現(xiàn)幾個(gè)重大或者一個(gè)實(shí)質(zhì)性漏洞基本可以導(dǎo)致你404無法通過。所以我們?cè)?6年底完成年終測(cè)試以后。

從我們分析發(fā)現(xiàn)的缺陷進(jìn)行分析情況下，我們分享我們經(jīng)常遇到的問題，一發(fā)現(xiàn)缺陷是由于基礎(chǔ)設(shè)施方面，主要原因是因?yàn)榍捌谙嚓P(guān)技術(shù)流程執(zhí)行得不夠徹底、不夠完善造成的，IT用戶歐層面我們測(cè)試四個(gè)方面的主要問題，系統(tǒng)配置，關(guān)鍵報(bào)表，權(quán)責(zé)分離和關(guān)鍵事物代碼。ITAC方面大家可能發(fā)現(xiàn)最多集中在關(guān)鍵事物代碼，往往你是你信息化水平越高，用的系統(tǒng)越先進(jìn)，集成這兩快問題就越嚴(yán)重，你看重的是非常初級(jí)的信息化，或者你信息項(xiàng)目是沒有集成這兩塊問題很少。我們當(dāng)時(shí)有6000個(gè)帳號(hào)，其中有1500帳號(hào)都出現(xiàn)相關(guān)問題，這個(gè)也是比較好理解，上弦沒有充分考慮到《薩班斯法案》內(nèi)控相關(guān)要求體現(xiàn)在SAT項(xiàng)目當(dāng)中。我們付出大量分析勞動(dòng)，在權(quán)責(zé)分離，業(yè)界常見接觸上我們通過分析有39對(duì)權(quán)限都是出現(xiàn)一個(gè)人身上。

第三就是基準(zhǔn)方案，我們同時(shí)做兩件事情，基于我們開展SAT上線是咨詢公司或者做外部審計(jì)、內(nèi)部審計(jì)都是知名公司，沒有一個(gè)公司是兩個(gè)同時(shí)進(jìn)行的，最終還能順利通過404是非常困難。為了保證每項(xiàng)工作都有好的結(jié)果，第一SAT可以可靠上線，第二上線也完全符合404要求，所以我們公司管理層確定一個(gè)制定要有一個(gè)基本方案，對(duì)于系統(tǒng)配置，報(bào)表，數(shù)據(jù)維護(hù)等等方面，劃定一個(gè)日期，在此之前SAT上線的項(xiàng)目，所有工作可以按照它的項(xiàng)目規(guī)劃，業(yè)務(wù)需求去做，我們劃定是2006年9月1日，所有的配置，控制要經(jīng)過全面嚴(yán)格測(cè)試，確保這一點(diǎn)在這個(gè)時(shí)間所有SAT相關(guān)配置都是符合相關(guān)要求，之后所有相關(guān)工作變動(dòng)必須經(jīng)過404相關(guān)標(biāo)準(zhǔn)進(jìn)行審核，確保是符合要求，這是我們做具體方案一個(gè)初衷，結(jié)果非常圓滿完成了審核要求。

下面我們講一下通過實(shí)施這樣一個(gè)GCC項(xiàng)目的效果首當(dāng)其沖實(shí)現(xiàn)目標(biāo)就是通過404審計(jì)，在美國(guó)上市公司，把風(fēng)險(xiǎn)做這樣一個(gè)法律強(qiáng)制要求，相關(guān)工作不一定能夠得到高層領(lǐng)導(dǎo)的這么大的支持，雖然我們要我們建立一個(gè)高效運(yùn)行IT體系，如果只靠這個(gè)目標(biāo)，而沒有通過404可以說我們這個(gè)項(xiàng)目是完全失敗的。

下面是對(duì)于我們作為信息化工作非常關(guān)注的一點(diǎn)，就是非常好的效果，我們制定了一套非常好標(biāo)準(zhǔn)制度和流程，并且在各個(gè)公司推廣，通過流程推廣基本建立一套體系規(guī)范信息系統(tǒng)管理，因?yàn)镃OSO我在國(guó)外財(cái)政部網(wǎng)站看到了，他們要推遲到大陸應(yīng)用的時(shí)間，但是我們作為一個(gè)國(guó)家主要大型企業(yè)，已經(jīng)在2006年按照北京市要求，在2008年開展中國(guó)版《薩班斯法案》工作，已經(jīng)出具符合中國(guó)四部委辦法的基本規(guī)范，要求內(nèi)部控制評(píng)估報(bào)告，在開展這項(xiàng)工作過程中我們感覺到及時(shí)，無論我們說的COSO還是美國(guó)的《薩班斯法案》等等，只要你有一套可靠?jī)?nèi)部控制體系，并不是太需要關(guān)注你通過是什么樣的法案，去年我們通過中國(guó)的《薩班斯法案》，我們可以看到說我們沒有做任何附加工作。

第三制定了總部和分子公司信息部組織架構(gòu)和崗位設(shè)置參考模型，還有一個(gè)我們基本方案講到相關(guān)從另外一個(gè)層面驗(yàn)證我們使用ERP安全性，可靠性，相關(guān)部門可以接受IT部門的風(fēng)險(xiǎn)評(píng)估。通過資質(zhì)建立我們有建立了一套可靠的流程和相關(guān)工作。

404審計(jì)并不是一個(gè)一勞永逸的工作，是每年要進(jìn)行的相關(guān)工作，從我自己分析看這兩年工作還是要開展相關(guān)工作，我認(rèn)為是大家需要注意的。第一是及時(shí)調(diào)整項(xiàng)目問題，從SOX要求不是對(duì)你所有企業(yè)所有業(yè)務(wù)進(jìn)行評(píng)估有一個(gè)重要標(biāo)準(zhǔn)你銷售收入高出5%以上，在中國(guó)高速發(fā)展階段，企業(yè)主要業(yè)務(wù)變化每一年都比較大的變化，一定要提前關(guān)注并有預(yù)見性，在明年哪些企業(yè)、流程、業(yè)務(wù)可能會(huì)跳出SOX的范圍。同時(shí)，根據(jù)上一年分析結(jié)果改進(jìn)原來缺陷，按照以往的技術(shù)嚴(yán)格的執(zhí)行。

還要風(fēng)險(xiǎn)管理工作因?yàn)榈谝荒晖ㄟ^SOX法案，比我們企業(yè)來說我們現(xiàn)在總部大概花費(fèi)很多錢，如果每年搞運(yùn)營(yíng)形式，我們總部付出工作量，包括我們分公司下面工作量，把一定要將風(fēng)險(xiǎn)控制、內(nèi)部控制工作常規(guī)化。

最后我想跟大家分享一下，我們開展這項(xiàng)工作以后得到的經(jīng)驗(yàn)或者是教訓(xùn)，希望大家要做或者即將要做這項(xiàng)工作的比較關(guān)注的事情，首先就是大家預(yù)示到開展相關(guān)工作的重要性，困難想對(duì)超出大多數(shù)人做這項(xiàng)工作的想象，一定要有足夠資源保障，一要找好優(yōu)秀外部力量幫助。第二點(diǎn)我覺得還需要關(guān)注項(xiàng)目進(jìn)行準(zhǔn)確的界定，什么流程，什么業(yè)務(wù)需要進(jìn)行評(píng)估，它和你財(cái)務(wù)報(bào)表重要程度緊密相關(guān)的，如果你這個(gè)做不好，你做半年，10月、11月份測(cè)試的時(shí)候，突然告訴你現(xiàn)在的關(guān)聯(lián)度沒有達(dá)到，你從來沒有關(guān)注流程，沒有處理最后統(tǒng)計(jì)局發(fā)現(xiàn)有漏洞，這個(gè)時(shí)候你根本沒有辦法挽回，到了年底你才發(fā)現(xiàn)有錯(cuò)誤，這個(gè)時(shí)候就是很危險(xiǎn)。

開展相關(guān)工作在有審計(jì)師一些工作也會(huì)發(fā)生一些變化，實(shí)際要跟外界及時(shí)溝通。信息系統(tǒng)是也許由信息部管，但是從控制關(guān)注角度講，信息系統(tǒng)主要是業(yè)務(wù)部門使用，它的控制點(diǎn)主要在業(yè)務(wù)部門，如果業(yè)務(wù)部門不充分理解相關(guān)重要性、相關(guān)知識(shí)，那么信息部門根本無法做好這項(xiàng)工作。

最后不得不提醒大家一點(diǎn)，如果大家使用大型ERP系統(tǒng)，全線管理和系統(tǒng)變更管理會(huì)經(jīng)常出現(xiàn)很多問題，大家一定要有心理準(zhǔn)備。另外剛才我要講第一年你可以完成依靠顧問，第二年會(huì)請(qǐng)一些顧問，但是每一年都靠外部力量完成，最后一定要實(shí)現(xiàn)常規(guī)化，我們?cè)?008年開了外部工作，全部工作全部由內(nèi)部員工完成。

因?yàn)闀r(shí)間有限，可能有一些問題希望大家諒解。

主持人：下面讓我為大家請(qǐng)出一位企業(yè)內(nèi)控方面的專家，國(guó)際信息系統(tǒng)審計(jì)師協(xié)會(huì)北京事務(wù)委員會(huì)主席何迪生先生。

何迪生：各位領(lǐng)導(dǎo)、各位嘉賓，大家下午好。楊總剛才基本上把我想講的講完了，他是非常有經(jīng)驗(yàn)的內(nèi)控方面的專家，今天過來是非常有價(jià)值的，看到他的演講在內(nèi)控方面有很大的突破。

介紹一下我自己，很多的朋友說我最必然的身份，有其他的不是很清楚。今天的大會(huì)是中國(guó)信息化推進(jìn)聯(lián)盟都是中國(guó)很有影響力的協(xié)會(huì)，所以，對(duì)于上面的ISACA，很多人可能不是太清楚。我把自己的一些體驗(yàn)跟大家分享一下，ISACA審計(jì)協(xié)會(huì)是什么樣的協(xié)會(huì)。

我們協(xié)會(huì)是國(guó)際的協(xié)會(huì)，1996年開始成立的。我們現(xiàn)在遍布140多個(gè)國(guó)家，人數(shù)達(dá)47000多員，我們的畢馬威、德勤審計(jì)師大部分是我們的成員，還有很多的CIO都是我們的成員。所以，我們的網(wǎng)址是004km.cn，大家可以看一下，中國(guó)的網(wǎng)址是我們?cè)诜窒砗芏嗟膬?nèi)容。

ISACA是一個(gè)被公認(rèn)為對(duì)資訊系統(tǒng)管理、控制、安全及審計(jì)扮演領(lǐng)導(dǎo)角色的國(guó)際性組織。我們提供全面的會(huì)員服務(wù)，我們監(jiān)管全球性受尊敬的國(guó)際公認(rèn)資訊審計(jì)師CISA及國(guó)際公認(rèn)資訊保安經(jīng)理CISM等認(rèn)證。

今天我跟大家分享的是什么？我想剛才我說了今天講了很多的東西，我大概從SOX的概念，楊總講的我不講了。還有講講什么是IT治理，還有是COBIT，我分享一下它的框架是什么，最后我講講我們的看法以及中國(guó)的SOX面臨的挑戰(zhàn)。

《薩班斯法案》，大家知道薩班斯的名字是怎么來的。是2002年美國(guó)的丑聞“安然事件”，如安然和世通事件，如果我們不想起的話對(duì)于普通的投資者所共鳴，所以有兩個(gè)比較有名的人，一個(gè)是三薩班斯，還有一個(gè)是Oxley是他的朋友和專家，他們一起來做的方案。2002年7月份美國(guó)總統(tǒng)布什簽署了法律，所以《薩班斯法案》一共有11章。第一章是針對(duì)匯集會(huì)計(jì)及公司行為的監(jiān)管，包括CEO之間的管理，在安然審計(jì)事件里面他們有很多的東西，所以，當(dāng)薩班斯方案出來之后，很多的CIO、CEO不敢做事情，因?yàn)榕掠羞@樣的事情存在。

在404條款里面剛才講了很多了，我不講很細(xì)的東西了。條款里面有用我們自己的IT方案去服務(wù)于我們IT平臺(tái)的管理。剛才講了一點(diǎn)是我們的SOX方案，要真正幫我們的IT治理進(jìn)一步做得更好，沒有立法行為的話，很多公司的CEO他們不會(huì)花太多的精力、太多的金錢太多的時(shí)間去把IT治理做好。系統(tǒng)2003年之后，我們看IT治理IT方面做得越來越好。所以，很多事情要進(jìn)一步推動(dòng)的話，要積極的話，一點(diǎn)難度都沒有了。

除了進(jìn)一步的推動(dòng)之外，我們?yōu)槭裁匆狪T治理呢？從普華永道右邊的三種計(jì)量看出來，很多人認(rèn)為我們的IT事件跟數(shù)據(jù)是有關(guān)的，全球是16%，我們的比例是44%。其中對(duì)安全事件管理的方面，我們的比重已經(jīng)不錯(cuò)了，因?yàn)槿蚍秶鷥?nèi)比例是51%，而中國(guó)也是44%。平均去看一個(gè)安全事件的損失大概是100萬，這些數(shù)據(jù)告訴我們IT治理是很重要的。IT對(duì)于企業(yè)不可能沒有IT，還有進(jìn)一步的管理，不同部門等都有IT。今天IT不止是一個(gè)網(wǎng)絡(luò)，它對(duì)企業(yè)有戰(zhàn)略性的意義。但是，我覺得在中國(guó)IT好象還沒有得到應(yīng)有的重視，但是如果不久的將來IT對(duì)企業(yè)來講應(yīng)該有很大的貢獻(xiàn)。我們對(duì)安全做得很好，對(duì)建設(shè)做得很好，所以為什么有IT治理。

IT治理來講具體到企業(yè)的財(cái)務(wù)部、業(yè)務(wù)、還有IT部門。從IT來講舉個(gè)例子是從安全的角度，我們的仿冒的網(wǎng)站很多，像ebay等電子商務(wù)公司。還有木馬病毒活動(dòng)猖獗，還有帳戶的盜用，所以，我們企業(yè)管理內(nèi)控很重要。

下面我們講講COBIT，它的英文我們不講了，只講COBIT，這是一個(gè)習(xí)慣。COBIT也是不斷進(jìn)化的框架，我們從1996年開始，我們對(duì)COBIT都開始在ISACA里面控制了。今天來講有不同的版本，因?yàn)槲覀兊纳鐣?huì)、經(jīng)濟(jì)每天都在發(fā)生變化，所以，我們也有變化。就是把COBIT一步一步地進(jìn)化去，以至于在今天也能使用。像主要的目的和方向是研究、發(fā)展、宣傳權(quán)威的、最新的國(guó)際化工人信息技術(shù)控制目標(biāo)以至于我們的人員使用，可以慢慢建立起來。所以，COBIT里面有34個(gè)IT的流程、四個(gè)領(lǐng)域。PO是繼續(xù)與組織、獲取與實(shí)施、交付與支持、監(jiān)控與評(píng)估。

這個(gè)是COBIT的框架里面可以看到，第一用一個(gè)商業(yè)的目標(biāo)，我們的企業(yè)做生意把商業(yè)達(dá)成，我們的IT是幫他達(dá)成這樣目標(biāo)的工具。所以，信息是IT里面最重要的一個(gè)重點(diǎn)，所以這是給商業(yè)的應(yīng)用把商業(yè)的目標(biāo)達(dá)成。后面是IT資源，我們講了ICP、Oracle等等。還有平臺(tái)業(yè)務(wù)的發(fā)展。所以，如果我們把IT資源深化，我們有很多的方案，像很多都用了IT運(yùn)維管理的系統(tǒng)。從COBIT來看，PO、AI、ME、DS里面有不同的框架，我們里面PO有10個(gè)、AI有17個(gè)、ME有4個(gè)，DS有13個(gè)。所以，我們這些基于應(yīng)用去達(dá)到我們的效果，我們把IT治理變成有效率、有效果，可靠性、有效性、保密性、可用性、完整性，這樣我們的IT治理便維護(hù)起來。

今天有很多種問題，COSO和COBIT怎么分開，這有很好的內(nèi)控框架，但是從我們的角度去看，COSO是看事情，COBIT來講是IT的兩塊，一個(gè)是集成的架構(gòu)，一個(gè)是財(cái)會(huì)應(yīng)用，這通常是我們參考的意義，但是就一個(gè)行不行？也行。

從《薩班斯法案》404條款里面，COBIT的關(guān)系剛才也講了很多，COBIT就是我們404里面最主要的部分，是幫我們把條款的要求一步一步達(dá)成。剛才楊總也講了，他看過一些運(yùn)維的問題，運(yùn)維的經(jīng)驗(yàn)跟大家分享，這里面重要的重點(diǎn)跟大家分享了我就不多講了。

我跟大家講一下今天C-SOX面臨的挑戰(zhàn)，我們看有什么東西。我們看到的挑戰(zhàn)可能今天中國(guó)有很多的框架流程、標(biāo)準(zhǔn)，但是我們很多的中國(guó)同胞可能不是太了解，這是第一點(diǎn)。今天很多領(lǐng)導(dǎo)都把我們的力量拿出來，跟大家分享一下怎么樣把這個(gè)做得更好。

第一個(gè)是中國(guó)本土相關(guān)的服務(wù)，我們是國(guó)外的企業(yè)過來幫助我們服務(wù)，但是本地化的中國(guó)服務(wù)不多，我們也希望跟中國(guó)本土的交流，把香港的力量，本地的服務(wù)團(tuán)隊(duì)精英人才、專業(yè)人才給慢慢培養(yǎng)起來。

今天我覺得很多審計(jì)人員對(duì)IT的審計(jì)不是太熟，我們跟很多朋友聊起這樣的問題，我們應(yīng)該怎么樣一步一步地解決問題。我覺得最重要的是第四點(diǎn)，沒有規(guī)定具體處罰的內(nèi)容，很可能造成有法不依、違法不究、執(zhí)法不嚴(yán)的情況。如果發(fā)生了事件，他們可能坐牢坐20年，每個(gè)CEO、CFO他們一定把他們的能力、精力，盡量把事情做好，今天中國(guó)現(xiàn)在沒有法律說沒有專門做的話，也不重要。我們內(nèi)部是剛剛開始，我們可以在未來的幾年大家一起努力，把這一塊做好，將來一定會(huì)變成法律，讓我們的上市公司投資界獲得利益。

我覺得很重要的一點(diǎn)，企業(yè)很多大的財(cái)務(wù)部、審計(jì)部跟我們的IT部的整合是一個(gè)很大的挑戰(zhàn)?；旧犀F(xiàn)在沒有太多的溝通，但是我們?nèi)绻幸粋€(gè)很好的內(nèi)控團(tuán)隊(duì)在公司里面的話，就可以把他們聯(lián)在一起，把我們應(yīng)該干的事情干好。剛剛開始的時(shí)候不容易，假如我們會(huì)找四大和有經(jīng)驗(yàn)的朋友幫忙，把剛剛開始的COBIT等事情做好，以后我們會(huì)有更好的團(tuán)隊(duì)去發(fā)展，把文化發(fā)展成為一個(gè)很好的運(yùn)維的習(xí)慣。我們的IT治理不止是C-SOX還是SOX都會(huì)慢慢做好。

再總結(jié)一下，今天來講我覺得IT是業(yè)務(wù)的組成部分很重要，沒有IT什么也做不了。IT治理是公司治理的組成部分，公司的企業(yè)治理永遠(yuǎn)是很重要的一塊。IT重要還是IT治理重要，處理不好的話很多事情處理不好。影響了我們業(yè)務(wù)的發(fā)展、公司的企業(yè)文化，還有對(duì)投資者一些不好的影響。所以，今天我們的IT治理剛剛開始，要在內(nèi)控方面大力推出去，我們有這方面的專家和領(lǐng)導(dǎo)，我覺得可以一起去看怎么樣把它做得更好，把它發(fā)揚(yáng)光大，以至于我們的企業(yè)做得更成功。

謝謝。

主持人：非常感謝何迪生主席白忙之中帶來這么精彩的演講，下面有請(qǐng)摩卡軟件高級(jí)售前顧問周立民為了我們帶來精彩的演講。

周立民：大家好，下面頁(yè)我們各位領(lǐng)導(dǎo)，分享一下我們摩卡軟件針對(duì)企業(yè)整體的解決方案。開始的時(shí)候，介紹一下我們公司摩卡軟件的實(shí)際情況，這個(gè)平臺(tái)大家多少有一些陌生，但是實(shí)際上我們公司已經(jīng)有十多年這樣一個(gè)產(chǎn)品研發(fā)過程，我們?cè)趤喬珔^(qū)有兩大產(chǎn)品線，我們公司有員工600多名，研發(fā)團(tuán)隊(duì)占了一半以上，目前公司最大股東英國(guó)電信。整個(gè)公司業(yè)務(wù)的分布遍布了國(guó)內(nèi)大中型城市，產(chǎn)品的客戶群主要還是定位于通信行業(yè)，中國(guó)移動(dòng)全國(guó)30多家省公司一半以上都是我們的客戶。包括現(xiàn)有金融、制造業(yè)等等。此外，在國(guó)際上一些東南亞，也有一些相關(guān)項(xiàng)目在做。

下面我們回顧一下從IT運(yùn)維管理發(fā)展一個(gè)歷程，目前來說企業(yè)整個(gè)隨著IT環(huán)境越來越復(fù)雜，每年投入整個(gè)IT運(yùn)維的資金、人力也越來越大。但是現(xiàn)在還是有一些問題，比如說出現(xiàn)一些問題，出現(xiàn)一些故障之后，有專門的網(wǎng)絡(luò)運(yùn)維人員，有一些應(yīng)用系統(tǒng)的維護(hù)人員也覺得有許多問題，實(shí)際上整個(gè)業(yè)務(wù)系統(tǒng)已經(jīng)出現(xiàn)了性能的瓶頸。從運(yùn)維來講有監(jiān)督的系統(tǒng)，但是還是沒有辦法正常的串聯(lián)起來。

還有從傳統(tǒng)監(jiān)控運(yùn)維管理監(jiān)控軟件還有一個(gè)問題，出現(xiàn)系統(tǒng)故障是采用快速告警，在這個(gè)告警接到以后，我們運(yùn)維人員需要做什么，基本上傳統(tǒng)軟件來說，就終止了。真正一些我們公司的一些運(yùn)維產(chǎn)品是從告警開始，包括告警以后一系列故障跟蹤堵截等等，這是我們傳統(tǒng)運(yùn)維軟件所出現(xiàn)的問題。這個(gè)是我們傳統(tǒng)的一些運(yùn)維軟件，實(shí)際上和信息缺乏全方位運(yùn)維都串聯(lián)起來形成一個(gè)有機(jī)整體。

下面我們看一下針對(duì)整個(gè)IT運(yùn)維提出叫全方位的運(yùn)維解方案，摩卡軟件整個(gè)軟件產(chǎn)品定位叫三位一體，首先底層是一個(gè)傳統(tǒng)網(wǎng)管軟件，提供一些基礎(chǔ)的數(shù)據(jù)支持，來為高層運(yùn)維提供數(shù)據(jù)來源，通過傳統(tǒng)監(jiān)控，引用故障報(bào)警出發(fā)，實(shí)現(xiàn)整個(gè)故障的跟蹤，包括對(duì)方一個(gè)解決。第三層民是IT服務(wù)管理，是通過一個(gè)流程框架給企業(yè)帶來一個(gè)全范圍標(biāo)準(zhǔn)流程化的運(yùn)維工作平臺(tái)。

我們提出4+1的解決方案，提出一個(gè)基礎(chǔ)架構(gòu)管理，包括應(yīng)用平臺(tái)的監(jiān)控管理，包括從指標(biāo)到業(yè)務(wù)，通過一些業(yè)務(wù)系統(tǒng)的響應(yīng)時(shí)間情況，包括業(yè)務(wù)服務(wù)的一些站在業(yè)務(wù)的視角審視一些IT的資源管理，這是一個(gè)業(yè)務(wù)初步管理，從監(jiān)控到流程，從監(jiān)控引入相關(guān)流程平臺(tái)，實(shí)現(xiàn)IT運(yùn)維從技術(shù)到管理的過程。最終實(shí)現(xiàn)全方位自動(dòng)化的全方位運(yùn)維。

我們看一個(gè)我們整體提出的4+的優(yōu)勢(shì)，第一個(gè)，全方位系統(tǒng)監(jiān)控，相關(guān)的情況存儲(chǔ)情況。為了滿足國(guó)內(nèi)用戶使用喜歡，我們整個(gè)產(chǎn)品設(shè)計(jì)理念就是一個(gè)簡(jiǎn)單易用的系統(tǒng)，提出簡(jiǎn)單的可視化，簡(jiǎn)單的一些策略管理等等一些方面。為了滿足不同用戶需求我們提供多種產(chǎn)品模塊，包括業(yè)務(wù)提供服務(wù)管理，資產(chǎn)生命周期的管理等等。重點(diǎn)是通過一些展現(xiàn)的方式，我們提供了叫做多種展現(xiàn)方式，從傳統(tǒng)瀏覽器的方式，到手機(jī)接入方式等等。此外，這樣一個(gè)展現(xiàn)方式是一般單一入口，可以我們企業(yè)可以管理層面不同決策人員提供不同展現(xiàn)內(nèi)容，因?yàn)椴煌瑳Q策人員關(guān)注內(nèi)容是不一樣，高層是關(guān)注一些報(bào)表等等，中層是關(guān)注一些情況，業(yè)務(wù)人員是關(guān)注一些數(shù)據(jù)。滿足這種需求，我們提供不同決策提供不同內(nèi)容。通過引入相關(guān)框架提供相關(guān)服務(wù)臺(tái)，通過ITIL等等。

下面我們仔細(xì)看一下全方位的資源管理，首先是全方位的網(wǎng)絡(luò)設(shè)計(jì)監(jiān)控，可以支持市場(chǎng)常見品牌相關(guān)的類型，底層是通過資源管理的支持，進(jìn)行快速開發(fā)，多種操作系統(tǒng)支持，基本上目前IT環(huán)境包含系統(tǒng)都可以支持。各種應(yīng)用平臺(tái)，從服務(wù)器、數(shù)據(jù)庫(kù)，包括一種大型企業(yè)級(jí)的數(shù)據(jù)庫(kù)，各種管理服務(wù)器等等，應(yīng)用平臺(tái)可以實(shí)現(xiàn)這種監(jiān)控，監(jiān)控方式包括前面的主機(jī)，我們提供兩種，一種是代理，一種是非代理，方式可以任意選擇。完善資源監(jiān)控還有機(jī)房環(huán)境的監(jiān)控，數(shù)據(jù)的呈現(xiàn)是與相關(guān)網(wǎng)絡(luò)拓?fù)溥M(jìn)行關(guān)聯(lián)，為用戶提供一種整體化，從整體到具體轉(zhuǎn)變的過程。首先可以看到這是一個(gè)全國(guó)性一個(gè)骨干網(wǎng)線路圖，我們可以看到全國(guó)每個(gè)縣的網(wǎng)絡(luò)狀態(tài)，每個(gè)機(jī)房里面的情況，重點(diǎn)關(guān)注一個(gè)機(jī)房可以點(diǎn)擊具體城市里面一個(gè)機(jī)房，機(jī)房是哪個(gè)地區(qū)機(jī)房有問題的話，可以點(diǎn)擊機(jī)房進(jìn)入這個(gè)機(jī)房界面，可以看到機(jī)柜情況、溫濕度環(huán)境等等。想看一個(gè)具體機(jī)柜，機(jī)架上面服務(wù)器和網(wǎng)絡(luò)設(shè)備狀態(tài)，目的在于我們提供從宏觀到具體的全方位展現(xiàn)，而且是將網(wǎng)絡(luò)監(jiān)控和機(jī)房監(jiān)控做了一個(gè)統(tǒng)一。

下面看到是一些數(shù)據(jù)和監(jiān)控，包括一些視頻監(jiān)控的聯(lián)動(dòng)等等。我們前面說到的是一些底層IT資源全范圍的管理，我們?cè)谶@個(gè)基礎(chǔ)上有一個(gè)相關(guān)聯(lián)的配置變更管理，這是變更是管理的，這很難注意到，這種變更可帶來很大影響。通過對(duì)我們所有包括網(wǎng)絡(luò)、主機(jī)應(yīng)用等等配置的變更管理可以實(shí)現(xiàn)一些快速的監(jiān)控，比如說發(fā)現(xiàn)一些配置出現(xiàn)變化的時(shí)候可以產(chǎn)生一些快速告知等等。這些企業(yè)網(wǎng)絡(luò)環(huán)境很多配置管理變更，很多管理人員是通過手工來實(shí)現(xiàn)，我們通過一種摩卡IAM管理，可以自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)配置，實(shí)現(xiàn)一個(gè)備份，通過自動(dòng)備份，可以發(fā)生了一些變化，可以自動(dòng)對(duì)比出來與以前哪個(gè)腳本發(fā)生了變化，這是一個(gè)我們解決方案里面一個(gè)模塊，叫摩卡變更管理。

為了滿足用戶的習(xí)慣，我們整個(gè)界面設(shè)計(jì)盡量從簡(jiǎn)單易用著手，下面是一些截面截圖，包括一些主機(jī)，數(shù)據(jù)庫(kù)監(jiān)控的一個(gè)展現(xiàn)是通過動(dòng)態(tài)一個(gè)展現(xiàn)，這樣比較直觀易懂。

我們前面說到如何去實(shí)現(xiàn)一個(gè)全范圍的IT運(yùn)維管理，一個(gè)企業(yè)原來有相關(guān)網(wǎng)絡(luò)管理、業(yè)務(wù)管理，如何串聯(lián)起來我們通過業(yè)務(wù)服務(wù)管理，把所有IT管理和業(yè)務(wù)進(jìn)行一個(gè)相關(guān)關(guān)聯(lián)，投入業(yè)務(wù)相關(guān)業(yè)務(wù)組件關(guān)聯(lián)，某一個(gè)IT組件出現(xiàn)問題會(huì)對(duì)業(yè)務(wù)出現(xiàn)相關(guān)影響，從運(yùn)維角度可以快速定位這個(gè)問題，下面看到是一個(gè)業(yè)務(wù)服務(wù)監(jiān)控的展現(xiàn)。當(dāng)我們的業(yè)務(wù)出現(xiàn)問題的時(shí)候，整個(gè)業(yè)務(wù)會(huì)推動(dòng)一些狀態(tài)實(shí)時(shí)的查詢，進(jìn)而通過業(yè)務(wù)服務(wù)對(duì)IT部門，其他部門的影響幫助管理員去判斷。

現(xiàn)在我們的網(wǎng)絡(luò)，帶寬確實(shí)是越來越高，但是也面臨了一個(gè)問題，帶寬濫用問題，我們針對(duì)這種情況提供一個(gè)解決方案，網(wǎng)絡(luò)流量的分析。首先是可以解決判斷出來網(wǎng)絡(luò)網(wǎng)絡(luò)當(dāng)中哪些用戶造成大量帶寬占用，是那種協(xié)議有這樣一個(gè)大量帶寬占用，什么時(shí)間是大量帶寬的占用。國(guó)際上網(wǎng)絡(luò)廠商有相關(guān)的代碼協(xié)議，比如說思科，華為等等，我們能實(shí)現(xiàn)對(duì)所有協(xié)議的支持。從整個(gè)協(xié)議的分析來看，目前國(guó)際上有一些協(xié)議，從支持角度大多數(shù)同類型產(chǎn)品都可以支持，我們重點(diǎn)在于對(duì)一些像華為的設(shè)備，我們也能夠?qū)崿F(xiàn)這樣一些支持。

隨著企業(yè)的IT管理發(fā)展，整個(gè)IT資產(chǎn)管理逐步產(chǎn)生一些問題，因?yàn)楹?jiǎn)單通過手動(dòng)工作方式工作量越來越大，我們提供了一種摩卡ITAM，是IT資產(chǎn)管理，通過資產(chǎn)設(shè)備周期到設(shè)備到戶是一個(gè)全生命周期的跟蹤。前面說到一些業(yè)務(wù)監(jiān)控，可能重點(diǎn)關(guān)注終端用戶體驗(yàn)，我們這個(gè)系統(tǒng)快不快，我們?yōu)檫@種具體提供一種叫做摩卡ITAM，首先通過一些用戶訪問過程，包括一些查詢等等，把一個(gè)用戶訪問過程錄下來，整個(gè)監(jiān)控結(jié)果可以看到具體是哪個(gè)步驟，從而一個(gè)性能問題，哪個(gè)步驟比較慢，而且是由于那個(gè)具體環(huán)節(jié)引起的，這是摩卡ITAM前面經(jīng)介紹是一個(gè)全方位資源管理。

下面我們看一個(gè)全方位接入塊，首先我們是統(tǒng)一認(rèn)證，這樣用戶只需要登陸一次，錯(cuò)此外通過統(tǒng)一認(rèn)證可以集成用戶享有的一些資源，所有這些內(nèi)容可以在一個(gè)操作當(dāng)中展現(xiàn)，可以看到無論是監(jiān)控信息，報(bào)表第三方系統(tǒng)都可以這個(gè)里面展示，除了傳統(tǒng)意瀏覽器展示。這是整個(gè)接入方式截面一個(gè)截圖，可以查詢當(dāng)前狀態(tài)，包括當(dāng)前資源狀態(tài)等等，解方式我們提供兩種，一個(gè)是傳統(tǒng)WAP方式，還有就是J2ME方式。第三方面一個(gè)全方位流程ITIL的管理，ITIL這個(gè)概念已經(jīng)很多年了，在一個(gè)具體項(xiàng)目實(shí)施過程當(dāng)中，還是需要一些支撐，因此我們產(chǎn)品提供了一套方法論，整個(gè)方法論是基于我們公司多種運(yùn)維管理的經(jīng)驗(yàn)。我們摩卡運(yùn)維管理底層平臺(tái)是一個(gè)業(yè)務(wù)管理平臺(tái)，是我們公司業(yè)務(wù)流程管理平臺(tái)。通過一些數(shù)據(jù)表單和相關(guān)的工具，來幫助用戶進(jìn)行一些相關(guān)流程定制。這是我們基于IT的管理。

我們看一下我們ITIL最佳實(shí)現(xiàn)和方法論，我們圍繞四個(gè)階段，看IT的運(yùn)維管理。在這個(gè)整個(gè)系統(tǒng)當(dāng)中為整個(gè)IT部門組織架構(gòu)解決相關(guān)所有決策人員的一個(gè)定義。下面是一個(gè)全面的流程框架，首先是服務(wù)臺(tái)事故管理，主要功能就是快速相應(yīng)客戶請(qǐng)求，目的是為了盡量快速恢復(fù)故障。接下來當(dāng)時(shí)系統(tǒng)存在一些系統(tǒng)原因沒有查明的話，可以請(qǐng)求轉(zhuǎn)移到故障管理流程，可以查明故障原因，對(duì)問題進(jìn)行跟蹤和規(guī)劃。接下來是變更管理，一旦涉及到問題的一個(gè)修改會(huì)有相關(guān)一個(gè)變更管理，通過變更管理對(duì)資源進(jìn)行相關(guān)修改。最終執(zhí)行整個(gè)一個(gè)變更管理流程是通過這樣發(fā)布，這是我們整個(gè)產(chǎn)品一個(gè)四大流程框架。同時(shí)服務(wù)臺(tái)跟分級(jí)管理所有出席請(qǐng)求也好，都會(huì)生成最終制式納入到知識(shí)庫(kù)當(dāng)中，進(jìn)行今后經(jīng)驗(yàn)的一個(gè)積累。變更發(fā)布過程會(huì)最終更新到CMDB的配置項(xiàng)。為了滿足客戶不同需求，我們提供了對(duì)同一個(gè)流程提供多種版本的選擇，用戶可以根據(jù)自己的習(xí)慣，去選擇不同的版本進(jìn)行實(shí)施。下面看到就是流程設(shè)計(jì)一個(gè)截面，這個(gè)雖然我們提供一些流程，還是需要進(jìn)行相關(guān)微調(diào)進(jìn)行一些二次開發(fā)，這也得符合一些相關(guān)的框架。為了輔助相關(guān)調(diào)整進(jìn)行相關(guān)流程截面設(shè)計(jì)，這是進(jìn)行了相關(guān)的集成。

下面看到就是我們底層的一個(gè)CMDB數(shù)據(jù)庫(kù)，所有這些配制項(xiàng)目可以自動(dòng)發(fā)現(xiàn)，進(jìn)行相關(guān)的拓?fù)?。包括最終一些當(dāng)前最新了軟件庫(kù)等。CMDB提供向相關(guān)設(shè)計(jì)工具界面，用戶可以自定義維護(hù)相關(guān)數(shù)據(jù)。下面是一個(gè)界面展示的是我們是以報(bào)表統(tǒng)一為主，根據(jù)不同報(bào)表給用戶提供不同數(shù)據(jù)的統(tǒng)計(jì)，下面這些報(bào)表可以隨意拖動(dòng)到我們用戶收藏夾當(dāng)中，可以進(jìn)行快速的收藏。整個(gè)產(chǎn)品界面是比較簡(jiǎn)單易用，左、右側(cè)界面劃分，頁(yè)面上下功能調(diào)整等等。這塊是做相關(guān)一些知識(shí)管理，所有生成運(yùn)維相關(guān)知識(shí)，自動(dòng)錄入到數(shù)據(jù)庫(kù)當(dāng)中。

最后我們?cè)倩仡櫼幌抡麄€(gè)我們產(chǎn)品的整體價(jià)值所在。首先我們摩卡解決方案目的是最終為運(yùn)維服務(wù)，整個(gè)運(yùn)維是一個(gè)全方位這樣一個(gè)解決方案。所有相關(guān)這種包括運(yùn)維方面流程最佳方法論，相關(guān)我們監(jiān)控設(shè)計(jì)也好，不是一概而論的。因?yàn)槲覀児緩亩嗄陙硪呀?jīng)有十多年IT維護(hù)服務(wù)外包經(jīng)驗(yàn)，我們提供的相關(guān)知識(shí)是涵蓋我們相關(guān)運(yùn)維知識(shí)。這是我們整個(gè)產(chǎn)品套裝及其對(duì)應(yīng)，BSM是我們摩卡一個(gè)技術(shù)，IT資產(chǎn)管理對(duì)應(yīng)是IT周期管理，對(duì)于基礎(chǔ)設(shè)施管理，ITAM就是運(yùn)維管理流程。最終實(shí)現(xiàn)一個(gè)三位一體的產(chǎn)品定位。

最后介紹一下我們以前實(shí)施的項(xiàng)目。首先是中國(guó)移動(dòng)集團(tuán)總公司的項(xiàng)目，這個(gè)項(xiàng)目不是一個(gè)單獨(dú)的廠家進(jìn)行實(shí)施，而是通過多家廠商一個(gè)合力。我們?cè)谶@里面主要要說我們針對(duì)客戶單獨(dú)做了一些應(yīng)用管理和模型開發(fā)，幫助用戶實(shí)現(xiàn)一個(gè)VPN動(dòng)態(tài)系統(tǒng)監(jiān)控，此外通過系統(tǒng)集成，為用戶提供統(tǒng)一界面展現(xiàn)。然后是一個(gè)國(guó)內(nèi)制造行業(yè)的就是三一重工，這個(gè)項(xiàng)目除了一些基本功能以外，重點(diǎn)說到三一重工用到的網(wǎng)絡(luò)環(huán)境是比較復(fù)雜，網(wǎng)絡(luò)設(shè)備比較老，型號(hào)也比較老，通過我們開發(fā)最后實(shí)現(xiàn)一個(gè)快速的產(chǎn)品定制，幫忙用戶最終解決它網(wǎng)絡(luò)管理方面的一些問題。

我的介紹就到這里謝謝大家。

主持人：下面有請(qǐng)RSA，EMC信息安全事業(yè)部中國(guó)區(qū)資深技術(shù)顧問馮崇彪先生。

馮崇彪：大家下午好，我是EMC信息維護(hù)業(yè)務(wù)顧問，今天向大家報(bào)告的內(nèi)容是簡(jiǎn)化IT運(yùn)行及企業(yè)監(jiān)管合規(guī)。

在介紹簡(jiǎn)化IT運(yùn)行及企業(yè)監(jiān)管合規(guī)之前，我們給大家先介紹一下背景，實(shí)際上我們IT部門現(xiàn)在所面臨的問題是，需要審計(jì)員過來要審計(jì)我們信息的時(shí)候，是要求百分之百數(shù)據(jù)。這時(shí)候我們以前審計(jì)人員來我們IT人員會(huì)感覺非常緊張，這時(shí)候怎么樣應(yīng)付內(nèi)部來自審計(jì)，還有來自于外部審計(jì)部門的審計(jì)。這時(shí)候我們會(huì)要求我們的IT人員找相應(yīng)數(shù)據(jù)應(yīng)對(duì)是這樣一個(gè)情況。我們解決方案可以幫助我們IT部門，快速取出我們眾多工具里面6個(gè)數(shù)據(jù)給審計(jì)部門，內(nèi)控部門，包括外部審計(jì)部門。

我們可以看到其實(shí)證監(jiān)會(huì)對(duì)于我們所有上市公司，本身是有非常得高要求，去年已經(jīng)發(fā)出《關(guān)于加強(qiáng)對(duì)投資者網(wǎng)上交易安全保護(hù)的通知》。這個(gè)通知實(shí)際上要求我們所有的上市公司對(duì)于一些非法的交易行為的監(jiān)控。要求每個(gè)機(jī)構(gòu)對(duì)投資者的登陸，交易轉(zhuǎn)帳活動(dòng)進(jìn)行監(jiān)控，一旦發(fā)現(xiàn)有什么問題的話，在這上面需要進(jìn)行相應(yīng)的監(jiān)控。另外對(duì)于我們企業(yè)內(nèi)部控制基本規(guī)范，這個(gè)規(guī)范要求今年的7月1日對(duì)所有上市公司需要有這樣一個(gè)要求。內(nèi)部規(guī)范實(shí)際上是由財(cái)政部牽頭，包括證監(jiān)會(huì)，審計(jì)署還有銀監(jiān)會(huì)、保監(jiān)會(huì)，各個(gè)機(jī)構(gòu)出的指導(dǎo)意見，對(duì)于我們?cè)谧魑挥蟹浅：玫闹笇?dǎo)意義。

對(duì)于我們IT主管面臨的問題是什么，我們現(xiàn)在IT環(huán)境越來越復(fù)雜，系統(tǒng)越來越龐大，這個(gè)時(shí)候我們的系統(tǒng)涵蓋了包括主機(jī)、網(wǎng)絡(luò)、應(yīng)用、安全、存儲(chǔ)等等方面。這每一個(gè)系統(tǒng)里面都有相應(yīng)的數(shù)據(jù)在里面，對(duì)于這些如山的數(shù)據(jù)，我們?cè)趺幢Ｕ纤趺礃幼屛覀僆T運(yùn)轉(zhuǎn)很正常，同時(shí)我們還能夠保障能夠滿足內(nèi)部控制和外審的要求。這個(gè)實(shí)際上對(duì)于我們提出一個(gè)最高要求，審計(jì)員他們希望得到是什么呢，是對(duì)于財(cái)務(wù)有效的系統(tǒng)控制，我們的財(cái)務(wù)部門關(guān)心是財(cái)務(wù)數(shù)據(jù)控制，一些人事部門任務(wù)移植怎么把帳號(hào)在系統(tǒng)中屏蔽掉，比如說密碼需要更改，對(duì)于我們IT部門，或者科技部門怎么做這樣一個(gè)有效控制等等，所以對(duì)于內(nèi)控，各個(gè)部門關(guān)心是不同的角度。

我們有一個(gè)三合一的日志管理平臺(tái)，通過對(duì)于這些數(shù)據(jù)拿過來以后做分析整理，能夠做一個(gè)用戶集中化的管理，同時(shí)在這個(gè)基礎(chǔ)上對(duì)于做分析，做報(bào)告來優(yōu)化IT運(yùn)維。在這個(gè)基礎(chǔ)上可以做什么呢，日志管理，資產(chǎn)識(shí)別，能夠維護(hù)我們本身IT的基本原則?；谏厦娴脑?，我們可以做滿足我們內(nèi)控和外審相應(yīng)的報(bào)表，還有根據(jù)這里面IT本身里面一些安全東西，可以做出相應(yīng)的報(bào)表，比如說像一個(gè)黑客冒充一個(gè)合法用戶，日志里面只是看到一條日志，如果把多個(gè)設(shè)備集中起來看是一個(gè)安全事件，黑客登陸十臺(tái)機(jī)器，十臺(tái)機(jī)器合起來看是一個(gè)安全事件，我們機(jī)器可以報(bào)警告訴你這里面有個(gè)黑客，可以基于不同設(shè)備之間做出這種關(guān)聯(lián)，比如說有的人只防外網(wǎng)，沒有能力訪問內(nèi)網(wǎng)，如果他訪問內(nèi)網(wǎng)可以及時(shí)報(bào)告出來，有的只是訪問互聯(lián)網(wǎng)，這也是不允許的。

我們這里面做一些比如說像有一些是我們舉證的行為，我們可以做一些舉證的分析，同時(shí)可以做到安全和我們的IT運(yùn)營(yíng)做一個(gè)職責(zé)分離，比如說我們?cè)谧恍┢髽I(yè)可能是說在IT運(yùn)營(yíng)的時(shí)候，我們只關(guān)心是本身IT能夠正常運(yùn)轉(zhuǎn)就可以，但是從安全角度考慮，可能需要更高要求，過了時(shí)間才能做舉證分析，再回去查，比如說是幾個(gè)月前，或者幾年前一些事情。有的過一兩年才發(fā)現(xiàn)這面有安全事件。還可以把現(xiàn)有的IT數(shù)據(jù)轉(zhuǎn)換成可用的信息和智能，我們有相應(yīng)儀表盤，讓我們公司高管可以看到目前運(yùn)行情況，我們有超過1000多張，用于強(qiáng)制合規(guī)和安全的報(bào)表模板，我們這些模板是遵照國(guó)際上一些標(biāo)準(zhǔn)，比如說《薩班斯法案》等等這樣的標(biāo)準(zhǔn)制定，這些模板可以根據(jù)我們企業(yè)內(nèi)部的標(biāo)準(zhǔn)，可以變成是我們銀監(jiān)會(huì)要求的報(bào)表，或者我們內(nèi)部要求的報(bào)表，這些報(bào)表可以做成定時(shí)的，也可以做成是一次性的，根據(jù)我們需要。

后面我跟大家分享就是非常幾個(gè)非常簡(jiǎn)單的例子，怎么樣來幫助我們提升安全。首先我們這里面有一個(gè)報(bào)表是專門做密碼變更和過期的，我們從安全角度要求我們企業(yè)內(nèi)部所有人員，可能隔一段時(shí)間要更改密碼，這些密碼我們之前有相應(yīng)的策略在里面，但是沒有一個(gè)統(tǒng)一管理，了解到讓我們IT主管了解到它的密碼變更情況，比如說有多少人在半個(gè)月之內(nèi)需要更改密碼，大家心里面想我們?cè)瓉硐到y(tǒng)里面一部分系統(tǒng)已經(jīng)有了，但是沒有一個(gè)綜合管理的平臺(tái)。

還有一個(gè)比如說有一個(gè)人離職，這時(shí)候他的帳號(hào)是不是還是可以用，還是說這個(gè)人帳號(hào)密碼還是可以用。大家關(guān)心可能操作變更控制，我們這里面總公司要求各個(gè)分公司，子公司策略必須按照總公司要求，我們?cè)趺幢Ｕ峡偣静呗阅軌驈?qiáng)制執(zhí)行下去，對(duì)于我們解決方案也有一些相應(yīng)的方案在里面。禁用帳號(hào)我們也有例子，對(duì)于離職員工要進(jìn)行禁用帳號(hào)。再有就是有很多合規(guī)報(bào)表，有《薩班斯法案》等等，我這里面主要列舉這種合規(guī)報(bào)表，這里面大概整個(gè)系統(tǒng)里面有1000多張發(fā)表，最早銀監(jiān)會(huì)、證監(jiān)會(huì)要求，做成我們每個(gè)企業(yè)內(nèi)部是和自己的安全報(bào)表，根據(jù)這些報(bào)表可以對(duì)我們企業(yè)做好內(nèi)控。我們可以看到每一個(gè)報(bào)表上面都有寫，這個(gè)是遵循ISO27001，或者是ISO27002的具體第幾本的要求。每一個(gè)報(bào)表和合規(guī)里面某一項(xiàng)怎么對(duì)應(yīng)，在我們系統(tǒng)里面非常詳細(xì)的介紹。

我們可以看一看，有人試圖違反企業(yè)策略，試圖從外部刪除企業(yè)資料，我們通過ISO方案都可以找出來，我們可以看到有一個(gè)告警是來自于公司的三樓辦公室，我們從這里面再往下點(diǎn)可以看到，這個(gè)告警信息是關(guān)于違反策略方面。這個(gè)報(bào)警是有一個(gè)關(guān)聯(lián)規(guī)則，我們內(nèi)部有檢測(cè)系統(tǒng)或者是防火墻的系統(tǒng)，通過關(guān)聯(lián)規(guī)則可以知道這些。我們接著看，可以看到我們公司內(nèi)部員工，試圖從家里面聯(lián)到公司內(nèi)部，試圖刪除一個(gè)客戶資料。

另外的場(chǎng)景是我們有效地監(jiān)控超級(jí)用戶異常的活動(dòng)。這里舉的例子是一個(gè)管理員在一個(gè)小時(shí)之內(nèi)，他創(chuàng)建了一個(gè)用戶帳號(hào)，然后做了一些違法的事情。之后，他又把這個(gè)帳號(hào)給它刪掉了。這樣的話他自己認(rèn)為他做了一些自己可以抹掉，即使是這樣我們也可以發(fā)現(xiàn)。這個(gè)時(shí)候他創(chuàng)立了一個(gè)異常的活動(dòng)出來，這個(gè)時(shí)候管理員可以看到，原來這個(gè)管理員是一個(gè)小時(shí)內(nèi)創(chuàng)建的帳號(hào)，同時(shí)一個(gè)小時(shí)之后把帳號(hào)給它刪掉。中間做了事情，我們都有記錄把它記錄了下來。

這個(gè)時(shí)候往下看，可以看到一些安全的證據(jù)。這個(gè)時(shí)候管理員創(chuàng)建和刪除帳號(hào)的信息都在這下面，不同的設(shè)備和位置里面都以去看到，我們可以不斷地把過去一個(gè)小時(shí)內(nèi)所有用戶的活動(dòng)查詢到。所以，從眾多的用戶當(dāng)中，把剛才可疑的帳號(hào)抓出來，進(jìn)行分析。我們這里面中間是查詢帳號(hào)，那么這時(shí)候我們發(fā)現(xiàn)一個(gè)問題是什么呢？這個(gè)用戶是修改了他們公司里面一個(gè)非常重要的數(shù)據(jù)庫(kù)里面的數(shù)據(jù)，這種行為是非常危險(xiǎn)，系統(tǒng)管理員在每一個(gè)企業(yè)里面他的權(quán)限是非常大的。那么他可以增加用戶名，刪除用戶名，允許這種解決方案，放在第三方這里面任何一些數(shù)據(jù)這些信息都可以統(tǒng)一到你的設(shè)備里面來，中間做任何事情，等還沒有做成的時(shí)候，報(bào)警就出來了。所以可以把這個(gè)數(shù)據(jù)存到到我們叫調(diào)查數(shù)據(jù)庫(kù)里面。這個(gè)安全官登錄到這個(gè)系統(tǒng)里面可以查出來這個(gè)人，他到這個(gè)系統(tǒng)里面到底做了什么事情，所以這個(gè)事情很快就可以查出來。

所以實(shí)施這種日志安全審計(jì)有什么樣的業(yè)務(wù)價(jià)值呢？第一個(gè)方面，可以減少或者是避免合規(guī)成本，因?yàn)槲覀儍?nèi)控有要求，對(duì)上市公司外部審計(jì)也有合規(guī)要求，我們有了這種解決方案以后，可以提高效率，可以降低成本。另外我們可以降低或者避免安全破壞成本，如果是說我們問題出來以后，再亡羊補(bǔ)牢這樣有的時(shí)候會(huì)太晚了，如果把這些東西能夠做在前面，我們可以做一些事先預(yù)防。還有我們可以降低安全運(yùn)行成本，不需要太多能力投入，同時(shí)可以降低一些法律，如果這個(gè)事情出來以后，遇到法律不允許，這時(shí)候可以提高我們的收益。同時(shí)我們可以保護(hù)我們企業(yè)品牌和聲譽(yù)，所以要防止數(shù)據(jù)的泄露。

謝謝大家。

主持人：接下來有請(qǐng)信息中心主任張艷做最后一個(gè)主題演講。張艷：大家好，很高興有機(jī)會(huì)跟大家一起分享。

關(guān)于《薩班斯法案》法案我就不多說，國(guó)際上美國(guó)證監(jiān)會(huì)安然、世通事件，等等一些詐騙情況里面，美國(guó)證監(jiān)會(huì)為了誠(chéng)實(shí)公布信息，所以頒布了《薩班斯法案》法案。在方案中間一再說到關(guān)于IT風(fēng)險(xiǎn)這塊，所以說我希望有機(jī)會(huì)跟大家一起探討一下，在這個(gè)額為什么在《薩班斯法案》中間本來是針對(duì)上市公司財(cái)務(wù)審計(jì)，為什么跟我們IT審計(jì)是密切相關(guān)的等等一系列的過程。在企業(yè)發(fā)展過程中間它不斷壯大，如果在十年前，對(duì)于我們財(cái)務(wù)系統(tǒng)來講，完全可以靠手工來完成。但是十年后的今天，隨著IT的發(fā)展，不管是各種各樣的系統(tǒng)也好，包括ERP系統(tǒng)，或者單純的財(cái)務(wù)系統(tǒng)，不可避免的通過在硬件上通過軟件實(shí)現(xiàn)數(shù)據(jù)的錄入、積累，最后呈現(xiàn)一個(gè)財(cái)務(wù)報(bào)表給大家看的情況。那么在這個(gè)過程中間由于把系統(tǒng)的不安全，或者硬件不安全，最終有可能導(dǎo)致財(cái)務(wù)報(bào)表的不安全。所以，從財(cái)務(wù)涉及IT這一塊，根據(jù)美國(guó)證監(jiān)會(huì)要求，審計(jì)師是穿透系統(tǒng)不是繞著系統(tǒng)審計(jì)，所以是這樣一個(gè)過程。

大家請(qǐng)看一下，這個(gè)《薩班斯法案》法案來源不再介紹了，在這個(gè)SOX中關(guān)于IT審計(jì)過程中間，我們需要相關(guān)的像C-SOX安全一些策略也好，規(guī)范條例也好，真正實(shí)現(xiàn)這樣一個(gè)安全控制和管理。

IT控制在每一個(gè)公司中存在，至少是下面三個(gè)因素，像決策管理、商務(wù)流程和IT服務(wù)。決策管理是建立在實(shí)體上，就是人的因素上，如果在一個(gè)企業(yè)中，不管是IT部門的負(fù)責(zé)人，還是一個(gè)企業(yè)的CEO也好，高層管理人員，如果他們沒有充分地認(rèn)識(shí)到IT管理的安全，首先來講，就決定在IT層面上將不可能真正做到一種安全。其次是商務(wù)流程，商務(wù)流程就是說我們因?yàn)槭且ㄟ^我們這些系統(tǒng)，來給我們企業(yè)創(chuàng)造價(jià)值，IT永遠(yuǎn)是作為一個(gè)幫助企業(yè)的業(yè)務(wù)部門來實(shí)現(xiàn)自身價(jià)值的部門。所以通過商務(wù)上由于業(yè)務(wù)的需求，我們引進(jìn)了很多商務(wù)軟件，包括大型ERP系統(tǒng)，通過這樣系統(tǒng)跟我們IT硬件相結(jié)合在一起，形成高效一個(gè)系統(tǒng)集成這樣一個(gè)概念。

IT服務(wù)這一塊，除了日常的IT維護(hù)和管理等等，它來決定服務(wù)好壞，同樣決定安全非常重要的因素。其實(shí)我們也看到這樣一張圖表，這包括了SOX法案所要遵循的部分，中間包括實(shí)體層控制，這也給大家解釋過了?，F(xiàn)在ITAC應(yīng)用方面，就是我們講大型系統(tǒng)。再往下最底層是我們ITGC一般應(yīng)用控制，在這個(gè)控制中間我們簡(jiǎn)單成為系統(tǒng)開發(fā)、系統(tǒng)變更、運(yùn)營(yíng)管理、安全管理四大塊，我常常比喻為是一個(gè)金字塔形的框架。在金字塔的底層是由ITGC來控制的，中間是應(yīng)用程序控制方面，在塔尖一定是人的控制，通過這樣一個(gè)搭建結(jié)構(gòu)才能保證我們整個(gè)IT的在大型企業(yè)中，IT非常安全的控制。

再用一個(gè)同樣的圖表來給大家解釋一下，在我們ITAC和ITGC相近的關(guān)系，上面有一系列安全產(chǎn)品，這樣搭建我們IT的基礎(chǔ)安全措施，上面是我們常見的財(cái)務(wù)系統(tǒng)，不管是什么樣的系統(tǒng)，它也應(yīng)該是只有秉承安全的，上面才安全，上面是我們業(yè)務(wù)系統(tǒng)、采購(gòu)系統(tǒng)、銷售系統(tǒng)等等，我們財(cái)務(wù)相關(guān)接口實(shí)現(xiàn)有效的管理。再往上我們可以看到通過一系列這樣的流程，最后我們呈現(xiàn)這份財(cái)務(wù)報(bào)表，為什么在說到C-SOX當(dāng)中大家說我們需要做IT安全，在整個(gè)《薩班斯法》并沒有說到IT審計(jì)，但是在我們?nèi)找鎮(zhèn)兩鲜泄咀鰧徲?jì)的時(shí)候面臨財(cái)務(wù)審計(jì)，基于這樣的原因，在ITGC大概控制點(diǎn)，這是AC準(zhǔn)確、完整、授權(quán)職責(zé)分離。

這是ITGC和ITAC關(guān)系的圖表，首先從信息管理和人事結(jié)構(gòu)，這是一個(gè)公司，其次是上升到人的，在有是整個(gè)公司的管理，憑險(xiǎn)評(píng)估，再就是流程層面評(píng)估，分為早期，系統(tǒng)與數(shù)據(jù)所有者，包括業(yè)務(wù)有關(guān)數(shù)據(jù)控制等等。

我們所有安全策略其實(shí)基于框架結(jié)構(gòu)談到，石油是美國(guó)一個(gè)信息系統(tǒng)控制協(xié)會(huì)，它分為四大塊，在這個(gè)框架計(jì)劃和組織結(jié)構(gòu)，開發(fā)采購(gòu)信息系統(tǒng)，等等。這是我們常見一張框架具體圖表，每塊對(duì)應(yīng)我們說四大塊，我們講拷貝一個(gè)框架跟《薩班斯法案》有什么關(guān)系呢？我們通過這樣一個(gè)圖表讓大家來理解。信息計(jì)劃和組織結(jié)構(gòu)開發(fā)和我們公司層面內(nèi)控是相符合，采購(gòu)信息系統(tǒng)和系統(tǒng)開發(fā)和維護(hù)是向符合。

在《薩班斯法案》中間我們實(shí)施過程是什么樣的？首先，我們要做一個(gè)有效設(shè)計(jì)，我們建立一些常規(guī)流程，這個(gè)流程是首先是我們做安全第一步，我們?nèi)绾喂芾砭W(wǎng)絡(luò)，其次是我們建立相關(guān)策略我們有沒有執(zhí)行，執(zhí)行以后有沒有監(jiān)控，如果說我們制定了一定的策略，但是沒有人執(zhí)行，更談不上監(jiān)控，結(jié)果等于一樣，沒有完成這樣的工作，也不可能實(shí)現(xiàn)真正的安全。這樣只有通過一系列的建立、執(zhí)行、監(jiān)控，最終包括穿行測(cè)試，通過了我們這套系統(tǒng)，剛才我也說對(duì)系統(tǒng)測(cè)試應(yīng)該是穿行而不是繞行，最后達(dá)到內(nèi)部監(jiān)控的改善。

《薩班斯法案》有以下幾個(gè)基本控制范圍，公司層面控制，系統(tǒng)操作管理，安全管理，系統(tǒng)開發(fā)和維護(hù)/數(shù)據(jù)庫(kù)維護(hù)，網(wǎng)絡(luò)管理，操作系統(tǒng)維護(hù)。

首先從公司公司層面可以看一下，建立與公司層面有關(guān)的管理目標(biāo)，規(guī)定和流程等等，意義是確保公司IT部門有明確管理目標(biāo)和制度，確保公司所有員工認(rèn)識(shí)到時(shí)候IT系統(tǒng)重要性以及如何遵守公司IT制定，這一點(diǎn)是可以實(shí)現(xiàn)的，可以通過我們新員工入職的時(shí)候可以跟他建立一個(gè)，要他知道所有IT的方面的所有層面，不會(huì)因?yàn)樗牟僮鞴居幸恍p失或者破壞。同時(shí)也給公司從法律的角度來講做了一個(gè)非常有效的保障。

確保IT部門制定的策略與公司發(fā)展方向一致，我們IT發(fā)展是一定要同我們業(yè)務(wù)相匹配，作為一個(gè)公司講沒有一個(gè)長(zhǎng)期的戰(zhàn)略計(jì)劃，而且在這個(gè)戰(zhàn)略計(jì)劃制定之后應(yīng)該建立有效跟業(yè)務(wù)部門溝通以后進(jìn)行不斷更新。這些公司都在了以后，一個(gè)公司IT怎么談得上安全，因?yàn)樗麑?duì)IT發(fā)展方向都沒有一個(gè)明確控制管理。

下面是針對(duì)系統(tǒng)開發(fā)、維護(hù)和數(shù)據(jù)庫(kù)維護(hù)的相關(guān)要求，要對(duì)系統(tǒng)數(shù)據(jù)庫(kù)上線以后做修改管理，這些為什么從設(shè)備采購(gòu)我們就要開始控制了，在采購(gòu)環(huán)節(jié)從價(jià)格各方面進(jìn)行有效管理，在開發(fā)層面我們有沒有做到有效職責(zé)分離，測(cè)試環(huán)節(jié)上我們有沒有做滲透式的測(cè)試，等等因素不管其中某一個(gè)環(huán)節(jié)都有可能造成整個(gè)系統(tǒng)開發(fā)維護(hù)和數(shù)據(jù)庫(kù)的維護(hù)，是有安全漏洞的存在。

下面是安全的管理和網(wǎng)絡(luò)管理，制定和持續(xù)確保系統(tǒng)、平臺(tái)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)等在邏輯性和物理性方面有安全和有管理的存取措施，更多是針對(duì)我們的常見的安全設(shè)備像防火墻，路由器等等一系列的硬件產(chǎn)品，包括今天我們看到在場(chǎng)一系列安全產(chǎn)品，這些產(chǎn)品有助于我們保障我們的整個(gè)IT系統(tǒng)的安全。下面是系統(tǒng)操作管理和操作系統(tǒng)的維護(hù)，確保系統(tǒng)日常操作一致性，制定故障處理，發(fā)布，記錄和分析流程，等等這樣一些部門?？梢赃_(dá)到在操作系統(tǒng)層面做一個(gè)非常安全的控制和管理。

最后是我們所說到應(yīng)用控制，應(yīng)有控制中心確保應(yīng)用系統(tǒng)在輸入及輸出數(shù)據(jù)時(shí)能夠有效控制數(shù)據(jù)的準(zhǔn)確、完整性，確保授予員工的應(yīng)用系統(tǒng)權(quán)限不會(huì)有職責(zé)分離的沖突，確保系統(tǒng)之間的數(shù)據(jù)傳送的準(zhǔn)確和完整性，確保系統(tǒng)運(yùn)算的準(zhǔn)確。中航油就有一個(gè)事件，由于數(shù)據(jù)缺失導(dǎo)致了6億元的損失。

第三篇：論文：信息化時(shí)代

當(dāng)今社會(huì)已進(jìn)入科學(xué)技術(shù)發(fā)展日新月異的信息化時(shí)代，人類所面臨的是瞬息萬變的以及滲透到生活各個(gè)領(lǐng)域的復(fù)雜的文化?，F(xiàn)代社會(huì)知識(shí)更新的速度不斷加快，在高中階段，對(duì)學(xué)生傳授的知識(shí)是有限的，學(xué)校教育不可能讓學(xué)生學(xué)的知識(shí)用上一輩子。人們?cè)讷@得生存與發(fā)展中所面臨的問題越來越具有社會(huì)性、復(fù)雜性和不可預(yù)見性，人們所必需的知識(shí)范圍與能力素養(yǎng)的范圍急劇擴(kuò)大。而我們的學(xué)校教育滯后于現(xiàn)代科技發(fā)展，僅僅停留在讓學(xué)生被動(dòng)地接受知識(shí)，這是很不夠的,是跟不上形勢(shì)發(fā)展的需要的。正因?yàn)槿绱诵碌摹度罩破胀ǜ呒?jí)中學(xué)數(shù)學(xué)教學(xué)大綱》在普通高中數(shù)學(xué)課中設(shè)置“課題研究”，即“研究性學(xué)習(xí)”，說明了研究性學(xué)習(xí)的重要性。這是我國(guó)高中數(shù)學(xué)課程的一項(xiàng)重大改革，是我國(guó)教育走向世界的具體一步。作為一名數(shù)學(xué)教師有責(zé)任引導(dǎo)學(xué)生從數(shù)學(xué)的角度分析社會(huì)生活和實(shí)踐活動(dòng)中的問題、開展探究活動(dòng)，讓學(xué)生在獲得必要的數(shù)學(xué)知識(shí)與技能的同時(shí)，認(rèn)識(shí)知識(shí)探究與問題探索的基本方法和途徑，提高參與社會(huì)生活的探究、發(fā)現(xiàn)和改造等一切活動(dòng)中進(jìn)行決策的基本能力。

數(shù)學(xué)教師要激發(fā)學(xué)生的好奇心，要是不斷發(fā)現(xiàn)社會(huì)生活和實(shí)踐活動(dòng)中的數(shù)學(xué)問題，并不斷詢問‘為什么’，研究的目的是提出新問題。研究性學(xué)習(xí)主要是提出新問題的過程，而不僅僅是知識(shí)的獲得。古希臘哲學(xué)家德謨克利特曾經(jīng)指出：“教育力圖達(dá)到的目標(biāo)不是完備的知識(shí)，而是充分的理解。”我國(guó)古代教育家說得更精辟且形象：教學(xué)中應(yīng)“授之以‘漁’”，而不僅是“授之以‘魚’”。

所以在高中階段開展“研究性學(xué)習(xí)”主要目的不僅是我們教與學(xué)方式的一個(gè)重要的轉(zhuǎn)變，更重要的是轉(zhuǎn)變教育思想，改變教育模式。強(qiáng)調(diào)主動(dòng)探究式的學(xué)習(xí)，全面培養(yǎng)學(xué)生綜合運(yùn)用所學(xué)知識(shí)的能力,收集和處理信息的能力,分析和解決問題的能力，語言文字表達(dá)能力以及團(tuán)結(jié)協(xié)作能力，學(xué)會(huì)探究，培養(yǎng)創(chuàng)新精神和實(shí)踐能力。總之一句話就是培養(yǎng)人類生存的必備條件--學(xué)會(huì)學(xué)習(xí)乃至終身學(xué)習(xí)能力。這也就是進(jìn)行素質(zhì)教育的核心目的。

教師如何進(jìn)行研究性學(xué)習(xí)教學(xué)呢？我認(rèn)為研究性學(xué)習(xí)教學(xué)可分為兩個(gè)層次，開始是知識(shí)探索型學(xué)習(xí)，在學(xué)生積累了一定的知識(shí)和研究能力、組織合作能力、社會(huì)閱歷較豐富后，再進(jìn)行綜合性課題研究性學(xué)習(xí)。

一、課前準(zhǔn)備

教會(huì)學(xué)生如何去學(xué)比傳授知識(shí)更重要，可以課前提出一些研究性問題，讓學(xué)生先行探究。通過自己收集資料，甚至進(jìn)行數(shù)學(xué)實(shí)驗(yàn)，要求學(xué)生像數(shù)學(xué)家那樣去進(jìn)行想象和猜測(cè)，然后再去進(jìn)行檢驗(yàn)和證實(shí)，用嚴(yán)謹(jǐn)?shù)臄?shù)學(xué)語言去表達(dá)所發(fā)現(xiàn)的數(shù)學(xué)事實(shí)．使學(xué)生從“被動(dòng)的接受”轉(zhuǎn)向“主動(dòng)的建構(gòu)”。如：在引入弧度制這一節(jié)的學(xué)習(xí)前，先布置學(xué)生利用平幾知識(shí)研究：角度制在運(yùn)算過程中有什么不便？圓心角的大小與什么因素有關(guān)？從中能找出一種新的角的度量單位嗎？甚至讓學(xué)生設(shè)計(jì)、實(shí)踐一些數(shù)學(xué)實(shí)驗(yàn)。又如：學(xué)習(xí)概率前，先讓學(xué)生自己通過實(shí)驗(yàn)研究硬幣正反面出現(xiàn)的頻率等。再如在學(xué)習(xí)“統(tǒng)計(jì)和概率初步”前布置學(xué)生自學(xué)課文內(nèi)容，分實(shí)驗(yàn)小組對(duì)某一個(gè)問題進(jìn)行抽樣調(diào)查研究，搜集有關(guān)數(shù)據(jù)并整理。結(jié)合研究過程中碰到的問題進(jìn)一步學(xué)習(xí)本章節(jié)內(nèi)容，隨著學(xué)習(xí)的深入，不斷完善調(diào)查設(shè)計(jì)方案，使調(diào)查更科學(xué)，結(jié)論更可靠，讓學(xué)生從要我學(xué)變成我要學(xué)。

二、課堂教學(xué)

（一）善用課本

新教材很重視學(xué)生的自主學(xué)習(xí)，很多章節(jié)附有相對(duì)應(yīng)的閱讀材料可以讓學(xué)生自己查閱學(xué)習(xí)，可以讓學(xué)生通過上網(wǎng)查閱、互相交流等方法繼續(xù)深入學(xué)習(xí)。教材中也增加很多研究性學(xué)習(xí)的內(nèi)容，如：數(shù)列中數(shù)列知識(shí)在儲(chǔ)蓄、貸款中的應(yīng)用；向量在物理中的應(yīng)用等。這些都是很好的研究性學(xué)習(xí)的素材，又如：教材的每一章節(jié)前言部分都以一個(gè)實(shí)際應(yīng)用的例子引入，在教學(xué)中可以讓學(xué)生帶著問題學(xué)習(xí)，通過學(xué)習(xí)自己尋找答案，再把所學(xué)到的知識(shí)應(yīng)用到其它實(shí)際問題中。不能將學(xué)生自主學(xué)習(xí)的內(nèi)容粗略帶過場(chǎng)，甚至將高考不考的研究性學(xué)習(xí)的內(nèi)容刪掉。這樣不利于學(xué)生分析問題和解決問題能力的培養(yǎng)。

（二）拓展課本 課本中的例題、習(xí)題應(yīng)該說是比較典型性的，它將把所學(xué)的基礎(chǔ)知識(shí)、基本概念與應(yīng)用結(jié)合起來，教會(huì)學(xué)生如何去運(yùn)用數(shù)學(xué)思想解決實(shí)際問題，起著指導(dǎo)和穿針引線的作用,在例題的教學(xué)中，可以留下空間讓學(xué)生自己進(jìn)行多角度探討，總結(jié)多種解法，這就使得課本內(nèi)

cosx1?sinx?cosx，可以讓學(xué)生自容具有拓展的可能。如例題：求證 1?sinx己討論歸納，盡量從不同的角度思考，結(jié)果學(xué)生自己就可以歸納出多種解法。討論的過程可以小組討論，自由發(fā)言，一問一答甚至搶答等多種形式。一道比較簡(jiǎn)單的例題，通過自主的探索、討論，學(xué)生更深刻的體會(huì)到等式的證明實(shí)質(zhì)就是由異化同的過程，在變形的過程中要有目標(biāo)意識(shí)，逐步湊出目標(biāo)。作差、作商是證明等式或不等式的常用方法，而化歸則是數(shù)學(xué)中很重要的思想。此外，還可以讓學(xué)生討論和展示一些學(xué)習(xí)過程中存在的問題、誤區(qū)；模仿課本例題編一些習(xí)題、應(yīng)用題等，從而融會(huì)貫通拓展思維。

（三）走下講臺(tái)

在教學(xué)的過程中，我們很容易犯的一個(gè)毛病是，總是恨不得一下子把自己掌握的所有知識(shí)全部向?qū)W生灌輸，不知不覺就把教學(xué)過程變?yōu)闈M堂灌的填鴨式教學(xué)，無形中剝奪了學(xué)生發(fā)現(xiàn)、探索知識(shí)、體驗(yàn)發(fā)現(xiàn)過程的機(jī)會(huì)。到頭來好象講了很多，其實(shí)效果不一定好，有時(shí)給學(xué)生留下一些思考的余地，效果可能更好。所以，在教學(xué)中盡量不要將課本現(xiàn)成的知識(shí)結(jié)論硬性灌輸給學(xué)生，而是要?jiǎng)?chuàng)設(shè)問題情景，讓學(xué)生體驗(yàn)發(fā)現(xiàn)與創(chuàng)造的過程。給學(xué)生創(chuàng)造一個(gè)“觀察、試探、猜測(cè)”的情景，模擬數(shù)學(xué)家的活動(dòng)，去體驗(yàn)數(shù)學(xué)家是怎樣由實(shí)驗(yàn)而歸納，由類比而猜想，由發(fā)現(xiàn)到證明的艱難思維、認(rèn)識(shí)活動(dòng)的經(jīng)歷。現(xiàn)代課堂教學(xué)的理念是“把課堂還給學(xué)生，使課堂充滿生命力”,在課堂教學(xué)中要發(fā)揮學(xué)生的主體作用，重視師生的互動(dòng)。在教學(xué)活動(dòng)中，我努力嘗試成為學(xué)生數(shù)學(xué)活動(dòng)的組織者、引導(dǎo)者、合作者。例如，“正弦、余弦定理的圖象和性質(zhì)”第二節(jié)課，我就曾采用走下講臺(tái)，讓學(xué)生自主探索學(xué)習(xí)為主的方法。先用多媒體平臺(tái)顯示正、余弦曲線的圖象及其變化情況，然后讓學(xué)生分組討論、歸納其定義域、值域、最大值、最小值及其對(duì)應(yīng)的X值，當(dāng)sinx≥0、sinx＜0、cosx≥0、cosx<0時(shí)對(duì)應(yīng)的X的解集。然后請(qǐng)學(xué)生代表上來匯報(bào)他們觀察分析的結(jié)果，其他同學(xué)補(bǔ)充，并對(duì)不明白的地方提出質(zhì)疑，在一問一答的過程中，學(xué)生對(duì)曲線的相關(guān)性質(zhì)作了深入的思考，思維活躍，印象深刻，把性質(zhì)歸納整理后，我提供了一些有針對(duì)性的例題和練習(xí)。也是由學(xué)生來充當(dāng)小老師，作解題示范并講解，回答同學(xué)們的質(zhì)疑。在這過程中，我則以學(xué)生的身份傾聽，和學(xué)生一起學(xué)習(xí)，體驗(yàn)他們的思維過程，關(guān)鍵時(shí)候則通過提出質(zhì)疑、建議等方法，有序地控制課堂教學(xué)深度、廣度、進(jìn)度，以保證教學(xué)的質(zhì)量。學(xué)生們學(xué)習(xí)的興致很高，從開始沒有人敢上臺(tái)，逐步到很多同學(xué)主動(dòng)要求上講臺(tái)當(dāng)小老師。在這過程中，掌握知識(shí)的同時(shí)，組織能力、表達(dá)能力、研究解決問題的能力等各方面的能力都得到了鍛煉。同時(shí)，也體現(xiàn)了學(xué)生的主體性，建立起一種新型的師生關(guān)系。

（四）走出課室

就中學(xué)數(shù)學(xué)教學(xué)內(nèi)容來講，不能只考慮代數(shù)、幾何、三角之間的聯(lián)系，還應(yīng)該研究數(shù)學(xué)與現(xiàn)實(shí)世界各種不同領(lǐng)域的外部關(guān)系和聯(lián)系。如與日常生活，工農(nóng)業(yè)生產(chǎn)，貨幣流通和商品生產(chǎn)經(jīng)營(yíng)等的聯(lián)系．這樣才能使學(xué)生一方面獲得既豐富多彩而又錯(cuò)綜的“現(xiàn)實(shí)的數(shù)學(xué)”內(nèi)容，掌握比較完整的數(shù)學(xué)體系．另一方面，學(xué)生也有可能把學(xué)到的數(shù)學(xué)知識(shí)應(yīng)用于現(xiàn)實(shí)世界中去．課本有些跟實(shí)際結(jié)合比較緊密的內(nèi)容，學(xué)生必須經(jīng)過自己動(dòng)手、動(dòng)腦的實(shí)踐才能真正掌握。此時(shí)，若再局限于課室內(nèi)從理論到理論的學(xué)習(xí)，顯然不能滿足學(xué)習(xí)的要求。如學(xué)習(xí)解三角形這一部分內(nèi)容時(shí)，可以大膽嘗試讓學(xué)生走出課室，以小組或個(gè)人為單位，帶上簡(jiǎn)單的測(cè)量工具，在校園內(nèi)自己尋找一個(gè)測(cè)量目標(biāo)（有障礙物或不便于直接測(cè)量的兩點(diǎn)間距離），利用所學(xué)的解斜三角形的知識(shí)，自己設(shè)計(jì)測(cè)量方案，轉(zhuǎn)化為數(shù)學(xué)模型計(jì)算。然后互相交流學(xué)習(xí)方法和體會(huì)。讓同學(xué)們真正體會(huì)到數(shù)學(xué)的“有用”和“用數(shù)學(xué)”的方法。

（五）跨學(xué)科整合

新教材還有一個(gè)比較顯著的改變是增加了一些跨學(xué)科內(nèi)容。如學(xué)習(xí)習(xí)近平面向量這一部分內(nèi)容時(shí)，可以結(jié)合向量在物理中的應(yīng)用，這對(duì)我們數(shù)學(xué)老師是一個(gè)新的挑戰(zhàn)，為了讓學(xué)生能真正掌握這部分的內(nèi)容，并實(shí)際應(yīng)用于物理學(xué)習(xí)中。我嘗試與物理老師合作，把學(xué)生帶到了物理實(shí)驗(yàn)室，讓學(xué)生利用物理器材進(jìn)行相關(guān)實(shí)驗(yàn)，如力的合成、平拋、斜拋運(yùn)動(dòng)等，取得原始數(shù)據(jù)后再用數(shù)學(xué)方法建模求解驗(yàn)證。課后再讓學(xué)生思考總結(jié)，還有哪些數(shù)學(xué)方法可以應(yīng)用于解決物理或其它學(xué)科遇到的問題。讓學(xué)生真正認(rèn)識(shí)到數(shù)學(xué)知識(shí)作為一種工具在實(shí)踐應(yīng)用中的地位和作用，從而也增強(qiáng)了學(xué)習(xí)數(shù)學(xué)的興趣。

三、課后提高

研究性學(xué)習(xí)在課后的延續(xù)也是很重要的，把握好了，可以讓學(xué)生的學(xué)習(xí)有一個(gè)質(zhì)的飛躍。在實(shí)踐中，可以嘗試了以下的做法：（1）要求學(xué)生寫反思小結(jié)，對(duì)每一章節(jié)的知識(shí)進(jìn)行串聯(lián)，典型例題、典型方法、典型錯(cuò)誤等進(jìn)行歸類總結(jié)，寫出心得體會(huì)、小論文等。（2）指導(dǎo)學(xué)生利用所學(xué)知識(shí)動(dòng)手制作一些模型、教具。如用硬紙折疊出各種柱、錐、臺(tái)體、簡(jiǎn)易經(jīng)緯儀等。（3）配合課堂教學(xué)進(jìn)行一些課外的研究性學(xué)習(xí)，如：高一上學(xué)期結(jié)束后，我建議同學(xué)們?cè)诤倮帽緦W(xué)期所學(xué)到的數(shù)學(xué)知識(shí)進(jìn)行一些研究性的學(xué)習(xí)，自定課題，寫出調(diào)查報(bào)告。下學(xué)期開學(xué)后發(fā)現(xiàn)每一位同學(xué)都進(jìn)行了一些研究性的學(xué)習(xí)，而且學(xué)生的思維是非?；钴S的。從交來的研究報(bào)告可以看到，既有常規(guī)的函數(shù)模型，如：物質(zhì)溶解的速度和時(shí)間的函數(shù)，物體影長(zhǎng)與時(shí)間的函數(shù)關(guān)系等，又有數(shù)列模型類問題，如：銀行存、貸款利息、分期付款問題，各類分紅保險(xiǎn)的特點(diǎn)的調(diào)查比較等。甚至還有一些奇思異想，如：金魚的生長(zhǎng)速度和時(shí)間的函數(shù)關(guān)系、出租影碟的付款與租期的函數(shù)關(guān)系，香的燃燒速度的研究等。讓我很有感觸的是學(xué)生的潛能是巨大的，智慧是無窮的，其中不乏閃光點(diǎn)。盡管他們的研究方法可能還簡(jiǎn)單、幼稚，他們的研究成果很還粗糙、膚淺，還有一些是借鑒了現(xiàn)成的資料，原創(chuàng)的成分不是很多。但是最關(guān)鍵的是他們從中體驗(yàn)了學(xué)習(xí)的樂趣，體會(huì)了獨(dú)立研究一個(gè)問題的方法，養(yǎng)成了動(dòng)手求證的習(xí)慣。真正把所學(xué)的知識(shí)應(yīng)用于實(shí)踐中。假以時(shí)日，也許他們中就會(huì)產(chǎn)生偉大的科學(xué)家、發(fā)明家?！把芯啃詫W(xué)習(xí)”理念是新教材中比較重視的教學(xué)理念，是教學(xué)觀念的更新，學(xué)習(xí)方式的革命。與傳統(tǒng)的教學(xué)觀念，學(xué)習(xí)方式比較，“研究性學(xué)習(xí)”由于注意了學(xué)生在學(xué)習(xí)過程中的參與體驗(yàn)，從而從根本上確定了學(xué)生在學(xué)習(xí)中的主體地位；而且注重了學(xué)生認(rèn)知結(jié)構(gòu)的自我建構(gòu)與發(fā)展，變被動(dòng)學(xué)習(xí)為主動(dòng)學(xué)習(xí)，更有利于培養(yǎng)學(xué)生的科學(xué)精神、創(chuàng)新精神。通過一段時(shí)間的把研究性學(xué)習(xí)的理念引入數(shù)學(xué)課堂的教學(xué)實(shí)踐，我覺得很有收獲，對(duì)新教材，甚至是未來的新課程的改革都有了更深刻的理解。我期待學(xué)生通過學(xué)習(xí)不但掌握了數(shù)學(xué)的知識(shí)，更重要的是真正學(xué)懂了數(shù)學(xué)，掌握了學(xué)習(xí)的方法，學(xué)會(huì)“用”數(shù)學(xué)，并且能延續(xù)到他們以后的數(shù)學(xué)和其他學(xué)科的學(xué)習(xí)中，能有長(zhǎng)遠(yuǎn)的影響，為學(xué)生終身學(xué)習(xí)打下堅(jiān)實(shí)基礎(chǔ)，同時(shí)在學(xué)習(xí)過程中真正體會(huì)到創(chuàng)造的快樂。因此，我會(huì)在以后的數(shù)學(xué)教學(xué)實(shí)踐中堅(jiān)持把研究性學(xué)習(xí)的理念引入數(shù)學(xué)課堂的教學(xué)中，并且不斷探索更好的方法和途徑，堅(jiān)持教中學(xué)，學(xué)中教。

第四篇：《新制造時(shí)代》讀后感

《新制造時(shí)代》讀后感 陳丹

2017年11月

最近利用休息時(shí)間，閱讀了這本書的前面八章，這本書的可讀性很強(qiáng)，跟隨李書福先生的創(chuàng)業(yè)經(jīng)歷，心情也隨之跌宕起伏。對(duì)于他的創(chuàng)業(yè)故事，主要有四點(diǎn)感受。

首先，是關(guān)于創(chuàng)業(yè)精神。李書福先生的創(chuàng)業(yè)精神深深打動(dòng)了我，讓我看到了創(chuàng)業(yè)是一種基因?！澳睦镉惺袌?chǎng)，哪里就有李書?！?，他創(chuàng)建吉利，不是偶然，而是必然，但卻不可復(fù)制。那個(gè)年代的出身對(duì)他帶來的影響，一不怕窮，二不怕苦，三想致富。所以他從做自行車、照相館、混合金屬的生意，直到1984年正式進(jìn)入制造領(lǐng)域，但又經(jīng)歷了電冰箱配件、裝潢材料，房地產(chǎn)失敗之后，1992年回到了實(shí)業(yè)，開始造車。造車之路，也并不平坦。但他一直堅(jiān)持，并不被政策所束縛，并走上了國(guó)際化之路。這中間反映出來的，是他的創(chuàng)業(yè)精神，創(chuàng)業(yè)是一條不歸路，一旦開始，不管成敗，只有堅(jiān)持下去。但只要有這樣一種不怕困難、堅(jiān)持到底的創(chuàng)業(yè)精神和信念，就一定能夠闖出一片自己的天地。但李書福先生并不是一個(gè)普通的創(chuàng)業(yè)者，他的格局和眼光也是非常人，所以吉利才能在今天成為自主品牌的佼佼者。

這就說到了第二個(gè)方面，是關(guān)于海外戰(zhàn)略。吉利的海外戰(zhàn)略從公司創(chuàng)立之初，2002年創(chuàng)立國(guó)際貿(mào)易公司時(shí)就漸見雛形，并確立了三分之一國(guó)內(nèi)生產(chǎn)銷在國(guó)內(nèi)，三分之一國(guó)內(nèi)生產(chǎn)銷往海外，三分之一海外生產(chǎn)銷往海外。在一開始就確立這樣的戰(zhàn)略的企業(yè)家并不簡(jiǎn)單，尤其是汽車這個(gè)在發(fā)達(dá)國(guó)家先行崛起并且技術(shù)研發(fā)遠(yuǎn)遠(yuǎn)領(lǐng)先的產(chǎn)業(yè)。說明他的格局足夠大，眼光足夠長(zhǎng)遠(yuǎn)，是一個(gè)有夢(mèng)想的企業(yè)家。他的夢(mèng)想就是讓中國(guó)汽車走向世界舞臺(tái)。我感受到了像李書福、董明珠這樣的企業(yè)家，他們做企業(yè)不僅僅考慮的是企業(yè)利潤(rùn)，還有一個(gè)偉大的抱負(fù)，也是一個(gè)個(gè)這樣的個(gè)體支撐著中國(guó)汽車產(chǎn)業(yè)的發(fā)展，令很多人敬佩。

最后，關(guān)于專注核心技術(shù)，也就是專注品質(zhì)。李書福先生的國(guó)際化之路也是一條并購(gòu)之路。他所選擇的并購(gòu)對(duì)象，無一不是在技術(shù)領(lǐng)域方面有自己領(lǐng)先和擅長(zhǎng)的某個(gè)部分，才會(huì)成為他的目標(biāo)。因?yàn)樗J(rèn)為不能僅僅獲得產(chǎn)品，還要獲得核心的甚至完整的技術(shù)和管理體系流程。也是這樣的一種價(jià)值導(dǎo)向和經(jīng)營(yíng)理念，促進(jìn)吉利在國(guó)際上迅速樹立起自己的品牌形象，是一家尊重知識(shí)產(chǎn)權(quán)的公司。這也體現(xiàn)了吉利對(duì)品質(zhì)的關(guān)注。

此外就是重視人才。這本書中沒有提到太多，但還是能夠看到李書福先生對(duì)人才的重視，在他創(chuàng)業(yè)之初，就在湖南大學(xué)設(shè)立了吉利獎(jiǎng)學(xué)金，它的受益者后來也成為了幫他開疆拓土的功臣，他的人格魅力也吸引著跟隨他創(chuàng)業(yè)的人。沒有他們，也沒有吉利。

以上就是我個(gè)人的一點(diǎn)讀后感受。

第五篇：云時(shí)代的CIO需要思維轉(zhuǎn)變

云時(shí)代的CIO需要思維轉(zhuǎn)變

上周，我有機(jī)會(huì)在桂林與正大（中國(guó)）投資的陳大林副總裁、陜西鼓風(fēng)機(jī)集團(tuán)的戰(zhàn)略規(guī)劃部孫為平副部長(zhǎng)交流，兩位在各自的企業(yè)都擔(dān)負(fù)著CIO的職責(zé)。

他們都不是傳統(tǒng)意義上的CIO，但所分工負(fù)責(zé)的企業(yè)信息系統(tǒng)和信息化應(yīng)用都非常成功，很好地服務(wù)了企業(yè)業(yè)務(wù)，在契合企業(yè)業(yè)務(wù)需求和方向上，還成功地助力業(yè)務(wù)轉(zhuǎn)型和業(yè)務(wù)效率提升。

兩家企業(yè)信息化成功的經(jīng)驗(yàn)在于業(yè)務(wù)和能力聚焦，企業(yè)專注于業(yè)務(wù)對(duì)信息化的需求、業(yè)務(wù)與信息化融合的研究和方法戰(zhàn)略制定，委托IT專業(yè)機(jī)構(gòu)實(shí)現(xiàn)規(guī)劃。做自己最擅長(zhǎng)的、找最專業(yè)的服務(wù)商，合理整合利用內(nèi)外部資源和能力服務(wù)于企業(yè)信息化，這是兩位CIO共同的心得和經(jīng)驗(yàn)。

兩家企業(yè)信息化的思維在CIO群體中的認(rèn)同度很高，在《計(jì)算機(jī)世界》采訪過的企業(yè)和行業(yè)CIO中占有很高的比例，但真正能夠像這兩家企業(yè)一樣實(shí)施的并不多，因?yàn)檫@不僅需要CIO的轉(zhuǎn)變，也需要CEO等企業(yè)運(yùn)營(yíng)者的思維轉(zhuǎn)變。

在中國(guó)企業(yè)傳統(tǒng)思維中，習(xí)慣于“自力更生、自給自足”，習(xí)慣于“完全控制”，但隨著企業(yè)對(duì)信息化需求的逐步升級(jí)以及信息技術(shù)的快速發(fā)展，“自給”的IT團(tuán)隊(duì)從專業(yè)能力、知識(shí)結(jié)構(gòu)到服務(wù)能力都已經(jīng)勉為其難，通過外包合作無疑是一個(gè)理想的途徑和模式。

IDC的報(bào)告也佐證了這一點(diǎn)――“隨著IT系統(tǒng)規(guī)模逐步擴(kuò)大，管理難度日益增加，預(yù)計(jì)未來5年中國(guó)企業(yè)的IT運(yùn)維服務(wù)支出的比例將提高。中國(guó)企業(yè)的IT投資從之前的軟硬件支出占主導(dǎo)，逐步轉(zhuǎn)向軟硬件投資和服務(wù)投資平衡發(fā)展?！?/p>

如今IT開始進(jìn)入云計(jì)算時(shí)代，云計(jì)算的核心同樣是IT資源和服務(wù)的整合和合理分配，無論是行業(yè)還是企業(yè)的信息化應(yīng)用都將逐步涉足云計(jì)算或者被云計(jì)算主導(dǎo)，在迎接并適應(yīng)云計(jì)算的同時(shí)，CIO和CEO們的思維首先要轉(zhuǎn)變和轉(zhuǎn)型。

在云時(shí)代，CIO和CEO需要考慮IT投資風(fēng)險(xiǎn)和回報(bào)，合理選擇基礎(chǔ)設(shè)施和服務(wù)的投資比例和投資方式，同時(shí)更加準(zhǔn)確地理解和把握業(yè)務(wù)需求和發(fā)展方向，讓IT更加靈活、快速地響應(yīng)業(yè)務(wù)需求，更進(jìn)一步考慮IT從之前的滿足業(yè)務(wù)需求向引導(dǎo)業(yè)務(wù)創(chuàng)新和業(yè)務(wù)轉(zhuǎn)型邁進(jìn)。

所以在云計(jì)算這樣的新技術(shù)浪潮面前，CIO們需要的不僅僅是知識(shí)結(jié)構(gòu)和能力，更重要的是思維模式和自我定位。