上市公司CIO 内控管理和信息化建设

第一篇：上市公司CIO 内控管理和信息化建设

财政部会计司综合处处长，内控标准委员会家成员胡兴国 中国石油化工股份有限公司信息系统管理部处长姜林

用友公司NC产品架构师付建华女士

河北网通信息化部高级工程师屈玉阁

浪潮通软副总裁兼技术总监魏代森

中国铝业信息部的杨磊

国际信息系统审计师协会北京事务委员会主席何迪生

摩卡软件高级售前顾问周立民

EMC信息安全事业部中国区资深技术顾问冯崇彪 信息中心主任张艳

下面我们有请财政部会计司综合处处长，内控标准委员会家成员胡兴国。胡兴国：各位领导，嘉宾，上午好。

今天能有这个机会我想给大家汇报一下财政部会同另外四各部位关于标准建设实施情况，我汇报情况叫我国企业内部控制标准建设与实施。

汇报5个问题，一个是我们启动标准建设的规定，第二就是汇报我们企业内部控制建设历程，第三简单汇报一下标准建设框架体系，第四简单介绍一下信息化，风险管理与内部控制关系，最后大家探讨一下企业在事实内控标准应该做一些什么工作。

第一部分是就是它的意义，我从三个部分进行总结，大家知道去年5月11日，财政部，证监会，保监会，还有审计署同时颁发了基本规范，我们也在北京召开了发布会标志着我们国家企业内部控制标准建设，有了重要阶段性成果。

当前世界金融危机给我们国家造成很多机遇，我们做了一个调研企业加强内部建设，提升自身的能力是非常重要。第二就是中央提出走出去战略，国家起草规范和技术出发点，要企业做强做大，帮助他们国外资本市场进行融资，特别是是美国，英国，法国，包括我们香港都有一些要求。

第三就是满足我们资本市场发展需要，我们国家资本市场公开，公平，公正，提高财政的信息质量，提升我们经营管理水平，可持续发展，还有保护我们广大投资者利益。第二部分就是发展历程，我们国家企业内部控制建设从70年代就是改革开放以后，特别是我们第一部会计法的实施，这是一个标准性阶段。在满足社会不同需要，在这个过程我们出现过满足核算制度等等。早在70年代末期，80年代初，包括我们提出岗位分离等等。90年代的时候，特别是我们会计法实施的时候财政部96年发布会计规范，规范要求各单位进一步建立健全包括内部控制先进内部会计管理制度，会计法明确要求各单位建立内部管理，这是我们内部管理的法律依据，到2001年6月22日，财政部依据会计法规定又制定了企业内部会计控制规范，基本规范和后备资金，04年相继发布了销售与收入增加，发布了1+6的等各项制度。

第三阶段以我们发布的金融规范，来源主要是美国安然事件以后，采捕正有关领导，把安然事件对我们国家的意义报个国务院，国务院领导同志做了批示，这项工作财政部牵头，证监会，国资委配合，建立中国的塞班斯法，到2007年，财政部，银监会，国资委等联合发起成立我国企业内部标准委员会，委员会委员是31位，我们成立了8个咨询小组，8个小组去年我们把这个小组又扩大了，委员从31名发展大50人，咨询小组现在有150人，当时我们发布规范发布了17项具体规范。我刚才说5月22日我们发布节本规范，要求7月1日正式实施。

第三部分给大家汇报一下，基本规范的框架体系。框架体系是一个规范加三个指引，一个是基本规范已经发布了，内部标准体系是最高层次，有的人说是中国的塞班斯法，第二是主要是对企业，对企业有内控企业的主体。帮助企业建立体系，第三系评价指标，是企业内部必须做的评价包括自我评价，怎么评价。第四是审计指引，会计事务所执行内部审计。基本规范主要是有概念，目标，原则，要素。我们提出了概念，当时我们国家内部控制很多部门都有，包括我们银行，银监会，包括我们的证监会，包括我们两个交易所，我们部门把概念统一一下。目标有三个目标，我们提出5个目标，我们是5目标，原则，要素。应用指引，给我们发布了征求意见，目前21个应用指引，加上审计指引，加上评价指引，一共是23个，我们财政部部长签发了，审计署也签了。我们应用指引主要是21个分布，一个是针对企业管理，我们根据基本规范有5个一个是统一架构，一个是发展战略，一个是人力资源，还有社会责任和企业文化。这5个我们是怎么每一个构架都差不多，我就举一个社会责任框架，我们第一就是整合，提出它的概念什么是社会责任，我们再提出中心有哪些，社会责任我们提出4个中心点，安全生产，不落实可能导致企业生产事故，第二产品质量恶劣，会侵害消费者利益，可以导致企业破产，大家知道河北石家庄三鹿开奶粉事件，第三是环保投入不足，资源消耗大，造成环境污染，资源枯竭，缺乏发展后劲一是一个风险。

第四我们说促进就业和员工权益保护，我们金融危机背景下，扩大就业，保内需，增长，我们从企业角度。第一是控制环境，第二是资源，包括资金活动，我们以融资，投资这一块我们放在一些活动里面，还有采购业务，还有负债管理，销售，研发，工程项目，服务外包等等。应用指引形式都差不多，比如说采购应用，我们主要是支付环境，包括购买环节，要采购申请，招标，确定供应商，供应价格，报批核准等等，每个环节进行控制，第三是控制手段，包括全面预算，风险管理，内容信息传递，信息系统，财务报告。

第四针对特殊行业或者行业的控制，包括银行业，证券期货业务，保险业务个个应对指引。再说一下就是评价制度，作为企业内部管理涉及到运行效果和自我评价，为了方便起见，我们起草了一个对企业内部控制，内部评价指标，包括内容，标准，程序，方法，包括报告形式，我们选择企业报告的基本是从1月2日，12月31作为一个会计年计表，也可以选择6月30号自查报告也有了新的形式我们参考的深交所还有美国塞班斯法正在研究，报告形式可能要分两部分，第一个是对环境评价，对业务流程通过一些表格，数据一些量化标准。企业怎么判断你的是否存在重大缺陷，下面就是审计制度，主要是事务所接受企业审计。从我们目前起草稿子我们指引分四各类型，一个就是标准，还有在强调时间段和保留意见，还有否定一些意见，还有无法表明一些意见，和我们财务报告差不多，这个也有一些具体指标。我简单汇报一下框架体系。

第四部分我们汇报一下内部控制与风险管理的信息化，我们是怎么理解的。内部控制和风险管理，实际上存在一些争议，理论界对这一问题，人事部统一，有人认为内部控制与风险管理是两回事，两张皮，也有人形象说内部控制是“正确的做事”，风险管理是“做正确的事”。从我们制定基本规范角度出发点，我们认为内部控制和风险管理不是两张皮，应该是一个完整和有机融合，我们认为内部控制主要是企业内容风险，包括你可控风险也包括不可控风险，但是都要做。所以我们基本规范风险评估，有风险识别，分析，经营存在的风险，战略，决策等等。第二对国际先进研究成果与经验看，应该是有机融合的趋势。看与风险之间的感到我们是这样理解的。

那样控制与信与化，信息化会计信息化有财政部会计司也说，80年代我们在全国积累了很多经验，在电算化的一些标准，08年11月12日我们财政部会同其他8大部委在北京成立会计信息化，包括还有XBRL中国地区组织。经过20多年的努力，在会计信息化工作方面给我们发了一个指导意见，这项工作从我们司角度，已经成为工作重点。会计信息化与内部控制信息化还是有一点区别，这一方面从我们内控角度，我们单独有一个信息系统这方面的指引，我相信这个会内部控制好，要做得好，对大多数企业来说很重要的。随着科技发展水平越来越先进，所以信息化一定要跟内容控制有机融合起来。信息系统我个人理解不仅是本身需要控制，最主要是在内容控制和风险管理中，能发挥很大的作用，提高工作效率，能够节约很多成本。

第五部分，我汇报一下企业如何实施内容控制规范。我们知道原来定今年7月1日上市公司开始实施，考虑到因为我们一系列的具体的应用目前还没有发布，加上我们审计指引，发布以后还要有一段时间消化吸收还要有一个过程，由于金融危机影响，我们调研一些企业他们关注点说法不一样，有的说我们现在经济不景气，我们练内功吧，有的关注不是这个关注经济增长率，所以经过部里面领导多年的慎重研究，目前我们调整到2010年1月1日，原来是在境外上市公司实施，考虑到情况其他上市公司、其他企业也执行。这套体系下来已经做了调研实施成本是非常大，实施难度还是有一定难度的，目前需要财力，人力资源，所以我们想这个中国在境外上市有4个国家。实施原定7月1日实施，有一个自查报告，2010年12月31日，我们还有一年半的时间，我们的有一些企业有完善的标准、完善的制度体系，我们宣传和应用。下半年我们就做一个宣传和培训工作，我们目前正在紧锣密鼓的筹备当中。目前我们跟踪一些大的企业看看他们的实施效果。

企业在贯彻实施内部控制规范制度，我个人理解应该从下面6个方面。第一个方面就是要强化宣传培训，提高内部的认识。不管7月1日执行不执行，上市公司总是要执行，只是一个时间问题，延续明年下半年，或者后年总之是要执行的，所以工作还要往前做。所以要宣传培训提高认识。第二点就是要健全内控机构，提供组织保障。不少企业有内控部、有风险部，有的是单独设立了内控部门，有的是放在财政部下面，有内控部。形式不一样，但是我们从基本规范角度要求，要设立机构配备人员。第三点要循序渐进，稳步实施，不是哪一个部门，不是我们财务部一下子的事，是需要多个部门配合。对于企业因为差别很大，差别很多，千差万别基础也不一样，建议分步骤、分层次的进行。选择境外上市公司执行，考虑境外上市公司资本市场是适合公众利益，执行效果好坏事关资本市场的稳定，但是上市公司基础较好，人员素质较高，本身有完善的内部控制的制度体系，同时也有雄厚财力支持，所以选择境外上市是有扎实的基础。第五点我们建议注重实施成本，讲究实施成本。第六就是强化内部控制建设，增加风险防范能力，应该进行统一协调。

最后一点就是要企业善于借助外部资源，合理利用外脑。企业在实施过程中内部控制标准体系过程中，让人感觉到这方面人才，智力资源的局限于可以借助外部咨询机构，中介机构，帮助你设计，避免少走弯路。同时让咨询机构培训自己的人才，这样提高企业综合管理水平。我要汇报简单给大家汇报一下的是我们财政部牵头这项工作的基本思路，不对之处请大家指正谢谢大家。

主持人：非常感谢胡处长的发言，下面我们有请来自IDS Scheer咨询经理阚相元先生发言。阚相元：各位领导，各位来宾，大家早上好。

我代表Scheer公司，与大家分享一下我们内控风险管理的认识和经验。

在正式演讲前我们Scheer公司是德国著名管理信息学教授在1999年建立的，进入中国是2004年，目前公司在北京上海，还有深圳，有三个办公室，在中国主要是提供两个方面大的分别服务一个是SAP实施和核心ERP系统咨询服务。第二服务我们公司业务流程管理系统核心包括风险和内控建设，进入中国时间虽然很短但是我们在中国市场获得很多客户，包括一些跨国公司。

今天的演讲分三个方面去介绍，首先，跟大家分享我们看到国内管理的企业在整个内控与风险管理建设方面遇到一些挑战和困惑。第二，我们看到信息化系统在解决这些困惑和挑战方面起到什么样的作用。第三个方面，我们会用一个具体的案例介绍一下两个方面。我们现在企业面临很多的要求，要求我们企业加强内控风险管理，我们分析了一下，这些要求不外乎是从四个角度出发，比如说国资委的《中央企业全面风险管理指引》，从是保护股东权益角度出发，还有保护公众权益出发的，还有一个是专业的行业部门，为了保障行业稳定发展，尤其是金融行业，比较明确是我们有银行的一些管理办法。还有保险业，还有政府部门维护整个市场经济经济角度出台一些要求。

比如说财政部内部控制规范，这些核心思想是结合本企业自身特点，一些基本参考框架建管理体系，实际上和我们在很很早之前做的ISO的应用是一样的道理，无外乎我们要参照基本要求建立企业自身特点的管理体系，我们有很多客户交流，尤其是一些国有大中型企业，和上市公司交流大家会遇到一些困难，我们遵循上交所规范，和财政部规范，还有国资委中央企业风险管理的要求。我们怎么保证一套体系满足这些要求，我们要分门别类地架构我们的体系，我们企业肯定是不堪重负。我们仔细分析了一下及我们以财政部和国资委两个法律法规要求看，他们是不矛盾、不冲突的。他们的核心思想是一样的，比如说我们财政部内部控制基本规范，提高我们内部控制体系核心要素分为五个部分，我们国资委前面风险管理执行里面也提到很多条，但是他们明显有一个明确的供应关系，我们认为我们结合一些国内外的案例，《企业的内控与前面风险管理指引》，有不同政策要求，但是我们都何以分成三个层面理解，首先一个层面我们要结合我企业特点，识别出我们的风险或者是控制点，设立我们相应对的控制措施，是我们整个体系设立层面。第二，我们要把我设立措施应急方案在企业内部推广也是一个控制实施过程，第三我们保证体系健康发展，做工作对体系运行设计和工作实施情况，进行监督，对不足之处改进，确保我们整个体系设计是合理的，执行是到位的，这样一个体系。

根据我们对不同客户的交流按，发现大家面临一些一样的困惑，所有管理政策要求核心要求是基本是一致的，第一就是要设计符合企业内部业务特点的管理体系，并且这个管理体系要能够根据公司业务，比如说组织架构调整进行及时调整。第二就是我们要把体系形成文件，作为我们执行和审计的依据，作为监督改变的依据。这样我们看到整个企业面临两个方面的挑战，第一我们体系改革的中心、编制审核很难跟得上业务变化，组织是在不断调整，业务流程是不断变化的，信息系统建设是逐步推进，每次做这种变革需要我们重新审计这些文件。第二就是我们体系文件难以根据外部环境变化进行及时调整。

在控制实施方面，所以体系文件我们看到有两个要求，一个是根据设计的方案，我们体系设计与执行的一致性。第二就是实施过程当中你要保留一些可以审计，检查，这样一些依据，比如说控制实施了，要留下相应证明文件。这样我们可以看到有很多企业面临两方面挑战，第一就是缺乏有效的发布实施平台，我们做这个文件怎么能够让我企业内部从高层到基层管理，大家都知道，业务当中执行这是一个挑战。第二就是胡处长提到我们企业控制点很多，我有的客户有5千个控制点，如果全部用人工进行控制的时候，控制成本会很高。这是面临两个挑战，在整个体系监督和改进方面，有两个核心管理要点，我们要对体系设计合理性，实施彻底性监督并且定期出一些评价。第二我们评价监督资料要保留一下，可以供外部或者是企业的监督点所使用。

这样我们可以看到企业里面有两个方面要求，第一就是我们体系监督本身工作量很大，协调的难度也很高，这样导致我们合规的成本是很高的，第二就是我们需要和一些企业定期每季度，每年度要做监督测试的工作，这些工作资料实际上对我们整个体系持续优化是很重要。但是我们很多企业做完以后，发现资料量太大，我将来不会再利用，达不到我们持续优化的目的。

上面这些挑战直接导致后果就是四个，一个首先合规成本很高，我们看到很多企业最早国内企业是遵循美国的《萨班斯法案》，动员内部很多力量，才能完成合规工作。第二，很多企业抱怨，我是把风险控制住了，但是我们业务效率降下来，业务要不断识别风险，满足内控部门要求。第三导致的后果是我们很难持续地合规，今年可能通过，明年能不能通过还是一个未知数。第四是企业很难满足不断增加的内部的合规要求，我们国内上市公司面临这个困难很明显，最早是满足《萨班斯法案》，国内又提出，国资委又提出要求，最近在财政部也提出要求，企业怎么满足不同需求。这个我们认为可以借鉴向国外上市的公司，用《萨班斯法案》上市的经验，可以分五个阶段。第一个阶段是企业如何去控制规范，企业具体要求是什么，第二就是我要建立业务体系，第三就是我们要内部体系进行评价，第四个阶段我们企业面临挑战就出来了，企业寻求信息化的手段，首先想到信息化手段我们要把我的内控测试，监督工作流信息化，我们要把整个体系文件信息化管理，第五阶段我们更高层面规范我把业务标准化，很多跨国公司很多相同业务存在，他们风险是类似，也是可借鉴的。如果不存在业务单元，业务列成标准化，我风险的数量会大大降低，这是流程标准化。最后就是他会有一些信息化的手段实现我们业务和我们内控有机融合的目的。这是我们所面临些挑战与启示，下面给大家介绍一下我们在内控和风险管理的一些解决方案和想法。

我们认为国资委前面发的指引也好，或者是财政部规范也好，明确提出企业在内控风险管理过程当中充分发挥信息系统作用，也结合我们在国外的一些经验，我们现在解决模块就是6大模块，基本涵盖我们整个内控和风险管理过程。第一就是我们首先一个建模模块，可以把企业内部业务和整个风险和内控风险体系文件进行管理。第二是风险事件的管理模块，我们怎么建立风险事件部。第三是风险评估模块，我们把风险评估任务分到各个管理部门把所有风险进行排序。在第二层面控制实施模块有两个，一个是帮助发布实施模块，我们可以给企业业务流程，让业务流程管理人员共同使用。第二是监控及预警的模块。我们一些业务的指标，资金流动性等等这些指标，第三层面就是我们有一个监督改进模块，可以使整个体系监督测试工作机械化。

我们在跟企业沟通过程中有一些问题，我们体系文件问题是很多，我们用大量文档，我们看到表述了企业业务实际情况的文档，还有一些风险矩阵，包括一些制度组织，发信这些文件是分散，在业务上是有联系，但是在管理手段是没有联系，我们怎么做风险识别呢？我们系统有一个基于一个数据库把我们整个企业业务现状和风险控制集成化进行对象化的建模。我们左侧看到了一个流程，我们发现有一个风险点，这个风险点有一些控制措施，基于控制措施的执行情况，由于会有一个监督测试措施，针对这些测试我们制订一些人员，在系统里面把有机关联起来，进入一个建模。基于我们信息化模式可以进行快速分析，我可以知道我们企业业务存在哪些风险，我知道哪些管理这些风险，哪些风险是在哪些流程上这样我可以很容易抓住一些风险的重点，并且我们业务管理软件有一个很好作用我能够把企业里面对于同一个业务，从不同管理体系的要求，都在这业务流程表述出来，比如说从质量管理方面的要求，安全管理信息的要求，内控管理信息的要求。在整个表当中我们可以看到三套流程框架，我在具体执行业务过程中我到底要执行哪套业务，执行哪些要求，我们这个系统是可以把所有管理体系的要求落实到一个业务流程体系，这是同一个业务流程进行集中化的管理。在我们系统可以根据不同管理体系要求，我们质量管理要求，内控管理要求，再出具不同的业务报表。

我们的系统最重要一个点我们可以搭建一个业务部门和风险管理共同使用平台，首先我们业务人员和风险管理人员可以进行业务的建模和风险管理建模，形成一个企业管理知识库，管理人员可以看我们风险点，业务人员可以看业务，并且可以满足跨地域的支持。

综合来讲，在这一块特点主要有两个，第一搭建业务人员和风险管理人员共同使用平台，第二我们可以提高业务流程风险管理制度的效果，前面讲到可以减少工作量。

第二跟大家介绍一下我们风险评估的模块，是一个风险评估软件，在我们风险评估内部发起到外心，到风险评价结果分析，前后我们都可以在系统里面完成。最后系统要给企业管理层几个报表，比如说定量分析的热图，定性分析的热图。并且我们可以根据我们多次评估结果掌握不同风险变化趋势。这个风险评估解决方案特点，主要有两个，第一我们通过流程信息化，我们把风险评估工作，信息化以后，固化以后可以建立一个持续风险评估机制，比如说对某一个风险要半年评估一次，到期的时候，系统会自动发起评估任务，可以确保风险评估任务的工作，第二我们基于同一个平台进行风险评估可以保障所有风险在同一个平台实现，可以掌握所有的风险的情况。第三个模块是我们风险损失事件管理，可以通过一个工作流建立一个数据库，给我们提供一些风险借鉴的案例，比如说我们看到一个信誉风险有几次，原因是什么，这样对我们风险识别有一些启示作用。它的特点有两个，一个是通过信息化建立一种固化持续化的风险机制，第二建立公司统一可以对风险应对提供一些数据化的支持。第四是我们监控和预警的模块，这个模块最大的特点是我们可以从企业业务系统里面提取业务数据，进行指标的监控基于规则的事件识别。

我们系统最大的特点数据功能是非常强大，可以跟现在所有的业务系统和数据库可以进行数据的收集和对接，我们可以把企业很多关心情况展开的地方，可以预警展开指标的情况，从而实现风险之前的管理和运营。我们设计了一些业务规则，看系统里面我们业务操作过程中有没有按照这些规则做，实现过程控制，还可以提供一些选择功能。比如说我们能够看我们的职责，在各种信息系统里面落实情况，检查全面配制的正确性，合理性。

最后是我们测试和评价模块，这个模块主要是通过测试和实现对我们体系监督评价，这样我们的软件也是一个工作流软件，涵盖了从测试任务的发起到测试工作的进入，到统计分析到改进工作跟踪，全过程涵盖。它的最大特点能够和我们建模模块做最初体系软件，进行数据同步，保证我们在监督测试的时候，我们看到和我们体系设计的初衷是一直的。

最后它这个系统有一个很大的统计分析功能，出一些多纬度测试结果，内控和风险管理绩效考核，不同业务哪块业务做不好，哪一块风险管理不好。我们可以从不同角度，或者和哪些科目相关的风险控制点到位不到位。我们通过流程信息化建立个测试及整改的工作机制，第二我们系统和我们体系管理系统进行数据接口，保证在测试过程中使用所有的文档都是集成的，不用工作人员手工做很多文件，第三简化我们大量工作，提高我们的工作质量。下面我们简单介绍一下我们在德国做的案例，这是一家在国外上市的大型国有企业，最初就是做内控项目是从《萨班斯法案》开始，在遵循《萨班斯法案》过程中他发现有几个方面挑战，第一是业务流程管理水平很低，增加了内控管理的难度，影响内控管理工作的落实。缺乏一套可以全面表述工作情况的文件，不能不全面的表述出工作业务的实际情况，要识别风险加以控制这是一个很大的挑战。第二是他的组织人员非常庞大，他体系管理难度是很大。第三挑战他的内控监督测试的组织，工作难度很大，测试成本很高，用的几百人的人力进行一年工作，才能做完，首先有很多的工作细节导致很多测试成本不是很高。

根据这样的特点，我设计了基于风险管理的系统，首先把我们业务和体系文件管理起来，第二做人力和测试模块。第三就是我们要把做完的业务和体系文件发布出来，同时这个系统还能够支持我基于同一套流程，可以满足我内控也可以满足我ERP实施的要求，还有一些指标的控制。做的第一个工作首先是我们把业务进行全面梳理，从横向到纵向可以保证我业务真实的业务状况。基于这情况我们看每一个业务流程里面有那些风险点，业务目标是什么，有哪些不确定的因素，针对风险点我们有哪些是控制措施，风险管理，控制执行我们怎么测试进行一个统一规则进行了一个描述，以后我们可以发布出来企业管理的内容库，这样我的业务人员在维护人员可以看我每一个业务要求，风险管理人员可以快速看到的风险可以到那个里面去。通过前面讲的测试的管理和测试的统一分析，极大地节省了他们的人力与物力。这样以后我们跟客户一起总结，整个做完以后收益是体现三个方面，第一是通过风险管理工作，进行业务流程标准化，加强企业规范化指引，提高业务管理水平，这是客户一个收益。第二提高内控管理的工作效率和质量，降低我们合规化成本，主要是信息化手段降低了工作量提高效率降低了合规成本。第三方面的收益实现了内控管理和业务经营活动的有机融合，过去内控风险管理工作就是风险管理部门工作，业务部门是对专业部门去推动的，这样一个双方抵触的情绪。通过这样一个程序双方可以落实，把我控制风险融合到业务当中去，实现业务管理工作和风险控制的有机融合，我们对内部监督测试过程也是对我们业务执行力的检查，也是业务执行的保障。

今天时间有限给大家介绍就到此为止，谢谢大家。

主持人：非常感谢阚先生。下面一个讨论主题是“中国石化信息化建设和内部控制体系”，有请中国石油化工股份有限公司信息系统管理部处长姜林。

姜林：各位领导，嘉宾上午好。

我汇报题目是“中国石化信息化建设和内部控制体系”，汇报的内容包括中国石化基本情况，信息化建设和应用情况，信息系统内部体系，IT内部体系。

中国石油化工股份有限公司是由中国石油化工集团公司，国家中华人民共和国公司法多家发行方式，2000年2月25日设立股份制公司，分别在香港、纽约、伦敦，三地交易所成功发行上市。

2001年7月16日上海证券交易所成功发行了28亿A股，截至2008年年底中国石化总股本857亿股。中国石化是中国最大能源化工公司之一，主要从事石油与天然气开采开发。管道运输销售，石油炼制、化工、化纤、化肥等等产品输送。石油、天然气、石油产品、化工与其他化工产品进出口代理进出口业务。技术信息研究开发应用，中国石化是中国最大的石油产品，包括汽油、柴油等主要石油产品，也是中国第二大原油生产商。

中国石化建立了规范的治理机构，实行了集中决策风险管理和专业化经营事业部，事业部管理体制，中国石化有全股子公司，包括炼油、化工产品销售等企业。主要是集中在中国最发达的东部和南部的地区。中国石化更加注重科学创新、管理创新，努力把石化建设成为能源化工公司。

中国石化最大股东中华石油化工集团公司是国家在原中国石化公司总基础之上，1998年成立了特大型石油石化集团，美国《财富》杂志2008年世界500强中国石化名列第16位。第二方面是信息化建设了应用情况，2000年以来，中国石化以ERP为主线信息化建设获得快速发展，到2008年底ERP在81家企业，以ERP为带动电子商务系统、供应链系统、生产指挥系统、集中管理系统，一些先进控制生产集成系统，等多种使用系统都得到了广泛的应用。目前信息技术应用解决中国石化生产管理多个领域，中国石化ERP开始于20000年，在4企业成功试点多个展开，包括油田，炼油化工销售，企业全部覆盖，企业从业大规模ERP建设，2007年底基本完成，ERP系统推进资金改革提高管理水平，规范信息管理行为，强化控制方面效果明显。

中国石化通过采购电子商务系统从2008年8月投入至今，网上采购结果88个单位，5千个物资扩大到目前50多个单位，76万多个效果，90%的物资实现了网上采购，到09年3月网上采购资金突破6千亿，集约采购200多亿。对供应链系统经过几年建设，提高原油采购，运输、加工，供应链管理系为炼油企业讲稳增效起来发挥了重要的作用。人员统一调配，用统一安排格局及实现技术指标分割，数据采集，监控分析，有效地降低用户费用和财务费用。目前总部生产系统以新大楼统一运行，实现调度跟踪，系统各项部门功能得到有效应用，总部集中了平台，用户总体不断扩大。目前已建成IC卡联网加油站17000多户，发卡网点5000多，持卡消费33%以上。增产集成系统用三年左右时间提高到2到4个小时完成，为企业降低能耗提升精细化管理水平有很大的改善。其他应用系统，全面运算系统等油田企业炼化企业、教授企业、科研工程单位信息化建设也得到了深刻发展。

第三是信息系统的内控体系，我们03年成立了内部指导小组，成立专门办公室，组织协调内控建设和实施工作。应对不同市场，借鉴美国经验提出内部控制框架，公司经营财务有大关键划界，制订了内部手册，经过测试于2005年1月1日起，在公司正式实施内控制度，经过四年多实践，内部范围控制逐渐扩大，覆盖了中国石化所有活动内控体系。中国石化内部控制手册2009年版有18大类，配套相关总部管理制度244个，各分公司规定了工作流程结合本单位。为了保障内控管理有效实施，办法内部控制办法，在总部分公司两个层面使用。中国石化内部控制手册2009版本有17个流程，基本全部实现了信息化，另外5个业务流程为IT部门流程，其他业流程暂时没有实施信息化，或者与信息化无关。

第四个问题向大家汇报一下中国石化IT控制体系。中国石化IT控制体系包括IT内部业务流程，IT一般性控制，和IT应用控制。2003年建立了信息系统管理业务流程，2005年启动IT控制工作，2006年建立了IT一般性控制，2007年结合ERP系统，应用系统和基础设施IT一般性控制流程。2008年IT控制体系进一步完善，并将重点专项IT应用控制，2009年随着深化ERP应用进一步深化IT应用控制。IT一般性控制包括企业整体层面IT控制，和企业活动层面IT控制，近期系统管理业务流程IT体现包括与管理体系，信息化教育培训及凭险评估，信息安全管理重要控制内容。有关活动层面IT要求，通过ERP系统控制流程等体现，ERP系推IT一般性流程，包括和数据访问，程序变更等等，业务流程IT一般性控制流程，主要财务报告是生成相关，如ERP财务报告系统，加油卡系统流程包括程序变更，访问方面内容。结合网络服务器，机房设计。流程包括机房管理，故障处理方面内容。中国石化IT一般性控制主要和信息系统日常管理结合，经过几年扎扎实实的工作，对外部省市认为中国石化IT控制到位，保障信息系统安全，稳定系统方面发挥重要作用，中国石化IT控制主要有ERP系统应用结合，ERP系推是中国石化主要系统，比如说计划控制、一般控制、价格控制等等，自动平衡资源及实现资金流，物流等等。通过发挥系统集成，满足用户管理要求，实现IT控制目标。

中国石化内部控制手册设置50多个流程，以27个业务流程与ERP有关，总体实现配制控制，输出输入控制，包括时期控制、操作规范控制，日常操作，垃圾数据操作。用户检验包括组织值，关键词代码，以及系统机构控制。ERP全面实施落实IT控制提供标准平台，有利实现IT控制目标，提供了有效的保证，实现提供有效保证，在深化ERP系推同时进一步加强的IT控制。

主持人：非常感谢姜处长。下面有请网康科技服务部总监陆续周先生。

陆续周：很荣幸有这个机会，跟各位专家交流一下内控体系，我本身有在一个大企业做过10年的IT系统，而且比较早的实现了有关的业务内控，我的交流分五个部分，引言，把内控条例读薄。

内控刚才也讲了是一个全员的工作，尤其是核心团队共同实施，因为借助信息化实施，所以一般CIO比较痛苦，我该怎么办。其实整个技术层面内控里面是一个支撑，如果说我不能一下子全做到，有一个办法分布落实，这个时候可以看到把内控条例读薄对我们有很大帮助。一个经济学的泰斗跟我说过，书里面东西比电视好，书里面东西可以让人聪明，电视可以让人变傻，因为书是可以越读越薄，把内控条例读薄对我们有很大帮助。在这个内控条例里面我们最主要是宣传、培训，让每一个落实人心，无论是美国的安然，还是经济危机美国企业高管，依旧发高额年薪，往往是因为人的不当操作导致，内控精髓是规范人的行为，让规范深入人心，同时让人难以有意、无意违反这个条例。所以我的标题就是“内控以人为本”。我觉得要想把内控读薄有很多范围，画了四个框。首先内控是一把手工程，从董事会，最高层要重视。第二点是整个核心团队，共同参与设计不要指望就是IT部门做内容不可能。但是IT部门的这种支撑、架构是必不可少，我们内控所有流程都在支撑系统中，人的大脑效率是很低，我们一定确保内控条例，确保我们规范真正深入人心。往往人懂了不抵触，就会知道这样的好处。我以前的公司老板跟员工说我为什么要做好控制，因为只有我们控制住我们才可以活着，如果公司不好，员工得不好，所以公司600人一样可以进行很好了内控体系，我们有了框架以后我们怎么把内控体系读薄，构成一个企业无非是两种，一个是活生生的人，还有一个是企业资产，同时我们业务运作有业务流程和财务流程，是我们要做内控体系要关注方面，把我们这些梳理清楚以后，有了这些关注点以后，我们怎么对每一个点进行内控规范设计，在内控条例章节里面可以看到，第一章第六节，权责分配、企业愿景、人力奖惩、可审计、反舞弊。每一个设计流程关键点切分，每个点都很重要，但是每一个点流程应该怎么做的，第一我们处理任何一个流程，任何关注点的时候我们要遵循第二章到五节第一风险分析，控制措施，信息沟通，监督检查，一点可以分成20个操作步骤，不管有多少点我要抓住关键操作过程就一定可以做下去，我本来想画一个四维图，本人美工有限画不出来。我觉得还有一个很大的纬度就是我们网络，内部和外部网络，有这么多点我已经知道了，那么我该怎么做，今天有做窗效应。如果我想做窗等到我们所有的窗户一次性采购完，这样的话让别人认为窗户破是应该的，不破窗户我要打破，这个是一个很知名的效应叫“破窗效应”。这样的话用最快的效益，把能够修复好尽快修好，给人一个意识我不能再打破其他窗户了。这种思路一定要灌输，内控条例里面有没有可以尽快修复破窗呢。

这是整个架构内部外部网络，内部网络关注于每个企业的个性，比如说金融、石化、科研、政府内网一定不一样。一个是设备制造商内网一定不一样，它的流程很复杂，外部网络比如说我访问互联网、访问邮件、访问外部应用是有通用的，是一种普适性很强的，不妨我们从最容易下手的地方下手，把破窗破除掉。

这是我的心得，内控先找软柿子捏，在这种外网互联网环境里面我们可以看到，它实际上贯彻了一个企业企业文化，企业愿景，就是人员基础，我们利用互联网知道应该做什么，不应该做什么，这个是通用而不准则，因为是一个基础所以很重要，因为通用是一个软柿子，很成熟不需要我们太多考虑我们业务的关注点，在外界很多大量已经成熟可用的方法，来破除破窗。同时互联网这种行为是人的第二人生，可以反映出一个企业人的文化、思路、想法。因为我们曾经给客户做咨询的时候，我们很轻松发现哪些员工想跳槽，是一个人的思路直接体现，所以当我们了解人的思路以后，了解了关键点之后，我们想让我们其他规范深入人心会变得很容易。所以说互联网行为的内控实际上是一个已经成熟，而且成本效应更高的软柿子，我们不妨从这里下手。内控为两种，那么互联网内控，问题到底在哪里，我们现有体系是不是已经把内控实现了。我们来看一下，根据我们服务过很多客户的角度看，第一现有状况很普遍，内网IT没有认证，没有专业互联网接入的安全体系，会导致我们内部的人员根本不知道谁做的，我相信我们越大的网络越会采用动态的成本，这种情况我们怎么知道谁做了什么事，我们不能关注到人何谈内容，没有权限、没有规范。第二，我们互联网上可以看到无论是HTTP网页下载，还是最流行的P2P下载，还是IM的收取，都是面临企业挑战希望员工不违背的事情，大概30%是国家级的网站，我听到收音机，说北京市青少年每周平均上网时间是37.5小时，如果按8小时工作日，将近5天，而且其中有一半的学生访问过色情网站。实际上可以看到这里面网页的问题很大，同时像P2P基本上没有太多用来传数据，基本上是娱乐。

像IM、UML都是我们想控制的，但是却控制不住。第三点实际上在我们外网业务我们缺少有效出口，我不知道外面的文字是什么，这时候带来是本身在金融危机下避免风险是最主要的事情，规避风险，那么因为我们无法控制，接入的风险就很大。同时我们企业机密，核心信息往外发送是太简单容易的事情，我印象最深当时国内两大运营商，签署互不侵犯条约，这个时候我们对数据保护来说存在很多的问题。其实我们IT系统最重要是要付出有所得，由于我们局域网带宽很大，运营商核心网带宽也很大，我们想让企业网能够匹配这个大小不可能。第五点最重要的一点，跟企业文化有关系，我们在一个专业的报表里面可以看到，我们员工在互联网上，只有45%是查询有效资料，其它的是在做与工作无无关的事情。如果一个企业文是让员工积极向上，而在某一些工作行为当中是积极向下。的确我们想控制，但是为什么控制不之呢，可以看到，安全里面有一个很重要效应叫“独眼鹿效应”，这个“独眼鹿效应”我们默认的是防外，不防内。第二是说很多我们不希望发生的行为，往往披一个合法的外衣。现在可以看到现在的我们信息专家，80端口的迅雷，我们有太多协议。第三我们内容细节没有办法判断，因为我服务公司是一个研发公司，从网络传一个SP是什么我不知道，我只知道是一个文件这种情况我们怎么管理。

我们讲两个案例，一个是华为电脑，可以看到300多带宽70%以上流量被工作无关的内容占用。第二是国家核电，自成立以来是一个部级单位。为什么和困惑，我不知道网络可以传输B2PIM里面内容是什么，但是我想知道里面内容是什么，不能让里面核心的东西出去，这是我们中国企业困惑的。在国外企业来说可以看到通用电器，还有摩根大通、环球电视，这些都很早做了互联网控制。

有了这些问题我们怎么做，我们服务客户我们觉得我们把这个条例读清楚，互联网技术层面传统的有传输的HTTP等等，新兴的P2P，等等。在我们内控点上结合我们有哪些，第一主体健全，我们行为要符合企业远景，我们行为要可审计，要能给IT成本很大收益，我们行为能够让人力资源部进行相应控制，我这是我们在外网、内网的着眼点。管理方法我们在两年前就提出内控风险管理，就是一个典型的干预，大家遵循是螺旋式上升原理，我是任务模式不是功能模式。比如说我们设备防火墙，是把功能模式，但是不是任务模式有效灌输给我们客户以一种方法引导我们，所以我们很早提出的理念就是遵守我们风险评估。

具体的建议，第一点无论是什么样的系统，我建议都新用一个路由器放进去。你是双面的，单面的，还是旁路接入都可以，把我们互联网出口进行这种进行下一步分析。首先建立有效的行为主体识别机制，与组织建构真实的相关可靠的真实的网。这是我们第一步主体健全。第二是我们分析进行相应的风险分析，我们知道有网站，应用，流量问题，为什么搜索习惯写在里面，我们曾经用一分钟的时间搜索，就是一个员工做什么，虽然就是几个字，十几条，这种搜索习惯很容易看到企业的员工的心态。第二，我们专业网页应用完善自己监督与控制，是内控体系第二步，我们是借助全球最大的中文搜索部，对各种各样外发信息内容，大小，人员行为识别，对流量通过我们独有通道来有效控制，可以能够让我们安全体系、能够让我们互联网控制体系达到有效的控制。第三点是最最重要的，一个我们解决方案决不能是看，控，一定是可分析、可统计、可查询。这个是我们内控里面很重要，我如果持续发现我们网络有新的问题出现，流量有异常，不断发现我们有异常，不断地和我们主管公司高层沟通，发布报表可以有效让这种制度落实到人心，让大家知道我该怎么做。

通过对外网的内控体系、内控思路、内控方法的灌输，我相信合法、合规行为将将一个积极向上企业文化提心，信息保密，外发控制会得到有效，同时资产保护也会得到很大的保护。当时华北电网部署网上体系以后，带宽下降了150兆，国家核电全网采购了我们的体系，他的所有代发体系就健全了。

这是网康的服务案例，大家都是全网采购，无论是国家部委，这是最大金融机构，国内很大上市公司，还有制造业、媒体，各个区域像华北电网等等。可以看到通过部署这些装置，很有效的能够管理企业。

网康公司实际上已经持续5年为互联网提供专业服务，我们以每年300%速度提升。我们价值，我们理念是以人为本互联网管理思路，以人为本价值呈现我们在第8层上，我们希望能够在第8次做到人与技术完美结合，服务于我们中国企业上好网，用好网谢谢大家。主持人：非常感谢陆先生的精彩发言。下面我们有请用友公司NC产品架构师付建华女士。

付建华：各位来宾，上午好，非常荣幸能够有这次机会我们借助这个平台，用友公司和我们在座的企业高管，我们公同探讨一下信息化环境下企业内控的建设。

说到这个话题，在今天和大家交流的时候，除了在后面介绍用友NC系统，之前还要想稍微花一点时间交流一下IT技术或者说在信息系统环境下，企业内部控制管理差异和重要性。

首先看看IT环境下企业内部控制体系的建设，前面我看到来自于不同的企业嘉宾都提到了。我们说到企业内部控制系统建设的时候，我们都知道离不开IT的手段和工具，实际上在我们交流这个问题的时候，如果我们是在座企业的CIO，或者你是企业将来服务内控工作开展职能部门的负责人，我觉得首先要思考一个问题，在目前IT环境下，我们这个企业开展内部体系建设、健全、保障它有效执行，然后进行监督和评价的时候。到底和原先在传统方式下产生了哪些差异。在《萨班斯法案》颁布以前，没有一家企业可以说我们没有一点内控机制，如果你是中型企业、大型企业，企业制度和相关文档这些东西在企业当中都是有，但是法案颁布以后对企业要求更加体系在几个方面。第一是内控是否完善健全，第二风险内控是否得到有效执行，第三法律要求进行监督评价，如果内控有漏洞，没有让公众及时了解到，要承担相应的法律责任。

在企业围绕三个层面开展内控管理建设，执行评价的时候，首先你要来思考一下在IT环境下，或者说信息技术与信息技术结合情况下，企业内控管理如何开展。首先看一下信息技术给企业内控管理带来影响有哪些方面。

首先控制原则和方法发生巨大改变，我们原先说内部控制基本原则和方法，我们知道有原则，目前对于企业也可能要非常关注信息技术，IT环境下控制原则变化，信息技术成为企业内部管理很重要的方法、手段和工具。第二是控制内容和方位，从5部委中我们可以了解健全企业内部控制体系，IT控制是你企业必须要关注一个领域，原先你非常关注我企业工作治理机构，组织架构，职责权限，业务流程在企业循环的控制。在当今企业环境要更加关注IT控制这块，要思考一下我们企业以前，公司以前在IT控制领域是否有健全的控制体系，制度是否有有效的监控手段。这也是一个巨大是变化。

第三个方面也是IT技术对企业带来的挑战，你的内控制度体系设计非常有效，但是执行是否得到有效保障，所以说内控执行在目前管理情况下，所有企业或者说大中型企业借助于IT系统保障内部控制有效性。在座的各位领导公司知道没有一家公司不会使用一部分软件，比如说使用ERP系统，Oracle或者用友，其它软件系统。你的核心业务、财务信息、报表会在这些系统里面产生，那么如果说这个时候你的内部控制执行的手段，或者说执行的评价要绕开ERP系统或者是IT系统，企业可能就不能正常运行。第三点我们可以用一句话指导它的重要性，对客户框架有深入分析，我们知道全球包括美国、英国，包括新加坡、香港、日本，还有我们现在中国，所以的国家在制定内部控制相关法律规范的使用框架，是遵循的COX框架，如果你这个企业的内部控制执行，是依赖于某些IT工具，比如说ERP系统，其他的软件工具，将来第三方见证机构对企业进行内部控制审计评价，可以适当的减少审计工作量，提高内部提出有效性可信任评估，所以借助ERP执行是非常重要的了。如果说像我们原先很多在海外上市公司，每年请四大帮你做内部审计，或者咨询费用是非常昂贵。如果说我有了可靠ERP系统，所有内部控制都在ERP系统当中得到良好体现和控制，你的审计和相应成本会缩小了降低很多。这也是企业要关注的重要一个方面。

另外一个方面就是控制监督及我们知道法规颁布以后，对企业带一个新的挑战，就是内部控制必须进行监督评价。这个监督评价包含两个层次，第一个是内部监督评价，我们看到国内上市公司都着手把企业的内部及审机构职能进行扩充，原先可能是传统审计就是报表审计，现在要扩展传统的审计，企业内部控制、独立审计等等方面。在内部监督评价同时，法规明确要求必须请外部第三方机构进行有效评价。在评价和监督的时候，我们知道首先我要检查你的内部控制设计是否健全、有效。检查的时候事务所是看内部控制设计是不是得当，这是第一个。接下来就是内部测试执行是否有效，要看你内部控制的证据，企业核心业务在ERP系统上，那么ERP系统可以帮助你保留你的关键业务执行过程当中证据、文档、资料、报告，供你企业内审，机构检查一些证据，做出评价。同时，我们知道如果你看这个基本规范的时候，只说了一句，要请第三方机构对内审机构评价，你需要在年报当中明确的公告你的企业内部，对企业管理层，对内部工作的评价结果是怎么样的。我们看到很多上市公司从2007年年报当中就开始披露，大概有两段话，认为我们公司内部工作是完善有效健全等等，这一段话是给公众看。背后包含内容非常多，你这个有效性是要有证据，虽然没有披露给公众但是都要包含在企业当中。所以这些数据依靠手工整理这些证据，保留这些证据基本是不可能实现的。

第四方面也是我们企业在现在应对法律法规要求的时候，要考虑的，我们怎么保证这个有效性评价，提供证据。这四个方面对我们是非常重要，这是我们提到的第一个方面，IT控制内容增加，我们时间有限，不相信展开讨论这些问题。如果说我们是CIO，IT控制这一块领域要围绕这些部分，IT控制建设是围绕这些方面。在这些方面当中如果你的企业用了软件系统，比如说ERP系统，ERP本身的环境控制，本身安全性是你IT控制重要核心内容，这个是给大家作为一个简单提示，不要忽视这个方面。另外在执行的时候，我们看到执行的过程全面可以在系统得到有效保障，当然企业内部的内容涉及到公司治理到每个业务全部内容，其中有很多关键核心的东西，我们可以借助平台网上控制执行有效性，将来要借助ERP系统内部控制执行过程信息记录下来，证据记录下来。我们举一个例子，假如说信用控制是企业非常关注的点，在很多行业信用控制是风险非常高的地方，信用控制的制度，文档设计好以后，接下来要让信用控制得到有效执行，这就要包含一系列的动作。首先要先做什么资质鉴定评价，有相应的资料。评价完毕以后设定信用的情况、信用的额度，所有业务发生完的时候是否受到了控制，这些都是控制证据。这些控制证据如果说你销售管理系统采用是ERP系统，ERP就应该帮助你留下这些信息证据。这都是将来第三方审计的时候要看的，如果第三方审计的时候，看的时候问你这些信息在哪呢，我说我们不是手工管理是ERP管理，但是这个ERP系统当中也没有记录出来完整的信息，这个时候事务所说你的系统是有漏洞风险的，我不能数据无保留意见报告了，所以说在这些方面，将来检查一个系统，软件系统能不能满足我们内控要求是非常重要。

在我们用友公司内部部署多条产品线，分别面对不同客户群体。NC产品也很多企业接触过，是面向与中高端客户群体，尤其是集团性企业的一个完整ERP软件。目前来说我们很多上市公司最先要受法律法规约束的上市公司，集团企业占的数量比较多，集团企业在开展内部控制管理的关注点和一般企业有非常得大区别。比如说我是一个小型企业或者中型企业，内部按照常规内容流程设计开展就可以了，但是对于集团公司来讲内部控制涉及到所有业务职能，还涉及到总部对下述不同类型分支机构控制，第二方面控制是目前设置企业内部控制的时候一定要关注的地方。比如说原来中石油、中石化内控系统走得比较靠前，目前应该重新构建检查内部控制体系的时候，一定要关注这个环节，比如说你的权限的重新设计，权限体系的重新设计，必须从总部一级子公司到分级子公司下来的，我们采购业务是集中采购，某些物资在集团总部有那些，下级子公司有哪些，是要纵向考虑。所以说由于企业集团在控制管理特殊性考虑。

这个软件是为集团企业设计还是为一般企业设计的。NC系统的年软件系统首先一个完整的ERP系统，在2005年、2006年我们开始跟踪相应的法律法规，还是做相应产品规划和完善，我是NC产品内控产品设计人员，实际上在NC产品当中，信息化除了目前完整ERP系统以后，也结合了相应的法律法规，不管是《萨班斯法案》还是国内法律法规，对企业要求就分四类，我们很多企业接触法规的时候，或者搞控制体系不知道该怎么入手，其实就是一个四个方面，第一是内部控制制度的设计，内部控制的执行，内部控制的监督评价，最后就是证据，左边是法规对你企业的要求，每一个领域你合规应该满足要求是什么样的。

结合法规的要求，将来考核软件系统要求软件系统在这些方面支持内部控制开展，第一内部控制稳当跟ERP系统产生一些交互关系，我们内部控制文档文件资料一大堆。然后实际上我所有这些内部控制流程在软件系统里执行，我要看一下某一个业务内部控制文档，再检查执行有的时候很难结合起来，应该要求软件系统提供文件记录或者关联功能，让把两者有机结合起来。第二检查软件系统控制是否严密，是否可以满足你关键业务、关键控制点在你软件上面开展，这也很重要。企业内部明确岗位分离，看五部委规范的时候，每一个集体规范第一页都写了，你要把权限文档变成权限体系，是否可以帮助你稽核不相融职位和岗位的分离，这是很重要。第三要求软件系统对企业关注核心业务数据保留审计线索，这是非常重要，如果没有审计先线索我就不能检查制衡过程中有没有什么漏洞。如说软件系统当中客商档案信用额度随便被别人修改过，修改完了我也不知道。那这方面你们企业这在分析漏洞就是非常大，我关注客商信用额度信息，软件要给我记录，某人是否修改过，什么时候修改，我能够记录下来。

第四点，能够在软件平台查询关键的控制流程、控制点和情况，要求评价内部控制时候要做的工作，这个工作同样要借助软件系统。前提就是一个你的业务是在ERP里面，手工评价是不可能，要对软件这些方面也有要求，我有一个观点和大家交流如果你业务财务都是在依靠ERP系统执行，这套系统检查评价内部控制是最重要。你的内部控制是在用友系统当中执行，你用另外一个软件检查你内控是否得到有效执行，这个效果会大大折扣，如果我们是企业CIO同一个软件公司设计出来不同软件产品之间的集成程度，不可能像一套软件集成程度那么好，一个厂商可以帮助你控制执行，又可以帮助你监控执行是最有效的，集成性我觉得是非常重要一个方面。

另外在平台监督内部控制执行，做出评价。结合这些方面在用友NC产品当中，在各个层次上面为企业提供内部控制服务功能和产品功能中这也是让厂商要求做的，实际上在为企业提供服务的时候，从内部控制管理上面可以分五个层次，刚才我们说到这个企业现在搞内部工作必须关注IT控制，当中软件系统环境控制是非常重要的方面，如果整个企业应用软件是一套，或者核心业务都在用友软件里面，都在SP的软件里，首先肯定要检查这个软件自身的控制是否严格，严密。比如说输入控制是否安全、输出控制是否安全，处理控制是否安全。比如说输出控制，安全机制是否能够满足企业的要求，这件事情说起来简单，但是实际上实践起来也比较难，所有用户进入系统要有用户密码，这个机制是否安全，除了一般的密码是有特殊保障，我们知道在企业当中风险非常高的岗位就是出纳，出纳人员可以去执行付款的动作。如果这个人员可以随便被别人篡改密码登陆系统的话风险就太高了，这些方面软件系统应该有安全的机制，保障你这方面安全还是很有效。

另外我们考虑内部控制建设的时候，关注的一般控制内容，在企业内部控制规范当中也提到了，企业应该关注核心控制的东西，比如说权限、审批、稽核、风险预警等等，这些是所有业务要遵循控制关键点，我们用友满足所有的机制和功能比如说系统当中权限、模型，然后用户决策模型，是帮助你权限方面的模型，是否可以满足企业审批控制要求，系统当中预警机制，是否能够满足你控制风险预警等等。这也是在NC系统当中第二个层次提供的价值。第三方面就流程控制，我们知道所有企业核心业务流程设计了很多控制点，比如说销售业务、采购业务、投资业务、财务报告编制等等，所有这些业务都会涉及到很多的控制点。那么你原先在选择ERP系统的时候，原先这个厂商ERP系统能不能满足我们业务流程，现在要增加另外一个考虑纬度，除了满足销售业务还必须满足我们销售控制在系统当中得到有效执行。业务系统方面我们NC系统结合我们五部委颁布《《企业内部控制基本规范》的要求，全部满足了，没有满足现在把这些内控点在产品中进行了相应补充。

第四方面是为我们内控的监督和评价服务的相应产品，比如说我们将来要监督这些控制的执行和评价，你要帮我留有完整审计线索，帮我把相应控制流程和一些规则输到系统当中去，要提供平台，让我看到我的内部执行情况是怎么样的。这就帮助企业减轻了大量的工作，所以这也是我们提出新的产品功能。

第五个方面是我们公司本来有审计产品，原先我们企业在选择ERP系统的时候，可能不会过多地关注审计的产品，将来就有可能非常关注，企业内审机构在企业发挥职责职能越来越重要。你内审的时候是需要借鉴软件的平台。所以第五方面也是软件系统提供给我们的相应价值。这是刚才我提到跟各个方面，比如说提到第一个系统环境工作，看一下NC系统，在安全性控制提供功能和机制，然后审计线索，安全性NC系统当中可以实现对企业你关注核心的数据、单据、文件、报告单独做CA认证。比如说刚才说的出纳，付款我们要做CA认证，比如说我们非常关注核心报告阅读也可以做CA认证，等等。这样保证系统风险高的地方有效地方安全保障。第二，系统日志非常重要，在NC系统当中分为操作日志、功能日志，帮助企业保留日志信息，结合内控要求不能仅仅结合在原先我们记住某个操作员某天某时间登陆过，要记住相应操作动作，供给，内容是什么，当然这是跟企业不同要求，你来设计你要关注哪些东西，系统就帮助你保有哪些系统。

另外就是撤离上面安全机制要求，比如说系统处理价值，非常重要财务报告完整有效。现在每个几个企财务报告是用手工都是软件，那么系统中处理结构是否安全，也决定了你企业报告的完整有效，管理层解读资产负债表，是否是最准确的债务信息，要取决于系统报告生成机制，比如说这个系统根本没有检查机制，财务系统操作人员。所以系统处理安全机制是非常重要。

第二方面就是系统平台可以为我们提供一般控制规则。比如说系统会提供完善的权限模型，NC系统模型可以结合你对人设计非常细致的权限。软件会帮助你检查不相容职务是否分离，比如说出他和会计给一个操作人员，软件系统可以帮助你检查出来。分角色应用等等，审批的控制，预警平台。

第三方面就是ERP系统各个业务系统可以有效的支部内部控制的执行。这个是企业案例，实际上做得比较好企业，内部控制是制度当中的一个部分，将来我们如果说在座企业内部控制体系还没有健全，制度没有完善，将来你也可能按照这个思路做，分析业务目标，风险，设置控制点，设计监督检查办法，然后形成流程图。这些东西设计完毕以后，要把它的核心东西伴随业务流程开展同时，控制在系统当中得到有效执行，从控制方法预防性控制比检查性控制永远都有效。比如说销售业务必须做信誉额度检查报警等等，都需要做规格，销售价格自动控制等等，都必须借助软件平台保证它的准确有效。这不详细分析了，这也是你在软件系统选择关注点，也是NC系统提供的核心价值。

第四点就是内部控制过程文档证据记录，和内部控制有效性的评价。在这个方面实际上也是对软件系统要求，同时NC软件系统希望在这个方面给企业提供帮助，比如说业务流程发生的时候在系统当中会有很多单据信息。这些都是证据，业务系统可以把这些证据分类，实现各种各样查询，和你风险息息关联，同时跟你后续支持评价。另外，产品可以做内部控制监控平台，告诉你的相关业务流程的控制，你的风险有多大等等帮助你做监督。

最后就是审计系统，实际上企业内部审计开展内部管理的时候，同样要借助审计系统检查ERP系推内部控制执行有性。

今天就用短暂的时间把用友NC系统，在企业内部管理建设中能够为我们服务和价值做一个简单介绍。各位领导和嘉宾有意见的话，用友公司也在做很多市场活动，再做详细的交流和分析，谢谢大家。

主持人：下面为我们做精彩致词的是河北网通信息化部高级工程师屈玉阁。

屈玉阁：各位领导，各位先生、各位女士上午好。我简单地介绍原来河北网通信息化建设的情况，大家知道网通现在和联通合并了，我说说河北网通是怎么进行IT系统的。

我说一下我们中国网通内控测试结果是为零缺陷，这已经通过2007年测试结果。内控基本路径是这样的，首先在美国上市公司要求，我们请国外咨询公司制定满足《萨班斯法案》框架的制度，然后在企业各个层面落实，企业请外部公司进行审计得出结论，最后在资本市场检验审计的结果。

每年内控工作基本都是说依照内控模块制定的活动，依据本地化活动检查点，检查自己有多少差距。我们组织检查各个单位改进，外省一次测试，到年底进行外省第二次测试。信息化工作主要是两个层面，一个是信息化建设与运营，第二是信息化控制的控制。

《萨班斯法案》对财务来源控制途径是三个部分，第一是信息系统，第二是纸质报表，第三就是电子表格。大家看一看ITGC报表，有几个模板。我们原网通公司IT内控涉及的领域有两大部分，一个是一般性质，一个是信息系统应用控制。一般性的系统控制包括四个层面，安全、操作、变更管理、开发与支持。信息系统包括ERP系统。一般性信息工作基本能力，我刚才说新系统安全操作变更管理，和运营系统数据库开发与支持，这个包括详细一般系统操作管理，数据库和网络，还有防病毒等等，还有应急预案，变更管理包括应用系统，操作系统，数据库还有保护变更，在新系统开发包括应用和实施这个层面。一般性管理架构包括核心是应用系统安全，数据库安全，下一个层面是操作系统安全，网络安全，防止病毒应用系统和操作系统层面控制。

举个例子，操作系统安全用户管理，系统管理监控管理，我们在举例子帐号管理要求内控是这样，第一密码格式、无效登陆次数三次，历史密码记忆个数，密码复杂程度，秘密要求6位，默认帐号锁定，帐号超过时间我们是10分钟等等。另外系统包括业务系统数据开发，新的应用系统测试，新的数据结构测试，新的网络测试。

我们说一下当时我们河北网通公司管理，外部看我们有网通公司内部控制管理400多条所以我们工作量是非常大，我们涉及安全、变更、系统开发、操作、信息系统等等，涉及部门就更多了，包括工程建设，物流采购综合部，我们还负责电子表格，实际上要求我们06年必须达到《萨班斯法案》要求。信息系统大部分不能满足IT一般要求，第二很多单位没有形成IT系统控制路径。

2006年我们进行8个方面的工作，一个是内容控制制度建设，贯彻风险管理方式，开展针对性与信息化管理控制工作相结合，统一IT内部流程表述和文档的格式，问题整理及整改措施的落实，现场督导提出具体的管理措施。积极与相关部门沟通，解决COSO、UAT和持其系统存在的问题。最后是组织各单位有效开展管理工作。我们内控制度，首先要求制度健全，我们制定信息系统安全规范，表格的规范，还有做编码，开发要求，开发必须遵守编码规范，还有报财务部一个软件。我们还开展针对性培训，我们培训是考虑两个层面，一个内控要求对信息系统要求，一个是说内控对信息化管理控制以及业务流程要求。我们工作开展培训以后，因为我们是做了大量的培训，我们从举办各个省公司的集团技术主任，从各技术工作进行现场培训，两次进行电话培训等等。这样使员工的内控意识有了很大的提高。我们做了1200页的控制文档，包括开发与测试，还有风险管理内控，还有《萨班斯法案》，还有与外省市沟通。我们第三点，统一IT内控务流程描述和文档格式，河北省有自己管理流程，我们为了加强内控管理我们我用一周时间制定流程，这样写文档合适了，每个都比较完整就达到要求了。上个季度我们也形成了一个安全标准，通过统一流程、统一文档我们在工作深度，进度方面取得了主动权，这个工作我们当时都在前列。

第四个方面，问题整理及整改措施的落实，我们制定了一个内控责任，根据系统分到每一个人负责哪条，每个人负责哪一段流程。我们内控整改工作还包括了两个层面，一个是系统要求，我们原来系统基本上满足了内控方面的要求。技术上我们做沟通做了补丁，要求在2000年的时候达到《萨班斯法案》的要求。五我们要求在网上要做记录，完了之后领导要做相应的确认。第二个层面一定要进行内控的控制。控制声明、授权和被授权文档、作业流程、人工降低IT内控风险整改措施等等。

授权2006年各单位整改的基础上，网通河北省分公司IT内控工作组去年市分公司收集整理第一轮测试在20个共性问题，深入理解内控要求，提出了人工降低IT内控风险整改措施。我们有一个信息系统非紧急变更实施范围定义表，我们相应流程跟大家都做了记录。内部授权方式，首先你要做声明，首先您是谁，然后各部门制定一个岗位说明书，帐号统一管理，我们第一次测试的时候，有一个系统管理员把一个参数修改了，最后查出来，问你这个人是谁我告诉他，你把系统管理员的说明书拿出来，当时没有找到，当时就说你不是系统操作系统管理员，你改参数干什么。当时我找他们沟通，把操作系统管理员的找到了，风险就解决，外部风险变成内部风险这个风险就降了。

我们总结一下IT工控制基本流程就是四个方面。首先是提出申请，然后是主管领导审批，不一定是你就是部门主任也可以是副主任，可能也是你班组长，相关主管领导。然后在执行当中并写一下工作日志，主管另是一个月或者三个月进行审核。

第五点我们现场监督，提出具体的管理措施，保证通过普华永道的测试。我们也去做公司，有的地市公司老总说内控我知道就是坦白从宽、抗拒从严，当时我没有好意思说，我告诉他内控是跟是外部公司是一个博弈过程。因为内控要求你几条，那几条完成就可以，不要求所有都做了，都做了工作就没有完了。所以我告诉大家内控要求几个做到就可以，不没有要求不一定要做，不要把自己陷得太深。

第六点，我们开展信息系统风险评估，模拟演练预案。原来我们是按照硬件软件分，这是按应用，我们是基于业务的角度。我们为了降低风险，我们按照风险管理理论，将信息系统分成实物、软件、信息、服务等四个类的资产。

这个系统风险评估过程，看看这张图。首先是确定范围资产管理本身的弱点和漏洞，再看看内部管理测试有哪些，看了这些以后还漏下什么东西，这就是你的风险，还有在排队哪些重要，哪些不重要，最后提出风险报告和管理措施。

第七个方面我们积极与相关部门沟通，解决COSO、UAT和久其系统存在的问题。系统每年执行是不是符合《萨班斯法案》要求，久其报表是简单的财务系统，我们跟财务部相关部门沟通，也了很多的办法。

第八个方面是组织各单位，开展电子表格内控管理，满足内控要求。我们写了报表做，这个帐号怎么控制呢，我们也是一个内控表一个规范，我们从模板设计、模板使用、模板维护积极控制，把控制原则制定一下，电子表设计人，使用人，维护人，访问人，设计和使用人可以合一，这个流程图有一个具体的方法。首先可以进行申请，设计人可以进行模板开发，使用人表格进行数据编辑、更新、管理，最后访问人可以对表格进行实时查询，原来我们是集中管理。

谢谢大家。

主持人：非常感谢屈先生，下面有请浪潮通软副总裁兼技术总监魏代森先生，进行“企业全面风险管理与信息化”。

魏代森：首先感谢主办方，在这样比较适合的时间，面向正确的对象我们CIO们，举办这样一场有意义的论坛会议。

企业内部风险管理，看起来离我们CIO关系比较远，从国家制定政策，当企业经营者，管理者制定体系相关。我们知道所有风险控制工作的最后落脚点是CIO是我们信息系统，所以我觉得特别有意义。

我跟大家沟通几个观点。作为企业内控的信息化，我想并不是特指要和专门内控和风险管理的信息化，我们知道我们企业经营过程当中，我们业务管理过程中我们更多风险点我们要控制，管理的更多一些控制活动和风险还是经营过程当中业务活动方面。

我涉及了三个方面的内容，第一部分是风险很重要，这不多说了。另外一点，企业和内控风险不是矛盾是相辅相成的。我们也知道美国《萨班斯法案》，我国内推出的内部控制规范，对我们企业内控是一个指导二是一个压力。同时，今天我们在座的上市公司CIO，应该说更多上市公司集团性企业，集团企业在风险管理方面还是面临更多挑战。

因此，这里两个建议，对大企业加强集团风险管控有两条。第一条啊管控层面，采用集中式管理模式。母公司层面开始管理模式，通过这种模式我们可以加强分析机构对我们整个优化进行有效整合，通常对我们标准，规范，对一些业务流程进行有些控制，对企业内控不仅仅是控制风险，还是要加强教育。同时，这种集成管理有利于集团的战略执行、运营等，我们运营中产生的信息、结果可以有效配合。

业务层面可以涉及到一些具体的，我们应用活动重要的控制点，比如说在流程方面，我们由采购需求开始，到采购申请，采购定单，再到采购招标，到货物交付，这个结算过程我们要规范流程，流程规范我们就可以避免风险，这样业务活动当中控制。第二个方面，我们加上信息库存我有合理库存，有信誉额度，在执行过程运算的控制。第三是对业务追踪了货源，最多对一些风险点进行及时警示，包括业务，财务的。

第二个方面是信息化在加强企业内控中的作用，所以企业控制风险管理，迅速落脚点还是要在我们信息系统当中，信息化是重要的保障。首先我们无论要建我们风险管理系统，内控体系是要以信息化作为基础。第二个方面，我们信息化建设现在信息化应该越来越多体现内控风险管理要求，以前我们建设信息系统时候，建设基础设施、应用系统，我们可能并许多过多的考虑内控和风险管理要求。从我们一旦意识到了我们的风险管理，对企业重要性以后，我们说信息建设要充分考虑这些因素，从业务、管理、决策层面都要考虑这些因素。

信息化在内控、风险管理方面是非常重要，我们风险包括方方面面，战略，投资，财务运营，法律和道德风险，信息化可以在很多方面可以发挥作用，但是并不是解决所有问题，他可以财务方面很重要的作用。

企业内控的五要素，内部环境，风险评估，风险评估等等，我从5个方面简单看一下我们建立怎么建设信息系统，第一建立集成IT系统是重要基础，有了它，我们有了政策很多制度，标准规范在能够畅通无阻的贯彻下去，有了它我们很多信息才能并较好颁布，识别很多先进点可以再这样环境下被有效控制。

这种信息化模式要从战略层面我从财政，物流等等进行集中化管理，业务层面我们要建立我们业务系统、生产、质量设备，这个层面有机结合扩大我们企业的途径，我们风险管理要弱到信息系统当中去，但是我们知道刚才说到我们管理有没有权利用到系统配置，应用系统是不是可以为所欲为，我们信息管理是不是可以在掌控之下做各种的工作。首先这里有最大的风险，首先对信息系统授权要分析授权，第二要分角色授权，我们提出叫四员的管理概念，我们要设计系统，应用，安全员，审计员，我们可以有效让我们信息系统合理得到一些相互制约，分别关注自己的角色，使得我们信息系统是可靠安全的，是可以保障的。我们的风险管理，才可以建立。

第二点我们说在企业当中可以建立很多控制措施，我们建立信息化的物流系统，首先可以使得我们企业之间物资供应建立一个协同管理，不至于信息不畅通，因为我们一些流程规划，我们任意采用造成更多风险的漏洞，我们通过建立这种系统使得我们业务流程规范，比如规定如何采购、如何竞标、如何招标、如何收货，如何结算我们可以有一套总公司范围内有一套完整流程。这一点是关于加强风险技术管理是控制企业风险的重要措施，在几年前大家都意识到了，今年再强调综合一起看也不为过分，这个是企业最关心的资源，通过对它的统一管理，集中结算可以有效解决一些企业投资、担保、贷款问题，下面企业当中产生最大风险也是在资金和理财方面。

第三方面我们还是对我们企业的财产，实物财产有个合理控制，可以加强实物财产管理，我们之前跟客户交流过，他们也遇到过，他们一栋楼着火以后就找不到帐目的问题，所以我想这种事件发生会导致很多实物财产大量损失。

第三，要让全面预算真正成为企业战略落地的工具，以前是很多都是形式，很多运算多了我们就调整一下，或者简单批复一下就过了，我们下来要用刚性和柔性来判断，可以有不同的选择。这种系统可以完全比较好解决系统沟通问题，第一可以有效了解企业经营真实的信息，及时信息。往往我们说信息和沟通遇到最多问题，就是尽管信息是产生了，但是信息不是及时的，第二信息不是一定是真实的。这样信息系统使得我们最终合理信息集中起来，对它我们设计指标，设立风险点进行及时分析对比，产生预警信息，做到防患于未然。

总结一下，第一建立集中式信息系统是实现企业重要基础，第二风险管理是企业管理信息系统的主线和方向，我们说建立一条风险体系，管理系统不仅是一个实施一个简单风险或者管理更多分析点，是分布在我们经营活动当中，分布在业务过程当中，这一些是企业管理信息，而且管理信息要求是与风险管理密切结合。第三，我们企业信息系统与风险管理进一步融合与统一。

第四，建立企业管理体系系统，全面风险管理双框架，并实现有机融合与统一并且作为一个有力的支撑。

谢谢各位。

主持人：下面有请中国铝业信息部的杨磊先生做演讲。

杨磊：各位领导、各位来宾，大家下午好。我是杨磊来自于中国铝业有限公司，我们公司是在美国，香港、上交所三地上市的国有控股大型企业，去年销售额567亿人民币，全球第二大的铝业公司。

我今天讲主要内容是和大家分享一下我们公司开展《萨班斯法案》工作，和IT相关一些体会心得。我首先给大家简单介绍一下关于《萨班斯法案》的一些简单内容，然后再和大家分享我们公司在开展这项工作的简单情况和有关工作。

今天的主题可能是围绕内控开始的，所以说《萨班斯法案》404大家一听是耳熟能详，我不介绍太多情况。简单说2001年是实践是《萨班斯法案》的导火索，根本原因是上市公司监控缺失的一个后果。

《萨班斯法案》方面，管理层每年要出局一个年度报告，包括一下内容，我们总结一下就是要求管理层要承担两个重要责任，一个建立一个有效的监督组织，第二每年对内控的有效性能进行评估，管理层公司控制有效性作出评价包括公司层面控制，业务流程层面，公司层面的评估和信息系统层面监督。既然开展内部评估，在美国上市公司监督委员会审核中要求管理层采取适当的框架管理工作。但是一个强制目标不是COSO。

这个图就是COSC的三维内部控制框架，标准和COSC

04的关系。COSC的三维内部控制框架中5大要素是和我们关系非常紧密，我们可以看到控制活动其他要素非常核心的地位。刚才我谈到我们开展内部公司控制评估，多数是采用COSC方案，这是针对一个企业开展内控评估一个整体的框架，一直到开展IT层面评估，我们经常使用另外一个指标是有名的控制协会推出的COBIT的三维控制框架。

第二部分我想简单介绍2005年美国公司404公司内控报告的披露情况，因为2005年是美国公司开展404第一年，他们遇到问题有可能是我们中国公司第一年会遇到的。这个图我们可以看出来，在第一年美国的公司中，404报告中的披露情况。这个调查针对美国一些大型企业开展并不是美国所有企业。这个ABCD是比较知名的会计师事务所，即使在非常文明的美国大型企业，一年也有16%的企业没有顺利通过404审计。这张图是对他们所被评估中发现的漏洞一个简单分类，我们可以看到因为404思想之一关注与财务报告相关内容控制，所以实质性漏洞就是与财务相关的事情。

美国公司实施404遵循工作的主要问题与挑战，第一年识别了大量内控缺陷，其中20%内控是与IT相关，一个企业想摆脱IT是不可能。第二个特点是工作量大，投入高，有一些简单数据，在美国公司开展相关工作投入成本是非常高的。以上我简单关于《萨班斯法案》方案做了一些介绍。

下面我们就中国铝业信息系统开展内部控制项目情况给大家做一个介绍。中国铝业是国内最早开始做SOX合规工作的公司之一，从2004年开始已经流程层面的文档记录工作，最开始没有涉及到IT系统方面工作。但是自从2005年开始，我们公司的信息化建设出现重大变化，开展大规模信息化基础设施建设，以及更为重要的是在总部和十几家公司开始大规模ERP实施，这种情况下信息系统它的组织结构，流程等等方面发生了非常激烈变化。同时在短期内公司业务运营对于信息系统依赖程度也飞速增加，所以从2005年开始我们公司开展404增加了GCC的工作，并且2005年成立了GCC的项目工作组，并且开展相关工作。

这就是我们公司开展GCC项目总体想法，可以说开展这个项目来源是首先是来自于外部的遵循法律法规要求，《萨班斯法案》404，不仅仅是唯一一个理由。刚才我已经说过我们信息系统日趋复杂，业务对IT系统的依赖性增强，这种情况下实施GCC项目变得非常迫切，所以我们实施GCC项目主要最终的目的是希望建立一个IT体系达到组织结构统一化，管理制度流程标准化，人员配制合理化，最终使信息系统有效可靠运行，在此基础上顺理成章通过404年度审计。

信息系统控制的项目主要内容，不管在我们公司还是其它公司都是一样，公司层面，一般控制和应用系统控制，公司层面控制是关注与公司层面跟IT相关的问题，组织机构，IT治理，法规、制度等等，一些基础性的建设，它的控制好坏对整个IT控制结果会产生最大影响。下面就是IT一般控制，保证IT应用控制持续有效性，比较常见是变更管理、系统开发、IT安全等等，相关的问题。应用系统控制是我们常说ITAC和相应对是关于主应用系统程序执行的一些控制，直接关注到财务报表、数据准确性、安全性、一致性等等。

下面我介绍一下开展项目的工作，大家都是采用类似的框架目录开展相关工作，项目实施方法基本上是都是一样，常规404项目工作方法我们可以从这个张图看出来。不管是左边公司层面业务层面控制，还是公司层面IT工作，IT层面来说大家使用方法是基本一致的。经过了几个结论都是一样，预评估，详细评估，整改和再测试、管理层报告。在IT层面开展预评估和业务流程小组有一个比较紧密合作关系，因为在IT层面看相关工作的时候，确定关联业务流程，风险评估都是必须根据业务，《萨班斯法案》关注是财务报表，相关的一些控制。换句话说这个问题再严重主要财务报表没有直接关系，那么《萨班斯法案》不会对这个问题发生任何，所以我们IT首先要看这个控制是不是跟财务报表有紧密关系，这个阶段需要有一个紧密配合关系这个常用的常见阶段做事情和产出。比如说项目范围，评估生产报告，整改，制定管理制度，最后是测试记录，生成年底测试报告，数据管理层报告。

这张图是我们当时开展这个项目一个整体工作计划一个示意图是完全符合我讲到开展404项目整体的方法论。实际上开展这个项目主要做两个层面工作，一个是IT风险评估，一个是缺陷评估分析。IT层面评估分两个层面，一个是一般控制层面，一个是应用控制层面。至于为什么公司层面没有单独列里面，我们考虑公司层面问题一般是比较高层的问题，和整个404项目层面是合并在一起工作，没有单独对这个项目来开展，其中一些和IT相关比较密切工作也分在密切工作中开展。

我们在开展404条款对内部控制的要求分为5个阶段，我们主要都做了哪些工作。第一阶段是项目启动和评估，成立项目组聘请顾问，制定项目章程，对总部和分公司进行初步评估，了解了从风险管理角度初步对信息系统现状进行分析，根据现状分析制定标准制度和流程，完善IT整个架构。这个阶段对于他的重点在于是一个评估一个是制定标准。为什么这么说呢，当时在中国铝业开展这个项目面对挑战就是，从IT里面管理流程说，并是一个完全实现流程管理部门，信息化基础相对薄弱，内控意识也不是很强。在这种情况下想建立内控，第一要做的事情要建立一个内控体系，在中国来说，要建立一个所谓体系或者框架，往往比较容易是要建立一套制度。在这一阶段我们通过大量工作，制定了21个与信息化相关的标准制度，从物理基础上做好了开展下一步工作这样一个准备。第二阶段进行一般制度认证完善推广和培训工作，我们对于制定制度选择一些试点，收集反馈意见，根据反馈意见修订之后在公司内推广相应制度流程标准，让大家试运行，让大家进行一个热身。第三阶段是进行控制措施和缺陷整改工作，我们制定了严格详细各项控制要求文档，但是第一次开展工作企业当中，说东话西，大部分东西都流于形式，原因是在中国企业缺少这种执行文化和流行问题，与前几个月对于执行制度的检查，会发现大量问题，各个控制点的问题，合理相应整改措施进行整改。在整改以后做第四阶段工作，同样进行测试继续整改是我们常用概念，提出比较GCC这样一个循环。这样一个循环一直到年底，形成年底测试工作。从SOX审计要求讲，是可以出现缺陷和问题的，只要及时整改是没有问题的，在年底最后一次的年底测试中，它出现的问题不能再回避，必须承认进行相应风险的评估看它的严重性。

同样在IT应用控制层面，也开展了类似的工作，只不过针对控制点有一些差距。我们接下来讲年终测试以后我们进行一个重要的工作就是内部缺陷分析，年底要出一个内部评估报告，不是把你测试发现问题列在上面，你在分析影响程度，每一个问题不管是直接还是间接必须分析清楚，定义它是一个严重问题，重大问题，一般缺陷，如果出现几个重大或者一个实质性漏洞基本可以导致你404无法通过。所以我们在06年底完成年终测试以后。

从我们分析发现的缺陷进行分析情况下，我们分享我们经常遇到的问题，一发现缺陷是由于基础设施方面，主要原因是因为前期相关技术流程执行得不够彻底、不够完善造成的，IT用户欧层面我们测试四个方面的主要问题，系统配置，关键报表，权责分离和关键事物代码。ITAC方面大家可能发现最多集中在关键事物代码，往往你是你信息化水平越高，用的系统越先进，集成这两快问题就越严重，你看重的是非常初级的信息化，或者你信息项目是没有集成这两块问题很少。我们当时有6000个帐号，其中有1500帐号都出现相关问题，这个也是比较好理解，上弦没有充分考虑到《萨班斯法案》内控相关要求体现在SAT项目当中。我们付出大量分析劳动，在权责分离，业界常见接触上我们通过分析有39对权限都是出现一个人身上。

第三就是基准方案，我们同时做两件事情，基于我们开展SAT上线是咨询公司或者做外部审计、内部审计都是知名公司，没有一个公司是两个同时进行的，最终还能顺利通过404是非常困难。为了保证每项工作都有好的结果，第一SAT可以可靠上线，第二上线也完全符合404要求，所以我们公司管理层确定一个制定要有一个基本方案，对于系统配置，报表，数据维护等等方面，划定一个日期，在此之前SAT上线的项目，所有工作可以按照它的项目规划，业务需求去做，我们划定是2006年9月1日，所有的配置，控制要经过全面严格测试，确保这一点在这个时间所有SAT相关配置都是符合相关要求，之后所有相关工作变动必须经过404相关标准进行审核，确保是符合要求，这是我们做具体方案一个初衷，结果非常圆满完成了审核要求。

下面我们讲一下通过实施这样一个GCC项目的效果首当其冲实现目标就是通过404审计，在美国上市公司，把风险做这样一个法律强制要求，相关工作不一定能够得到高层领导的这么大的支持，虽然我们要我们建立一个高效运行IT体系，如果只靠这个目标，而没有通过404可以说我们这个项目是完全失败的。

下面是对于我们作为信息化工作非常关注的一点，就是非常好的效果，我们制定了一套非常好标准制度和流程，并且在各个公司推广，通过流程推广基本建立一套体系规范信息系统管理，因为COSO我在国外财政部网站看到了，他们要推迟到大陆应用的时间，但是我们作为一个国家主要大型企业，已经在2006年按照北京市要求，在2008年开展中国版《萨班斯法案》工作，已经出具符合中国四部委办法的基本规范，要求内部控制评估报告，在开展这项工作过程中我们感觉到及时，无论我们说的COSO还是美国的《萨班斯法案》等等，只要你有一套可靠内部控制体系，并不是太需要关注你通过是什么样的法案，去年我们通过中国的《萨班斯法案》，我们可以看到说我们没有做任何附加工作。

第三制定了总部和分子公司信息部组织架构和岗位设置参考模型，还有一个我们基本方案讲到相关从另外一个层面验证我们使用ERP安全性，可靠性，相关部门可以接受IT部门的风险评估。通过资质建立我们有建立了一套可靠的流程和相关工作。

404审计并不是一个一劳永逸的工作，是每年要进行的相关工作，从我自己分析看这两年工作还是要开展相关工作，我认为是大家需要注意的。第一是及时调整项目问题，从SOX要求不是对你所有企业所有业务进行评估有一个重要标准你销售收入高出5%以上，在中国高速发展阶段，企业主要业务变化每一年都比较大的变化，一定要提前关注并有预见性，在明年哪些企业、流程、业务可能会跳出SOX的范围。同时，根据上一年分析结果改进原来缺陷，按照以往的技术严格的执行。

还要风险管理工作因为第一年通过SOX法案，比我们企业来说我们现在总部大概花费很多钱，如果每年搞运营形式，我们总部付出工作量，包括我们分公司下面工作量，把一定要将风险控制、内部控制工作常规化。

最后我想跟大家分享一下，我们开展这项工作以后得到的经验或者是教训，希望大家要做或者即将要做这项工作的比较关注的事情，首先就是大家预示到开展相关工作的重要性，困难想对超出大多数人做这项工作的想象，一定要有足够资源保障，一要找好优秀外部力量帮助。第二点我觉得还需要关注项目进行准确的界定，什么流程，什么业务需要进行评估，它和你财务报表重要程度紧密相关的，如果你这个做不好，你做半年，10月、11月份测试的时候，突然告诉你现在的关联度没有达到，你从来没有关注流程，没有处理最后统计局发现有漏洞，这个时候你根本没有办法挽回，到了年底你才发现有错误，这个时候就是很危险。

开展相关工作在有审计师一些工作也会发生一些变化，实际要跟外界及时沟通。信息系统是也许由信息部管，但是从控制关注角度讲，信息系统主要是业务部门使用，它的控制点主要在业务部门，如果业务部门不充分理解相关重要性、相关知识，那么信息部门根本无法做好这项工作。

最后不得不提醒大家一点，如果大家使用大型ERP系统，全线管理和系统变更管理会经常出现很多问题，大家一定要有心理准备。另外刚才我要讲第一年你可以完成依靠顾问，第二年会请一些顾问，但是每一年都靠外部力量完成，最后一定要实现常规化，我们在2008年开了外部工作，全部工作全部由内部员工完成。

因为时间有限，可能有一些问题希望大家谅解。

主持人：下面让我为大家请出一位企业内控方面的专家，国际信息系统审计师协会北京事务委员会主席何迪生先生。

何迪生：各位领导、各位嘉宾，大家下午好。杨总刚才基本上把我想讲的讲完了，他是非常有经验的内控方面的专家，今天过来是非常有价值的，看到他的演讲在内控方面有很大的突破。

介绍一下我自己，很多的朋友说我最必然的身份，有其他的不是很清楚。今天的大会是中国信息化推进联盟都是中国很有影响力的协会，所以，对于上面的ISACA，很多人可能不是太清楚。我把自己的一些体验跟大家分享一下，ISACA审计协会是什么样的协会。

我们协会是国际的协会，1996年开始成立的。我们现在遍布140多个国家，人数达47000多员，我们的毕马威、德勤审计师大部分是我们的成员，还有很多的CIO都是我们的成员。所以，我们的网址是www.xiexiebang.com，大家可以看一下，中国的网址是我们在分享很多的内容。

ISACA是一个被公认为对资讯系统管理、控制、安全及审计扮演领导角色的国际性组织。我们提供全面的会员服务，我们监管全球性受尊敬的国际公认资讯审计师CISA及国际公认资讯保安经理CISM等认证。

今天我跟大家分享的是什么？我想刚才我说了今天讲了很多的东西，我大概从SOX的概念，杨总讲的我不讲了。还有讲讲什么是IT治理，还有是COBIT，我分享一下它的框架是什么，最后我讲讲我们的看法以及中国的SOX面临的挑战。

《萨班斯法案》，大家知道萨班斯的名字是怎么来的。是2002年美国的丑闻“安然事件”，如安然和世通事件，如果我们不想起的话对于普通的投资者所共鸣，所以有两个比较有名的人，一个是三萨班斯，还有一个是Oxley是他的朋友和专家，他们一起来做的方案。2002年7月份美国总统布什签署了法律，所以《萨班斯法案》一共有11章。第一章是针对汇集会计及公司行为的监管，包括CEO之间的管理，在安然审计事件里面他们有很多的东西，所以，当萨班斯方案出来之后，很多的CIO、CEO不敢做事情，因为怕有这样的事情存在。

在404条款里面刚才讲了很多了，我不讲很细的东西了。条款里面有用我们自己的IT方案去服务于我们IT平台的管理。刚才讲了一点是我们的SOX方案，要真正帮我们的IT治理进一步做得更好，没有立法行为的话，很多公司的CEO他们不会花太多的精力、太多的金钱太多的时间去把IT治理做好。系统2003年之后，我们看IT治理IT方面做得越来越好。所以，很多事情要进一步推动的话，要积极的话，一点难度都没有了。

除了进一步的推动之外，我们为什么要IT治理呢？从普华永道右边的三种计量看出来，很多人认为我们的IT事件跟数据是有关的，全球是16%，我们的比例是44%。其中对安全事件管理的方面，我们的比重已经不错了，因为全球范围内比例是51%，而中国也是44%。平均去看一个安全事件的损失大概是100万，这些数据告诉我们IT治理是很重要的。IT对于企业不可能没有IT，还有进一步的管理，不同部门等都有IT。今天IT不止是一个网络，它对企业有战略性的意义。但是，我觉得在中国IT好象还没有得到应有的重视，但是如果不久的将来IT对企业来讲应该有很大的贡献。我们对安全做得很好，对建设做得很好，所以为什么有IT治理。

IT治理来讲具体到企业的财务部、业务、还有IT部门。从IT来讲举个例子是从安全的角度，我们的仿冒的网站很多，像ebay等电子商务公司。还有木马病毒活动猖獗，还有帐户的盗用，所以，我们企业管理内控很重要。

下面我们讲讲COBIT，它的英文我们不讲了，只讲COBIT，这是一个习惯。COBIT也是不断进化的框架，我们从1996年开始，我们对COBIT都开始在ISACA里面控制了。今天来讲有不同的版本，因为我们的社会、经济每天都在发生变化，所以，我们也有变化。就是把COBIT一步一步地进化去，以至于在今天也能使用。像主要的目的和方向是研究、发展、宣传权威的、最新的国际化工人信息技术控制目标以至于我们的人员使用，可以慢慢建立起来。所以，COBIT里面有34个IT的流程、四个领域。PO是继续与组织、获取与实施、交付与支持、监控与评估。

这个是COBIT的框架里面可以看到，第一用一个商业的目标，我们的企业做生意把商业达成，我们的IT是帮他达成这样目标的工具。所以，信息是IT里面最重要的一个重点，所以这是给商业的应用把商业的目标达成。后面是IT资源，我们讲了ICP、Oracle等等。还有平台业务的发展。所以，如果我们把IT资源深化，我们有很多的方案，像很多都用了IT运维管理的系统。从COBIT来看，PO、AI、ME、DS里面有不同的框架，我们里面PO有10个、AI有17个、ME有4个，DS有13个。所以，我们这些基于应用去达到我们的效果，我们把IT治理变成有效率、有效果，可靠性、有效性、保密性、可用性、完整性，这样我们的IT治理便维护起来。

今天有很多种问题，COSO和COBIT怎么分开，这有很好的内控框架，但是从我们的角度去看，COSO是看事情，COBIT来讲是IT的两块，一个是集成的架构，一个是财会应用，这通常是我们参考的意义，但是就一个行不行？也行。

从《萨班斯法案》404条款里面，COBIT的关系刚才也讲了很多，COBIT就是我们404里面最主要的部分，是帮我们把条款的要求一步一步达成。刚才杨总也讲了，他看过一些运维的问题，运维的经验跟大家分享，这里面重要的重点跟大家分享了我就不多讲了。

我跟大家讲一下今天C-SOX面临的挑战，我们看有什么东西。我们看到的挑战可能今天中国有很多的框架流程、标准，但是我们很多的中国同胞可能不是太了解，这是第一点。今天很多领导都把我们的力量拿出来，跟大家分享一下怎么样把这个做得更好。

第一个是中国本土相关的服务，我们是国外的企业过来帮助我们服务，但是本地化的中国服务不多，我们也希望跟中国本土的交流，把香港的力量，本地的服务团队精英人才、专业人才给慢慢培养起来。

今天我觉得很多审计人员对IT的审计不是太熟，我们跟很多朋友聊起这样的问题，我们应该怎么样一步一步地解决问题。我觉得最重要的是第四点，没有规定具体处罚的内容，很可能造成有法不依、违法不究、执法不严的情况。如果发生了事件，他们可能坐牢坐20年，每个CEO、CFO他们一定把他们的能力、精力，尽量把事情做好，今天中国现在没有法律说没有专门做的话，也不重要。我们内部是刚刚开始，我们可以在未来的几年大家一起努力，把这一块做好，将来一定会变成法律，让我们的上市公司投资界获得利益。

我觉得很重要的一点，企业很多大的财务部、审计部跟我们的IT部的整合是一个很大的挑战。基本上现在没有太多的沟通，但是我们如果有一个很好的内控团队在公司里面的话，就可以把他们联在一起，把我们应该干的事情干好。刚刚开始的时候不容易，假如我们会找四大和有经验的朋友帮忙，把刚刚开始的COBIT等事情做好，以后我们会有更好的团队去发展，把文化发展成为一个很好的运维的习惯。我们的IT治理不止是C-SOX还是SOX都会慢慢做好。

再总结一下，今天来讲我觉得IT是业务的组成部分很重要，没有IT什么也做不了。IT治理是公司治理的组成部分，公司的企业治理永远是很重要的一块。IT重要还是IT治理重要，处理不好的话很多事情处理不好。影响了我们业务的发展、公司的企业文化，还有对投资者一些不好的影响。所以，今天我们的IT治理刚刚开始，要在内控方面大力推出去，我们有这方面的专家和领导，我觉得可以一起去看怎么样把它做得更好，把它发扬光大，以至于我们的企业做得更成功。

谢谢。

主持人：非常感谢何迪生主席白忙之中带来这么精彩的演讲，下面有请摩卡软件高级售前顾问周立民为了我们带来精彩的演讲。

周立民：大家好，下面页我们各位领导，分享一下我们摩卡软件针对企业整体的解决方案。开始的时候，介绍一下我们公司摩卡软件的实际情况，这个平台大家多少有一些陌生，但是实际上我们公司已经有十多年这样一个产品研发过程，我们在亚太区有两大产品线，我们公司有员工600多名，研发团队占了一半以上，目前公司最大股东英国电信。整个公司业务的分布遍布了国内大中型城市，产品的客户群主要还是定位于通信行业，中国移动全国30多家省公司一半以上都是我们的客户。包括现有金融、制造业等等。此外，在国际上一些东南亚，也有一些相关项目在做。

下面我们回顾一下从IT运维管理发展一个历程，目前来说企业整个随着IT环境越来越复杂，每年投入整个IT运维的资金、人力也越来越大。但是现在还是有一些问题，比如说出现一些问题，出现一些故障之后，有专门的网络运维人员，有一些应用系统的维护人员也觉得有许多问题，实际上整个业务系统已经出现了性能的瓶颈。从运维来讲有监督的系统，但是还是没有办法正常的串联起来。

还有从传统监控运维管理监控软件还有一个问题，出现系统故障是采用快速告警，在这个告警接到以后，我们运维人员需要做什么，基本上传统软件来说，就终止了。真正一些我们公司的一些运维产品是从告警开始，包括告警以后一系列故障跟踪堵截等等，这是我们传统运维软件所出现的问题。这个是我们传统的一些运维软件，实际上和信息缺乏全方位运维都串联起来形成一个有机整体。

下面我们看一下针对整个IT运维提出叫全方位的运维解方案，摩卡软件整个软件产品定位叫三位一体，首先底层是一个传统网管软件，提供一些基础的数据支持，来为高层运维提供数据来源，通过传统监控，引用故障报警出发，实现整个故障的跟踪，包括对方一个解决。第三层民是IT服务管理，是通过一个流程框架给企业带来一个全范围标准流程化的运维工作平台。

我们提出4+1的解决方案，提出一个基础架构管理，包括应用平台的监控管理，包括从指标到业务，通过一些业务系统的响应时间情况，包括业务服务的一些站在业务的视角审视一些IT的资源管理，这是一个业务初步管理，从监控到流程，从监控引入相关流程平台，实现IT运维从技术到管理的过程。最终实现全方位自动化的全方位运维。

我们看一个我们整体提出的4+的优势，第一个，全方位系统监控，相关的情况存储情况。为了满足国内用户使用喜欢，我们整个产品设计理念就是一个简单易用的系统，提出简单的可视化，简单的一些策略管理等等一些方面。为了满足不同用户需求我们提供多种产品模块，包括业务提供服务管理，资产生命周期的管理等等。重点是通过一些展现的方式，我们提供了叫做多种展现方式，从传统浏览器的方式，到手机接入方式等等。此外，这样一个展现方式是一般单一入口，可以我们企业可以管理层面不同决策人员提供不同展现内容，因为不同决策人员关注内容是不一样，高层是关注一些报表等等，中层是关注一些情况，业务人员是关注一些数据。满足这种需求，我们提供不同决策提供不同内容。通过引入相关框架提供相关服务台，通过ITIL等等。

下面我们仔细看一下全方位的资源管理，首先是全方位的网络设计监控，可以支持市场常见品牌相关的类型，底层是通过资源管理的支持，进行快速开发，多种操作系统支持，基本上目前IT环境包含系统都可以支持。各种应用平台，从服务器、数据库，包括一种大型企业级的数据库，各种管理服务器等等，应用平台可以实现这种监控，监控方式包括前面的主机，我们提供两种，一种是代理，一种是非代理，方式可以任意选择。完善资源监控还有机房环境的监控，数据的呈现是与相关网络拓扑进行关联，为用户提供一种整体化，从整体到具体转变的过程。首先可以看到这是一个全国性一个骨干网线路图，我们可以看到全国每个县的网络状态，每个机房里面的情况，重点关注一个机房可以点击具体城市里面一个机房，机房是哪个地区机房有问题的话，可以点击机房进入这个机房界面，可以看到机柜情况、温湿度环境等等。想看一个具体机柜，机架上面服务器和网络设备状态，目的在于我们提供从宏观到具体的全方位展现，而且是将网络监控和机房监控做了一个统一。

下面看到是一些数据和监控，包括一些视频监控的联动等等。我们前面说到的是一些底层IT资源全范围的管理，我们在这个基础上有一个相关联的配置变更管理，这是变更是管理的，这很难注意到，这种变更可带来很大影响。通过对我们所有包括网络、主机应用等等配置的变更管理可以实现一些快速的监控，比如说发现一些配置出现变化的时候可以产生一些快速告知等等。这些企业网络环境很多配置管理变更，很多管理人员是通过手工来实现，我们通过一种摩卡IAM管理，可以自动发现网络配置，实现一个备份，通过自动备份，可以发生了一些变化，可以自动对比出来与以前哪个脚本发生了变化，这是一个我们解决方案里面一个模块，叫摩卡变更管理。

为了满足用户的习惯，我们整个界面设计尽量从简单易用着手，下面是一些截面截图，包括一些主机，数据库监控的一个展现是通过动态一个展现，这样比较直观易懂。

我们前面说到如何去实现一个全范围的IT运维管理，一个企业原来有相关网络管理、业务管理，如何串联起来我们通过业务服务管理，把所有IT管理和业务进行一个相关关联，投入业务相关业务组件关联，某一个IT组件出现问题会对业务出现相关影响，从运维角度可以快速定位这个问题，下面看到是一个业务服务监控的展现。当我们的业务出现问题的时候，整个业务会推动一些状态实时的查询，进而通过业务服务对IT部门，其他部门的影响帮助管理员去判断。

现在我们的网络，带宽确实是越来越高，但是也面临了一个问题，带宽滥用问题，我们针对这种情况提供一个解决方案，网络流量的分析。首先是可以解决判断出来网络网络当中哪些用户造成大量带宽占用，是那种协议有这样一个大量带宽占用，什么时间是大量带宽的占用。国际上网络厂商有相关的代码协议，比如说思科，华为等等，我们能实现对所有协议的支持。从整个协议的分析来看，目前国际上有一些协议，从支持角度大多数同类型产品都可以支持，我们重点在于对一些像华为的设备，我们也能够实现这样一些支持。

随着企业的IT管理发展，整个IT资产管理逐步产生一些问题，因为简单通过手动工作方式工作量越来越大，我们提供了一种摩卡ITAM，是IT资产管理，通过资产设备周期到设备到户是一个全生命周期的跟踪。前面说到一些业务监控，可能重点关注终端用户体验，我们这个系统快不快，我们为这种具体提供一种叫做摩卡ITAM，首先通过一些用户访问过程，包括一些查询等等，把一个用户访问过程录下来，整个监控结果可以看到具体是哪个步骤，从而一个性能问题，哪个步骤比较慢，而且是由于那个具体环节引起的，这是摩卡ITAM前面经介绍是一个全方位资源管理。

下面我们看一个全方位接入块，首先我们是统一认证，这样用户只需要登陆一次，错此外通过统一认证可以集成用户享有的一些资源，所有这些内容可以在一个操作当中展现，可以看到无论是监控信息，报表第三方系统都可以这个里面展示，除了传统意浏览器展示。这是整个接入方式截面一个截图，可以查询当前状态，包括当前资源状态等等，解方式我们提供两种，一个是传统WAP方式，还有就是J2ME方式。第三方面一个全方位流程ITIL的管理，ITIL这个概念已经很多年了，在一个具体项目实施过程当中，还是需要一些支撑，因此我们产品提供了一套方法论，整个方法论是基于我们公司多种运维管理的经验。我们摩卡运维管理底层平台是一个业务管理平台，是我们公司业务流程管理平台。通过一些数据表单和相关的工具，来帮助用户进行一些相关流程定制。这是我们基于IT的管理。

我们看一下我们ITIL最佳实现和方法论，我们围绕四个阶段，看IT的运维管理。在这个整个系统当中为整个IT部门组织架构解决相关所有决策人员的一个定义。下面是一个全面的流程框架，首先是服务台事故管理，主要功能就是快速相应客户请求，目的是为了尽量快速恢复故障。接下来当时系统存在一些系统原因没有查明的话，可以请求转移到故障管理流程，可以查明故障原因，对问题进行跟踪和规划。接下来是变更管理，一旦涉及到问题的一个修改会有相关一个变更管理，通过变更管理对资源进行相关修改。最终执行整个一个变更管理流程是通过这样发布，这是我们整个产品一个四大流程框架。同时服务台跟分级管理所有出席请求也好，都会生成最终制式纳入到知识库当中，进行今后经验的一个积累。变更发布过程会最终更新到CMDB的配置项。为了满足客户不同需求，我们提供了对同一个流程提供多种版本的选择，用户可以根据自己的习惯，去选择不同的版本进行实施。下面看到就是流程设计一个截面，这个虽然我们提供一些流程，还是需要进行相关微调进行一些二次开发，这也得符合一些相关的框架。为了辅助相关调整进行相关流程截面设计，这是进行了相关的集成。

下面看到就是我们底层的一个CMDB数据库，所有这些配制项目可以自动发现，进行相关的拓扑。包括最终一些当前最新了软件库等。CMDB提供向相关设计工具界面，用户可以自定义维护相关数据。下面是一个界面展示的是我们是以报表统一为主，根据不同报表给用户提供不同数据的统计，下面这些报表可以随意拖动到我们用户收藏夹当中，可以进行快速的收藏。整个产品界面是比较简单易用，左、右侧界面划分，页面上下功能调整等等。这块是做相关一些知识管理，所有生成运维相关知识，自动录入到数据库当中。

最后我们再回顾一下整个我们产品的整体价值所在。首先我们摩卡解决方案目的是最终为运维服务，整个运维是一个全方位这样一个解决方案。所有相关这种包括运维方面流程最佳方法论，相关我们监控设计也好，不是一概而论的。因为我们公司从多年来已经有十多年IT维护服务外包经验，我们提供的相关知识是涵盖我们相关运维知识。这是我们整个产品套装及其对应，BSM是我们摩卡一个技术，IT资产管理对应是IT周期管理，对于基础设施管理，ITAM就是运维管理流程。最终实现一个三位一体的产品定位。

最后介绍一下我们以前实施的项目。首先是中国移动集团总公司的项目，这个项目不是一个单独的厂家进行实施，而是通过多家厂商一个合力。我们在这里面主要要说我们针对客户单独做了一些应用管理和模型开发，帮助用户实现一个VPN动态系统监控，此外通过系统集成，为用户提供统一界面展现。然后是一个国内制造行业的就是三一重工，这个项目除了一些基本功能以外，重点说到三一重工用到的网络环境是比较复杂，网络设备比较老，型号也比较老，通过我们开发最后实现一个快速的产品定制，帮忙用户最终解决它网络管理方面的一些问题。

我的介绍就到这里谢谢大家。

主持人：下面有请RSA，EMC信息安全事业部中国区资深技术顾问冯崇彪先生。

冯崇彪：大家下午好，我是EMC信息维护业务顾问，今天向大家报告的内容是简化IT运行及企业监管合规。

在介绍简化IT运行及企业监管合规之前，我们给大家先介绍一下背景，实际上我们IT部门现在所面临的问题是，需要审计员过来要审计我们信息的时候，是要求百分之百数据。这时候我们以前审计人员来我们IT人员会感觉非常紧张，这时候怎么样应付内部来自审计，还有来自于外部审计部门的审计。这时候我们会要求我们的IT人员找相应数据应对是这样一个情况。我们解决方案可以帮助我们IT部门，快速取出我们众多工具里面6个数据给审计部门，内控部门，包括外部审计部门。

我们可以看到其实证监会对于我们所有上市公司，本身是有非常得高要求，去年已经发出《关于加强对投资者网上交易安全保护的通知》。这个通知实际上要求我们所有的上市公司对于一些非法的交易行为的监控。要求每个机构对投资者的登陆，交易转帐活动进行监控，一旦发现有什么问题的话，在这上面需要进行相应的监控。另外对于我们企业内部控制基本规范，这个规范要求今年的7月1日对所有上市公司需要有这样一个要求。内部规范实际上是由财政部牵头，包括证监会，审计署还有银监会、保监会，各个机构出的指导意见，对于我们在座各位有非常好的指导意义。

对于我们IT主管面临的问题是什么，我们现在IT环境越来越复杂，系统越来越庞大，这个时候我们的系统涵盖了包括主机、网络、应用、安全、存储等等方面。这每一个系统里面都有相应的数据在里面，对于这些如山的数据，我们怎么保障它怎么样让我们IT运转很正常，同时我们还能够保障能够满足内部控制和外审的要求。这个实际上对于我们提出一个最高要求，审计员他们希望得到是什么呢，是对于财务有效的系统控制，我们的财务部门关心是财务数据控制，一些人事部门任务移植怎么把帐号在系统中屏蔽掉，比如说密码需要更改，对于我们IT部门，或者科技部门怎么做这样一个有效控制等等，所以对于内控，各个部门关心是不同的角度。

我们有一个三合一的日志管理平台，通过对于这些数据拿过来以后做分析整理，能够做一个用户集中化的管理，同时在这个基础上对于做分析，做报告来优化IT运维。在这个基础上可以做什么呢，日志管理，资产识别，能够维护我们本身IT的基本原则。基于上面的话，我们可以做满足我们内控和外审相应的报表，还有根据这里面IT本身里面一些安全东西，可以做出相应的报表，比如说像一个黑客冒充一个合法用户，日志里面只是看到一条日志，如果把多个设备集中起来看是一个安全事件，黑客登陆十台机器，十台机器合起来看是一个安全事件，我们机器可以报警告诉你这里面有个黑客，可以基于不同设备之间做出这种关联，比如说有的人只防外网，没有能力访问内网，如果他访问内网可以及时报告出来，有的只是访问互联网，这也是不允许的。

我们这里面做一些比如说像有一些是我们举证的行为，我们可以做一些举证的分析，同时可以做到安全和我们的IT运营做一个职责分离，比如说我们在座一些企业可能是说在IT运营的时候，我们只关心是本身IT能够正常运转就可以，但是从安全角度考虑，可能需要更高要求，过了时间才能做举证分析，再回去查，比如说是几个月前，或者几年前一些事情。有的过一两年才发现这面有安全事件。还可以把现有的IT数据转换成可用的信息和智能，我们有相应仪表盘，让我们公司高管可以看到目前运行情况，我们有超过1000多张，用于强制合规和安全的报表模板，我们这些模板是遵照国际上一些标准，比如说《萨班斯法案》等等这样的标准制定，这些模板可以根据我们企业内部的标准，可以变成是我们银监会要求的报表，或者我们内部要求的报表，这些报表可以做成定时的，也可以做成是一次性的，根据我们需要。

后面我跟大家分享就是非常几个非常简单的例子，怎么样来帮助我们提升安全。首先我们这里面有一个报表是专门做密码变更和过期的，我们从安全角度要求我们企业内部所有人员，可能隔一段时间要更改密码，这些密码我们之前有相应的策略在里面，但是没有一个统一管理，了解到让我们IT主管了解到它的密码变更情况，比如说有多少人在半个月之内需要更改密码，大家心里面想我们原来系统里面一部分系统已经有了，但是没有一个综合管理的平台。

还有一个比如说有一个人离职，这时候他的帐号是不是还是可以用，还是说这个人帐号密码还是可以用。大家关心可能操作变更控制，我们这里面总公司要求各个分公司，子公司策略必须按照总公司要求，我们怎么保障总公司策略能够强制执行下去，对于我们解决方案也有一些相应的方案在里面。禁用帐号我们也有例子，对于离职员工要进行禁用帐号。再有就是有很多合规报表，有《萨班斯法案》等等，我这里面主要列举这种合规报表，这里面大概整个系统里面有1000多张发表，最早银监会、证监会要求，做成我们每个企业内部是和自己的安全报表，根据这些报表可以对我们企业做好内控。我们可以看到每一个报表上面都有写，这个是遵循ISO27001，或者是ISO27002的具体第几本的要求。每一个报表和合规里面某一项怎么对应，在我们系统里面非常详细的介绍。

我们可以看一看，有人试图违反企业策略，试图从外部删除企业资料，我们通过ISO方案都可以找出来，我们可以看到有一个告警是来自于公司的三楼办公室，我们从这里面再往下点可以看到，这个告警信息是关于违反策略方面。这个报警是有一个关联规则，我们内部有检测系统或者是防火墙的系统，通过关联规则可以知道这些。我们接着看，可以看到我们公司内部员工，试图从家里面联到公司内部，试图删除一个客户资料。

另外的场景是我们有效地监控超级用户异常的活动。这里举的例子是一个管理员在一个小时之内，他创建了一个用户帐号，然后做了一些违法的事情。之后，他又把这个帐号给它删掉了。这样的话他自己认为他做了一些自己可以抹掉，即使是这样我们也可以发现。这个时候他创立了一个异常的活动出来，这个时候管理员可以看到，原来这个管理员是一个小时内创建的帐号，同时一个小时之后把帐号给它删掉。中间做了事情，我们都有记录把它记录了下来。

这个时候往下看，可以看到一些安全的证据。这个时候管理员创建和删除帐号的信息都在这下面，不同的设备和位置里面都以去看到，我们可以不断地把过去一个小时内所有用户的活动查询到。所以，从众多的用户当中，把刚才可疑的帐号抓出来，进行分析。我们这里面中间是查询帐号，那么这时候我们发现一个问题是什么呢？这个用户是修改了他们公司里面一个非常重要的数据库里面的数据，这种行为是非常危险，系统管理员在每一个企业里面他的权限是非常大的。那么他可以增加用户名，删除用户名，允许这种解决方案，放在第三方这里面任何一些数据这些信息都可以统一到你的设备里面来，中间做任何事情，等还没有做成的时候，报警就出来了。所以可以把这个数据存到到我们叫调查数据库里面。这个安全官登录到这个系统里面可以查出来这个人，他到这个系统里面到底做了什么事情，所以这个事情很快就可以查出来。

所以实施这种日志安全审计有什么样的业务价值呢？第一个方面，可以减少或者是避免合规成本，因为我们内控有要求，对上市公司外部审计也有合规要求，我们有了这种解决方案以后，可以提高效率，可以降低成本。另外我们可以降低或者避免安全破坏成本，如果是说我们问题出来以后，再亡羊补牢这样有的时候会太晚了，如果把这些东西能够做在前面，我们可以做一些事先预防。还有我们可以降低安全运行成本，不需要太多能力投入，同时可以降低一些法律，如果这个事情出来以后，遇到法律不允许，这时候可以提高我们的收益。同时我们可以保护我们企业品牌和声誉，所以要防止数据的泄露。

谢谢大家。

主持人：接下来有请信息中心主任张艳做最后一个主题演讲。张艳：大家好，很高兴有机会跟大家一起分享。

关于《萨班斯法案》法案我就不多说，国际上美国证监会安然、世通事件，等等一些诈骗情况里面，美国证监会为了诚实公布信息，所以颁布了《萨班斯法案》法案。在方案中间一再说到关于IT风险这块，所以说我希望有机会跟大家一起探讨一下，在这个额为什么在《萨班斯法案》中间本来是针对上市公司财务审计，为什么跟我们IT审计是密切相关的等等一系列的过程。在企业发展过程中间它不断壮大，如果在十年前，对于我们财务系统来讲，完全可以靠手工来完成。但是十年后的今天，随着IT的发展，不管是各种各样的系统也好，包括ERP系统，或者单纯的财务系统，不可避免的通过在硬件上通过软件实现数据的录入、积累，最后呈现一个财务报表给大家看的情况。那么在这个过程中间由于把系统的不安全，或者硬件不安全，最终有可能导致财务报表的不安全。所以，从财务涉及IT这一块，根据美国证监会要求，审计师是穿透系统不是绕着系统审计，所以是这样一个过程。

大家请看一下，这个《萨班斯法案》法案来源不再介绍了，在这个SOX中关于IT审计过程中间，我们需要相关的像C-SOX安全一些策略也好，规范条例也好，真正实现这样一个安全控制和管理。

IT控制在每一个公司中存在，至少是下面三个因素，像决策管理、商务流程和IT服务。决策管理是建立在实体上，就是人的因素上，如果在一个企业中，不管是IT部门的负责人，还是一个企业的CEO也好，高层管理人员，如果他们没有充分地认识到IT管理的安全，首先来讲，就决定在IT层面上将不可能真正做到一种安全。其次是商务流程，商务流程就是说我们因为是要通过我们这些系统，来给我们企业创造价值，IT永远是作为一个帮助企业的业务部门来实现自身价值的部门。所以通过商务上由于业务的需求，我们引进了很多商务软件，包括大型ERP系统，通过这样系统跟我们IT硬件相结合在一起，形成高效一个系统集成这样一个概念。

IT服务这一块，除了日常的IT维护和管理等等，它来决定服务好坏，同样决定安全非常重要的因素。其实我们也看到这样一张图表，这包括了SOX法案所要遵循的部分，中间包括实体层控制，这也给大家解释过了。现在ITAC应用方面，就是我们讲大型系统。再往下最底层是我们ITGC一般应用控制，在这个控制中间我们简单成为系统开发、系统变更、运营管理、安全管理四大块，我常常比喻为是一个金字塔形的框架。在金字塔的底层是由ITGC来控制的，中间是应用程序控制方面，在塔尖一定是人的控制，通过这样一个搭建结构才能保证我们整个IT的在大型企业中，IT非常安全的控制。

再用一个同样的图表来给大家解释一下，在我们ITAC和ITGC相近的关系，上面有一系列安全产品，这样搭建我们IT的基础安全措施，上面是我们常见的财务系统，不管是什么样的系统，它也应该是只有秉承安全的，上面才安全，上面是我们业务系统、采购系统、销售系统等等，我们财务相关接口实现有效的管理。再往上我们可以看到通过一系列这样的流程，最后我们呈现这份财务报表，为什么在说到C-SOX当中大家说我们需要做IT安全，在整个《萨班斯法》并没有说到IT审计，但是在我们日益们上市公司做审计的时候面临财务审计，基于这样的原因，在ITGC大概控制点，这是AC准确、完整、授权职责分离。

这是ITGC和ITAC关系的图表，首先从信息管理和人事结构，这是一个公司，其次是上升到人的，在有是整个公司的管理，凭险评估，再就是流程层面评估，分为早期，系统与数据所有者，包括业务有关数据控制等等。

我们所有安全策略其实基于框架结构谈到，石油是美国一个信息系统控制协会，它分为四大块，在这个框架计划和组织结构，开发采购信息系统，等等。这是我们常见一张框架具体图表，每块对应我们说四大块，我们讲拷贝一个框架跟《萨班斯法案》有什么关系呢？我们通过这样一个图表让大家来理解。信息计划和组织结构开发和我们公司层面内控是相符合，采购信息系统和系统开发和维护是向符合。

在《萨班斯法案》中间我们实施过程是什么样的？首先，我们要做一个有效设计，我们建立一些常规流程，这个流程是首先是我们做安全第一步，我们如何管理网络，其次是我们建立相关策略我们有没有执行，执行以后有没有监控，如果说我们制定了一定的策略，但是没有人执行，更谈不上监控，结果等于一样，没有完成这样的工作，也不可能实现真正的安全。这样只有通过一系列的建立、执行、监控，最终包括穿行测试，通过了我们这套系统，刚才我也说对系统测试应该是穿行而不是绕行，最后达到内部监控的改善。

《萨班斯法案》有以下几个基本控制范围，公司层面控制，系统操作管理，安全管理，系统开发和维护/数据库维护，网络管理，操作系统维护。

首先从公司公司层面可以看一下，建立与公司层面有关的管理目标，规定和流程等等，意义是确保公司IT部门有明确管理目标和制度，确保公司所有员工认识到时候IT系统重要性以及如何遵守公司IT制定，这一点是可以实现的，可以通过我们新员工入职的时候可以跟他建立一个，要他知道所有IT的方面的所有层面，不会因为他的操作公司有一些损失或者破坏。同时也给公司从法律的角度来讲做了一个非常有效的保障。

确保IT部门制定的策略与公司发展方向一致，我们IT发展是一定要同我们业务相匹配，作为一个公司讲没有一个长期的战略计划，而且在这个战略计划制定之后应该建立有效跟业务部门沟通以后进行不断更新。这些公司都在了以后，一个公司IT怎么谈得上安全，因为他对IT发展方向都没有一个明确控制管理。

下面是针对系统开发、维护和数据库维护的相关要求，要对系统数据库上线以后做修改管理，这些为什么从设备采购我们就要开始控制了，在采购环节从价格各方面进行有效管理，在开发层面我们有没有做到有效职责分离，测试环节上我们有没有做渗透式的测试，等等因素不管其中某一个环节都有可能造成整个系统开发维护和数据库的维护，是有安全漏洞的存在。

下面是安全的管理和网络管理，制定和持续确保系统、平台、数据库、网络等在逻辑性和物理性方面有安全和有管理的存取措施，更多是针对我们的常见的安全设备像防火墙，路由器等等一系列的硬件产品，包括今天我们看到在场一系列安全产品，这些产品有助于我们保障我们的整个IT系统的安全。下面是系统操作管理和操作系统的维护，确保系统日常操作一致性，制定故障处理，发布，记录和分析流程，等等这样一些部门。可以达到在操作系统层面做一个非常安全的控制和管理。

最后是我们所说到应用控制，应有控制中心确保应用系统在输入及输出数据时能够有效控制数据的准确、完整性，确保授予员工的应用系统权限不会有职责分离的冲突，确保系统之间的数据传送的准确和完整性，确保系统运算的准确。中航油就有一个事件，由于数据缺失导致了6亿元的损失。

第二篇：CIO时代网 -制造企业内部信息化

CIO时代网：黄总您好，您所在企业是何时开始信息化建设的？当前信息化的基本情况是怎样的？

黄起豹：我们公司的信息化建设很早就在进行，但真正有规模还是在这两年，目前来看，公司信息化建设基本上涵盖了公司的各各角落。如在生产方面，我们基本上实现的信息化与自动化。在日常管理方面，主要是以ERP为主，基本上实现了传统企业管理现代化。在外派的工程与销售人员管理方面，以前这块对于公司来说是个盲点，今年我们专门针对这块设计了一套管理系统，所有外派人员的绩效与指导都在这个系统上进行。这个系统是独立的，与当前的公司其它管理系统是分开的。在这个系统中还有一个知识库系统，这对在外的员工们来说意义非常重大，能给他们在方方面面进行指导与提高。这个系统也是我们今年在重点推的一个系统，将来还会在这个方面做很多工作。

CIO时代网：信息系统实施之后，主要给管理和运营带来了哪些主要的成效？

黄起豹：首先是管理方面，在计划、执行、决策、监控、反馈等方面都有不同程度的提升。比如说在计划阶段，在信息系统实施之后，大大地提高了计划的准确率。以前也做计划，但是计划与最终的结果总是有很大的差距，自从信息系统实施之后，我们在做计划制定时就非常科学了，不在是拍脑袋出来的，而是在先进的模型和可靠的历史数据基础上制定计划。在执行阶段，信息系统实施以后，执行的速度比已前更快了，还不容易出错。在决策支持阶段，系统中建立了全公司集中共享平台和多维分析模型，支撑财务、工程、人力、业务指标等各专业的管理决策分析，使公司的用户数指标、业务量指标可以在时间、地域、用户、业务、客户、流向等多维度进行分析和决策，为市场经营分析提供支持，并基本统一了各大业务基础数据的定义、规范和标准，为今后跨部门分析、集成应用保证了数据的一致性。在监控阶段，通过日志与汇报系统，可以清晰的了解工作的进度，也起到了监控的目的。在反馈阶段，主要是通过信息化的沟通工具，缩短了公司沟通成本，这是在管理方面。

而在运营方面，我觉得主要有这么几个方面的体现：

1、优化了销售环节，降低了销售成本，提升了给客户服务的水平，加速了货款回收效率。

2、实现资金流、物流、信息流的统一管理，解决了内部信息不畅通及管理困难等弊端。

3、业务数据实时处理，决策命令准确下达。减少经营成本，降低经营风险，快速应对市场变化。

4、采购提前期缩短一半。采购人员有了及时准确的生产计划信息，就能集中精力进行价值分析，货源选择，研究谈判策略，了解生产问题，缩短了采购时间和节省了采购费用。

5、制造成本降低。由于库存费用下降，劳力的节约，采购费用节省等一系列人、财、物的效应，使生产成本得到降低。

6、成本核算自动化，实时报表统计及月底结账瞬间完成，确保、准确、快速的提供各种成本数据，提高财务人员效率；同时实时监控财务信息，随时掌握资金动态，促进财务管理从核算型转变为管理型、价值型。

7、强化系统工程管理的功能，推进工程管理精确化进程。

黄起豹：在经营管理方面，第一个重要的信息化手段就是ERP，其它还包括有知识库管理、资产管理、客户呼叫中心、客户关系管理、BI、以及根据自己行业特点研发的销售与工程管

理等系统。在生产制造环节，主要用到系统有PLC、PDM、PLM、数控系统，以及CAD系统等。

从我的实际工作经验来看，我日常工作中，有一半的时间是在解决问题，有一半时间是在沟通问题。而这些问题中，有些问题可能是具体公司特有的，有些问题可以会是行业普遍存在的问题，在这里我举二个比较有代表的问题来给大家分享。第一个是有关数据方面的问题。由于当时我们是整个集团同时要上ERP系统，而当时公司组织架构是，有些部门是整个集团共用的，而有些部门是各分公司独立的，如生产部、市场部等。而在上ERP系统之前，各子公司都或多或少地建了一些系统，但是这些系统都是按照各公司自己的特点去做数据库的设计，这些数据跑在单个公司是没什么问题，但是整合到一个大的平台时，就暴露出特别多的问题，如何把这些数据进行兼容，当时花了我们特别多时间去整合，现在基本是没什么问题。但是这中间的一些体会，还是想与大家分享一下，如果您所在的公司是有多个子公司的话，那么在上管控型的ERP系统之前，最好是先把各分公司的数据进行统一编码，然后再上ERP系统。第二个问题是，ERP系统的实施相对于以前的工作方式来说是一种改革，改革就会设计到意识形态和行为方式的改变，而实际情况是，有些人可能会接受的比较快，快速适应，另一些人可能就会有困难，当然这跟员工本身的学识以及所处的环境是密不可分的。而对于这批人来说，在公司推行ERP系统来就有很大的困难，因为他们会找各种理由来拒绝实施ERP，如认为ERP并没有提高效率反而是增加了麻烦等等。这时作为CIO，如何将自己的理念传达给这部分员工就是一项非常有艺术的工作了，当时我本人为了消除这部分人员对ERP认识上的误区，提高他们的信息化的水平，让他们能在公司现代化环境中，同步发展，确实做了大量的工作，如今看来，这些付出还是给公司带来了很好的回报。首先给他们培训，培训完了。还要对他们进行理论考试，对考试成绩好的，给相应的奖励。考试通过后，接下来就是指导他们实践，直到他们完完全全地掌握。后来他们管这种培训方式为，不但给病人开药方，还给病人煎药，直到病人痊愈全服务链式的培训。

CIO时代网：信息化建设必然离不开软件选型，在选型过程中遇到过哪些问题，有哪些独到的经验与大家分享呢？

黄起豹：选型是CIO们必须面对的一个问题，CIO们每天面对的要么是选用专业公司的解决方案，要么就是自己组织团队研发。我认为在选型上可以分为三种情况：

（1）通用型产品的选择。也就是说这些软件拿过来就可以直接用，通用型产品的特点是市场上会有很多的提供商，很容易获取，在这种情况下选型，我会考虑他的价格是不是有优势，售后服务如何。售后服务是很重要的一部分，采用别人的软件就是要用别人的思想来给公司做事情，若选择的供应商售后服务不好的话，远比你购买这个软件所花费的经历要大的多。还有就是供应商的品牌的问题，这也是一个很重要的问题，如果选择的是一家品牌很小企业，可能当时它会承诺很多看起来很有诱惑售后服务，但是也有可能这家公司没过一段时间就消失不见，这对一般的公司可能没什么，但是对一家业务成熟的公司来说，那影响可就大了。所以对于长期发展的大制造企业在选择供应商时，必须要考虑到这个方面。

（2）非通用产品。非通用产品的话，主要是从公司的内部要求去考虑，比如公司发展到一定的阶段，必须得上这套系统，那样的话就没有多大的溢价能力，并且所能提供服务商也就那么一两家，所以只能从中选择一家进行合作。

（3）是否涉及到二次开发的问题。一般情况下，大量采购过来的软件都是需要二次开发的，那么这个时候，就需要评估现有团队有没有相应的二次开发的能力，如果没有的话，尽量不要选择这样类型的软件产品。

CIO时代网：有一种观点认为制造业信息化就是“引进几套先进的管理软件、搞企业网络、搞生产自动化”，您是怎么看待这个问题的？

黄起豹：这种说法是有一定的道理，但是他又是比较片面的说法，“引进几套先进的管理软件、搞企业网络、搞生产自动化”这些只是信息化建设的一部分，并不能涵盖整个信息化的内容，但是这些是信息化的基础。如果从辨证思路来看的话，那就是只见树木，没看森林。如果从图论的角度来看的话，我们可以把企业制造信息化看作外面的大圆，而主持人刚才提到那个，只能看作是大圆里的一个小圆，但是上面这种观点，却把小圆说成大圆那是非常危险的。而我们现在社会这种情况也比比皆事，我在这里给大家举一个每个家长都非常关心，又与这个命题非常类似的例子。比如：一个小孩哇哇来到人间（好比是主持人刚才提到的系统），到他长大成人，并且能给社会/个人创造价值，这中间还有很多工作要做。如果家庭和社会，在这些中间环节中不去做很多工作的话，那这个小孩可能不但达到大家预期，还有可能给社会带来很大危害，反之，如果家庭和社会各方面工作都得非常到位，那他也会给组织与社会带一个非常好的回报。所以说，你刚才提到的那些系统是公司信息化基础，如果要这些系统给公司带来效果，这中间还要CIO们做大量的工作才行。

CIO时代网：制造业信息化过程，是一个长期的复杂过程，决不能急功近利，要有长远打算，特别是要有长远规划。在您所在的企业IT规划是如何进行的？

黄起豹：首先我们有一个IT的长期规划，并且每年都会在长期规划的基础上做滚动规划。而在做这个规划之前，我们会去综合各方面的信息并结合实际情况进行规划。第一方面的信息是公司战略方面的，因为公司战略中有企业的使命，希望达到的目标以及企业所拥有的优势、劣势、机会、威胁、供应商的特点及可能的趋势、新进入者的情况、客户的特点和新形式下可能发生的变化，替代品出现的可能性，竞争者可能采取的动作和信息化方面的情况，以及现公司所处的发展阶段和行业特点等方面的信息。第二个是业务方面信息，这个相对简单，主要是看一下来年的销售计划是怎么样的，公司的信息规划是要随着业务的变化做相应的调整，如果业务扩大，相应的IT信息服务也要扩大，反之，就要进行相应的压缩，最终的目地是要保证信息化和业务的发展相匹配。第三个方面是信息技术本身，很多新的技术可以优化原来的一些不足，若CIO在做规划的时，没有把这些因素考虑进去的话，那么信息化很难为公司带来信息所具有的更高的效率。第四个方面合规性内容，例如上市公司会涉及到信息公开，那么上市公司在做信息规划时就要把这些内容考虑进去，要在规划中就按照国际标准，如《萨班斯法》相关规定来进行。上面内容了解清楚后，IT部门就可以进行规划，来年到底需要采购多少软件与硬件，会需要多大的数据库支持，它的架构与及基础设施如何也就出来了。

CIO时代网：有人说：IT预算分配比例是业务部门说了算，毕竟业务部门最清楚自己的IT需求。但也有人说：IT预算分配是IT上的事，应由IT部门来决定。那么，IT预算分配比例究竟是谁说了才算呢？您是怎么看待这个问题的？

黄起豹：无论是IT部门还是业务部门中任何一个部门去做都是有问题的。因为业务部门的特点是对业务特别的熟悉，并且采购或者开发出来的产品最终也是他们来使用，而信息部门的特点，是比较喜欢追求技术的先进性，但是先进的不一定是实用的，如果信息部门花很大的价钱购买或研发了一个软件，但是并没有给业务部门的工作带来实实在在的便利，这样的话，信息部门所做决策就是失败的。反之，完全由业务部门来决策的话，会出现的一种情况是，业务部门把全部的功能写到采购清单中去，这样可能会造成资金的浪费。因为并不是业务部门的每一项需求都必须要出去采购，有些业务需求可能在IT部门之前就有这方面的解决方案或者IT部门自己花很少的工作就可能研发出来，根本就不需要单独去购买。另外一种情况是，业务部门在提需求时，只会把当前遇到的需求现状说出来，不可能会知道在信息化之上，即满足现有需求，还需要扩展的内容。但是好的CIO们是或多或少会有一些这方面的经验的。要是完全由业务部门决策，那像CIO们的这些好的思想就没法在项目中得到体现。所以说，这两个部门无论哪个部门单独的去做决策，都会产生很多的问题。因此，建议公司因该有一个决策委员会，当中有业务部负责人，信息部负责人还有财务部负责人等，任何一个项目，由决策会一起表决决定，这样就会比较科学，合理。

CIO时代网：有一个误区就是认为企业信息化只要有投入就会有产出，而不重视投入产出比，但是关注IT投资的投入产出比成为了CIO最重要的工作之一，您一般是如何做投入产出的分析呢？

黄起豹：以往在一些政府部门的CIO们眼中，会有这样一种观点，认为他们的系统提供的服务都是公益的，所以不需要或者也无法算出它的回报率。但是，这一，二年，他们对这个方面问题的认识，也发现了非常大的变化，他们开始觉得，他们的产品一样要看它的回报率，与企业所不同的是，他们的产品不是已财务指标作为唯一的衡量标准。

而对于民企来说，那它的每一产品都一定要考虑投入产出比。如果在上系统之前没有估算好的话，哪它的投资的结果就会很麻烦。下面我讲一下，我们通常在这个方面的做法，首先，我们在上任何一个系统之前，都会按照公司信息部所拥有的规范列一个表，表中大致包涵了与这个系统所有有关的使用者和创建者，然后，分别给他们分配权值，最后，把这些权值加总求和，在后，用这个总数和没有上系统所需要花费的费用总数进行比较，如果结果大于期望的倍数的话，我们就是进行投入，反之，可能就不会投资或者推迟投资的时间。

CIO时代网：信息化项目实施会带来各个方面的风险，比如业务流程重组的风险、技术风险等等，那么您作为CIO是如何让有效的规避这些风险呢？

黄起豹：风险是指它具有不确定性因素，而信息化产品是一个智力产品，所以它在整个生命周期中处处都会有不确定性，那么如何把这些不确定性变成确定性，就是考验CIO智慧的时候。下面我分享一下，我自己这么多年处理风险的经验：

如果我拿到一个新项目，首先，我会把项目所有的边界确定清楚，比如这个是给哪些人服务，提供什么样的服务等具体的内容全部都列出来，并且要经过相关使用者的签字确认。

其次是在以上的基础上把质量目标全部找出来，这包括显性质量和隐性质量，并要把这些质量内容在项目实施之前，跟项目相关方进行一项一项地确认，并要把这些内容写到正规的文档里，以使项目结束，双方或多方进行验收。

再次就是建立一个通透的沟通渠道。使大家有任何问题都能及时沟通，而不能等项目实

施完之后再去沟通，要一边实施一边沟通，这样不但能启到培训的作用，而且还能启到收集需求的作用。也加深了项目相关人员的参与程度。

最后就是时间安排。要给项目做一个确实可行的项目时间计划，里面要包括里程碑式的时间结节，并且要在这些结节中，清楚地描绘出需要完成哪些功能，需要提交哪些文档以及如果延期他的补救措施是什么等内容。

上面说的是如何尽量的减少风险，但是有些风险是无法避免的，像这种情况，我个人的建议是，在风险出现之前，先通过科学的方法，尽可能多地找出可能存在的风险，然后针对每一种风险付上权值，最后求出这种风险出现的可能性。而对每一种可能性，找出一到二种应急预案，这样，即使真出现了风险，我们也能从容地应对，不至于给公司带来很大的损失。

CIO时代网：作为CIO，您在跟其他业务部门或者领导沟通时有没有独到的经验可以与大家分享？

黄起豹：其实沟通是一个非常普遍的问题，不只是CIO面对这个问题。应该说：每一个都会面临这个问题，那又为什么会出现有些人沟通的好，有些人沟通的就不好。我个人觉得：原因有，由于每一个个体所处的背景不同、角色不同、所期望的目标也是不同的，在这样复杂的系统下，那就难免会遇到沟通不畅的问题。但是也不是说，没有方法来规避。我谈一下，我本人在这方面的经验，通常我如果要去与领导沟通一件事时，首先我会深入了解将要沟通主题，不仅要了解主题表象意义，而且还会去深入了解隐含在里面的内容，比如：CIO们经常要向领导申请IT项目经费，如果碰到不会沟通的CIO，他的沟通状态是这样的。老板我们将要上一套，费用是XX，老板请签字。而老板接到这个信息，第一反映是，又来要钱，那老板确定会找很多其它方面的理由来搪塞。而换成一个会沟通的，同样是这件事，他在与老板沟通之前，会去做大量的工作，收集大量的数据来证明投资这个产品的必要性和所会带来的价值。然后在找适合的沟通渠道，像老板汇报。而这种沟通结果跟前一种，那肯定是天壤之别。

CIO时代网：制造业信息化是国民经济和社会信息化的核心部分，您认为制造业信息化的关键是什么呢？那么您认为在中国如何才能搞好制造业的信息化建设？

黄起豹：我认为当前制造业信息化的关键主要表现在三个方面：（1）生产自动化（2）管理现代化，（3）协作便利化，这些是制造业信息化比较关键的几点。

搞好制造业的信息化会涉及到方方面面，即会涉及到宏观方面的问题，也会涉及到微观方面的问题。下面我将就与制造业信息化有联系的各方分别来谈，（1）政府方面，应该制定一种健康向上的市场规则和好政策，让制造业在合规的范围内受益，并且能提供在一个平等的平台让他们来竞争，这是对于国内市场的制造来说。而对于出口型的，应该降底税率，支持创新，提高它们的国际竞争能力等等方面。（2）是媒体和行业机构方面，应该做好宣传与引导作用，多宣传一些优秀的解决方案，并利用平台的优势，多组织专家为信息化方面有困难的企业，进行诊断与把脉，帮助他们在信息化路上少走一些弯路。（3）最后就是企业本身，企业要有在信息化时代的大环境下有变革的思想，只有企业领导者愿意去改变，不怕来至于之前的各种不好方面的阻力，再加上有一个好的CIO，一起并肩做战，企业信息化一定会取得非常好的成绩。同时如果上面各方都把自己的定位做好，我相信整个中国的制造业信息化

水平一天会比一天好。

CIO时代网：您认为CIO应该具备怎样的知识结构和核心能力？在云计算铺天盖地的今天，会有人说，“云计算来了，CIO得走了”，您是怎么看待这个问题的呢？

黄起豹：CIO应具备的知识结构有：信息化知识、管理知识、业务知识等知识。而能力方面我觉得应该至少有这些方面：沟通能力、冲突处理能力、学习能力、领导能力、创新能力、宏观思考问题的能力、团队协作等方面的能力。

云计算是一种变革，既然是变革就会有人员的流动，这是必然的，并且对行业也会进行一定洗涤，但是从目前CIO的状况来看，影响较大的是小企业的CIO，本身小企业就是靠压缩成本来生存，那降低成本就是他们追求一种重要的目标。而如果云计算来了，正好可以给公司在信息化建设方面节省公司成本。因为公司信息化工作只要花很少的钱，由专业的云平台来管理，这样的话，公司可能在某种程度上来看，就不需要CIO这个角色了。但是中大型企业，云计算来了以后，CIO不但不会走，可能还会带来了另一种机会。我先说一下中型企业，中型企业的特点是前面有大型企业的压制，下面有小企业的追赶，所以他需要新的技术，新的思路来更好的发展企业，以缩短他与大型企业的距离。新的技术肯定是CIO掌握的最多，而实际情况是：目前很多CIO是每天都在解决大量的日常问题，而没有精力去思考和学习很多新技术与管理，而云计算来了之后，CIO就可以腾出大量的时间，去汲取更多的专业知识，以至来辅助公司向大企业迈进。这样一来，CIO在公司的定位就会越来越高。这是对于中型企业。而对于大型企业的说，云计算来了以后，CIO可以做的事情就更多了，一般大公司的CIO都是双重人才，既懂技术又懂业务和管理，云计算的到来，给了他们去思考战略以及为战略实践提供大好机会。

CIO时代网：非常感谢黄先生在百忙之中，接受我们的采访，希望在未来的广阔空间中，CIO的路能够越走越宽，给企业信息化插上腾飞的翅膀。

第二、电力行业信息化建设规划的缺失和系统的分裂的局面，也迫切需要从根本上对于电力行业的信息化建设进行再思考和重新整合。在过去几十年内，信息技术应用在电力工业各个专业领域，但各领域的应用是分散和孤立的，并没有形成大系统的概念。因此在下一阶段，电力信息化的重点之一就是信息技术的集成和综合利用。首先，为了保障电力行业在信息、网络方面的可靠性与安全性，应该对电力系统光纤通信网、数据网、信息网进行整合与统一。其次是管理信息系统等信息化应用系统内部的整合。经过多年来持续不断的建设，电力行业内部各个子系统采用了各种不同的平台和管理软件，这不利于使用操作、管理维护和整体效果的发挥，因此要进行平台整合。再就是各信息化应用系统间的整合。

其二，在企业的各项管理体系，如各种会议、员工培训以及日常的业务管理中，引入信息化的管理体系，不仅能够缩短管理的时间和跨度，节约管理管理成本。其三，对企业中的人、财、物、技术等基本生产要素采用信息系统进行管理，不仅可以提高企业生产效率、降低生产成本，也可以实现资源共享，互通有无。其

四、对企业战略、决策过程、组织岗位、制度、技能、绩效考核实行信息化管理，以确保在多角度、多层面上提高企业的科学管理水平。

第三篇：上市公司迈入内控时代

上市公司迈入内控时代

2012年，中国境内主板上市公司将全面执行内控制度的要求，这是提升上市公司和非上市大中型企业管理能力与竞争力水平的重要举措，也将成为中国企业应对国际金融危机和复杂竞争形式的有效手段。

为进一步推动内控工作的深入开展，使得内控工作真正利于公司的实际管理和保障投资者的利益，公司应当严格要求自身，根据财政部、证监会、审计署、银监会、保监会联合制定的《企业内部控制基本规范》要求，以及其配套的三大指引——应用指引、审计指引、评价指引来建立、健全自身的内控制度，并且推动其有效施行。

在国家监管方面，以12月31日作为内部控制评价报告的基准日，上市公司需在基准日后4个月内报出企业内部控制评价报告，以满足合规要求。参考2011已经实施内控规范或者参与试点的公司内控评价报告要求，我们可以发现，上市公司需要将经董事会审议通过的公司实施内部控制工作方案报证监局和交易所备案，并在规定时间内分别将内控实施进展情况报送证监局和交易所。

什么是企业内控评价报告，报告又应当具备什么内容呢？

长安风险管理律师将企业内部控制评价报告总结为是上市公司董事会或类似权力机构，根据《企业内部控制基本规范》，及其配套的应用指引和评价指引，依据内部检查和监督工作报告，以及相关信息，对自身内部控制进行自我评价，对公司内部控制自我评估报告形成决议后出具的文件。

对于公司的内部控制来说，评价报告的作用相当于体检报告。

内控评价报告具体要求，早在2006年7月1日，《上海证券交易所上市公司内部控制指引》第三十三条就已经列明，总共有7个方面内容。而后《深圳证券交易所上市公司内部控制指引》也于2007年7月1日施行，内容上精简出4条。

针对一份合格的内部控制评价报告，至少应当披露董事会对内部控制报告真实性的声明；内部控制评价工作的总体情况；内部控制评价的依据；内部控制评价的范围；内部控制评价的程序和方法；内部控制缺陷及其认定情况；内部控制缺陷的整改情况及重大缺陷拟采取的整改措施和内部控制有效性的结论等内容。

关于内部控制体系的法律规范都是指引性的文件，对于内控体系的建立，监管部门是放任自流还是强制执行？《关于印发企业内部控制配套指引的通知》中显示的内控体系推进的时间表从2012年1月1日起，包括境内外同时上市的公司和沪深两市主板上市的公司都要建立内部控制体系，应当对内部控制的有效性进行自我评价，披露自我评价报告，同时应当聘请会计师事

务所对财务报告内部控制的有效性进行审计并出具审计报告。此《通知》中用了“应当”一词，我们可以根据法律法规的一般解释认为是强制要求的意思。

从当前的调查结果看，已经向上证所和深交所提出内部控制自我评价报告的企业，也只是部分地执行了《企业内部控制基本规范》的相关要求，与基本规范要求的标准还有差距。毫无疑问，上市公司还需要做更多的工作。

来源： 国际金融报

第四篇：工程项目建设内控管理

工程项目建设内控管理制度

工程管理制度1、1.1、为加强对公司投资项目工程变更的管理，确保工程变更进行必要的审核和信息流转，有效控制工程投资和工期。1.2项目工程部应在公司批准的工作计划前提下进行。

1.3项目工程部应根据工作进度计划进行分解，落实到月度计划。1.4项目工程部应根据公司制定的月度计划，对施工单位上报的进度计划进行修正，并对施工单位上报的人材机进行调整，使施工单位合理组织人员、材料、机械配比，合理组织作业面，使工程进展顺利进行。

1.5项目工程部应积极主动进行工作，充分调动工程部、监理公司、施工单位各参见人员的主观能动性，积极主动发现施工过程中的问题，制定有效的整改措施及方案，在合理的时间内落实整改措施，并以此类推，制定今后的预防措施。现场监理管理办法

1、总则

为加强公司开发建设项目的工程监理工作，切实发挥好监理在工程质量控制、投资控制、进度控制的作用，落实好监理单位在项目合同管

/ 9

理、信息管理和施工组织协调中的工作职责，特制订本管理办法。

2、现场监理人员管理

2.1、监理单位按合同约定派出本公司建设项目监理工作需要的监理机构、监理人员。监理单位进驻现场工作前七天应将驻现场监理组成人员的组织架构、资历、工作职责、拟为本工程服务的时间报给公司工程部，公司工程部于七天内给予书面答复。

2.2、根据工程形象进度，现场监理需要调整工作人员时，应于七天前将调换、增加、减少的人选报给公司工程部，新进的工作人员其资历必须经过公司工程部审批。

2.3、监理单位如需更换现场总监理工程师，必须提前七天将替补人员的资历报给公司工程部审批。未经审批的人员不得进入监理现场工作。

2.4、所有现场监理工作人员必须每天到工程项目部上班，不得兼任其它项目职务。总监理工程师离岗时间在两天内的，应向公司工程部经理请假；离岗两天以上的，应向公司分管副总经理书面请假。

2.5、公司工程部可对现场监理未尽职和不称职的工作人员提出警告，直至要求监理单位撤换。

3、现场监理作息时间与值班

3.1、监理单位的工作日作息时间应与公司工程部保持一致，在工作日工作时间以外应根据工程施工情况安排工作。晚间必须有一人值班。3.2、根据实际情况，可以要求现场监理同公司工程部工作人员一起实行上下班打卡制度，以便更有效地掌握和控制监理人员出勤情况。

/ 9

3.3、公司免费向监理单位驻现场人员提供办公用房、办公家具。工作餐由公司统一安排，费用由监理人员自理，不得擅自在施工单位搭伙。

4、监理内业管理要求

4.1、现场监理应准备监理日志，对日常工作作详细记录；监理单位办公场所应保持整洁，监理规划和实施细则要点、工程形象进度、现场平面布臵等资料要求上墙。监理单位应配备一套工程规范。

4.2、现场监理应协助做好施工图审核，重点是施工图技术经济不合理部分及错、漏、碰、缺，以及项目的概(预)算,参与图纸会审,做好记录,写出会审纪要。

4.3、现场监理应协助做好开工前准备，审批开工报告，复核灰线，经公司工程部同意下达开工令。

4.4、现场监理应审批施工组织设计，审查和检查施工技术措施、质量保证体系及安全防护措施，提出合理的整改意见和建议。

4.5、现场监理应对施工变更进行如实签证，参与工程变更的签证，复核施工变更。监理单位的审核、审批期限原则上不得超过七天。超过七天而无合理理由的，施工单位可以向公司工程部反映。

4.6、现场监理应协助召开工程协调会议及综合管线协调会议，主持召开工程协调会议并做好会议纪要，调解有关工程建设各种合同争议。

4.7、现场监理应协助对工程投资进行控制，对施工单位提出的付款申请进行审核。

4.8、配合做好审核工程结算，协助做好审核工程造价，努力降低工

/ 9

程费用。

4.9、及时提供完整的监理资料，定期编制监理简报。4.10、完成监理规范要求的其他工作内容。

5、现场监理对施工单位的管理

5.1、现场监理应审核施工进度计划，并在实施过程中检查、督促施工单位严格按合同和施工规范、工程技术标准、设计要求进行施工，监督施工单位现场施工管理。

5.2、监理单位要组织专业监理工程师对施工单位的施工组织设计（技术方案）进行审查，并将意见书面报给公司工程部。

5.3、现场监理应审查施工单位采购清单，检查工程使用材料、构件、设备的品牌、规格、质量与数量。督促施工单位编制材料的供需计划。

5.4、检查督促施工单位贯彻执行国家相关安全法律、法规和杭州市有关部门对建筑安全的相关文件，检查安全防护措施和文明施工,检查督促工程进度、施工质量。

5.5、监理单位应参加公司工程竣工验收，并督促施工单位的做好工程整改工作。按照竣工验收及备案工作的有关规定，完成《杭州市建设工程竣工档案自检表》、《杭州市建设工程竣工档案专项验收申报表》、《监理单位质量（检查）评估报告》。

6、考核与处罚

6.1、对现场监理的考核由公司工程部组织进行，每季度安排一次。

6.2、对现场监理的考核内容包括监理内业、资料检查，施工工序监理工作检查，听取公司工程管理人员对监理单位工作和具体人员的评

/ 9

价，听取主要施工单位对监理单位工作和具体人员评价。

6.3、对考核通报中要求监理单位整改的事项，监理单位必须在限期内整改完毕，并通知公司工程部组织复查。整改事项完成以前，最近一期监理服务费用可延期支付。

6.4、监理单位在责任期内，应当履行约定的义务。如果因监理单位和监理人员而造成公司的经济损失，应当予以赔偿，总金额不超过监理报酬总额。

6.5、如发现监理人员不按监理合同履行监理职责，或与施工单位串通给本公司或工程造成损失的，公司将要求监理单位更换监理人员，直至终止合同并要求监理单位承担相应的赔偿责任或连带赔偿责任。工程项目竣工档案管理制度

1、总则

为对工程档案资料进行有效的管理和利用，督促监理单位、施工单位完整、准确、及时地完成项目资料，确保项目完工后及时完成竣工资料并移交给区城建档案馆，根据《城市建设档案管理办法》及城建档案馆的相关要求，特制定本管理制度。

2、档案分类

工程项目建设档案是公司在项目开发整个过程中形成的各类项目工程技术类档案资料。主要由工程准备阶段文件，监理文件，施工文件，声像、缩微、电子档案，地下管线竣工测量成果，财务文件等六个部分组成，具体详见《建筑安装工程竣工档案移交书》（以下简称《档案移交书》）。

/ 9

3、职责分工

3.1、各部门要按照统一要求、专人收集、专人保管的原则，做好建设项目档案积累的日常工作，确保档案资料的完整、准确、安全和有效利用。

3.2、办公室为公司工程项目档案管理的主管部门，负责在项目竣工验收后三个月内向区城建档案馆移交项目档案资料，并申领《建设工程竣工档案认可意见书》。

3.3、前期部、总师办负责工程准备阶段文件的收集、整理 工作，项目档案资料工作与项目建设进程同步。项目进行立项 时，即应开始进行文件材料的积累、整理、审查工作，加强对工 程准备阶段产生的文件材料的管理。

3.4、工程部负责监理文件，施工文件，声像、缩微、电子档案，地下管线竣工测量成果的收集、审核等具体实施工作。工程部在工程例会时检查落实建设项目的实施过程中，要同时检查落实档案工作的情况，并在工程竣工验收时，同时验收工程档案情况。

3.5、在项目建设过程中，前期部、总师办、工程部应在各自的职责范围内负责项目建设资料的形成、积累、整理工作，及时将办理完毕或有关人员保存的文件资料收集齐全，将原件交给办公室统一保管。

3.6、在项目建设过程中，各部门根据实际工作需要均可到办公室借用、复印。

4、档案要求

4.1、归档的工程文件应为原件，内容必须真实、准确，与工程实际

/ 9

相符合。

4.2、档案资料上所反映的图形尺寸、材质、规格等内容须做到图物相符，做到字迹清楚、图表整洁、规格统一、签字盖章手续完备。

4.3、应采用耐久性强的书写材料，如碳素墨水、蓝黑墨水，不得使用易褪色的书写材料(如红色墨水、纯蓝墨水、圆珠笔、铅笔)书写、绘制。凡由易褪色书写材料(如复写纸、热敏纸等)形成的文件资料应附复印件。

4.4、照片(含底片)和声像材料，要求图像清晰，声音清楚，解说与画面同步，照片与声像材料的文字说明准确精炼；电子档案(软盘、光盘等)应符合国家有关标准。

4.5、在整理档案资料时，遇下列情况，应要求责任部门进行重新制作：

4.5.1、一张图纸上改动部分超过图面35％或改绘后致使图面混乱、模糊、分辨不清的图(表)；

4.5.2、使用破损、受过光照图面不清、纸张有明显油渍、水渍和有霉变的图纸或资料；

4.5.3、结构、工艺、平面位臵(或局部)改变，无法在原图上通过修改来反映的；

4.5.4管线平面位臵变动(长度超过总长的五分之一，线位平移超过2m)，构造形式改变，断面尺寸变化，竖向位臵变动等；

4.5.5未按施工图位臵施工的管线工程。

4.6、所有竣工图均应加盖竣工图章。竣工图章尺寸为50mm×80mm，7 / 9

内容包括：“竣工图”字样、施工单位、编制人、审核人、技术负责人、编制日期、监理单位、现场监理、总监。签字要求填写清楚、齐全，不得代签。

4.7、设计、勘察、监理等单位的竣工资料须两套；施工单位的竣工资料要求施工技术文件二套、竣工图整套四套、建筑竣工图二套，施工技术文件、竣工图一套原件经办公室汇总后移交区城建档案馆，另一套由公司档案室存档。竣工图二套用于物业管理和消防验收，建筑竣工图二套分别用于规划验收和房产测绘。

5、档案的组卷和移交

5.1、组卷要遵循项目工程文件的自然形成规律，保持卷内文件的有机联系，便于档案的保管和利用。

5.2、一个建设工程由多个单位工程组成时，工程文件应按单位工程组卷。具体顺序参照《档案移交书》。

5.3、竣工图按专业排列，同专业图纸按图号顺序排列；文字材料在前、图纸在后。

5.4、工程文字材料装订应采用线绳三孔左侧装订法，要整齐、牢固，便于保管和利用；图纸不装订，统一折叠成A4幅面（297mm×2lOmm），图标栏露在外面。

5.5、案卷必须填写卷内目录、备考表和封面、脊背；编写案卷页号，页号位臵是文件资料正面右下角，双面书写文件资料背面为左下角。

5.6、项目档案资料统一采用卷盒。外表尺寸为3lOmm×220mm。厚度分别为20、30、40、50mm。

/ 9

5.7、勘察、设计单位应当在任务完成时，施工、监理单位应当在工程竣工验收前，将各自形成的有关工程档案参照《档案移交书》顺序整理立卷后，经公司工程部、监理单位根据区城建档案馆的要求对档案文件的完整、准确进行审查，审查合格后向公司办公室移交。

5.8、各建设项目的各分包工程竣工资料由分包单位向总包施工单位提供，统一由总包单位汇总、整理，工程部负责具体协调。

5.9、在项目完成综合验收后由办公室向区城建档案馆移交一套符合规定的工程档案，办理移交手续，填写移交目录，双方签字、盖章后交接，并领取《建设工程竣工档案认可意见书》。

5.10、移交项目档案时如实填写《档案移交书》，《档案移交书》等相关文件资料同时也均应归入公司文书档案。

/ 9

第五篇：浅谈上市公司内控制度8

浅谈上市公司内控制度 摘要]：

[关键词]：内部控制?内部控制

新加坡中航油事件，对国内外相关各方都产生了巨大冲击和深远的影响，对我国海外上市公司产生的负面影响，严重损害了海外上市公司尤其是大型国有企业的形象。震惊之余，人们不免要猜测并思考事件背后的原因，联系到近年来发生在国际国内企业的一些事件，如国内“银广厦”的轰然倒塌，红极一时蓝田和东方电子的衰败、成都红光的造假舞弊案等。这些企业是昔日在股市呼风唤雨的“绩优”龙头，随着证券市场的完善、法律法规查处力度的加大，人为编织的美丽光环渐渐褪去，庐山真面目逐渐显露。而在国外，从安然开始，假账丑闻象多米诺骨牌一样击倒了世通、安达信等世界著名的企业。这些事件不禁让我们深思：是什么原因使这些明星企业陷入绝境？企业要改变现状最紧迫的事情是什么？

通过对类似案例的分析，我们得出的结论是，这些事件的发生与企业的内控机制、内控管理有着密切的联系。正是内控各个方面问题的堆积最终导致了这些企业走向衰败。笔者就内控制度谈谈自己的看法。内部控制是适应国内外证券机构监管要求，企业董事会、管理层及其全体员工实施的，为经营活动的效率和效果、财务报告的可靠性、相关法律法规的遵循性等目标的实现而提供合理保证的过程。内部控制主要由控制环境、风险评价、控制活动、信息沟通及监督等五个方面构成：（1）控制环境是指对建立、加强或削弱特定政策和程序效率发生影响的各种因素，包括管理者的经营风格和经营理念，公司法人治理结构、公司集权与分权的程度，管理控制方法及人力资源政策等。（2）风险评价是提高企业内部控制效率和效果的关键，包括分析和辨认实现确定目标可能发生的风险。（3）控制活动是指管理者为了确保管理指令能够得以有效实施而制定并实行的各种政策及程序，旨在帮助企业保证其已针对组织目标所涉及的风险采取了必要的防范或减少损失的措施。（4）信息沟通是指信息在企业内部自上而下、自下而上、横向之间以及企业与外界进行有效的传递，全面、及时和准确的信息有助于公司管理层做出正确、快捷的经营决策，有助于提高内部控制的效率和效果。（5）监督是一种随着时间的推移及内外部因素的变动而不断地对企业的内部控制框架进行检查评价的过程。

一、我国有关法律、法规关于内部控制的要求

内部控制制度是企业各管理有关人员，在处理生产经营业务活动时相互联系、相互的管理体系，保证企业正常经营所采取的管理措施。内部控制制度的重点是严格，设计合理有效的组织机构和职务分工，实施岗位责任分明的标准化业务处理程序。《内部会计控制规范》

完整的内部控制体系和完善的内部控制制度，是约束、规范企业管理行为的准则，是减少风险的重大措施。实施内部控制可以及时发现和纠正各种舞弊及不法行为，有利于保证资产安全、完整，保证经营成果与财务状况真实、可靠。其必要性表现为： 一是建立现代企业制度，完善法人治理结构，实现经营机制的转换，加强企业管理，提高企业经营业绩，改善企业财务状况。二是贯彻国家《会计法》、财政部颁布的《内部会计控制规范》，适应美国《萨班斯法案》等法律法规对上市公司的要求，满足国内外资本市场监管需求，提高会计信息质量。三是积极参与竞争、努力降低风险。随着市场竞争日趋激烈和信息技术高度发展，以及全球经济一体化的进程加速，上市公司所面临的风险也逐渐加大。建立健全有效的内部控制制度，是防范风险、提高经营管理效率和效果的重要措施。四是建立统一规范的内部控制制度，使上市公司各项规章制度成为系统性、可操作性和包容性很强的内部管理制度，更为有效地体现股份公司管理理念。

四、企业内部控制应遵循的基本原则

1、合规性原则 合规性是指企业内部控制制度必须符合国家的法律、法规和政策；符合股份公司上市地证券监管机构有关上市公司的法律、法规和要求。

2、全面性与系统性原则 内部控制制度涉及公司经营活动的各个方面，其内部监督和控制贯穿于经营管理活动的全过程和并涉及全体员工。股份公司的每一个员工既是内部控制的主体，又是内部控制的客体；既要对其负责的作业实施控制，又要受到其他人员或制度的监督与制约。内部控制使股份公司内部各部门、各岗位形成较为系统的既互相制约又具有纵横交错关系的统一整体，确保各部门和各岗位均能按特定的目标相互协调地发挥作用，最终实现股份公司内部控制的总体目标。

3、内部牵制及不相容原则 内部牵制是指在部门与部门、员工与员工以及各岗位之间所建立的互相验证、互相制约的关系，属于企业内部控制制度一个重要组成部分。其主要特征是将有关责任进行分配，使单独的一个人或一个部门对任何一项或多项经济业务活动没有完全的处理权，必须经过不相容的其他部门或人员的验证、核对和制约。

4、权责明确、奖惩结合原则 根据各部门和岗位的职能与性质，明确各部门及人员应承担的责任并赋予相应的权限,制定操作规则和处理程序，确定追究、查处责任的措施与奖惩办法等，使权有所属，责有所归，利有所享，避免发生越权或互相推诿的现象。

5、成本效益原则 在内部控制活动中贯彻成本效益原则，就是要力争以最少的控制或最低管理成本获取最大的经济效益。要实行有选择的控制；要努力降低控制成本，尽量精简机构和人员，改进控制方法和手段，提高效率。

6、可操作性原则 内部控制制度必须符合股份公司实际，无论是业务流程控制点的设置，还是授权项目权限的确定，都要考虑实际管理工作中是否可行，保证其可操作性。

7、包容性原则 内部控制制度是依据公司现行各项管理制度，为控制风险而编制的一系列业务流程控制体系，内容涵盖投资、生产、经营、财务、监督检查等方方面面。内部控制制度力求避免与其他制度相矛盾。对确实脱离实际的其他各项管理制度，应及时修改、完善，并以内部控制制度规定为准。

8、信息反馈原则 确定与控制工作有关的人员在信息传递中的任务与责任，规定信息的传递程序、收集方法和时间要求等事项，建立严密的记录、报告等信息反馈系统。

五、当前我国企业内控普遍存在的问题 ?? ?从以上的分析可以看出，建立健全内部控制，不仅必要而且非常紧迫。健全内部控制，需要做的工作很多，从大的原则来说，主要应加大企业改革力度，建立现代企业制度，提倡和营造内控文化。从审计实际工作的角度说，笔者认为，应主要抓好以下个环节：一是抓企业领导。企业领导既是内部控制的制订者又是执行者，只有企业领导重视，才能选用合适的内部控制管理人员，注重发挥内部审计的作用，健全内部控制，从而使内部控制落实到位。二是抓监督检查。从国内外的实际看，内部控制的建立，多是外部力量推动的结果，因此现阶段，应全力推进内部控制的国家化，这就要求在强化内部审计机构独立性的基础上，加大外部监督力度。因此，审计等职能部门在对企业进行监督检查时，必须改变各自为政、各管一摊的老做法，努力使监督形成合力，使检查具有权威性，并帮助企业不断完善内部控制，防止企业内部控制形同虚设现象的发生。三是抓审计指导。内部审计是对企业会计资料真实完整的再监督，搞好内部审计，不仅可以堵塞漏洞，消除隐患，防止并及时发现和纠正各种欺诈舞弊行为，保护企业财产完整，而且可以规范企业会计行为，提高会计信息质量，确保国家有关法律法规和内部规章制度的贯彻执行。业务目标包括经营目标、财务目标和合规目标。经营目标是指与企业有效使用资源相关的目标。财务目标是指与企业编制可信赖的财务报告有关的目标。合规目标是指与企业遵循法律法规相关的目标。(2)业务风险 业务风险包括经营风险、财务风险和合规风险。经营风险是指可能会导致经济效益流失或资源丧失的风险。财务风险是指可能会造成财务信息失真的风险。合规风险是指可能会导致监管部门处罚的风险。(3)业务流程步骤与控制点 内部控制业务流程将企业的经营与财务活动分解成各个业务流程步骤。每一个业务流程步骤由一个或多个控制点构成。控制点内容包括该业务涉及的单位及其岗位职责、本步骤工作过程描述、上一步骤和本步骤控制结果等。(4)业务流程图表 业务流程图表是具体业务流程的控制点、适用单位、不相容岗位、控制点分值和相应的监督检查方法的图表式反映，扼要标明业务流程主要步骤。⑸相关制度目录 相关制度目录是指涉及具体流程的企业外部法规、总部或各部门相关的重要内部管理制度。(6)主要控制点相关资料 主要控制点相关资料是单位、岗位和员工执行业务流程的依据、执行过程记录，也是持续监督与个别评价的参照物。包括总部、各部门、各单位、各岗位与具体业务流程相关的重要报告及业务流程操作记录、附件等。

五、股份公司内部控制组织机构 股份公司应设立内部控制领导小组（简称“内控领导小组”），组长由总裁担任，设副组长若干人，组成成员包括：财务部、法律事务部、审计部、监察部、各事业部及相关职能部门主要领导。内部控制领导小组是股份公司内部控制的领导机构，经董事会授权，审批《内部控制手册》中间的临时修改；审核股份公司内部控制评价报告；对内部控制检查中发现的问题作出处理和整改决定，重大问题报董事会审批；负责审议每年更新的《内部控制手册》，呈报董事会审批。内部控制领导小组下设专职办公室（简称“内控办公室”），作为股份公司内部控制工作日常管理机构。具体负责组织内部控制执行情况监督检查，内部控制评价，《内部控制手册》更新及培训等工作。分公司、全资子公司和控股子公司应成立内部控制领导小组，主要领导担任组长；下设办公室，作为常设的内部控制工作机构。具体负责本单位的内部控制监督检查，实施细则和内控手册的更新及培训等工作。内部控制办公室可以单独设立，也可以设在财务、企管部门，但为了保证审计、监察的独立性，不能设在审计和监察部门。

基于我国目前大部分企业内控制度不严或执行不力的现实，如何进行有效的内控体系设计是企业内控研究的难点与最终落脚点。max.book118.com 中国最庞大的下载资料库(整理.版权归原作者所有)如果您不是在 3722.cn 网站下载此资料的, 不要随意相信.请访问3722, 加入3722.cn必要时可将此文件解密成可编辑的DOC或PPT格式 2