第一篇:企业内控管理信息化蓝图
企业内控管理信息化蓝图规划
2011新年伊始,标志着中国上市企业正式迈入内控监管的时代,也预示着越来越多的国内企业将踏上实质性的内控体系建设之路。
从那些通过美国萨班斯内控合规的企业来看,企业内控体系的建设过程,是一项全员参与、覆盖广泛,持续开展的复杂工作,整个过程将产生大量的工作文档,并且需要企业上下各层次员工的共同协作。如果缺少信息化工具作为支撑手段的话,那么企业的内部控制体系建设和后期运行,要么成本巨大、效率低下,要么流于形式、不能正真落到实处。因此,借助信息系统软件,将是企业进行内控管理体系建设和持续提升的重要方法和必然手段。
那么企业该如何进行内控管理信息化蓝图的规划呢?这一点对于内控管理水平处于不同阶段的企业来说,存在着非常大的差异。根据企业内控管理发展的历程,从低到高可以分为合规型、管理型、风险管理型和治理-风险-合规型(GRC)四个阶段。
首先,合规型内控。这阶段企业的特点是内控基础非常薄弱,管理及其不规范,基础管理制度大多是残缺的。其内控工作的核心任务是建立企业的内部控制管理体系及文档,并定期进行内控有效性的评估,以达到外部监管的要求。因此,合规性内控信息化的目标是,能够支持企业对内控文档的有效管理,支持内控评估工作的电子化工作流程。通常是开发或购买一套独立的内控管理软件,并主要提供给企业的内控部门使用。
其次,管理型内控。这阶段企业内控的特点是,内控和风险管理已逐渐融入到日常的运营和管理,企业的管控流程和标准体系已基本搭建完成。其内控工作的核心任务是通过内控工作,降低企业的风险损失和提升企业执行力,以实现企业自我管理提升的需求。该阶段的内控信息化建设目标是,企业内控管理的流程和控制点能够固化到各业务运营系统中,企业的风险点在业务发生同时,就能够通过各业务系统实现了自动控制或预警;此外,内控部门能够通过内控管理软件,对企业的各项关键风险指标进行实时的监控。内控信息化的主要特征是,内控管理系统具备了仪表盘和风险预警功能,各业务系统中也融入了自动控制功能。
第三,风险管理型内控。这阶段企业内控的特点是风险管理已融入公司的战略和决策管理,且作为企业的一项常规工作目标。此时,内控管理已成为企业风险管理的一部分,通过内控工作进行风险的管控,从而增加公司利润和优化经营决策,确保企业经营目标得以实现。风险管理型内控信息化建设的目标是,通过建设一个可进行风险识别、风险评估,风险应对、风险监控和风险报告的全面风险管理系统,支持企业能够有效发现和控制风险,确保实现风险损失的最小化。风险管理型内控的信息化特征是,企业整体的信息化成熟度和集中度水平比较高,全面风险管理系统与各业务系统实现了高度集成和信息共享。
第四,治理-风险-合规型内控。这阶段企业的内控特点是,企业已形成了公司治理,风险管理和合规遵从三位一体的管控体系,内控管理已分别融入到公司治理、风险管理和合规遵从之中,形成了内嵌式的管控方式。其内控的目标是,通过风险与内控管理不断优化公司原有的管理模式和业务流程,自动循环提升企业的全面管理水平。该阶段内控信息化的目标是,公司治理和运营的各个层面都存在IT技术的支持,企业的风险与内控管理、业务管理、合规遵从,拥有一套功能全面,运行可靠的IT解决方案进行有效支撑。
综上所述,四种类型的内控信息化是一个螺旋上升的发展过程,是随着企业内控管理和信息化水平共同提升而分步实现的。中国企业在进行内控管理信息化的建设时,务必结合自身实际的内控情况,做到量体裁衣,这样才能够确保内控管理体系能够更好地发挥其实效,给企业真正带来价值和收益。
友联时骏企业管理顾问有限公司
IT咨询总监 罗军
第二篇:上市公司CIO 内控管理和信息化建设
财政部会计司综合处处长,内控标准委员会家成员胡兴国 中国石油化工股份有限公司信息系统管理部处长姜林
用友公司NC产品架构师付建华女士
河北网通信息化部高级工程师屈玉阁
浪潮通软副总裁兼技术总监魏代森
中国铝业信息部的杨磊
国际信息系统审计师协会北京事务委员会主席何迪生
摩卡软件高级售前顾问周立民
EMC信息安全事业部中国区资深技术顾问冯崇彪 信息中心主任张艳
下面我们有请财政部会计司综合处处长,内控标准委员会家成员胡兴国。胡兴国:各位领导,嘉宾,上午好。
今天能有这个机会我想给大家汇报一下财政部会同另外四各部位关于标准建设实施情况,我汇报情况叫我国企业内部控制标准建设与实施。
汇报5个问题,一个是我们启动标准建设的规定,第二就是汇报我们企业内部控制建设历程,第三简单汇报一下标准建设框架体系,第四简单介绍一下信息化,风险管理与内部控制关系,最后大家探讨一下企业在事实内控标准应该做一些什么工作。
第一部分是就是它的意义,我从三个部分进行总结,大家知道去年5月11日,财政部,证监会,保监会,还有审计署同时颁发了基本规范,我们也在北京召开了发布会标志着我们国家企业内部控制标准建设,有了重要阶段性成果。
当前世界金融危机给我们国家造成很多机遇,我们做了一个调研企业加强内部建设,提升自身的能力是非常重要。第二就是中央提出走出去战略,国家起草规范和技术出发点,要企业做强做大,帮助他们国外资本市场进行融资,特别是是美国,英国,法国,包括我们香港都有一些要求。
第三就是满足我们资本市场发展需要,我们国家资本市场公开,公平,公正,提高财政的信息质量,提升我们经营管理水平,可持续发展,还有保护我们广大投资者利益。第二部分就是发展历程,我们国家企业内部控制建设从70年代就是改革开放以后,特别是我们第一部会计法的实施,这是一个标准性阶段。在满足社会不同需要,在这个过程我们出现过满足核算制度等等。早在70年代末期,80年代初,包括我们提出岗位分离等等。90年代的时候,特别是我们会计法实施的时候财政部96年发布会计规范,规范要求各单位进一步建立健全包括内部控制先进内部会计管理制度,会计法明确要求各单位建立内部管理,这是我们内部管理的法律依据,到2001年6月22日,财政部依据会计法规定又制定了企业内部会计控制规范,基本规范和后备资金,04年相继发布了销售与收入增加,发布了1+6的等各项制度。
第三阶段以我们发布的金融规范,来源主要是美国安然事件以后,采捕正有关领导,把安然事件对我们国家的意义报个国务院,国务院领导同志做了批示,这项工作财政部牵头,证监会,国资委配合,建立中国的塞班斯法,到2007年,财政部,银监会,国资委等联合发起成立我国企业内部标准委员会,委员会委员是31位,我们成立了8个咨询小组,8个小组去年我们把这个小组又扩大了,委员从31名发展大50人,咨询小组现在有150人,当时我们发布规范发布了17项具体规范。我刚才说5月22日我们发布节本规范,要求7月1日正式实施。
第三部分给大家汇报一下,基本规范的框架体系。框架体系是一个规范加三个指引,一个是基本规范已经发布了,内部标准体系是最高层次,有的人说是中国的塞班斯法,第二是主要是对企业,对企业有内控企业的主体。帮助企业建立体系,第三系评价指标,是企业内部必须做的评价包括自我评价,怎么评价。第四是审计指引,会计事务所执行内部审计。基本规范主要是有概念,目标,原则,要素。我们提出了概念,当时我们国家内部控制很多部门都有,包括我们银行,银监会,包括我们的证监会,包括我们两个交易所,我们部门把概念统一一下。目标有三个目标,我们提出5个目标,我们是5目标,原则,要素。应用指引,给我们发布了征求意见,目前21个应用指引,加上审计指引,加上评价指引,一共是23个,我们财政部部长签发了,审计署也签了。我们应用指引主要是21个分布,一个是针对企业管理,我们根据基本规范有5个一个是统一架构,一个是发展战略,一个是人力资源,还有社会责任和企业文化。这5个我们是怎么每一个构架都差不多,我就举一个社会责任框架,我们第一就是整合,提出它的概念什么是社会责任,我们再提出中心有哪些,社会责任我们提出4个中心点,安全生产,不落实可能导致企业生产事故,第二产品质量恶劣,会侵害消费者利益,可以导致企业破产,大家知道河北石家庄三鹿开奶粉事件,第三是环保投入不足,资源消耗大,造成环境污染,资源枯竭,缺乏发展后劲一是一个风险。
第四我们说促进就业和员工权益保护,我们金融危机背景下,扩大就业,保内需,增长,我们从企业角度。第一是控制环境,第二是资源,包括资金活动,我们以融资,投资这一块我们放在一些活动里面,还有采购业务,还有负债管理,销售,研发,工程项目,服务外包等等。应用指引形式都差不多,比如说采购应用,我们主要是支付环境,包括购买环节,要采购申请,招标,确定供应商,供应价格,报批核准等等,每个环节进行控制,第三是控制手段,包括全面预算,风险管理,内容信息传递,信息系统,财务报告。
第四针对特殊行业或者行业的控制,包括银行业,证券期货业务,保险业务个个应对指引。再说一下就是评价制度,作为企业内部管理涉及到运行效果和自我评价,为了方便起见,我们起草了一个对企业内部控制,内部评价指标,包括内容,标准,程序,方法,包括报告形式,我们选择企业报告的基本是从1月2日,12月31作为一个会计年计表,也可以选择6月30号自查报告也有了新的形式我们参考的深交所还有美国塞班斯法正在研究,报告形式可能要分两部分,第一个是对环境评价,对业务流程通过一些表格,数据一些量化标准。企业怎么判断你的是否存在重大缺陷,下面就是审计制度,主要是事务所接受企业审计。从我们目前起草稿子我们指引分四各类型,一个就是标准,还有在强调时间段和保留意见,还有否定一些意见,还有无法表明一些意见,和我们财务报告差不多,这个也有一些具体指标。我简单汇报一下框架体系。
第四部分我们汇报一下内部控制与风险管理的信息化,我们是怎么理解的。内部控制和风险管理,实际上存在一些争议,理论界对这一问题,人事部统一,有人认为内部控制与风险管理是两回事,两张皮,也有人形象说内部控制是“正确的做事”,风险管理是“做正确的事”。从我们制定基本规范角度出发点,我们认为内部控制和风险管理不是两张皮,应该是一个完整和有机融合,我们认为内部控制主要是企业内容风险,包括你可控风险也包括不可控风险,但是都要做。所以我们基本规范风险评估,有风险识别,分析,经营存在的风险,战略,决策等等。第二对国际先进研究成果与经验看,应该是有机融合的趋势。看与风险之间的感到我们是这样理解的。
那样控制与信与化,信息化会计信息化有财政部会计司也说,80年代我们在全国积累了很多经验,在电算化的一些标准,08年11月12日我们财政部会同其他8大部委在北京成立会计信息化,包括还有XBRL中国地区组织。经过20多年的努力,在会计信息化工作方面给我们发了一个指导意见,这项工作从我们司角度,已经成为工作重点。会计信息化与内部控制信息化还是有一点区别,这一方面从我们内控角度,我们单独有一个信息系统这方面的指引,我相信这个会内部控制好,要做得好,对大多数企业来说很重要的。随着科技发展水平越来越先进,所以信息化一定要跟内容控制有机融合起来。信息系统我个人理解不仅是本身需要控制,最主要是在内容控制和风险管理中,能发挥很大的作用,提高工作效率,能够节约很多成本。
第五部分,我汇报一下企业如何实施内容控制规范。我们知道原来定今年7月1日上市公司开始实施,考虑到因为我们一系列的具体的应用目前还没有发布,加上我们审计指引,发布以后还要有一段时间消化吸收还要有一个过程,由于金融危机影响,我们调研一些企业他们关注点说法不一样,有的说我们现在经济不景气,我们练内功吧,有的关注不是这个关注经济增长率,所以经过部里面领导多年的慎重研究,目前我们调整到2010年1月1日,原来是在境外上市公司实施,考虑到情况其他上市公司、其他企业也执行。这套体系下来已经做了调研实施成本是非常大,实施难度还是有一定难度的,目前需要财力,人力资源,所以我们想这个中国在境外上市有4个国家。实施原定7月1日实施,有一个自查报告,2010年12月31日,我们还有一年半的时间,我们的有一些企业有完善的标准、完善的制度体系,我们宣传和应用。下半年我们就做一个宣传和培训工作,我们目前正在紧锣密鼓的筹备当中。目前我们跟踪一些大的企业看看他们的实施效果。
企业在贯彻实施内部控制规范制度,我个人理解应该从下面6个方面。第一个方面就是要强化宣传培训,提高内部的认识。不管7月1日执行不执行,上市公司总是要执行,只是一个时间问题,延续明年下半年,或者后年总之是要执行的,所以工作还要往前做。所以要宣传培训提高认识。第二点就是要健全内控机构,提供组织保障。不少企业有内控部、有风险部,有的是单独设立了内控部门,有的是放在财政部下面,有内控部。形式不一样,但是我们从基本规范角度要求,要设立机构配备人员。第三点要循序渐进,稳步实施,不是哪一个部门,不是我们财务部一下子的事,是需要多个部门配合。对于企业因为差别很大,差别很多,千差万别基础也不一样,建议分步骤、分层次的进行。选择境外上市公司执行,考虑境外上市公司资本市场是适合公众利益,执行效果好坏事关资本市场的稳定,但是上市公司基础较好,人员素质较高,本身有完善的内部控制的制度体系,同时也有雄厚财力支持,所以选择境外上市是有扎实的基础。第五点我们建议注重实施成本,讲究实施成本。第六就是强化内部控制建设,增加风险防范能力,应该进行统一协调。
最后一点就是要企业善于借助外部资源,合理利用外脑。企业在实施过程中内部控制标准体系过程中,让人感觉到这方面人才,智力资源的局限于可以借助外部咨询机构,中介机构,帮助你设计,避免少走弯路。同时让咨询机构培训自己的人才,这样提高企业综合管理水平。我要汇报简单给大家汇报一下的是我们财政部牵头这项工作的基本思路,不对之处请大家指正谢谢大家。
主持人:非常感谢胡处长的发言,下面我们有请来自IDS Scheer咨询经理阚相元先生发言。阚相元:各位领导,各位来宾,大家早上好。
我代表Scheer公司,与大家分享一下我们内控风险管理的认识和经验。
在正式演讲前我们Scheer公司是德国著名管理信息学教授在1999年建立的,进入中国是2004年,目前公司在北京上海,还有深圳,有三个办公室,在中国主要是提供两个方面大的分别服务一个是SAP实施和核心ERP系统咨询服务。第二服务我们公司业务流程管理系统核心包括风险和内控建设,进入中国时间虽然很短但是我们在中国市场获得很多客户,包括一些跨国公司。
今天的演讲分三个方面去介绍,首先,跟大家分享我们看到国内管理的企业在整个内控与风险管理建设方面遇到一些挑战和困惑。第二,我们看到信息化系统在解决这些困惑和挑战方面起到什么样的作用。第三个方面,我们会用一个具体的案例介绍一下两个方面。我们现在企业面临很多的要求,要求我们企业加强内控风险管理,我们分析了一下,这些要求不外乎是从四个角度出发,比如说国资委的《中央企业全面风险管理指引》,从是保护股东权益角度出发,还有保护公众权益出发的,还有一个是专业的行业部门,为了保障行业稳定发展,尤其是金融行业,比较明确是我们有银行的一些管理办法。还有保险业,还有政府部门维护整个市场经济经济角度出台一些要求。
比如说财政部内部控制规范,这些核心思想是结合本企业自身特点,一些基本参考框架建管理体系,实际上和我们在很很早之前做的ISO的应用是一样的道理,无外乎我们要参照基本要求建立企业自身特点的管理体系,我们有很多客户交流,尤其是一些国有大中型企业,和上市公司交流大家会遇到一些困难,我们遵循上交所规范,和财政部规范,还有国资委中央企业风险管理的要求。我们怎么保证一套体系满足这些要求,我们要分门别类地架构我们的体系,我们企业肯定是不堪重负。我们仔细分析了一下及我们以财政部和国资委两个法律法规要求看,他们是不矛盾、不冲突的。他们的核心思想是一样的,比如说我们财政部内部控制基本规范,提高我们内部控制体系核心要素分为五个部分,我们国资委前面风险管理执行里面也提到很多条,但是他们明显有一个明确的供应关系,我们认为我们结合一些国内外的案例,《企业的内控与前面风险管理指引》,有不同政策要求,但是我们都何以分成三个层面理解,首先一个层面我们要结合我企业特点,识别出我们的风险或者是控制点,设立我们相应对的控制措施,是我们整个体系设立层面。第二,我们要把我设立措施应急方案在企业内部推广也是一个控制实施过程,第三我们保证体系健康发展,做工作对体系运行设计和工作实施情况,进行监督,对不足之处改进,确保我们整个体系设计是合理的,执行是到位的,这样一个体系。
根据我们对不同客户的交流按,发现大家面临一些一样的困惑,所有管理政策要求核心要求是基本是一致的,第一就是要设计符合企业内部业务特点的管理体系,并且这个管理体系要能够根据公司业务,比如说组织架构调整进行及时调整。第二就是我们要把体系形成文件,作为我们执行和审计的依据,作为监督改变的依据。这样我们看到整个企业面临两个方面的挑战,第一我们体系改革的中心、编制审核很难跟得上业务变化,组织是在不断调整,业务流程是不断变化的,信息系统建设是逐步推进,每次做这种变革需要我们重新审计这些文件。第二就是我们体系文件难以根据外部环境变化进行及时调整。
在控制实施方面,所以体系文件我们看到有两个要求,一个是根据设计的方案,我们体系设计与执行的一致性。第二就是实施过程当中你要保留一些可以审计,检查,这样一些依据,比如说控制实施了,要留下相应证明文件。这样我们可以看到有很多企业面临两方面挑战,第一就是缺乏有效的发布实施平台,我们做这个文件怎么能够让我企业内部从高层到基层管理,大家都知道,业务当中执行这是一个挑战。第二就是胡处长提到我们企业控制点很多,我有的客户有5千个控制点,如果全部用人工进行控制的时候,控制成本会很高。这是面临两个挑战,在整个体系监督和改进方面,有两个核心管理要点,我们要对体系设计合理性,实施彻底性监督并且定期出一些评价。第二我们评价监督资料要保留一下,可以供外部或者是企业的监督点所使用。
这样我们可以看到企业里面有两个方面要求,第一就是我们体系监督本身工作量很大,协调的难度也很高,这样导致我们合规的成本是很高的,第二就是我们需要和一些企业定期每季度,每要做监督测试的工作,这些工作资料实际上对我们整个体系持续优化是很重要。但是我们很多企业做完以后,发现资料量太大,我将来不会再利用,达不到我们持续优化的目的。
上面这些挑战直接导致后果就是四个,一个首先合规成本很高,我们看到很多企业最早国内企业是遵循美国的《萨班斯法案》,动员内部很多力量,才能完成合规工作。第二,很多企业抱怨,我是把风险控制住了,但是我们业务效率降下来,业务要不断识别风险,满足内控部门要求。第三导致的后果是我们很难持续地合规,今年可能通过,明年能不能通过还是一个未知数。第四是企业很难满足不断增加的内部的合规要求,我们国内上市公司面临这个困难很明显,最早是满足《萨班斯法案》,国内又提出,国资委又提出要求,最近在财政部也提出要求,企业怎么满足不同需求。这个我们认为可以借鉴向国外上市的公司,用《萨班斯法案》上市的经验,可以分五个阶段。第一个阶段是企业如何去控制规范,企业具体要求是什么,第二就是我要建立业务体系,第三就是我们要内部体系进行评价,第四个阶段我们企业面临挑战就出来了,企业寻求信息化的手段,首先想到信息化手段我们要把我的内控测试,监督工作流信息化,我们要把整个体系文件信息化管理,第五阶段我们更高层面规范我把业务标准化,很多跨国公司很多相同业务存在,他们风险是类似,也是可借鉴的。如果不存在业务单元,业务列成标准化,我风险的数量会大大降低,这是流程标准化。最后就是他会有一些信息化的手段实现我们业务和我们内控有机融合的目的。这是我们所面临些挑战与启示,下面给大家介绍一下我们在内控和风险管理的一些解决方案和想法。
我们认为国资委前面发的指引也好,或者是财政部规范也好,明确提出企业在内控风险管理过程当中充分发挥信息系统作用,也结合我们在国外的一些经验,我们现在解决模块就是6大模块,基本涵盖我们整个内控和风险管理过程。第一就是我们首先一个建模模块,可以把企业内部业务和整个风险和内控风险体系文件进行管理。第二是风险事件的管理模块,我们怎么建立风险事件部。第三是风险评估模块,我们把风险评估任务分到各个管理部门把所有风险进行排序。在第二层面控制实施模块有两个,一个是帮助发布实施模块,我们可以给企业业务流程,让业务流程管理人员共同使用。第二是监控及预警的模块。我们一些业务的指标,资金流动性等等这些指标,第三层面就是我们有一个监督改进模块,可以使整个体系监督测试工作机械化。
我们在跟企业沟通过程中有一些问题,我们体系文件问题是很多,我们用大量文档,我们看到表述了企业业务实际情况的文档,还有一些风险矩阵,包括一些制度组织,发信这些文件是分散,在业务上是有联系,但是在管理手段是没有联系,我们怎么做风险识别呢?我们系统有一个基于一个数据库把我们整个企业业务现状和风险控制集成化进行对象化的建模。我们左侧看到了一个流程,我们发现有一个风险点,这个风险点有一些控制措施,基于控制措施的执行情况,由于会有一个监督测试措施,针对这些测试我们制订一些人员,在系统里面把有机关联起来,进入一个建模。基于我们信息化模式可以进行快速分析,我可以知道我们企业业务存在哪些风险,我知道哪些管理这些风险,哪些风险是在哪些流程上这样我可以很容易抓住一些风险的重点,并且我们业务管理软件有一个很好作用我能够把企业里面对于同一个业务,从不同管理体系的要求,都在这业务流程表述出来,比如说从质量管理方面的要求,安全管理信息的要求,内控管理信息的要求。在整个表当中我们可以看到三套流程框架,我在具体执行业务过程中我到底要执行哪套业务,执行哪些要求,我们这个系统是可以把所有管理体系的要求落实到一个业务流程体系,这是同一个业务流程进行集中化的管理。在我们系统可以根据不同管理体系要求,我们质量管理要求,内控管理要求,再出具不同的业务报表。
我们的系统最重要一个点我们可以搭建一个业务部门和风险管理共同使用平台,首先我们业务人员和风险管理人员可以进行业务的建模和风险管理建模,形成一个企业管理知识库,管理人员可以看我们风险点,业务人员可以看业务,并且可以满足跨地域的支持。
综合来讲,在这一块特点主要有两个,第一搭建业务人员和风险管理人员共同使用平台,第二我们可以提高业务流程风险管理制度的效果,前面讲到可以减少工作量。
第二跟大家介绍一下我们风险评估的模块,是一个风险评估软件,在我们风险评估内部发起到外心,到风险评价结果分析,前后我们都可以在系统里面完成。最后系统要给企业管理层几个报表,比如说定量分析的热图,定性分析的热图。并且我们可以根据我们多次评估结果掌握不同风险变化趋势。这个风险评估解决方案特点,主要有两个,第一我们通过流程信息化,我们把风险评估工作,信息化以后,固化以后可以建立一个持续风险评估机制,比如说对某一个风险要半年评估一次,到期的时候,系统会自动发起评估任务,可以确保风险评估任务的工作,第二我们基于同一个平台进行风险评估可以保障所有风险在同一个平台实现,可以掌握所有的风险的情况。第三个模块是我们风险损失事件管理,可以通过一个工作流建立一个数据库,给我们提供一些风险借鉴的案例,比如说我们看到一个信誉风险有几次,原因是什么,这样对我们风险识别有一些启示作用。它的特点有两个,一个是通过信息化建立一种固化持续化的风险机制,第二建立公司统一可以对风险应对提供一些数据化的支持。第四是我们监控和预警的模块,这个模块最大的特点是我们可以从企业业务系统里面提取业务数据,进行指标的监控基于规则的事件识别。
我们系统最大的特点数据功能是非常强大,可以跟现在所有的业务系统和数据库可以进行数据的收集和对接,我们可以把企业很多关心情况展开的地方,可以预警展开指标的情况,从而实现风险之前的管理和运营。我们设计了一些业务规则,看系统里面我们业务操作过程中有没有按照这些规则做,实现过程控制,还可以提供一些选择功能。比如说我们能够看我们的职责,在各种信息系统里面落实情况,检查全面配制的正确性,合理性。
最后是我们测试和评价模块,这个模块主要是通过测试和实现对我们体系监督评价,这样我们的软件也是一个工作流软件,涵盖了从测试任务的发起到测试工作的进入,到统计分析到改进工作跟踪,全过程涵盖。它的最大特点能够和我们建模模块做最初体系软件,进行数据同步,保证我们在监督测试的时候,我们看到和我们体系设计的初衷是一直的。
最后它这个系统有一个很大的统计分析功能,出一些多纬度测试结果,内控和风险管理绩效考核,不同业务哪块业务做不好,哪一块风险管理不好。我们可以从不同角度,或者和哪些科目相关的风险控制点到位不到位。我们通过流程信息化建立个测试及整改的工作机制,第二我们系统和我们体系管理系统进行数据接口,保证在测试过程中使用所有的文档都是集成的,不用工作人员手工做很多文件,第三简化我们大量工作,提高我们的工作质量。下面我们简单介绍一下我们在德国做的案例,这是一家在国外上市的大型国有企业,最初就是做内控项目是从《萨班斯法案》开始,在遵循《萨班斯法案》过程中他发现有几个方面挑战,第一是业务流程管理水平很低,增加了内控管理的难度,影响内控管理工作的落实。缺乏一套可以全面表述工作情况的文件,不能不全面的表述出工作业务的实际情况,要识别风险加以控制这是一个很大的挑战。第二是他的组织人员非常庞大,他体系管理难度是很大。第三挑战他的内控监督测试的组织,工作难度很大,测试成本很高,用的几百人的人力进行一年工作,才能做完,首先有很多的工作细节导致很多测试成本不是很高。
根据这样的特点,我设计了基于风险管理的系统,首先把我们业务和体系文件管理起来,第二做人力和测试模块。第三就是我们要把做完的业务和体系文件发布出来,同时这个系统还能够支持我基于同一套流程,可以满足我内控也可以满足我ERP实施的要求,还有一些指标的控制。做的第一个工作首先是我们把业务进行全面梳理,从横向到纵向可以保证我业务真实的业务状况。基于这情况我们看每一个业务流程里面有那些风险点,业务目标是什么,有哪些不确定的因素,针对风险点我们有哪些是控制措施,风险管理,控制执行我们怎么测试进行一个统一规则进行了一个描述,以后我们可以发布出来企业管理的内容库,这样我的业务人员在维护人员可以看我每一个业务要求,风险管理人员可以快速看到的风险可以到那个里面去。通过前面讲的测试的管理和测试的统一分析,极大地节省了他们的人力与物力。这样以后我们跟客户一起总结,整个做完以后收益是体现三个方面,第一是通过风险管理工作,进行业务流程标准化,加强企业规范化指引,提高业务管理水平,这是客户一个收益。第二提高内控管理的工作效率和质量,降低我们合规化成本,主要是信息化手段降低了工作量提高效率降低了合规成本。第三方面的收益实现了内控管理和业务经营活动的有机融合,过去内控风险管理工作就是风险管理部门工作,业务部门是对专业部门去推动的,这样一个双方抵触的情绪。通过这样一个程序双方可以落实,把我控制风险融合到业务当中去,实现业务管理工作和风险控制的有机融合,我们对内部监督测试过程也是对我们业务执行力的检查,也是业务执行的保障。
今天时间有限给大家介绍就到此为止,谢谢大家。
主持人:非常感谢阚先生。下面一个讨论主题是“中国石化信息化建设和内部控制体系”,有请中国石油化工股份有限公司信息系统管理部处长姜林。
姜林:各位领导,嘉宾上午好。
我汇报题目是“中国石化信息化建设和内部控制体系”,汇报的内容包括中国石化基本情况,信息化建设和应用情况,信息系统内部体系,IT内部体系。
中国石油化工股份有限公司是由中国石油化工集团公司,国家中华人民共和国公司法多家发行方式,2000年2月25日设立股份制公司,分别在香港、纽约、伦敦,三地交易所成功发行上市。
2001年7月16日上海证券交易所成功发行了28亿A股,截至2008年年底中国石化总股本857亿股。中国石化是中国最大能源化工公司之一,主要从事石油与天然气开采开发。管道运输销售,石油炼制、化工、化纤、化肥等等产品输送。石油、天然气、石油产品、化工与其他化工产品进出口代理进出口业务。技术信息研究开发应用,中国石化是中国最大的石油产品,包括汽油、柴油等主要石油产品,也是中国第二大原油生产商。
中国石化建立了规范的治理机构,实行了集中决策风险管理和专业化经营事业部,事业部管理体制,中国石化有全股子公司,包括炼油、化工产品销售等企业。主要是集中在中国最发达的东部和南部的地区。中国石化更加注重科学创新、管理创新,努力把石化建设成为能源化工公司。
中国石化最大股东中华石油化工集团公司是国家在原中国石化公司总基础之上,1998年成立了特大型石油石化集团,美国《财富》杂志2008年世界500强中国石化名列第16位。第二方面是信息化建设了应用情况,2000年以来,中国石化以ERP为主线信息化建设获得快速发展,到2008年底ERP在81家企业,以ERP为带动电子商务系统、供应链系统、生产指挥系统、集中管理系统,一些先进控制生产集成系统,等多种使用系统都得到了广泛的应用。目前信息技术应用解决中国石化生产管理多个领域,中国石化ERP开始于20000年,在4企业成功试点多个展开,包括油田,炼油化工销售,企业全部覆盖,企业从业大规模ERP建设,2007年底基本完成,ERP系统推进资金改革提高管理水平,规范信息管理行为,强化控制方面效果明显。
中国石化通过采购电子商务系统从2008年8月投入至今,网上采购结果88个单位,5千个物资扩大到目前50多个单位,76万多个效果,90%的物资实现了网上采购,到09年3月网上采购资金突破6千亿,集约采购200多亿。对供应链系统经过几年建设,提高原油采购,运输、加工,供应链管理系为炼油企业讲稳增效起来发挥了重要的作用。人员统一调配,用统一安排格局及实现技术指标分割,数据采集,监控分析,有效地降低用户费用和财务费用。目前总部生产系统以新大楼统一运行,实现调度跟踪,系统各项部门功能得到有效应用,总部集中了平台,用户总体不断扩大。目前已建成IC卡联网加油站17000多户,发卡网点5000多,持卡消费33%以上。增产集成系统用三年左右时间提高到2到4个小时完成,为企业降低能耗提升精细化管理水平有很大的改善。其他应用系统,全面运算系统等油田企业炼化企业、教授企业、科研工程单位信息化建设也得到了深刻发展。
第三是信息系统的内控体系,我们03年成立了内部指导小组,成立专门办公室,组织协调内控建设和实施工作。应对不同市场,借鉴美国经验提出内部控制框架,公司经营财务有大关键划界,制订了内部手册,经过测试于2005年1月1日起,在公司正式实施内控制度,经过四年多实践,内部范围控制逐渐扩大,覆盖了中国石化所有活动内控体系。中国石化内部控制手册2009年版有18大类,配套相关总部管理制度244个,各分公司规定了工作流程结合本单位。为了保障内控管理有效实施,办法内部控制办法,在总部分公司两个层面使用。中国石化内部控制手册2009版本有17个流程,基本全部实现了信息化,另外5个业务流程为IT部门流程,其他业流程暂时没有实施信息化,或者与信息化无关。
第四个问题向大家汇报一下中国石化IT控制体系。中国石化IT控制体系包括IT内部业务流程,IT一般性控制,和IT应用控制。2003年建立了信息系统管理业务流程,2005年启动IT控制工作,2006年建立了IT一般性控制,2007年结合ERP系统,应用系统和基础设施IT一般性控制流程。2008年IT控制体系进一步完善,并将重点专项IT应用控制,2009年随着深化ERP应用进一步深化IT应用控制。IT一般性控制包括企业整体层面IT控制,和企业活动层面IT控制,近期系统管理业务流程IT体现包括与管理体系,信息化教育培训及凭险评估,信息安全管理重要控制内容。有关活动层面IT要求,通过ERP系统控制流程等体现,ERP系推IT一般性流程,包括和数据访问,程序变更等等,业务流程IT一般性控制流程,主要财务报告是生成相关,如ERP财务报告系统,加油卡系统流程包括程序变更,访问方面内容。结合网络服务器,机房设计。流程包括机房管理,故障处理方面内容。中国石化IT一般性控制主要和信息系统日常管理结合,经过几年扎扎实实的工作,对外部省市认为中国石化IT控制到位,保障信息系统安全,稳定系统方面发挥重要作用,中国石化IT控制主要有ERP系统应用结合,ERP系推是中国石化主要系统,比如说计划控制、一般控制、价格控制等等,自动平衡资源及实现资金流,物流等等。通过发挥系统集成,满足用户管理要求,实现IT控制目标。
中国石化内部控制手册设置50多个流程,以27个业务流程与ERP有关,总体实现配制控制,输出输入控制,包括时期控制、操作规范控制,日常操作,垃圾数据操作。用户检验包括组织值,关键词代码,以及系统机构控制。ERP全面实施落实IT控制提供标准平台,有利实现IT控制目标,提供了有效的保证,实现提供有效保证,在深化ERP系推同时进一步加强的IT控制。
主持人:非常感谢姜处长。下面有请网康科技服务部总监陆续周先生。
陆续周:很荣幸有这个机会,跟各位专家交流一下内控体系,我本身有在一个大企业做过10年的IT系统,而且比较早的实现了有关的业务内控,我的交流分五个部分,引言,把内控条例读薄。
内控刚才也讲了是一个全员的工作,尤其是核心团队共同实施,因为借助信息化实施,所以一般CIO比较痛苦,我该怎么办。其实整个技术层面内控里面是一个支撑,如果说我不能一下子全做到,有一个办法分布落实,这个时候可以看到把内控条例读薄对我们有很大帮助。一个经济学的泰斗跟我说过,书里面东西比电视好,书里面东西可以让人聪明,电视可以让人变傻,因为书是可以越读越薄,把内控条例读薄对我们有很大帮助。在这个内控条例里面我们最主要是宣传、培训,让每一个落实人心,无论是美国的安然,还是经济危机美国企业高管,依旧发高额年薪,往往是因为人的不当操作导致,内控精髓是规范人的行为,让规范深入人心,同时让人难以有意、无意违反这个条例。所以我的标题就是“内控以人为本”。我觉得要想把内控读薄有很多范围,画了四个框。首先内控是一把手工程,从董事会,最高层要重视。第二点是整个核心团队,共同参与设计不要指望就是IT部门做内容不可能。但是IT部门的这种支撑、架构是必不可少,我们内控所有流程都在支撑系统中,人的大脑效率是很低,我们一定确保内控条例,确保我们规范真正深入人心。往往人懂了不抵触,就会知道这样的好处。我以前的公司老板跟员工说我为什么要做好控制,因为只有我们控制住我们才可以活着,如果公司不好,员工得不好,所以公司600人一样可以进行很好了内控体系,我们有了框架以后我们怎么把内控体系读薄,构成一个企业无非是两种,一个是活生生的人,还有一个是企业资产,同时我们业务运作有业务流程和财务流程,是我们要做内控体系要关注方面,把我们这些梳理清楚以后,有了这些关注点以后,我们怎么对每一个点进行内控规范设计,在内控条例章节里面可以看到,第一章第六节,权责分配、企业愿景、人力奖惩、可审计、反舞弊。每一个设计流程关键点切分,每个点都很重要,但是每一个点流程应该怎么做的,第一我们处理任何一个流程,任何关注点的时候我们要遵循第二章到五节第一风险分析,控制措施,信息沟通,监督检查,一点可以分成20个操作步骤,不管有多少点我要抓住关键操作过程就一定可以做下去,我本来想画一个四维图,本人美工有限画不出来。我觉得还有一个很大的纬度就是我们网络,内部和外部网络,有这么多点我已经知道了,那么我该怎么做,今天有做窗效应。如果我想做窗等到我们所有的窗户一次性采购完,这样的话让别人认为窗户破是应该的,不破窗户我要打破,这个是一个很知名的效应叫“破窗效应”。这样的话用最快的效益,把能够修复好尽快修好,给人一个意识我不能再打破其他窗户了。这种思路一定要灌输,内控条例里面有没有可以尽快修复破窗呢。
这是整个架构内部外部网络,内部网络关注于每个企业的个性,比如说金融、石化、科研、政府内网一定不一样。一个是设备制造商内网一定不一样,它的流程很复杂,外部网络比如说我访问互联网、访问邮件、访问外部应用是有通用的,是一种普适性很强的,不妨我们从最容易下手的地方下手,把破窗破除掉。
这是我的心得,内控先找软柿子捏,在这种外网互联网环境里面我们可以看到,它实际上贯彻了一个企业企业文化,企业愿景,就是人员基础,我们利用互联网知道应该做什么,不应该做什么,这个是通用而不准则,因为是一个基础所以很重要,因为通用是一个软柿子,很成熟不需要我们太多考虑我们业务的关注点,在外界很多大量已经成熟可用的方法,来破除破窗。同时互联网这种行为是人的第二人生,可以反映出一个企业人的文化、思路、想法。因为我们曾经给客户做咨询的时候,我们很轻松发现哪些员工想跳槽,是一个人的思路直接体现,所以当我们了解人的思路以后,了解了关键点之后,我们想让我们其他规范深入人心会变得很容易。所以说互联网行为的内控实际上是一个已经成熟,而且成本效应更高的软柿子,我们不妨从这里下手。内控为两种,那么互联网内控,问题到底在哪里,我们现有体系是不是已经把内控实现了。我们来看一下,根据我们服务过很多客户的角度看,第一现有状况很普遍,内网IT没有认证,没有专业互联网接入的安全体系,会导致我们内部的人员根本不知道谁做的,我相信我们越大的网络越会采用动态的成本,这种情况我们怎么知道谁做了什么事,我们不能关注到人何谈内容,没有权限、没有规范。第二,我们互联网上可以看到无论是HTTP网页下载,还是最流行的P2P下载,还是IM的收取,都是面临企业挑战希望员工不违背的事情,大概30%是国家级的网站,我听到收音机,说北京市青少年每周平均上网时间是37.5小时,如果按8小时工作日,将近5天,而且其中有一半的学生访问过色情网站。实际上可以看到这里面网页的问题很大,同时像P2P基本上没有太多用来传数据,基本上是娱乐。
像IM、UML都是我们想控制的,但是却控制不住。第三点实际上在我们外网业务我们缺少有效出口,我不知道外面的文字是什么,这时候带来是本身在金融危机下避免风险是最主要的事情,规避风险,那么因为我们无法控制,接入的风险就很大。同时我们企业机密,核心信息往外发送是太简单容易的事情,我印象最深当时国内两大运营商,签署互不侵犯条约,这个时候我们对数据保护来说存在很多的问题。其实我们IT系统最重要是要付出有所得,由于我们局域网带宽很大,运营商核心网带宽也很大,我们想让企业网能够匹配这个大小不可能。第五点最重要的一点,跟企业文化有关系,我们在一个专业的报表里面可以看到,我们员工在互联网上,只有45%是查询有效资料,其它的是在做与工作无无关的事情。如果一个企业文是让员工积极向上,而在某一些工作行为当中是积极向下。的确我们想控制,但是为什么控制不之呢,可以看到,安全里面有一个很重要效应叫“独眼鹿效应”,这个“独眼鹿效应”我们默认的是防外,不防内。第二是说很多我们不希望发生的行为,往往披一个合法的外衣。现在可以看到现在的我们信息专家,80端口的迅雷,我们有太多协议。第三我们内容细节没有办法判断,因为我服务公司是一个研发公司,从网络传一个SP是什么我不知道,我只知道是一个文件这种情况我们怎么管理。
我们讲两个案例,一个是华为电脑,可以看到300多带宽70%以上流量被工作无关的内容占用。第二是国家核电,自成立以来是一个部级单位。为什么和困惑,我不知道网络可以传输B2PIM里面内容是什么,但是我想知道里面内容是什么,不能让里面核心的东西出去,这是我们中国企业困惑的。在国外企业来说可以看到通用电器,还有摩根大通、环球电视,这些都很早做了互联网控制。
有了这些问题我们怎么做,我们服务客户我们觉得我们把这个条例读清楚,互联网技术层面传统的有传输的HTTP等等,新兴的P2P,等等。在我们内控点上结合我们有哪些,第一主体健全,我们行为要符合企业远景,我们行为要可审计,要能给IT成本很大收益,我们行为能够让人力资源部进行相应控制,我这是我们在外网、内网的着眼点。管理方法我们在两年前就提出内控风险管理,就是一个典型的干预,大家遵循是螺旋式上升原理,我是任务模式不是功能模式。比如说我们设备防火墙,是把功能模式,但是不是任务模式有效灌输给我们客户以一种方法引导我们,所以我们很早提出的理念就是遵守我们风险评估。
具体的建议,第一点无论是什么样的系统,我建议都新用一个路由器放进去。你是双面的,单面的,还是旁路接入都可以,把我们互联网出口进行这种进行下一步分析。首先建立有效的行为主体识别机制,与组织建构真实的相关可靠的真实的网。这是我们第一步主体健全。第二是我们分析进行相应的风险分析,我们知道有网站,应用,流量问题,为什么搜索习惯写在里面,我们曾经用一分钟的时间搜索,就是一个员工做什么,虽然就是几个字,十几条,这种搜索习惯很容易看到企业的员工的心态。第二,我们专业网页应用完善自己监督与控制,是内控体系第二步,我们是借助全球最大的中文搜索部,对各种各样外发信息内容,大小,人员行为识别,对流量通过我们独有通道来有效控制,可以能够让我们安全体系、能够让我们互联网控制体系达到有效的控制。第三点是最最重要的,一个我们解决方案决不能是看,控,一定是可分析、可统计、可查询。这个是我们内控里面很重要,我如果持续发现我们网络有新的问题出现,流量有异常,不断发现我们有异常,不断地和我们主管公司高层沟通,发布报表可以有效让这种制度落实到人心,让大家知道我该怎么做。
通过对外网的内控体系、内控思路、内控方法的灌输,我相信合法、合规行为将将一个积极向上企业文化提心,信息保密,外发控制会得到有效,同时资产保护也会得到很大的保护。当时华北电网部署网上体系以后,带宽下降了150兆,国家核电全网采购了我们的体系,他的所有代发体系就健全了。
这是网康的服务案例,大家都是全网采购,无论是国家部委,这是最大金融机构,国内很大上市公司,还有制造业、媒体,各个区域像华北电网等等。可以看到通过部署这些装置,很有效的能够管理企业。
网康公司实际上已经持续5年为互联网提供专业服务,我们以每年300%速度提升。我们价值,我们理念是以人为本互联网管理思路,以人为本价值呈现我们在第8层上,我们希望能够在第8次做到人与技术完美结合,服务于我们中国企业上好网,用好网谢谢大家。主持人:非常感谢陆先生的精彩发言。下面我们有请用友公司NC产品架构师付建华女士。
付建华:各位来宾,上午好,非常荣幸能够有这次机会我们借助这个平台,用友公司和我们在座的企业高管,我们公同探讨一下信息化环境下企业内控的建设。
说到这个话题,在今天和大家交流的时候,除了在后面介绍用友NC系统,之前还要想稍微花一点时间交流一下IT技术或者说在信息系统环境下,企业内部控制管理差异和重要性。
首先看看IT环境下企业内部控制体系的建设,前面我看到来自于不同的企业嘉宾都提到了。我们说到企业内部控制系统建设的时候,我们都知道离不开IT的手段和工具,实际上在我们交流这个问题的时候,如果我们是在座企业的CIO,或者你是企业将来服务内控工作开展职能部门的负责人,我觉得首先要思考一个问题,在目前IT环境下,我们这个企业开展内部体系建设、健全、保障它有效执行,然后进行监督和评价的时候。到底和原先在传统方式下产生了哪些差异。在《萨班斯法案》颁布以前,没有一家企业可以说我们没有一点内控机制,如果你是中型企业、大型企业,企业制度和相关文档这些东西在企业当中都是有,但是法案颁布以后对企业要求更加体系在几个方面。第一是内控是否完善健全,第二风险内控是否得到有效执行,第三法律要求进行监督评价,如果内控有漏洞,没有让公众及时了解到,要承担相应的法律责任。
在企业围绕三个层面开展内控管理建设,执行评价的时候,首先你要来思考一下在IT环境下,或者说信息技术与信息技术结合情况下,企业内控管理如何开展。首先看一下信息技术给企业内控管理带来影响有哪些方面。
首先控制原则和方法发生巨大改变,我们原先说内部控制基本原则和方法,我们知道有原则,目前对于企业也可能要非常关注信息技术,IT环境下控制原则变化,信息技术成为企业内部管理很重要的方法、手段和工具。第二是控制内容和方位,从5部委中我们可以了解健全企业内部控制体系,IT控制是你企业必须要关注一个领域,原先你非常关注我企业工作治理机构,组织架构,职责权限,业务流程在企业循环的控制。在当今企业环境要更加关注IT控制这块,要思考一下我们企业以前,公司以前在IT控制领域是否有健全的控制体系,制度是否有有效的监控手段。这也是一个巨大是变化。
第三个方面也是IT技术对企业带来的挑战,你的内控制度体系设计非常有效,但是执行是否得到有效保障,所以说内控执行在目前管理情况下,所有企业或者说大中型企业借助于IT系统保障内部控制有效性。在座的各位领导公司知道没有一家公司不会使用一部分软件,比如说使用ERP系统,Oracle或者用友,其它软件系统。你的核心业务、财务信息、报表会在这些系统里面产生,那么如果说这个时候你的内部控制执行的手段,或者说执行的评价要绕开ERP系统或者是IT系统,企业可能就不能正常运行。第三点我们可以用一句话指导它的重要性,对客户框架有深入分析,我们知道全球包括美国、英国,包括新加坡、香港、日本,还有我们现在中国,所以的国家在制定内部控制相关法律规范的使用框架,是遵循的COX框架,如果你这个企业的内部控制执行,是依赖于某些IT工具,比如说ERP系统,其他的软件工具,将来第三方见证机构对企业进行内部控制审计评价,可以适当的减少审计工作量,提高内部提出有效性可信任评估,所以借助ERP执行是非常重要的了。如果说像我们原先很多在海外上市公司,每年请四大帮你做内部审计,或者咨询费用是非常昂贵。如果说我有了可靠ERP系统,所有内部控制都在ERP系统当中得到良好体现和控制,你的审计和相应成本会缩小了降低很多。这也是企业要关注的重要一个方面。
另外一个方面就是控制监督及我们知道法规颁布以后,对企业带一个新的挑战,就是内部控制必须进行监督评价。这个监督评价包含两个层次,第一个是内部监督评价,我们看到国内上市公司都着手把企业的内部及审机构职能进行扩充,原先可能是传统审计就是报表审计,现在要扩展传统的审计,企业内部控制、独立审计等等方面。在内部监督评价同时,法规明确要求必须请外部第三方机构进行有效评价。在评价和监督的时候,我们知道首先我要检查你的内部控制设计是否健全、有效。检查的时候事务所是看内部控制设计是不是得当,这是第一个。接下来就是内部测试执行是否有效,要看你内部控制的证据,企业核心业务在ERP系统上,那么ERP系统可以帮助你保留你的关键业务执行过程当中证据、文档、资料、报告,供你企业内审,机构检查一些证据,做出评价。同时,我们知道如果你看这个基本规范的时候,只说了一句,要请第三方机构对内审机构评价,你需要在年报当中明确的公告你的企业内部,对企业管理层,对内部工作的评价结果是怎么样的。我们看到很多上市公司从2007年年报当中就开始披露,大概有两段话,认为我们公司内部工作是完善有效健全等等,这一段话是给公众看。背后包含内容非常多,你这个有效性是要有证据,虽然没有披露给公众但是都要包含在企业当中。所以这些数据依靠手工整理这些证据,保留这些证据基本是不可能实现的。
第四方面也是我们企业在现在应对法律法规要求的时候,要考虑的,我们怎么保证这个有效性评价,提供证据。这四个方面对我们是非常重要,这是我们提到的第一个方面,IT控制内容增加,我们时间有限,不相信展开讨论这些问题。如果说我们是CIO,IT控制这一块领域要围绕这些部分,IT控制建设是围绕这些方面。在这些方面当中如果你的企业用了软件系统,比如说ERP系统,ERP本身的环境控制,本身安全性是你IT控制重要核心内容,这个是给大家作为一个简单提示,不要忽视这个方面。另外在执行的时候,我们看到执行的过程全面可以在系统得到有效保障,当然企业内部的内容涉及到公司治理到每个业务全部内容,其中有很多关键核心的东西,我们可以借助平台网上控制执行有效性,将来要借助ERP系统内部控制执行过程信息记录下来,证据记录下来。我们举一个例子,假如说信用控制是企业非常关注的点,在很多行业信用控制是风险非常高的地方,信用控制的制度,文档设计好以后,接下来要让信用控制得到有效执行,这就要包含一系列的动作。首先要先做什么资质鉴定评价,有相应的资料。评价完毕以后设定信用的情况、信用的额度,所有业务发生完的时候是否受到了控制,这些都是控制证据。这些控制证据如果说你销售管理系统采用是ERP系统,ERP就应该帮助你留下这些信息证据。这都是将来第三方审计的时候要看的,如果第三方审计的时候,看的时候问你这些信息在哪呢,我说我们不是手工管理是ERP管理,但是这个ERP系统当中也没有记录出来完整的信息,这个时候事务所说你的系统是有漏洞风险的,我不能数据无保留意见报告了,所以说在这些方面,将来检查一个系统,软件系统能不能满足我们内控要求是非常重要。
在我们用友公司内部部署多条产品线,分别面对不同客户群体。NC产品也很多企业接触过,是面向与中高端客户群体,尤其是集团性企业的一个完整ERP软件。目前来说我们很多上市公司最先要受法律法规约束的上市公司,集团企业占的数量比较多,集团企业在开展内部控制管理的关注点和一般企业有非常得大区别。比如说我是一个小型企业或者中型企业,内部按照常规内容流程设计开展就可以了,但是对于集团公司来讲内部控制涉及到所有业务职能,还涉及到总部对下述不同类型分支机构控制,第二方面控制是目前设置企业内部控制的时候一定要关注的地方。比如说原来中石油、中石化内控系统走得比较靠前,目前应该重新构建检查内部控制体系的时候,一定要关注这个环节,比如说你的权限的重新设计,权限体系的重新设计,必须从总部一级子公司到分级子公司下来的,我们采购业务是集中采购,某些物资在集团总部有那些,下级子公司有哪些,是要纵向考虑。所以说由于企业集团在控制管理特殊性考虑。
这个软件是为集团企业设计还是为一般企业设计的。NC系统的年软件系统首先一个完整的ERP系统,在2005年、2006年我们开始跟踪相应的法律法规,还是做相应产品规划和完善,我是NC产品内控产品设计人员,实际上在NC产品当中,信息化除了目前完整ERP系统以后,也结合了相应的法律法规,不管是《萨班斯法案》还是国内法律法规,对企业要求就分四类,我们很多企业接触法规的时候,或者搞控制体系不知道该怎么入手,其实就是一个四个方面,第一是内部控制制度的设计,内部控制的执行,内部控制的监督评价,最后就是证据,左边是法规对你企业的要求,每一个领域你合规应该满足要求是什么样的。
结合法规的要求,将来考核软件系统要求软件系统在这些方面支持内部控制开展,第一内部控制稳当跟ERP系统产生一些交互关系,我们内部控制文档文件资料一大堆。然后实际上我所有这些内部控制流程在软件系统里执行,我要看一下某一个业务内部控制文档,再检查执行有的时候很难结合起来,应该要求软件系统提供文件记录或者关联功能,让把两者有机结合起来。第二检查软件系统控制是否严密,是否可以满足你关键业务、关键控制点在你软件上面开展,这也很重要。企业内部明确岗位分离,看五部委规范的时候,每一个集体规范第一页都写了,你要把权限文档变成权限体系,是否可以帮助你稽核不相融职位和岗位的分离,这是很重要。第三要求软件系统对企业关注核心业务数据保留审计线索,这是非常重要,如果没有审计先线索我就不能检查制衡过程中有没有什么漏洞。如说软件系统当中客商档案信用额度随便被别人修改过,修改完了我也不知道。那这方面你们企业这在分析漏洞就是非常大,我关注客商信用额度信息,软件要给我记录,某人是否修改过,什么时候修改,我能够记录下来。
第四点,能够在软件平台查询关键的控制流程、控制点和情况,要求评价内部控制时候要做的工作,这个工作同样要借助软件系统。前提就是一个你的业务是在ERP里面,手工评价是不可能,要对软件这些方面也有要求,我有一个观点和大家交流如果你业务财务都是在依靠ERP系统执行,这套系统检查评价内部控制是最重要。你的内部控制是在用友系统当中执行,你用另外一个软件检查你内控是否得到有效执行,这个效果会大大折扣,如果我们是企业CIO同一个软件公司设计出来不同软件产品之间的集成程度,不可能像一套软件集成程度那么好,一个厂商可以帮助你控制执行,又可以帮助你监控执行是最有效的,集成性我觉得是非常重要一个方面。
另外在平台监督内部控制执行,做出评价。结合这些方面在用友NC产品当中,在各个层次上面为企业提供内部控制服务功能和产品功能中这也是让厂商要求做的,实际上在为企业提供服务的时候,从内部控制管理上面可以分五个层次,刚才我们说到这个企业现在搞内部工作必须关注IT控制,当中软件系统环境控制是非常重要的方面,如果整个企业应用软件是一套,或者核心业务都在用友软件里面,都在SP的软件里,首先肯定要检查这个软件自身的控制是否严格,严密。比如说输入控制是否安全、输出控制是否安全,处理控制是否安全。比如说输出控制,安全机制是否能够满足企业的要求,这件事情说起来简单,但是实际上实践起来也比较难,所有用户进入系统要有用户密码,这个机制是否安全,除了一般的密码是有特殊保障,我们知道在企业当中风险非常高的岗位就是出纳,出纳人员可以去执行付款的动作。如果这个人员可以随便被别人篡改密码登陆系统的话风险就太高了,这些方面软件系统应该有安全的机制,保障你这方面安全还是很有效。
另外我们考虑内部控制建设的时候,关注的一般控制内容,在企业内部控制规范当中也提到了,企业应该关注核心控制的东西,比如说权限、审批、稽核、风险预警等等,这些是所有业务要遵循控制关键点,我们用友满足所有的机制和功能比如说系统当中权限、模型,然后用户决策模型,是帮助你权限方面的模型,是否可以满足企业审批控制要求,系统当中预警机制,是否能够满足你控制风险预警等等。这也是在NC系统当中第二个层次提供的价值。第三方面就流程控制,我们知道所有企业核心业务流程设计了很多控制点,比如说销售业务、采购业务、投资业务、财务报告编制等等,所有这些业务都会涉及到很多的控制点。那么你原先在选择ERP系统的时候,原先这个厂商ERP系统能不能满足我们业务流程,现在要增加另外一个考虑纬度,除了满足销售业务还必须满足我们销售控制在系统当中得到有效执行。业务系统方面我们NC系统结合我们五部委颁布《《企业内部控制基本规范》的要求,全部满足了,没有满足现在把这些内控点在产品中进行了相应补充。
第四方面是为我们内控的监督和评价服务的相应产品,比如说我们将来要监督这些控制的执行和评价,你要帮我留有完整审计线索,帮我把相应控制流程和一些规则输到系统当中去,要提供平台,让我看到我的内部执行情况是怎么样的。这就帮助企业减轻了大量的工作,所以这也是我们提出新的产品功能。
第五个方面是我们公司本来有审计产品,原先我们企业在选择ERP系统的时候,可能不会过多地关注审计的产品,将来就有可能非常关注,企业内审机构在企业发挥职责职能越来越重要。你内审的时候是需要借鉴软件的平台。所以第五方面也是软件系统提供给我们的相应价值。这是刚才我提到跟各个方面,比如说提到第一个系统环境工作,看一下NC系统,在安全性控制提供功能和机制,然后审计线索,安全性NC系统当中可以实现对企业你关注核心的数据、单据、文件、报告单独做CA认证。比如说刚才说的出纳,付款我们要做CA认证,比如说我们非常关注核心报告阅读也可以做CA认证,等等。这样保证系统风险高的地方有效地方安全保障。第二,系统日志非常重要,在NC系统当中分为操作日志、功能日志,帮助企业保留日志信息,结合内控要求不能仅仅结合在原先我们记住某个操作员某天某时间登陆过,要记住相应操作动作,供给,内容是什么,当然这是跟企业不同要求,你来设计你要关注哪些东西,系统就帮助你保有哪些系统。
另外就是撤离上面安全机制要求,比如说系统处理价值,非常重要财务报告完整有效。现在每个几个企财务报告是用手工都是软件,那么系统中处理结构是否安全,也决定了你企业报告的完整有效,管理层解读资产负债表,是否是最准确的债务信息,要取决于系统报告生成机制,比如说这个系统根本没有检查机制,财务系统操作人员。所以系统处理安全机制是非常重要。
第二方面就是系统平台可以为我们提供一般控制规则。比如说系统会提供完善的权限模型,NC系统模型可以结合你对人设计非常细致的权限。软件会帮助你检查不相容职务是否分离,比如说出他和会计给一个操作人员,软件系统可以帮助你检查出来。分角色应用等等,审批的控制,预警平台。
第三方面就是ERP系统各个业务系统可以有效的支部内部控制的执行。这个是企业案例,实际上做得比较好企业,内部控制是制度当中的一个部分,将来我们如果说在座企业内部控制体系还没有健全,制度没有完善,将来你也可能按照这个思路做,分析业务目标,风险,设置控制点,设计监督检查办法,然后形成流程图。这些东西设计完毕以后,要把它的核心东西伴随业务流程开展同时,控制在系统当中得到有效执行,从控制方法预防性控制比检查性控制永远都有效。比如说销售业务必须做信誉额度检查报警等等,都需要做规格,销售价格自动控制等等,都必须借助软件平台保证它的准确有效。这不详细分析了,这也是你在软件系统选择关注点,也是NC系统提供的核心价值。
第四点就是内部控制过程文档证据记录,和内部控制有效性的评价。在这个方面实际上也是对软件系统要求,同时NC软件系统希望在这个方面给企业提供帮助,比如说业务流程发生的时候在系统当中会有很多单据信息。这些都是证据,业务系统可以把这些证据分类,实现各种各样查询,和你风险息息关联,同时跟你后续支持评价。另外,产品可以做内部控制监控平台,告诉你的相关业务流程的控制,你的风险有多大等等帮助你做监督。
最后就是审计系统,实际上企业内部审计开展内部管理的时候,同样要借助审计系统检查ERP系推内部控制执行有性。
今天就用短暂的时间把用友NC系统,在企业内部管理建设中能够为我们服务和价值做一个简单介绍。各位领导和嘉宾有意见的话,用友公司也在做很多市场活动,再做详细的交流和分析,谢谢大家。
主持人:下面为我们做精彩致词的是河北网通信息化部高级工程师屈玉阁。
屈玉阁:各位领导,各位先生、各位女士上午好。我简单地介绍原来河北网通信息化建设的情况,大家知道网通现在和联通合并了,我说说河北网通是怎么进行IT系统的。
我说一下我们中国网通内控测试结果是为零缺陷,这已经通过2007年测试结果。内控基本路径是这样的,首先在美国上市公司要求,我们请国外咨询公司制定满足《萨班斯法案》框架的制度,然后在企业各个层面落实,企业请外部公司进行审计得出结论,最后在资本市场检验审计的结果。
每年内控工作基本都是说依照内控模块制定的活动,依据本地化活动检查点,检查自己有多少差距。我们组织检查各个单位改进,外省一次测试,到年底进行外省第二次测试。信息化工作主要是两个层面,一个是信息化建设与运营,第二是信息化控制的控制。
《萨班斯法案》对财务来源控制途径是三个部分,第一是信息系统,第二是纸质报表,第三就是电子表格。大家看一看ITGC报表,有几个模板。我们原网通公司IT内控涉及的领域有两大部分,一个是一般性质,一个是信息系统应用控制。一般性的系统控制包括四个层面,安全、操作、变更管理、开发与支持。信息系统包括ERP系统。一般性信息工作基本能力,我刚才说新系统安全操作变更管理,和运营系统数据库开发与支持,这个包括详细一般系统操作管理,数据库和网络,还有防病毒等等,还有应急预案,变更管理包括应用系统,操作系统,数据库还有保护变更,在新系统开发包括应用和实施这个层面。一般性管理架构包括核心是应用系统安全,数据库安全,下一个层面是操作系统安全,网络安全,防止病毒应用系统和操作系统层面控制。
举个例子,操作系统安全用户管理,系统管理监控管理,我们在举例子帐号管理要求内控是这样,第一密码格式、无效登陆次数三次,历史密码记忆个数,密码复杂程度,秘密要求6位,默认帐号锁定,帐号超过时间我们是10分钟等等。另外系统包括业务系统数据开发,新的应用系统测试,新的数据结构测试,新的网络测试。
我们说一下当时我们河北网通公司管理,外部看我们有网通公司内部控制管理400多条所以我们工作量是非常大,我们涉及安全、变更、系统开发、操作、信息系统等等,涉及部门就更多了,包括工程建设,物流采购综合部,我们还负责电子表格,实际上要求我们06年必须达到《萨班斯法案》要求。信息系统大部分不能满足IT一般要求,第二很多单位没有形成IT系统控制路径。
2006年我们进行8个方面的工作,一个是内容控制制度建设,贯彻风险管理方式,开展针对性与信息化管理控制工作相结合,统一IT内部流程表述和文档的格式,问题整理及整改措施的落实,现场督导提出具体的管理措施。积极与相关部门沟通,解决COSO、UAT和持其系统存在的问题。最后是组织各单位有效开展管理工作。我们内控制度,首先要求制度健全,我们制定信息系统安全规范,表格的规范,还有做编码,开发要求,开发必须遵守编码规范,还有报财务部一个软件。我们还开展针对性培训,我们培训是考虑两个层面,一个内控要求对信息系统要求,一个是说内控对信息化管理控制以及业务流程要求。我们工作开展培训以后,因为我们是做了大量的培训,我们从举办各个省公司的集团技术主任,从各技术工作进行现场培训,两次进行电话培训等等。这样使员工的内控意识有了很大的提高。我们做了1200页的控制文档,包括开发与测试,还有风险管理内控,还有《萨班斯法案》,还有与外省市沟通。我们第三点,统一IT内控务流程描述和文档格式,河北省有自己管理流程,我们为了加强内控管理我们我用一周时间制定流程,这样写文档合适了,每个都比较完整就达到要求了。上个季度我们也形成了一个安全标准,通过统一流程、统一文档我们在工作深度,进度方面取得了主动权,这个工作我们当时都在前列。
第四个方面,问题整理及整改措施的落实,我们制定了一个内控责任,根据系统分到每一个人负责哪条,每个人负责哪一段流程。我们内控整改工作还包括了两个层面,一个是系统要求,我们原来系统基本上满足了内控方面的要求。技术上我们做沟通做了补丁,要求在2000年的时候达到《萨班斯法案》的要求。五我们要求在网上要做记录,完了之后领导要做相应的确认。第二个层面一定要进行内控的控制。控制声明、授权和被授权文档、作业流程、人工降低IT内控风险整改措施等等。
授权2006年各单位整改的基础上,网通河北省分公司IT内控工作组去年市分公司收集整理第一轮测试在20个共性问题,深入理解内控要求,提出了人工降低IT内控风险整改措施。我们有一个信息系统非紧急变更实施范围定义表,我们相应流程跟大家都做了记录。内部授权方式,首先你要做声明,首先您是谁,然后各部门制定一个岗位说明书,帐号统一管理,我们第一次测试的时候,有一个系统管理员把一个参数修改了,最后查出来,问你这个人是谁我告诉他,你把系统管理员的说明书拿出来,当时没有找到,当时就说你不是系统操作系统管理员,你改参数干什么。当时我找他们沟通,把操作系统管理员的找到了,风险就解决,外部风险变成内部风险这个风险就降了。
我们总结一下IT工控制基本流程就是四个方面。首先是提出申请,然后是主管领导审批,不一定是你就是部门主任也可以是副主任,可能也是你班组长,相关主管领导。然后在执行当中并写一下工作日志,主管另是一个月或者三个月进行审核。
第五点我们现场监督,提出具体的管理措施,保证通过普华永道的测试。我们也去做公司,有的地市公司老总说内控我知道就是坦白从宽、抗拒从严,当时我没有好意思说,我告诉他内控是跟是外部公司是一个博弈过程。因为内控要求你几条,那几条完成就可以,不要求所有都做了,都做了工作就没有完了。所以我告诉大家内控要求几个做到就可以,不没有要求不一定要做,不要把自己陷得太深。
第六点,我们开展信息系统风险评估,模拟演练预案。原来我们是按照硬件软件分,这是按应用,我们是基于业务的角度。我们为了降低风险,我们按照风险管理理论,将信息系统分成实物、软件、信息、服务等四个类的资产。
这个系统风险评估过程,看看这张图。首先是确定范围资产管理本身的弱点和漏洞,再看看内部管理测试有哪些,看了这些以后还漏下什么东西,这就是你的风险,还有在排队哪些重要,哪些不重要,最后提出风险报告和管理措施。
第七个方面我们积极与相关部门沟通,解决COSO、UAT和久其系统存在的问题。系统每年执行是不是符合《萨班斯法案》要求,久其报表是简单的财务系统,我们跟财务部相关部门沟通,也了很多的办法。
第八个方面是组织各单位,开展电子表格内控管理,满足内控要求。我们写了报表做,这个帐号怎么控制呢,我们也是一个内控表一个规范,我们从模板设计、模板使用、模板维护积极控制,把控制原则制定一下,电子表设计人,使用人,维护人,访问人,设计和使用人可以合一,这个流程图有一个具体的方法。首先可以进行申请,设计人可以进行模板开发,使用人表格进行数据编辑、更新、管理,最后访问人可以对表格进行实时查询,原来我们是集中管理。
谢谢大家。
主持人:非常感谢屈先生,下面有请浪潮通软副总裁兼技术总监魏代森先生,进行“企业全面风险管理与信息化”。
魏代森:首先感谢主办方,在这样比较适合的时间,面向正确的对象我们CIO们,举办这样一场有意义的论坛会议。
企业内部风险管理,看起来离我们CIO关系比较远,从国家制定政策,当企业经营者,管理者制定体系相关。我们知道所有风险控制工作的最后落脚点是CIO是我们信息系统,所以我觉得特别有意义。
我跟大家沟通几个观点。作为企业内控的信息化,我想并不是特指要和专门内控和风险管理的信息化,我们知道我们企业经营过程当中,我们业务管理过程中我们更多风险点我们要控制,管理的更多一些控制活动和风险还是经营过程当中业务活动方面。
我涉及了三个方面的内容,第一部分是风险很重要,这不多说了。另外一点,企业和内控风险不是矛盾是相辅相成的。我们也知道美国《萨班斯法案》,我国内推出的内部控制规范,对我们企业内控是一个指导二是一个压力。同时,今天我们在座的上市公司CIO,应该说更多上市公司集团性企业,集团企业在风险管理方面还是面临更多挑战。
因此,这里两个建议,对大企业加强集团风险管控有两条。第一条啊管控层面,采用集中式管理模式。母公司层面开始管理模式,通过这种模式我们可以加强分析机构对我们整个优化进行有效整合,通常对我们标准,规范,对一些业务流程进行有些控制,对企业内控不仅仅是控制风险,还是要加强教育。同时,这种集成管理有利于集团的战略执行、运营等,我们运营中产生的信息、结果可以有效配合。
业务层面可以涉及到一些具体的,我们应用活动重要的控制点,比如说在流程方面,我们由采购需求开始,到采购申请,采购定单,再到采购招标,到货物交付,这个结算过程我们要规范流程,流程规范我们就可以避免风险,这样业务活动当中控制。第二个方面,我们加上信息库存我有合理库存,有信誉额度,在执行过程运算的控制。第三是对业务追踪了货源,最多对一些风险点进行及时警示,包括业务,财务的。
第二个方面是信息化在加强企业内控中的作用,所以企业控制风险管理,迅速落脚点还是要在我们信息系统当中,信息化是重要的保障。首先我们无论要建我们风险管理系统,内控体系是要以信息化作为基础。第二个方面,我们信息化建设现在信息化应该越来越多体现内控风险管理要求,以前我们建设信息系统时候,建设基础设施、应用系统,我们可能并许多过多的考虑内控和风险管理要求。从我们一旦意识到了我们的风险管理,对企业重要性以后,我们说信息建设要充分考虑这些因素,从业务、管理、决策层面都要考虑这些因素。
信息化在内控、风险管理方面是非常重要,我们风险包括方方面面,战略,投资,财务运营,法律和道德风险,信息化可以在很多方面可以发挥作用,但是并不是解决所有问题,他可以财务方面很重要的作用。
企业内控的五要素,内部环境,风险评估,风险评估等等,我从5个方面简单看一下我们建立怎么建设信息系统,第一建立集成IT系统是重要基础,有了它,我们有了政策很多制度,标准规范在能够畅通无阻的贯彻下去,有了它我们很多信息才能并较好颁布,识别很多先进点可以再这样环境下被有效控制。
这种信息化模式要从战略层面我从财政,物流等等进行集中化管理,业务层面我们要建立我们业务系统、生产、质量设备,这个层面有机结合扩大我们企业的途径,我们风险管理要弱到信息系统当中去,但是我们知道刚才说到我们管理有没有权利用到系统配置,应用系统是不是可以为所欲为,我们信息管理是不是可以在掌控之下做各种的工作。首先这里有最大的风险,首先对信息系统授权要分析授权,第二要分角色授权,我们提出叫四员的管理概念,我们要设计系统,应用,安全员,审计员,我们可以有效让我们信息系统合理得到一些相互制约,分别关注自己的角色,使得我们信息系统是可靠安全的,是可以保障的。我们的风险管理,才可以建立。
第二点我们说在企业当中可以建立很多控制措施,我们建立信息化的物流系统,首先可以使得我们企业之间物资供应建立一个协同管理,不至于信息不畅通,因为我们一些流程规划,我们任意采用造成更多风险的漏洞,我们通过建立这种系统使得我们业务流程规范,比如规定如何采购、如何竞标、如何招标、如何收货,如何结算我们可以有一套总公司范围内有一套完整流程。这一点是关于加强风险技术管理是控制企业风险的重要措施,在几年前大家都意识到了,今年再强调综合一起看也不为过分,这个是企业最关心的资源,通过对它的统一管理,集中结算可以有效解决一些企业投资、担保、贷款问题,下面企业当中产生最大风险也是在资金和理财方面。
第三方面我们还是对我们企业的财产,实物财产有个合理控制,可以加强实物财产管理,我们之前跟客户交流过,他们也遇到过,他们一栋楼着火以后就找不到帐目的问题,所以我想这种事件发生会导致很多实物财产大量损失。
第三,要让全面预算真正成为企业战略落地的工具,以前是很多都是形式,很多运算多了我们就调整一下,或者简单批复一下就过了,我们下来要用刚性和柔性来判断,可以有不同的选择。这种系统可以完全比较好解决系统沟通问题,第一可以有效了解企业经营真实的信息,及时信息。往往我们说信息和沟通遇到最多问题,就是尽管信息是产生了,但是信息不是及时的,第二信息不是一定是真实的。这样信息系统使得我们最终合理信息集中起来,对它我们设计指标,设立风险点进行及时分析对比,产生预警信息,做到防患于未然。
总结一下,第一建立集中式信息系统是实现企业重要基础,第二风险管理是企业管理信息系统的主线和方向,我们说建立一条风险体系,管理系统不仅是一个实施一个简单风险或者管理更多分析点,是分布在我们经营活动当中,分布在业务过程当中,这一些是企业管理信息,而且管理信息要求是与风险管理密切结合。第三,我们企业信息系统与风险管理进一步融合与统一。
第四,建立企业管理体系系统,全面风险管理双框架,并实现有机融合与统一并且作为一个有力的支撑。
谢谢各位。
主持人:下面有请中国铝业信息部的杨磊先生做演讲。
杨磊:各位领导、各位来宾,大家下午好。我是杨磊来自于中国铝业有限公司,我们公司是在美国,香港、上交所三地上市的国有控股大型企业,去年销售额567亿人民币,全球第二大的铝业公司。
我今天讲主要内容是和大家分享一下我们公司开展《萨班斯法案》工作,和IT相关一些体会心得。我首先给大家简单介绍一下关于《萨班斯法案》的一些简单内容,然后再和大家分享我们公司在开展这项工作的简单情况和有关工作。
今天的主题可能是围绕内控开始的,所以说《萨班斯法案》404大家一听是耳熟能详,我不介绍太多情况。简单说2001年是实践是《萨班斯法案》的导火索,根本原因是上市公司监控缺失的一个后果。
《萨班斯法案》方面,管理层每年要出局一个报告,包括一下内容,我们总结一下就是要求管理层要承担两个重要责任,一个建立一个有效的监督组织,第二每年对内控的有效性能进行评估,管理层公司控制有效性作出评价包括公司层面控制,业务流程层面,公司层面的评估和信息系统层面监督。既然开展内部评估,在美国上市公司监督委员会审核中要求管理层采取适当的框架管理工作。但是一个强制目标不是COSO。
这个图就是COSC的三维内部控制框架,标准和COSC
04的关系。COSC的三维内部控制框架中5大要素是和我们关系非常紧密,我们可以看到控制活动其他要素非常核心的地位。刚才我谈到我们开展内部公司控制评估,多数是采用COSC方案,这是针对一个企业开展内控评估一个整体的框架,一直到开展IT层面评估,我们经常使用另外一个指标是有名的控制协会推出的COBIT的三维控制框架。
第二部分我想简单介绍2005年美国公司404公司内控报告的披露情况,因为2005年是美国公司开展404第一年,他们遇到问题有可能是我们中国公司第一年会遇到的。这个图我们可以看出来,在第一年美国的公司中,404报告中的披露情况。这个调查针对美国一些大型企业开展并不是美国所有企业。这个ABCD是比较知名的会计师事务所,即使在非常文明的美国大型企业,一年也有16%的企业没有顺利通过404审计。这张图是对他们所被评估中发现的漏洞一个简单分类,我们可以看到因为404思想之一关注与财务报告相关内容控制,所以实质性漏洞就是与财务相关的事情。
美国公司实施404遵循工作的主要问题与挑战,第一年识别了大量内控缺陷,其中20%内控是与IT相关,一个企业想摆脱IT是不可能。第二个特点是工作量大,投入高,有一些简单数据,在美国公司开展相关工作投入成本是非常高的。以上我简单关于《萨班斯法案》方案做了一些介绍。
下面我们就中国铝业信息系统开展内部控制项目情况给大家做一个介绍。中国铝业是国内最早开始做SOX合规工作的公司之一,从2004年开始已经流程层面的文档记录工作,最开始没有涉及到IT系统方面工作。但是自从2005年开始,我们公司的信息化建设出现重大变化,开展大规模信息化基础设施建设,以及更为重要的是在总部和十几家公司开始大规模ERP实施,这种情况下信息系统它的组织结构,流程等等方面发生了非常激烈变化。同时在短期内公司业务运营对于信息系统依赖程度也飞速增加,所以从2005年开始我们公司开展404增加了GCC的工作,并且2005年成立了GCC的项目工作组,并且开展相关工作。
这就是我们公司开展GCC项目总体想法,可以说开展这个项目来源是首先是来自于外部的遵循法律法规要求,《萨班斯法案》404,不仅仅是唯一一个理由。刚才我已经说过我们信息系统日趋复杂,业务对IT系统的依赖性增强,这种情况下实施GCC项目变得非常迫切,所以我们实施GCC项目主要最终的目的是希望建立一个IT体系达到组织结构统一化,管理制度流程标准化,人员配制合理化,最终使信息系统有效可靠运行,在此基础上顺理成章通过404审计。
信息系统控制的项目主要内容,不管在我们公司还是其它公司都是一样,公司层面,一般控制和应用系统控制,公司层面控制是关注与公司层面跟IT相关的问题,组织机构,IT治理,法规、制度等等,一些基础性的建设,它的控制好坏对整个IT控制结果会产生最大影响。下面就是IT一般控制,保证IT应用控制持续有效性,比较常见是变更管理、系统开发、IT安全等等,相关的问题。应用系统控制是我们常说ITAC和相应对是关于主应用系统程序执行的一些控制,直接关注到财务报表、数据准确性、安全性、一致性等等。
下面我介绍一下开展项目的工作,大家都是采用类似的框架目录开展相关工作,项目实施方法基本上是都是一样,常规404项目工作方法我们可以从这个张图看出来。不管是左边公司层面业务层面控制,还是公司层面IT工作,IT层面来说大家使用方法是基本一致的。经过了几个结论都是一样,预评估,详细评估,整改和再测试、管理层报告。在IT层面开展预评估和业务流程小组有一个比较紧密合作关系,因为在IT层面看相关工作的时候,确定关联业务流程,风险评估都是必须根据业务,《萨班斯法案》关注是财务报表,相关的一些控制。换句话说这个问题再严重主要财务报表没有直接关系,那么《萨班斯法案》不会对这个问题发生任何,所以我们IT首先要看这个控制是不是跟财务报表有紧密关系,这个阶段需要有一个紧密配合关系这个常用的常见阶段做事情和产出。比如说项目范围,评估生产报告,整改,制定管理制度,最后是测试记录,生成年底测试报告,数据管理层报告。
这张图是我们当时开展这个项目一个整体工作计划一个示意图是完全符合我讲到开展404项目整体的方法论。实际上开展这个项目主要做两个层面工作,一个是IT风险评估,一个是缺陷评估分析。IT层面评估分两个层面,一个是一般控制层面,一个是应用控制层面。至于为什么公司层面没有单独列里面,我们考虑公司层面问题一般是比较高层的问题,和整个404项目层面是合并在一起工作,没有单独对这个项目来开展,其中一些和IT相关比较密切工作也分在密切工作中开展。
我们在开展404条款对内部控制的要求分为5个阶段,我们主要都做了哪些工作。第一阶段是项目启动和评估,成立项目组聘请顾问,制定项目章程,对总部和分公司进行初步评估,了解了从风险管理角度初步对信息系统现状进行分析,根据现状分析制定标准制度和流程,完善IT整个架构。这个阶段对于他的重点在于是一个评估一个是制定标准。为什么这么说呢,当时在中国铝业开展这个项目面对挑战就是,从IT里面管理流程说,并是一个完全实现流程管理部门,信息化基础相对薄弱,内控意识也不是很强。在这种情况下想建立内控,第一要做的事情要建立一个内控体系,在中国来说,要建立一个所谓体系或者框架,往往比较容易是要建立一套制度。在这一阶段我们通过大量工作,制定了21个与信息化相关的标准制度,从物理基础上做好了开展下一步工作这样一个准备。第二阶段进行一般制度认证完善推广和培训工作,我们对于制定制度选择一些试点,收集反馈意见,根据反馈意见修订之后在公司内推广相应制度流程标准,让大家试运行,让大家进行一个热身。第三阶段是进行控制措施和缺陷整改工作,我们制定了严格详细各项控制要求文档,但是第一次开展工作企业当中,说东话西,大部分东西都流于形式,原因是在中国企业缺少这种执行文化和流行问题,与前几个月对于执行制度的检查,会发现大量问题,各个控制点的问题,合理相应整改措施进行整改。在整改以后做第四阶段工作,同样进行测试继续整改是我们常用概念,提出比较GCC这样一个循环。这样一个循环一直到年底,形成年底测试工作。从SOX审计要求讲,是可以出现缺陷和问题的,只要及时整改是没有问题的,在年底最后一次的年底测试中,它出现的问题不能再回避,必须承认进行相应风险的评估看它的严重性。
同样在IT应用控制层面,也开展了类似的工作,只不过针对控制点有一些差距。我们接下来讲年终测试以后我们进行一个重要的工作就是内部缺陷分析,年底要出一个内部评估报告,不是把你测试发现问题列在上面,你在分析影响程度,每一个问题不管是直接还是间接必须分析清楚,定义它是一个严重问题,重大问题,一般缺陷,如果出现几个重大或者一个实质性漏洞基本可以导致你404无法通过。所以我们在06年底完成年终测试以后。
从我们分析发现的缺陷进行分析情况下,我们分享我们经常遇到的问题,一发现缺陷是由于基础设施方面,主要原因是因为前期相关技术流程执行得不够彻底、不够完善造成的,IT用户欧层面我们测试四个方面的主要问题,系统配置,关键报表,权责分离和关键事物代码。ITAC方面大家可能发现最多集中在关键事物代码,往往你是你信息化水平越高,用的系统越先进,集成这两快问题就越严重,你看重的是非常初级的信息化,或者你信息项目是没有集成这两块问题很少。我们当时有6000个帐号,其中有1500帐号都出现相关问题,这个也是比较好理解,上弦没有充分考虑到《萨班斯法案》内控相关要求体现在SAT项目当中。我们付出大量分析劳动,在权责分离,业界常见接触上我们通过分析有39对权限都是出现一个人身上。
第三就是基准方案,我们同时做两件事情,基于我们开展SAT上线是咨询公司或者做外部审计、内部审计都是知名公司,没有一个公司是两个同时进行的,最终还能顺利通过404是非常困难。为了保证每项工作都有好的结果,第一SAT可以可靠上线,第二上线也完全符合404要求,所以我们公司管理层确定一个制定要有一个基本方案,对于系统配置,报表,数据维护等等方面,划定一个日期,在此之前SAT上线的项目,所有工作可以按照它的项目规划,业务需求去做,我们划定是2006年9月1日,所有的配置,控制要经过全面严格测试,确保这一点在这个时间所有SAT相关配置都是符合相关要求,之后所有相关工作变动必须经过404相关标准进行审核,确保是符合要求,这是我们做具体方案一个初衷,结果非常圆满完成了审核要求。
下面我们讲一下通过实施这样一个GCC项目的效果首当其冲实现目标就是通过404审计,在美国上市公司,把风险做这样一个法律强制要求,相关工作不一定能够得到高层领导的这么大的支持,虽然我们要我们建立一个高效运行IT体系,如果只靠这个目标,而没有通过404可以说我们这个项目是完全失败的。
下面是对于我们作为信息化工作非常关注的一点,就是非常好的效果,我们制定了一套非常好标准制度和流程,并且在各个公司推广,通过流程推广基本建立一套体系规范信息系统管理,因为COSO我在国外财政部网站看到了,他们要推迟到大陆应用的时间,但是我们作为一个国家主要大型企业,已经在2006年按照北京市要求,在2008年开展中国版《萨班斯法案》工作,已经出具符合中国四部委办法的基本规范,要求内部控制评估报告,在开展这项工作过程中我们感觉到及时,无论我们说的COSO还是美国的《萨班斯法案》等等,只要你有一套可靠内部控制体系,并不是太需要关注你通过是什么样的法案,去年我们通过中国的《萨班斯法案》,我们可以看到说我们没有做任何附加工作。
第三制定了总部和分子公司信息部组织架构和岗位设置参考模型,还有一个我们基本方案讲到相关从另外一个层面验证我们使用ERP安全性,可靠性,相关部门可以接受IT部门的风险评估。通过资质建立我们有建立了一套可靠的流程和相关工作。
404审计并不是一个一劳永逸的工作,是每年要进行的相关工作,从我自己分析看这两年工作还是要开展相关工作,我认为是大家需要注意的。第一是及时调整项目问题,从SOX要求不是对你所有企业所有业务进行评估有一个重要标准你销售收入高出5%以上,在中国高速发展阶段,企业主要业务变化每一年都比较大的变化,一定要提前关注并有预见性,在明年哪些企业、流程、业务可能会跳出SOX的范围。同时,根据上一年分析结果改进原来缺陷,按照以往的技术严格的执行。
还要风险管理工作因为第一年通过SOX法案,比我们企业来说我们现在总部大概花费很多钱,如果每年搞运营形式,我们总部付出工作量,包括我们分公司下面工作量,把一定要将风险控制、内部控制工作常规化。
最后我想跟大家分享一下,我们开展这项工作以后得到的经验或者是教训,希望大家要做或者即将要做这项工作的比较关注的事情,首先就是大家预示到开展相关工作的重要性,困难想对超出大多数人做这项工作的想象,一定要有足够资源保障,一要找好优秀外部力量帮助。第二点我觉得还需要关注项目进行准确的界定,什么流程,什么业务需要进行评估,它和你财务报表重要程度紧密相关的,如果你这个做不好,你做半年,10月、11月份测试的时候,突然告诉你现在的关联度没有达到,你从来没有关注流程,没有处理最后统计局发现有漏洞,这个时候你根本没有办法挽回,到了年底你才发现有错误,这个时候就是很危险。
开展相关工作在有审计师一些工作也会发生一些变化,实际要跟外界及时沟通。信息系统是也许由信息部管,但是从控制关注角度讲,信息系统主要是业务部门使用,它的控制点主要在业务部门,如果业务部门不充分理解相关重要性、相关知识,那么信息部门根本无法做好这项工作。
最后不得不提醒大家一点,如果大家使用大型ERP系统,全线管理和系统变更管理会经常出现很多问题,大家一定要有心理准备。另外刚才我要讲第一年你可以完成依靠顾问,第二年会请一些顾问,但是每一年都靠外部力量完成,最后一定要实现常规化,我们在2008年开了外部工作,全部工作全部由内部员工完成。
因为时间有限,可能有一些问题希望大家谅解。
主持人:下面让我为大家请出一位企业内控方面的专家,国际信息系统审计师协会北京事务委员会主席何迪生先生。
何迪生:各位领导、各位嘉宾,大家下午好。杨总刚才基本上把我想讲的讲完了,他是非常有经验的内控方面的专家,今天过来是非常有价值的,看到他的演讲在内控方面有很大的突破。
介绍一下我自己,很多的朋友说我最必然的身份,有其他的不是很清楚。今天的大会是中国信息化推进联盟都是中国很有影响力的协会,所以,对于上面的ISACA,很多人可能不是太清楚。我把自己的一些体验跟大家分享一下,ISACA审计协会是什么样的协会。
我们协会是国际的协会,1996年开始成立的。我们现在遍布140多个国家,人数达47000多员,我们的毕马威、德勤审计师大部分是我们的成员,还有很多的CIO都是我们的成员。所以,我们的网址是www.xiexiebang.com,大家可以看一下,中国的网址是我们在分享很多的内容。
ISACA是一个被公认为对资讯系统管理、控制、安全及审计扮演领导角色的国际性组织。我们提供全面的会员服务,我们监管全球性受尊敬的国际公认资讯审计师CISA及国际公认资讯保安经理CISM等认证。
今天我跟大家分享的是什么?我想刚才我说了今天讲了很多的东西,我大概从SOX的概念,杨总讲的我不讲了。还有讲讲什么是IT治理,还有是COBIT,我分享一下它的框架是什么,最后我讲讲我们的看法以及中国的SOX面临的挑战。
《萨班斯法案》,大家知道萨班斯的名字是怎么来的。是2002年美国的丑闻“安然事件”,如安然和世通事件,如果我们不想起的话对于普通的投资者所共鸣,所以有两个比较有名的人,一个是三萨班斯,还有一个是Oxley是他的朋友和专家,他们一起来做的方案。2002年7月份美国总统布什签署了法律,所以《萨班斯法案》一共有11章。第一章是针对汇集会计及公司行为的监管,包括CEO之间的管理,在安然审计事件里面他们有很多的东西,所以,当萨班斯方案出来之后,很多的CIO、CEO不敢做事情,因为怕有这样的事情存在。
在404条款里面刚才讲了很多了,我不讲很细的东西了。条款里面有用我们自己的IT方案去服务于我们IT平台的管理。刚才讲了一点是我们的SOX方案,要真正帮我们的IT治理进一步做得更好,没有立法行为的话,很多公司的CEO他们不会花太多的精力、太多的金钱太多的时间去把IT治理做好。系统2003年之后,我们看IT治理IT方面做得越来越好。所以,很多事情要进一步推动的话,要积极的话,一点难度都没有了。
除了进一步的推动之外,我们为什么要IT治理呢?从普华永道右边的三种计量看出来,很多人认为我们的IT事件跟数据是有关的,全球是16%,我们的比例是44%。其中对安全事件管理的方面,我们的比重已经不错了,因为全球范围内比例是51%,而中国也是44%。平均去看一个安全事件的损失大概是100万,这些数据告诉我们IT治理是很重要的。IT对于企业不可能没有IT,还有进一步的管理,不同部门等都有IT。今天IT不止是一个网络,它对企业有战略性的意义。但是,我觉得在中国IT好象还没有得到应有的重视,但是如果不久的将来IT对企业来讲应该有很大的贡献。我们对安全做得很好,对建设做得很好,所以为什么有IT治理。
IT治理来讲具体到企业的财务部、业务、还有IT部门。从IT来讲举个例子是从安全的角度,我们的仿冒的网站很多,像ebay等电子商务公司。还有木马病毒活动猖獗,还有帐户的盗用,所以,我们企业管理内控很重要。
下面我们讲讲COBIT,它的英文我们不讲了,只讲COBIT,这是一个习惯。COBIT也是不断进化的框架,我们从1996年开始,我们对COBIT都开始在ISACA里面控制了。今天来讲有不同的版本,因为我们的社会、经济每天都在发生变化,所以,我们也有变化。就是把COBIT一步一步地进化去,以至于在今天也能使用。像主要的目的和方向是研究、发展、宣传权威的、最新的国际化工人信息技术控制目标以至于我们的人员使用,可以慢慢建立起来。所以,COBIT里面有34个IT的流程、四个领域。PO是继续与组织、获取与实施、交付与支持、监控与评估。
这个是COBIT的框架里面可以看到,第一用一个商业的目标,我们的企业做生意把商业达成,我们的IT是帮他达成这样目标的工具。所以,信息是IT里面最重要的一个重点,所以这是给商业的应用把商业的目标达成。后面是IT资源,我们讲了ICP、Oracle等等。还有平台业务的发展。所以,如果我们把IT资源深化,我们有很多的方案,像很多都用了IT运维管理的系统。从COBIT来看,PO、AI、ME、DS里面有不同的框架,我们里面PO有10个、AI有17个、ME有4个,DS有13个。所以,我们这些基于应用去达到我们的效果,我们把IT治理变成有效率、有效果,可靠性、有效性、保密性、可用性、完整性,这样我们的IT治理便维护起来。
今天有很多种问题,COSO和COBIT怎么分开,这有很好的内控框架,但是从我们的角度去看,COSO是看事情,COBIT来讲是IT的两块,一个是集成的架构,一个是财会应用,这通常是我们参考的意义,但是就一个行不行?也行。
从《萨班斯法案》404条款里面,COBIT的关系刚才也讲了很多,COBIT就是我们404里面最主要的部分,是帮我们把条款的要求一步一步达成。刚才杨总也讲了,他看过一些运维的问题,运维的经验跟大家分享,这里面重要的重点跟大家分享了我就不多讲了。
我跟大家讲一下今天C-SOX面临的挑战,我们看有什么东西。我们看到的挑战可能今天中国有很多的框架流程、标准,但是我们很多的中国同胞可能不是太了解,这是第一点。今天很多领导都把我们的力量拿出来,跟大家分享一下怎么样把这个做得更好。
第一个是中国本土相关的服务,我们是国外的企业过来帮助我们服务,但是本地化的中国服务不多,我们也希望跟中国本土的交流,把香港的力量,本地的服务团队精英人才、专业人才给慢慢培养起来。
今天我觉得很多审计人员对IT的审计不是太熟,我们跟很多朋友聊起这样的问题,我们应该怎么样一步一步地解决问题。我觉得最重要的是第四点,没有规定具体处罚的内容,很可能造成有法不依、违法不究、执法不严的情况。如果发生了事件,他们可能坐牢坐20年,每个CEO、CFO他们一定把他们的能力、精力,尽量把事情做好,今天中国现在没有法律说没有专门做的话,也不重要。我们内部是刚刚开始,我们可以在未来的几年大家一起努力,把这一块做好,将来一定会变成法律,让我们的上市公司投资界获得利益。
我觉得很重要的一点,企业很多大的财务部、审计部跟我们的IT部的整合是一个很大的挑战。基本上现在没有太多的沟通,但是我们如果有一个很好的内控团队在公司里面的话,就可以把他们联在一起,把我们应该干的事情干好。刚刚开始的时候不容易,假如我们会找四大和有经验的朋友帮忙,把刚刚开始的COBIT等事情做好,以后我们会有更好的团队去发展,把文化发展成为一个很好的运维的习惯。我们的IT治理不止是C-SOX还是SOX都会慢慢做好。
再总结一下,今天来讲我觉得IT是业务的组成部分很重要,没有IT什么也做不了。IT治理是公司治理的组成部分,公司的企业治理永远是很重要的一块。IT重要还是IT治理重要,处理不好的话很多事情处理不好。影响了我们业务的发展、公司的企业文化,还有对投资者一些不好的影响。所以,今天我们的IT治理刚刚开始,要在内控方面大力推出去,我们有这方面的专家和领导,我觉得可以一起去看怎么样把它做得更好,把它发扬光大,以至于我们的企业做得更成功。
谢谢。
主持人:非常感谢何迪生主席白忙之中带来这么精彩的演讲,下面有请摩卡软件高级售前顾问周立民为了我们带来精彩的演讲。
周立民:大家好,下面页我们各位领导,分享一下我们摩卡软件针对企业整体的解决方案。开始的时候,介绍一下我们公司摩卡软件的实际情况,这个平台大家多少有一些陌生,但是实际上我们公司已经有十多年这样一个产品研发过程,我们在亚太区有两大产品线,我们公司有员工600多名,研发团队占了一半以上,目前公司最大股东英国电信。整个公司业务的分布遍布了国内大中型城市,产品的客户群主要还是定位于通信行业,中国移动全国30多家省公司一半以上都是我们的客户。包括现有金融、制造业等等。此外,在国际上一些东南亚,也有一些相关项目在做。
下面我们回顾一下从IT运维管理发展一个历程,目前来说企业整个随着IT环境越来越复杂,每年投入整个IT运维的资金、人力也越来越大。但是现在还是有一些问题,比如说出现一些问题,出现一些故障之后,有专门的网络运维人员,有一些应用系统的维护人员也觉得有许多问题,实际上整个业务系统已经出现了性能的瓶颈。从运维来讲有监督的系统,但是还是没有办法正常的串联起来。
还有从传统监控运维管理监控软件还有一个问题,出现系统故障是采用快速告警,在这个告警接到以后,我们运维人员需要做什么,基本上传统软件来说,就终止了。真正一些我们公司的一些运维产品是从告警开始,包括告警以后一系列故障跟踪堵截等等,这是我们传统运维软件所出现的问题。这个是我们传统的一些运维软件,实际上和信息缺乏全方位运维都串联起来形成一个有机整体。
下面我们看一下针对整个IT运维提出叫全方位的运维解方案,摩卡软件整个软件产品定位叫三位一体,首先底层是一个传统网管软件,提供一些基础的数据支持,来为高层运维提供数据来源,通过传统监控,引用故障报警出发,实现整个故障的跟踪,包括对方一个解决。第三层民是IT服务管理,是通过一个流程框架给企业带来一个全范围标准流程化的运维工作平台。
我们提出4+1的解决方案,提出一个基础架构管理,包括应用平台的监控管理,包括从指标到业务,通过一些业务系统的响应时间情况,包括业务服务的一些站在业务的视角审视一些IT的资源管理,这是一个业务初步管理,从监控到流程,从监控引入相关流程平台,实现IT运维从技术到管理的过程。最终实现全方位自动化的全方位运维。
我们看一个我们整体提出的4+的优势,第一个,全方位系统监控,相关的情况存储情况。为了满足国内用户使用喜欢,我们整个产品设计理念就是一个简单易用的系统,提出简单的可视化,简单的一些策略管理等等一些方面。为了满足不同用户需求我们提供多种产品模块,包括业务提供服务管理,资产生命周期的管理等等。重点是通过一些展现的方式,我们提供了叫做多种展现方式,从传统浏览器的方式,到手机接入方式等等。此外,这样一个展现方式是一般单一入口,可以我们企业可以管理层面不同决策人员提供不同展现内容,因为不同决策人员关注内容是不一样,高层是关注一些报表等等,中层是关注一些情况,业务人员是关注一些数据。满足这种需求,我们提供不同决策提供不同内容。通过引入相关框架提供相关服务台,通过ITIL等等。
下面我们仔细看一下全方位的资源管理,首先是全方位的网络设计监控,可以支持市场常见品牌相关的类型,底层是通过资源管理的支持,进行快速开发,多种操作系统支持,基本上目前IT环境包含系统都可以支持。各种应用平台,从服务器、数据库,包括一种大型企业级的数据库,各种管理服务器等等,应用平台可以实现这种监控,监控方式包括前面的主机,我们提供两种,一种是代理,一种是非代理,方式可以任意选择。完善资源监控还有机房环境的监控,数据的呈现是与相关网络拓扑进行关联,为用户提供一种整体化,从整体到具体转变的过程。首先可以看到这是一个全国性一个骨干网线路图,我们可以看到全国每个县的网络状态,每个机房里面的情况,重点关注一个机房可以点击具体城市里面一个机房,机房是哪个地区机房有问题的话,可以点击机房进入这个机房界面,可以看到机柜情况、温湿度环境等等。想看一个具体机柜,机架上面服务器和网络设备状态,目的在于我们提供从宏观到具体的全方位展现,而且是将网络监控和机房监控做了一个统一。
下面看到是一些数据和监控,包括一些视频监控的联动等等。我们前面说到的是一些底层IT资源全范围的管理,我们在这个基础上有一个相关联的配置变更管理,这是变更是管理的,这很难注意到,这种变更可带来很大影响。通过对我们所有包括网络、主机应用等等配置的变更管理可以实现一些快速的监控,比如说发现一些配置出现变化的时候可以产生一些快速告知等等。这些企业网络环境很多配置管理变更,很多管理人员是通过手工来实现,我们通过一种摩卡IAM管理,可以自动发现网络配置,实现一个备份,通过自动备份,可以发生了一些变化,可以自动对比出来与以前哪个脚本发生了变化,这是一个我们解决方案里面一个模块,叫摩卡变更管理。
为了满足用户的习惯,我们整个界面设计尽量从简单易用着手,下面是一些截面截图,包括一些主机,数据库监控的一个展现是通过动态一个展现,这样比较直观易懂。
我们前面说到如何去实现一个全范围的IT运维管理,一个企业原来有相关网络管理、业务管理,如何串联起来我们通过业务服务管理,把所有IT管理和业务进行一个相关关联,投入业务相关业务组件关联,某一个IT组件出现问题会对业务出现相关影响,从运维角度可以快速定位这个问题,下面看到是一个业务服务监控的展现。当我们的业务出现问题的时候,整个业务会推动一些状态实时的查询,进而通过业务服务对IT部门,其他部门的影响帮助管理员去判断。
现在我们的网络,带宽确实是越来越高,但是也面临了一个问题,带宽滥用问题,我们针对这种情况提供一个解决方案,网络流量的分析。首先是可以解决判断出来网络网络当中哪些用户造成大量带宽占用,是那种协议有这样一个大量带宽占用,什么时间是大量带宽的占用。国际上网络厂商有相关的代码协议,比如说思科,华为等等,我们能实现对所有协议的支持。从整个协议的分析来看,目前国际上有一些协议,从支持角度大多数同类型产品都可以支持,我们重点在于对一些像华为的设备,我们也能够实现这样一些支持。
随着企业的IT管理发展,整个IT资产管理逐步产生一些问题,因为简单通过手动工作方式工作量越来越大,我们提供了一种摩卡ITAM,是IT资产管理,通过资产设备周期到设备到户是一个全生命周期的跟踪。前面说到一些业务监控,可能重点关注终端用户体验,我们这个系统快不快,我们为这种具体提供一种叫做摩卡ITAM,首先通过一些用户访问过程,包括一些查询等等,把一个用户访问过程录下来,整个监控结果可以看到具体是哪个步骤,从而一个性能问题,哪个步骤比较慢,而且是由于那个具体环节引起的,这是摩卡ITAM前面经介绍是一个全方位资源管理。
下面我们看一个全方位接入块,首先我们是统一认证,这样用户只需要登陆一次,错此外通过统一认证可以集成用户享有的一些资源,所有这些内容可以在一个操作当中展现,可以看到无论是监控信息,报表第三方系统都可以这个里面展示,除了传统意浏览器展示。这是整个接入方式截面一个截图,可以查询当前状态,包括当前资源状态等等,解方式我们提供两种,一个是传统WAP方式,还有就是J2ME方式。第三方面一个全方位流程ITIL的管理,ITIL这个概念已经很多年了,在一个具体项目实施过程当中,还是需要一些支撑,因此我们产品提供了一套方法论,整个方法论是基于我们公司多种运维管理的经验。我们摩卡运维管理底层平台是一个业务管理平台,是我们公司业务流程管理平台。通过一些数据表单和相关的工具,来帮助用户进行一些相关流程定制。这是我们基于IT的管理。
我们看一下我们ITIL最佳实现和方法论,我们围绕四个阶段,看IT的运维管理。在这个整个系统当中为整个IT部门组织架构解决相关所有决策人员的一个定义。下面是一个全面的流程框架,首先是服务台事故管理,主要功能就是快速相应客户请求,目的是为了尽量快速恢复故障。接下来当时系统存在一些系统原因没有查明的话,可以请求转移到故障管理流程,可以查明故障原因,对问题进行跟踪和规划。接下来是变更管理,一旦涉及到问题的一个修改会有相关一个变更管理,通过变更管理对资源进行相关修改。最终执行整个一个变更管理流程是通过这样发布,这是我们整个产品一个四大流程框架。同时服务台跟分级管理所有出席请求也好,都会生成最终制式纳入到知识库当中,进行今后经验的一个积累。变更发布过程会最终更新到CMDB的配置项。为了满足客户不同需求,我们提供了对同一个流程提供多种版本的选择,用户可以根据自己的习惯,去选择不同的版本进行实施。下面看到就是流程设计一个截面,这个虽然我们提供一些流程,还是需要进行相关微调进行一些二次开发,这也得符合一些相关的框架。为了辅助相关调整进行相关流程截面设计,这是进行了相关的集成。
下面看到就是我们底层的一个CMDB数据库,所有这些配制项目可以自动发现,进行相关的拓扑。包括最终一些当前最新了软件库等。CMDB提供向相关设计工具界面,用户可以自定义维护相关数据。下面是一个界面展示的是我们是以报表统一为主,根据不同报表给用户提供不同数据的统计,下面这些报表可以随意拖动到我们用户收藏夹当中,可以进行快速的收藏。整个产品界面是比较简单易用,左、右侧界面划分,页面上下功能调整等等。这块是做相关一些知识管理,所有生成运维相关知识,自动录入到数据库当中。
最后我们再回顾一下整个我们产品的整体价值所在。首先我们摩卡解决方案目的是最终为运维服务,整个运维是一个全方位这样一个解决方案。所有相关这种包括运维方面流程最佳方法论,相关我们监控设计也好,不是一概而论的。因为我们公司从多年来已经有十多年IT维护服务外包经验,我们提供的相关知识是涵盖我们相关运维知识。这是我们整个产品套装及其对应,BSM是我们摩卡一个技术,IT资产管理对应是IT周期管理,对于基础设施管理,ITAM就是运维管理流程。最终实现一个三位一体的产品定位。
最后介绍一下我们以前实施的项目。首先是中国移动集团总公司的项目,这个项目不是一个单独的厂家进行实施,而是通过多家厂商一个合力。我们在这里面主要要说我们针对客户单独做了一些应用管理和模型开发,帮助用户实现一个VPN动态系统监控,此外通过系统集成,为用户提供统一界面展现。然后是一个国内制造行业的就是三一重工,这个项目除了一些基本功能以外,重点说到三一重工用到的网络环境是比较复杂,网络设备比较老,型号也比较老,通过我们开发最后实现一个快速的产品定制,帮忙用户最终解决它网络管理方面的一些问题。
我的介绍就到这里谢谢大家。
主持人:下面有请RSA,EMC信息安全事业部中国区资深技术顾问冯崇彪先生。
冯崇彪:大家下午好,我是EMC信息维护业务顾问,今天向大家报告的内容是简化IT运行及企业监管合规。
在介绍简化IT运行及企业监管合规之前,我们给大家先介绍一下背景,实际上我们IT部门现在所面临的问题是,需要审计员过来要审计我们信息的时候,是要求百分之百数据。这时候我们以前审计人员来我们IT人员会感觉非常紧张,这时候怎么样应付内部来自审计,还有来自于外部审计部门的审计。这时候我们会要求我们的IT人员找相应数据应对是这样一个情况。我们解决方案可以帮助我们IT部门,快速取出我们众多工具里面6个数据给审计部门,内控部门,包括外部审计部门。
我们可以看到其实证监会对于我们所有上市公司,本身是有非常得高要求,去年已经发出《关于加强对投资者网上交易安全保护的通知》。这个通知实际上要求我们所有的上市公司对于一些非法的交易行为的监控。要求每个机构对投资者的登陆,交易转帐活动进行监控,一旦发现有什么问题的话,在这上面需要进行相应的监控。另外对于我们企业内部控制基本规范,这个规范要求今年的7月1日对所有上市公司需要有这样一个要求。内部规范实际上是由财政部牵头,包括证监会,审计署还有银监会、保监会,各个机构出的指导意见,对于我们在座各位有非常好的指导意义。
对于我们IT主管面临的问题是什么,我们现在IT环境越来越复杂,系统越来越庞大,这个时候我们的系统涵盖了包括主机、网络、应用、安全、存储等等方面。这每一个系统里面都有相应的数据在里面,对于这些如山的数据,我们怎么保障它怎么样让我们IT运转很正常,同时我们还能够保障能够满足内部控制和外审的要求。这个实际上对于我们提出一个最高要求,审计员他们希望得到是什么呢,是对于财务有效的系统控制,我们的财务部门关心是财务数据控制,一些人事部门任务移植怎么把帐号在系统中屏蔽掉,比如说密码需要更改,对于我们IT部门,或者科技部门怎么做这样一个有效控制等等,所以对于内控,各个部门关心是不同的角度。
我们有一个三合一的日志管理平台,通过对于这些数据拿过来以后做分析整理,能够做一个用户集中化的管理,同时在这个基础上对于做分析,做报告来优化IT运维。在这个基础上可以做什么呢,日志管理,资产识别,能够维护我们本身IT的基本原则。基于上面的话,我们可以做满足我们内控和外审相应的报表,还有根据这里面IT本身里面一些安全东西,可以做出相应的报表,比如说像一个黑客冒充一个合法用户,日志里面只是看到一条日志,如果把多个设备集中起来看是一个安全事件,黑客登陆十台机器,十台机器合起来看是一个安全事件,我们机器可以报警告诉你这里面有个黑客,可以基于不同设备之间做出这种关联,比如说有的人只防外网,没有能力访问内网,如果他访问内网可以及时报告出来,有的只是访问互联网,这也是不允许的。
我们这里面做一些比如说像有一些是我们举证的行为,我们可以做一些举证的分析,同时可以做到安全和我们的IT运营做一个职责分离,比如说我们在座一些企业可能是说在IT运营的时候,我们只关心是本身IT能够正常运转就可以,但是从安全角度考虑,可能需要更高要求,过了时间才能做举证分析,再回去查,比如说是几个月前,或者几年前一些事情。有的过一两年才发现这面有安全事件。还可以把现有的IT数据转换成可用的信息和智能,我们有相应仪表盘,让我们公司高管可以看到目前运行情况,我们有超过1000多张,用于强制合规和安全的报表模板,我们这些模板是遵照国际上一些标准,比如说《萨班斯法案》等等这样的标准制定,这些模板可以根据我们企业内部的标准,可以变成是我们银监会要求的报表,或者我们内部要求的报表,这些报表可以做成定时的,也可以做成是一次性的,根据我们需要。
后面我跟大家分享就是非常几个非常简单的例子,怎么样来帮助我们提升安全。首先我们这里面有一个报表是专门做密码变更和过期的,我们从安全角度要求我们企业内部所有人员,可能隔一段时间要更改密码,这些密码我们之前有相应的策略在里面,但是没有一个统一管理,了解到让我们IT主管了解到它的密码变更情况,比如说有多少人在半个月之内需要更改密码,大家心里面想我们原来系统里面一部分系统已经有了,但是没有一个综合管理的平台。
还有一个比如说有一个人离职,这时候他的帐号是不是还是可以用,还是说这个人帐号密码还是可以用。大家关心可能操作变更控制,我们这里面总公司要求各个分公司,子公司策略必须按照总公司要求,我们怎么保障总公司策略能够强制执行下去,对于我们解决方案也有一些相应的方案在里面。禁用帐号我们也有例子,对于离职员工要进行禁用帐号。再有就是有很多合规报表,有《萨班斯法案》等等,我这里面主要列举这种合规报表,这里面大概整个系统里面有1000多张发表,最早银监会、证监会要求,做成我们每个企业内部是和自己的安全报表,根据这些报表可以对我们企业做好内控。我们可以看到每一个报表上面都有写,这个是遵循ISO27001,或者是ISO27002的具体第几本的要求。每一个报表和合规里面某一项怎么对应,在我们系统里面非常详细的介绍。
我们可以看一看,有人试图违反企业策略,试图从外部删除企业资料,我们通过ISO方案都可以找出来,我们可以看到有一个告警是来自于公司的三楼办公室,我们从这里面再往下点可以看到,这个告警信息是关于违反策略方面。这个报警是有一个关联规则,我们内部有检测系统或者是防火墙的系统,通过关联规则可以知道这些。我们接着看,可以看到我们公司内部员工,试图从家里面联到公司内部,试图删除一个客户资料。
另外的场景是我们有效地监控超级用户异常的活动。这里举的例子是一个管理员在一个小时之内,他创建了一个用户帐号,然后做了一些违法的事情。之后,他又把这个帐号给它删掉了。这样的话他自己认为他做了一些自己可以抹掉,即使是这样我们也可以发现。这个时候他创立了一个异常的活动出来,这个时候管理员可以看到,原来这个管理员是一个小时内创建的帐号,同时一个小时之后把帐号给它删掉。中间做了事情,我们都有记录把它记录了下来。
这个时候往下看,可以看到一些安全的证据。这个时候管理员创建和删除帐号的信息都在这下面,不同的设备和位置里面都以去看到,我们可以不断地把过去一个小时内所有用户的活动查询到。所以,从众多的用户当中,把刚才可疑的帐号抓出来,进行分析。我们这里面中间是查询帐号,那么这时候我们发现一个问题是什么呢?这个用户是修改了他们公司里面一个非常重要的数据库里面的数据,这种行为是非常危险,系统管理员在每一个企业里面他的权限是非常大的。那么他可以增加用户名,删除用户名,允许这种解决方案,放在第三方这里面任何一些数据这些信息都可以统一到你的设备里面来,中间做任何事情,等还没有做成的时候,报警就出来了。所以可以把这个数据存到到我们叫调查数据库里面。这个安全官登录到这个系统里面可以查出来这个人,他到这个系统里面到底做了什么事情,所以这个事情很快就可以查出来。
所以实施这种日志安全审计有什么样的业务价值呢?第一个方面,可以减少或者是避免合规成本,因为我们内控有要求,对上市公司外部审计也有合规要求,我们有了这种解决方案以后,可以提高效率,可以降低成本。另外我们可以降低或者避免安全破坏成本,如果是说我们问题出来以后,再亡羊补牢这样有的时候会太晚了,如果把这些东西能够做在前面,我们可以做一些事先预防。还有我们可以降低安全运行成本,不需要太多能力投入,同时可以降低一些法律,如果这个事情出来以后,遇到法律不允许,这时候可以提高我们的收益。同时我们可以保护我们企业品牌和声誉,所以要防止数据的泄露。
谢谢大家。
主持人:接下来有请信息中心主任张艳做最后一个主题演讲。张艳:大家好,很高兴有机会跟大家一起分享。
关于《萨班斯法案》法案我就不多说,国际上美国证监会安然、世通事件,等等一些诈骗情况里面,美国证监会为了诚实公布信息,所以颁布了《萨班斯法案》法案。在方案中间一再说到关于IT风险这块,所以说我希望有机会跟大家一起探讨一下,在这个额为什么在《萨班斯法案》中间本来是针对上市公司财务审计,为什么跟我们IT审计是密切相关的等等一系列的过程。在企业发展过程中间它不断壮大,如果在十年前,对于我们财务系统来讲,完全可以靠手工来完成。但是十年后的今天,随着IT的发展,不管是各种各样的系统也好,包括ERP系统,或者单纯的财务系统,不可避免的通过在硬件上通过软件实现数据的录入、积累,最后呈现一个财务报表给大家看的情况。那么在这个过程中间由于把系统的不安全,或者硬件不安全,最终有可能导致财务报表的不安全。所以,从财务涉及IT这一块,根据美国证监会要求,审计师是穿透系统不是绕着系统审计,所以是这样一个过程。
大家请看一下,这个《萨班斯法案》法案来源不再介绍了,在这个SOX中关于IT审计过程中间,我们需要相关的像C-SOX安全一些策略也好,规范条例也好,真正实现这样一个安全控制和管理。
IT控制在每一个公司中存在,至少是下面三个因素,像决策管理、商务流程和IT服务。决策管理是建立在实体上,就是人的因素上,如果在一个企业中,不管是IT部门的负责人,还是一个企业的CEO也好,高层管理人员,如果他们没有充分地认识到IT管理的安全,首先来讲,就决定在IT层面上将不可能真正做到一种安全。其次是商务流程,商务流程就是说我们因为是要通过我们这些系统,来给我们企业创造价值,IT永远是作为一个帮助企业的业务部门来实现自身价值的部门。所以通过商务上由于业务的需求,我们引进了很多商务软件,包括大型ERP系统,通过这样系统跟我们IT硬件相结合在一起,形成高效一个系统集成这样一个概念。
IT服务这一块,除了日常的IT维护和管理等等,它来决定服务好坏,同样决定安全非常重要的因素。其实我们也看到这样一张图表,这包括了SOX法案所要遵循的部分,中间包括实体层控制,这也给大家解释过了。现在ITAC应用方面,就是我们讲大型系统。再往下最底层是我们ITGC一般应用控制,在这个控制中间我们简单成为系统开发、系统变更、运营管理、安全管理四大块,我常常比喻为是一个金字塔形的框架。在金字塔的底层是由ITGC来控制的,中间是应用程序控制方面,在塔尖一定是人的控制,通过这样一个搭建结构才能保证我们整个IT的在大型企业中,IT非常安全的控制。
再用一个同样的图表来给大家解释一下,在我们ITAC和ITGC相近的关系,上面有一系列安全产品,这样搭建我们IT的基础安全措施,上面是我们常见的财务系统,不管是什么样的系统,它也应该是只有秉承安全的,上面才安全,上面是我们业务系统、采购系统、销售系统等等,我们财务相关接口实现有效的管理。再往上我们可以看到通过一系列这样的流程,最后我们呈现这份财务报表,为什么在说到C-SOX当中大家说我们需要做IT安全,在整个《萨班斯法》并没有说到IT审计,但是在我们日益们上市公司做审计的时候面临财务审计,基于这样的原因,在ITGC大概控制点,这是AC准确、完整、授权职责分离。
这是ITGC和ITAC关系的图表,首先从信息管理和人事结构,这是一个公司,其次是上升到人的,在有是整个公司的管理,凭险评估,再就是流程层面评估,分为早期,系统与数据所有者,包括业务有关数据控制等等。
我们所有安全策略其实基于框架结构谈到,石油是美国一个信息系统控制协会,它分为四大块,在这个框架计划和组织结构,开发采购信息系统,等等。这是我们常见一张框架具体图表,每块对应我们说四大块,我们讲拷贝一个框架跟《萨班斯法案》有什么关系呢?我们通过这样一个图表让大家来理解。信息计划和组织结构开发和我们公司层面内控是相符合,采购信息系统和系统开发和维护是向符合。
在《萨班斯法案》中间我们实施过程是什么样的?首先,我们要做一个有效设计,我们建立一些常规流程,这个流程是首先是我们做安全第一步,我们如何管理网络,其次是我们建立相关策略我们有没有执行,执行以后有没有监控,如果说我们制定了一定的策略,但是没有人执行,更谈不上监控,结果等于一样,没有完成这样的工作,也不可能实现真正的安全。这样只有通过一系列的建立、执行、监控,最终包括穿行测试,通过了我们这套系统,刚才我也说对系统测试应该是穿行而不是绕行,最后达到内部监控的改善。
《萨班斯法案》有以下几个基本控制范围,公司层面控制,系统操作管理,安全管理,系统开发和维护/数据库维护,网络管理,操作系统维护。
首先从公司公司层面可以看一下,建立与公司层面有关的管理目标,规定和流程等等,意义是确保公司IT部门有明确管理目标和制度,确保公司所有员工认识到时候IT系统重要性以及如何遵守公司IT制定,这一点是可以实现的,可以通过我们新员工入职的时候可以跟他建立一个,要他知道所有IT的方面的所有层面,不会因为他的操作公司有一些损失或者破坏。同时也给公司从法律的角度来讲做了一个非常有效的保障。
确保IT部门制定的策略与公司发展方向一致,我们IT发展是一定要同我们业务相匹配,作为一个公司讲没有一个长期的战略计划,而且在这个战略计划制定之后应该建立有效跟业务部门沟通以后进行不断更新。这些公司都在了以后,一个公司IT怎么谈得上安全,因为他对IT发展方向都没有一个明确控制管理。
下面是针对系统开发、维护和数据库维护的相关要求,要对系统数据库上线以后做修改管理,这些为什么从设备采购我们就要开始控制了,在采购环节从价格各方面进行有效管理,在开发层面我们有没有做到有效职责分离,测试环节上我们有没有做渗透式的测试,等等因素不管其中某一个环节都有可能造成整个系统开发维护和数据库的维护,是有安全漏洞的存在。
下面是安全的管理和网络管理,制定和持续确保系统、平台、数据库、网络等在逻辑性和物理性方面有安全和有管理的存取措施,更多是针对我们的常见的安全设备像防火墙,路由器等等一系列的硬件产品,包括今天我们看到在场一系列安全产品,这些产品有助于我们保障我们的整个IT系统的安全。下面是系统操作管理和操作系统的维护,确保系统日常操作一致性,制定故障处理,发布,记录和分析流程,等等这样一些部门。可以达到在操作系统层面做一个非常安全的控制和管理。
最后是我们所说到应用控制,应有控制中心确保应用系统在输入及输出数据时能够有效控制数据的准确、完整性,确保授予员工的应用系统权限不会有职责分离的冲突,确保系统之间的数据传送的准确和完整性,确保系统运算的准确。中航油就有一个事件,由于数据缺失导致了6亿元的损失。
第三篇:企业风险内控和风险管理
一、风险内控基本知识和理念――3个“五”浓缩风险内控的核心内容 1、五大目标-合规、真实、效益、战略、安全 2、五大原则-全面、重要、制衡、适应、成本 3、五大要素-环境、评估、管控、信息、监督
二、企业风险内控实施的必要条件及风险内控的局限性 1、顺利实施企业内控的四项必要条件 1)组织保障 2)制度健全 3)执行效果 4)有效监督
2、风险内控的局限性
三、风险内控发展的三个阶段 1、萌芽期--内部牵制
2、发展期--内部会计控制与内部管理控制 3、成熟期--风险内控结构和风险内控整体架构
四、风险内控与全面风险管理 1、法人治理结构
2、COSO企业风险内控基本框架 3、ERM2004全面风险管理
4、ISO31000风险管理原则和方针(国际标准)
五、我国企业的风险内控现状及原因分析 1、我国内控现状: 2、原因分析:
六、企业的内控之惑
1、量化之惑-缺少量化工具
2、流程之惑-标准化流程缺失(标准流程图)3、违规之惑-有章不循 4、舞弊之惑-集体违规
5、报告之惑-理念误导制度错误
6、动态之惑-风险处于动态变化之中,风险管理的有效性应当随时验证
七、管理者必备的三种风险控制利器
利器1:读懂财务报表-管理者每天五分钟阅读财务报表,让舞弊行为无处藏身 利器2:科学指挥-管理者管理过程中要求风险管理(财务)部提供必要的数据支持 利器3:锁定重大风险-锁定公司最重要的十大风险并确保对其控制的有效性
八、企业管理者风险内控的五招必杀技 第一招:风险转移 第二招:风险规避 第三招:风险分散 第四招:风险对冲 第五招:风险承担
九、企业风险内控的基本思路和流程 1、风险内控方案的制定 2、风险内控方案的执行 3、风险内控方案的评价 4、风险内控方案的改进
十、企业风险内控的10种方法
1、组织规划法
2、授权批准法
3、全面预算法
4、会计控制法
5、财产保全法
6、人力资源法
7、风险防范法
8、内部报告法
9、管理信息系统挖控制法
10、内部审计控制法
十一、企业管理者在企业内控过程中应当处理好的几个关系 1、处理好控与被控的关系
2、处理好风险内控与内部监督的关系
3、处理好风险内控制度与会计道德自律的关系 4、处理好风险内控效果与控制成本的关系 5、处理好风险内控层次与工作效率的关系
十二、世界500强风险管理经验分享
联合能源公司(ALLIANT ENERGY)是怎么做的 1、专业负责企业风险的团队
2、风险和战略副总裁是这个流程的执行负责人 3、自下而上的风险问卷调查
4、对风险取得全面了解并应用定量的评估 5、结果被编制成表格并进行优先排序 6、团队将识别出20到25个关键风险,在副总裁或更高级别的管理层面上确定监督和风险应对措施的权责
7、建立月度、季度和报告机制
8、每次与董事会开会,我们都会审阅公司的风险域,特别关注新的风险和重大的变更 公司的战略及风险副总裁每年与董事会就风险域大约进行8次讨论 9、最重要的风险评估方法是面谈
10、风险管理成为联合能源决策工具的一部分
第四篇:内控--企业文化建设管理
企业文化建设管理
一、业务控制范围
该流程主要描述了公司关于企业文化建设管理业务的相关流程,主要包括企业文化建设的方式和具体体现以及企业文化的评估与调整等。
二、业务目标
符合国家法律、法规以及公司有关企业文化建设的规章制度;
提升中国建筑品质文化,增强企业核心竞争力;
统一价值观念,规范员工行为;
文化建设融入企业生产经营过程中,符合企业的战略发展目标。
三、业务控制风险
不符合国家有关法律、法规及公司有关企业文化建设的规章制度,可能导致经济损失和信誉损失;
品牌集中度高与公司所属机构过于分散的矛盾,可能影响企业品牌形象和核心竞争力; 缺乏积极向上的价值观、诚实守信的经营理念、为社会创造财富并积极履行社会责任的企业精神,可能导致员工丧失对企业的认同感,人心涣散,影响企业整体发展和高效管理; 忽视企业并购重组中的文化差异和理念冲突,可能导致并购重组失败,背离企业的战略发展目标。
四、业务流程描述
1、企业文化建设的方式和具体体现
公司企业文化建设的基本原则为:以人为本,创造和谐;注重特色,讲求实效;整体规划,系统运作;领导带头,全员参与。
企业宗旨:学习创新务实进取
学习——公司要建立学习型组织,向客户学习,向市场学习,不断学习自己应该学习的知识,客户永远是对的,进一步跟上市场的要求,达到更高的境界,从而引领市场。创新 ——是公司发展的原动力,唯有创新才能求胜,所有的工作、产品、服务、机制都有改进的空间,我们要从创新中变革来不断完善和追求超越,只有创新求卓才能成为企业的精英。
务实——严格执行,我们不要惧怕做错什么,而是避免不去做什么,或是什么也不做,我们要为员工谋福利,为股东赢利,为社会做贡献,实现价值正当化、合作公平化。
进取——对事业有责任心和进取心,对工作精益求精和一丝不苟,对公司尽心尽力和严格自律,只有敬业进取的员工,公司才能委以重任。
价值观: 坚守诚信为做人之本,立业之基,实现员工、客户、公司的共同发展 公司经营理念:科技领先质量取胜珍惜每个服务机会
科技领先 —— 实施灵捷制造的生产和管理战略,以不断推出具技术领先优势,多品种,变批量的独具特色的产品与服务参与市场竞争。
质量取胜 —— 通过持续的改进、追求产品质量问题为零。
珍惜每个服务机会 —— 在公司内部建立、维护、珍惜部门之间、同事之间的相互服务、相互负责,上道工序为下道工序服务的每个机会,珍惜为解决客户期望和要求而提供的具竞争力的技术、产品和服务的每个机会。
2、企业文化的评估与调整
公司制定《企业文化评估计划》,每三年对公司企业文化进行一次评估。《企业文化评估计划》中列明的主要内容包括:列示参与文化评估的各级子(分)公司的范围和级次、选取的比例,评估调研的方式(群体座谈、一对一访谈、调研问卷等)以及进行综合评估的主要内容(公司员工对企业文化的认识、公司企业文化的现状、发展方向和基本经验等)。总经办实施评估后,根据评估结果编制《企业文化评估报告》后上报公司主管副总经理审批签字,总经办根据《企业文化评估报告》对公司企业文化建设作相应调整。
根据《企业文化评估报告》,在企业文化理念不能有效指导公司企业文化实践或员工行为规范不能适应公司实际的情况下,公司总经办提出调整需求,报公司主管副总经理批准,组织专业力量开展调查研究和评估,选取一定比例的各级次单位开展评估调研,以群体座谈、一对一访谈、调研问卷等多种形式对企业文化建设情况进行综合调研,形成《企业文化调研报告》,并制订《企业文化建设纲要》,征求基层意见,修改完善,上报公司董事长审批签字后以正式文件下发《企业文化建设纲要》,对企业文化的方向、理念、员工行为规范等做出全面调整。
第五篇:内控管理
X银监局:
收到《X银监局监管通报》(豫银监通股字[X]1号)后,分行领导高度重视,对照《公司法》、《证券法》等有关法律法规以及《XXX章程》(“《XX银行X分行公司章程》”)等内部规章制度的规定,李兴智行长就对监管通报所指出的问题,责成相关支行和分行管理部门逐条对照,详细说明情况进行认真落实整改,并通知分行各业务部门要在全行进行横向拉网式全面检查和纵向的系统自身深度自查,对于检查出的问题要严肃处理,绝不迁就姑息任何形成的违规行为,并将认真组织有关部门现场检查整改落实。现将治理专项活动的主要工作及整改情况报告如下:
一、解放思想强管理,科学谋划抓机遇。
X年,是我国发展进程中极不平凡的一年。我们战胜了罕见的低温雨雪冰冻灾害和汶川特大地震灾害,谱写了感天动地的英雄凯歌,给我们子孙后代留下了宝贵的精神财富。我们成功举办了北京第29届奥运会和北京X年残奥会,实现了中华民族的百年梦想。我们圆满完成了神舟七号载人航天飞行,实现了空间技术发展具有里程碑意义的重大跨越。我们克服国际经济环境重大变化的不利影响,加强和改善宏观调控,保持了经济社会发展的良好势头。X年,在XXX总行的正确领导和地方政府的关心指导下,在各兄弟部门的大力支持配合下,我们始终坚持“XXXX中心工作,在服务中发展银行信贷事业”、坚持解放思想强管理,科学谋化抓机遇,认真落实李兴智行长在X年分行工作会和李忠录副行长在X年全行信贷工作会议上的讲话精神,抢抓机遇,谋求发展;调整思路,优化结构;强化管理,防范风险。为X年各项工作再创新高而奋斗。在信贷工作上,要求严控风险,抢抓机遇。继续稳定和优化存量信贷资产,积极培育和发展优质授信客户。X年我们信贷工作,要紧紧把握宏观经济金融形势的变化,密切关注授信企业的生产经营状况,严控不良率,认真做好存量信贷资产的经营工作;牢牢抓住国家“扩内需,保增长”的投资拉动经济增长的契机,培育和发展一批优质授信客户;进一步强化客户经理培训和队伍建设工作,切实完善客户经理的进入和退出机制。以“为民解忧”为要事,以“适应形势”为主题,以“求真务实”为要求,以“开拓创新”为动力,以“群众满意”为标准,以“自身建设”为手段,在“新”字上做文章,在“实”字上下功夫,在“严”字上抓管理;牢固树立“以民为本,以情为民,以苦为荣,以助为乐,以实为上,以德为政”的工作宗旨,奋发努力,拼搏进取,为分行的各项业务工作取得了新进展而努力奋斗,为着眼于落实科学发展观和构建和谐社会做出积极贡献。
二、并于贷款增长乏力,市场份额持续缩小的问题。
内部因素:X年-X年,XX银行当时业务发展良好,市场份额占比较大。X年-X年XX银行引进国际战略投资者进行资产重组,业务发展受到很大影响,失去了部分原有的市场;X年重组成功后,与战略投资者的磨合有一个过程,业务发展一般;X年上半年,受国家宏观调控政策影响,贷款有所萎缩;X年下半年,贷款环境有所改善,我行贷款总体规模上升很快。
外部因素:X年X省股份制商业银行只有交通银行、XX银行、中信银行、光大银行4家,XX银行当时业务发展良好,市场份额占比较大。后来随着上海浦发银行、招商银行、兴业银行、民生银行等4家股份制银行入驻X,整个市场得到进一步细分,再加上后入驻的几家商业银行贷款规模增幅很快,造成前几家股份制商业银行的贷款规模在整个市场的占比进一步缩小。
三、关于个人住房按揭贷款风险不容忽视的问题。
截至X年年末,我行个贷余额14.3亿元,较年初下降0.72亿元,累计发放贷款10.65亿元,累计收回贷款11.37亿元,不良贷款余额1.01亿元,较年初下降不良贷款0.04亿元,全年累计收回不良贷款0.41亿元,通过诉讼收回现金0.14亿元。针对X年住房按揭新增不良贷款0.27亿元的现状,分析新增不良贷款形成的原因,我行采取了以下有效措施:
(一)对无实质风险的按揭逾期加大催收力度,利用电话催收,上门催收和律师函等方式,仅今年两个月已收回不良贷款260万元(含分类上调),及时化解信贷风险。
(二)对因楼盘不能按时交房,引起借款人出现断供的不良贷款,通过催收尚不能归还贷款的借款人,及时对借款人提起诉讼,运用法律手段收回贷款,目前已有多户在商议还款事项。
(三)继续执行对重点户、大户的督办制度、律师月度沟通制度,及时掌握案件进度并制定清收方案,推动案件的清收盘活进程。
四、关于小企业贷款依然偏低、加强小企业授信工作落实的问题。根据豫银监局通股字(X)1号监管通报,结合我行客户群结构中,中小企业占比较低的现状,XX银行X分行X年将以发展中小企业为重点工作,具体工作计划如下:
(一)成立以营销、服务中小企业为职责的中小企业银行部。
(二)三月份将在全省全面推广XX银行总行为中小企业量身定做的“好融通”产品,该产品非常适合中小企业的融资需求。
(三)拟在洛阳、平顶山、焦作、南阳等市设立中小企业银行部驻洛阳、平顶山、焦作、南阳办事处,每处配备相应的客户经理和结算人员,专职为当地中小企业提供融资、结算服务。
(四)计划全年向全省中小企业授信10亿元,着力改善中小企业融资难问题。
五、关于理财产品风险显现的问题。
截至X年2月28日,我分行尚存理财产品2类,涉及客户634户,存量6538.7万元。其中“薪+薪4号B款”出现浮亏,涉及客户311户,存量3233.9万元。截至2月23日该产品平均净值已达到0.9078,较08年2月29日平均净值0.7914增加了0.1164。自08年四季度以来我行进一步完善各项理财业务管理制度和规范,增强贯彻力度,建立了投诉机制和突发事件应急体系,印发了《关于X分行建立理财产品投诉风险重大事项报告制度的通知》、《关于成立X分行理财产品风险事件应急处理小组的通知》、《X分行证券基金代销业务危机应急处理方案(试行)》、《关于做好客户维护及防范投诉风险的紧急通知》、《“薪+薪4号B款”理财产品风险应急预案》、《关于下发〈XX银行X分行理财业务操作管理规程(暂行)〉的通知》等一系列文件,并及时监督执行情况,能够对各类投诉事件进行快速反应和及时处理。
加强了营销人员的业务培训,提高了理财队伍的专业素质,08年X分行又有27人取得AFP资格认证,使我行持有AFP认证资格的理财人员达到了56人。
细化了产品售后服务,对现有全部理财客户造册登记,细分类型,分类落实到我行专职理财人员名下专人进行回访和一对一维护服务,及时掌握客户的心理动态,有效地控制了风险,减少投诉,获得了客户的认可。
六、关于表外业务拉动明显,存款稳定性有待加强问题。
(一)为了防范市场风险、操作风险和政策性风险,我分行已经加强了对表外业务的风险控制,在分行信贷管理部实行表外业务总额度控制,对各经营单位分配额度,月末、季末考核,同时对表外业务进行专人审核审批,严格把关,严格控制,保证表外业务的真实性、有效性、合规性。
(二)在防范风险,控制规模的前提下,分行管理部加强指导作用,鼓励各经营单位资产结构合理调整,在业绩考核中均衡调配,鼓励结算资金的留存和流转,从而监控企业资金流向,以期了解企业的真实经营情况,在防范市场风险的同时,对企业的信用风险有所控制,对“做存款”现象,坚决予以杜绝,一旦查出,严惩不怠。
七、加强个人信贷管理,尤其是个人住房按揭贷款管理,保证各项措施落实到位的问题。
(一)健全个贷管理制度,规范操作流程。
自X年,总、分行相继出台了《关于进一步规范和优化个人信贷业务流程的通知》、《关于进一步规范消费信贷管理的紧急通知》、《关于X分行个人信贷业务档案管理办法》、《广发X分行个人信贷业务贷后管理实施细则》、《XX银行X分行二手房按揭款实施细则》、《关于个贷引入律师见证及中介服务的通知》及《X分行关于个贷诉讼若干问题的规定》等相关文件,进一步完善了我行零售贷款的管理制度,规范了零售贷款业务操作,有效防范了相关风险。一代论文网: www.xiexiebang.com
(二)利用征信信息,降低违约风险。
在审查、审批环节,充分利用个人征信系统,对信息记录差、有潜在风险的申请人坚决拒绝办理个人住房按揭贷款,有效地规避了潜在风险,防范恶意骗贷情况的发生。
(三)加大清收力度,化解存量风险。
1、强化个贷逾期的催收力度,对催收无果的借款人及时提起诉讼,及早化解风险。
2、对抵质押物的足值状况要求支行进行全面自查,分行对不良贷款的抵质押物的足值状况进行重点抽查,防范抵押物市场价值波动带来的风险。
3、强化支行与律师的沟通,要求支行对律师及不良客户施加压力,紧盯案件进展,想方设法以最快的速度化解风险;
4、对重点户、大户实行督办制度,及时掌握案件进度并制定清收方案,以推动案件的清收盘活进程。
(四)加强不良责任认定与处罚。X年我行已将零售贷款业务纳入业绩考核系统,同个人收入挂钩,强化了考核和不良责任的认定与处罚。
(五)建立个贷管理系统。
根据总行全行集中式个人业务管理系统上线工作的安排,2月份我行个贷业务已全部上线,目前该系统正在试运行中,该系统的上线将会是我行的贷后管理水平再上一个新台阶。
八、高度重视个人理财业务,加大宣传和正确引导,维护金融秩序安定的问题。
分行每日发布理财咨询,每周将产品收益情况以电话或短信的形式告知客户,让客户做到心中有数。
X分行严格执行监管部门和总行的规章制度,在目前市场态势不明朗的情况下,严格要求营销人员按规销售,杜绝不当营销和错误营销。
在今后的业务发展中,我行将加强个人理财业务的管理水平和制度的执行力,进一步提高理财人员的业务素质,在新发产品上注重正确宣传引导,做好客户沟通和服务,严格控制风险。
九、改善单一的存款增长模式,保证各项业务持续稳步增长。
我行一直鼓励储蓄存款的营销力度,在政策、人力、资源上予以倾斜,从而改善存款结构,科学调配资产负债结构比例,提高我行在市场中的竞争力。
我行X年的发展将以银监局监管建议为主导:抓机遇,谋求发展;调整思路,优化结构;强化管理,防范风险。
一、端正经营指导思想,把科学发展观贯彻落实到本行经理工作中,正确处理规模扩张与风险防范,业务拓展与风险控制,短期利益和长期利益的关系,将利润最在化建立在风险可控和管理水平不断提高的基础上。
二、在业务发展过程中,要保持依法合规的经营意识,严格制行国家政策、法律法规和外部监管制度,规范执行每一项规章制度和操作流程,严防各类操作风险的发生,分行领导班子和分行管理部门要彻实履行起管理职责,加大对操作环节规范管理的监督和检查指导。
三、加强完善激励约束机制,建立科学的业绩考核体系,调整和优化资产负债结构。
四、要定期化、制度化、发现问题,立即采取措施,制定相应的检查监督制约机制,严格制行违规违纪责任追究制度,杜绝经营管理人员为了经营业绩违规经营的现象,保证各项制度落实到期实处,坚决禁止不符合规章制度的各种做法。
十、基于内部控制环境的国有商业银行公司治理机制再造
1、组织再造:建立科学的委托代理关系
我国国有商业银行实行的是一级法人制度下的层层授权式的经营体制,从而形成了较长的委托代理链条。一方面所有者很难对各级机构乃至各级经理人员进行有效监督约束;另一方面造成信息传递迟缓、扭曲、监督效率降低、导致代理成本过高。公司化改造之后的国有商业银行将成为由国家资本、若干战略出资人和众多中小股东共同组成股份有限公司,通过组织再造,建立科学的委托代理关系,明确所有者、经营者的权、责、利并形成有效互动。由股东组成的股东大会是银行真正的最高权力机构;董事会作为股东大会的常设机构,拥有决策权,对重大方针政策进行决策;银行的高层经理人则由董事会聘任、负责日常的经营管理。在执行层面上,通过组织再造,力求各岗位管理人员和雇员各有其位、各司其职,建立扁平化组织结构和科学的委托代理关系,控制道德风险和降低代理成本。
2、制度再造:导入风险——利益分配机制 公司治理的核心是导入风险——利益分配机制,对企业为谁服务,由谁控制,风险和利益如何在各利益集团中分配等一系列问题进行制度安排。按照委托——代理理论,代理人不仅有着自己的利益,而且具有风险规避倾向。因此,在企业合约体中,经营者与所有者在利益函数方面往往是不一致的。因此必须建立起风险与收益的平衡机制,让所有者和经营者双方都承担企业经营的风险,在利益与风险的约束和平衡下,努力工作,创造价值。具体而言,对国有商业银行经营者来说,努力工作可以得到附加收入,提高经营者个人在社会市场上的声誉;对所有者来说,努力工作,不仅可以不断提高公司未来现金流折现价值,而且可以得到当期的现金流收益。
3、文化再造:构建良好的公司治理文化
尽管国有商业银行已经制定了一系列规章制度并开始有意识地培育自身的企业文化,但单纯靠规章制度的“硬约束”是远远不够的,国有商业银行必须根据现代企业制度的要求对文化建设进行重新定位,从借鉴和发展的角度,完善公司治理结构,建立由上至下的公司治理文化,形成“软约束”。公司治理文化是股东、董事、监事、经理人员、重要员工等公司利益相关者及其代表,在参与公司治理过程中逐步形成的有关公司治理的理念、目标、哲学、道德伦理、行为规范等及其治理实践。培育良好的国有商业银行公司治理文化,构建一种公正合规、诚实守信、廉洁正直、提倡良好的职业道德的企业文化,成为国有银行加快发展的重要任务。
十一、基于外部控制环境的国有商业银行公司治理机制再造
1、市场环境再造:建立和完善资本市场激励约束机制
国有商业银行通过股份制改造并最终发行上市,其经营发展的状况就能够通过资本市场有效地反映出来。市场价值的变化会对商业银行产生很大的压力,促使商业银行加强经营管理和风险控制,改善公司治理绩效。一方面,资本市场的强制性信息披露机制、法人治理要求等对国有商业银行的法人治理产生很大的促进作用。另一方面,国有商业银行外部市场环境再造有赖于资本市场的完善,要建立和完善资本市场激励约束机制,建立起更加灵活地进入和退出机制。
2、法律环境再造:规范风险防范和利益保障体系
公司治理涉及诸多法律问题,必须由国家通过法律加以规范,从这个意义上说,公司治理水平高低取决于国家法律法规的质量。对国有商业银行而言,法律环境的再造包括三个层面:一是明确国有商业银行公司治理必须遵循的法律法规守则,以及董事和经理人员必须承担的法律责任;二是在符合法律法规框架下制定公司政策,确保经营者在良好的公司治理结构下开展经营;三是加快制定保障中小股东利益的法规。此外,还可以建立健全刑事诉讼机制和民事赔偿机制,提高商业银行的违规成本。
3、监管环境再造:实现以风险为基础的审慎监管
商业银行的金融监管包括本国央行监管和国际监管,它构成商业银行外部公司治理的核心。当前,随着金融国际化和国际金融市场的一体化,国际化银行的监管以及银行业监管的国际协调已经成为一种客观要求。根据巴塞尔委员会提出的原则,商业银行必须在股份制改造和构建科学的公司治理机制的同时,强化监管约束。目前我国银监会监管工作重心已经由合规性监管向风险监管转移,以提高银行审慎监管的有效性,这将有助于确保国有商业银行安全、稳健、高效运行,提高防范和化解金融风险的能力。
十二、我们商业银行内部控制还存在一些迫切需要解决的重大问题。近年来,通过商业银行自身的努力,中国商业银行内部控制制度建设和执行情况已有了较大的改善。内控优先意识明显增强,内控环境得到改善,尚未出现大面积违规的现象;按照内部控制原则和防范风险的要求,商业银行调整和完善组织结构,明确职责,新建和修改了大量的业务规章制度和操作流程,目前大多数商业银行均建立了资产负债比例控制和风险管理制度、贷款质量五级分类制度和审慎的会计制度,风险控制措施逐步完善;管理信息系统不断升级,信息容量不断增大,支持了商业银行风险管理的需求;银行普遍建立了相对独立的统一管理、下查一级的内部稽核体系,内部审计的独立性不断增强,对规章制度合理性和经营活动合规性的反馈、纠正机制正在形成。
一是银行公司法人治理结构有待进一步完善。近年来,银行公司法人治理结构虽发生了很大变化,但与真正市场化的货币金融企业相比仍相差甚远,主要表现在符合现代银行制度要求的公司法人治理结构尚未完全确立,与之相适应的自我约束和自我发展机制也需要进一步完善。股份制商业银行虽初步建立了现代银行制度的基本框架,但却不同程度地存在着公司治理架构不健全、决策执行体系构造不合理、监督机制有效性不足等问题。所有这些,都在一定程度上限制了银行内部控制的有效运行。
二是银行内控文化尚未得到真正的建立。内部控制是一个需要董事会、高级管理层和各级工作人员共同努力才能实现的过程。随着银行监管力度的加大和商业银行的改革与发展,银行内部人员的风险意识得到了增强。但内控文化并未在银行从上到下真正形成,特别是基层机构的部分工作人员还未充分认识到内控和风险管理的内涵。这些都将增大银行发现和防止失误的难度,加大出现违规行为的可能性。
三是控制分散与控制不足并存。控制分散表现为规章制度数量庞大,但分散于各类文件中,缺少整合:控制不足表现为有的控制制度尚未建立或尚不健全,管理部门之间的衔接不充分。
四是部分基层机构内控制度执行情况不容乐, 观,有章不循、违规操作的现象依然存在。
五是银行分支机构内控制度的检查、评价不足。内部控制不仅要求银行机构建立内部控制政策与程序,还要检查内部控制政策与程序是否得到了遵守。目前一些银行内部审计不足,对内部控制的检查频率和深度不能与银行机构的风险程度相适应,这在一定程度上影响了内部控制作用的效力。经审计的财务报告与本行参照国际财务报告准则编制的X年第XX季度报告相比较,资产负债表和损益表没有差异,现金流量表个别项目进行了重分类。经审计的财务报告对于本行参照国际财务报告准则编制的X年第XX季度报告(未经审计),就本集团现金流量表分项进行了重分类:本行X年XX月份派发XX年末期股息的现金流出人民币XX亿元,从现金流量表内经营活动现金流量中的“其它经营负债”重分类到筹资活动现金流量中的“支付股息”。对于本行参照中国会计准则编制的X年第XX季度报告(未经审计),本行现金流量表分项进行相同的重分类:本行X年XX月份派发XX年末期股息的现金流出人民币XX亿元,从现金流量表内经营活动现金流量中的“收到的其它与经营活动有关的现金”重分类到筹资活动现金流量中的“分配股利、利润或偿付利息支付的现金”。此重分类对本行的资产、负债、利润、现金及现金等价物没有影响。业务发展是我们工作的核心目标,但是一定要认识到,我们的经营业绩和业务发展必须以有效的风险控制为前提,没有扎实有效的内部控制和管理基础就不能实现健康持续的发展,监管当局是在指导、支持和帮助我们的工作,这绝不是突击性、额外的、被动的工作,而是我们健全内控提高竞争力,实现健康的内在要求,是长期日常的重要性。
六、进一步加强内控管理的措施和安排
1、提高思想认识,形成抓好内控管理工作为全行第一要务的共识。一是提高内控管理在金融业务中的促进推动作用认识,理顺业务发展与内控管理关系;二是提高内控管理对防范金融风险认识,努力杜绝违规操作而引起的金融风险;三是提高对存在问题的整改认识,在整改中规范操作行为;四是提高对制度建设、制度执行认识,在制度建设上完善自我,在制度执行中制约自我。
2、严抓制度落实到位,堵塞管理漏洞,有章有循,有法不依,内控制度落实不到位,是内控机制乏力的重要原因之一,因此,我们把落实各项内控制度摆上议事日程,一是要落实责任使内控制度的每条每款都有责任人、实施人,确保制度落实不留空白,责任明确不模糊。二是要加强考核评价,落实审核工作,发现问题及时通报,及时整改,奖优罚劣,大力力营造执行规章制度光荣,违反规章制度可耻的良好氛围,并通过考核评价意见反馈等方式落实整改意见,使之整改一次,提高一次。
3、抓好监督检查到位,促进内控机制不断完善。一是要加强审核监督,尤其是要加强对权力的审核监督。完善主责任人审计制度和评价考核机制,二是加强会计检查辅导工作,促进会计基本制度的执行和落实。三是实行干部交流和重要岗位轮换制度,在保持相对稳定的情况下,加强对干部和重要岗位的横向交流,按照中层干部和重要岗位的任职期限,进行这期交流和岗位轮换。四是实行强制休假和临时换班实现相互监督,进行账账、账表,账实、账款、内外账的核对,达到及时发现问题的目的。五是完善职工代表大会等各种民主制度,充分发挥民主监督的作用。
4、充分发挥合规部门再监督作用。合规部门对监管中存在问题抓好职能部门督办工作,对已整改的问题进行不定期再监督,并统一登记问题台账,真正把整改工作落实到位。合规部门不定期对营业机构和职能部门内控管理工作组织检查督导,保障全行内控管理工作健康运转。
5、通过分行内控综合评价,正视内控管理中存在问题,今后将进一步加强员工规章制度学习,加大员工业务操作方面培训力度,强化内控制度贯彻执行,不断提高全行员工综合业务素质,不断提高员工对操作风险的防范意识。对存在问题在整改的前提下举一反三,引以为鉴,在学习上教育员工,在制度上制约员工,进一步提高我行整体内控管理水平,把操作风险降到最低限度。
点击咨询 