上市公司CIO內(nèi)控管理和信息化建設(shè)

1、財政部會計司綜合處處長，內(nèi)控標(biāo)準(zhǔn)委員會家成員胡興國中國石油化工股份有限公司信息系統(tǒng)管理部處長姜林用友公司NC產(chǎn)品架構(gòu)師付建華女士河北網(wǎng)通信息化部高級工程師屈玉閣浪潮通軟副總裁兼技術(shù)總監(jiān)魏代森中國鋁業(yè)信息部的楊磊國際信息系統(tǒng)審計師協(xié)會北京事務(wù)委員會主席何迪生摩卡軟件高級售前顧問周立民EMC言息安全事業(yè)部中國區(qū)資深技術(shù)顧問馮崇彪信息中心主任張艷下面我們有請財政部會計司綜合處處長，內(nèi)控標(biāo)準(zhǔn)委員會家成員胡興國。胡興國：各位領(lǐng)導(dǎo)，嘉賓，上午好。今天能有這個機會我想給大家匯報一下財政部會同另外四各部位關(guān)于標(biāo)準(zhǔn)建設(shè)實施情況，我匯報情況叫我國企業(yè)內(nèi)部控制標(biāo)準(zhǔn)建設(shè)與實施。匯報5個問題，一個是我們啟動標(biāo)準(zhǔn)建設(shè)的規(guī)

2、定，第二就是匯報我們企業(yè)內(nèi)部控制建設(shè)歷程，第三簡單匯報一下標(biāo)準(zhǔn)建設(shè)框架體系，第四簡單介紹一下信息化， 風(fēng)險管理與內(nèi)部控制關(guān)系，最后大家探討一下企業(yè)在事實內(nèi)控標(biāo)準(zhǔn)應(yīng)該做一些什么工作。第一部分是就是它的意義，我從三個部分進行總結(jié)，大家知道去年5月11日，財政部，證監(jiān)會，保監(jiān)會，還有審計署同時頒發(fā)了基本規(guī)范，我們也在北京召開了發(fā)布會標(biāo)志著我們國家企業(yè)內(nèi)部控制標(biāo)準(zhǔn)建設(shè)，有了重要階段性成果。當(dāng)前世界金融危機給我們國家造成很多機遇，我們做了 一個調(diào)研企業(yè)加強內(nèi)部建設(shè)，提升自身的能力是非常重要。第二就是中央提出走出去戰(zhàn)略，國家起草規(guī)范和技術(shù)出發(fā)點，要企業(yè)做強做大，幫助他們國外資本市場進行融資，特別是是美國，

3、英國，法國，包括我們香港都 有一些要求。第三就是滿足我們資本市場發(fā)展需要，我們國家資本市場公開，公平， 公正，提高財政的信 息質(zhì)量，提升我們經(jīng)營管理水平，可持續(xù)發(fā)展，還有保護我們廣大投資者利益。第二部分就是發(fā)展歷程，我們國家企業(yè)內(nèi)部控制建設(shè)從70年代就是改革開放以后，特別是我們第一部會計法的實施，這是一個標(biāo)準(zhǔn)性階段。 在滿足社會不同需要， 在這個過程我們出現(xiàn)過滿足核算制度等等。早在70年代末期，80年代初，包括我們提出崗位分離等等。90年代的時候，特別是我們會計法實施的時候財政部96年發(fā)布會計規(guī)范，規(guī)范要求各單位進一步建立健全包括內(nèi)部控制先進內(nèi)部會計管理制度，會計法明確要求各單位建立內(nèi)部管理，

4、 這是我們內(nèi)部管理的法律依據(jù)，到2001年6月22日，財政部依據(jù)會計法規(guī)定又制定了企業(yè)內(nèi)部會計控制規(guī)范，基本規(guī)范和后備資金，04年相繼發(fā)布了銷售與收入增加，發(fā)布了 1+6的等各項制度。第三階段以我們發(fā)布的金融規(guī)范，來源主要是美國安然事件以后，采捕正有關(guān)領(lǐng)導(dǎo)，把安然事件對我們國家的意義報個國務(wù)院，國務(wù)院領(lǐng)導(dǎo)同志做了批示，這項工作財政部牽頭，證監(jiān)會，國資委配合，建立中國的塞班斯法，到 2007年，財政部，銀監(jiān)會，國資委等聯(lián)合發(fā)起 成立我國企業(yè)內(nèi)部標(biāo)準(zhǔn)委員會，委員會委員是31位，我們成立了 8個咨詢小組，8個小組去年我們把這個小組又?jǐn)U大了，委員從31名發(fā)展大50人，咨詢小組現(xiàn)在有150人，當(dāng)時我們發(fā)

5、布規(guī)范發(fā)布了 17項具體規(guī)范。我剛才說5月22日我們發(fā)布節(jié)本規(guī)范， 要求7月1日正 式實施。第三部分給大家匯報一下， 基本規(guī)范的框架體系。 框架體系是一個規(guī)范加三個指引， 一個是 基本規(guī)范已經(jīng)發(fā)布了， 內(nèi)部標(biāo)準(zhǔn)體系是最高層次， 有的人說是中國的塞班斯法， 第二是主要 是對企業(yè)，對企業(yè)有內(nèi)控企業(yè)的主體。幫助企業(yè)建立體系，第三系評價指標(biāo)，是企業(yè)內(nèi)部必 須做的評價包括自我評價，怎么評價。第四是審計指引，會計事務(wù)所執(zhí)行內(nèi)部審計?；疽?guī)范主要是有概念，目標(biāo)，原則，要素。我們提出了概念，當(dāng)時我們國家內(nèi)部控制很多 部門都有，包括我們銀行，銀監(jiān)會，包括我們的證監(jiān)會，包括我們兩個交易所，我們部門把 概念統(tǒng)一一下

6、。目標(biāo)有三個目標(biāo)，我們提出 5個目標(biāo)，我們是 5目標(biāo)，原則，要素。應(yīng)用指引，給我們發(fā)布了征求意見，目前 21個應(yīng)用指引，加上審計指引，加上評價指引， 一共是23個，我們財政部部長簽發(fā)了，審計署也簽了。我們應(yīng)用指引主要是21個分布，一個是針對企業(yè)管理， 我們根據(jù)基本規(guī)范有 5個一個是統(tǒng)一架構(gòu)， 一個是發(fā)展戰(zhàn)略，一個是人 力資源，還有社會責(zé)任和企業(yè)文化。這5個我們是怎么每一個構(gòu)架都差不多，我就舉一個社會責(zé)任框架，我們第一就是整合，提出它的概念什么是社會責(zé)任，我們再提出中心有哪些， 社會責(zé)任我們提出4個中心點，安全生產(chǎn)，不落實可能導(dǎo)致企業(yè)生產(chǎn)事故，第二產(chǎn)品質(zhì)量惡劣，會侵害消費者利益， 可以導(dǎo)致企業(yè)破

7、產(chǎn)， 大家知道河北石家莊三鹿開奶粉事件，第三是 環(huán)保投入不足，資源消耗大，造成環(huán)境污染，資源枯竭，缺乏發(fā)展后勁一是一個風(fēng)險。第四我們說促進就業(yè)和員工權(quán)益保護，我們金融危機背景下，擴大就業(yè)，保內(nèi)需，增長，我 們從企業(yè)角度。第一是控制環(huán)境，第二是資源，包括資金活動，我們以融資，投資這一塊我 們放在一些活動里面，還有采購業(yè)務(wù)，還有負(fù)債管理，銷售，研發(fā)，工程項目，服務(wù)外包等 等。應(yīng)用指引形式都差不多，比如說采購應(yīng)用，我們主要是支付環(huán)境，包括購買環(huán)節(jié)，要采 購申請，招標(biāo)，確定供應(yīng)商，供應(yīng)價格，報批核準(zhǔn)等等，每個環(huán)節(jié)進行控制，第三是控制手 段，包括全面預(yù)算，風(fēng)險管理，內(nèi)容信息傳遞，信息系統(tǒng)，財務(wù)報告。第四

8、針對特殊行業(yè)或者行業(yè)的控制，包括銀行業(yè)，證券期貨業(yè)務(wù)，保險業(yè)務(wù)個個應(yīng)對指引。再說一下就是評價制度， 作為企業(yè)內(nèi)部管理涉及到運行效果和自我評價，為了方便起見，我們起草了一個對企業(yè)內(nèi)部控制，內(nèi)部評價指標(biāo)，包括內(nèi)容，標(biāo)準(zhǔn)，程序，方法，包括報告形式，我們選擇企業(yè)報告的基本是從1月2日，12月31作為一個會計年計表，也可以選擇 6月30號自查報告也有了新的形式我們參考的深交所還有美國塞班斯法正在研究，報告形式 可能要分兩部分，第一個是對環(huán)境評價，對業(yè)務(wù)流程通過一些表格，數(shù)據(jù)一些量化標(biāo)準(zhǔn)。企業(yè)怎么判斷你的是否存在重大缺陷，下面就是審計制度，主要是事務(wù)所接受企業(yè)審計。從我們目前起草稿子我們指引分四各類型，一

9、個就是標(biāo)準(zhǔn)，還有在強調(diào)時間段和保留意見，還有否定一些意見，還有無法表明一些意見，和我們財務(wù)報告差不多，這個也有一些具體指標(biāo)。我簡單匯報一下框架體系。第四部分我們匯報一下內(nèi)部控制與風(fēng)險管理的信息化，我們是怎么理解的。內(nèi)部控制和風(fēng)險管理，實際上存在一些爭議，理論界對這一問題，人事部統(tǒng)一，有人認(rèn)為內(nèi)部控制與風(fēng)險管理是兩回事，兩張皮，也有人形象說內(nèi)部控制是“正確的做事”，風(fēng)險管理是“做正確的 事”。從我們制定基本規(guī)范角度出發(fā)點，我們認(rèn)為內(nèi)部控制和風(fēng)險管理不是兩張皮，應(yīng)該是一個完整和有機融合，我們認(rèn)為內(nèi)部控制主要是企業(yè)內(nèi)容風(fēng)險，包括你可控風(fēng)險也包括不可控風(fēng)險，但是都要做。所以我們基本規(guī)范風(fēng)險評估，有風(fēng)險

10、識別，分析，經(jīng)營存在的風(fēng)險， 戰(zhàn)略，決策等等。第二對國際先進研究成果與經(jīng)驗看，應(yīng)該是有機融合的趨勢?？磁c風(fēng)險之 間的感到我們是這樣理解的。那樣控制與信與化，信息化會計信息化有財政部會計司也說，80年代我們在全國積累了很多經(jīng)驗，在電算化的一些標(biāo)準(zhǔn)，08年11月12日我們財政部會同其他 8大部委在北京成立會計信息化，包括還有XBRL中國地區(qū)組織。經(jīng)過20多年的努力，在會計信息化工作方面給 我們發(fā)了一個指導(dǎo)意見，這項工作從我們司角度，已經(jīng)成為工作重點。會計信息化與內(nèi)部控 制信息化還是有一點區(qū)別，這一方面從我們內(nèi)控角度，我們單獨有一個信息系統(tǒng)這方面的指 引，我相信這個會內(nèi)部控制好，要做得好，對大多數(shù)企

11、業(yè)來說很重要的。隨著科技發(fā)展水平越來越先進，所以信息化一定要跟內(nèi)容控制有機融合起來。信息系統(tǒng)我個人理解不僅是本身需要控制，最主要是在內(nèi)容控制和風(fēng)險管理中，能發(fā)揮很大的作用，提高工作效率，能夠節(jié) 約很多成本。第五部分，我匯報一下企業(yè)如何實施內(nèi)容控制規(guī)范。我們知道原來定今年 7月1日上市公司開始實施，考慮到因為我們一系列的具體的應(yīng)用目前還沒有發(fā)布，加上我們審計指引，發(fā)布以后還要有一段時間消化吸收還要有一個過程，由于金融危機影響，我們調(diào)研一些企業(yè)他們關(guān)注點說法不一樣， 有的說我們現(xiàn)在經(jīng)濟不景氣，我們練內(nèi)功吧，有的關(guān)注不是這個關(guān)注經(jīng)濟增長率，所以經(jīng)過部里面領(lǐng)導(dǎo)多年的慎重研究，目前我們調(diào)整到2010年1

12、月1日，原來是在境外上市公司實施，考慮到情況其他上市公司、其他企業(yè)也執(zhí)行。這套體系下來已經(jīng)做了調(diào)研實施成本是非常大，實施難度還是有一定難度的，目前需要財力，人力資源，所以我們想這個中國在境外上市有 4個國家。實施原定 7月1日實施，有一個自查報告，2010年12月31日，我們還有一年半的時間，我們的有一些企業(yè)有完善的標(biāo)準(zhǔn)、完善的制度體系， 我們宣傳和應(yīng)用。下半年我們就做一個宣傳和培訓(xùn)工作，我們目前正在緊鑼密鼓的籌備當(dāng)中。目前我們跟蹤一些大的企業(yè)看看他們的實施效果。企業(yè)在貫徹實施內(nèi)部控制規(guī)范制度，我個人理解應(yīng)該從下面 6個方面。第一個方面就是要強化宣傳培訓(xùn)，提高內(nèi)部的認(rèn)識。不管7月1日執(zhí)行不執(zhí)行

13、，上市公司總是要執(zhí)行，只是一個時間問題，延續(xù)明年下半年，或者后年總之是要執(zhí)行的，所以工作還要往前做。所以要宣傳培訓(xùn)提高認(rèn)識。第二點就是要健全內(nèi)控機構(gòu)，提供組織保障。不少企業(yè)有內(nèi)控部、有風(fēng)險部, 有的是單獨設(shè)立了內(nèi)控部門，有的是放在財政部下面，有內(nèi)控部。形式不一樣，但是我們從基本規(guī)范角度要求，要設(shè)立機構(gòu)配備人員。 第三點要循序漸進，穩(wěn)步實施，不是哪一個部門， 不是我們財務(wù)部一下子的事，是需要多個部門配合。對于企業(yè)因為差別很大，差別很多，千 差萬別基礎(chǔ)也不一樣，建議分步驟、分層次的進行。選擇境外上市公司執(zhí)行，考慮境外上市公司資本市場是適合公眾利益， 執(zhí)行效果好壞事關(guān)資本市場的穩(wěn)定，但是上市公司基礎(chǔ)

14、較好，人員素質(zhì)較高，本身有完善的內(nèi)部控制的制度體系，同時也有雄厚財力支持，所以選擇境外上市是有扎實的基礎(chǔ)。第五點我們建議注重實施成本，講究實施成本。第六就是強化內(nèi)部控制建設(shè)，增加風(fēng)險防范能力，應(yīng)該進行統(tǒng)一協(xié)調(diào)。最后一點就是要企業(yè)善于借助外部資源，合理利用外腦。企業(yè)在實施過程中內(nèi)部控制標(biāo)準(zhǔn)體系過程中，讓人感覺到這方面人才，智力資源的局限于可以借助外部咨詢機構(gòu)，中介機構(gòu)， 幫助你設(shè)計，避免少走彎路。同時讓咨詢機構(gòu)培訓(xùn)自己的人才，這樣提高企業(yè)綜合管理水平。我要匯報簡單給大家匯報一下的是我們財政部牽頭這項工作的基本思路，不對之處請大家指正謝謝大家。主持人：非常感謝胡處長的發(fā)言，下面我們有請來自IDS

15、Scheer咨詢經(jīng)理闞相元先生發(fā)言。闞相元：各位領(lǐng)導(dǎo)，各位來賓，大家早上好。我代表Scheer公司，與大家分享一下我們內(nèi)控風(fēng)險管理的認(rèn)識和經(jīng)驗。在正式演講前我們 Scheer公司是德國著名管理信息學(xué)教授在1999年建立的，進入中國是2004年，目前公司在北京上海，還有深圳，有三個辦公室，在中國主要是提供兩個方面大的分別服務(wù)一個是 SAP實施和核心ERP系統(tǒng)咨詢服務(wù)。第二服務(wù)我們公司業(yè)務(wù)流程管理系統(tǒng) 核心包括風(fēng)險和內(nèi)控建設(shè)，進入中國時間雖然很短但是我們在中國市場獲得很多客戶，包括一些跨國公司。今天的演講分三個方面去介紹， 首先，跟大家分享我們看到國內(nèi)管理的企業(yè)在整個內(nèi)控與風(fēng) 險管理建設(shè)方面遇到一

16、些挑戰(zhàn)和困惑。 第二，我們看到信息化系統(tǒng)在解決這些困惑和挑戰(zhàn)方 面起到什么樣的作用。第三個方面，我們會用一個具體的案例介紹一下兩個方面。我們現(xiàn)在企業(yè)面臨很多的要求，要求我們企業(yè)加強內(nèi)控風(fēng)險管理，我們分析了 一下，這些要求不外乎是從四個角度出發(fā)，比如說國資委的中央企業(yè)全面風(fēng)險管理指引，從是保護股東權(quán)益角度出發(fā)，還有保護公眾權(quán)益出發(fā)的， 還有一個是專業(yè)的行業(yè)部門， 為了保障行業(yè)穩(wěn) 定發(fā)展，尤其是金融行業(yè)，比較明確是我們有銀行的一些管理辦法。還有保險業(yè)， 還有政府 部門維護整個市場經(jīng)濟經(jīng)濟角度出臺一些要求。比如說財政部內(nèi)部控制規(guī)范，這些核心思想是結(jié)合本企業(yè)自身特點，理體系，實際上和我們在很很早之前做

17、的ISO的應(yīng)用是一樣的道理,要求建立企業(yè)自身特點的管理體系， 我們有很多客戶交流， 上市公司交流大家會遇到一些困難， 我們遵循上交所規(guī)范， 企業(yè)風(fēng)險管理的要求。我們怎么保證一套體系滿足這些要求, 體系，我們企業(yè)肯定是不堪重負(fù)。尤其是一些基本參考框架建管無外乎我們要參照基本 些國有大中型企業(yè)，和和財政部規(guī)范，還有國資委中央我們要分門別類地架構(gòu)我們的我們仔細(xì)分析了一下及我們以財政部和國資委兩個法律法規(guī)要求看，他們是不矛盾、不沖突的。他們的核心思想是一樣的，比如說我們財政部內(nèi)部控制基本規(guī)范，提高我們內(nèi)部控制體系核心要素分為五個部分，我們國資委前面風(fēng)險管理執(zhí)行里面也提到很多條，但是他們明顯有一個明確的

18、供應(yīng)關(guān)系， 我們認(rèn)為我們結(jié)合一些國內(nèi)外的案例，企業(yè)的內(nèi)控與前面風(fēng)險管理指引，有不同政策要求，但是我們都何以分成三個層面理解，首先一個層面我們要結(jié)合我企業(yè)特點，識別出我們的風(fēng)險或者是控制點，設(shè)立我們相應(yīng)對的控制措施，是我們整個體系設(shè)立層面。第二，我們要把我設(shè)立措施應(yīng)急方案在企業(yè)內(nèi)部推廣也是一個控制實施過程， 第三我們保證體系健康發(fā)展，做工作對體系運行設(shè)計和工作實施情況，進行監(jiān)督，對不足之處改進，確保我們整個體系設(shè)計是合理的，執(zhí)行是到位的，這樣一個體系。根據(jù)我們對不同客戶的交流按，發(fā)現(xiàn)大家面臨一些一樣的困惑，所有管理政策要求核心要求是基本是一致的，第一就是要設(shè)計符合企業(yè)內(nèi)部業(yè)務(wù)特點的管理體系，并且

19、這個管理體系要能夠根據(jù)公司業(yè)務(wù)，比如說組織架構(gòu)調(diào)整進行及時調(diào)整。第二就是我們要把體系形成文件， 作為我們執(zhí)行和審計的依據(jù)，作為監(jiān)督改變的依據(jù)。這樣我們看到整個企業(yè)面臨兩個方面的 挑戰(zhàn)，第一我們體系改革的中心、編制審核很難跟得上業(yè)務(wù)變化，組織是在不斷調(diào)整， 業(yè)務(wù)流程是不斷變化的，信息系統(tǒng)建設(shè)是逐步推進，每次做這種變革需要我們重新審計這些文件。 第二就是我們體系文件難以根據(jù)外部環(huán)境變化進行及時調(diào)整。在控制實施方面，所以體系文件我們看到有兩個要求，一個是根據(jù)設(shè)計的方案， 我們體系設(shè)計與執(zhí)行的一致性。第二就是實施過程當(dāng)中你要保留一些可以審計，檢查，這樣一些依據(jù)，比如說控制實施了，要留下相應(yīng)證明文件。這

20、樣我們可以看到有很多企業(yè)面臨兩方面挑戰(zhàn)，第一就是缺乏有效的發(fā)布實施平臺，我們做這個文件怎么能夠讓我企業(yè)內(nèi)部從高層到基層管理，大家都知道，業(yè)務(wù)當(dāng)中執(zhí)行這是一個挑戰(zhàn)。第二就是胡處長提到我們企業(yè)控制點很多，我有的客戶有5千個控制點，如果全部用人工進行控制的時候，控制成本會很高。這是面臨兩個挑戰(zhàn)，在整個體系監(jiān)督和改進方面，有兩個核心管理要點，我們要對體系設(shè)計合理性，實施徹底性監(jiān)督并且定期出一些評價。第二我們評價監(jiān)督資料要保留一下，可以供外部或者是企業(yè)的監(jiān)督點所使用。這樣我們可以看到企業(yè)里面有兩個方面要求，第一就是我們體系監(jiān)督本身工作量很大，協(xié)調(diào)的難度也很高，這樣導(dǎo)致我們合規(guī)的成本是很高的，第二就是我們

21、需要和一些企業(yè)定期每季度，每年度要做監(jiān)督測試的工作，這些工作資料實際上對我們整個體系持續(xù)優(yōu)化是很重要。但是我們很多企業(yè)做完以后， 發(fā)現(xiàn)資料量太大，我將來不會再利用， 達(dá)不到我們持續(xù)優(yōu)化的 目的。上面這些挑戰(zhàn)直接導(dǎo)致后果就是四個， 一個首先合規(guī)成本很高，我們看到很多企業(yè)最早國內(nèi) 企業(yè)是遵循美國的薩班斯法案，動員內(nèi)部很多力量，才能完成合規(guī)工作。第二，很多企業(yè)抱怨，我是把風(fēng)險控制住了，但是我們業(yè)務(wù)效率降下來，業(yè)務(wù)要不斷識別風(fēng)險，滿足內(nèi)控部門要求。第三導(dǎo)致的后果是我們很難持續(xù)地合規(guī)，今年可能通過，明年能不能通過還是一個未知數(shù)。第四是企業(yè)很難滿足不斷增加的內(nèi)部的合規(guī)要求，我們國內(nèi)上市公司面臨這個困難很明

22、顯，最早是滿足薩班斯法案，國內(nèi)又提出，國資委又提出要求，最近在財政部也 提出要求，企業(yè)怎么滿足不同需求。這個我們認(rèn)為可以借鑒向國外上市的公司，用薩班斯法案上市的經(jīng)驗，可以分五個階段。第一個階段是企業(yè)如何去控制規(guī)范，企業(yè)具體要求是什么，第二就是我要建立業(yè)務(wù)體系，第三就是我們要內(nèi)部體系進行評價，第四個階段我們企業(yè)面臨挑戰(zhàn)就出來了，企業(yè)尋求信息化的手段，首先想到信息化手段我們要把我的內(nèi)控測試， 監(jiān)督工作流信息化，我們要把整個體系文件信息化管理，第五階段我們更高層面規(guī)范我把業(yè)務(wù)標(biāo)準(zhǔn)化，很多跨國公司很多相同業(yè)務(wù)存在，他們風(fēng)險是類似，也是可借鑒的。如果不存在業(yè)務(wù)單元，業(yè)務(wù)列成標(biāo)準(zhǔn)化，我風(fēng)險的數(shù)量會大大降低

23、，這是流程標(biāo)準(zhǔn)化。 最后就是他會有一些信息化的手段實現(xiàn)我們業(yè)務(wù)和我們內(nèi)控有機融合的目的。這是我們所面臨些挑戰(zhàn)與啟 示，下面給大家介紹一下我們在內(nèi)控和風(fēng)險管理的一些解決方案和想法。我們認(rèn)為國資委前面發(fā)的指引也好，或者是財政部規(guī)范也好，明確提出企業(yè)在內(nèi)控風(fēng)險管理過程當(dāng)中充分發(fā)揮信息系統(tǒng)作用，也結(jié)合我們在國外的一些經(jīng)驗，我們現(xiàn)在解決模塊就是6大模塊，基本涵蓋我們整個內(nèi)控和風(fēng)險管理過程。第一就是我們首先一個建模模塊，可以把企業(yè)內(nèi)部業(yè)務(wù)和整個風(fēng)險和內(nèi)控風(fēng)險體系文件進行管理。第二是風(fēng)險事件的管理模塊， 我們怎么建立風(fēng)險事件部。第三是風(fēng)險評估模塊，我們把風(fēng)險評估任務(wù)分到各個管理部門把所有 風(fēng)險進行排序。在第

24、二層面控制實施模塊有兩個，一個是幫助發(fā)布實施模塊， 我們可以給企業(yè)業(yè)務(wù)流程，讓業(yè)務(wù)流程管理人員共同使用。第二是監(jiān)控及預(yù)警的模塊。我們一些業(yè)務(wù)的指標(biāo)，資金流動性等等這些指標(biāo)， 第三層面就是我們有一個監(jiān)督改進模塊，可以使整個體系監(jiān)督測試工作機械化。我們在跟企業(yè)溝通過程中有一些問題，我們體系文件問題是很多， 我們用大量文檔，我們看到表述了企業(yè)業(yè)務(wù)實際情況的文檔，還有一些風(fēng)險矩陣，包括一些制度組織，發(fā)信這些文件是分散，在業(yè)務(wù)上是有聯(lián)系， 但是在管理手段是沒有聯(lián)系， 我們怎么做風(fēng)險識別呢？我們系 統(tǒng)有一個基于一個數(shù)據(jù)庫把我們整個企業(yè)業(yè)務(wù)現(xiàn)狀和風(fēng)險控制集成化進行對象化的建模。我們左側(cè)看到了一個流程，我們發(fā)

25、現(xiàn)有一個風(fēng)險點， 這個風(fēng)險點有一些控制措施， 基于控制措施的執(zhí)行情況，由于會有一個監(jiān)督測試措施，針對這些測試我們制訂一些人員，在系統(tǒng)里面把有機關(guān)聯(lián)起來，進入一個建模?；谖覀冃畔⒒Ｊ娇梢赃M行快速分析，我可以知道我們企業(yè)業(yè)務(wù)存在哪些風(fēng)險，我知道哪些管理這些風(fēng)險，哪些風(fēng)險是在哪些流程上這樣我可以很 容易抓住一些風(fēng)險的重點，并且我們業(yè)務(wù)管理軟件有一個很好作用我能夠把企業(yè)里面對于同 一個業(yè)務(wù)，從不同管理體系的要求， 都在這業(yè)務(wù)流程表述出來，比如說從質(zhì)量管理方面的要求，安全管理信息的要求，內(nèi)控管理信息的要求。 在整個表當(dāng)中我們可以看到三套流程框架， 我在具體執(zhí)行業(yè)務(wù)過程中我到底要執(zhí)行哪套業(yè)務(wù)，執(zhí)行哪些

26、要求，我們這個系統(tǒng)是可以把所有管理體系的要求落實到一個業(yè)務(wù)流程體系，這是同一個業(yè)務(wù)流程進行集中化的管理。在我們系統(tǒng)可以根據(jù)不同管理體系要求，我們質(zhì)量管理要求， 內(nèi)控管理要求，再出具不同的業(yè)務(wù)報表。我們的系統(tǒng)最重要一個點我們可以搭建一個業(yè)務(wù)部門和風(fēng)險管理共同使用平臺， 首先我們業(yè) 務(wù)人員和風(fēng)險管理人員可以進行業(yè)務(wù)的建模和風(fēng)險管理建模， 形成一個企業(yè)管理知識庫， 管 理人員可以看我們風(fēng)險點，業(yè)務(wù)人員可以看業(yè)務(wù)，并且可以滿足跨地域的支持。綜合來講，在這一塊特點主要有兩個，第一搭建業(yè)務(wù)人員和風(fēng)險管理人員共同使用平臺，第二我們可以提高業(yè)務(wù)流程風(fēng)險管理制度的效果，前面講到可以減少工作量。第二跟大家介紹一下

27、我們風(fēng)險評估的模塊，是一個風(fēng)險評估軟件，在我們風(fēng)險評估內(nèi)部發(fā)起到外心，到風(fēng)險評價結(jié)果分析，前后我們都可以在系統(tǒng)里面完成。最后系統(tǒng)要給企業(yè)管理層幾個報表，比如說定量分析的熱圖， 定性分析的熱圖。并且我們可以根據(jù)我們多次評估結(jié)果 掌握不同風(fēng)險變化趨勢。這個風(fēng)險評估解決方案特點，主要有兩個，第一我們通過流程信息 化，我們把風(fēng)險評估工作，信息化以后，固化以后可以建立一個持續(xù)風(fēng)險評估機制，比如說對某一個風(fēng)險要半年評估一次，到期的時候，系統(tǒng)會自動發(fā)起評估任務(wù)，可以確保風(fēng)險評估任務(wù)的工作，第二我們基于同一個平臺進行風(fēng)險評估可以保障所有風(fēng)險在同一個平臺實現(xiàn)， 可以掌握所有的風(fēng)險的情況。第三個模塊是我們風(fēng)險損失

28、事件管理，可以通過一個工作流建立一個數(shù)據(jù)庫，給我們提供一些風(fēng)險借鑒的案例，比如說我們看到一個信譽風(fēng)險有幾次，原因是什么，這樣對我們風(fēng)險識別有一些啟示作用。它的特點有兩個，一個是通過信息化建立一種固化持續(xù)化的風(fēng)險機制，第二建立公司統(tǒng)一可以對風(fēng)險應(yīng)對提供一些數(shù)據(jù)化的支持。 第四是我們監(jiān)控和預(yù)警的模塊，這個模塊最大的特點是我們可以從企業(yè)業(yè)務(wù)系統(tǒng)里面提取業(yè) 務(wù)數(shù)據(jù)，進行指標(biāo)的監(jiān)控基于規(guī)則的事件識別。我們系統(tǒng)最大的特點數(shù)據(jù)功能是非常強大，可以跟現(xiàn)在所有的業(yè)務(wù)系統(tǒng)和數(shù)據(jù)庫可以進行數(shù)據(jù)的收集和對接，我們可以把企業(yè)很多關(guān)心情況展開的地方，可以預(yù)警展開指標(biāo)的情況，從而實現(xiàn)風(fēng)險之前的管理和運營。我們設(shè)計了一些業(yè)務(wù)

29、規(guī)則，看系統(tǒng)里面我們業(yè)務(wù)操作過程中 有沒有按照這些規(guī)則做，實現(xiàn)過程控制，還可以提供一些選擇功能。比如說我們能夠看我們 的職責(zé)，在各種信息系統(tǒng)里面落實情況，檢查全面配制的正確性，合理性。最后是我們測試和評價模塊， 這個模塊主要是通過測試和實現(xiàn)對我們體系監(jiān)督評價，這樣我們的軟件也是一個工作流軟件， 涵蓋了從測試任務(wù)的發(fā)起到測試工作的進入， 到統(tǒng)計分析到 改進工作跟蹤，全過程涵蓋。它的最大特點能夠和我們建模模塊做最初體系軟件，進行數(shù)據(jù)同步，保證我們在監(jiān)督測試的時候，我們看到和我們體系設(shè)計的初衷是一直的。最后它這個系統(tǒng)有一個很大的統(tǒng)計分析功能，出一些多緯度測試結(jié)果，內(nèi)控和風(fēng)險管理績效考核，不同業(yè)務(wù)哪塊

30、業(yè)務(wù)做不好，哪一塊風(fēng)險管理不好。我們可以從不同角度，或者和哪些科目相關(guān)的風(fēng)險控制點到位不到位。我們通過流程信息化建立個測試及整改的工作機制，第二我們系統(tǒng)和我們體系管理系統(tǒng)進行數(shù)據(jù)接口，保證在測試過程中使用所有的文檔都是集成的，不用工作人員手工做很多文件，第三簡化我們大量工作，提高我們的工作質(zhì)量。下面我們簡單介紹一下我們在德國做的案例，這是一家在國外上市的大型國有企業(yè)，最初就是做內(nèi)控項目是從薩班斯法案開始，在遵循薩班斯法案過程中他發(fā)現(xiàn)有幾個方面挑戰(zhàn)，第一是業(yè)務(wù)流程管理水平很低，增加了內(nèi)控管理的難度，影響內(nèi)控管理工作的落實。缺乏一套可以全面表述工作情況的文件，不能不全面的表述出工作業(yè)務(wù)的實際情況，

31、要識別風(fēng)險加以控制這是一個很大的挑戰(zhàn)。第二是他的組織人員非常龐大，他體系管理難度是很大。第三挑戰(zhàn)他的內(nèi)控監(jiān)督測試的組織，工作難度很大，測試成本很高，用的幾百人的人力進行一年工作，才能做完，首先有很多的工作細(xì)節(jié)導(dǎo)致很多測試成本不是很高。根據(jù)這樣的特點，我設(shè)計了基于風(fēng)險管理的系統(tǒng)，首先把我們業(yè)務(wù)和體系文件管理起來，第二做人力和測試模塊。第三就是我們要把做完的業(yè)務(wù)和體系文件發(fā)布出來，同時這個系統(tǒng)還能夠支持我基于同一套流程， 可以滿足我內(nèi)控也可以滿足我 ER際施的要求，還有一些指標(biāo) 的控制。做的第一個工作首先是我們把業(yè)務(wù)進行全面梳理，從橫向到縱向可以保證我業(yè)務(wù)真實的業(yè)務(wù)狀況。基于這情況我們看每一個業(yè)務(wù)

32、流程里面有那些風(fēng)險點，業(yè)務(wù)目標(biāo)是什么， 有哪些不確定的因素， 針對風(fēng)險點我們有哪些是控制措施，風(fēng)險管理，控制執(zhí)行我們怎么測試進行一個統(tǒng)一規(guī)則進行了一個描述，以后我們可以發(fā)布出來企業(yè)管理的內(nèi)容庫，這樣我的業(yè)務(wù)人員在維護人員可以看我每一個業(yè)務(wù)要求，風(fēng)險管理人員可以快速看到的風(fēng)險可以到那個里面去。通過前面講的測試的管理和測試的統(tǒng)一分析，極大地節(jié)省了他們的人力與物力。這樣以后我們跟客戶一起總結(jié)，整個做完以后收益是體現(xiàn)三個方面，第一是通過風(fēng)險管理工作，進行業(yè)務(wù)流程標(biāo)準(zhǔn)化，加強企業(yè)規(guī)范化指引，提高業(yè)務(wù)管理水平，這是客戶一個收益。 第二提高內(nèi)控管理的工作效率和質(zhì)量，降低我們合規(guī)化成本，主要是信息化手段降低了

33、工作量提高效率降低了合規(guī)成本。第三方面的收益實現(xiàn)了內(nèi)控管理和業(yè)務(wù)經(jīng)營活動的有機融合， 過去內(nèi)控風(fēng)險管理工作就是風(fēng)險管理部門工作，業(yè)務(wù)部門是對專業(yè)部門去推動的，這樣一個雙方抵觸的情緒。通過這樣一個程序雙方可以落實，把我控制風(fēng)險融合到業(yè)務(wù)當(dāng)中去，實現(xiàn)業(yè)務(wù)管理工作和風(fēng)險控制的有機融合，我們對內(nèi)部監(jiān)督測試過程也是對我們業(yè)務(wù)執(zhí)行力的檢查，也是業(yè)務(wù)執(zhí)行的保障。今天時間有限給大家介紹就到此為止，謝謝大家。主持人：非常感謝闞先生。下面一個討論主題是“中國石化信息化建設(shè)和內(nèi)部控制體系”， 有請中國石油化工股份有限公司信息系統(tǒng)管理部處長姜林。姜林：各位領(lǐng)導(dǎo)，嘉賓上午好。我匯報題目是“中國石化信息化建設(shè)和內(nèi)部控制體

34、系”，匯報的內(nèi)容包括中國石化基本情況，信息化建設(shè)和應(yīng)用情況，信息系統(tǒng)內(nèi)部體系，IT內(nèi)部體系。中國石油化工股份有限公司是由中國石油化工集團公司，國家中華人民共和國公司法多家發(fā)行方式，2000年2月25日設(shè)立股份制公司，分別在香港、紐約、倫敦，三地交易所成功發(fā) 行上市。2001年7月16日上海證券交易所成功發(fā)行了28億A股，截至2008年年底中國石化總股本857億股。中國石化是中國最大能源化工公司之一，主要從事石油與天然氣開采開發(fā)。管道 運輸銷售，石油煉制、化工、化纖、化肥等等產(chǎn)品輸送。石油、天然氣、石油產(chǎn)品、化工與 其他化工產(chǎn)品進出口代理進出口業(yè)務(wù)。技術(shù)信息研究開發(fā)應(yīng)用，中國石化是中國最大的石油

35、產(chǎn)品，包括汽油、柴油等主要石油產(chǎn)品，也是中國第二大原油生產(chǎn)商。中國石化建立了規(guī)范的治理機構(gòu)，實行了集中決策風(fēng)險管理和專業(yè)化經(jīng)營事業(yè)部，事業(yè)部管理體制，中國石化有全股子公司，包括煉油、化工產(chǎn)品銷售等企業(yè)。主要是集中在中國最發(fā)達(dá)的東部和南部的地區(qū)。中國石化更加注重科學(xué)創(chuàng)新、管理創(chuàng)新，努力把石化建設(shè)成為能源化工公司。中國石化最大股東中華石油化工集團公司是國家在原中國石化公司總基礎(chǔ)之上，1998年成立了特大型石油石化集團，美國財富雜志 2008年世界500強中國石化名列第16位。第二方面是信息化建設(shè)了應(yīng)用情況，2000年以來，中國石化以 ERW主線信息化建設(shè)獲得快速發(fā)展，到2008年底ERP在81家企

36、業(yè)，以ERP為帶動電子商務(wù)系統(tǒng)、 供應(yīng)鏈系統(tǒng)、生產(chǎn) 指揮系統(tǒng)、集中管理系統(tǒng)，一些先進控制生產(chǎn)集成系統(tǒng)，等多種使用系統(tǒng)都得到了廣泛的應(yīng) 用。目前信息技術(shù)應(yīng)用解決中國石化生產(chǎn)管理多個領(lǐng)域，中國石化ER叫始于20000年，在4企業(yè)成功試點多個展開，包括油田，煉油化工銷售，企業(yè)全部覆蓋，企業(yè)從業(yè)大規(guī)模ERP建設(shè)，2007年底基本完成，ERP系統(tǒng)推進資金改革提高管理水平，規(guī)范信息管理行為，強化 控制方面效果明顯。中國石化通過采購電子商務(wù)系統(tǒng)從2008年8月投入至今，網(wǎng)上采購結(jié)果 88個單位，5千個物資擴大到目前 50多個單位，76萬多個效果，90%勺物資實現(xiàn)了網(wǎng)上采購，到 09年3月網(wǎng) 上采購資金突破6

37、千億，集約采購200多億。對供應(yīng)鏈系統(tǒng)經(jīng)過幾年建設(shè)，提高原油采購， 運輸、加工，供應(yīng)鏈管理系為煉油企業(yè)講穩(wěn)增效起來發(fā)揮了重要的作用。人員統(tǒng)一調(diào)配，用 統(tǒng)一安排格局及實現(xiàn)技術(shù)指標(biāo)分割，數(shù)據(jù)采集，監(jiān)控分析，有效地降低用戶費用和財務(wù)費用。目前總部生產(chǎn)系統(tǒng)以新大樓統(tǒng)一運行，實現(xiàn)調(diào)度跟蹤，系統(tǒng)各項部門功能得到有效應(yīng)用，總部集中了平臺，用戶總體不斷擴大。目前已建成IC卡聯(lián)網(wǎng)加油站17000多戶，發(fā)卡網(wǎng)點5000 多，持卡消費33猊上。增產(chǎn)集成系統(tǒng)用三年左右時間提高到2到4個小時完成，為企業(yè)降低能耗提升精細(xì)化管理水平有很大的改善。其他應(yīng)用系統(tǒng)，全面運算系統(tǒng)等油田企業(yè)煉化企業(yè)、教授企業(yè)、科研工程單位信息化建設(shè)

38、也得到了深刻發(fā)展。第三是信息系統(tǒng)的內(nèi)控體系，我們03年成立了內(nèi)部指導(dǎo)小組，成立專門辦公室，組織協(xié)調(diào)內(nèi)控建設(shè)和實施工作。 應(yīng)對不同市場，借鑒美國經(jīng)驗提出內(nèi)部控制框架，公司經(jīng)營財務(wù)有大關(guān)鍵劃界，制訂了內(nèi)部手冊，經(jīng)過測試于 2005年1月1日起，在公司正式實施內(nèi)控制度， 經(jīng)過四年多實踐，內(nèi)部范圍控制逐漸擴大， 覆蓋了中國石化所有活動內(nèi)控體系。中國石化內(nèi)部控制手冊2009年版有18大類，配套相關(guān)總部管理制度 244個，各分公司規(guī)定了工作流程 結(jié)合本單位。為了保障內(nèi)控管理有效實施，辦法內(nèi)部控制辦法，在總部分公司兩個層面使用。中國石化內(nèi)部控制手冊 2009版本有17個流程，基本全部實現(xiàn)了信息化，另外5個業(yè)

39、務(wù)流程為IT部門流程，其他業(yè)流程暫時沒有實施信息化，或者與信息化無關(guān)。第四個問題向大家匯報一下中國石化IT控制體系。中國石化IT控制體系包括IT內(nèi)部業(yè)務(wù)流程，IT 一般性控制，和IT應(yīng)用控制。2003年建立了信息系統(tǒng)管理業(yè)務(wù)流程，2005年啟動IT控制工作，2006年建立了 IT 一般性控制，2007年結(jié)合ERP系統(tǒng)，應(yīng)用系統(tǒng)和基礎(chǔ)設(shè) 施IT 一般性控制流程。2008年IT控制體系進一步完善，并將重點專項IT應(yīng)用控制，2009年隨著深化ERP應(yīng)用進一步深化IT應(yīng)用控制。IT 一般性控制包括企業(yè)整體層面IT控制，和企業(yè)活動層面IT控制，近期系統(tǒng)管理業(yè)務(wù)流程 IT體現(xiàn)包括與管理體系， 信息化教育培

40、訓(xùn) 及憑險評估，信息安全管理重要控制內(nèi)容。有關(guān)活動層面IT要求，通過ERP系統(tǒng)控制流程等體現(xiàn)，ERP系推IT 一般性流程，包括和數(shù)據(jù)訪問，程序變更等等，業(yè)務(wù)流程IT 一般性控制流程，主要財務(wù)報告是生成相關(guān)，如ERP財務(wù)報告系統(tǒng)，加油卡系統(tǒng)流程包括程序變更，訪問方面內(nèi)容。結(jié)合網(wǎng)絡(luò)服務(wù)器，機房設(shè)計。流程包括機房管理，故障處理方面內(nèi)容。中國石化IT 一般性控制主要和信息系統(tǒng)日常管理結(jié)合，經(jīng)過幾年扎扎實實的工作，對外部 省市認(rèn)為中國石化IT控制到位，保障信息系統(tǒng)安全，穩(wěn)定系統(tǒng)方面發(fā)揮重要作用，中國石 化IT控制主要有ERP系統(tǒng)應(yīng)用結(jié)合，ERP系推是中國石化主要系統(tǒng)，比如說計劃控制、一 般控制、價格控制

41、等等，自動平衡資源及實現(xiàn)資金流，物流等等。通過發(fā)揮系統(tǒng)集成，滿足 用戶管理要求，實現(xiàn)IT控制目標(biāo)。中國石化內(nèi)部控制手冊設(shè)置50多個流程，以27個業(yè)務(wù)流程與ERP有關(guān)，總體實現(xiàn)配制控制，輸出輸入控制，包括時期控制、操作規(guī)范控制，日常操作，垃圾數(shù)據(jù)操作。用戶檢驗包括組 織值，關(guān)鍵詞代碼，以及系統(tǒng)機構(gòu)控制。ERP全面實施落實IT控制提供標(biāo)準(zhǔn)平臺，有利實現(xiàn)IT控制目標(biāo)，提供了有效的保證，實現(xiàn)提供有效保證，在深化ERP系推同時進一步加強的IT控制。主持人：非常感謝姜處長。下面有請網(wǎng)康科技服務(wù)部總監(jiān)陸續(xù)周先生。陸續(xù)周：很榮幸有這個機會，跟各位專家交流一下內(nèi)控體系，我本身有在一個大企業(yè)做過 10年的IT系統(tǒng)

42、，而且比較早的實現(xiàn)了有關(guān)的業(yè)務(wù)內(nèi)控，我的交流分五個部分，引言，把內(nèi) 控條例讀薄。內(nèi)控剛才也講了是一個全員的工作， 尤其是核心團隊共同實施，因為借助信息化實施，所以 一般CIO比較痛苦，我該怎么辦。其實整個技術(shù)層面內(nèi)控里面是一個支撐， 如果說我不能一 下子全做到，有一個辦法分布落實，這個時候可以看到把內(nèi)控條例讀薄對我們有很大幫助。一個經(jīng)濟學(xué)的泰斗跟我說過，書里面東西比電視好，書里面東西可以讓人聰明，電視可以讓人變傻，因為書是可以越讀越薄，把內(nèi)控條例讀薄對我們有很大幫助。在這個內(nèi)控條例里面我們最主要是宣傳、 培訓(xùn)，讓每一個落實人心，無論是美國的安然，還是經(jīng)濟危機美國企業(yè) 高管，依舊發(fā)高額年薪，往往

43、是因為人的不當(dāng)操作導(dǎo)致，內(nèi)控精髓是規(guī)范人的行為，讓規(guī)范深入人心，同時讓人難以有意、無意違反這個條例。所以我的標(biāo)題就是“內(nèi)控以人為本”。我覺得要想把內(nèi)控讀薄有很多范圍，畫了四個框。首先內(nèi)控是一把手工程，從董事會，最高層要重視。第二點是整個核心團隊，共同參與設(shè)計不要指望就是 IT部門做內(nèi)容不可能。 但是IT部門的這種支撐、架構(gòu)是必不可少，我們內(nèi)控所有流程都在支撐系統(tǒng)中，人的大腦效 率是很低，我們一定確保內(nèi)控條例，確保我們規(guī)范真正深入人心。往往人懂了不抵觸，就會 知道這樣的好處。我以前的公司老板跟員工說我為什么要做好控制，因為只有我們控制住我們才可以活著，如果公司不好，員工得不好，所以公司600人一

44、樣可以進行很好了內(nèi)控體系， 我們有了框架以后我們怎么把內(nèi)控體系讀薄，構(gòu)成一個企業(yè)無非是兩種，一個是活生生的人，還有一個是企業(yè)資產(chǎn)，同時我們業(yè)務(wù)運作有業(yè)務(wù)流程和財務(wù)流程，是我們要做內(nèi)控體系要關(guān)注方面，把我們這些梳理清楚以后， 有了這些關(guān)注點以后， 我們怎么對每一個點進行內(nèi)控規(guī) 范設(shè)計，在內(nèi)控條例章節(jié)里面可以看到，第一章第六節(jié)，權(quán)責(zé)分配、企業(yè)愿景、人力獎懲、 可審計、反舞弊。每一個設(shè)計流程關(guān)鍵點切分，每個點都很重要，但是每一個點流程應(yīng)該怎么做的，第一我們處理任何一個流程， 任何關(guān)注點的時候我們要遵循第二章到五節(jié)第一風(fēng)險 分析，控制措施，信息溝通，監(jiān)督檢查，一點可以分成20個操作步驟，不管有多少點我

45、要抓住關(guān)鍵操作過程就一定可以做下去，我本來想畫一個四維圖，本人美工有限畫不出來。我覺得還有一個很大的緯度就是我們網(wǎng)絡(luò)，內(nèi)部和外部網(wǎng)絡(luò)，有這么多點我已經(jīng)知道了， 那么我該怎么做，今天有做窗效應(yīng)。如果我想做窗等到我們所有的窗戶一次性采購?fù)?，這樣的話讓別人認(rèn)為窗戶破是應(yīng)該的，不破窗戶我要打破，這個是一個很知名的效應(yīng)叫“破窗效 應(yīng)”。這樣的話用最快的效益，把能夠修復(fù)好盡快修好，給人一個意識我不能再打破其他窗 戶了。這種思路一定要灌輸，內(nèi)控條例里面有沒有可以盡快修復(fù)破窗呢。這是整個架構(gòu)內(nèi)部外部網(wǎng)絡(luò)，內(nèi)部網(wǎng)絡(luò)關(guān)注于每個企業(yè)的個性，比如說金融、石化、科研、政府內(nèi)網(wǎng)一定不一樣。一個是設(shè)備制造商內(nèi)網(wǎng)一定不一樣，

46、它的流程很復(fù)雜，外部網(wǎng)絡(luò)比如說我訪問互聯(lián)網(wǎng)、訪問郵件、訪問外部應(yīng)用是有通用的，是一種普適性很強的，不妨我們從最容易下手的地方下手，把破窗破除掉。這是我的心得，內(nèi)控先找軟柿子捏，在這種外網(wǎng)互聯(lián)網(wǎng)環(huán)境里面我們可以看到，它實際上貫徹了一個企業(yè)企業(yè)文化，企業(yè)愿景，就是人員基礎(chǔ)，我們利用互聯(lián)網(wǎng)知道應(yīng)該做什么，不應(yīng)該做什么，這個是通用而不準(zhǔn)則，因為是一個基礎(chǔ)所以很重要，因為通用是一個軟柿子，很 成熟不需要我們太多考慮我們業(yè)務(wù)的關(guān)注點，在外界很多大量已經(jīng)成熟可用的方法，來破除破窗。同時互聯(lián)網(wǎng)這種行為是人的第二人生，可以反映出一個企業(yè)人的文化、思路、想法。因為我們曾經(jīng)給客戶做咨詢的時候，我們很輕松發(fā)現(xiàn)哪些員工

47、想跳槽，是一個人的思路直接體現(xiàn)，所以當(dāng)我們了解人的思路以后，了解了關(guān)鍵點之后， 我們想讓我們其他規(guī)范深入人心會變得很容易。所以說互聯(lián)網(wǎng)行為的內(nèi)控實際上是一個已經(jīng)成熟，而且成本效應(yīng)更高的軟柿子，我們不妨從這里下手。內(nèi)控為兩種，那么互聯(lián)網(wǎng)內(nèi)控，問題到底在哪里，我們現(xiàn)有體系是不是已經(jīng)把內(nèi)控實現(xiàn)了。我們來看一下，根據(jù)我們服務(wù)過很多客戶的角度看，第一現(xiàn)有狀況很普遍，內(nèi)網(wǎng)IT沒有認(rèn)證，沒有專業(yè)互聯(lián)網(wǎng)接入的安全體系，會導(dǎo)致我們內(nèi)部的人員根本不知道誰做的，我相信我們越大的網(wǎng)絡(luò)越會采用動態(tài)的成本，這種情況我們怎么知道誰做了什么事，我們不能關(guān)注到人何談內(nèi)容，沒有權(quán)限、沒有規(guī)范。第二，我們互聯(lián)網(wǎng)上可以看到無論是HT

48、TP網(wǎng)頁下載，還是最流行的P2P下載，還是IM的收取，都是面臨企業(yè)挑戰(zhàn)希望員工不違背的事情，大概 30應(yīng)國家級的網(wǎng)站，我聽到收音機，說北京市青少年每周平均上網(wǎng)時間是37.5小時，如果按8小時工作日，將近5天，而且其中有一半的學(xué)生訪問過色情網(wǎng)站。實際上可以看到這里面網(wǎng)頁的問題很大，同時像 P2P基本上沒有太多用來傳數(shù)據(jù)，基本上是娛樂。像IM、UML都是我們想控制的， 但是卻控制不住。第三點實際上在我們外網(wǎng)業(yè)務(wù)我們?nèi)鄙儆?效出口，我不知道外面的文字是什么，這時候帶來是本身在金融危機下避免風(fēng)險是最主要的事情，規(guī)避風(fēng)險，那么因為我們無法控制，接入的風(fēng)險就很大。同時我們企業(yè)機密，核心信 息往外發(fā)送是太簡

49、單容易的事情，我印象最深當(dāng)時國內(nèi)兩大運營商，簽署互不侵犯條約， 這個時候我們對數(shù)據(jù)保護來說存在很多的問題。其實我們IT系統(tǒng)最重要是要付出有所得，由于我們局域網(wǎng)帶寬很大，運營商核心網(wǎng)帶寬也很大，我們想讓企業(yè)網(wǎng)能夠匹配這個大小不可 能。第五點最重要的一點，跟企業(yè)文化有關(guān)系，我們在一個專業(yè)的報表里面可以看到，我們員工在互聯(lián)網(wǎng)上，只有 45%是查詢有效資料，其它的是在做與工作無無關(guān)的事情。如果一個 企業(yè)文是讓員工積極向上， 而在某一些工作行為當(dāng)中是積極向下。的確我們想控制，但是為什么控制不之呢，可以看到，安全里面有一個很重要效應(yīng)叫“獨眼鹿效應(yīng)”，這個“獨眼鹿效應(yīng)”我們默認(rèn)的是防外，不防內(nèi)。第二是說很多

50、我們不希望發(fā)生的行為，往往披一個合法的外衣?，F(xiàn)在可以看到現(xiàn)在的我們信息專家，80端口的迅雷，我們有太多協(xié)議。第三我們內(nèi)容細(xì)節(jié)沒有辦法判斷，因為我服務(wù)公司是一個研發(fā)公司，從網(wǎng)絡(luò)傳一個SP是什么我不知道，我只知道是一個文件這種情況我們怎么管理。我們講兩個案例，一個是華為電腦，可以看到 300多帶寬70%以上流量被工作無關(guān)的內(nèi)容占 用。第二是國家核電，自成立以來是一個部級單位。為什么和困惑，我不知道網(wǎng)絡(luò)可以傳輸 B2PIM里面內(nèi)容是什么，但是我想知道里面內(nèi)容是什么，不能讓里面核心的東西出去，這是我們中國企業(yè)困惑的。在國外企業(yè)來說可以看到通用電器，還有摩根大通、環(huán)球電視，這些都很早做了互聯(lián)網(wǎng)控制。有了

51、這些問題我們怎么做，我們服務(wù)客戶我們覺得我們把這個條例讀清楚，互聯(lián)網(wǎng)技術(shù)層面?zhèn)鹘y(tǒng)的有傳輸?shù)?HTT邛等，新興的P2P,等等。在我們內(nèi)控點上結(jié)合我們有哪些，第一主 體健全，我們行為要符合企業(yè)遠(yuǎn)景，我們行為要可審計，要能給 IT成本很大收益，我們行 為能夠讓人力資源部進行相應(yīng)控制，我這是我們在外網(wǎng)、 內(nèi)網(wǎng)的著眼點。管理方法我們在兩年前就提出內(nèi)控風(fēng)險管理， 就是一個典型的干預(yù)， 大家遵循是螺旋式上升原理，我是任務(wù)模式不是功能模式。比如說我們設(shè)備防火墻， 是把功能模式，但是不是任務(wù)模式有效灌輸給我 們客戶以一種方法引導(dǎo)我們，所以我們很早提出的理念就是遵守我們風(fēng)險評估。具體的建議，第一點無論是什么樣的系

52、統(tǒng)，我建議都新用一個路由器放進去。你是雙面的，單面的，還是旁路接入都可以， 把我們互聯(lián)網(wǎng)出口進行這種進行下一步分析。首先建立有效的行為主體識別機制，與組織建構(gòu)真實的相關(guān)可靠的真實的網(wǎng)。這是我們第一步主體健全。第二是我們分析進行相應(yīng)的風(fēng)險分析，我們知道有網(wǎng)站，應(yīng)用，流量問題，為什么搜索習(xí)慣寫在里面，我們曾經(jīng)用一分鐘的時間搜索，就是一個員工做什么，雖然就是幾個字，十幾條,這種搜索習(xí)慣很容易看到企業(yè)的員工的心態(tài)。第二，我們專業(yè)網(wǎng)頁應(yīng)用完善自己監(jiān)督與控制，是內(nèi)控體系第二步，我們是借助全球最大的中文搜索部，對各種各樣外發(fā)信息內(nèi)容，大小， 人員行為識別，對流量通過我們獨有通道來有效控制，可以能夠讓我們安全

53、體系、能夠讓我們互聯(lián)網(wǎng)控制體系達(dá)到有效的控制。第三點是最最重要的，一個我們解決方案決不能是看， 控，一定是可分析、可統(tǒng)計、可查詢。這個是我們內(nèi)控里面很重要，我如果持續(xù)發(fā)現(xiàn)我們網(wǎng) 絡(luò)有新的問題出現(xiàn)，流量有異常，不斷發(fā)現(xiàn)我們有異常，不斷地和我們主管公司高層溝通， 發(fā)布報表可以有效讓這種制度落實到人心，讓大家知道我該怎么做。通過對外網(wǎng)的內(nèi)控體系、 內(nèi)控思路、內(nèi)控方法的灌輸，我相信合法、合規(guī)行為將將一個積極 向上企業(yè)文化提心，信息保密，外發(fā)控制會得到有效，同時資產(chǎn)保護也會得到很大的保護。當(dāng)時華北電網(wǎng)部署網(wǎng)上體系以后，帶寬下降了 150兆，國家核電全網(wǎng)采購了我們的體系，他的所有代發(fā)體系就健全了。這是網(wǎng)康

54、的服務(wù)案例，大家都是全網(wǎng)采購，無論是國家部委，這是最大金融機構(gòu)， 國內(nèi)很大上市公司，還有制造業(yè)、媒體，各個區(qū)域像華北電網(wǎng)等等?？梢钥吹酵ㄟ^部署這些裝置，很 有效的能夠管理企業(yè)。網(wǎng)康公司實際上已經(jīng)持續(xù) 5年為互聯(lián)網(wǎng)提供專業(yè)服務(wù)，我們以每年300魅度提升。我們價值，我們理念是以人為本互聯(lián)網(wǎng)管理思路，以人為本價值呈現(xiàn)我們在第 8層上，我們希望能夠在第8次做到人與技術(shù)完美結(jié)合，服務(wù)于我們中國企業(yè)上好網(wǎng)，用好網(wǎng)謝謝大家。主持人：非常感謝陸先生的精彩發(fā)言。下面我們有請用友公司NC產(chǎn)品架構(gòu)師付建華女士。付建華：各位來賓，上午好，非常榮幸能夠有這次機會我們借助這個平臺，用友公司和我們在座的企業(yè)高管，我們公同探

55、討一下信息化環(huán)境下企業(yè)內(nèi)控的建設(shè)。說到這個話題，在今天和大家交流的時候，除了在后面介紹用友NC系統(tǒng)，之前還要想稍微花一點時間交流一下IT技術(shù)或者說在信息系統(tǒng)環(huán)境下，企業(yè)內(nèi)部控制管理差異和重要性。首先看看IT環(huán)境下企業(yè)內(nèi)部控制體系的建設(shè)，前面我看到來自于不同的企業(yè)嘉賓都提到了。我們說到企業(yè)內(nèi)部控制系統(tǒng)建設(shè)的時候，我們都知道離不開IT的手段和工具，實際上在我們交流這個問題的時候，如果我們是在座企業(yè)的CIO,或者你是企業(yè)將來服務(wù)內(nèi)控工作開展職能部門的負(fù)責(zé)人，我覺得首先要思考一個問題，在目前 IT環(huán)境下，我們這個企業(yè)開展內(nèi) 部體系建設(shè)、健全、保障它有效執(zhí)行，然后進行監(jiān)督和評價的時候。到底和原先在傳統(tǒng)方

56、式 下產(chǎn)生了哪些差異。 在薩班斯法案頒布以前， 沒有一家企業(yè)可以說我們沒有一點內(nèi)控機 制，如果你是中型企業(yè)、大型企業(yè)，企業(yè)制度和相關(guān)文檔這些東西在企業(yè)當(dāng)中都是有，但是法案頒布以后對企業(yè)要求更加體系在幾個方面。第一是內(nèi)控是否完善健全，第二風(fēng)險內(nèi)控是否得到有效執(zhí)行，第三法律要求進行監(jiān)督評價，如果內(nèi)控有漏洞，沒有讓公眾及時了解到， 要承擔(dān)相應(yīng)的法律責(zé)任。在企業(yè)圍繞三個層面開展內(nèi)控管理建設(shè)，執(zhí)行評價的時候，首先你要來思考一下在IT環(huán)境下，或者說信息技術(shù)與信息技術(shù)結(jié)合情況下，企業(yè)內(nèi)控管理如何開展。首先看一下信息技 術(shù)給企業(yè)內(nèi)控管理帶來影響有哪些方面。首先控制原則和方法發(fā)生巨大改變，我們原先說內(nèi)部控制基本

57、原則和方法，我們知道有原則，目前對于企業(yè)也可能要非常關(guān)注信息技術(shù)，IT環(huán)境下控制原則變化，信息技術(shù)成為企業(yè)內(nèi)部管理很重要的方法、手段和工具。第二是控制內(nèi)容和方位，從5部委中我們可以了解健全 企業(yè)內(nèi)部控制體系，IT控制是你企業(yè)必須要關(guān)注一個領(lǐng)域，原先你非常關(guān)注我企業(yè)工作治 理機構(gòu)，組織架構(gòu)，職責(zé)權(quán)限，業(yè)務(wù)流程在企業(yè)循環(huán)的控制。在當(dāng)今企業(yè)環(huán)境要更加關(guān)注 IT控制這塊，要思考一下我們企業(yè)以前，公司以前在IT控制領(lǐng)域是否有健全的控制體系， 精品 文檔制度是否有有效的監(jiān)控手段。這也是一個巨大是變化。第三個方面也是IT技術(shù)對企業(yè)帶來的挑戰(zhàn)，你的內(nèi)控制度體系設(shè)計非常有效，但是執(zhí)行是 否得到有效保障，所以說內(nèi)

58、控執(zhí)行在目前管理情況下，所有企業(yè)或者說大中型企業(yè)借助于 IT系統(tǒng)保障內(nèi)部控制有效性。 在座的各位領(lǐng)導(dǎo)公司知道沒有一家公司不會使用一部分軟件， 比如說使用ERP系統(tǒng)，Oracle或者用友，其它軟件系統(tǒng)。你的核心業(yè)務(wù)、財務(wù)信息、報表 會在這些系統(tǒng)里面產(chǎn)生， 那么如果說這個時候你的內(nèi)部控制執(zhí)行的手段，或者說執(zhí)行的評價要繞開ERP系統(tǒng)或者是IT系統(tǒng)，企業(yè)可能就不能正常運行。第三點我們可以用一句話指導(dǎo) 它的重要性，對客戶框架有深入分析，我們知道全球包括美國、英國，包括新加坡、香港、 日本，還有我們現(xiàn)在中國， 所以的國家在制定內(nèi)部控制相關(guān)法律規(guī)范的使用框架，是遵循的COX匡架，如果你這個企業(yè)的內(nèi)部控制執(zhí)行

59、，是依賴于某些IT工具，比如說 ERP系統(tǒng)，其他的軟件工具，將來第三方見證機構(gòu)對企業(yè)進行內(nèi)部控制審計評價，可以適當(dāng)?shù)臏p少審計工作量，提高內(nèi)部提出有效性可信任評估，所以借助ER成行是非常重要的了。 如果說像我們原先很多在海外上市公司，每年請四大幫你做內(nèi)部審計，或者咨詢費用是非常昂貴。如果說 我有了可靠ERP系統(tǒng)，所有內(nèi)部控制都在 ERP系統(tǒng)當(dāng)中得到良好體現(xiàn)和控制，你的審計和相應(yīng)成本會縮小了降低很多。這也是企業(yè)要關(guān)注的重要一個方面。另外一個方面就是控制監(jiān)督及我們知道法規(guī)頒布以后，對企業(yè)帶一個新的挑戰(zhàn)，就是內(nèi)部控制必須進行監(jiān)督評價。 這個監(jiān)督評價包含兩個層次， 第一個是內(nèi)部監(jiān)督評價，我們看到國內(nèi)上市

60、公司都著手把企業(yè)的內(nèi)部及審機構(gòu)職能進行擴充，原先可能是傳統(tǒng)審計就是報表審計， 現(xiàn)在要擴展傳統(tǒng)的審計， 企業(yè)內(nèi)部控制、獨立審計等等方面。 在內(nèi)部監(jiān)督評價同時，法規(guī)明 確要求必須請外部第三方機構(gòu)進行有效評價。在評價和監(jiān)督的時候，我們知道首先我要檢查你的內(nèi)部控制設(shè)計是否健全、有效。檢查的時候事務(wù)所是看內(nèi)部控制設(shè)計是不是得當(dāng)，這是第一個。接下來就是內(nèi)部測試執(zhí)行是否有效，要看你內(nèi)部控制的證據(jù)，企業(yè)核心業(yè)務(wù)在ERP系統(tǒng)上，那么ERP系統(tǒng)可以幫助你保留你的關(guān)鍵業(yè)務(wù)執(zhí)行過程當(dāng)中證據(jù)、文檔、資料、報告，供你企業(yè)內(nèi)審，機構(gòu)檢查一些證據(jù)， 做出評價。同時，我們知道如果你看這個基本規(guī)范的時 候，只說了一句，要請第三方